Interview zum Hackerparagraph: Schützt die IT-Haftpflicht den Sicherheitsexperten?
Ein neues Gesetz - zwei Seiten: Dank des so genannten “Hackerparagraphen” (§ 202c StGB) werden kriminelle Hacker künftig rigoros bestraft. Das Problem: Andererseits bewegen sich nun auch IT-Sicherheitsexperten auf rechtlich unsicherem Terrain, wenn sie Computersysteme mit einschlägiger (Hacker-)Software auf deren Schwachstellen testen. Doch wie steht es um den Versicherungsschutz, wenn IT-Experten vom Gesetzgeber als verboten deklarierte, aber für ihre Arbeit notwendige Hackertools nutzen? exali Geschäftsführer Ralph Günther spricht mit dem Journalisten Michael Hitzek über den aktuellen Stand.
Update: Das Bundesverfassungsgericht hat am 18. Mai 2009 durch eine für IT-Experten positive Entscheidung für etwas mehr Rechtssicherheit gesorgt. Das Urteil: Hacker-Tools dürfen verwendet werden, wenn sie eindeutig zur Sicherheitsprüfung eingesetzt werden - und es einen Auftrag dazu gibt.
Keine klare Entscheidung fällte das BVerfG leider hinsichtlich der Überlassung dieser Software-Tools an Dritte. Hier gibt es weiterhin eine Grauzone.
Weitere Informationen:
Die Absicht zählt: Hacker-Tools nicht automatisch verboten
Der neu eingeführte “Hackerparagraph” ist ein schwieriges und heiß diskutiertes Thema ...
Günther: ...was man ohne jegliche Übertreibung behaupten kann. Das liegt unter anderem daran, dass die Definition des Gesetzgebers ausgesprochen schwammig ist und die Anwendung des Gesetzes grundsätzlich alle Methoden und Werkzeuge rund um das sehr weite Thema “Datenermittlung” zulässt.
Das sind unter anderem Protokollanalysatoren, die zum normalen Handwerkszeug eines Entwicklers von Kommunikationssoftware gehören aber auch Programme die etwa zum Testen von Anwendungen auf Sicherheitslücken benötigt werden.
Aber es gibt eine Stellungnahme des Justizministeriums?
Günther Ja. Und sie besagt, dass der Hackerparagraph nur im Zusammenhang mit kriminellen Handlungen angewendet werden soll. Leider geht diese Stellungnahme natürlich an der Wirklichkeit deutscher Gerichtsbarkeit vorbei, die sich an Gesetzestexte und nicht an Stellungnahmen halten muss. Oder pointiert formuliert: Willkür sind hier Tür und Tor geöffnet.
Kommen wir zum versicherungsrechtlichen Aspekt der Entscheidung: Ein IT-Experte nutzt besagte Tools - wie steht es um seinen Versicherungsschutz?
Günther: Wichtigste Feststellung: keine IT-Haftpflicht Versicherung deckt für den Täter den Schaden aus vorsätzlich kriminellen Handlungen ab - ob dies nun die Folgen eines Diebstahls oder eines Hackerangriffs sind.
In dem hier diskutierten Falle eines IT-Sicherheitsexperten bietet die Hiscox IT-Haftpflicht über exali dem IT-Freiberufler und IT-Dienstleister zivilrechtlichen Schutz gegenüber Ansprüchen von Dritten.
Was bedeutet zivilrechtlicher Schutz genau?
Günther: Nehmen wir als Beispiel den IT-Experten, der sich auf sogenannte und in der Branche durchaus übliche Penetrationstests spezialisiert hat. Dieser soll im Auftrag einer Bank Sicherheitslücken im System aufspüren - und bewirkt dabei einen zeitweisen Serverausfall, für dessen Folgen wiederum die Bank Schadenersatz fordert.
Dies ist ein zivilrechtlicher Anspruch eines Dritten, der z. B. über unser IT-Haftpflicht oder auch andere IT-Haftpflichtversicherungen abgedeckt ist.
Neben zivilrechtlichen kann es aber auch strafrechtliche Ansprüche geben ...
