4
Durchführung von Penetrationtests
Rechtliche Grundlagen zur Durchführung von Penetrationtests.
Hallo Zusammen,
wie sehen die aktuellen rechtlichen Grundlagen zur Durchführung von Penetrationtests aus?
Mein letzter Stand ist, dass sich die Grundlagen in den letzten Jahren geändert haben und ein Gesetz zumindest in Planung war, diese zu verbieten und entsprechende Software überhaupt einzusetzen.
Bin für jede Info dankbar.
LG
wie sehen die aktuellen rechtlichen Grundlagen zur Durchführung von Penetrationtests aus?
Mein letzter Stand ist, dass sich die Grundlagen in den letzten Jahren geändert haben und ein Gesetz zumindest in Planung war, diese zu verbieten und entsprechende Software überhaupt einzusetzen.
Bin für jede Info dankbar.
LG
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 92788
Url: https://administrator.de/contentid/92788
Printed on: April 16, 2024 at 12:04 o'clock
4 Comments
Latest comment
ja richtig.
wenn du ein bisschen googelst wirst du massenhaft berichte finden. das sollte vor posts geschehen!
z.b.
http://www.chip.de/artikel/Vorsicht-Hackerparagraph-Diese-Tools-sind-fu ...
wenn du ein bisschen googelst wirst du massenhaft berichte finden. das sollte vor posts geschehen!
z.b.
http://www.chip.de/artikel/Vorsicht-Hackerparagraph-Diese-Tools-sind-fu ...
Hallo,
das Gesetz, auf das du anspielst ist StGB §202c (http://de.wikipedia.org/wiki/Hackerparagraf). Dort werden der Besitz, das Verfügbarmachen, die Benutzung, etc. von Tools, die vornehmlich zur Verübung von Straftaten eingesetzt werden unter Strafe gestellt.
Natürlich gibt es aber auch wieder die berühmten Ausnahmen: Personen, die diese Tools aus beruflichen Gründe benötigen (Sicherheitsadmins, Pentester, etc.) dürfen sie weiterhin benutzen. Das setzt natürlich die Einwilligung des Eigentümers des überprüften Servers voraus. Eine solche Einwilligung sollte aber auch schon vor Inkrafttreten des §202c unter Profis üblich gewesen sein.
Vor Beginn eine Pentests (oder einer anderen Art von Sicherheitsüberprüfung) sollte man sich auf jeden Fall einen schriftlichen Auftrag von der Geschäftsleitung geben lassen (ein Auftrag des Admins reicht hier nicht aus), und natürlich die Art und den Umfang der Überprüfung ebenfalls schriftlich festhalten.
mfg
Harald
das Gesetz, auf das du anspielst ist StGB §202c (http://de.wikipedia.org/wiki/Hackerparagraf). Dort werden der Besitz, das Verfügbarmachen, die Benutzung, etc. von Tools, die vornehmlich zur Verübung von Straftaten eingesetzt werden unter Strafe gestellt.
Natürlich gibt es aber auch wieder die berühmten Ausnahmen: Personen, die diese Tools aus beruflichen Gründe benötigen (Sicherheitsadmins, Pentester, etc.) dürfen sie weiterhin benutzen. Das setzt natürlich die Einwilligung des Eigentümers des überprüften Servers voraus. Eine solche Einwilligung sollte aber auch schon vor Inkrafttreten des §202c unter Profis üblich gewesen sein.
Vor Beginn eine Pentests (oder einer anderen Art von Sicherheitsüberprüfung) sollte man sich auf jeden Fall einen schriftlichen Auftrag von der Geschäftsleitung geben lassen (ein Auftrag des Admins reicht hier nicht aus), und natürlich die Art und den Umfang der Überprüfung ebenfalls schriftlich festhalten.
mfg
Harald
Bitkom-PDF (rechts unten):
Praktischer Leitfaden für die Bewertung von Software im Hinblick auf den § 202c, StGB
Praktischer Leitfaden für die Bewertung von Software im Hinblick auf den § 202c, StGB
Vielen Dank für eure schnellen Hilfen und Hinweise.
War mir leider nicht mehr ganz sicher, ob es rechtlich mittlerweile ganz ausgeschaltet wurde. Habe aber schon den Schritt gemacht und zusätzlich einen entsprechenden Rechtsbeistand zur Prüfung eingeschaltet.
Danke.
mfg
War mir leider nicht mehr ganz sicher, ob es rechtlich mittlerweile ganz ausgeschaltet wurde. Habe aber schon den Schritt gemacht und zusätzlich einen entsprechenden Rechtsbeistand zur Prüfung eingeschaltet.
Danke.
mfg