Das Nationale Testinstitut für Cybersicherheit (NTC) hat eine Anwaltskanzlei damit beauftragt, ein Rechtsgutachten zum Thema ethisches Hacken zu verfassen. Das Gutachten der Anwaltskanzlei Walder Wyss unter dem Titel "Strafbarkeit von Ethical Hacking" wurde nun veröffentlicht. Das NTC wolle mit der Veröffentlichung "einen Beitrag zur aktuellen Nationalen Cyberstrategie des Bundes, die ethisches Hacking institutionalisieren will" leisten, schreibt es in einer Medienmitteilung.
Wenn Unternehmen oder Behörden spezialisierte Penetrationstester anstellen oder Bug-Bounty-Programme durchführen, ist dies rechtlich unbedenklich, zumindest wenn sich die ethischen Hacker an die vorgegebenen Regeln halten.
Beim Gutachten geht es aber um sogenannte "Initiativprojekte." Dies sind Fälle, in denen ethische Hacker ohne vorgängige Einwilligung der Besitzer eines Systems Penetrationstests durchführen und so allfällige Lücken in der IT-Security aufzeigen wollen.
Das Fazit des Berichts ist, dass dies gegen den "Hackerparagraphen" im Schweizerischen Strafgesetzbuch (StGB) verstossen kann. Laut Artikel 143 Absatz 1 wird bestraft, "wer auf dem Wege von Datenübertragungseinrichtungen unbefugterweise in ein fremdes, gegen seinen Zugriff besonders gesichertes Datenverarbeitungssystem eindringt". Dabei sei es für den Tatbestand unerheblich, mit welcher Motivation die Tat begangen verübt werde.
Der Gesetzgeber wolle mit diesem Paragraphen den "Computerfrieden" sicherstellen. Damit sei die Freiheit des Besitzers eines IT-Systems gemeint, selbst darüber zu entscheiden, wem er den Zugang zu seinen gesicherten Computersystemen und den dort vorhandenen Daten gewährt.
Der "rechtfertigende Notstand"
Aber eben: Initiativprojekte können strafbar sein, müssen aber nicht. Das Stichwort hierzu heisst "rechtfertigender Notstand". Im Artikel 17 des StGB heisst es, dass ein solcher Notstand vorliegt, wenn die eigentlich strafbare Handlung begangen wurde, um ein eigenes oder das Rechtsgut eines Dritten vor einer unmittelbaren und nicht anders abwendbaren Gefahr zu schützen, so das Gutachten.
Auf einen ungefragten Penetrationstest bezogen, bedeutet dies kurz zusammengefasst, dass man den Computerfrieden ungestraft stören kann, wenn man dadurch den Betroffenen vor einer noch grösseren unmittelbaren Gefahr für seinen Computerfrieden bewahren kann. Dies beispielsweise, indem der ethische Hacker eine schwere Sicherheitslücke aufdeckt und diese dem Betroffenen mitteilt.
Die Unmittelbarkeit der Gefahr ergebe sich bei gefährdeten Datenverarbeitungssystemen aus einem über längere Zeit andauernden gefährlichen Zustand, der jederzeit zu einem Schaden, beispielsweise einem Hackerangriff, führen könnte, argumentiert die Anwaltskanzlei.
Der Penetrationstest müsse aber das mildeste mögliche Mittel zur Gefahrenabwehr darstellen. Zudem müssten die ethischen Hacker die Bedrohungslage kennen und es sollten konkrete Anzeichen dafür bestehen, dass ein getestetes System von einer potenziellen Sicherheitslücke betroffen ist, welche auch böswillige Eingriffe ermöglicht.
Zu guter Letzt müssen die vorhandenen Sicherheitslücken nicht nur aufgedeckt, sondern auch dokumentiert und den Betreibern der Zielsysteme mitgeteilt werden, damit diese die Gefahr beheben können.
Das seit 2020 bestehende NTC ist das nationale Kompetenzzentrum für die unabhängige Prüfung der Cybersicherheit und Vertrauenswürdigkeit von digitalen Produkten und vernetzten Infrastrukturen. Das Test- und Prüflabor im Kanton Zug arbeitet mit Forschungseinrichtungen, privaten Unternehmen und internationalen Experten zusammen.
Das Nationale Testinstitut für Cybersicherheit NTC testet, was sonst nicht getestet wird. Es untersucht digitale Produkte und Infrastrukturen, die nicht oder nicht ausreichend geprüft werden - auch auf eigene Initiative. Das Aufspüren von Sicherheitslücken ohne ausdrücklichen Auftrag und ohne Einwilligung ist nach schweizerischem Recht strafbar, sobald die Zugangssicherung eines fremden Systems überwunden oder der Versuch dazu unternommen wird. Zudem stellt das Strafgesetzbuch die Manipulation und Veränderung von Daten unter Strafe.