Wir leben in Deutschland ja ein bisschen im „Anzeige-ist-raus“-Land. Das merken auch Security-Researcher und ethische Hacker. Solange man Eigentümer:innen/Betreiber:innen nur auf frei und offen erreichbare Probleme hinweist, ist die Welt halbwegs in Ordnung. Sobald man aber beginnt, Schutzmechanismen zu überwinden oder Anwendungen zu übervorteilen, wird’s schnell juristisch dünn. Genau deshalb melde ich in der Regel nur komplett offen erreichbare Dinge – außer es gibt eine security.txt mit klarer Policy oder ein offenes Bug-Bounty mit Safe-Harbor.
Ein „Schutzmechanismus“ kann schon eine simple Basic-Auth sein. Kennt ihr dieses Bild vom Gartentor mitten auf dem Weg? Kein Zaun, keine Mauer, nur ein Tor. Auf dem Weg geht’s nicht weiter – aber einen Schritt nach links über die Wiese, und zack, ums Tor herum. Juristisch blöd: Das Umgehen dieses „Törchens“ kann bereits als Überwinden einer Zugangssicherung gewertet werden. Für die Meldenden kann das zum Problem werden, obwohl sie eigentlich helfen wollen.
Die Konsequenz: Selbst krasse Lücken werden oft gar nicht gemeldet, wenn davor ein Gartentörchen steht. Leute mit schlechten Absichten gehen natürlich einfach drumherum und nutzen die Lücke – anonym und schwer nachverfolgbar. Ergebnis: Probleme bleiben länger offen, statt sie sauber zu fixen.
Das sieht auch das BSI so und fordert schon länger mehr Rechtssicherheit für Security-Forschung. Aktuell gibt es wieder Bewegung: BSI-Präsidentin Claudia Plattner plädiert öffentlich für eine Entkriminalisierung ethischer Hacker – sinngemäß: „Wer uns vor Cyberangriffen schützt, darf dafür nicht bestraft werden.“ Die letzte Bundesregierung hatte sogar schon einen Entwurf zur Anpassung des sogenannten Hackerparagrafen in der Pipeline; die neue Regierung prüft das Thema weiter.
Zur Einordnung, worum es geht:
Strafgesetzbuch (StGB) – § 202a Ausspähen von Daten
(1) Wer unbefugt sich oder einem anderen Zugang zu Daten, die nicht für ihn bestimmt und gegen unberechtigten Zugang besonders gesichert sind, unter Überwindung der Zugangssicherung verschafft, wird mit Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe bestraft.
(2) Daten im Sinne des Absatzes 1 sind nur solche, die elektronisch, magnetisch oder sonst nicht unmittelbar wahrnehmbar gespeichert sind oder übermittelt werden.
Das Problem ist weniger § 202a an sich als das fehlende Safe-Harbor für verantwortungsvolles Melden (Coordinated/Responsible Disclosure). Wenn schon Basic-Auth oder ein dünnes „Do-not-enter“-Schild als „Zugangssicherung“ zählt, macht das legitime Forschung riskant – und genau das will das BSI ändern. Schutz für die Guten, klare Grenzen gegen echten Missbrauch.
Den aktuellen Überblick fasst Golem gut zusammen; lesenswert:
https://www.golem.de/news/hackerparagraf-bsi-chefin-fordert-straffreiheit-fuer-ethische-hacker-2511-201852.html
Meta: Ja, ich bleibe auch künftig bei meiner Linie: Tests nur im eigenen Lab oder mit expliziter Erlaubnis. Alles andere ist nicht nur unklug, sondern schlicht rechtlich riskant.
Ich bleibe bei meinem Tipp für euch: Veröffentlicht eine security.txt. Solltet ihr mal einen Hinweis bekommen, erinnert euch bitte daran, dass die Person gerade den größten Aufwand und das größte Risiko eingeht, um euch auf ein Problem aufmerksam zu machen. Es wäre viel einfacher, die Lücke für sich auszunutzen, zu verkaufen oder sonst wie zu missbrauchen, als den Schritt nach vorne zu gehen und euch fair zu informieren.
Natürlich meine ich damit nicht die Leute, die erst einmal 5.000 € „Audit-Gebühr“ sehen wollen oder beim ungefragten Pentesting eure komplette IT aus dem Verkehr schießen. Ich meine die Menschen, die euch auf dem REWE-Parkplatz freundlich darauf hinweisen, dass ihr euer Portemonnaie auf dem Autodach liegen gelassen habt.
Bedankt euch einfach. 🙂
Ganz ehrlich? Ziemlich überfällig, dass da endlich mal was passiert. 🙄
Ich mein, wie oft liest man „Hacker angezeigt, weil er ne offene Datenbank gefunden hat“? Das ist einfach komplett kontraproduktiv. Wenn du Leuten, die helfen wollen, juristisch die Beine wegziehst, darfst du dich nicht wundern, wenn irgendwann keiner mehr was meldet.
Der Vergleich mit dem Gartentor trifft’s echt gut. Nur dass das Tor bei uns halt „Basic Auth“ heißt und schon reicht, um in der Grauzone zu landen. Dabei geht’s doch nicht darum, fremde Systeme zu pwnen, sondern um sauberes Responsible Disclosure.
Ich hoff echt, dass das BSI da was reißen kann – Safe Harbor oder ne klare gesetzliche Ausnahme für Security Research wär mal ein Anfang. Sonst machen halt wieder nur die Blackhats Kasse und die Guten schweigen.
Spannender Beitrag, und aus wissenschaftlicher Sicht absolut relevant. Wir diskutieren an der Uni Bochum schon länger genau dieses Dilemma: Die rechtliche Unsicherheit für Security Researcher bremst Forschung und Praxis gleichermaßen aus.
Der §202a StGB ist in seiner aktuellen Form schlicht nicht mehr zeitgemäß. Die Abgrenzung zwischen „unbefugt“ und „erlaubter Sicherheitsanalyse“ ist oft so unscharf, dass sie selbst Fachjuristen Kopfzerbrechen bereitet. Das führt dazu, dass legitime Forschung in den Graubereich fällt, während echte Angriffe davon unbeeindruckt weiterlaufen.
Die Forderung des BSI nach klaren Rahmenbedingungen ist daher absolut zu begrüßen. Ohne Safe-Harbor-Regelungen riskieren wir, dass wissenschaftliche Erkenntnisse zu Schwachstellen gar nicht erst entstehen oder in die Öffentlichkeit gelangen – und genau das ist das Gegenteil von Sicherheit.
Kurz gesagt: Rechtssicherheit für ethisches Hacking ist nicht nur ein politisches Thema, sondern eine Voraussetzung für solide Sicherheitsforschung.
Lol, das fordern sie seit 20 Jahren.
In Deutschland ist jeder, der nmap eintippt, potenziell Krimineller – außer er arbeitet zufällig fürs BSI selbst. Statt Forscher zu kriminalisieren, sollte man lieber mal die Firmen in die Pflicht nehmen, ihre Systeme nicht mit Admin/Admin ins Netz zu stellen. Aber ja, lieber noch ’ne Arbeitsgruppe dazu gründen…
Klingt ja nett, aber am Ende bleibt’s bei Lippenbekenntnissen. Solange es keinen klar definierten „Safe Harbor“ im Gesetz gibt, hilft auch kein Appell vom BSI. Die Politik hat schon 2018 drüber gesprochen – passiert ist genau nichts. Und selbst wenn’s was gäbe: Wie viele Staatsanwälte oder Richter verstehen den Unterschied zwischen Penetrationstesting und echtem Einbruch überhaupt?