So sind angreifende Security-Researcher rechtlich sicher

Ein juristisches Gutachten belegt, unter welchen Bedingungen Angriffe auf IT-Infrastrukturen von Organisationen rechtlich unbedenklich sind. Auch der Eidgenössische Datenschutzbeauftragte hat sich geäussert. Fazit: Die Schweiz bietet Security-Researcher:innen ein sicheres Umfeld.

Von Daniel Scherrer, Chief Software Architect · 6. Juli 2023

White Hats sind geschützt, wenn sie sich an die Spielregeln halten. (Bild: Unsplash).

Die Kanzlei Walder Wyss hat die «Strafbarkeit von Ethical Hacking» untersucht. Das im Auftrag des privaten Nationalen Testinstituts für Cybersicherheit (NTC, nicht zu verwechseln mit dem NCSC des Bundes) erstellte Dokument soll einen Beitrag zur aktuellen nationalen Cyberstrategie des Bundes leisten, «die ethisches Hacking institutionalisieren will».

Für Abraxas und ihre Security-Researcher:innen, die via Bug Bounty Switzerland an mehreren Bug-Bounty-Programmen teilnehmen, bedeutet dies eine Bestätigung der bisherigen Praxis, wonach registrierte Programmteilnehmer einen «rechtlich sicheren Hafen» geniessen. Das wird nun auch offiziell bestätigt.

Weitere Erkenntnisse aus dem Dokument

  • Wer spezialisierte Penetrationstester anstellt oder Bug-Bounty-Programme durchführt, ist rechtlich sicher. Das gilt auch für die Security-Researcher:innen (auch «ethische Hacker» genannt), die sich an die vom Programm vorgegebenen Regeln halten.
  • Wer allerdings ohne vorgängige Einwilligung der ICT-Systembesitzer nach Lücken in der IT-Sicherheit sorgt, verstösst gegen das Gesetz (Artikel 143, Absatz 1 im StGB). Die Motivation des Security-Researchers spielt dabei keine Rolle.
  • Wenn ein belegbarer Notstand vorliegt, kommt der ethische Hacker jedoch ungeschoren davon. Das bedeutet: Es muss eine unmittelbare Gefahr bestehen, die Sicherheitslücke muss dem Tester bekannt und der unbewilligte Test das mildeste aller möglichen Mittel sein. Die vorhandenen Lücken müssen zudem dokumentiert und die Informationen mit dem betroffenen Unternehmen geteilt werden.
  • Erfolgt der Angriff nicht ausschliesslich zur Gefahrenabwehr, ist er in jedem Fall strafbar.
  • Erkenntnisse aus dem Angriff müssen mit dem Betreiber der Infrastruktur geteilt werden, bevor sie selbst publiziert werden dürfen. Sollte die Lücke nur teilweise behoben werden, dürfen gegenüber der Öffentlichkeit nicht alle Details offengelegt werden.


Das NTC bietet eine Zusammenfassung und das komplette Gutachten zum Download an. Beim Newsportal Watson gibt es ein Interview mit dem NTC, das auf Basis des Gutachtens selbst unangemeldete Angriffe durchführen will. Allerdings darf es dafür keine Bounties erwarten. Die gibt es nur, wenn man sich für eines der laufenden Abraxas Bug-Bounty-Programme anmeldet. Nur dieses bietet einen absolut sicheren Rahmen für Researcherinnen und Researcher und gewährleistet, dass alle Beteiligten von «Ethical Hacking» profitieren.

Die Ansicht der Eidgenössischen Datenschutzbeauftragten

Fast zeitgleich mit dem NTC und dem Walder-Wyss-Gutachten hat auch der EDÖB eine Einschätzung aus datenschutzrechtlicher Sicht abgegeben. Mit einem neuen Merkblatt informiert der Datenschützer des Bundes White-Hat- oder Ethical Hackers. Fazit: Wer ohne Wissen des Systembetreibers nach Schwachstellen suche, begebe sich in rechtliche Gefahr. Es sei kaum möglich, Personendaten nicht zu bearbeiten, wenn man in ein Netzwerk eindringen wolle. Zudem: Sind die gefundenen Schwachstellen nicht behoben, sei eine Weitergabe der Informationen praktisch ausgeschlossen.

Daniel Scherrer

Über Daniel Scherrer

Daniel Scherrer ist Chief Software Architect bei Abraxas. Er plant und entwickelt Software konsequent entlang bewährter und sicherer Methoden. Er leitet das Abraxas Bug-Bounty-Programm.

Lesen Sie auch

0 / 0