Wann ist "Ethical Hacking" in der Schweiz legal?

26. Juni 2023 um 14:41
  • security
  • gesetz
  • bug bounty
  • ntc
image
Illustration: Midjourney

Laut einem Rechtsgutachten macht man sich straffällig, wenn man ohne Einverständnis in geschützte IT-Systeme eindringt. Aber es kann einen "rechtfertigenden Notstand" geben.

Das Nationale Testinstitut für Cybersicherheit (NTC) hat eine Anwaltskanzlei damit beauftragt, ein Rechtsgutachten zum Thema ethisches Hacken zu verfassen. Das Gutachten der Anwaltskanzlei Walder Wyss unter dem Titel "Strafbarkeit von Ethical Hacking" wurde nun veröffentlicht. Das NTC wolle mit der Veröffentlichung "einen Beitrag zur aktuellen Nationalen Cyberstrategie des Bundes, die ethisches Hacking institutionalisieren will" leisten, schreibt es in einer Medienmitteilung.
Wenn Unternehmen oder Behörden spezialisierte Penetrationstester anstellen oder Bug-Bounty-Programme durchführen, ist dies rechtlich unbedenklich, zumindest wenn sich die ethischen Hacker an die vorgegebenen Regeln halten.
Beim Gutachten geht es aber um sogenannte "Initiativprojekte." Dies sind Fälle, in denen ethische Hacker ohne vorgängige Einwilligung der Besitzer eines Systems Penetrationstests durchführen und so allfällige Lücken in der IT-Security aufzeigen wollen.
Das Fazit des Berichts ist, dass dies gegen den "Hackerparagraphen" im Schweizerischen Strafgesetzbuch (StGB) verstossen kann. Laut Artikel 143 Absatz 1 wird bestraft, "wer auf dem Wege von Datenübertragungseinrichtungen unbefugterweise in ein fremdes, gegen seinen Zugriff besonders gesichertes Datenverarbeitungssystem eindringt". Dabei sei es für den Tatbestand unerheblich, mit welcher Motivation die Tat begangen verübt werde.
Der Gesetzgeber wolle mit diesem Paragraphen den "Computerfrieden" sicherstellen. Damit sei die Freiheit des Besitzers eines IT-Systems gemeint, selbst darüber zu entscheiden, wem er den Zugang zu seinen gesicherten Computersystemen und den dort vorhandenen Daten gewährt.

Der "rechtfertigende Notstand"

Aber eben: Initiativprojekte können strafbar sein, müssen aber nicht. Das Stichwort hierzu heisst "rechtfertigender Notstand". Im Artikel 17 des StGB heisst es, dass ein solcher Notstand vorliegt, wenn die eigentlich strafbare Handlung begangen wurde, um ein eigenes oder das Rechtsgut eines Dritten vor einer unmittelbaren und nicht anders abwendbaren Gefahr zu schützen, so das Gutachten.
Auf einen ungefragten Penetrationstest bezogen, bedeutet dies kurz zusammengefasst, dass man den Computerfrieden ungestraft stören kann, wenn man dadurch den Betroffenen vor einer noch grösseren unmittelbaren Gefahr für seinen Computerfrieden bewahren kann. Dies beispielsweise, indem der ethische Hacker eine schwere Sicherheitslücke aufdeckt und diese dem Betroffenen mitteilt.
Die Unmittelbarkeit der Gefahr ergebe sich bei gefährdeten Datenverarbeitungssystemen aus einem über längere Zeit andauernden gefährlichen Zustand, der jederzeit zu einem Schaden, beispielsweise einem Hackerangriff, führen könnte, argumentiert die Anwaltskanzlei.
Der Penetrationstest müsse aber das mildeste mögliche Mittel zur Gefahrenabwehr darstellen. Zudem müssten die ethischen Hacker die Bedrohungslage kennen und es sollten konkrete Anzeichen dafür bestehen, dass ein getestetes System von einer potenziellen Sicherheitslücke betroffen ist, welche auch böswillige Eingriffe ermöglicht.
Zu guter Letzt müssen die vorhandenen Sicherheitslücken nicht nur aufgedeckt, sondern auch dokumentiert und den Betreibern der Zielsysteme mitgeteilt werden, damit diese die Gefahr beheben können.
Auf der Website des NTC kann man sowohl eine Zusammenfassung als auch das komplette Gutachten kostenlos herunterladen.
Das seit 2020 bestehende NTC ist das nationale Kompetenzzentrum für die unabhängige Prüfung der Cybersicherheit und Vertrauenswürdigkeit von digitalen Produkten und vernetzten Infrastrukturen. Das Test- und Prüflabor im Kanton Zug arbeitet mit Forschungseinrichtungen, privaten Unternehmen und internationalen Experten zusammen.
Das Nationale Testinstitut für Cybersicherheit NTC testet, was sonst nicht getestet wird. Es untersucht digitale Produkte und Infrastrukturen, die nicht oder nicht ausreichend geprüft werden - auch auf eigene Initiative. Das Aufspüren von Sicherheitslücken ohne ausdrücklichen Auftrag und ohne Einwilligung ist nach schweizerischem Recht strafbar, sobald die Zugangssicherung eines fremden Systems überwunden oder der Versuch dazu unternommen wird. Zudem stellt das Strafgesetzbuch die Manipulation und Veränderung von Daten unter Strafe.

Loading

Mehr zum Thema

image

Crowdstrike-Desaster, Ransomware-Angriffe und ein Datenleck im Sport

Ein fehlerhaftes Crowdstrike-Update, Cyberangriffe auf Schweizer IT-Firmen, ein Breach bei Datasport: Das sorgte im letzten Jahr für Aufmerksamkeit im Bereich Cybersecurity.

publiziert am 30.12.2024
image

Vidymed leidet weiterhin unter Folgen des Cyberangriffs

Die Waadtländer Praxisgruppe wurde vor mehr als einer Woche attackiert. Krankenakten können immer noch nicht eingesehen werden.

publiziert am 20.12.2024
image

Medion: Es ist wohl doch ein Hack

Die Ransomware-Bande Black Basta droht mit der Veröffentlichung von Daten, darunter auch Daten aus der Schweiz. Medion spricht aber weiterhin nur von einer IT-Störung.

publiziert am 19.12.2024
image

KI-Modelle weisen Sicherheitslücken auf

Forschende der EPFL erreichten mit Jailbreak-Angriffen auf Claude, GPT-4 und weitere Modelle eine Erfolgsquote von 100%.

publiziert am 19.12.2024