28.04.2008 | Autor / Redakteur: Rechtsanwalt Christian Wilser / Stephan Augsten
Viele Firmen lassen heutzutage Security-Audits durchführen. Zahlreiche Dienstleister bieten derartige Tests an. Dabei müssen einige Regeln beachtet werden, um nicht mit dem Gesetz in Konflikt zu geraten.
Sicherheits-Checks der IT sind Teil des Risikomanagements. Solche Tests bestehen neben der Überprüfung bestehender Organisationsstrukturen vielfach aus dem Versuch, bestehende Schutzmaßnahmen zu „knacken“. Gelingt dies, können Dienstleister ihrem Auftraggeber bestehende Schwachstellen eindrucksvoll vor Augen führen.
Viele IT-Dienstleister machen sich aber nicht klar, dass sie bei der Durchführung derartiger Tests Gefahr laufen, mit dem Strafrecht in Konflikt zu kommen. Das zuletzt deutlich ausgeweitete Computer-Strafrecht stellt das „Ausspähen beziehungsweise Abfangen von Daten, die Datenveränderung und Computer-Sabotage und das Vorbereiten des Ausspähens und Abfangens von Daten“ unter Strafe (Paragraphen 202, 303 Strafgesetzbuch [StGB]).
Der Dienstleister, der Schwachstellen in der IT des Auftraggebers sucht, macht letzten Endes nichts anderes als der Hacker – nur seine Motive sind andere. Wer zum Beispiel die Wirksamkeit eines Virenfilters mit echten Viren testet, könnte – wenn der Schutz durchbrochen wird – eine Datenveränderung oder Computersabotage begehen.
Willigt aber der „Verletzte“ ein, stellt dies im strafrechtlichen Sinne eine „Rechtfertigung“ dar, die die Tat straffrei macht. Der Dienstleister, der IT-Checks durchführt, muss deshalb zuvor die Einwilligung des Betroffenen einholen. Wichtig ist, ganz exakt darzulegen, welche Tests man durchführen will, um anhand dessen zu klären, welche Rechtsgüter durch diese Tests verletzt werden können und welche Personen betroffen sind.
»1 »2 nächste Seite
Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 2012227)
