White-Hat-Hacker melden dem EDÖB, der schweizerischen Datenschutz-Aufsichtsbehörde, immer wieder Sicherheitslücken. Mit einem neuen Merkblatt informiert der EDÖB solche White-Hat-Hacker (WHH) über ihre rechtliche Situation, ihre Risiken und seine Rolle als Eidgenössischer Datenschutzbeauftragter.
Das Merkblatt erweckt den Eindruck, dass der EDÖB nicht unglücklich wäre, wenn «ethische Hacker» auf Meldungen an ihn verzichten würden. Man kann solche Meldungen zwar als Vertrauensbeweis sehen, muss sich aber tatsächlich fragen, ob der EDÖB der richtige Adressat ist.
Der EDÖB richtet sich mit seinem Merkblatt an «das Idealbild der WHH, die ‹das Richtige tun wollen›».
Die «Ausführungen betreffen […] WHH, die ohne jegliche Grundlage und ohne Wissen des Systembetreibers handeln, welcher nur dann informiert wird, wenn tatsächlich eine Schwachstelle gefunden wird. Durch ihr Handeln können WHH rasch in die Rechtswidrigkeit abgleiten. Ohne Anspruch auf Vollständigkeit soll dieses Dokument einige Denkanstösse geben, damit WHH die Auswirkungen ihrer Aktivitäten besser einschätzen können.»
Hingegen richtet sich der EDÖB insbesondere nicht an «Hacker/innen, die auf einen direkten Vorteil abzielen (z. B. Nutzung von Daten für eigene Zwecke), oder Tätigkeiten von Aktivist/inn/en, die Sicherheitslücken für Protestzwecke nutzen (z. B. Blockierung einer Unternehmenswebsite)». Dazu zählt der EDÖB auch Personen unter dem «weiter und unabhängig von guter oder böser Absicht gefassten Begriff der Hacktivist/innen».
Im Merkblatt bezieht sich der EDÖB jeweils auf das neue Datenschutzgesetz, das am 1. September 2023 in Kraft tritt.
Der EDÖB versteht sein Merkblatt als komplementär zu den Richtlinien des Nationalen Zentrums für Cybersicherheit (NCSC), das eine Coordinated Vulnerability Disclosure (CVD)-Plattform betreibt.
Interessant ist in diesem Zusammenhang, dass der EDÖB davon ausgeht, dass die verantwortungsvolle Offenlegung entdeckter Sicherheitslücken Convention on Cybercrime (CCC) widerspricht. Art. 2 CCC lautet unter anderem wie folgt:
«Jede Vertragspartei trifft die erforderlichen gesetzgeberischen und anderen Massnahmen, um den unbefugten Zugang zu einem Computersystem als Ganzem oder zu einem Teil davon, wenn vorsätzlich begangen, nach ihrem innerstaatlichen Recht als Straftat zu umschreiben.»
«Ethisches Hacking»: Wie können die datenschutzrechtlichen Grundsätze eingehalten werden?
In datenschutzrechtlicher Hinsicht geht aus dem Merkblatt klar hervor, dass «ethisches Hacking» anspruchsvoll ist. Ein Beispiel dafür ist der Grundsatz der Zweckbindung gemäss Art. 6 Abs. 3 nDSG:
«[…] Daten [dürfen] nicht auf eine Art und Weise verwendet werden, die mit den bei der Beschaffung angegebenen Zwecken unvereinbar ist. Wenn Daten von einer Drittperson wie einem/einer Hacker/in – selbst mit guten Absichten – bearbeitet werden, ist dies a priori nicht mit dem ursprünglichen Zweck der Beschaffung vereinbar und macht die Bearbeitung daher grundsätzlich unrechtmässig. WHH müssen somit grundsätzlich davon absehen, Personendaten, zu denen sie Zugang haben, zu bearbeiten.»
Es dürfte schwierig sein, Personendaten, zu denen man Zugang hat, nicht zu bearbeiten. «Bearbeiten» gemäss Art. 5 lit. d nDSG umfasst «jeden Umgang mit Personendaten, unabhängig von den angewandten Mitteln und Verfahren».
