Penetrationstest

Mit Penetrationstests wollen Hacker die IT-Infrastruktur eines Unternehmens testen, um Sicherheitslücken zu finden. Unternehmen fordern sogar weltweit im Rahmen sog. Bug Bounty-Programme auf, ihre Systeme zu testen und versprechen eine Entlohnung dafür. Manche Hacker jedoch drehen den Spieß um, testen erst und fragen dann nach Geld. Wie sieht in all diesen Fällen aber die Rechtslage aus?

I. Was sind Penetrationstests?

Ein Penetrationstest ist ein Fachbegriff für eine Gefährdungsanalyse von IT-Systemen. Konkret versteht man darunter den gewollten und gezielten Angriff auf die IT-Infrastruktur oder einzelne Anwendungen eines Betroffenen, um das grundlegende Sicherheitsniveau sowie potentielle Sicherheitslücken auszuforschen. Der Tester versetzt sich dabei in die Lage eines potentiellen Angreifers und führt in der Regel z.B. mit den Mitteln eines Hackers umfangreiche Attacken auf das System aus.

Penetrationstests werden zwar häufig im Auftrag und mit dem Einverständnis solcher Unternehmen ausgeführt, welche sich möglichst umfassend vorsorglich gegen Angriffe auf ihre IT-Infrastruktur oder Anwendungen schützen wollen. Das geschieht entweder im Rahmen sog. Bug Bounty-Programme oder im Rahmen individueller vertraglicher Vereinbarungen.

Allerdings gibt es auch zahlreiche Hacker, die ohne eine solche Absprache Penetrationstests durchführen. Sie erhoffen sich von den Unternehmen, die sie heimlich getestet haben, ebenfalls eine Entlohnung dafür, dass man das Unternehmen durch Auffinden der Lücken sicherer gemacht hat.

Das Problem dabei ist: All diese Hackerangriffe sind sowohl zivilrechtlich als auch strafrechtlich sehr riskant. Ein Überblick über die Rechtslage:

II. In welchem Kontext werden Penetrationstests durchgeführt?

1. Vertraglich vereinbarter Test

Penetrationstests können zunächst explizit im Auftrag des Unternehmens ausgeführt werden. Hierzu schließen Unternehmen und Hacker meist einen Dienstleistungsvertrag. Das ist natürlich die für Hacker sicherste Variante. Sie können im Vertrag genau regeln, welche Tätigkeiten und Auswirkungen des Hacks erlaubt sind und welche nicht.

Außerhalb gesetzlicher Vorgaben haben beide Seiten die Chance, die Haftungsrisiken genau zu definieren. Hier gilt es vor allem, die Interessen beider Parteien angemessen zu regeln. Die Schwierigkeit eines solchen Interessenausgleiches liegt vor allem darin begründet, dass es gerade dem Wesen eines solchen Tests entspricht, möglichst über die Grenzen der Sicherheit hinauszugehen. Liegt es auf der einen Seite im Interesse des Penetrationstesters, möglichst frei von jeder Haftung agieren zu können, ist andererseits dem getesteten Unternehmen daran gelegen, bei fehlerhaftem Verhalten des Testers nicht vollkommen schutzlos dazustehen. Doch auch eine zu strenge Haftungsregelung zu Lasten des Hackers wirkt sich nachteilig auf die Absichten des Unternehmens aus: Im Zweifel wird der Tester dann entgegen dem Zweck des Testes wohl lieber Vorsicht walten lassen, sofern er möglicherweise haftbar gemacht werden kann.

Trotz aller Haftungsregeln sollte der Tester zur Deckung möglicher Schäden eine Haftpflichtversicherung im Rahmen einer IT-Police abschließen. Denn jegliche Abweichung von der vertraglichen Vereinbarung kann zivilrechtliche Folgen haben, die es abzusichern gilt. Darüber hinaus kann eigenmächtiges Handeln strafrechtliche Folgen haben.

2. Test im Rahmen eines Bug Bounty-Programms

Viele Firmen zahlen Prämien an Hacker, die wie eine Art Kopfgeldjäger Sicherheitslücken in ihren Programmen und Websites melden. Viele Firmen haben inzwischen dazu sog. Bug Bounty-Programme und rufen Hacker öffentlich auf, die eigenen Sicherheitssysteme zu testen und Fehler zu melden. Dafür loben sie Prämien aus. Oft handeln Firma und Hacker das Bounty, also die Prämie, auch untereinander aus, wobei der Preis je nach Schwere des entdeckten Fehlers steigen kann.

