Österreich

In Österreich können zur strafrechtlichen Verfolgung von Computerkriminalität mehrere Tatbestände herangezogen werden. In Bezug auf Penetration-Testing werden wir kurz den fundamentalen Gesetzestext vorstellen und erläutern:

(1) Wer sich zu einem Computersystem, über das er nicht oder nicht allein verfügen darf, oder zu einem Teil eines solchen durch Überwindung einer spezifischen Sicherheitsvorkehrung im Computersystem in der Absicht Zugang verschafft,

1. sich oder einem anderen Unbefugten Kenntnis von personenbezogenen Daten zu verschaffen, deren Kenntnis schutzwürdige Geheimhaltungsinteressen des Betroffenen verletzt, oder

2. einem anderen durch die Verwendung von im System gespeicherten und nicht für ihn bestimmten Daten, deren Kenntnis er sich verschafft, oder durch die Verwendung des Computersystems einen Nachteil zuzufügen, ist mit Freiheitsstrafe bis zu sechs Monaten oder mit Geldstrafe bis zu 360 Tagessätzen zu bestrafen.

(2) Wer die Tat in Bezug auf ein Computersystem, das ein wesentlicher Bestandteil der kritischen Infrastruktur (§ 74 Abs. 1 Z 11) ist, begeht, ist mit Freiheitsstrafe bis zu zwei Jahren zu bestrafen.

(3) Der Täter ist nur mit Ermächtigung des Verletzten zu verfolgen.

(4) Wer die Tat nach Abs. 1 im Rahmen einer kriminellen Vereinigung begeht, ist mit Freiheitsstrafe bis zu zwei Jahren, wer die Tat nach Abs. 2 im Rahmen einer kriminellen Vereinigung begeht, mit Freiheitsstrafe bis zu drei Jahren zu bestrafen.

- Strafgesetzbuch (StGB), § 118a StGB Widerrechtlicher Zugriff auf ein Computersystem

In einfachen Worten ausgedrückt, droht der Paragraf 118a StGB mit einer Freiheitsstrafe, wenn wir uns unbefugt Zugriff auf die Daten eines IT-Systems verschaffen oder einem Dritten dabei helfen. Spätestens ab jetzt sollten wir uns nicht mehr als Administrator auf fremden Websites anmelden, auch wenn das Standardbenutzerkonto admin/admin natürlich ein sehr sicheres Passwort ist. Als Nächstes stellt sich die Frage, ob wir uns jetzt auch nicht mehr heimlich in das geschützte WLAN unseres Nachbarn verbinden dürfen?

(1) Wer in der Absicht, sich oder einem anderen Unbefugten von im Wege eines Computersystems übermittelten und nicht für ihn bestimmten Daten Kenntnis zu verschaffen und dadurch, dass er die Daten selbst benützt, einem anderen, für den sie nicht bestimmt sind, zugänglich macht oder veröffentlicht, sich oder einem anderen einen Vermögensvorteil zuzuwenden oder einem anderen einen Nachteil zuzufügen, eine Vorrichtung, die an dem Computersystem angebracht oder sonst empfangsbereit gemacht wurde, benützt oder die elektromagnetische Abstrahlung eines Computersystems auffängt, ist, wenn die Tat nicht nach § 119 mit Strafe bedroht ist, mit Freiheitsstrafe bis zu sechs Monaten oder mit Geldstrafe bis zu 360 Tagessätzen zu bestrafen.

(2) Der Täter ist nur mit Ermächtigung des Verletzten zu verfolgen.

-Strafgesetzbuch (StGB), § 119a StGB Missbräuchliches Abfangen von Daten

Der Paragraf 119a StGB verbietet das Abfangen fremder Daten, die von Computersystemen übermittelt werden. Folglich dürfen wir auch nicht den Netzwerkverkehr unseres Nachbarn mitschneiden. Dabei war seine Google-Suche „Wie schütze ich mich vor meinem Nachbarn?“ immer so erheiternd. Aber Spaß beiseite:

(1) Wer

1. ein Computerprogramm, das nach seiner besonderen Beschaffenheit ersichtlich zur Begehung eines widerrechtlichen Zugriffs auf ein Computersystem (§ 118a), einer Verletzung des Telekommunikationsgeheimnisses (§ 119), eines missbräuchlichen Abfangens von Daten (§ 119a), einer Datenbeschädigung (§ 126a), einer Störung der Funktionsfähigkeit eines Computersystems (§ 126b) oder eines betrügerischen Datenverarbeitungsmissbrauchs (§ 148a) geschaffen oder adaptiert worden ist, oder eine vergleichbare solche Vorrichtung oder

2. ein Computerpasswort, einen Zugangscode oder vergleichbare Daten, die den Zugriff auf ein Computersystem oder einen Teil davon ermöglichen, mit dem Vorsatz herstellt, einführt, vertreibt, veräußert, sonst zugänglich macht, sich verschafft oder besitzt, dass sie zur Begehung einer der in Z 1 genannten strafbaren Handlungen gebraucht werden, ist mit Freiheitsstrafe bis zu sechs Monaten oder mit Geldstrafe bis zu 360 Tagessätzen zu bestrafen.

(2) Nach Abs. 1 ist nicht zu bestrafen, wer freiwillig verhindert, dass das in Abs. 1 genannte Computerprogramm oder die damit vergleichbare Vorrichtung oder das Passwort, der Zugangscode oder die damit vergleichbaren Daten in der in den §§ 118a, 119, 119a, 126a, 126b oder 148a bezeichneten Weise gebraucht werden. Besteht die Gefahr eines solchen Gebrauches nicht oder ist sie ohne Zutun des Täters beseitigt worden, so ist er nicht zu bestrafen, wenn er sich in Unkenntnis dessen freiwillig und ernstlich bemüht, sie zu beseitigen.

- Strafgesetzbuch (StGB), § 126c StGB Missbrauch von Computerprogrammen oder Zugangsdaten

Nach Paragraf 126c StGB ist allein schon der Besitz oder die Herstellung jeglicher Tools verboten, welche für einen unautorisierten Datenzugriff verwendet werden können. Folglich wäre der Besitz von Kali Linux strafbar, da dieses Betriebssystem mehrere Hackertools enthält. Hiermit wäre unser Weg als Penetration-Tester zu Ende, ehe er überhaupt angefangen hat. Da wir aber mit unserem Zutun vor solchen Hackerangriffen schützen wollen, unterliegen wir zum Glück dem zweiten Absatz des § 126c.

Wie aus dem zweiten Absatz des obigen Gesetzestextes entnommen werden kann, werden wir nicht bestraft, wenn wir mit unserem Handeln beabsichtigen, Hackerangriffe abzuwehren. Als Penetration-Tester, die alle Einstiegspunkte in einem IT-System identifizieren wollen, sind wir aber auch dazu verpflichtet, diese unserem Auftraggeber mitzuteilen. Andernfalls würden wir uns strafbar machen. Zusammenfassend dürfen wir ein IT-System nur dann angreifen, wenn die Einverständniserklärung des Betreibers vorliegt.