Das Nationale Testinstitut für Cybersicherheit (NTC) in Zug in der Schweiz sucht dort nach Sicherheitslücken, wo andere nicht hinschauen. Ist dieses White-Hat-Hacking ohne Auftrag und auf eigene Initiative legal?
Gemäss dem Rechtsgutachten «Strafbarkeit von Ethical Hacking», welches das NTC bei den Anwaltskollegen von Walder Wyss in Zürich in Auftrag gab, ist ethisches Hacking unter Einhaltung bestimmter Voraussetzungen als rechtfertigender Notstand nicht strafbar.
Für die «Datenschutz Plaudereien» diskutierte ich in drei Podcast-Episoden mit Gina Moll, Rechtsanwältin bei Walder Wyss, und Tobias Castagna, Leiter Test-Experten beim NTC, ausführlich über ethisches Hacking und das Rechtsgutachten.
Was ist beispielsweise der «Computerfrieden»? Wieso ist Responsible Disclosure wichtig? Wie unterscheiden sich ethische Hacker von «Klimaklebern»?
Das NTC geht auf eine Arbeitsgruppe «Prüfinstitut» im Rahmen der Cyber-Initiative Zug zurück. In dieser Arbeitsgruppe erarbeitete ich unter der Leitung von Thomas Held und Raphael Reischuk gemeinsam mit anderen Fachpersonen das Konzeptpapier «Schaffung eines Prüfinstituts für vernetzte Geräte unter dem Gesichtspunkt der Cyber-Sicherheit».
DAT150 Ethical Hacking ohne Strafbarbarkeit
In der Podcast-Episode «DAT150 Ethical Hacking ohne Strafbarbarkeit» thematisierten wir unter anderem folgende Fragen:
- Was ist das Nationale Testinstitut für Cybersicherheit (NTC)? Was sind seine Aufgaben?
- Wer finanziert das private NTC? Welche Verbindungen gibt es zu den Bundesbehörden?
- Was ist Ethical Hacking? Wie definiert man technische Begriffe, dass sie rechtlich fassbar sind?
- Welche Straftatbestände können White-Hat-Hacker verletzen?
- Was versprach sich das NTC vom Auftrag für das Rechtsgutachten?
- Unter welchen Voraussetzungen ist Ethical Hacking allenfalls nicht strafbar?
- Was ist unter einem rechtfertigenden Notstand zu verstehen?
- Welche Bedeutung hat der «Computerfrieden» beim Ethical Hacking?
DAT151 Responsible Disclosure
In der Podcast-Episode «DAT151 Responsible Disclosure» thematisierten wir unter anderem folgende Fragen:
- Wie nutzt das NTC das Rechtsgutachten von Walder Wyss für seine Arbeit?
- Wie sollten unabhängige White-Hat-Hacker vorgehen, um eine Strafbarkeit zu vermeiden?
- Welche Bedeutung hat Responsible Disclosure in strafrechtlicher Hinsicht?
- Was bedeutet die kürzlich erfolgte Warnung des EDÖB an White-Hat-Hacker?
- Ist das Nationales Zentrum für Cybersicherheit der richtige Ort für die Meldung von entdeckten Sicherheitslücken?
- Wie können ethische Hacker an die Öffentlichkeit gehen, wenn überhaupt?
- Wieso passt die strafrechtliche Antragsfrist von 3 Monaten beinahe perfekt zur üblichen Disclosure-Frist von 90 Tagen?
DAT152 Klimakleber und White-Hat-Hacker
In der Podcast-Episode «DAT152 Klimakleber und White-Hat-Hacker» thematisierten wir unter anderem folgende Fragen:
- Welche Bedeutung hat das Gutachten für Ethical Hacking ausserhalb der Schweiz?
- Kann sich ein White-Hat-Hacker in der Schweiz durch Hacking im Ausland strafbar machen?
- Was ist der Unterschied zwischen ethischen Hackern und «Klimaklebern»?
- Wie lange dauert es, bis das Rechtsgutachten von Walder Wyss getestet wird?
Eidgenössischer Datenschutzbeauftragter veröffentlicht Merkblatt für White-Hat-Hacker
Bild: Microsoft Bing Image Creator mit einem definitiv nicht treffenden Bild der Podcast-Diskussion.
Als Feedback zum Podcast: Die Stückelung über drei Folgen fand ich eher mühsam, die Dauer ist zu kurz dafür. Wieso nicht als eine Folge? Beim Inhalt habe ich nichts auszusetzen, danke dafür!
@Tim:
Vielen Dank für Deine Rückmeldung. Ich verstehe Deinen Wunsch, dass wir ein solches Gespräch in Form einer längeren Episode veröffentlichen. Wir bevorzugen allerdings kurze Episoden. Ein einfacher Workaround für Dich wäre, dass Du das Gespräch nach Veröffentlichung der letzten Episode an einem Stück hörst.