Das Aufspüren von Schwachstellen durch sogenannte "Whitehat Hacker" ist in Deutschland strafbewehrt und bringt Leute, die Sicherheitslücken melden, immer wieder mit dem Gesetz in Konflikt. Im Hinblick auf die Überarbeitung des Hackerparagraphen hat der wissenschaftliche Dienst die Sachlage ausgewertet, und vergleicht die Rechtslage bzgl. der Strafbarkeit im internationalen Vergleich.
Anzeige
Ein kurzer Rückblick, darum geht es
Zum Hintergrund: Anke Domscheit-Berg hat vom wissenschaftlichen Dienst des Bundestages eine Ausarbeitung erstellen lassen. Es geht u die Novellierung des sogenannten Hackerparagraphen § 202c StGB, der das Hacken von Computersystemen in Deutschland unter Strafe stellt. Auch Whitehat-Hacker und Personen, die zufällig Schwachstellen aufdecken, werden so kriminalisiert.
Ich hatte den prominenten Fall, wo jemand einen Strafbefehl für eine entdeckte und veröffentlichte Sicherheitslücke (siehe Kundendaten von Online-Marktplätzen (Otto, Kaufland, Check24 …) einsehbar) erhielt, im Blog-Beitrag Amtsgericht Jülich verurteilt Entdecker der Modern Solutions-Schwachstelle zu Geldstrafe (Jan. 2024) besprochen. Die Artikelliste am Beitragsende verweist auf weitere Beiträge zu diesem und weiteren Themen.
Deutschland ist da "Bananenrepublik", was die Arbeit von Whitehat-Hackern betrifft. Seit dem im Anhang dokumentierten Desaster zwischen der CDU und Lilith Wittmann (es gab eine Strafanzeige gegen Wittmann, nachdem sie eine Schwachstelle in einer CDU Wahlkampf-App aufgedeckt hatte) melden der Chaos Computer Club und viele Sicherheitsforscher entdeckte Schwachstellen nicht mehr. In einigen ausgewählten Fällen habe ich es übernommen, entdeckte Schwachstellen für Leser (i.d.R. über die Landesdatenschutzbeauftragten) zu melden.
Als Blogger kann ich mich auf das Presserecht berufen und habe ja auch niemals Zugriff auf die Daten gehabt, nur der jeweilige Leser weiß um die Schwachstelle. Ist immer gut gegangen, auch wenn manchen Unternehmen nicht erfreut war. Unter diesem Gesichtspunkt gibt es also Bestrebungen, den sogenannten Hackerparagraphen § 202c StGB zu novellieren.
Novellierungspläne und die Situation in Europa
Die Frage ist, wie das Thema in europäischen Ländern gehandhabt wird, und was sich bei der möglichen Novelle abzeichnet. Ich habe das PDF-Dokument des wissenschaftlichen Diensts des Bundestags mal überflogen. Für Deutschland wird sich (nach meiner Lesart) vom Tenor her nach der Novellierung des Hackerparagraphen in Deutschland wenig ändern.
Anzeige
Es gibt Länder, wo Whitehat-Hacker privilegiert sind. In den Niederlanden wird die Aufdeckung von Schwachstellen gefördert. In Deutschland macht man lieber feine Prospekte, wie die Kollegen von heise hier kommentieren (siehe auch folgenden Tweet).
Ergänzung: Nach Veröffentlichung des Beitrags habe ich diesen etwas ergänzt und später gesehen, dass heise wenige Stunden später das Thema hier ebenfalls aufgegriffen hat und einige Aspekte umfassender beschreibt.
Ähnliche Artikel:
Kundendaten von Online-Marktplätzen (Otto, Kaufland, Check24 …) einsehbar
Datenleck bei deutschen Shopping-Plattformen (700.000 Kundendaten online)
Entwickler meldet Modern-Solution-Datenleck, darauf Anzeige und Hausdurchsuchung
Modern Solution-Datenleck: Anzeige gegen Entwickler kam vom Hersteller
Anzeige von Modern Solution: Verfahren gegen Entdecker einer Schwachstelle vor Gericht abgewiesen
IT-Experte, der Modern Solutions Schwachstelle öffentlich gemacht hat, muss nun doch vor Gericht
Urteil des LG Aachen (Fall Modern Solution-Schwachstelle) liegt vor
Hauptverhandlung gegen Entdecker der Modern Solutions-Schwachstelle im Januar 2024
Amtsgericht Jülich verurteilt Entdecker der Modern Solutions-Schwachstelle zu Geldstrafe (Jan. 2024)
Die CDU, die Wahlkampf-App, der Datenschutz und das Strafrecht, sowie Digitalkompetenz in der Politik
CDU zieht Anzeige gegen Sicherheitsforscherin Wittmann zurück
Mögliche Schwachstelle bei Ticket-System der Koelnmesse aufgedeckt, gibt es einen 2. Modern Solutions-Fall?
