Rechtliche Rahmenbedingungen für die Durchführung von Pentests in Portugal: kurze Zusammenfassung

A. Konzept des Pentests (Penetrationstest)

Im Allgemeinen ist «Pentest» (kurz für Penetrationstest) eine wichtige Praxis, bei der Spezialisten (Dienstanbieter) Angriffe auf Informationssysteme simulieren, um Schwachstellen zu identifizieren.

Das Ziel ist es, die Schwachstellen zu finden und zu beheben, bevor böswillige Personen sie ausnutzen können.

In der Regel handelt es sich bei dieser Art von Verhalten nicht um eine Straftat, wenn eine gesetzliche Erlaubnis oder Genehmigung des Systemeigentümers vorliegt.

Sollte die vom Eigentümer erteilte Genehmigung ganz oder teilweise nicht eingehalten wird, könnte die strafrechtliche Verantwortung der Pentest-Spezialisten in Bezug auf bestimmte Verhaltensweisen, die im portugiesischen Strafrecht typisch sind, beurteilt werden.

Sollte die vom Eigentümer erteilte Genehmigung ganz oder teilweise nicht eingehalten wird, kann außerdem eine zivilrechtliche Haftung für den Ersatz des entstandenen Schadens (unabhängig davon, ob es sich um ein kriminelles Verhalten handelt oder nicht) geltend gemacht werden.

B. Rechtlicher Rahmen von Penntest im portugiesischen Rechtssystem

Dieser Begriff ist im portugiesischen Recht nicht definiert, aber je nach den angewandten Methoden und je nachdem, ob die Genehmigungsvereinbarung eingehalten wird oder nicht, ist es möglich, diese Art von Verhalten unter bestimmten Straftatbeständen auf abstrakte Weise zu klassifizieren:

• Computer- und Kommunikationsbetrug (Artikel 221 des portugiesischen Strafgesetzbuches[1]): «Wer in der Absicht, sich oder einen Dritten unrechtmäßig zu bereichern, einem anderen einen Vermögensschaden zufügt, indem er das Ergebnis einer Datenverarbeitung beeinträchtigt, ein Computerprogramm falsch strukturiert, Daten unrichtig oder unvollständig verwendet, Daten unbefugt verwendet oder in sonstiger Weise unbefugt in die Verarbeitung eingreift, wird mit Freiheitsstrafe bis zu 3 Jahren oder mit Geldstrafe bestraft.»;
• Computerfälschung (Artikel 3 des Gesetzes Nr. 109/2009 vom 15. September, mit dem das portugiesische Gesetz zur Cyberkriminalität verabschiedet wurde[2]): «Wer in der Absicht, eine Täuschung im Rechtsverkehr herbeizuführen, Computerdaten einführt, verändert, löscht oder unterdrückt oder auf andere Weise in die Computerverarbeitung von Daten eingreift, indem er Daten oder Dokumente erzeugt, die nicht echt sind, und zwar in der Absicht, dass sie für rechtlich relevante Zwecke so angesehen oder verwendet werden, als ob sie es wären, wird mit einer Freiheitsstrafe von bis zu 5 Jahren oder einer Geldstrafe von 120 bis 600 Tagen bestraft.»;
• Beschädigung von Programmen oder anderen Computerdaten (Artikel 4 des portugiesischen Gesetzes über Cyberkriminalität): «Wer ohne gesetzliche Erlaubnis oder ohne die Erlaubnis des Eigentümers oder eines anderen Rechtsinhabers des Systems oder eines Teils davon Programme oder andere Computerdaten, die anderen gehören, ganz oder teilweise löscht, verändert, zerstört, beschädigt, unterdrückt oder unbrauchbar oder unzugänglich macht oder ihre Nutzbarkeit in irgendeiner Weise beeinträchtigt, wird mit einer Freiheitsstrafe von bis zu 3 Jahren oder einer Geldstrafe bestraft.»;
• Computersabotage (Artikel 5 des portugiesischen Gesetzes über Cyberkriminalität): «Wer ohne gesetzliche Erlaubnis oder ohne vom Eigentümer oder einem anderen Rechtsinhaber des Systems oder eines Teils davon dazu ermächtigt zu sein, den Betrieb eines Computersystems behindert, verhindert, unterbricht oder schwerwiegend stört, indem er Programme oder andere Computerdaten einführt, überträgt, verschlechtert, beschädigt, verändert, löscht, den Zugang zu ihnen verhindert oder sie löscht, oder indem er auf andere Weise in ein Computersystem eingreift, wird mit einer Freiheitsstrafe von bis zu 5 Jahren oder einer Geldstrafe von bis zu 600 Tagen bestraft.»;
• Unerlaubter Zugriff (Artikel 6 des portugiesischen Gesetzes über Cyberkriminalität): «Wer ohne gesetzliche Erlaubnis oder ohne die Genehmigung des Eigentümers oder eines anderen Rechtsinhabers des Systems oder eines Teils davon auf ein Computersystem zugreift, wird mit einer Freiheitsstrafe von bis zu einem Jahr oder einer Geldstrafe von bis zu 120 Tagen bestraft.»;
• Unerlaubtes Abfangen (Artikel 7 des portugiesischen Gesetzes über Cyberkriminalität): "Wer ohne gesetzliche Erlaubnis oder ohne vom Eigentümer oder sonstigen Rechtsinhaber des Systems oder eines Teils davon dazu ermächtigt zu sein, mit technischen Mitteln Übertragungen von Computerdaten abfängt, die innerhalb eines Computersystems stattfinden, für dieses bestimmt sind oder von diesem ausgehen, wird mit einer Freiheitsstrafe von bis zu 3 Jahren oder einer Geldstrafe bestraft.».

