EDÖB gibt ethischen Hackern Empfehlungen für datenschutzgerechtes Handeln

Wenn ethische Hacker IT-Systeme angreifen, haben sie dabei nur gute Absichten. Dennoch können die White Hat Hacker, wie sie auch genannt werden, mit ihren Aktivitäten sehr schnell die hiesigen Gesetze übertreten.

Nun hat sich der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) mit den Aktivitäten solcher ethischer Hacker befasst. Dabei entstanden ist ein Merkblatt mit Handlungsvorschlägen, mit denen die Behörde "sie für den rechtlichen und insbesondere datenschutzrechtlichen Rahmen sensibilisieren" will.

Ergänzung zu NCSC-Regeln

Die Aktivitäten der White Hat Hacker (WHH) selbst wolle man nicht werten, hält der EDÖB im Merkblatt weiter fest. Und er stellt klar, dass sich das Dokument ausschliesslich an Leute richtet, die sich "wohlgesinnt um das Aufspüren von Sicherheitslücken" bemühen, jedoch auch "ohne jegliche Grundlage und ohne Wissen des Systembetreibers handeln". Aktivistisches Hacken, etwa das Blockieren einer Website zu Protestzwecken, gehört ebenso wenig in die Definition wie das Hacken eines Systems, um Daten für die persönliche Nutzung abzugreifen. Auch WHH, die mit Einverständnis des Systembetreibers handeln, sind nicht Gegenstand des Merkblattes.

Sodann erinnert der EDÖB an die vom Nationalen Zentrum für Cybersicherheit (NCSC) eingerichtete Meldeplattform für die koordinierte Offenlegung von Schwachstellem (Coordinated Vulnerability Disclosure, CVD) und merkt an, die dort gelisteten Rahmenbedingungen und Regeln seien als Ergänzung zu seinem Merkblatt zu verstehen.

Grundsätze und Risiken

Im Abschnitt zur rechtlichen Situation hält der Datenschutzbeauftragte fest, dass WHH im Sinne des neuen Datenschutzgesetzes Daten bearbeiten, sobald sie etwa über eine Sicherheitslücke Personendaten einsehen, herunterladen oder speichern. Halten sie beim Bearbeiten nicht gewisse Grundsätze ein, "müssen sie sich bewusst sein, dass die Bearbeitung a priori rechtswidrig ist, selbst wenn sie dem Idealbild eines WHH entsprechen." Zu diesen Grundsätzen gehören etwa der Grundsatz der Rechtmässigkeit, jener von Treu und Glauben, der Zweckbindung sowie der Verhältnismässigkeit.

Das Weitergeben der durch die Sicherheitslücke betroffenen Daten oder die Bekanntgabe der Sicherheitslücke (ausser an die Aufsichtsbehörden) verletze diese Grundsätze, verdeutlicht die Behörde. Auch nicht damit vereinbar sei eine Bekanntgabe an die Medien, bevor die Sicherheitslücke geschlossen wurde.

Verstossen WHH gegen die Grundsätze, könnten Systembetreiber oder die betroffenen Personen zivilrechtliche Ansprüche geltend machen. Zudem gehen sie mitunter strafrechtliche Risiken ein. Dazu hält der EDÖB jedoch fest: "wenn sie dem Idealbild eines WHH entsprechen und die Einhaltung der datenschutzrechtlichen Grundsätze anstreben – kann davon ausgegangen werden, dass kein eigentliches Interesse an einer Klage besteht."

"Nicht obligatorisch" oder sogar "nicht immer angebracht" ist laut dem Merkblatt übrigens, dass ethische Hacker den EDÖB über ihre Befunde informieren. Gemäss dem neuen Datenschutzgesetz zur Meldung verpflichtet, sei dagegen der Datenschutzverantwortliche des jeweils angegriffenen Unternehmens – zumindest dann, "wenn eine Sicherheitslücke ein hohes Risiko für die betroffenen Personen mit sich bringt".

Auch das Nationale Testinstitut für Cybersicherheit (NTC) hat sich mit der Rechtslage des ethischen Hackens befasst. Laut dem Gutachten macht sich grundsätzlich strafbar, wer fremde IT-Infrastrukturen ohne Einwilligung des Betreibers hackt. Doch es gibt eine Ausnahme, über die sie hier mehr erfahren.

Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal gibt es täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.