Anzeige
Nur ein toter Hacker ist ein guter Hacker! Ein Sicherheitsforscher ist kein Hacker in dem Sinne!
Ob Personen, welche in guter Absicht aktiv Sicherheitslücken suchen, nun als Hacker zu bezeichnen sind oder nicht, ist ehr nebensächlich. Maßgeblich ist, dass diese Personen fürchten müssen strafrechtlich verfolgt zu werden und dass sich daraus Konsequenzen ergeben, welche ggf. uns alle betreffen können.
Am besten zeigt es ja die CDU, welche beim Thema IT-Security und dem Umgang mit Lücken in den eigenen Systemen mit ihrem typischen Beißreflex reagiert. Günter schrieb ja hier schon mehrfach im Blog, dass die CDU in Security Kreisen völlig verbrannt ist. Es wird keiner mehr etwas melden oder Hinweise geben, eben auch aus der Sorge für die gute Tat noch Nackengeschläge zu bekommen.
Bei all dem, was man gerne so Online digitalisieren möchte wie die EPA, wäre eine gewisse externe Kontrolle der Security Szene sicherlich nicht von Nachteil. Das setzt aber voraus, dass man mit diesen Leuten auf Augenhöhe agiert und nicht die Hinweisgeber durch Strafverfolgung vergrault. Aus meiner Sicht keine gute Entwicklung.
Wenn denn ein "Whitehat Hacker" schon in DE zum "Bösen" wird,
kann man ihm ja nur raten, die Lücken und Bugs, die erfindet eben nicht den entsprechenden Behörden und/oder Institutionen zu melden.
Wenn er was Gutes tun will, veröffentlicht er seine Erkenntnisse dann einfach unentgeltlich frei im Netz!
Wer nicht hören will, muss fühlen!
Zu "Wenn er was Gutes tun will, veröffentlicht er seine Erkenntnisse dann einfach unentgeltlich frei im Netz!" keine gute Idee, kann nach hinten los gehen. Wenn ich Relais für Leser spiele, gehe ich oft über die Landesdatenschutzbeauftragten oder schaue mir die Firma an. Eine VW hat vorbildlich reagiert, auch andere Unternehmen (z.B. DHL) haben dann die Anregungen des BfDI aufgegriffen. Aber man weiß oft nicht, mit wem man es zu tun hat, ein GF, der schräg drauf ist, kann Ärger machen (Digitaisierung first, Bedenken second, Security egal, sind andere Schuld oder es waren ausgebuffte Hacker mit krimineller Energie, kann man nichts machen).
Als verantwortungsvoller Mensch möchte man das aber auch nicht, denn die Geschädigten sind am Ende andere Dritte, welche für die Sicherheitslücke in der IT nichts können. Seien es Patienten, deren Daten veröffentlicht werden oder einfache Mitarbeiter, welche wegen eines Cyberangriffs keinen Lohn mehr erhalten. Ich würde ehr über die Presse gehen und hoffen, dass man durch den Quellenschutz einigermaßen aus der Schusslinie ist.
Vermutlich hat da "jemand" Angst, dass unter dem Deckmantel der Suche nach Sicherheitslücken Betriebsgeheimnisse Ausspioniert werden. Oder man ist so sehr im eigenen Datenschutz-Wahn gefangen, das man nicht mal dem "guten Hacker" Einblicke als Nebeneffekt gönnt. Vielleicht hat man Angst vor den vielen Lücken und Löchern die dann legal gefunden werden könnten und also geschlossen werden müssten (mit welchen Fachkräften?) … na wer weiß schon was in den Gehirn'chen dieser Kleingeister vor sich geht.
Wir sollten die guten Hacker schützen und unterstützen und nicht bestrafen. Was international passiert ist doch nicht relevant. Gesunder Menschenverstand sollte ausreichend sein, hierfür brauche ich keinen wissenschaftlichen Dienst!
Vorbemerkung: Bin weder Jurist noch habe ich den Gesetzestext gelesen.
Für den Laien schwer vorstellbar, wie das in der Praxis überhaupt funktionieren soll, dass „das Aufspüren von Schwachstellen" (und nicht das Ausnutzen von Schwachstellen) strafbar ist.
