Prüf-Tools zur IT-Sicherheit


Um prüfen zu können, ob Ihre Systeme "sicher" konfiguriert sind, müssen Sie selber in die Rolle eines Angreifers schlüpfen und deren Werkzeuge benutzen. 
 
Eine  Liste der Top 100 Security Tools finden Sie unter http://www.insecure.org/tools.html
 
Setzen Sie diese Tools NIEMALS gegen andere Firmen/Personen ein, ohne vorher deren Zustimmung einzuholen - näheres zu rechtlichen Situation weiter unten.
 
Hier ist mein persönlicher Handwerkskasten - sortiert nach Nutzungshäufigkeit:    

Juristisches 


Die Benutzung dieser Werkzeuge kann sehr schnell illegal sein. In der Regel sind diese Werkzeuge ja Hacker-Tools. Um nämlich Sicherheitslücken finden zu können, müssen Sie sich verhalten wie ein Hacker. Da „hacken“ aber strafbar ist, gehen Sie auf ganz dünnem Eis.
Machen Sie sich auf jeden Fall mit den Paragraphen 202a 202b 202c 303a 303b StGB vertraut.
 
Seit 11.8.2007 in Kraft ist insbesondere folgender Passus: 
§ 202c Vorbereiten des Ausspähens und Abfangens von Daten
Wer eine Straftat nach § 202a oder § 202b vorbereitet, indem er

1. Passwörter oder sonstige Sicherungscodes, die den Zugang zu Daten (§ 202a Abs. 2) ermöglichen, oder
 
2. Computerprogramme, deren Zweck die Begehung einer solchen Tat ist,
herstellt, sich oder einem anderen verschafft, verkauft, einem anderen überlässt, verbreitet oder sonst zugänglich macht, wird mit Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe bestraft.
Lange wurde debattiert, wie dies auszulegen sei, wenn man mit Genehmigung des "Opfers" dessen Rechner angreift, um Schwachstellen aufzuspüren - sogenannte Penetration Tests.
 
Man kann das Gesetz tatsächlich sehr unterschiedlich lesen. Hier zwei Kostproben:
 
der Pessimist liest so:
Wer eine Straftat .... vorbereitet, indem er Passwörter ....... herstellt ..........wird .......... bestraft. 
Demnach sind wir alle Verbrecher, weil wir alle ein Passwort "herstellen".
 
Oder man liest so:
Wer eine Straftat .... vorbereitet,  indem er <was auch immer tut> .......wird .......... bestraft
Meine Handlungen müssen also originär zur Vorbereitung einer Straftat dienen - das wird bei einem verantwortungsbewussten Sysadmin wohl kaum der Fall sein.

Das Bundesverfassungsgericht hat am 18.5.2009 Klarheit geschaffen (Az: 2 BvR 2233/07, 1151/08 u. 1524/08) - Pressemitteilung. Es stellt klar, dass ausdrücklich nur Software zu erfassen ist, die für einen kriminellen "Zweck" hergestellt worden sind. Sogenannte "Dual Use"-Produkte, die im Dienste der Computersicherheit genutzt werden, aber eben auch für Hackerangriffe taugen, sind laut Gericht nicht davon erfasst, weil sie einem legalen Zweck dienten. Zumindest aber fehle jedem, der solche Programme zu erlaubten Tätigkeiten nutze, der für eine Strafbarkeit notwendige Vorsatz.

In diesem Zusammenhang ist auch die  Bundestags Drucksache. 16/3656 Anlage 3 von Interesse. Der Kernsatz liest sich wie folgt:
 
Die Befürchtung, dass auch der gutwillige Umgang mit Softwareprogrammen zur Sicherheitsüberprüfung von IT-Systemen von § 202c StGB-E erfasst werden könnte, ist nicht begründet.
Die Nichterfassung des gutwilligen Umgangs mit Softwareprogrammen zur Sicherheitsüberprüfung von IT-Systemen wird bereits auf Tatbestandsebene durch zwei gesetzliche Tatbestandsmerkmale abgesichert. Einerseits muss es sich objektiv um ein Computerprogramm handeln, dessen Zweck die Begehung einer Computerstraftat ist, und andererseits muss die Tathandlung – also das Herstellen, Verschaffen, Verkaufen, Überlassen, Verbreiten oder sonst Zugänglichmachen – zur Vorbereitung einer Computerstraftat erfolgen.
 
Meine Empfehlung: Lassen Sie sich SCHRIFTLICH vom "Opfer" Ihrer Tests bestätigen, dass Sie die diversen Werkzeuge mit seiner Genehmigung einsetzen. Seien Sie spezifisch - also listen Sie auf, welche "Angriff" sie fahren werden - z.B. Als angestellter  Systemadministrator sollten Sie sich dies ebenfalls von Ihrem Arbeitgeber bestätigen lassen.
 


 - zum Seitenanfang -

© 2001-2013 Hanns J. Proenen, Lohmar. Der Text ist urheberrechtlich geschützt. Alle Rechte vorbehalten. Die Verwendung der Texte und Bilder - auch auszugsweise - ohne vorherige schriftliche Genehmigung von Hanns J. Proenen ist strafbar. Das gilt insbesondere für die Vervielfältigung, Verwendung in Kursunterlagen oder elektronischen Systemen.  


Stand: 11. Juli 2013