NTC sagt, wann ethisches Hacken straffrei ist
Wer fremde IT-Infrastrukturen ohne Einwilligung des Betreibers hackt, macht sich grundsätzlich strafbar. Eine Ausnahme gewährt der rechtfertigende Notstand. Wann man diesen geltend machen kann und wann die Öffentlichkeit informiert werden sollte, erklärt das NTC in einem Rechtsgutachten.
Auf den ersten Blick scheint der Fall klar: "Das Aufspüren von Sicherheitslücken ohne ausdrücklichen Auftrag und ohne Einwilligung ist nach schweizerischem Recht strafbar." Dies schreibt das Nationale Testinstitut für Cybersicherheit (NTC). Es hat die Anwaltskanzlei Walder Wyss beauftragt, die rechtlichen Grundlagen des ethischen Hackens zu untersuchen. Das dabei entstandene Rechtsgutachten (hier als PDF) wurde nun veröffentlicht.
Dieses zeigt auf, dass die Situation nicht so eindeutig ist, wie sie zunächst scheinen mochte. Unter gewissen Rahmenbedingungen könne ethisches Hacken nämlich straffrei sein, schreibt das NTC und erklärt: "Wird im Rahmen von Schwachstellenanalysen gegen Strafnormen verstossen, kann man sich unter bestimmten Umständen auf den rechtfertigenden Notstand nach Artikel 17 des Strafgesetzbuches (STGB) berufen." Der Artikel besagt, dass eine Person rechtmässig handelt, wenn sie "eine mit Strafe bedrohte Tat begeht, um ein eigenes oder das Rechtsgut einer anderen Person aus einer unmittelbaren, nicht anders abwendbaren Gefahr zu retten" und "wenn er dadurch höherwertige Interessen wahrt".
Das Eindringen in ein System sei nur gerechtfertigt, wenn konkrete Hinweise vorliegen, dass ein System von potenziellen Sicherheitslücken betroffen sei, stellt das NTC in der Mitteilung klar. Zudem müsse die Aufdeckung, Dokumentation und Information über diese Sicherheitslücken den Zweck erfüllen, böswillige Zugriffe abzuwenden. "Bei der Befolgung anderer Zwecke (z.B. Selbstprofilierung, Neugier oder gar die Erlangung von wirtschaftlichen Vorteilen) wird sich ein Hacker nicht auf den Rechtfertigungsgrund des Notstands berufen können", heisst es in der Zusammenfassung des Gutachtens.
Vorsicht beim Veröffentlichen
In der Mitteilung geht das NTC auch auf die Veröffentlichung von Schwachstellenanalysen ein. Demnach sollten vor einer detaillierten Veröffentlichung die identifizierten und dokumentierten Sicherheitslücken vollständig behoben sein. Sei dies nicht der Fall, sollte der Detaillierungsgrad einer Veröffentlichung auf die notwendigen Informationen reduziert werden, sodass Systemnutzer angemessen gewarnt sind und sich schützen können.
Mehr zum NTC, seiner Mission und seinen Aufgaben, lesen Sie im Interview mit Mitgründer Raphael Reischuk.
Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal gibt es täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.
Die Stimmen zu den Best of Swiss Web Awards 2024
Scammer kommen via Phishing-Mail an Facebook-Bezahldaten
Wieso man nicht ziellos herumirren sollte beim Telefonieren
Red Hat stellt neue Lösungen für Entwickler vor
SAP würdigt seine Schweizer Lieblingskunden
Ergon wächst zweistellig
HPE und Bosch bringen Lösungen zusammen für Digital Twins
visiONstage – wo Business auf Zukunft trifft
Schweden seit Nato-Beitritt verstärkt im DDoS-Visier
