123780

Der Vertrag muss den Auftrag sehr präzise beschreiben

01.07.2008 | 10:01 Uhr |

Thomas Feil, Fachanwalt für IT-Recht: 'Unter Sicherheitsprofis ist eine erhebliche Unsicherheit zu spüren.'
Vergrößern Thomas Feil, Fachanwalt für IT-Recht: 'Unter Sicherheitsprofis ist eine erhebliche Unsicherheit zu spüren.'
© 2014

Im September des vergangenen Jahres reichte das Unternehmen deshalb Verfassungsbeschwerde ein. Thomas Feil , Fachanwalt für IT-Recht in Hannover: "Auch wenn der Hacker-Paragraf bislang noch zu keiner strafrechtlichen Verurteilung geführt hat, so ist bei den Sicherheitsprofis doch eine erhebliche Rechtsunsicherheit zu spüren. Darüber hinaus fürchten viele Unternehmen, dass Mitbewerber Strafanzeigen wegen eines Verstoßes gegen den Paragrafen erstatten, um den Betroffenen zu diskreditieren. Hier kann jede Live-Hacking-Aufführung zum Risiko werden."

Oliver Heinz, Arago: 'Man ist heute sicher vorsichtiger, wo und wie man die Tools einsetzt.'
Vergrößern Oliver Heinz, Arago: 'Man ist heute sicher vorsichtiger, wo und wie man die Tools einsetzt.'
© 2014

Bei der IT-Sicherheitsfirma Arago in Frankfurt am Main reagiert man gelassen. Bereichsleiter Systembetrieb und Security Oliver Heinz: "Der Hacker-Paragraf hat keinen echten Einfluss darauf, welche Tools Security-Consultants einsetzen. Man ist aber sicherlich vorsichtiger, wo und wie man die Tools benutzt." Eine Art von Security-Überprüfungen könne heute nicht mehr in der Form stattfinden, wie dies früher vom Kunden gefordert wurde: Ein kompletter " Blackbox-Test " auf ein überregionales Netzwerk oder Unternehmen, also ein Test, bei dem man nichts über die Netze oder Systeme des Kunden weiß, höchstens dessen Firmennamen kennt. Wer das tut, so der Arago-Vertreter, riskiert, verklagt zu werden. Zu ungenau könnten bei diesem Typ von Test die Randbedingungen definiert werden, zu groß sei das Risiko, Systeme unbeteiligter Dritter zu scannen. "Die IT-Consultants stehen vor dem Problem, dass nicht die Firma, sondern derjenige, der ein Security-Audit realisiert, verklagt wird", meint Heinz. Deshalb müsse der Vertrag präzise den Auftrag enthalten. Die Dokumentation sei nicht Sache des Vertrags, sondern die Firma müsse die Mitarbeiter zur Dokumentation aller Aktivitäten anweisen, damit im Falle einer Klage nachgewiesen werden könne, dass es sich nicht um kriminelle Aktivitäten gehandelt habe. Mit Floskeln wie "Prüfen Sie mal mein Netz" sollte sich seiner Meinung nach kein IT-Berater mehr zufriedengeben.

Ein weiteres Dilemma sieht der Arago-Vertreter darin, dass es sich bei einer möglichen Straftat um ein Offizial-Delikt handele, gegen das jeder Staatsanwalt im Bundesgebiet verpflichtet sei, zu ermitteln. Der Sicherheitsexperte: "Ohne jemandem zu nahe treten zu wollen, besteht die Gefahr, dass ein Staatsanwalt in einem ländlichen Gebiet nicht über ausreichende IT-Kenntnisse verfügt, um bei einem Hinweis die richtige Entscheidung treffen zu können. Wie soll auch ein Außenstehender zwischen einem guten und einem bösen Hacker unterscheiden können?" Nach seiner Ansicht muss hier grundsätzlich mehr Transparenz geschaffen werden.

Für Constanze Kurz vom Chaos Computer Club (CCC) ist es nach wie vor unverständlich, dass der Gesetzgeber mit dem Paragrafen derart weit über das Ziel hinausgeschossen ist. Schließlich hätten alle Experten, die bei der Entstehung mit am runden Tisch saßen, ihre Bedenken geäußert. Kurz erläutert: "Sowohl ein Hacker als auch jeder Informatiker hat nicht nur eines von diesen so genannten Hacker-Tools auf seinem Rechner. Das gehört zur Standardausrüstung, wenn ein Netz getestet wird." Abgesehen von der drohenden Kriminalisierung der IT-Sicherheits-Consultants sieht die CCC-Frau noch eine weitere Gefahr: "Die Kriminalisierung kann auch Dozenten an den Universitäten oder Ausbilder an Schulungsträgern treffen. Wenn hier keine Lösung gefunden wird, dann fehlen den Unternehmen künftig die Sicherheitsprofis. Und davon gibt es sowieso zu wenige." (hk)

COMPUTERWOCHE

PC-WELT Marktplatz

0 Kommentare zu diesem Artikel
123780