Seit vergangenem Sommer hat sich einiges beim deutschen Computer-Strafrecht getan. Die überwiegende Zahl der IT-Sicherheitsüberprüfungen ist nun nur noch mit Genehmigung der jeweiligen Rechtsgutträger zulässig. Darauf weist aktuell auch die European Expert Group for IT Security (EICAR) hin, die ein Positionspapier zur strafrechtlichen Relevanz von IT-Sicherheits-Audits veröffentlicht hat.
Die rechtlichen Rahmenbedingungen sind gerade mit Blick auf das im Sommer 2007 erheblich ausgeweitete deutsche Computer-Strafrecht alles andere als trivial und erschließen sich nicht durch einen einfachen Blick in das Gesetz, heißt es von Seiten der EICAR. Für die Durchführung effektiver Sicherheitsüberprüfungen ist deshalb ein hohes Maß an Rechtssicherheit bei den Fachkreisen Grundvoraussetzung.
Passive Scans gehen in Ordnung
"Generell gestattet sind nach neuer Rechtslage ausschließlich rein passive Scans nach Sicherheitslücken, die ohne jegliche weitere Penetration der gescannten Systeme erfolgen", sagt Christian Hawellek, der das Papier für die EICAR erstellt hat. Jede darüber hinausgehende Überprüfung hingegen fällt üblicherweise in den Anwendungsbereich des Computer-Strafrechts und ist damit erst bei Vorliegen weiterer besonderer Voraussetzungen zulässig.
So stellt das Ausnutzen von Sicherheitslücken zum Erlangen des Zugangs zu Daten oder Systemen ein Ausspähen von Daten im Sinne Paragrafen 202a Strafgesetzbuch dar - sei es mit Hilfe der erweiterten Funktionen von Scan-Software, der Nutzung eigener oder fremder Exploits, XSS,SQL-Injections oder Passwortcracks. Handlungen zur Überprüfung der Leistungsfähigkeit von Antivirurs- und Antispy-Programmen können in den Anwendungsbereich des Paragrafen 303a StGB (Datenveränderung) fallen. "Es reicht, dass die Möglichkeit besteht, an die Daten heranzukommen. Ob dies auch erfolgt ist egal", sagt Hawellek. Der Einsatz sogenannter Sniffer schließlich ist ein klassischer Fall des Abfangens von Daten, das im Paragraf 202b StGB geregelt ist.
Zwingende Voraussetzung für die strafrechtliche Zulässigkeit dieser Handlungen ist, dass der jeweilige Rechtsgutträger sie gestattet, sofern nicht sonstige Gründe das Eingreifen rechtfertigen. "Problematisch ist dabei vor allem die exakte Bestimmung des jeweils geschützten Personenkreises. Das gilt insbesondere, wenn Informationssysteme in bestimmtem Umfang auch privat genutzt werden dürfen", sagt Hawellek.
Sind ausschließlich Rechtsgüter des überprüften Unternehmens betroffen, ist die Genehmigung durch dessen rechtlichen Vertreter zu erteilen. Dieses Recht kann im Rahmen der Firmenorganisation an geordnete Stellen delegiert werden. Die Einverständniserklärung ist dabei hinreichend umfänglich und präzise zu formulieren. Generell gilt: je stärker der Eingriff und je größer das Risiko, desto höher sind die hieran zu stellenden Anforderungen.
Sind auch Rechtsgüter Dritter betroffen, so sind Eingriffe nur zulässig, wenn entweder auch deren jeweilige Zustimmung vorliegt, wie zum Beispiel durch eine Betriebsvereinbarung mit den Arbeitnehmern. Anderenfalls müssen spezielle Rechtfertigungsgründe eingreifen. So ist beispielsweise der Einsatz von Sniffern durch Paragraf 88 III des Telekommunikationsgesetzes (TKG) gerechtfertigt, soweit er zur Sicherstellung der Netzwerkfunktionalität erforderlich ist. Das Löschen privater Daten auf Unternehmenssystemen kann bei entsprechender Gefahrenlage als Notstandshandlung zulässig sein.
