Zusammenfassung: Ein internationaler Vergleich zeigt, dass ähnliche Gesetze in der EU bestehen, wobei Länder wie Österreich und die Niederlande etwas flexiblere Ansätze verfolgen, die unter bestimmten Bedingungen das ethische Hacking erlauben. In Deutschland bleibt jedoch die rechtliche Lage für Sicherheitsforschende komplex. Die deutsche Politik und Wirtschaft sind gefordert, Richtlinien und Prozesse zu etablieren, die sowohl die Sicherheit verbessern als auch die Arbeit von ethischen Hackern unterstützen und anerkennen. Ausnahme ist und bleibt das professionelle Hacking in Form eines beauftragten Penetrationstests - dies ist und bleibt erlaubt.
Hackerparagraph § 202a StGB - Ausspähen von Daten
Der § 202a StGB, auch bekannt als Hackerparagraph, bestraft das unbefugte Verschaffen von Zugang zu besonders gesicherten Daten. Die Neufassung von 2006 erweitert den Tatbestand und umfasst nun auch das Eindringen in ein Datenverarbeitungssystem, unabhängig davon, ob Daten entnommen werden. Ziel ist es, die Gefährlichkeit und Schädlichkeit von Hacking-Angriffen besser zu adressieren. Das Verschaffen des Zugangs muss unter Überwindung einer Zugangssicherung erfolgen, was die strafwürdige kriminelle Energie des Täters betont.
Wer unbefugt sich oder einem anderen Zugang zu Daten, die nicht für ihn bestimmt und die gegen unberechtigten Zugang besonders gesichert sind, unter Überwindung der Zugangssicherung verschafft, wird mit Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe bestraft.
Die strikten Vorschriften haben suboptimale Auswirkungen auf die IT-Sicherheit in Deutschland. Während sie darauf abzielen, die Systeme vor unautorisierten Zugriffen zu schützen, erschweren sie zugleich die Arbeit von ethischen Hackern, die Schwachstellen identifizieren und melden möchten. Ohne explizite Erlaubnis riskieren selbst wohlmeinende Hacker strafrechtliche Konsequenzen. Dies mindert die Bereitschaft, Sicherheitslücken zu melden, und beeinträchtigt potenziell die allgemeine IT-Sicherheit. Will eine Person Sicherheitslücken in der Infrastruktur eines Unternehmens suchen, muss er in Deutschland eine Erlaubnis dafür haben - Penetrationtests als Dienstleistung ist der klassische Fall, bei dem Hacking erlaubt ist.
Weitere relevante Teile des Hackerparagraphen in Kürze
- § 202b StGB: "Wer unbefugt sich oder einem anderen unter Anwendung von technischen Mitteln nicht für ihn bestimmte Daten (§ 202a Abs. 2) aus einer nichtöffentlichen Datenübermittlung oder aus der elektromagnetischen Abstrahlung einer Datenverarbeitungsanlage verschafft, wird mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe bestraft, wenn die Tat nicht in anderen Vorschriften mit schwererer Strafe bedroht ist."
- § 202c StGB: "Wer eine Straftat nach § 202a oder § 202b vorbereitet, indem er Passwörter oder sonstige Sicherungscodes, die den Zugang zu Daten (§ 202a Abs. 2) ermöglichen, oder Computerprogramme, deren Zweck die Begehung einer solchen Tat ist, herstellt, sich oder einem anderen verschafft, verkauft, einem anderen überlässt, verbreitet oder sonst zugänglich macht, wird mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe bestraft."
- § 303a StGB: "Wer rechtswidrig Daten (§ 202a Abs. 2) löscht, unterdrückt, unbrauchbar macht oder verändert, wird mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe bestraft."
