Zum Inhalt springen

Ethische Hacker Ist Hacken strafbar, auch wenn es gut gemeint ist?

Ein neues Rechtsgutachten zeigt, wie ethische Hackerinnen und Hacker straffrei bleiben können. Doch der Rahmen ist sehr eng.

Selten war in den Medien so oft von kriminellen Hackerinnen und Hackern die Rede wie in den letzten Wochen, denn die Hackerangriffe nehmen zu. Es gibt aber auch gute Hacker: Cybersecurityspezialisten, die Schwachstellen suchen und melden.

Ein weisser Strohhut an einem Verkaufsstand
Legende: Hüte statt Kapuzen: Ethische Hacker werden auch «White Hat Hacker» genannt – im Gegensatz zu den kriminellen Hackern, den «Black Hats». Dazwischen gibt es noch jene, die sich im Graubereich bewegen: die «Grey Hats». imago images

Von solchen ethischen Hackerinnen profitieren sowohl die Firmen und Organisationen, bei denen Schwachstellen entdeckt werden, als auch deren Kunden und Angestellten. Doch rechtlich bewegen sich ethische Hacker auf dünnem Eis.

Rechtslage: Das gilt

Laut Strafgesetzbuch ist Hacken explizit verboten. Der sogenannte «Hackerparagraph» stellt jeden Versuch eines Eindringens in ein Datenverarbeitungssystem unter Strafe. Dabei ist es egal, ob ein Schaden angerichtet wurde, ob etwas geklaut wurde, oder ob die Hacker gute Absichten hatten.

Der Hackerparagraph

Box aufklappen Box zuklappen

Strafgesetzbuch Art. 143bis:
Unbefugtes Eindringen in ein Datenverarbeitungssystem

1  Wer auf dem Wege von Datenübertragungseinrichtungen unbefugterweise in ein fremdes, gegen seinen Zugriff besonders gesichertes Datenverarbeitungssystem eindringt, wird, auf Antrag, mit Freiheitsstrafe bis zu drei Jahren oder Geldstrafe bestraft.

2  Wer Passwörter, Programme oder andere Daten, von denen er weiss oder annehmen muss, dass sie zur Begehung einer strafbaren Handlung gemäss Absatz 1 verwendet werden sollen, in Verkehr bringt oder zugänglich macht, wird mit Freiheitsstrafe bis zu drei Jahren oder Geldstrafe bestraft.

Ein neues Rechtsgutachten , welches das Nationale Testinstitut für Cybersicherheit (NTC) in Auftrag gegeben hat, zeigt nun: Es gibt einen sehr schmalen Pfad, den ethische Hackerinnen gehen können, um straffrei zu bleiben. Dabei kommt der «rechtfertigende Notstand» ins Spiel: Wer eine Straftat begeht, um dadurch eine noch schlimmere Gefahr abzuwenden, wird nicht bestraft. Das heisst: Wer jemanden hackt, um dadurch einen kriminellen Hackerangriff zu verhindern, kann unter Umständen ohne Strafe davonkommen.

Der rechtfertigende Notstand

Box aufklappen Box zuklappen

Strafgesetzbuch Art. 17

Wer eine mit Strafe bedrohte Tat begeht, um ein eigenes oder das Rechts­gut einer anderen Person aus einer unmittelbaren, nicht anders ab­wendbaren Gefahr zu retten, handelt rechtmässig, wenn er dadurch höherwertige Interessen wahrt.

Welche Umstände sind das? Dazu gehört ein sehr vorsichtiges Vorgehen: Das Ziel muss bewusst gewählt werden, der potenzielle Schaden durch einen Angriff müsste ausgesprochen gross sein, und es muss Hinweise geben, dass überhaupt eine Schwachstelle existiert.

Sich einfach in einem System umschauen und ein bisschen ausprobieren, wie das viele Hobby-Hacker machen, liegt also nicht drin. Alles muss sorgfältig geplant und dokumentiert werden, damit es im Falle einer Anklage dem Gericht glaubhaft dargelegt werden kann – denn ob der Rechtfertigungsgrund gerechtfertigt ist, liegt schlussendlich in dessen Ermessen.

Was heisst das jetzt?

Was hat dieses Rechtsgutachten für ethische Hackerinnen in der Schweiz für Folgen?

Für Hobby-Hacker ist eine Rechtfertigung durch den Notstand vermutlich keine Option. Dazu ist zu viel Aufwand nötig, und die Unsicherheit bleibt zu gross. Ethische Hacker sollten sich also weiterhin auf Firmen konzentrieren, die explizit mit ethischen Hackern zusammenarbeiten. Wer bei einer Firma oder Organisation eine Schwachstelle findet, bei der das nicht der Fall ist, könnte im dümmsten Fall vor Gericht landen.

Nützliche Links

Für Firmen bedeutet das: Um von ethischen Hackern profitieren zu können, muss man ein Responsible Disclosure Programm – oder noch besser: ein Bug Bounty Programm – einrichten. Sonst läuft man Gefahr, von Schwachstellen nichts zu erfahren, selbst wenn eine Hackerin sie gefunden hat.

Das NTC: Hacken für einen guten Zweck

Box aufklappen Box zuklappen

Das NTC testet, was sonst nicht getestet wird: Die Non-Profit-Organisation überprüft die digitale Sicherheit gesellschaftsrelevanter Systeme – bald auch, indem es sie hackt.

Und für das NTC , welches das Gutachten in Auftrag gegeben hat, heisst es: Es kann mit initiativen Tests von wichtigen Systemen starten. Sehr vorsichtig und eingeschränkt zwar, aber immerhin.

Belgien macht's vor

Dass es auch anders gehen würde, zeigt Belgien: Seit Anfang Jahr erlaubt das Gesetz dort ausdrücklich, dass ethische Hacker belgische Firmen hacken dürfen – wenn sie dabei verhältnismässig vorgehen und die gefundenen Schwachstellen umgehend melden.

SRF 3, 11.7.2023 10:45 Uhr

Meistgelesene Artikel