4
Durchführung von Penetrationtests
Rechtliche Grundlagen zur Durchführung von Penetrationtests.
Hallo Zusammen,
wie sehen die aktuellen rechtlichen Grundlagen zur Durchführung von Penetrationtests aus?
Mein letzter Stand ist, dass sich die Grundlagen in den letzten Jahren geändert haben und ein Gesetz zumindest in Planung war, diese zu verbieten und entsprechende Software überhaupt einzusetzen.
Bin für jede Info dankbar.
LG
Hallo Zusammen,
wie sehen die aktuellen rechtlichen Grundlagen zur Durchführung von Penetrationtests aus?
Mein letzter Stand ist, dass sich die Grundlagen in den letzten Jahren geändert haben und ein Gesetz zumindest in Planung war, diese zu verbieten und entsprechende Software überhaupt einzusetzen.
Bin für jede Info dankbar.
LG
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 92788
Url: https://administrator.de/contentid/92788
Ausgedruckt am: 25.11.2024 um 21:11 Uhr
4 Kommentare
Neuester Kommentar
ja richtig.
wenn du ein bisschen googelst wirst du massenhaft berichte finden. das sollte vor posts geschehen!
z.b.
http://www.chip.de/artikel/Vorsicht-Hackerparagraph-Diese-Tools-sind-fu ...
wenn du ein bisschen googelst wirst du massenhaft berichte finden. das sollte vor posts geschehen!
z.b.
http://www.chip.de/artikel/Vorsicht-Hackerparagraph-Diese-Tools-sind-fu ...
Hallo,
das Gesetz, auf das du anspielst ist StGB §202c (http://de.wikipedia.org/wiki/Hackerparagraf). Dort werden der Besitz, das Verfügbarmachen, die Benutzung, etc. von Tools, die vornehmlich zur Verübung von Straftaten eingesetzt werden unter Strafe gestellt.
Natürlich gibt es aber auch wieder die berühmten Ausnahmen: Personen, die diese Tools aus beruflichen Gründe benötigen (Sicherheitsadmins, Pentester, etc.) dürfen sie weiterhin benutzen. Das setzt natürlich die Einwilligung des Eigentümers des überprüften Servers voraus. Eine solche Einwilligung sollte aber auch schon vor Inkrafttreten des §202c unter Profis üblich gewesen sein.
Vor Beginn eine Pentests (oder einer anderen Art von Sicherheitsüberprüfung) sollte man sich auf jeden Fall einen schriftlichen Auftrag von der Geschäftsleitung geben lassen (ein Auftrag des Admins reicht hier nicht aus), und natürlich die Art und den Umfang der Überprüfung ebenfalls schriftlich festhalten.
mfg
Harald
das Gesetz, auf das du anspielst ist StGB §202c (http://de.wikipedia.org/wiki/Hackerparagraf). Dort werden der Besitz, das Verfügbarmachen, die Benutzung, etc. von Tools, die vornehmlich zur Verübung von Straftaten eingesetzt werden unter Strafe gestellt.
Natürlich gibt es aber auch wieder die berühmten Ausnahmen: Personen, die diese Tools aus beruflichen Gründe benötigen (Sicherheitsadmins, Pentester, etc.) dürfen sie weiterhin benutzen. Das setzt natürlich die Einwilligung des Eigentümers des überprüften Servers voraus. Eine solche Einwilligung sollte aber auch schon vor Inkrafttreten des §202c unter Profis üblich gewesen sein.
Vor Beginn eine Pentests (oder einer anderen Art von Sicherheitsüberprüfung) sollte man sich auf jeden Fall einen schriftlichen Auftrag von der Geschäftsleitung geben lassen (ein Auftrag des Admins reicht hier nicht aus), und natürlich die Art und den Umfang der Überprüfung ebenfalls schriftlich festhalten.
mfg
Harald
Bitkom-PDF (rechts unten):
Praktischer Leitfaden für die Bewertung von Software im Hinblick auf den § 202c, StGB
Praktischer Leitfaden für die Bewertung von Software im Hinblick auf den § 202c, StGB
Vielen Dank für eure schnellen Hilfen und Hinweise.
War mir leider nicht mehr ganz sicher, ob es rechtlich mittlerweile ganz ausgeschaltet wurde. Habe aber schon den Schritt gemacht und zusätzlich einen entsprechenden Rechtsbeistand zur Prüfung eingeschaltet.
Danke.
mfg
War mir leider nicht mehr ganz sicher, ob es rechtlich mittlerweile ganz ausgeschaltet wurde. Habe aber schon den Schritt gemacht und zusätzlich einen entsprechenden Rechtsbeistand zur Prüfung eingeschaltet.
Danke.
mfg