Wenn ich herausfinden möchte, warum OpenSource-Programm X immer abstürzt, mache ich mich dann schon strafbar? Oder erst, wenn ich dabei zufällig sehe, dass das Passwort gar nicht verifiziert wird? Und wenn ich gar nicht in den Code schaue, sondern einfach so feststelle, dass es egal ist, welches Passwort ich eingebe?
Und die Leute von, beispielsweise, 0patch oder betterbird, sind dann nach deutschem Recht auch Straftäter?
Erstmal sollte man zwischen eigenen und fremden System unterscheiden. Wenn wir in der Firma einen Pentest machen lassen, dann gibt es entsprechende Vereinbarungen mit dem Dienstleister. Wir autorisieren ihn unsere Systeme zu überprüfen und auch wie weit er dabei gehen soll. Nicht bei jeder vermuteten Lücke muss auch aktiv per Exploit verifiziert werden, dass die Lücke auch tatsächlich existiert. Exploits funktionieren nicht immer, manchmal stürzt das System auch einfach ab.
Entsprechend muss man abwägen ob der mögliche Schaden vertretbar ist. Häufig ist patchen die einfachere Option, gerade bei Lücken, welche nur in bestimmten Konfigurationen auftreten. Diese bestellte Dienstleistung ist nicht strafbar, da im Auftrag des Eigentümers gehandelt wird. Gleiches gilt auch, wenn ich meine eigenen Systeme unter die Lupe nehme.
Komplizierter wird die Sachlage, wenn ich fremde Systeme analysiere, ohne dass der Eigentümer dem zugestimmt hat. Das ist aber häufig genau das Umfeld in welchem sich die Sicherheitsforscher bewegen. Wie oben geschrieben kann zu aggressives Vorgehen durchaus Schäden erzeugen. Hier entsteht eine Gratwanderung, welche nicht leicht zu absolvieren ist. Auch macht der Hackerparagraf es hier sehr schwierig, da das Umgehen eines Zugriffsschutzes als Einzelaktion schon strafbar ist.
Finde ich also Geräte im Internet, welche das Default-Passwort des Herstellers aus dem Handbuch verwenden, dann ist eine Anmeldung mit diesen Daten schon strafbar. Meldet man sich sofort wieder ab und meldet das Problem dem Eigentümer, so könnte trotzdem eine Strafanzeige folgen. Da ist immer die Frage welche Kompetenz in Sachen IT-Security die Gegenseite hat. Geräte mit Default-Passwort im Internet lassen aber nichts Gutes vermuten. Selbiges gibt übrigens auch für die Gerichte, da auch Richter teilweise einen unterschiedlichen Blick auf die Thematik haben.
Weiter geht es dann bei den Tools, welche man so auf seinem PC hat, um Analysen zu fahren. Auch hier kann auf Grund des Hackerparagrafen alleine der Besitz von Software schon eine Straftat darstellen. Das betrifft vor allem Tools, welche primär offensiv eingesetzt werden und Sicherungsmaßnahmen umgehen sollen. Tools, welche z.B. DVD oder Blu-ray rippen können, fallen auch darunter. Viele Tools sind Dual-Use wie z.B. Netzwerkscanner wie nmap. Ich kann damit sowohl eigene System prüfen, aber auch aktiv nach verwundbaren Systemen Dritter suchen. Schon ein Portscan könnte einem als Vorbereitungsmaßnahme für einen Angriff ausgelegt werden.
Das Thema ist unheimlich spannend, aber jeder der sich aktiv damit beschäftigt, läuft eben Gefahr bei den Systemen Dritter Probleme zu bekommen, auch wenn er keine bösen Absichten hat. Hier einen rechtlich sauberen Meldeweg zu etablieren, welcher den Hinweisgeber ausreichend schützt, wäre wünschenswert. Die IT in Deutschland könnte diesen Input durchaus vertragen.
genau sowas ist mir passiert.
hab eine power delivery unit (schaltbare Steckdose) Kommandozeile steuern müssen und daher in der browser konsole geschaut, welches http Paket der Browser für das einschalten schickt.
das hab ich in Python nachgebaut. das war im Prinzip ein 5 Zeiler.
dann hab ich mich gewundert, dass das auch klappt, wenn ich das Passwort falsch eingebe. dadurch war klar: die Anmeldung im web ist Makulatur um die Steuerungsseite zu sehen, aber nicht erforderlich für die Schaltung.
Zack. Knast. 3 Jahre am besten. es braucht nicht viel.
