News & Blog
Strafbarkeit von White-Hat-Hacking in Europa
Definitionen
White-Hat-Hacking / Ethical Hacking: Als White-Hat-Hacker werden IT-Sicherheitsexperten bezeichnet, die zwar Systeme hacken, dies aber im Interesse des Systembetreibers tun. Sie entdecken Schwachstellen und melden diese im Anschluss an die Unternehmen oder führen im Auftrag von Unternehmen Penetrationstests und ähnliche Maßnahmen durch.
Coordinated Vulnerability Disclosure (CVD): CVD ist ein Modell zur Offenlegung von Schwachstellen, bei dem eine Schwachstelle oder ein Problem erst dann der Öffentlichkeit bekannt gegeben wird, wenn den Verantwortlichen/Systembetreibern genügend Zeit eingeräumt wurde, die Schwachstelle oder das Problem zu beheben. Oft sind es Ethical / White-Hat-Hacker, die diese Schwachstellen finden.
Gemeinsame europarechtliche Vorgaben zu White-Hat-Hacking / CVD gibt es nicht.
Je nach Form kann Hacking verschiedene Straftatbestände erfüllen. In der nachfolgenden Übersicht werden vor allem solche Tatbestände dargestellt, die sich direkt auf das Abfangen von Daten oder den unzulässigen Zugriff auf Daten oder Computersysteme beziehen.
White-Hat-Hacking ist explizit erlaubt.
Rechtslage
White-Hat-Hacking ist explizit erlaubt. Das neue Hinweisgeber-Gesetz (Klokkenluiderswet) erlaubt explizit „ethical hacking“.
Strafbarkeit von Hacking
Die Legalisierung von Ethical Hacking erfolgte ohne Änderung des bestehenden Rechtsrahmens, sondern durch ergänzende Regelungen. Hacking ist aber grds. immer noch strafbar (vgl. Art. 550bis des belgischen Strafgesetzbuches).
CVD
Das Belgische Zentrum für Cybersicherheit (CCB) arbeitet seit 2018 zusammen mit der Staatsanwaltschaft, den White-Hat-Hackern, mit privaten Unternehmen und öffentlichen Stellen an der Entwicklung eines nationalen Ansatzes bzgl. CVD-Maßnahmen.
Kommentar
Ziel darf nicht die Zufügung eines Schadens sein. Hacking darf nur unentgeltlich erfolgen, es sei denn, ein Entgelt wurde im Voraus vereinbart. Jede Schwachstelle muss an das Unternehmen und das Centre for Cyber Security Belgium gemeldet werden. Es gelten die Grundsätze der Notwendigkeit und Proportionalität. Keine Veröffentlichung von Schwachstellen, außer mit CCB-Einwilligung.
Rechtslage
White-Hat-Hacking ist explizit erlaubt.
Strafbarkeit von Hacking
Hacking gem. Art. 323-1 bis Art. 323-7 des französischen Strafgesetzbuches strafbar.
CVD
CVD-Policy 2016 implementiert.
Kommentar
Art. 47 (Art. L 2321-4 Code de la défense) schafft Rechtssicherheit für White-Hat-Hacker, wenn zwei rechtliche Kriterien strikt eingehalten werden (eine gesetzliche Ausnahmeregelung zum Art. 40 Code de procédure pénale):
- Handeln im guten Glauben;
- Schwachstelle ausschließlich an ANSSI gemeldet.
Wenn diese Voraussetzungen gegeben sind, wird kein Strafverfahren eingeleitet, obwohl Hacking grds. strafbar ist. ANSSI (Nationale Agentur für Sicherheit von Informationssystemen) kann in solchen Fällen die Identität des Hackers geheim halten und anonymisierten Bericht zur Schwachstelle erstellen.
Rechtslage
White-Hat-Hacking ist explizit erlaubt.
Strafbarkeit von Hacking
Insb. § 243 des lettischen Strafgesetzbuches im Kontext von Hacking relevant. Die Voraussetzung für Strafbarkeit ist aber, dass ein substanzieller Schaden entstanden ist (ab 2500 Euro, wenn Interessen Dritter betroffen, ansonsten ab 5000 Euro).
CVD
Zwar gibt es in Lettland keine einheitliche CVD-Policy. Im Dezember 2022 hat aber das Ministerkabinett beschlossen, dass öffentliche Stellen eigene CVD-Policies einführen können. Mehrere Organisationen im nichtöffentlichen Sektor haben eigene CVD-Policies.