Sowohl die Pentest-Spezialisten als auch die juristische Person (Dienstanbieter), die sie anheuert, können gleichzeitig für diese Arten von Verstößen verantwortlich sein.

Sollte die Vereinbarung nicht eingehalten werden, spielt es auch keine Rolle, ob sich die Experten in Portugal oder in Deutschland befinden, denn unabhängig davon können die Systemeigentümer der Anlage die Einleitung einer strafrechtlichen Untersuchung beantragen.

Im Rahmen der internationalen Kooperationsmechanismen können die portugiesischen Behörden Europäische Haftbefehle erlassen, die wiederum von den deutschen Behörden vollstreckt werden.

Bei Nichteinhaltung der Vereinbarung kann unabhängig davon, ob das Verhalten eine strafbare Handlung darstellt oder nicht, eine zivilrechtliche Haftung für den Ersatz des verursachten Schaden geltend gemacht werden.

Konkret geht es um mögliche «Schäden durch Aktivitäten» (Artikel 493 des portugiesischen Zivilgesetzbuches[3]): «Wer einem anderen bei der Ausübung einer Tätigkeit, die ihrer Natur nach oder durch die Art der verwendeten Mittel gefährlich ist, einen Schaden zufügt, ist zum Ersatz verpflichtet, es sei denn, er weist nach, dass er alle nach den Umständen gebotenen Maßnahmen ergriffen hat, um ihn zu vermeiden».

In diesem Sinne können die Pentest-Spezialisten zivilrechtlich haftbar gemacht werden, wenn sie nicht nachweisen können, dass sie alle unter den gegebenen Umständen erforderlichen Maßnahmen ergriffen haben, um Schäden zu vermeiden.

In Portugal ist jeder, der vorsätzlich oder aus bloßem Verschulden rechtswidrig die Rechte eines anderen oder eine gesetzliche Bestimmung zum Schutz der Interessen anderer verletzt, verpflichtet, dem Geschädigten den aus der Verletzung resultierenden Schaden zu ersetzen.

Dabei muss derjenige, der zur Wiedergutmachung eines Schadens verpflichtet ist, den Zustand wiederherstellen, der bestehen würde, wenn das zu ersetzende Ereignis nicht eingetreten wäre.

Für den Fall, dass die Pentest-Spezialisten (Dienstanbieter) bei ihrer Arbeit einen Schaden verursachen, obwohl sie alle nach den Umständen gebotenen Maßnahmen ergriffen haben, um diesen zu verhindern, schließt die Tatsache, dass der Geschädigte dem zugestimmt hat, ihre Haftung aus.

In diesem Sinne ist es wichtig, dass die Vereinbarung zwischen dem Dienstanbieter und dem Systemeigentümer diese Aspekte bestmöglich absichert. Die Vereinbarung sollte geprüft werden, um festzustellen, ob sie die Rechte beider Parteien schützt und die damit verbundenen Risiken mindert. 

***

Dieser Text dient ausschließlich zu Informationszwecken und stellt weder eine Rechtsberatung dar, noch begründet er ein Mandatsverhältnis zwischen dem Leser und dem Rechtsanwalt, der den Textverfasst hat.

[1] Siehe: https://www.pgdlisboa.pt/leis/lei_busca_assunto_diploma.php?buscajur=inform%E1tic&artigo_id=&pagina=1&ficha=1&nid=109&tabela=leis&diplomas=&artigos=&so_miolo=.  

[2] Siehe: https://www.pgdlisboa.pt/leis/lei_mostra_articulado.php?nid=1137&tabela=leis.

[3] Siehe: https://www.pgdlisboa.pt/leis/lei_mostra_articulado.php?nid=775&tabela=leis.