Bei der geballten Inkompetenz der Regierung (auch mehrerer davor) in Sachen Digitalisierung ist nicht anderes zu erwarten. Die, welche helfen können und wollen, werden bestraft. Der nächste Digital-GAU ist gerade in der Mache: ePA.
wenn sich jemand bei dir meldet und dir sagt, das es ein Problem gibt, dann habe ich Null Verständnis, das das strafbar sein soll.
er sagt es dir, der redet mir dir.
simpler weise ist die Person, wenn sie es weiß und nicht mit dir reden ein Ars*****h :-)
es sei denn, du bist die oder wie die CDU, dann hat du es durch dein Verhalten bei vorherigen Meldungen nicht besser verdient
Man kann auch rein durch Zufall auf eine Sicherheitslücke stoßen, ohne explizit nach ihr gesucht zu haben.
Meldet man das, wird das vor Gericht sicherlich schon als Hacken aufgefasst.
Ergo meldet man es nicht.
Der Staat leistet sich mit dem Hackerparagraphen einen Bärendienst, denn ausländische Hacker interessieren deutsche Gesetze nicht und man verhindert aktiv, das Leute nach Sicherheitslücken suchen, um die dann zu melden, damit die geschlossen werden können.
Und was die Politik angeht:
Nicht nur die CDU ist bzgl. Cybersicherheit und allgemein bzgl. IT-Themen absolut inkompetent. Fast alle anderen Parteien sind das ebenso.
Nur ein paar Splitterparteien haben da eine gewisse Kompetenz, aber die spielen im politischen Alltag keine Rolle.
Wenn etwas per Gesetz als sicher deklariert wird, sollte das ausreichen, da hat niemand dann rumzuschnüffeln. Basta!
Ja, ich lasse meine Fenster immer weit offen stehen, auch wenn ich im Urlaub bin.
Denn per Gesetz sind auch weit offene Fenster als geschlossen anzusehen!
Wenn da jetzt jemand die offenen Fenster meldet, wird er verhaftet, weil ihm ein Einbruchsversuch unterstellt wird.
Ergo wird niemand die offenen Fenster melden und die echten Einbrecher freuen sich über den leichten Zugang.
Ironie? ;)
Ironie!
So ist es doch in DE!
Erinnerst Du Dich noch an "Wirksamen Kopierschutz"
und die Diskussion darüber was wirksam ist?
"Neuland" wird in Deutschland und, ich glaube, auch in der EU noch eine ganze Zeit andauern.
"Whitehat Hackern" kann man nur raten, bei entsprechenden Entdeckungen genau nachfolgende Handlungen und Meldungen zu überlegen, bevor sie mit mal laut Gesetz Straftäter sind.
Traurig, sehr traurig.
"Das Aufspüren von Schwachstellen durch sogenannte "Whitehat Hacker" ist in Deutschland strafbewehrt"
Falsch.
"und bringt Leute, die Sicherheitslücken melden, immer wieder mit dem Gesetz in Konflikt."
Jeder Dienstleister für Penetrationstests erhält einen vertragsrechtlich strukturierten Auftrag für entsprechende Schwachstellenanalysen der Systeme und Organisationen des Auftraggebers und kommt NICHT mit dem Gesetz in Konflikt.
"Im Hinblick auf die Überarbeitung des Hackerparagraphen hat der wissenschaftliche Dienst die Sachlage ausgewertet"
Es existiert kein "Hackerparagraph". Es exisitieren insgesamt acht Tatbestände der Computerkriminalität, die mit verschiedenen Paragraphen im Strafgesetzbuch normiert sind.
"Seit dem im Anhang dokumentierten Desaster zwischen der CDU und Lilith Wittmann"
Diese Dame hat mit ihrem Vorgehen gegen deutsche Sicherheitsbehörden (nicht der CDU-Sachverhalt) Strukturen der inneren und äußeren Sicherheits Deutschland offenbart und somit den Gegnern unseres Landes zur Verfügung gestellt. Eigenen Angaben zufolge strebt sie aufgrund ihrer "politischen Überzeugung" die Sabotage der Sicherheitsbehörden an. Die Bereinigung ihres Handelns und die Wiederherstellung der Funktionsfähigkeit betroffener Sicherheitsbehörden kostetete Berichten zufolge mehrere Millionen Euro zulasten des deutschen Steuerzahlers.
Geht's noch ein wenig dicker? Mit den Whitehat-Hackern sind oben im Text definitiv nicht die im Auftrag handelnden Penetrationstester gemeint. Wer auf eine Schwachstelle stößt, sollte sich definitiv überlegen, ob er diese meldet, wenn er keinen Auftrag des Unternehmens hat. Unsere Altvordern kannten den Begriff des Bärendiensts …
Zu deinem "Hackerparagraphen" – ja, Juristen schauen sich die einschlägigen Paragraphen in § 202c StGB, ff. an und hangeln sich daran entlang – das ist korrekt. Für einen Blog-Beitrag reicht "Hackerparagraphen" damit die Leserschaft weiß, was gemeint ist.
