NTC sagt, wann ethisches Hacken straffrei ist
Wer fremde IT-Infrastrukturen ohne Einwilligung des Betreibers hackt, macht sich grundsätzlich strafbar. Eine Ausnahme gewährt der rechtfertigende Notstand. Wann man diesen geltend machen kann und wann die Öffentlichkeit informiert werden sollte, erklärt das NTC in einem Rechtsgutachten.
![(Source: Dragos Condrea / Freepik.com)](https://data.netzwoche.ch/styles/np8_full/s3/media/2023/06/27/dcstudio_freepik_female-hacker-with-her-team-cyber-terrorists-making-dangerous-virus-attack-government3.jpg?itok=eJ7VstO9)
Auf den ersten Blick scheint der Fall klar: "Das Aufspüren von Sicherheitslücken ohne ausdrücklichen Auftrag und ohne Einwilligung ist nach schweizerischem Recht strafbar." Dies schreibt das Nationale Testinstitut für Cybersicherheit (NTC). Es hat die Anwaltskanzlei Walder Wyss beauftragt, die rechtlichen Grundlagen des ethischen Hackens zu untersuchen. Das dabei entstandene Rechtsgutachten (hier als PDF) wurde nun veröffentlicht.
Dieses zeigt auf, dass die Situation nicht so eindeutig ist, wie sie zunächst scheinen mochte. Unter gewissen Rahmenbedingungen könne ethisches Hacken nämlich straffrei sein, schreibt das NTC und erklärt: "Wird im Rahmen von Schwachstellenanalysen gegen Strafnormen verstossen, kann man sich unter bestimmten Umständen auf den rechtfertigenden Notstand nach Artikel 17 des Strafgesetzbuches (STGB) berufen." Der Artikel besagt, dass eine Person rechtmässig handelt, wenn sie "eine mit Strafe bedrohte Tat begeht, um ein eigenes oder das Rechtsgut einer anderen Person aus einer unmittelbaren, nicht anders abwendbaren Gefahr zu retten" und "wenn er dadurch höherwertige Interessen wahrt".
Das Eindringen in ein System sei nur gerechtfertigt, wenn konkrete Hinweise vorliegen, dass ein System von potenziellen Sicherheitslücken betroffen sei, stellt das NTC in der Mitteilung klar. Zudem müsse die Aufdeckung, Dokumentation und Information über diese Sicherheitslücken den Zweck erfüllen, böswillige Zugriffe abzuwenden. "Bei der Befolgung anderer Zwecke (z.B. Selbstprofilierung, Neugier oder gar die Erlangung von wirtschaftlichen Vorteilen) wird sich ein Hacker nicht auf den Rechtfertigungsgrund des Notstands berufen können", heisst es in der Zusammenfassung des Gutachtens.
Vorsicht beim Veröffentlichen
In der Mitteilung geht das NTC auch auf die Veröffentlichung von Schwachstellenanalysen ein. Demnach sollten vor einer detaillierten Veröffentlichung die identifizierten und dokumentierten Sicherheitslücken vollständig behoben sein. Sei dies nicht der Fall, sollte der Detaillierungsgrad einer Veröffentlichung auf die notwendigen Informationen reduziert werden, sodass Systemnutzer angemessen gewarnt sind und sich schützen können.
Mehr zum NTC, seiner Mission und seinen Aufgaben, lesen Sie im Interview mit Mitgründer Raphael Reischuk.
Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal gibt es täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.
![(Source: Pawina / stock.adobe.com)](https://data.netzwoche.ch/styles/teaser_small/s3/media/2024/07/26/proton_wallet_2024.jpeg?itok=cfViQUYL)
Proton startet mit Kryptowallet
![(Source: OrsiO / Pixabay.com)](https://data.netzwoche.ch/styles/teaser_small/s3/media/2024/07/26/webcat-636172_1280.jpg?itok=4c5VDYw5)
Wenn orangene Katzen Unsinn veranstalten
![(Source: NOAA / Unsplash)](https://data.netzwoche.ch/styles/teaser_small/s3/media/2024/07/26/google_wetter-ki_2024.jpg?itok=3ZIDlofC)
Google vereint KI und Physik für Wettervorhersagen
![Jean-Pierre Mustier übernimmt als neuer CEO bei Atos. (Source: Atos.net)](https://data.netzwoche.ch/styles/teaser_small/s3/media/2024/07/26/mustier_atos.jpg?itok=c11BX9xf)
Atos ernennt nächsten CEO
![(Source: DC Studio/Freepik.com)](https://data.netzwoche.ch/styles/teaser_small/s3/media/2024/07/26/ransomware.jpg?itok=Ke4dCDqV)
Angreifer nehmen kritische Infrastrukturen ins Visier
![(Source: Micha Brändli / unsplash.com)](https://data.netzwoche.ch/styles/teaser_small/s3/media/2024/07/26/micha-brandli-xteagvru_1u-unsplash.jpg?itok=YakH3APY)
Mandiant stuft nordkoreanische Cyberbande als APT45 ein
![(Source: freshidea - stock.adobe.com)](https://data.netzwoche.ch/styles/teaser_small/s3/media/2024/07/02/adobestock_416609395.jpeg?itok=lzCTG-o-)
Erfolgreiche Co-Creation im Digital Banking dank Design Thinking
![(Source: Kasia Derenda / unsplash.com)](https://data.netzwoche.ch/styles/teaser_small/s3/media/2024/07/26/kasia-derenda-fl3rf_t8dms-unsplash.jpg?itok=72tLCDjs)
Phisher phishen am liebsten mit Microsoft
![Rolf Unterberger, Mitglied des Verwaltungsrats, gratuliert Chief Sales Officer Gianni Mastromarino mit einem Pokal (v.l.). (Source: zVg)](https://data.netzwoche.ch/styles/teaser_small/s3/media/2024/07/25/pokaluebergabe_cmyk.jpg?itok=8-ERumlE)
Assmann IT-Solutions feiert 15-Jahre-Jubiläum
![G.V. Shivashankar entwickelt derzeit am PSI verschiedene Verfahren zur Diagnose und Prognose von Krebs. (Source: Paul Scherrer Institut PSI/Markus Fischer)](https://data.netzwoche.ch/styles/teaser_small/s3/media/2024/07/26/web20231116_shivashankar_0048.jpg?itok=zfzwJ7s8)