Zivilrechtlich sind solche Bug-Bounty-Programme als Auslobung nach § 657 des Bürgerlichen Gesetzbuchs (BGB) ausgestaltet. Damit sind solche Aufrufe rechtlich bindend – der Hacker kann also verlangen, dass das versprochene Geld wirklich ausgezahlt wird. Allerdings nur solange, bis die Auslobung durch öffentlichen Widerruf beendet ist. Und die Prämie erhält nur der erste, der den Fehler entdeckt hat. Wenn zwei Hacker dasselbe Problem erkannt haben, geht also der zweite leer aus.

Das versprochene Geld erhält aber nur derjenige, der sich an die Regeln des Unternehmens hält. Auch wer an diesen öffentlichen Bug Bounty-Programmen teilnimmt, sollte darauf achten, die Vorgaben des Unternehmens genau einzuhalten. Sonst bestehen auch hier sowohl haftungs- als auch strafrechtliche Probleme.

2. Penetrationstest ohne Einwilligung des Unternehmens

Schließlich gibt es natürlich zahlreiche Hacker, die weder auf eine öffentliche Auslobung eines Unternehmens reagieren, noch eine vertragliche Vereinbarung geschlossen haben. Sie handeln ohne Auftrag, jedoch mit der Absicht, dem Unternehmen zu „helfen“ – natürlich nur gegen Zahlung einer entsprechenden Prämie. Dieses Vorgehen ist noch sehr viel mehr mit zahlreichen straf- und zivilrechtlichen Risiken behaftet als das Handeln mit vorheriger Einwilligung des Unternehmens.

III. Strafrecht

1. Strafbarkeit von Penetrationstests

a) § 202a StGB – Ausspähen von Daten

Viele Hacker verletzen mit ihrem Vorgehen § 202a des Strafgesetzbuches (StGB), wodurch das „Ausspähen von Daten“ sanktioniert wird: „Wer unbefugt sich oder einem anderen Zugang zu Daten, die nicht für ihn bestimmt und die gegen unberechtigten Zugang besonders gesichert sind, unter Überwindung der Zugangssicherung verschafft, wird mit Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe bestraft“.

Für eine Zugangssicherung reicht es bereits, wenn diese den Zugang zu den Daten nicht nur unerheblich erschwert. Die Anforderungen an eine solche Sicherung sind nicht hoch – es genügt bereits der Einsatz von Verschlüsselung oder eine andere Maßnahme, die nicht jeder Laie sofort umgehen kann. Zudem ist es nicht erforderlich, dass man die Daten, zu denen man den Zugang erhalten hat, auch tatsächlich sichert, um sich strafbar zu machen. Es reicht bereits die Möglichkeit, Zugang zu Daten zu bekommen.

Das gilt aber nur, wenn die Tat „unbefugt“ erfolgt und die Daten „nicht für ihn bestimmt“ sind. Wer also im Einverständnis mit dem Unternehmen handelt, erfüllt schon nicht den Tatbestand der Norm. Wer aber auf eigene Faust agiert, macht sich fast immer nach § 202a Abs. 1 StGB strafbar. Es wird aber nur verfolgt, wenn das betroffene Unternehmen auch einen Strafantrag gestellt hat.

b) § 202b StGB – Abfangen von Daten

Alternativ wird mit immerhin bis zu 2 Jahre Freiheitsstrafe oder Geldstrafe bestraft, wer sich etwa unbefugt nicht für ihn bestimmte Daten verschafft, also Daten ohne Überwindung eines Zugangshindernisses etwa während eines Übertragungsvorgangs abfängt, § 202b StGB. Diese Vorschrift hat aber in der Praxis wenig Bedeutung.

c) 202c StGB – Vorbereiten des Ausspähens und Abfangens von Daten (Hackerparagraph)

Zudem können bereits der Erwerb, die Herstellung und der Einsatz von sog. Hackersoftware zu einer Strafbarkeit aus § 202c StGB wegen des Vorbereitens des Ausspähens und Abfangens von Daten führen. Strafbar ist es danach, eine Straftat nach § 202a oder § 202b vorzubereiten, indem man „(…)  Computerprogramme, deren Zweck die Begehung einer solchen Tat ist, herstellt, sich oder einem anderen verschafft, verkauft, einem anderen überlässt, verbreitet oder sonst zugänglich macht.“ Darauf steht eine Freiheitsstrafe bis zu zwei Jahren oder eine Geldstrafe. Die Norm sanktioniert das Beschaffen und Verbreiten von Passwörtern oder sonstigen Sicherungscodes sowie das Herstellen sog. Hackertools.

Diese Norm hatte anfangs unter legal agierenden Hackern für große Aufregung gesorgt. Denn es schien, als wären bereits der Besitz bzw. der gewollte Einsatz von sog. „Dual use tools“, also Hacker-Software, die sowohl für die Sicherheitsanalyse von Netzwerken als auch zur Begehung von Straftaten verwendet werden kann, strafbar. Dass dies explizit aber nicht strafbar ist, folgt aus einem Beschluss des Bundesverfassungsgerichts (BVerfG). Der bloße Besitz eines Computerprogramms, das für die Begehung von Straftaten geeignet ist, genüge noch nicht, um eine Strafbarkeit zu begründen. Auch wer solche Programme zu erlaubten Tätigkeiten nutze, dem fehle der für eine Strafbarkeit notwendige Vorsatz (Beschl. v. 18.05.2009, Az. 2 BvR 2233/07; 2 BvR 1151/08; 2 BvR 1524/08).

