Kontakt | Impressum

Rechtliche Hinweise

Da Ende Mai 2007 der sogenannte Hackerparagraph §202c "Vorbereiten des Ausspähens und Abfangens von Daten" des deutschen Strafgesetzbuches (StGB) verabschiedet wurde, bedeutet dies, dass Penetration Tests nur nach Abschluss einer schriftliche Vereinbarung durchgeführt werden können.

Hier die Betroffenen Auszüge aus dem StGB sowie unsere Erklärung am Ende der Seite:

§ 202a Ausspähen von Daten

(1) Wer unbefugt sich oder einem anderen Zugang zu Daten, die nicht für ihn bestimmt und die gegen unberechtigten Zugang besonders gesichert sind, unter überwindung der Zugangssicherung verschafft, wird mit Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe bestraft.
(2) Daten im Sinne des Absatzes 1 sind nur solche, die elektronisch, magnetisch oder sonst nicht unmittelbar wahrnehmbar gespeichert sind oder übermittelt werden.

§ 202b Abfangen von Daten

Wer unbefugt sich oder einem anderen unter Anwendung von technischen Mitteln nicht für ihn bestimmte Daten (§ 202a Abs. 2) aus einer nichtöffentlichen Datenübermittlung oder aus der elektromagnetischen Abstrahlung einer Datenverarbeitungsanlage verschafft, wird mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe bestraft, wenn die Tat nicht in anderen Vorschriften mit schwererer Strafe bedroht ist.

§ 202c Vorbereiten des Ausspähens und Abfangens von Daten

(1) Wer eine Straftat nach § 202a oder § 202b vorbereitet, indem er

• Passwörter oder sonstige Sicherungscodes, die den Zugang zu Daten (§ 202a Abs. 2) ermöglichen, oder
• Computerprogramme, deren Zweck die Begehung einer solchen Tat ist,

herstellt, sich oder einem anderen verschafft, verkauft, einem anderen überlässt, verbreitet oder sonst zugänglich macht, wird mit Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe bestraft.

Unter §202c gibt es noch einen Verweis auf den Paragraphen §149 "Vorbereitung der Fälschung von Geld und Wertzeichen"

(2) Nach Absatz 1 wird nicht bestraft, wer freiwillig

1. die Ausführung der vorbereiteten Tat aufgibt und eine von ihm verursachte Gefahr, daß andere die Tat weiter vorbereiten oder sie ausführen, abwendet oder die Vollendung der Tat verhindert und
2. die Fälschungsmittel, soweit sie noch vorhanden und zur Fälschung brauchbar sind, vernichtet, unbrauchbar macht, ihr Vorhandensein einer Behörde anzeigt oder sie dort abliefert.

(3) Wird ohne Zutun des Täters die Gefahr, daß andere die Tat weiter vorbereiten oder sie ausführen, abgewendet oder die Vollendung der Tat verhindert, so genügt an Stelle der Voraussetzungen des Absatzes 2 Nr. 1 das freiwillige und ernsthafte Bemühen des Täters, dieses Ziel zu erreichen.

Somit geben wir folgende Erklärung ab:

• Wir setzten Softwaretools nur zur Erforschung der Schwachstellen ein
• Die überprüfung der Kundensysteme findet nur nach einer unterschriebenen Einverständniserklärung beider Parteien statt
• Eingesetzte Software wird:
  - Namentlich nicht genannt
  - nicht weitergeben oder anderen zur Verfügung gestellt
  - bei Nicht-Verwendung verschlüsselt gespeichert
  
• Durch gefundene und mitgeteilte Sicherheitslöcher und die zeitnahe Beseitigung derselben, verminden wir das Risiko dass Straftaten von Dritten durchgeführt werden können

Zusätzlich beziehen wir uns auf den Beschluss vom 18.5.2009 2 BvR 2233/07

"Da das Unternehmen, für das der Beschwerdeführer arbeitet, im Auftrag und somit im Einverständnis mit den über die überprüften Computersysteme Verfügungsberechtigten tätig wird, fehlt es am Tatbestandsmerkmal des .unbefugten. Handelns im Sinne des § 202a oder § 202b StGB. Vielmehr liegt ein Handeln zu einem legalen Zweck vor; hierbei dürfen nach dem insofern eindeutigen und durch die Entstehungsgeschichte wie die einschlägige Bestimmung des übereinkommens des Europarats über Computerkriminalität bekräftigten Wortlaut des § 202c Abs. 1 Nr. 2 StGB grundsätzlich auch Schadprogramme, deren objektiver Zweck in der Begehung von Computerstraftaten liegt, beschafft oder weitergegeben werden"