"Sind ethische Hacker Superhelden oder ganz normale Kriminelle?"

20. März 2024 um 07:27
image
Illustration: Erstellt durch inside-it.ch mit Dall-E / GPT-4

In einem juristischen Fachbeitrag hat der Zürcher Staatsanwalt Damian Graf die Frage gestellt, inwiefern sich White Hat Hacker bei ihrer Tätigkeit strafbar machen.

Wenn Unternehmen wie das Spital Thun im Rahmen eines Bug Bounty Programms die Sicherheit ihrer IT-Systeme prüfen lassen wollen, dann lassen sie sich von "Ethical Hackern", auch White Hat genannt, angreifen.
Ob das Vorgehen dieser Hacker legitim ist, selbst wenn es im Rahmen eines Bug-Bounty-Programms stattfindet, hat der Zürcher Staatsanwalt Damian Graf in einem aktuellen Beitrag für den 'Jusletter' (Paywall) erörtert. Er fragt provokativ, ob ethische Hacker "digitale Superhelden oder ganz normale Kriminelle" seien – und antwortet direkt: "Wer ohne Einwilligung und ohne Vorabinformation in ein gesichertes Datenverarbeitungssystem eindringt, kann sich kaum erfolgreich auf einen Rechtfertigungsgrund berufen."
image
Staatsanwalt Damian Graf.
Graf zitiert einleitend den Bundesrat, der das unerlaubte Eindringen in fremde Systeme auch dann als widerrechtlich bezeichnete, wenn ihm eine ethische Absicht zugrunde liegt. Ein offensichtlicher Widerspruch zu einem weiteren Rechtsgutachten des Nationalen Testinstituts für Cybersicherheit (NTC), wonach Straflosigkeit möglich ist, wenn das Eindringen wegen "rechtfertigendem Notstand" passiert.

Betroffene müssen bei Bug Bounty einwilligen

In seinem Beitrag unterscheidet Graf zwischen Eindringen in ein System mit Einwilligung ("Penetration Testing" und "Bug Bounty"-Programme) sowie ohne Einwilligung ("Ethical Hacking").
Bei Ersterem machen sich IT-Sicherheitsdienstleister nicht strafbar, weil sie nicht uneingeladen handeln. Sofern Bug-Bounty-Programme auf einer Website publiziert sind, gelte das als Auslobung, was eine "strafrechtlich verbindliche Einwilligung" darstelle. Beim Pen-Testing und bei Bug-Bounty-Programmen müssen sich sowohl der Dienstleister, als auch der ethische Hacker an den vorgeschriebenen Rahmen halten. Also nur auf die spezifizierten Systeme zielen und nur genannte Methoden nutzen – zum Beispiel auf DDoS-Attacken oder Malware verzichten, wenn diese nicht genannt oder ausgeschlossen werden. Darüber hinaus müssten sämtliche betroffene Personen in das Programm einwilligen, also zum Beispiel der Anbieter der zu testenden Software oder Mitarbeitende, wenn deren E-Mail- oder Social-Media-Accounts durch die Tests eingesehen werden können, schreibt der Autor sinngemäss.

Motivation der Täter ist irrelevant

Liegt keine Einwilligung vor, ist die Strafbarkeit des Angreifers schon bei dessen Versuch laut Graf "zweifellos erfüllt": Die Motivation der Täter sei dabei irrelevant. Unerheblich sei darüber hinaus, "ob der Hacker im Nachgang zur Tatbegehung die Vorgaben einer 'Responsible Disclosure' einhält". Dieses Verfahren, bei dem gefundenen Schwachstellen zuerst den Betroffenen gemeldet und erst im Nachhinein veröffentlicht werden, "macht Unrecht weder rückgängig noch legitimiert es im Nachhinein", schreibt Damian Graf. Das Argument der "unmittelbaren Gefahr", das im zuvor erwähnten Rechtsgutachten genannt wird, sieht Graf nur unter ganz speziellen Bedingungen.
Er schreibt, dass "eine derartige akute Gefahr im Sinne der bisherigen Rechtsprechung im vorliegenden Kontext nur schwerlich vorliegen" würde. Auch die blosse Möglichkeit, ein System könnte lückenbehaftet sein, reiche nicht aus. Es bedürfe konkreter Hinweise, dass eine Vulnerabilität vorliegt. Unproblematisch sei es, wenn dies durch straflose Vorbereitungshandlungen wie "Port Scans" abgeklärt wird, bestätigt Graf gegenüber inside-it.ch. In einer ursprünglichen Version des Beitrags wurde dies mit "Vulnerability Scans" verwechselt, was allerdings korrigiert worden ist.