Penetrationstests sind damit dann nicht strafbar, wenn der Test und der Einsatz der Software nur im Rahmen des vereinbarten Testes erfolgt. Um sich zu schützen, sollten Hacker die benutzte Software daher nicht über den Test hinaus verbreiten. Nach § 202c StGB macht sich damit aber derjenige strafbar, der Programme mit der Absicht kauft, selbst entwickelt oder weiterverbreitet, sie für eine Straftat nach § 202a, b StGB zu nutzen. Sprich, wer auf eigene Faust handelt und dabei Daten ausspäht bzw. abfängt, hat schlechte Karten.

d) Strafbarkeit nach § 303a – Datenveränderung

Schließlich könnte noch der Vorwurf der Vorwurf der Datenveränderung im Raum stehen, §303a StGB. Strafbar ist es nach § 303a StGB, durch den Angriff rechtswidrig Daten zu löschen, zu unterdrücken, unbrauchbar zu machen oder zu verändern. Darauf steht eine Freiheitsstrafe bis zu zwei Jahren oder eine Geldstrafe. Aber auch hier gilt: Wer sich im Rahmen des Einverständnisses des Unternehmens handelt, erfüllt nicht den Tatbestand der Norm.

Ohne Einverständnis agierende Hacker können aber dann bestraft werden, wenn durch ihr Handeln irgendwo Daten – auch nur kurzzeitig – verändert werden. Tatsächlich ist es im Regelfall häufig so, dass bei dem „Angriff“ zumindest Daten verändert werden müssen, um in das System zu kommen. Wer jedoch ohne Datenveränderung agiert und etwa nur vorhandene Daten ausliest, macht sich aber nicht strafbar.

e) Strafbarkeit nach 303b StGB – Computersabotage

Nach § 303 b StGB wird mit bis zu drei bzw. in schweren Fällen sogar zehn Jahren Freiheitsstrafe oder Geldstrafe bestraft, wer eine „Datenverarbeitung, die für einen anderen von wesentlicher Bedeutung ist, dadurch erheblich stört, dass er 1. eine Tat nach § 303a Abs. 1 begeht, 2. Daten in der Absicht, einem anderen Nachteil zuzufügen, eingibt oder übermittelt oder 3. eine Datenverarbeitungsanlage oder einen Datenträger zerstört, beschädigt, unbrauchbar macht, beseitigt oder verändert.“

  • 303 b sanktioniert zum einen sog. Distributed Denial of Service (DDoS)–Attacken, um die es bei Penetrationstests aber meistens nicht geht. Diese Angriffe zeichnen sich dadurch aus, dass der Zielserver durch so viele Anfragen derart belastet wird, dass er diese nicht mehr verarbeiten kann. Dadurch kann es zu Problemen bei der Erreichbarkeit oder zu Systemausfällen kommen.

f) Weitere Strafnormen

Weitere Strafnormen, die Hacking bzw. dessen Konsequenzen sanktionieren, kommen meist schon dann nicht in Betracht, weil die Täter nicht aus „böser“ Absicht heraus handeln:

  • Erlangt der Hacker Betriebs- oder Geschäftsgeheimnisse, so kommt eine Strafbarkeit nach § 17 des Gesetzes gegen den unlauteren Wettbewerb (UWG) nur in Betracht, wenn man etwa aus Eigennutz oder mit Schädigungsabsicht handelt.
  • 44 des Bundesdatenschutzgesetz (BDSG) sieht Freiheitsstrafen bis zu zwei Jahren nur dann vor, wenn man personenbezogene Daten erlangt und dabei mit Bereicherungs- oder Schädigungsabsicht handelt.
  • Wer urheberrechtlich geschützte Informationen „stiehlt“ und verwertet, kann nach § 106 des Urheberrechtsgesetzes (UrhG) mit einer Freiheitsstrafe von bis zu drei Jahren bestraft werden.
  • Schließlich ist nach § 148 Telekommunikationsgesetz (TKG) z.B. das Abhören von Nachrichten als Verstoß gegen das Fernmeldegeheimnis strafbar und kann mit einer Freiheitsstrafe bis zu zwei Jahren oder Geldstrafe bestraft werden.

