Ethisches Hacking und Strafrecht

Beim Hacking geht es oft um das Eindringen in Systeme in böswilliger Absicht. Diese Form des Hacking ist definitiv strafbar. Es gibt aber auch Hacking mit einem hehren Ziel, das so genannte ethische Hacking. Dies wird auch White Hat Hacking genannt, wobei böswillige Hacker einen schwarzen Hut erhalten.

Ethische Hacker finden Schwachstellen in Netzwerken und Systemen und zeichnen sich dadurch aus, dass sie diese nicht missbrauchen, sondern die Schwachstellen direkt dem Administrator des Systems melden. Auf diese Weise kann das Leck gestopft werden und das betreffende System wird besser geschützt.

Beispielsweise kann das Signalisieren, dass eine Datenbank über ein Formular auf einer Website anfällig für SQL-Injektionen ist, unter White Hat Hacking fallen. Andere Aktionen fallen nicht in den Bereich des ethischen Hacking, wie z.B. die Durchführung eines DDoS-Angriffs oder die grobe Erzwingung des Zugriffs auf ein System.

Das niederländische Recht macht keinen Unterschied aufgrund der Absichten eines Hackers. Verschiedene strafrechtliche Bestimmungen, darunter die Verletzung des Computerfriedens (Art. 138ab des Strafgesetzbuches), gelten im Prinzip auch für ethisches Hacking. Der Gesetzgeber wollte betonen, dass das Hacken in ein System "bedingungslos nicht erlaubt" ist (siehe B.J. Koops und J.J. Oerlemans (Hrsg.), Criminal Law and ICT, Den Haag: Sdu 2019, S. 39). In der Praxis muss dies jedoch nicht immer zu einer Verurteilung führen (sofern die Identität des Hackers bereits bekannt geworden wäre). In erster Linie wird ein gewissenhafter Hack nicht immer gemeldet. Zweitens muss eine Verurteilung rechtswidrig sein. Hier liegen die Chancen für den ethischen Hacker.

Keine Erklärung zur koordinierten Offenlegung von Verwundbarkeit

Viele Organisationen verfügen heute über Richtlinien zur koordinierten Offenlegung von Schwachstellen (Coordinated Vulnerability Disclosure (CVD)), auch bekannt als Responsible Disclosure (RD). Dazu gehört die verantwortungsvolle Meldung von Schwachstellen in einer von der Organisation festgelegten Weise. Wenn eine Schwachstelle nachgewiesen und in Übereinstimmung mit diesen Regeln gemeldet wurde, wird im Prinzip keine Meldung gemacht. Im Gegenteil, manchmal wird eine ehrenvolle Erwähnung oder sogar eine Belohnung versprochen.

Die CVD-Politik entstand aus der Erkenntnis heraus, dass Organisationen davon profitieren, so schnell und sorgfältig wie möglich über Schwachstellen in ihren Systemen informiert zu werden. Mit dieser Politik machen Organisationen bekannt, auf welche Art und Weise - und unter welchen Bedingungen - sie bereit sind, z.B. eine Verletzung des Computerfriedens nicht zu melden. Dies schafft im Vorfeld Klarheit über die "Spielregeln" des ethischen Hacking bei der betreffenden Organisation.

Im Jahr 2013 wird das Nationale Zentrum für Computer- und Netzsicherheit (NCSC) Leitfaden veröffentlicht, um eine Praxis der verantwortungsvollen Offenlegung zu etablieren. Dieser Leitfaden wurde 2018 auf der Grundlage der gesammelten Erfahrungen aktualisiert. Das NCSC betont, dass die Berichte der letzten Jahre die Sicherheit und Kontinuität von Informationssystemen verbessert haben und damit den Wert des ethischen Hacking anerkennen.

Die Staatsanwaltschaft veröffentlichte 2013 einen Grundsatzbrief. In diesem Brief erklärt der Generalstaatsanwaltsrat, wie die Staatsanwaltschaft im Falle eines ethischen Hacking vorgehen sollte. Der Ausgangspunkt ist, dass im Falle einer "Wiederherstellung der Rechte" zwischen dem Berichtspflichtigen und der Organisation keine strafrechtlichen Ermittlungen stattfinden. Gleichzeitig betont der Brief, dass eine verantwortungsvolle Berichterstattung über eine Schwachstelle den Reporter "in keiner Weise von der Möglichkeit einer strafrechtlichen Untersuchung oder gar Strafverfolgung entbindet". Im Zweifelsfall will die Staatsanwaltschaft beurteilen können, ob ein Reporter nicht zu weit gegangen ist.