Kommentar
Es gibt eine Plattform für die Meldung von Schwachstellen (cvd.cert.lv). Laut dem Tätigkeitsbericht (Q4 2023) der Behörde wird diese auch aktiv genutzt.
Rechtslage
White-Hat-Hacking ist explizit erlaubt.
Strafbarkeit von Hacking
Insb. Art. 198 des litauischen Strafgesetzbuches im Kontext von Hacking relevant.
CVD
CVD-Policy 2021 implementiert.
Kommentar
Nach Anpassung des litauischen Cybersicherheit-Gesetzes ist Ethical Hacking seit 2021 legal, wenn bestimmte Kriterien erfüllt sind:
- Wahrung der Integrität des Systems
- Keine exzessiven Maßnahmen
- Meldung
- Vertraulichkeit
White-Hat-Hacking ist grundsätzlich erlaubt.
Rechtslage
White-Hat-Hacking ist grundsätzlich erlaubt.
Strafbarkeit von Hacking
§§ 138ab, 139c, 139d, 350a, 350b des niederländischen Strafgesetzbuches stellen Hacking unter Strafe.
CVD
CVD-Policy 2013 implementiert. Es gibt aber keine Verweise auf diese Policy im niederländischen Recht.
Kommentar
Das niederländische Recht unterscheidet nicht nach den Absichten eines Hackers. Verschiedene strafrechtliche Bestimmungen gelten im Prinzip auch für ethisches Hacking.
Die Staatsanwaltschaft kann aber von der Verfolgung absehen. Es gibt auch umfangreiche Rechtsprechung zum Thema. Dies hat dazu geführt, dass die Grenzen des Erlaubten mehr oder weniger feststehen (z. B. dürfen die Schwachstellen unter keinen Umständen ausgenutzt werden). Relevant sind vor allem folgende Aspekte:
- Handelt der Hacker im Interesse der Gesellschaft?
- Sind die eingesetzten Mittel verhältnismäßig?
- Gab es mildere Mittel?
Insbesondere Brute-Force-Angriffe und unterlassene Meldung (oder zu langes Warten vor der Meldung) der Schwachstelle kann zur Strafbarkeit führen.
Rechtslage
White-Hat-Hacking ist grds. erlaubt.
Strafbarkeit von Hacking
Hacking gem. Art. 197bis des spanischen Strafgesetzbuches strafbar.
CVD
Keine formelle nationale CVD-Policy, aber es gibt Vorgaben von dem Spanischen Nationalen Institut für Cybersicherheit (INCIBE).
Kommentar
White-Hat-Hacking erlaubt, wenn die Meldung über INCIBE im Einklang mit INCIBE Vorgaben erfolgt. Es gibt auch verbotene Hacking-Methoden, darunter: Social Engineering, Malware, Brute Force, DoS/DDoS usw.
Rechtslage
White-Hat-Hacking ist grundsätzlich erlaubt.
Strafbarkeit von Hacking
Hacking gem. Vorschriften des Computer Misuse Act 1990 strafbar.
CVD
Schwachstellen in Digitalangeboten öffentlicher Stellen können zentral an NCSC gemeldet werden. Unternehmen des Privatsektors können eigene CVD-Policies entwickeln, eine Pflicht dazu ist aber nicht vorgesehen
Kommentar
NCSC stellt auch ein Vulnerability Disclosure Toolkit und Guidelines für Reporting zur Verfügung.
White-Hat-Hacking ist verboten.
Rechtslage
White-Hat-Hacking ist verboten.
Strafbarkeit von Hacking
Hacking wird – je nach Form – gem. §§ 193, 263 und 263a des dänischen Strafgesetzbuches bestraft.
CVD
CVD-Policy nicht implementiert, aber geplant.
Kommentar
In der Nationalen Strategie für die Cybersicherheit (2022 - 2024) steht Folgendes:
„Ein Pilotprojekt für eine staatliche CVD-Politik (Coordinated Vulnerability Disclosure) wird eingeleitet. Eine staatliche CVD-Politik wird den Rahmen beschreiben für Regierungsbehörden, die es Privatpersonen („hilfreichen Hackern“) erlauben Schwachstellen in IKT-Systemen zu identifizieren und zu melden.“
Rechtslage
White-Hat-Hacking ist verboten.
Strafbarkeit von Hacking
Mehrere Vorschriften im Strafgesetzbuch zum Hacking, insb. relevant sind §§ 202a und 202b StGB.
CVD
CVD ist nicht explizit gesetzlich geregelt. BSI hat eine CVD-Leitlinie entwickelt.