Günther: Bleiben wir bei unserem Beispiel. Es könnte sein, dass nach möglicher Auslegung des erst ein paar Wochen alten Hackerparagraphen ein Gericht der Ansicht ist, dass hier für den Penetrationstest strafbare Hackertools verwendet worden sind.
Unter Umständen gibt es dann einen Konflikt mit dem Strafgesetzbuch, vor dem die Haftpflichtversicherung natürlich den IT-Experten nicht bewahren kann.
Für den Versicherer ist aber etwas anderes entscheidend - und zwar, dass der entstandene Schaden versichert ist!
Das würde bedeuten, dass ich gegen das Strafgesetz verstoßen kann und dennoch hinsichtlich des entstandenen Schadens Versicherungsschutz genieße?
Günther: Seriös ist diese Frage zum jetzigen Zeitpunkt nicht abschließend zu beantworten - nicht zuletzt wegen der bereits erwähnten Stellungnahme des Justizministeriums, die eine Anwendung des Paragraphen nur in Zusammenhang mit kriminellen Handlungen vorsieht.
Aber wie ist das dann im Falle des Penetrationstesters? Handelt er kriminell?
Günther: Genau dieses Beispiel zeigt die Problematik sehr deutlich auf, denn hier hat der Auftraggeber ja ganz bewusst den Test des Sicherheitssystems vom IT-Experten gefordert. Und ein solcher macht ja nur Sinn, wenn zur Prüfung genau das Handwerkszeug eines Hackers eingesetzt wird.
Allerdings: Der Einsatz ist hier Bestandteil eines gewünschten Auftrages und folgt keiner “kriminellen” Absicht, was nach Logik der nicht rechtsverbindlichen Stellungnahme des Justizministeriums ja zur Straffreiheit führt.
Wie also raus aus dem Dilemma?
Günther: Verständlicherweise gibt es so kurze Zeit nach Inkrafttreten des Gesetzes noch keine Grundsatzentscheidungen - und weil die meisten Versicherer wissentliches Abweichen von Gesetz, Vorschrift oder Anweisung des Auftraggebers in den Versicherungsbedingungen ausschließen, besteht hier durchaus eine gewisse Brisanz.
Inwiefern?
Günther: Lassen Sie uns den Penetrationstest noch einmal betrachten. Wenn dieser den Serverausfall verursacht hat und das Gesetz die für den Test verwendeten Tools als “Hackersoftware” ansehen würde, dann könnte der Versicherer argumentieren, dass der Schaden durch bewusstes Abweichen vom Gesetz eingetreten ist.
Die Konsequenz: Es besteht kein Versicherungsschutz. Ich gebe zu, bei diesem Beispiel muss man sich auch als Laie fragen, ob dies der Gesetzgeber tatsächlich wollte. Aber in dieser Grauzone bewegen wir uns derzeit!
Können Sie denn für die über exali versicherten IT-Experten Entwarnung geben?
Günther: Ja. Für die IT-Haftpflicht die wir bei exali anbieten haben wir uns sehr schnell nach Verabschiedung des Gesetzes ein Statement zur Sichtweise der de Versicherers Hiscox eingeholt. Wir haben hier die Zusage, dass in der Schadenabwicklung nur die Anweisung oder der Auftrag des Kunden zählt und nicht ein eventueller Verstoß gegen den § 202 c StGB eingewendet wird.
Wenn also für die ordnungsgemäße Erfüllung des Projektes ein “Hackertool” verwendet werden muss und es zu einem Schaden kommt, dann ist der IT-Experte auch versichert.
Damit stellt sich ein IT-Haftpflicht Versicherer in dieser sensiblen Thematik nicht über den Gesetzgeber. Zu unterscheiden sind der zivilrechtliche Schadenersatzanspruch einerseits und die möglichen strafrechtlichen Konsequenzen andererseits. Dazu muss jedoch beachtet werden: Der zivilrechtliche Versicherungsschutz bewahrt den Versicherungsnehmer nicht vor möglichen strafrechtlichen Konsequenzen.
Weiterführende Informationen
- Gesetzes Text § 202 c StGB
- GULP: Verschärfte Hackerparagrafen kriminalisieren auch Sicherheitsexperten
- Erste Verfassungsbeschwerde durch Visukom GmbH
- Auswirkungen von § 202c StGB auf die IT-Landschaft in Deutschland