Bewertungskriterien OM und Richter

Kriterien bei der Bewertung von Ethical Hacking sind, ob die Aktion notwendig war und ob die Anforderungen der Verhältnismäßigkeit und Subsidiarität erfüllt wurden. Notfalls wird geprüft, ob ein überwiegendes öffentliches Interesse bestand. Proportionalität bezieht sich darauf, ob die gewählten Mittel in einem angemessenen Verhältnis zum Ziel standen. Die Subsidiarität bezieht sich schließlich darauf, ob der Hacker anders hätte handeln können und sollen. Hier ist es unter anderem wichtig, dass eine Schwachstelle so schnell wie möglich gemeldet wird.

Wenn es doch zu einer Strafverfolgung kommt, kann sich der weißhaarige Hacker darauf berufen, dass die Unrechtmäßigkeit seines Handelns nicht gegeben war. Wenn das Gericht diese Verteidigung aufrechterhält, folgt in der Regel ein Freispruch (z.B. im Falle einer Verletzung des Computerfriedens).

Ein Hacker, der überfiel auf dem Server eines Krankenhauses, hielt es das Gericht für notwendig, zu beweisen, dass das Netzwerk schlecht gesichert war. Dennoch blieb der Hacker nicht ungestraft, denn er informierte sofort einen Journalisten und griff später mehrmals auf den Server zu. Darüber hinaus durchsuchte er das System nach Daten eines bekannten Holländers. Das Gericht entschied daher, dass die Grenzen der Verhältnismäßigkeit überschritten worden seien und verurteilte den Hacker wegen Verletzung der Computersicherheit.

Direkt an die Medien wurde auch ein Verdächtiger in einem Fall aus dem Jahr 2018 angeklagt. Auch hier das Erfordernis der Verhältnismäßigkeit nicht erfüllt war.

Schlussfolgerung

Kurz gesagt, für den ethischen Hacker ist es ratsam, zuerst die Coordinated Vulnerability Disclosure Policy einer Organisation zu überprüfen. Der Inhalt dieser Politik ist wichtig. Schließlich kann sie beschreiben, in welchen Fällen ein Bericht erstellt wird oder nicht. Beispielsweise wird ein umfangreiches Scannen von Systemen nicht immer geschätzt, da die Organisation im Voraus nicht weiß, ob es sich um einen "White Hat Hacker" oder einen böswilligen Eindringling handelt. Unnötige Kosten können dann durch den Einsatz des Computer Emergency Response Teams (CERT) entstehen.

Vor allem ist es wichtig, den Verstoß so gering wie möglich zu halten, indem man die am wenigsten invasiven Mittel einsetzt, keine Daten übernimmt und die undichte Stelle sofort meldet. Letzteres sollte ebenfalls umsichtig geschehen, z.B. mit einer verschlüsselten E-Mail-Nachricht, damit Dritte keine Kenntnis von der Schwachstelle erlangen können. Es ist auch nicht ratsam, aktiv eigene Bedingungen zu stellen, wie z.B. eine Belohnung. Die Initiative dazu muss bei der Organisation liegen. Schließlich ist es ratsam, erst dann mit der Entdeckung an die Öffentlichkeit zu gehen, wenn die Schwachstelle behoben ist.

Solange der Ethik-Hacker nicht völlig anonym bleibt, kann eine strafrechtliche Verfolgung nie ganz ausgeschlossen werden. Schließlich bieten die Kriterien Raum für Interpretationen. Wenn all diese Bedingungen erfüllt sind, ist das Risiko einer Strafverfolgung - trotz des etwas unerbittlichen Gesetzestextes und der parlamentarischen Geschichte - jedoch relativ gering. Eine Strafverfolgung sollte in diesen Fällen stets unterbleiben. Schließlich übernimmt der Reporter, der den Verstoß begrenzt, nichts und erstattet einen Bericht direkt nach den Regeln der RD-Politik der Organisation und erweist damit der Organisation und der Gesellschaft einen Dienst.