Straffreiheit von Ethical Hacking: Rechtsgutachten klärt auf
Im Auftrag des Nationalen Testinstituts für Cybersicherheit NTC hat die Anwaltskanzlei Walder Wyss unter dem Titel “Strafbarkeit von Ethical Hacking” ein ausführliches Rechtsgutachten erstellt. Ein Ergebnis des Gutachtens ist, dass Ethical Hacking unter Einhaltung gewisser Rahmenbedingungen straffrei ist.
Das Nationale Testinstitut für Cybersicherheit NTC testet, was sonst nicht getestet wird. Es untersucht digitale Produkte und Infrastrukturen auf Schwachstellen, die nicht oder nicht ausreichend geprüft werden – auch auf eigene Initiative. Das Problem: Die Durchführung von Schwachstellenanalysen steht – sofern sie das (versuchte oder erfolgte) Eindringen in eine fremde Datenverarbeitungsanlage (Penetrationstests) beinhaltet – in potenziellem Konflikt mit dem Hacker-Tatbestand von Art. 143bis Abs. 1 StGB. Demgemäss wird bestraft, «wer auf dem Wege von Datenübertragungseinrichtungen unbefugterweise in ein fremdes, gegen seinen Zugriff besonders gesichertes Datenverarbeitungssystem eindringt». Kurz: Ohne ausdrücklichen Auftrag und ohne Einwilligung ist das Aufspüren von Sicherheitslücken nach schweizerischem Recht strafbar, sobald die Zugangssicherung eines fremden Systems überwunden oder der Versuch dazu unternommen wird. Zudem stellt das Strafgesetzbuch die Manipulation und Veränderung von Daten unter Strafe.
Rechtfertigender Notstand
Wird im Rahmen von Schwachstellenanalysen gegen Strafnormen verstossen, kann man sich unter bestimmten Umständen auf den rechtfertigenden Notstand nach Art. 17 StGB berufen. Das Eindringen in ein System ist nur gerechtfertigt, wenn konkrete Hinweise vorliegen, dass ein System von potenziellen Sicherheitslücken betroffen ist. Zudem muss die Aufdeckung, Dokumentation und Information über diese Sicherheitslücken den Zweck erfüllen, böswillige Zugriffe abzuwenden. In subjektiver Hinsicht ist vorausgesetzt, dass der Notstandsberechtigte die Notstandslage kennen muss und handelt, um das bedrohte Rechtsgut zu retten.
Veröffentlichung der Ergebnisse von Schwachstellenanalysen
Vor einer detaillierten Veröffentlichung sollten die identifizierten und dokumentierten Sicherheitslücken vollständig behoben sein. Ist dies nicht der Fall, sollte der Detaillierungsgrad einer Veröffentlichung auf die notwendigen Informationen reduziert werden. Damit werden Systemnutzer angemessen gewarnt und es wird ihnen die Möglichkeit gegeben, sich zu schützen.
Mit der Veröffentlichung des Rechtsgutachtens leistet das NTC einen Beitrag zur aktuellen Nationalen Cyberstrategie des Bundes, die ethisches Hacking institutionalisieren will. Das Test- und Prüflabor im Kanton Zug arbeitet eng mit Forschungseinrichtungen, privaten Unternehmen der Cybersicherheit und internationalen Experten zusammen. Das NTC besteht seit Dezember 2020.
Quelle und weitere Informationen: www.ntc.swiss
