Selten war in den Medien so oft von kriminellen Hackerinnen und Hackern die Rede wie in den letzten Wochen, denn die Hackerangriffe nehmen zu. Es gibt aber auch gute Hacker: Cybersecurityspezialisten, die Schwachstellen suchen und melden.
Von solchen ethischen Hackerinnen profitieren sowohl die Firmen und Organisationen, bei denen Schwachstellen entdeckt werden, als auch deren Kunden und Angestellten. Doch rechtlich bewegen sich ethische Hacker auf dünnem Eis.
Rechtslage: Das gilt
Laut Strafgesetzbuch ist Hacken explizit verboten. Der sogenannte «Hackerparagraph» stellt jeden Versuch eines Eindringens in ein Datenverarbeitungssystem unter Strafe. Dabei ist es egal, ob ein Schaden angerichtet wurde, ob etwas geklaut wurde, oder ob die Hacker gute Absichten hatten.
Ein neues Rechtsgutachten, welches das Nationale Testinstitut für Cybersicherheit (NTC) in Auftrag gegeben hat, zeigt nun: Es gibt einen sehr schmalen Pfad, den ethische Hackerinnen gehen können, um straffrei zu bleiben. Dabei kommt der «rechtfertigende Notstand» ins Spiel: Wer eine Straftat begeht, um dadurch eine noch schlimmere Gefahr abzuwenden, wird nicht bestraft. Das heisst: Wer jemanden hackt, um dadurch einen kriminellen Hackerangriff zu verhindern, kann unter Umständen ohne Strafe davonkommen.
Welche Umstände sind das? Dazu gehört ein sehr vorsichtiges Vorgehen: Das Ziel muss bewusst gewählt werden, der potenzielle Schaden durch einen Angriff müsste ausgesprochen gross sein, und es muss Hinweise geben, dass überhaupt eine Schwachstelle existiert.
Sich einfach in einem System umschauen und ein bisschen ausprobieren, wie das viele Hobby-Hacker machen, liegt also nicht drin. Alles muss sorgfältig geplant und dokumentiert werden, damit es im Falle einer Anklage dem Gericht glaubhaft dargelegt werden kann – denn ob der Rechtfertigungsgrund gerechtfertigt ist, liegt schlussendlich in dessen Ermessen.
Was heisst das jetzt?
Was hat dieses Rechtsgutachten für ethische Hackerinnen in der Schweiz für Folgen?
Für Hobby-Hacker ist eine Rechtfertigung durch den Notstand vermutlich keine Option. Dazu ist zu viel Aufwand nötig, und die Unsicherheit bleibt zu gross. Ethische Hacker sollten sich also weiterhin auf Firmen konzentrieren, die explizit mit ethischen Hackern zusammenarbeiten. Wer bei einer Firma oder Organisation eine Schwachstelle findet, bei der das nicht der Fall ist, könnte im dümmsten Fall vor Gericht landen.
Nützliche Links
Für Firmen bedeutet das: Um von ethischen Hackern profitieren zu können, muss man ein Responsible Disclosure Programm – oder noch besser: ein Bug Bounty Programm – einrichten. Sonst läuft man Gefahr, von Schwachstellen nichts zu erfahren, selbst wenn eine Hackerin sie gefunden hat.
Und für das NTC, welches das Gutachten in Auftrag gegeben hat, heisst es: Es kann mit initiativen Tests von wichtigen Systemen starten. Sehr vorsichtig und eingeschränkt zwar, aber immerhin.
Belgien macht's vor
Dass es auch anders gehen würde, zeigt Belgien: Seit Anfang Jahr erlaubt das Gesetz dort ausdrücklich, dass ethische Hacker belgische Firmen hacken dürfen – wenn sie dabei verhältnismässig vorgehen und die gefundenen Schwachstellen umgehend melden.
Der Technologie-Podcast von SRF über Internet, Smartphones, soziale Netzwerke, Computersicherheit und Games.
Um diesen Podcast zu abonnieren, benötigen Sie eine Podcast-kompatible Software oder App. Wenn Ihre App in der obigen Liste nicht aufgeführt ist, können Sie einfach die Feed-URL in Ihre Podcast-App oder Software kopieren.