Kommentar
Auch z. B. die Bundeswehr hat eine eigene Vulnerability Disclosure Policy.
Rechtslage
White-Hat-Hacking ist verboten.
Starfbarkeit von Hacking
§ 217 und § 137 des estnischen Strafgesetzbuches stellen Hacking unter Strafe. Je nach Fall können auch weitere Vorschriften anwendbar sein.
CVD
CVD-Policy nicht implementiert und nicht geplant.
Kommentar
Ggf. kann das Ethical-Hacking-Problem dadurch gelöst werden, dass argumentiert wird, es fehle an der Rechtswidrigkeit.
Rechtslage
White-Hat-Hacking ist verboten.
Strafbarkeit von Hacking
Insb. Kap. 38, §§ 7(a), 7(b), 8 und 8(a) des finnischen Strafgesetzbuches für Hacking relevant.
CVD
CVD-Policy nicht implementiert und nicht geplant.
Kommentar
CERT FI ist im Bereich von Coordinated Vulnerability Disclosure aktiv. Private Bounty-Programme sind in Finnland verbreitet.
Rechtslage
White-Hat-Hacking ist verboten.
Strafbarkeit von Hacking
Hacking gem. Art. 370( des griechischen Strafgesetzbuches strafbar.
CVD
Keine CVD-Policy.
Kommentar
Laut Nationaler Cybersicherheitsstrategie für 2020 - 2025 ist die „Einrichtung einer Open-Source-Plattform für die Bewertung von Schwachstellen und Durchführung von Penetrationstests“ geplant. Aktueller Stand des Programms unbekannt.
Rechtslage
White-Hat-Hacking ist verboten.
Strafbarkeit von Hacking
Hacking gem. Criminal Justice (Offences Relating to Information Systems) Act 2017 strafbar.
CVD
CVD-Policy nicht implementiert und nicht geplant.
Kommentar
-
Rechtslage
White-Hat-Hacking ist verboten.
Strafbarkeit von Hacking
Obwohl es in Italien keine spezifischen Vorschriften zur Cyberkriminalität gibt, hat das Land seit 1993 seine bestehenden Rechtsvorschriften (die bereits im Strafgesetzbuch und in der Strafprozessordnung enthalten sind) geändert, um sie an die mit der Cyberkriminalität verbundenen Straftaten anzupassen.
CVD
Keine CVD-Policy.
Kommentar
Einige Unternehmen haben Bug-Bounty-Programme, aber grds. ist es auch diesen möglich, die Hacker zu verklagen. Entwurf der Coordinated Vulnerability Disclosure Policy wurde laut ENISA 2018 vorbereitet, seitdem gab es aber keine weiteren Entwicklungen. Das legislative Projekt wurde nicht realisiert.
Rechtslage
White-Hat-Hacking ist verboten.
Strafbarkeit von Hacking
Insb. Art. 266 bis 273 des kroatischen Strafgesetzbuches im Kontext von Hacking relevant.
CVD
CVD-Policy nicht implementiert und nicht geplant.
Kommentar
-
Rechtslage
White-Hat-Hacking ist verboten.
Strafbarkeit von Hacking
Buch II, Titel IX, Kap. II, Abschnitt VII (Art. 509-1 ff.) des Strafgesetzbuches stellt Hacking unter Strafe.
CVD
CVD-Policy nicht implementiert, aber geplant. GOVCERT hat eine informelle Responsible Disclosure Policy.
Kommentar
Es gibt eine zentrale Meldestelle für Schwachstellen (circl.lu)
Rechtslage
White-Hat-Hacking ist verboten.
Strafbarkeit von Hacking
Teil II, Titel IX, Untertitel V (Art. 337B ff.) des Strafgesetzbuches stellt diverse Formen von Hacking unter Strafe.
CVD
Keine CVD-Policy implementiert. Es gibt zwar keine konkreten Pläne, die Möglichkeit der Entwicklung einer CVD-Policy wird aber seit 2016 diskutiert.
Kommentar
-
Rechtslage
White-Hat-Hacking ist verboten.
Strafbarkeit von Hacking
Hacking gem. §§ 118a, 126a, 126b, 126c öStGB strafbar.
CVD
Keine CVD-Policy implementiert. Im privaten Sektor gibt es aber Unternehmen mit Vulnerability Disclosure Policies.
Kommentar
Es gibt auch private Bug-Bounty-Programme.
