"Ethisches Hacking birgt enormes Potenzial, die Cybersicherheit zu verbessern", schreibt der Bundesrat in einem aktuellen Bericht zum Thema (
PDF). Die Förderung des ethischen Hackens sei eine der wichtigsten Massnahmen, um bestehende Schwachstellen rechtzeitig zu erkennen und zu beheben.
Der Bundesrat beziehungsweise das Nationale Zentrum für Cybersicherheit (NCSC), welches offensichtlich der Verfasser des Berichts ist, steht ethischem Hacking also sehr positiv gegenüber. Es leiste einen wertvollen Beitrag und sei auch aus ökonomischer Perspektive sinnvoll. "Besonders attraktiv sind dabei Programme, bei denen Hacker ermuntert werden, Schwachstellen zu suchen und zu melden, ohne dass sie dafür direkt beauftragt werden", heisst es weiter – und liefert damit quasi eine Tätigkeitsbeschreibung des Nationalen Testinstituts für Cybersicherheit. Dieses hatte die Legalität von ethischem Hacken zuletzt
in einem Rechtsgutachten abklären lassen.
Der Bericht geht auf
ein Postulat der ehemaligen GLP-Nationalrätin Judith Bellaiche zurück, welches der Nationalrat am 19. März 20221 angenommen hatte. Er wurde damit beauftragt, aufzuzeigen, wie das ethische Hacking als Grundsatz für die Erhöhung der Cybersicherheit institutionalisiert und in der Bundesverwaltung und in bundesnahen Betrieben gefördert werden kann.
Einschränkend heisst es im Bericht, dass ethisches Hacking nicht mit Altruismus gleichgesetzt werden dürfe. Es sei für die Hackerinnen und Hacker wichtig zu wissen, "was sie bei einer Meldung von Schwachstellen erwarten können". Mit "Was" meint der Bericht eine konkrete Geldsumme. Klare Bedingungen und Transparenz, welche Belohnungen für welche Funde ausgerichtet werden, seien wichtig. Entscheidend für den Erfolg von ethischem Hacking seien "möglichst klare Rahmenbedingungen".
Rechtliche Grundlagen bereits geregelt
Die rechtlichen Grundlagen für ethisches Hacking verortet der Bericht im revidierten Informationssicherheitsgesetz, welches unter anderem die
Meldepflicht bei Cyberangriffen auf kritische Infrastrukturen regelt. Weil diese dem NCSC gemeldet werden müssen, nehme die Behörde auch eine "aktive Rolle bei der Förderung des ethischen Hackings" ein. Gleichzeitig liefere das Gesetz einen "Rahmen für das korrekte Vorgehen bei Meldungen von Schwachstellen an den Bund".
Das künftige Bundesamt für Cybersicherheit (Bacs) werde eine aktive Rolle bei der koordinierten Offenlegung von Schwachstellen übernehmen. In der Wirtschaft seien regulatorische Massnahmen, wie die Verpflichtung von Unternehmen zur Durchführung von Bug-Bounty -Programmen, "angesichts der positiven Entwicklung nicht nötig". Nötig sei aber, dass bekannte Schwachstellen geschlossen werden. Passiere das nicht, "nützt es wenig, wenn sie zuvor von ethischen Hackern gefunden und über einen Prozess der koordinierten Offenlegung korrekt bekannt gemacht wurden", schliesst der Bericht.
Möchten Sie uns unterstützen?
Inside IT steht für unabhängigen und qualitativ hochwertigen Journalismus. Unsere Inhalte sind kostenlos verfügbar und bleiben dies auch weiterhin. Umso mehr würden wir uns freuen, wenn Sie unsere Arbeit und unsere Recherchen mit einem Betrag Ihrer Wahl unterstützen. Vielen Dank!