2. Wie weit geht das Einverständnis des Unternehmens?

Das Hacken ist, wie gesagt, dann nicht strafbar, wenn der Eigentümer darin im Voraus sein Einverständnis erklärt hat – also etwa im Rahmen eines Vertrages oder eines Bug-Bounty-Programms. Dies geht aber nur genau so weit, wie der Hacker sich an die Bedingungen des Unternehmens hält. Daher sollte man sich als Hacker diese Vorgaben genau durchlesen und sich daran halten. So ist etwa die Stilllegung der Dienste mittels DDOS-Attacken nie erlaubt. Dies würde auch keinen Sinn machen, da das Ergebnis eines solchen Tests lediglich Kapazitätsgrenzen, nicht aber Sicherheitslücken zu Tage bringen würde. Auch ist es meist verboten, die Sicherheitslücken (direkt) öffentlich zu machen. Die Unternehmen lassen sich immer eine gewisse Reaktionszeit zusichern, um die Sicherheitslücke selbst zu schließen. Geht er darüber hinaus, ist die Handlung nicht mehr vom Einverständnis gedeckt und kann dennoch strafbar sein.

3. Fazit und Strafantrag

Auch, wenn man mit dem Penetrationstest letztlich beabsichtigt, das „angegriffene“ Unternehmen auf Sicherheitslücken aufmerksam zu machen, können sich „gute Hacker“ durch den Test strafbar machen, falls sie nicht mit dem Einverständnis des getesteten Unternehmens agieren. Denn das Strafrecht in vielen Paragraphen nicht danach, ob man ethische Absichten hatte, oder Schäden verursachen oder sich bereichern sollte. Den Zweck des Handelns können Richter allerdings beim konkreten Strafmaß berücksichtigen.

Allerdings werden fast alle in Betracht kommenden Strafnormen des StGB (bis auf § 202c StGB) in der Regeln nur auf Antrag des betroffenen Unternehmens verfolgt. Das bedeutet: Auch wer zunächst ohne Vertrag auf eigene Faust gehandelt hat, kann einer Strafverfolgung meist entgehen, wenn er sich im Nachhinein mit dem betroffenen Unternehmen „gut stellt“.

IV. Zivilrechtliche Haftung

Das Durchführen von Penetrationstests ist jedoch nicht nur strafrechtlich, sondern auch zivilrechtlich riskant. Denn im Rahmen eines jeden – auch an sich legalen – Tests ist zu berücksichtigen, dass die Kenntniserlangung der Sicherheitslücken durch den Tester selbst ein Missbrauchsrisiko in sich birgt. Bei jedem Aufdecken einer Lücke besteht generell die Möglichkeit, dass fremde Hacker hierüber Kenntnis erlangen und Schäden anrichten. Und natürlich können die Hacker auch selbst Daten bzw. Server beschädigen, wodurch dem Unternehmen Verluste entstehen. Ebenso besteht die Gefahr, dass eine Ausforschung noch unbekannter Sicherheitsdefizite die Stabilität des Systems beeinträchtigt wird und es zu unvorhergesehenen Problemen kommt.

Wenn der Server-Betreiber entstandene Fehler selber beheben kann, so kann er vom Hacker Ersatz seiner Aufwendungen fordern. Hier könnte er einen marktüblichen Stundensatz für Prüfung, Kontrolle und Neu-Aufsetzen des Servers in Rechnung stellen. Wenn er den Schaden nicht beheben kann und ggf. dem Unternehmen sogar finanzielle Folgeschäden entstanden sind, so kann der Hacker auf Schadensersatz in Anspruch genommen werden – falls es sich nicht zuvor vertraglich für genau dieses Risiko abgesichert oder eine entsprechende Versicherung abgeschlossen hatte.

Hacker, die ohne Sicherheitsnetz agieren und selbstständig nach Lücken suchen, sollten besonders aufpassen, dass bei dem Angriff keine Schäden entstehen. Sonst kann es für sie richtig teuer werden.

ahe


Sie haben Fragen zu rechtlichen Rahmenbedingungen von Penetrationstests oder möchten wissen, was wir sonst für Sie tun können? Wir helfen Ihnen gerne!

Das Expertenteam um Rechtsanwalt Christian Solmecke steht Ihnen gerne Rede und Antwort für Ihre Fragen. Rufen Sie uns unter der Rufnummer 0221 / 951 563 0 (Beratung bundesweit) an!


Hier gelangen Sie zurück zur Übersichtseite IT-Recht

Christian Solmecke ist Partner der Kanzlei WILDE BEUGER SOLMECKE und inbesondere in den Bereichen des IT-, des Medien- und des Internetrechts tätig. Darüber hinaus ist er Autor zahlreicher juristischer Fachveröffentlichungen in diesen Bereichen.

Gefällt Ihnen der Artikel? Bewerten Sie ihn jetzt:

1 Stern2 Sterne3 Sterne4 Sterne5 Sterne (1 Bewertungen, Durchschnitt: 5,00 von 5)