Aktuelle Arbeit des Wissenschaftlichen Dienstes des Bundestags von 2024
Die Wissenschaftlichen Dienste des Deutschen Bundestages haben in ihrer Ausarbeitung von 2024 die strafrechtlichen Regelungen zum Hacking in Deutschland und ausgewählten EU-Ländern untersucht und stellen fest:
Österreich regelt Hacking durch §§ 118a, 119a und 126c StGB. Diese Bestimmungen ähneln den deutschen Regelungen, erfordern jedoch zusätzliche subjektive Tatbestandsmerkmale wie Spionageabsicht oder Verwendungsabsicht. Eigeninitiatives ethisches Hacking ist in der Regel nicht strafbar, da die erforderliche Absicht fehlt. Beauftragte ethische Hacker sind verfügungsbefugt und somit nicht strafbar.
In Frankreich wird zwischen "schwarzen" und "weißen" Hackern - in Anlehnung an Whitehat und Blackhat - unterschieden. Während "schwarze Hacker" eine Strafe zu erwarten haben, können "weiße Hacker" unter bestimmten Bedingungen straffrei bleiben. Diese Voraussetzungen beinhalten das Handeln mit guten Absichten, das Vermeiden von Schäden und die Meldung von Lücken an die Nationale Agentur für die Sicherheit von Informationssystemen (ANSSI).
Schweden bestraft das unrechtmäßige Erlangen von Zugang zu Informationen sowie das Ändern, Löschen oder Sperren von Informationen. Vorbereitungshandlungen sind nicht erfasst. Das eigeninitiierte Aufdecken von Sicherheitslücken ist strafbar, es sei denn, es liegt eine Genehmigung des Verfügungsberechtigten vor.
In Litauen werden Hacking und damit verbundene Handlungen in den Artikeln 196 bis 198-2 des Strafgesetzbuches geregelt. Diese Artikel ähneln den deutschen Bestimmungen. Eigeninitiatives Aufdecken von Sicherheitslücken ist strafbar, wenn keine ausdrückliche Genehmigung vorliegt.
In den Niederlanden wird Hacking durch § 138ab des Strafgesetzbuches geregelt. Die niederländische Staatsanwaltschaft ermutigt ethische Hacker zur Meldung von Schwachstellen und empfiehlt Unternehmen beispielsweise Richtlinien zur koordinierten Offenlegung von Schwachstellen zu erstellen. Ethische Hacker werden nicht sofort strafrechtlich verfolgt, sofern sie nach ethischen Grundsätzen handeln und die Meldung im Rahmen von Coordinated Vulnerability Disclosure erfolgt.
Zwischenstand: Es bleibt kompliziert
Die Gesetzgebungen der erwähnten Länder ähneln sich sehr, was zum großen Teil daran liegt, dass sie auf Artikel 2 des Europarat-Übereinkommens sowie Artikel 2 des EU-Rahmenbeschlusses basieren. Auf nationaler Ebene gibt es jedoch die ein oder andere Feinheit die ethisches Hacken vereinfachen soll und es zumindest theoretisch erlaubt gefundene Lücken zu melden ohne direkt mit einem Bein im Knast zu stehen. In Deutschland ist das leider nicht der Fall. Trotzdem sieht man auch in unseren Medien, dass hierzulande immer wieder Sicherheitsforschende etwas melden - und dann verklagt werden.
Der Teufel liegt im Detail: Überwindung von Schutzmaßnahmen ist nicht erlaubt
Schaut man sich Fälle von beispielsweise Lilith Wittmann an, überlegt man sich zwei Mal ob man eine Sicherheitslücke meldet: Verfahren gegen Lilith Wittmann eingestellt – weil CDU connect ungeschützt war
Das Verfahren wurde am Ende eingestellt, weil die Sicherheitslücke im Grunde "nur" eine API war zu der man keine Zugangsdaten benötigte. Als Beispiel stelle man sich vor, dass jeder eingeloggte Nutzer mit Hilfe des folgenden HTTP-Requests (bzw. Abruf im Browser) seine eigenen Daten sehen kann:
Request:
GET /api/v1/user/dsecured HTTP/2
Host: static.doubleclick.net
Cookie: session=...
