Cyberangriff auf Zentralverein für das Blindenwesen
Bei einem Angriff auf das IT-Netzwerk sind Daten abgeflossen. Mittlerweile seien die Daten gesichert und die Systeme teilweise wieder hochgefahren worden.
"Die Rechtsgrundlage bei Ethical Hacking ist noch sehr grau"
5. Dezember 2023 um 08:23
Der Bericht des Bundesrats zu Ethical Hacking widerspricht dem Nationalen Testinstitut für Cybersicherheit in einem wichtigen Punkt. Eine Einordnung.
Vergangene Woche verabschiedete der Bundesrat einen Bericht zu Ethical Hacking. Die Regierung findet das grundsätzlich eine gute Sache. Es liefere einen wertvollen Beitrag zur Cybersicherheit in der Schweiz, heisst es darin etwa.
Im Bericht (PDF) heisst es aber auch, dass "unbefugtes Eindringen in fremde Systeme auch dann widerrechtlich ist, wenn ihm eine ethische Absicht zugrunde liegt". In diesem Punkt ist der Bundesrat, beziehungsweise sind die Verfasser aus dem NCSC, offenkundig anderer Meinung als das Nationale Testinstitut für Cybersicherheit (NTC).
Was ist das Rechtsgutachten des NTC wert?
Dieses hatte die Legalität von ethischem Hacking zuletzt in einem Rechtsgutachten abklären lassen. Darin heisst es sinngemäss, dass ethische Hacker auch ohne Auftrag in fremde Systeme eindringen dürfen, wenn sie sich dabei auf den "strafrechtlichen Rechtfertigungsgrund des Notstands" berufen. Ein Konflikt?
Antoine Neuenschwander
Antoine Neuenschwander, technischer Leiter Bug Bounty bei Swisscom, sieht das nicht so eng. "Der NCSC-Bericht und das Rechtsgutachten konvergieren zum Glück bei der Definition von Ethical Hacking." Das Rechtsgutachten beschreibe dabei sehr genau, wo die Grenzen des Erlaubten und der Strafbarkeit verlaufen, so Neuenschwander.
Es gibt für Bug Bounty und Ethical Hacking kaum Rechtssicherheit
Er sagt aber auch, dass "wenn das NTC bei seinen Projekten keine Einwilligung für das Aufspüren von Schwachstellen einholt", dies je nach Eingriff eine Verletzung des Hackerparagrafen darstelle. Allerdings würde der Bericht des Bundesrats "das Strafbarkeitsrisiko der NTC-Vorgehensweise nicht hervorheben, also betonen".
Grundsätzlich findet Neuenschwander, dass die Rechtslage in Sachen Ethical Hacking noch "sehr grau" sei. Obwohl im Pentesting das Vorgehen in einem Vertrag geregelt sei, gebe es auch hier keine absolute Sicherheit. "Beim NTC wird sich vielleicht in Zukunft zeigen, ob der rechtfertigende Notstand gemäss Gutachten von Walder Wyss anwendbar ist." Schliesslich sei ein sicherer Rahmen für private IT-Sicherheitsforscherinnen und -Forscher kaum gegeben.
Tobias Castagna, Leiter Testexperten beim NTC, sagt, dass "das NTC dem Bericht des Bundesrats grundsätzlich positiv gegenübersteht". Weiter dazu äussern wolle man sich allerdings nicht.
Möchten Sie uns unterstützen?
Inside IT steht für unabhängigen und qualitativ hochwertigen Journalismus. Unsere Inhalte sind kostenlos verfügbar und bleiben dies auch weiterhin. Umso mehr würden wir uns freuen, wenn Sie unsere Arbeit und unsere Recherchen mit einem Betrag Ihrer Wahl unterstützen. Vielen Dank!
Loading
Infostealer, ungeschützte Repositories: Aktuelle Security-Trends
Hacker nutzen vermehrt alternative Angriffsmethoden, um Unternehmensnetzwerke zu knacken. Exploits bleiben trotzdem der Hauptangriffsvektor.
Auch das Fedpol setzt auf ein US-Analysetool
Nach den Polizeibehörden in Bern und Zürich beschafft auch der Bund Chainalysis für Krypto-Verfolgungen. Der Auftrag wurde freihändig vergeben.
Swiss Cyber Security Days widmen sich der digitalen Souveränität
Die nächste Ausgabe der SCSD steht unter dem Motto "Digital Sovereignty – The New Frontier". Sie findet im Februar 2026 in Bern statt.