Ohne Strafantrag keine Verurteilung

Zentral sei, dass die "Unmittelbarkeit der Gefahr bereits zum Zeitpunkt des Tatbeginns" erkennbar sei. Würden White Hat Hacker wahllos ein System wählen, ohne Vorabklärungen getroffen zu haben, könnten sich diese nicht für davor erfolgte Handlungen auf den "Rechtfertigungsgrund des Notstands" berufen.
Den White Hat Hackern kommt zugute, dass Strafantrag gegen sie gestellt werden müsste, um sie zu belangen. Laut Graf dürfe davon ausgegangen werden, dass die meisten Systembetreiber Hinweise dankend annehmen und auf rechtliche Schritte verzichten würden. "Eine Garantie besteht freilich nicht", so Graf. "Es wäre aber am Gesetzgeber, im Sinne eines 'Safe Legal Harbour' entsprechende Rahmenbedingungen zu setzen. Der Bundesrat sieht hier allerdings keinen Handlungsbedarf", heisst es von Graf, obschon andere Länder wie Belgien solche Regelungen gemäss Graf bereits kennen, oder dabei sind, das Gesetz hackerfreundlicher zu gestalten Neben diesen prinzipiellen Überlegungen erwähnt der Autor aber noch mehrere andere Paragrafen und wie sie sich aus seiner Sicht eines Staatsanwalts einsetzen liessen.

Full Disclosure nur in Abstimmung mit Eigentümer

So sieht er etwa eine Urkundenfälschung erwiesen, wenn jemand ein gefundenes Passwort für ein unautorisiertes Login nutzt und danach Systemveränderungen durchführt. Darüber hinaus bedeute eine Full Disclosure, also die technische Beschreibung einer noch nicht geflickten Schwachstelle, für Damian Graf einen Gesetzesverstoss.
Eine solche Veröffentlichung ist ihm zufolge nur in Absprache und nach Einwilligung des Eigentümers statthaft. Dies hat aber potenziell einen Fehlanreiz zur Folge: Ein Betreiber einer unsicheren Webseite kann unter Umständen schlechte Schlagzeilen verhindern, indem er eine Schwachstelle offen lässt. Der Schluss von Graf, der Gesetzgeber müsste den sogenannten Hackerparagrafen überarbeiten, scheint daher stimmig.
Der Artikel entstand unter Mitwirkung von Co-Autor Christian Folini, der als Security Engineer arbeitet und das OWASP CRS-Projekt leitet.


Loading

Mehr zum Thema

image

Kassen kranken offenbar an teurer Informatik

Die Prämien der Krankenkassen steigen wieder einmal an. Experten haben auch die hohen Informatikkosten als eine Ursache ausgemacht.

publiziert am 4.11.2024
image

SBB verlängern Wartungsvertrag für Datennetz

Das Datennetz der SBB soll noch weitere fünf Jahre in Betrieb bleiben. Einen entsprechenden Wartungsvertrag über 77 Millionen Franken hat Nokia zugeschlagen bekommen.

publiziert am 4.11.2024
image

Hacker verkaufen Daten von Temenos Quantum Fabric

In einem Hackerforum werden Daten von Temenos Quantum Fabric angeboten. Das Unternehmen sagt, es untersuche einen Cybersicherheitsvorfall.

publiziert am 4.11.2024
image

US-Behörde untersagt Amazon-Deal mit Atomkraftwerk

In Pennsylvania darf der Konzern keinen zusätzlichen Strom von einem Atomkraftwerk für seine Rechenzentren beziehen.

publiziert am 4.11.2024