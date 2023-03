Belgien will ethischen Hackern die Hand reichen. Das nationale Center for Cyber Security (CCB) hat rechtliche Vorgaben für das Melden von Sicherheitslücken in Systemen, Netzwerken und Anwendungen publiziert. Das Safe Harbor Framework soll in ganz Belgien Schutz vor Strafverfolgung garantieren, wenn sich Hacker an die Vorgaben halten.

Damit geht Belgien weit. Es sei nach Holland, Litauen und Frankreich das vierte Land in Europa, das allgemeingültige Regeln erlasse, sagt Florian Badertscher, CTO von Bug Bounty Switzerland. Firmen, Organisationen und Behörden würden damit vor fertige Tatsachen gestellt, ob sie bereit seien oder nicht, so der Security-Spezialist.

Denn das Regelwerk gilt sowohl für behördliche, als auch für privatwirtschaftlich betriebene IT-Systeme. Es soll vor allem zum Tragen kommen, wenn eine Organisation keine eigene Vulnerability Disclosure Policy (VDP) veröffentlicht hat – ein hauseigenes Regelwerk, wie Lücken zu melden sind.

Umgehende Benachrichtigung der Verantwortlichen der verwundbaren Technologie, mindestens zur gleichen Zeit wie das CCB

Übermittlung eines schriftlichen Schwachstellenberichts an das CCB, in einem vorgeschriebenen Format und so rasch wie möglich

Vorgehen ohne betrügerische Absicht oder die Absicht zu schaden

Informationen über die Schwachstelle und die gefährdeten Systeme nicht ohne die Zustimmung des CCB öffentlich bekannt geben

In einem fremden System nur jene Handlungen vollziehen, die nötig sind, um eine Schwachstelle nachzuweisen

Wie gut schützt das neue Framework?

Florian Badertscher

Der letzte Punkt ist immer wieder Gegenstand von Diskussionen: Welche Aktionen sind nötig, um eine Schwachstelle nachzuweisen? Festgehalten wird vom CCB, dass der unberechtigte Zugriff auf Systeme, Veränderungen oder der Diebstahl von Daten, die Entwicklung von Hacking-Tools sowie das unbefugte Eindringen oder die Erweiterung von Befugnissen in Computersysteme grundsätzlich verboten seien. Sie könnten aber als gerechtfertigt eingestuft werden , um eine Schwachstelle zu identifizieren oder nachzuweisen. Man solle hier nur so weit gegen das Gesetz verstossen, wie es unbedingt nötig sei, so das belgische CCB. DDoS-Angriffe, Phishing, Social Engineering und Spamming, Brute-Force-Attacken oder die Installation von Malware sind strikt untersagt.

Wer sich an die Regeln hält, soll von der Strafverfolgung wegen "Computer Hacking" geschützt werden, das in Belgien in mehreren Paragrafen geregelt ist. Das Land sieht bei Verstössen bis zu 5 Jahren Gefängnis vor. Im Streitfall wird aber auch in Belgien ein Gericht entscheiden müssen. Vom CCB heisst es dazu etwas vage: "Unter der Voraussetzung, dass Sie alle Bedingungen strikt einhalten, kann in begrenztem Umfang ein Rechtfertigungsgrund für die Straftatbestände angenommen werden."

Die Schweiz geht einen anderen Weg

Wie gut das Safe Harbor Framework Hacker wirklich schütze, sei von aussen schwierig zu beurteilen, sagt Badertscher. Das belgische Framework sei ein grosser Schritt nach vorne, es gebe aber auch andere Wege, um White-Hat-Hackern etwas mehr Rechtssicherheit zu versprechen.