Es wird vertreten, dass bei § 118a öStGB auf subjektiver Ebene eine Spionage- oder Verwendungsabsicht erforderlich ist (S. 30). Bei White-Hat-Hacking ist diese Voraussetzung aber nicht erfüllt. Aus diesem Grund scheidet eine Strafbarkeit aus.
Rechtslage
White-Hat-Hacking ist verboten.
Strafbarkeit von Hacking
Hacking gem. Art. 266 bis 299 des polnischen Strafgesetzbuches strafbar.
CVD
CVD-Policy nicht implementiert und nicht geplant.
Kommentar
-
Rechtslage
White-Hat-Hacking ist verboten.
Strafbarkeit von Hacking
Hacking gem. Art. 4 bis 7 des Cyberkriminalität-Gesetzes strafbar.
CVD
CVD-Policy nicht implementiert, aber geplant.
Kommentar
Die Task Force mit Vertretern des Portugiesischen Nationalen Zentrums für Cybersicherheit, der öffentlichen Stellen und Stakeholder aus der Cybersicherheitsbranche hat laut ENISA einen Vorschlag zur Legalisierung von CVD durch Änderung des Strafrechts vorgelegt. Dieser wird nun von Entscheidungsträgern geprüft. Aktuell ist es nicht absehbar, wann (und ob) die Änderungen implementiert werden.
Rechtslage
White-Hat-Hacking ist verboten.
Strafbarkeit von Hacking
Hacking gem. Art. 360 bis 365 des rumänischen Strafgesetzbuches strafbar.
CVD
CVD-Policy nicht implementiert.
Kommentar
Es gab in der Vergangenheit Initiativen zur Entwicklung einer CVD-Policy auf nationalem Niveau. Aktueller Stand des Projekts ist aber unklar.
Rechtslage
White-Hat-Hacking ist verboten.
Strafbarkeit von Hacking
Hacking gem. Kapitel 4, § 9c des schwedischen Strafgesetzbuches strafbar.
CVD
CVD-Policy nicht implementiert und nicht geplant.
Kommentar
Es gibt aber private Bug-Bounty-Programme.
Rechtslage
White-Hat-Hacking ist verboten.
Strafbarkeit von Hacking
Hacking gem. §§ 247, 247a, 247b, 247c des slowakischen Strafgesetzbuches strafbar.
CVD
CVD-Policy nicht implementiert.
Kommentar
Es gibt Vorgaben für Vulnerability Reporting. Problematisch ist aber, dass „Vulnerability“ nicht gesetzlich definiert ist und keine CVD-Policy implementiert ist.
Rechtslage
White-Hat-Hacking ist verboten.
Strafbarkeit von Hacking
Hacking gem. Art. 221 und Art. 237 des slowenischen Strafgesetzbuches strafbar.
CVD
CVD-Policy nicht implementiert, aber geplant.
Kommentar
Nach Aussage von ENISA, wird in der nächsten Cybersicherheit-Strategie die Schaffung des rechtlichen Rahmens für Ethical Hacking erörtert.
Rechtslage
White-Hat-Hacking ist verboten.
Gesetz zu Coordinated Vulnerability Disclosure geplant.
Strafbarkeit von Hacking
Im Kontext von Hacking ist insb. § 230 des tschechischen Strafgesetzbuches relevant.
CVD
CVD-Policy nicht implementiert, aber geplant.
Kommentar
“Draft national policy proposal for the coordinated disclosure of vulnerabilities” ist geplant und wird in der Cybersicherheit Strategie 2021 bis 2025 erwähnt. Es gibt einen Gesetzentwurf, aber auf der Seite der Cybersicherheit-Behörde ist die finale Fassung nicht zu finden.
Rechtslage
White-Hat-Hacking ist verboten.
Strafbarkeit von Hacking
Hacking gem. § 423 des ungarischen Strafgesetzbuches strafbar.
CVD
CVD-Policy nicht implementiert, 2021 gab es laut ENISA aber Diskussionen dazu (Ergebnis unbekannt, jedenfalls keine konkreten Pläne).
Kommentar
-
Rechtslage
White-Hat-Hacking ist verboten.
Strafbarkeit von Hacking
Hacking gem. Gesetz L.22(III)/2004 strafbar.
CVD
CVD-Policy nicht implementiert und nicht geplant.
Kommentar
-
Rechtslage
White-Hat-Hacking ist verboten.
Strafbarkeit von Hacking
Hacking gem. Art. 143, Art. 143bis und 144bis des schweizerischen Strafgesetzbuches strafbar.
CVD
Keine CVD-Policy.
