Tools wie Passwort-Cracker oder Zero-Day-Exploits finden sich nicht nur im Arsenal von Cyber-Gangstern. Auch IT-Fachleute setzen sie ein, etwa um Lücken im Netzwerk aufzuspüren. Doch seit Einführung des so genannten Hacker-Paragrafen ist das höchst gefährlich.

Im August vergangenen Jahres wurden IT-spezifische Regelungen in das Strafgesetzbuch (StGB) aufgenommen. Der »Hackerparagraf« 202c StGB stellt nicht nur das unberechtigte Beschaffen und Manipulieren von Daten Dritter unter Strafe. Auch die Herstellung, Beschaffung und Verbreitung von Software, die solche Aktionen erlaubt, fällt darunter.

Klar ist, dass der Gesetzgeber damit Cyber-Kriminellen das Leben schwer machen möchte, die sich mithilfe spezieller Tools Zugang zu vertraulichen Daten auf fremden Rechner verschaffen oder in Netze einbrechen.

Dumm ist jedoch, dass auch Netzwerkfachleute solche Werkzeuge nutzen, etwa um Corporate Networks auf Sicherheitslücken hin zu überprüfen. Streng genommen stehen auch sie mit einem Bein im Gefängnis, wenn sie Passwort-Cracker oder Exploits einsetzen.

Was der der IT-Verwalter darf und was nicht

Darüber, welche Tools ein Administrator ohne Bedenken einsetzen darf und bei welchen Vorsicht geboten ist, informiert eine kostenlose Broschüre des ITK-Verbandes Bitkom. Der »Praktische Leitfaden für die Bewertung von Software im Hinblick auf den § 202c, StGB«, so der Titel, listet auf, welche Programme oder Funktionen in Bezug auf $202c StGB als kritisch oder unbedenklich einzustufen sind.

Zwei Beispiele: Bereits die Installation einer Software, mit der sich fremde Rechner fernsteuern lassen, ist problematisch. Das ist zumindest dann der Fall, wenn der Nutzer des Systems nicht darüber informiert wird. Solche Programme werden andererseits häufig eingesetzt, um die Administration und Fehlerbehebung von Rechnern zu vereinfachen. Kritisch ist auch das Entschlüsseln von Dateien, die der User verschlüsselt hat.

Der Einsatz von Portscannern oder Tools, welche die aktiven Geräte in einem Netzwerk anzeigen, ist dagegen statthaft. Dasselbe gilt für Programme für den Software-Test, etwa Debugger, Disassembler oder Fuzzer (automatischer Software-Test-Werkzeuge).

Die Broschüre des Bitkom gibt auf 13 Seiten, sprich in komprimierter Form, einen guten Überblick darüber, was der IT-Administrator darf und was nicht. Damit es nicht zu trocken zugeht, haben die Autoren ein paar Anwendungsbeispiele eingebaut.

Den Abschluss bildet ein Kapitel mit Hinweisen, wie sich Tests mit »Hacker-Tools« so durchführen lassen, dass keine Probleme mit dem Hackerparagrafen auftreten dürften. Die Autoren gehen dabei auch auf organisatorische Fragen ein, etwa wer solche Tests anordnen und durchführen darf und welche Informationen ein solcher Auftrag enthalten muss.