"Sind ethische Hacker Superhelden oder ganz normale Kriminelle?"

20. März 2024 um 07:27
image
Illustration: Erstellt durch inside-it.ch mit Dall-E / GPT-4

In einem juristischen Fachbeitrag hat der Zürcher Staatsanwalt Damian Graf die Frage gestellt, inwiefern sich White Hat Hacker bei ihrer Tätigkeit strafbar machen.

Wenn Unternehmen wie das Spital Thun im Rahmen eines Bug Bounty Programms die Sicherheit ihrer IT-Systeme prüfen lassen wollen, dann lassen sie sich von "Ethical Hackern", auch White Hat genannt, angreifen.
Ob das Vorgehen dieser Hacker legitim ist, selbst wenn es im Rahmen eines Bug-Bounty-Programms stattfindet, hat der Zürcher Staatsanwalt Damian Graf in einem aktuellen Beitrag für den 'Jusletter' (Paywall) erörtert. Er fragt provokativ, ob ethische Hacker "digitale Superhelden oder ganz normale Kriminelle" seien – und antwortet direkt: "Wer ohne Einwilligung und ohne Vorabinformation in ein gesichertes Datenverarbeitungssystem eindringt, kann sich kaum erfolgreich auf einen Rechtfertigungsgrund berufen."
image
Staatsanwalt Damian Graf.
Graf zitiert einleitend den Bundesrat, der das unerlaubte Eindringen in fremde Systeme auch dann als widerrechtlich bezeichnete, wenn ihm eine ethische Absicht zugrunde liegt. Ein offensichtlicher Widerspruch zu einem weiteren Rechtsgutachten des Nationalen Testinstituts für Cybersicherheit (NTC), wonach Straflosigkeit möglich ist, wenn das Eindringen wegen "rechtfertigendem Notstand" passiert.

Betroffene müssen bei Bug Bounty einwilligen

In seinem Beitrag unterscheidet Graf zwischen Eindringen in ein System mit Einwilligung ("Penetration Testing" und "Bug Bounty"-Programme) sowie ohne Einwilligung ("Ethical Hacking").
Bei Ersterem machen sich IT-Sicherheitsdienstleister nicht strafbar, weil sie nicht uneingeladen handeln. Sofern Bug-Bounty-Programme auf einer Website publiziert sind, gelte das als Auslobung, was eine "strafrechtlich verbindliche Einwilligung" darstelle. Beim Pen-Testing und bei Bug-Bounty-Programmen müssen sich sowohl der Dienstleister, als auch der ethische Hacker an den vorgeschriebenen Rahmen halten. Also nur auf die spezifizierten Systeme zielen und nur genannte Methoden nutzen – zum Beispiel auf DDoS-Attacken oder Malware verzichten, wenn diese nicht genannt oder ausgeschlossen werden. Darüber hinaus müssten sämtliche betroffene Personen in das Programm einwilligen, also zum Beispiel der Anbieter der zu testenden Software oder Mitarbeitende, wenn deren E-Mail- oder Social-Media-Accounts durch die Tests eingesehen werden können, schreibt der Autor sinngemäss.

Motivation der Täter ist irrelevant

Liegt keine Einwilligung vor, ist die Strafbarkeit des Angreifers schon bei dessen Versuch laut Graf "zweifellos erfüllt": Die Motivation der Täter sei dabei irrelevant. Unerheblich sei darüber hinaus, "ob der Hacker im Nachgang zur Tatbegehung die Vorgaben einer 'Responsible Disclosure' einhält". Dieses Verfahren, bei dem gefundenen Schwachstellen zuerst den Betroffenen gemeldet und erst im Nachhinein veröffentlicht werden, "macht Unrecht weder rückgängig noch legitimiert es im Nachhinein", schreibt Damian Graf. Das Argument der "unmittelbaren Gefahr", das im zuvor erwähnten Rechtsgutachten genannt wird, sieht Graf nur unter ganz speziellen Bedingungen.
Er schreibt, dass "eine derartige akute Gefahr im Sinne der bisherigen Rechtsprechung im vorliegenden Kontext nur schwerlich vorliegen" würde. Auch die blosse Möglichkeit, ein System könnte lückenbehaftet sein, reiche nicht aus. Es bedürfe konkreter Hinweise, dass eine Vulnerabilität vorliegt. Unproblematisch sei es, wenn dies durch straflose Vorbereitungshandlungen wie "Port Scans" abgeklärt wird, bestätigt Graf gegenüber inside-it.ch. In einer ursprünglichen Version des Beitrags wurde dies mit "Vulnerability Scans" verwechselt, was allerdings korrigiert worden ist.