Wichtig zur Qualitätssicherung
Trotzdem gilt: Nicht abschrecken lassen, sich aber eben auf die neuen Vorgaben genau einstellen. Denn Sicherheits-Audits sind nach wie vor ein bewährtes und in vielen Fällen das wichtigste Mittel zur Qualitätssicherung von EDV-Systemen und IT-Prozessen. Dabei ist die Motivation für die Durchführung sehr unterschiedlich, wie Detlef Kilian als Auditor bei Controlware festgestellt hat: So möchten Unternehmen aus eigenem Antrieb wissen, ob ihre Geschäftsprozesse den Best-Practice-Ansätzen gültiger Standards genügen.
Ein andermal möchten Kunden oder Wirtschaftsprüfer einen bestimmten Mindeststandard bescheinigt haben. Im nächsten Fall hat sich eine Organisation vielleicht seit geraumer Zeit auf eine Zertifizierung vorbereitet und möchte ihre Maßnahmen nun von einem unabhängigen Experten überprüfen lassen. "Schließlich sind so genannte Sensibilisierungsaudits denkbar, bei denen Fachbereiche eine Prüfung vornehmen lassen, um mithilfe ihrer Ergebnisse das Management für Fragen der Informationssicherheit zu sensibilisieren", berichtet Kilian.
Er hat einige Regeln für ein erfolgreiches Audit aufgestellt:
Hilfe von Außen
Unternehmen, die ein IT-Sicherheits-Audit bei sich durchführen möchten, sollten sich einen externen Auditor ins Boot holen, da dieser nicht "betriebsblind" ist. Nach einigen Audits mit einem Externen können dann auch interne Prüfer die Überprüfung übernehmen.
Gesundes Misstrauen
Der Auditor sollte auf jeden Fall ein Non-Disclosure-Agreement unterschreiben. Das ist besonders zu beachten, wenn er von außerhalb des Unternehmens stammt.
Unabhängigkeit
Der Prüfer muss unabhängig sein. Deshalb sollte kein Auditor seinen eigenen Bereich überprüfen, da er sonst voreingenommen ist.
Umgang mit Ergebnissen regeln
Schon bevor es mit der Überprüfung losgeht, muss mit der Chefetage entschieden sein, wie mit den Resultaten des Audits umgegangen wird. Das ist besonders für den Fall wichtig, wenn das Ergebnis anders als gedacht ausfällt.
Keinen Sündenbock
Sollten die Ergebnisse nicht nach Wunsch ausfallen, dürfen Unternehmen nicht den Fehler machen, nach einem Schuldigen zu suchen. Vielmehr heißt die Devise: Das Negative als Chance sehen, um zu erkennen, wo die Probleme liegen, sich zu verbessern und künftige Risiken möglichst klein zu halten.
Keine Angst
Vor und nach einem Audit sollten sich Firmen gegenüber den Mitarbeitern zurückhalten und Druck vermeiden. Ein schlechtes Klima wirkt sich auf die Qualität der Überprüfung aus.
Kontinuität
Kontinuität ist alles. Was über Jahre oder Monate vernachlässigt wurde kann auch nicht kurz vor einer Prüfung aufgearbeitet werden. Erreichbare Ziele sind entscheidend.
Über den Tellerrand schauen
Wichtig ist ein prozessorientiertes Denken über Abteilungsgrenzen hinweg. Nur wer Zusammenhänge beim Geschäftsprozess begreift, kann diesen auch komplett absichern.
Risikobewertung
Abhängigkeiten des jeweils untersuchten Geschäftsprozesses müssen identifiziert und klassifiziert werden. Auf eine Risikobewertung darf dabei nicht verzichtet werden.
Du sollst nicht lügen
Bewusste Falschangaben sollten tunlichst unterlassen werden. Ein guter Auditor geht ihnen sowieso nicht auf den Leim.
Management unterrichten
Das Management sollte regelmäßig über die Prüfschritte unterrichtet werden. Dadurch werden unangenehme Überraschungen wie Terminüberschneidungen vermieden.
Die Erkenntnisse der EICAR sind im Positionspapier "Die strafrechtliche Relevanz von IT-Sicherheitsaudits" veröffentlicht.