Die Weitergabe an Journalisten oder Medien schliesst der EDÖB aus, solange die entdeckten Sicherheitslücken nicht geschlossen wurden:
«Alle diese Grundsätze verbieten auch die Weitergabe der durch die Sicherheitslücke betroffenen Daten oder die Bekanntgabe der Sicherheitslücke (ausser an die Aufsichtsbehörden), da sonst die betroffenen Personen geschädigt werden könnten. Eine Bekanntgabe an die Medien, bevor die Sicherheitslücke geschlossen wurde, ist daher nicht mit diesen Grundsätzen vereinbar (insbesondere wenn der Betreiber versucht, die Sicherheitsmängel so schnell wie möglich zu beheben). Ebenso müssen die WHH den Betreiber so schnell wie möglich über ihre Feststellungen informieren und ihm ausreichend Zeit zur Behebung der Sicherheitslücken geben.»
Die entscheidende Frage, ob sich «ethisches Hacking» und allenfalls auch die Weitergabe an Medien mit einem überwiegenden öffentlichen Interesse gemäss Art. 31 nDSG rechtfertigen lässt, diskutiert der EDÖB nicht.
White-Hat-Hacker: Erhebliche Risiken bei Meldung von Sicherheitslücken an den EDÖB
Alles in allem verstehe ich das Merkblatt so, dass der EDÖB nicht unglücklich ist, wenn White-Hat-Hacker entdeckte Sicherheitslücken anderswo melden, zum Beispiel beim NCSC.
Dazu passt, wie der EDÖB im Merkblatt abschliessend seine Rolle beschreibt:
«Eine Meldung an den EDÖB durch die WHH ist nicht obligatorisch und im DSG auch nicht speziell vorgesehen (im Gegensatz zum Verantwortlichen, der zur Meldung verpflichtet ist, wenn eine Sicherheitslücke ein hohes Risiko für die betroffenen Personen mit sich bringt, insbesondere wenn zu befürchten ist, dass die Schwachstelle ausgenutzt wurde; vgl. Art. 24 DSG).»
Und:
«Wenn eine Meldung dennoch in Betracht gezogen wird, sind mehrere Aspekte zu berücksichtigen:
- […] Angestellten des EDÖB [haben] bei begründetem Verdacht auf Offizialdelikte (d.h. auch wenn keine Anzeige vorliegt: z B. Art. 143 Abs. 1 StGB) eine Anzeigepflicht (Art. 22a BPG).
- Bei genügend Anzeichen auf eine Verletzung von Datenschutzbestimmungen kann der EDÖB eine Untersuchung (Art. 49 ff. DSG) gegen den Verantwortlichen im Sinne von Art. 5 lit. j DSG (z.B. Systembetreiber) einleiten. Werden Datenschutzbestimmungen verletzt, kann er Verwaltungsmassnahmen zur Beseitigung der datenschutzrechtlichen Risiken anordnen (vgl. Art. 51 Abs. 3 DSG). Eine Meldung an den EDÖB ist jedoch nicht immer angebracht. Wenn die Sicherheitslücke nicht auf grobe Fahrlässigkeit zurückzuführen ist, es keine Hinweise auf eine Ausnutzung gibt und der Systembetreiber die Schwachstelle zufriedenstellend behebt, kann sich die Einleitung einer Untersuchung als überflüssig erweisen.
- Schliesslich kann der EDÖB auch eine Untersuchung (Art. 49 ff. DSG) gegen die Hacker/innen selbst einleiten. Auch in diesen Fällen gibt es keine Anonymitätsgarantie – selbst wenn eine Offenlegung des Namens durch den EDÖB immer zweckgebunden und im Rahmen des Gesetzes erfolgt.»
Merkblatt «White-Hat-Hacker/innen: Ihre rechtliche Situation, ihre Risiken und die Rolle des EDÖB»
Siehe auch: No-Fly-Liste: Eidgenössischer Datenschutzbeauftragter interveniert bei Hacktivistin Maia Arson Crimew.
Bild: Microsoft Bing Image Creator.