"Die Rechtsgrundlage bei Ethical Hacking ist noch sehr grau"

5. Dezember 2023 um 08:23
  • security
  • Regulierung
  • bund
  • cyberangriff
  • ntc
image
Foto: Sangga Rima Roman Selia / Unsplash

Der Bericht des Bundesrats zu Ethical Hacking widerspricht dem Nationalen Testinstitut für Cybersicherheit in einem wichtigen Punkt. Eine Einordnung.

Vergangene Woche verabschiedete der Bundesrat einen Bericht zu Ethical Hacking. Die Regierung findet das grundsätzlich eine gute Sache. Es liefere einen wertvollen Beitrag zur Cybersicherheit in der Schweiz, heisst es darin etwa.
Im Bericht (PDF) heisst es aber auch, dass "unbefugtes Eindringen in fremde Systeme auch dann widerrechtlich ist, wenn ihm eine ethische Absicht zugrunde liegt". In diesem Punkt ist der Bundesrat, beziehungsweise sind die Verfasser aus dem NCSC, offenkundig anderer Meinung als das Nationale Testinstitut für Cybersicherheit (NTC).

Was ist das Rechtsgutachten des NTC wert?

Dieses hatte die Legalität von ethischem Hacking zuletzt in einem Rechtsgutachten abklären lassen. Darin heisst es sinngemäss, dass ethische Hacker auch ohne Auftrag in fremde Systeme eindringen dürfen, wenn sie sich dabei auf den "strafrechtlichen Rechtfertigungsgrund des Notstands" berufen. Ein Konflikt?
image
Antoine Neuenschwander
Antoine Neuenschwander, technischer Leiter Bug Bounty bei Swiss­com, sieht das nicht so eng. "Der NCSC-Bericht und das Rechts­gut­achten kon­vergieren zum Glück bei der Definition von Ethical Hacking." Das Rechts­gut­achten beschreibe dabei sehr genau, wo die Grenzen des Erlaubten und der Straf­barkeit verlaufen, so Neuen­schwander.

Es gibt für Bug Bounty und Ethical Hacking kaum Rechtssicherheit

Er sagt aber auch, dass "wenn das NTC bei seinen Projekten keine Einwilligung für das Aufspüren von Schwachstellen einholt", dies je nach Eingriff eine Verletzung des Hackerparagrafen darstelle. Allerdings würde der Bericht des Bundesrats "das Strafbarkeitsrisiko der NTC-Vorgehensweise nicht hervorheben, also betonen".
Grundsätzlich findet Neuenschwander, dass die Rechtslage in Sachen Ethical Hacking noch "sehr grau" sei. Obwohl im Pentesting das Vorgehen in einem Vertrag geregelt sei, gebe es auch hier keine absolute Sicherheit. "Beim NTC wird sich vielleicht in Zukunft zeigen, ob der rechtfertigende Notstand gemäss Gutachten von Walder Wyss anwendbar ist." Schliesslich sei ein sicherer Rahmen für private IT-Sicherheitsforscherinnen und -Forscher kaum gegeben.
Tobias Castagna, Leiter Testexperten beim NTC, sagt, dass "das NTC dem Bericht des Bundesrats grundsätzlich positiv gegenübersteht". Weiter dazu äussern wolle man sich allerdings nicht.

Möchten Sie uns unterstützen?

Inside IT steht für unabhängigen und qualitativ hochwertigen Journalismus. Unsere Inhalte sind kostenlos verfügbar und bleiben dies auch weiterhin. Umso mehr würden wir uns freuen, wenn Sie unsere Arbeit und unsere Recherchen mit einem Betrag Ihrer Wahl unterstützen. Vielen Dank!
Jetzt unterstützen



Loading

Mehr zum Thema

image

Cyberkriminelle stehlen schützenswerte Daten von Franz Carl Weber

Die Ransomware-Bande Black Basta behauptet, über 700 GB an Daten des Spielwaren-Händlers ergaunert zu haben. Darunter finden sich vor allem persönliche Daten von Angestellten. Das Mutterhaus bestätigt den Angriff.

publiziert am 1.3.2024 1
image

Vogt am Freitag: "Wir nehmen das ernst"

Cyberangriffe auf Unternehmen zeigen, wie fahrlässig diese mit schützenswerten Daten umgehen. Die meisten nehmen das Thema erst dann ernst, wenn es zu spät ist. Wenn überhaupt.

publiziert am 1.3.2024 1
image

EU-Parlament beschliesst Online-Ausweis

Das Parlament hat der eIDAS-Verordnung endgültig grünes Licht gegeben. Damit ist der Weg für eine EU Digital Identity Wallet geebnet.

publiziert am 1.3.2024
image

Zürcher Securosys stellt Sicherheits­modul für Post-Quantum-Welt vor

Das neue Hardware-Sicherheitsmodul (HSM) unterstützt aktuelle wie auch die neuen Quanten-sicheren Algorithmen und soll sich so für den hybriden Einsatz eignen.

publiziert am 1.3.2024