Content-Length: 0
Response:
HTTP/2 200 OK
Content-Length: 29
{"login":"dsecured", "adresse":"...", ...}
Soweit so gut, so mehr oder weniger normal. Das Problem ist nun, wenn ein nicht eingeloggter Nutzer (aka Gast) das gleiche macht und ebenfalls die Daten des Nutzers "dsecured" sieht und anfängt den Nutzernamen zu ändern zu "admin" und so weiter. In dem Moment wird er die Daten anderer Nutzer finden und lesen. Hier kann man problemlos argumentieren, dass Wittmann keine Schutzmaßnahmen umgehen musste, denn es gab sie einfach nicht. Letzteres ist eben die Sicherheitslücke. Kompliziertes wird es, wenn die Schutzmaßnahmen in homöopathischen Dosen eingesetzt werden. Ein Beispiel aus unserer Praxis sind beispielsweise schwache Zugangsdaten ("test/test" oder "admin/admin"). Wer so etwas meldet, sollte sich - speziell in einigen Ländern der EU - der Folgen sehr bewusst sein.
Diese Art von Beispiele könnten wir - DSecured - zu hunderten anführen. Speziell, weil wir Argos eASM im Rahmen von Kunden und Bug Bounty Programmen einsetzen und wöchentlich mehrere dieser Fälle sehen, wissen wir, dass sie keine Einzelfälle sind. In den USA ist das Melden von Sicherheitslücken mittlerweile kein Problem mehr (und das machen wir regelmäßig ohne Probleme und meist mit viel Dank). In Deutschland ist es nach wie vor ein Risiko und verhindert, dass man gefahrlos etwas meldet.
Fazit: In Deutschland ist vorsicht geboten
Das Bundesamt für Sicherheit in der Informationstechnik hat eine Leitlinie zum CVD-Prozess herausgebracht, in der Empfehlungen zur Handhabung von Schwachstellenmeldungen gegeben werden. Das BSI schreibt darin:
Um das erfolgreiche Durchlaufen eines CVD-Prozesses zu ermöglichen, sollten Hersteller auf eingehende Schwachstellenmeldungen positiv reagieren und nicht mit rechtlichen Konsequenzen drohen, solange keine kriminellen Absichten erkennbar sind.
Zudem wird von Herstellern erwartet, dass keinerlei rechtliche Schritte gegenüber Sicherheitsforschenden eingeleitet werden, sollten diese Details zu der Schwachstelle nach einer international üblichen Frist (siehe Abschnitt 3.3) veröffentlichen und sich an die in der CVD-Leitlinie (siehe Abschnitt 2.1) sowie CVD-Richtlinie (siehe [BSI2022e]) festgeschriebenen Punkte gehalten haben.
Das Problem ist hier leider immer wieder, dass Unternehmen auf Schwachstellenmeldungen recht schlecht reagieren und oft "kriminelle Absicht" breit ausgelegt werden kann. Letzteres ist der Grund warum beispielsweise DSecured mit so etwas wie Argos eASM nicht dazu beitragen kann großflächig deutsche Unternehmen zu scannen und dafür zu sorgen, dass Sicherheitslücken gefunden und geschlossen werden. Das schlimme ist hier, dass wir ganz genau wissen, wie schlecht es um deutsche Netze steht. Allerdings ist es ohne Erlaubnis in Deutschland keine Option "zu helfen" - die Wahrscheinlichkeit rechtliche Probleme zu bekommen ist einfach zu hoch.
Ausnahmen: Pentesting, Bug Bounty Programme
Erwähnenswert ist natürlich hier nochmal, dass Hacking im Kontext von Penetrationstests natürlich weiterhin erlaubt ist - in der Regel handelt es sich hierbei um einen Auftrag, bei dem das Zielunternehmen davon weiß, entsprechend vorbereitet ist. In diesem Fall handelt es sich eher um einen kontrollierten Test.
Fortschrittlichere und größere Unternehmen nutzen mittlerweile das Instrument "Bug Bounty Programm" mit entsprechendem Regelwerk, was - solange man sich daran hält - ebenfalls erlaubt legal zu hacken und sogar monetär dafür entlohnt zu werden.