Ohne Strafantrag keine Verurteilung

Zentral sei, dass die "Unmittelbarkeit der Gefahr bereits zum Zeitpunkt des Tatbeginns" erkennbar sei. Würden White Hat Hacker wahllos ein System wählen, ohne Vorabklärungen getroffen zu haben, könnten sich diese nicht für davor erfolgte Handlungen auf den "Rechtfertigungsgrund des Notstands" berufen.
Den White Hat Hackern kommt zugute, dass Strafantrag gegen sie gestellt werden müsste, um sie zu belangen. Laut Graf dürfe davon ausgegangen werden, dass die meisten Systembetreiber Hinweise dankend annehmen und auf rechtliche Schritte verzichten würden. "Eine Garantie besteht freilich nicht", so Graf. "Es wäre aber am Gesetzgeber, im Sinne eines 'Safe Legal Harbour' entsprechende Rahmenbedingungen zu setzen. Der Bundesrat sieht hier allerdings keinen Handlungsbedarf", heisst es von Graf, obschon andere Länder wie Belgien solche Regelungen gemäss Graf bereits kennen, oder dabei sind, das Gesetz hackerfreundlicher zu gestalten Neben diesen prinzipiellen Überlegungen erwähnt der Autor aber noch mehrere andere Paragrafen und wie sie sich aus seiner Sicht eines Staatsanwalts einsetzen liessen.

Full Disclosure nur in Abstimmung mit Eigentümer

So sieht er etwa eine Urkundenfälschung erwiesen, wenn jemand ein gefundenes Passwort für ein unautorisiertes Login nutzt und danach Systemveränderungen durchführt. Darüber hinaus bedeute eine Full Disclosure, also die technische Beschreibung einer noch nicht geflickten Schwachstelle, für Damian Graf einen Gesetzesverstoss.
Eine solche Veröffentlichung ist ihm zufolge nur in Absprache und nach Einwilligung des Eigentümers statthaft. Dies hat aber potenziell einen Fehlanreiz zur Folge: Ein Betreiber einer unsicheren Webseite kann unter Umständen schlechte Schlagzeilen verhindern, indem er eine Schwachstelle offen lässt. Der Schluss von Graf, der Gesetzgeber müsste den sogenannten Hackerparagrafen überarbeiten, scheint daher stimmig.
Der Artikel entstand unter Mitwirkung von Co-Autor Christian Folini, der als Security Engineer arbeitet und das OWASP CRS-Projekt leitet.


Loading

Mehr erfahren

Mehr zum Thema

image

Hausmitteilung: Anmeldung für unseren Event IT-Security im Fokus eröffnet

Künstliche Intelligenz verändert alles, aber wie hilft sie den Cyberkriminellen und bei der Verteidigung von Angriffen? Darüber reden wir am 29. August 2024 in Zürich.

publiziert am 20.3.2024
image

Avanade setzt einen Fuss ins Tessin

Die Niederlassung in Lugano soll Wachstumsmöglichkeiten im Bereich Lifestyle erschliessen.

publiziert am 20.3.2024
image

Netcetera will KI-Know-how bündeln

Unter der Leitung von Fatima Taki schafft die Firma ein "AI Center of Excellence" für geschäftsrelevante und sichere KI-Lösungen.

publiziert am 20.3.2024
image

BIT beschafft ISMS von Gocompliant

Das neue Information Security Management System kostet den Bund rund 14,5 Millionen Franken.

publiziert am 20.3.2024