Drücke "Enter", um den Text zu überspringen.

Microsoft Attack Simulator und das deutsche Strafrecht

Du bist hier:
< zurück

Microsoft hat vor über einem Jahr die Möglichkeit in Microsoft 365 (Office365) geschaffen, dass IT Administratoren aus dem Microsoft 365 Admincenter Angriffe auf die eigenen Umgebung starten können.

Der Attack Simulator

Eine Umgebung ist nur so sicher, wie diese auch kontrolliert und audiert wurde. Es geht dementsprechend um die Kontrolle und Bewertung der bereits umgesetzten Härtungsmaßnahmen und Trainings. In der Regel setzt man hierfür sogenannte Red-Teams ein, die gebucht werden, um die eigene IT Infrastruktur anzugreifen. 

Der Attack Simulator bietet folgende Angriffsszenarien an:

  • Spear Phishing (Credentials Harvest) Account Breach
  • Spear Phishing (Attachment) Account Breach
  • Brute Force Password (Dictionary Attack) Account Breach
  • Password Spray Attack Account Breach

https://protection.office.com/attacksimulator

Lizenz: Office 365 Advanced Threat Protection Plan 2 oder Pläne, die diese Lizenz beinhalten

Dokumentation: https://docs.microsoft.com/en-us/microsoft-365/security/office-365-security/attack-simulator?view=o365-worldwide

 

Attack Simulator und das deutsche Strafrecht

Nun greife ich meine eigene Umgebung und meine Nutzer des Tenants an. Diese Aktion sollte jedoch vorher so geprüft sein, dass diese Handlung nicht gegen das deutsche Strafrecht verstößt. Die Funktion wurde aus US-amerikanischer Sicht entwickelt und gebaut. 

Mit einem Blick ins deutsche Strafrecht, also ins Strafgesetzbuch (StGB) könnten folgende Paragraphen zum Beispiel einschlägig sein:

  • § 202 StGB Verletzung des Briefgeheimnisses
  • § 202a Ausspähen von Daten
  • § 202b Abfangen von Daten
  • § 202c Vorbereiten des Ausspähens und Abfangens von Daten
  • § 203 Verletzung von Privatgeheimnissen
  • § 204 Verwertung fremder Geheimnisse
  • § 206 Verletzung des Post- oder Fernmeldegeheimnisses

 

Bewertung

Ausgangssituation

Wir befinden uns in einem Unternehmen, welches Office 365 einsetzt und um die Maßnahmen zu überprüfen, wird der Attack Simulator eingesetzt. Die MitarbeiterInnen dürfen nicht die Software nicht privat einsetzen, was auch stichpunktartig kontrolliert wird. Für die private Nutzung wird darauf hingewiesen sich eigene Accounts bei Hostern zu machen. Alle Emails und Dokumente sind ausschließlich dienstlich und Mitarbeiter handeln für das Unternehmen. Es wurde alles Nötige getan und die Mitarbeiter/Innen werden über den Zeitraum informiert, dass Test-Angriffe erfolgen werden.

Bewertung

Im Rahmen der dieser Umgebung eingesetzte Attack Simulator simuliert die IT Abteilung zum Beispiel Phising Angriffe in der eigenen Umgebung. Hiermit könnte einer der oben aufgezählten Straftatbestände erfüllt sein. 

Die Straftaten haben im objektiven Tatbestand den Begriff “ungefugt”. Dies bedeutet, wenn der Täter kein Recht hat den Brief oder das Schriftstück zu öffnen, bzw. sich von seinem Inhalt Kenntnis zu verschaffen. (Briefgeheimnis, Strafrechtskommentar, Schönke/Schröder/Eisele, StGB § 202 Rn 12).

Der Berechtigte hat eingewilligt, wurde informiert und die ausführende Stelle hat das Recht einzugreifen, dass eine Attacke in einem Zeitraum erfolgen wird und haben dies zur Kenntnis genommen und bestätigt. 

An diesem Punkt scheitert eine Strafbarkeit der IT Abteilung und des Unternehmens. Diese sind wie in der Ausgangsituation beschrieben Fall ist es nicht “ungefugt” ist.

Was müsst ihr tun? 

Es gibt die Möglichkeit die MitarbeiterInnen in diese Härtungsmaßnahmen einwilligen zu lassen, es im Arbeitsvertrag und in der Datenschutzerklärung zu verzeichnen oder es in einer Betriebsrahmenvereinbarung bzw. dessen Anhang diese Werkzeuge aufnimmt, beschreibt und den Einsatz genehmigt. Ich plädiere für eine Betriebsrahmenvereinbarung oder Anhang des Arbeitsvertrages, da Einwilligungen jeder Zeit zurückgenommen werden können.

 

Links und Material 

https://www.gesetze-im-internet.de/stgb/

§ 202 StGB

§ 202
Verletzung des Briefgeheimnisses
(1) Wer unbefugt

1.
einen verschlossenen Brief oder ein anderes verschlossenes Schriftstück, die nicht zu seiner Kenntnis bestimmt sind, öffnet oder
 
2.
sich vom Inhalt eines solchen Schriftstücks ohne Öffnung des Verschlusses unter Anwendung technischer Mittel Kenntnis verschafft,
wird mit Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe bestraft, wenn die Tat nicht in § 206 mit Strafe bedroht ist.

(2) Ebenso wird bestraft, wer sich unbefugt vom Inhalt eines Schriftstücks, das nicht zu seiner Kenntnis bestimmt und durch ein verschlossenes Behältnis gegen Kenntnisnahme besonders gesichert ist, Kenntnis verschafft, nachdem er dazu das Behältnis geöffnet hat.

(3) Einem Schriftstück im Sinne der Absätze 1 und 2 steht eine Abbildung gleich.