Illustration: Erstellt durch inside-it.ch mit Dall-E / GPT-4
In einem juristischen Fachbeitrag hat der Zürcher Staatsanwalt Damian Graf die Frage gestellt, inwiefern sich White Hat Hacker bei ihrer Tätigkeit strafbar machen.
Ob das Vorgehen dieser Hacker legitim ist, selbst wenn es im Rahmen eines Bug-Bounty-Programms stattfindet, hat der Zürcher Staatsanwalt Damian Graf in einem aktuellen Beitrag für den 'Jusletter' (Paywall) erörtert. Er fragt provokativ, ob ethische Hacker "digitale Superhelden oder ganz normale Kriminelle" seien – und antwortet direkt: "Wer ohne Einwilligung und ohne Vorabinformation in ein gesichertes Datenverarbeitungssystem eindringt, kann sich kaum erfolgreich auf einen Rechtfertigungsgrund berufen."
In seinem Beitrag unterscheidet Graf zwischen Eindringen in ein System mit Einwilligung ("Penetration Testing" und "Bug Bounty"-Programme) sowie ohne Einwilligung ("Ethical Hacking").
Bei Ersterem machen sich IT-Sicherheitsdienstleister nicht strafbar, weil sie nicht uneingeladen handeln. Sofern Bug-Bounty-Programme auf einer Website publiziert sind, gelte das als Auslobung, was eine "strafrechtlich verbindliche Einwilligung" darstelle. Beim Pen-Testing und bei Bug-Bounty-Programmen müssen sich sowohl der Dienstleister, als auch der ethische Hacker an den vorgeschriebenen Rahmen halten. Also nur auf die spezifizierten Systeme zielen und nur genannte Methoden nutzen – zum Beispiel auf DDoS-Attacken oder Malware verzichten, wenn diese nicht genannt oder ausgeschlossen werden. Darüber hinaus müssten sämtliche betroffene Personen in das Programm einwilligen, also zum Beispiel der Anbieter der zu testenden Software oder Mitarbeitende, wenn deren E-Mail- oder Social-Media-Accounts durch die Tests eingesehen werden können, schreibt der Autor sinngemäss.
Motivation der Täter ist irrelevant
Liegt keine Einwilligung vor, ist die Strafbarkeit des Angreifers schon bei dessen Versuch laut Graf "zweifellos erfüllt": Die Motivation der Täter sei dabei irrelevant. Unerheblich sei darüber hinaus, "ob der Hacker im Nachgang zur Tatbegehung die Vorgaben einer 'Responsible Disclosure' einhält". Dieses Verfahren, bei dem gefundenen Schwachstellen zuerst den Betroffenen gemeldet und erst im Nachhinein veröffentlicht werden, "macht Unrecht weder rückgängig noch legitimiert es im Nachhinein", schreibt Damian Graf. Das Argument der "unmittelbaren Gefahr", das im zuvor erwähnten Rechtsgutachten genannt wird, sieht Graf nur unter ganz speziellen Bedingungen.
Er schreibt, dass "eine derartige akute Gefahr im Sinne der bisherigen Rechtsprechung im vorliegenden Kontext nur schwerlich vorliegen" würde. Auch die blosse Möglichkeit, ein System könnte lückenbehaftet sein, reiche nicht aus. Es bedürfe konkreter Hinweise, dass eine Vulnerabilität vorliegt. Unproblematisch sei es, wenn dies durch straflose Vorbereitungshandlungen wie "Port Scans" abgeklärt wird, bestätigt Graf gegenüber inside-it.ch. In einer ursprünglichen Version des Beitrags wurde dies mit "Vulnerability Scans" verwechselt, was allerdings korrigiert worden ist.
Ohne Strafantrag keine Verurteilung
Zentral sei, dass die "Unmittelbarkeit der Gefahr bereits zum Zeitpunkt des Tatbeginns" erkennbar sei. Würden White Hat Hacker wahllos ein System wählen, ohne Vorabklärungen getroffen zu haben, könnten sich diese nicht für davor erfolgte Handlungen auf den "Rechtfertigungsgrund des Notstands" berufen.
Den White Hat Hackern kommt zugute, dass Strafantrag gegen sie gestellt werden müsste, um sie zu belangen. Laut Graf dürfe davon ausgegangen werden, dass die meisten Systembetreiber Hinweise dankend annehmen und auf rechtliche Schritte verzichten würden. "Eine Garantie besteht freilich nicht", so Graf. "Es wäre aber am Gesetzgeber, im Sinne eines 'Safe Legal Harbour' entsprechende Rahmenbedingungen zu setzen. Der Bundesrat sieht hier allerdings keinen Handlungsbedarf", heisst es von Graf, obschon andere Länder wie Belgien solche Regelungen gemäss Graf bereits kennen, oder dabei sind, das Gesetz hackerfreundlicher zu gestalten
Neben diesen prinzipiellen Überlegungen erwähnt der Autor aber noch mehrere andere Paragrafen und wie sie sich aus seiner Sicht eines Staatsanwalts einsetzen liessen.
Full Disclosure nur in Abstimmung mit Eigentümer
So sieht er etwa eine Urkundenfälschung erwiesen, wenn jemand ein gefundenes Passwort für ein unautorisiertes Login nutzt und danach Systemveränderungen durchführt. Darüber hinaus bedeute eine Full Disclosure, also die technische Beschreibung einer noch nicht geflickten Schwachstelle, für Damian Graf einen Gesetzesverstoss.
Eine solche Veröffentlichung ist ihm zufolge nur in Absprache und nach Einwilligung des Eigentümers statthaft. Dies hat aber potenziell einen Fehlanreiz zur Folge: Ein Betreiber einer unsicheren Webseite kann unter Umständen schlechte Schlagzeilen verhindern, indem er eine Schwachstelle offen lässt. Der Schluss von Graf, der Gesetzgeber müsste den sogenannten Hackerparagrafen überarbeiten, scheint daher stimmig.
Der Artikel entstand unter Mitwirkung von Co-Autor Christian Folini, der als Security Engineer arbeitet und das OWASP CRS-Projekt leitet.