Zu deinem Excerpt hinsichtlich Wittman: Ich bezog mich a) ganz konkret auf die CDU Wahlkampf-App und die daraus resultierende Anzeige sowie den Fall Modern Solutions, und b) ich nehme an, es wird sich auf die Aktion "Transportmanagement der Bundesverwaltung" bezogen. Das hatte aber mit Hackerpargraph & Co. nichts zu tun, sondern eher mit der Inkompetenz der Protagonisten. Kann man aber unterschiedlich bewerten, sei es drum.
Wo ich aber definitiv Probleme habe: Dein Verweis auf Wittmann und deren politischer Ausrichtung im Zusammenhang mit einem Beitrag über ein Gutachten des wissenschaftlichen Diensts des deutschen Bundestage, in dem es "lasch gesprochen" um die Frage geht "wie gehen europäische Länder mit Whitehat-Hackern um". Das ist Framing vom Feinsten.
Von daher Kopfschütteln – aber was weiß ich schon von der Welt.
"Mit den Whitehat-Hackern sind oben im Text definitiv nicht die im Auftrag handelnden Penetrationstester gemeint."
Eben. Warum wenden sich diese nicht an die potentiell betroffenen Einrichtungen und ersuchen um entsprechende Auftragslagen, sofern ein Anfangsverdacht gegeben ist? Reagieren die Kontaktierten nicht sind Behörden wie das BSI und die Datenschutzbeauftragten zuständig und nicht Robin oder Robina Hood.
Die Diskussion um "Hackerparagraphen" ist eine einseitige Farce, weil überflüssig.
Der Kreis schließt sich auch zum zitierten Millionenschaden, der kausal nicht den Behörden, sondern dem querulantischen Verhalten einer Einzelperson zuzuschreiben ist. Moskau und Peking müssen nur Twitter mitlesen.
Den Hinweis auf ihre behördenfeindliche Grundeinstellung und ihren direkten Vorsatz zur Behördensabotage (siehe wiki) hast du geflissentlich ignoriert mit deiner Antwort.
Kopfschütteln ist keine Einbahnstraße.
Weil sie dann postwendend angezeigt werden, Hausdurchsuchung inklusive, alles schon passiert…
@Anonymous
Du hast meine beiden diesbezüglichen Beiträge entweder nicht vollständig gelesen oder nicht verstanden.
Zu deinem "Den Hinweis auf ihre behördenfeindliche Grundeinstellung und ihren direkten Vorsatz zur Behördensabotage hast du geflissentlich ignoriert mit deiner Antwort." den habe ich durchaus gelesen und beantwortet – es bleibt aber trotzdem Framing – hatte ich in der Antwort angedeutet.
Und dass Moskau sowie Peking auf Twitter mitlesen, um rauzukriegen, was "hackbar wäre" – warum ist mir das Bild von Vogel Strauß jetzt vor Augen?
Zu deinem "Warum wenden sich diese nicht an die potentiell betroffenen Einrichtungen und ersuchen um entsprechende Auftragslagen" – das wird sich in vielen Fällen nicht realisieren lassen. Sofern es ein DSGVO-Thema ist, wäre der BfDI oder LfDI die richtige Ansprechpartnerin – andernfalls könnte es das BSI sein.
Da die Welt aber nicht schwarzweiß ist, gibt es viele Grautöne. Wenn ich mal die Reaktionen diverser Firmen auf Meldungen im Kopf rekapituliere, gibt es da eine ganze Bandbreite an Reaktionen: Von absolut professionell, über "im Sande verlaufen" bis "wenn da irgend etwas publik wird, meldet sich der Anwalt". Von den beiden letztgenannten Fällen wurde i.d.R. noch keine Problemstelle beseitigt. Ich habe dann von Fall zu Fall entschieden, wie ich als Blogger vorgehe – manche Protagonisten reagierten angepisst, wenn der LfDI anklopfte, manches blieb halt offen. Ähnliches kenne ich von Dritten.
Interessant finde ich halt immer, wenn es knallt und ich die Mitteilung bekomme "hab die vor Monaten schon informell hingewiesen …, passiert ist nichts". Aber sei's drum – im obigen Text geht es um einen bestimmten Sachverhalt – warten wir ab, ob es überhaupt eine Novelle gibt und wie die dann final aussieht.
Da wird keine Änderung kommen.
Sobald White-Hat-Hacker einen Schutz hätten, könnten sie sofort das ganze Land bloßstellen, indem sie alle Sicherheitslücken beim Bund und den Behörden suchen und melden.