IT-Sicherheit. Kanzlei Walder Wyss hat im Auftrag des Schweizer Nationalen Testinstituts für Cybersicherheit NTC geprüft, wann „Ethical Hacking“ trotz Verbots straffrei ausgehen kann.
Im Auftrag des Nationalen Testinstituts für Cybersicherheit NTC hat Walder Wyss – eine der großen Anwaltskanzleien der Schweiz – ein ausführliches Rechtsgutachten mit dem Titel „Strafbarkeit von Ethical Hacking“ erstellt, heißt es in einer Veröffentlichung auf der Website der Kanzlei.
Ähnlich wie viele andere nationale und internationale IT-Sicherheitsinstitutionen untersucht auch das NTC – eine Nonprofit-Organisation im Auftrag der Schweizer Eidgenossenschaft – regelmäßig digitale Produkte, Tools und IT-Infrastruktur, um Schwachstellen aufzudecken. Diese Analysen erfolgen teilweise als Auftragsprojekte mit entsprechender Einwilligung der Systembetreiber, teilweise aber auch als sogenannte Initiativprojekte, d.h. aus eigener Initiative, ohne dass zwingend eine vorgängige Einwilligung vorliegt, schildert das Gutachten. Im Rahmen der Initiativprojekte untersuche das NTC jene digitalen Produkte und Infrastrukturen, die nicht oder nicht ausreichend geprüft werden. Damit bezwecke das NTC die Erhöhung der Cybersicherheit im Interesse der Systemnutzer und der Allgemeinheit.
Allerdings ist das Suchen nach Sicherheitslücken möglicherweise ein Straftatbestand: Nach schweizerischem Recht macht sich jedenfalls strafbar, wer „unbefugt die Zugangssicherung eines fremden Systems überwindet oder dies versucht“, heißt es bei Walder Wyss. Zudem stelle das Strafgesetzbuch die Manipulation und Veränderung von Daten unter Strafe. Ganz ähnliche Bestimmungen finden sich übrigens auch in den Strafgesetzbüchern anderer Länder.
Das Gutachten
Walder Wyss kommt in dem Gutachten nun zu dem Schluss, dass „Ethical Hacking“ – das ist im konkreten Fall die Suche nach Schwachstellen, um vor diesen zu warnen – trotz der genannten Paragraphen unter gewissen Umständen in der Schweiz straffrei sein kann. So könne eventuell ein „rechtfertigender Notstand“ (Art. 17 StGB) geltend gemacht werden.
Dafür müssen allerdings verschiedene Umstände gegeben sein, so die Kanzlei weiter. So müsse es konkrete Anhaltspunkte dafür geben, dass ein System von potenziellen Sicherheitslücken betroffen ist. Die Aufdeckung müsse den Zweck haben, die Gefahr böswilliger Zugriffe abzuwenden, und gerade bei der Veröffentlichung gefundener Sicherheitslücken müsse besondere Vorsicht und Sorgfalt an den Tag gelegt werden. Insbesondere sollten die Sicherheitslücken vor der Veröffentlichung bereits gestopft sein.
Ethisches Hacking soll institutionalisiert werden
Mit der Veröffentlichung des Rechtsgutachtens leiste das NTC selbst einen Beitrag zur aktuellen Nationalen Cyberstrategie des Bundes, die ethisches Hacking institutionalisieren will, halten die Schweizer Cyberwächter in einer Aussendung fest. Das Gutachten von Walder Wyss AG wurde von Michael Isler, Oliver M. Kunz und Gina Moll erstellt und ist online bei der Kanzlei abrufbar.