Kommentar
Zum Thema White-Hat-Hacking gibt es ein offizielles Merkblatt, wo die Risiken beschrieben werden.
White-Hat-Hacking ist grundsätzlich verboten.
Rechtslage
White-Hat-Hacking grundsätzlich verboten.
Strafbarkeit von Hacking
Mehrere Normen des Strafgesetzbuches verbieten Hacking. Insbesondere relevant sind die Vorschriften im Kapitel 9 “A” (Computerkriminalität) und 12 (Straftaten mit Bezug auf Staatsgeheimnisse) des bulgarischen Strafgesetzbuches.
CVD
Keine CVD-Policy. Keine Pläne hinsichtlich der Entwicklung von dieser. Gleichzeitig arbeitet CERT Bulgaria an der Entwicklung von CVD-Verfahren.
Kommentar
-
Quellen
- ENISA, Coordinated Vulnerability Disclosure Policies in the EU, 2022, Link: https://www.enisa.europa.eu/publications/coordinated-vulnerability-disclosure-policies-in-the-eu.
- Council of Europe, Octopus Cybercrime Community Wiki, Link: https://www.coe.int/en/web/octopus/country-wiki-ap.
- TGS Baltic, Ethical Hacking in the Baltics: Comparative Legal Map, 2022, Link: https://www.tgsbaltic.com/en/publications/ethical-hacking-in-the-baltics-comparative-legal-map/.
- KU Leuven (Somers, C., Vranckaert, K., Drechsler, L), Belgium Legalises Ethical Hacking: A Threat or an Opportunity for Cybersecurity, 03.03.2023, Link: https://www.law.kuleuven.be/citip/blog/belgium-legalises-ethical-hacking-a-threat-or-an-opportunity-for-cybersecurity/.
- Federal Data Protection and Information Commissioner of Switzerland, Factsheet for Ethical Hackers, 27.06.2023, Link: https://www.edoeb.admin.ch/edoeb/en/home/datenschutz/internet_technologie/whh.html.
- UK National Cyber Security Centre, Vulnerability Reporting Guidelines, 15.11.2018 (Reviewed 04.04.2024), Link: https://www.ncsc.gov.uk/information/vulnerability-reporting.
- UK National Cyber Security Centre, Vulnerability Disclosure Toolkit, 14.09.2020 (Reviewed 30.11.2022), Link: https://www.ncsc.gov.uk/information/vulnerability-disclosure-toolkit.
- Czech Republic National Cyber and Information Security Agency, Strategy for the Years 2021 to 2025, 22.11.2021, Link: https://nukib.gov.cz/en/cyber-security/strategy-action-plan/.
- Czech Republic National Cyber and Information Security Agency, 2022 Report on the State of Cybersecurity in the Czech Republic, Link: https://nukib.gov.cz/download/publications_en/2022_Report_on_the_State_of_Cybersecurity_in_the_Czech_Republic.pdf.
- Czech Republic National Cyber and Information Security Agency, Legislation Overview, Link: https://nukib.gov.cz/en/cyber-security/regulation-and-audit/legislation/.
- Czech Republic Government Proposal, Act on Cyber Security, Link: https://osveta.nukib.gov.cz/pluginfile.php/102242/course/section/1460/Act-on-Cybersecurity-eng.pdf?time=1690883972114.
- Instituto Nacional De Ciberseguridad (INCIBE), Vulnerability Disclosure Policy, Link: https://www.incibe.es/en/incibe-cert/about-us/vulnerability-disclosure-policy.
- National Cyber Security Center of Slovakia, Vulnerability Reporting Guideline, 15.09.2019, Link: https://www.sk-cert.sk/wp-content/uploads/2019/10/Vulnerability_reporting.pdf.
- Information Technologies Security Incident Response Institution and MoD Republic of Latvia, 2023 Q4 Report on the implementation of CERT.LV Tasks, Link: https://www.cert.lv/uploads/zinas/cert-ceturksna-C4-atskaite-2023-ENG.pdf.
- Hellenic Republic, Ministry of Digital Governance, National Cybersecurity Authority, National Cybersecurity Strategy 2020 – 2025, 12.2020, Link: https://mindigital.gr/wp-content/uploads/2022/11/E%CE%9D-NATIONAL-CYBER-SECURITY-STRATEGY-2020_2025.pdf.
- Bundeswehr, Erläuterung und Security Policy, Link: https://www.bundeswehr.de/de/security-policy.
- Bundesamt für Sicherheit in der Informationstechnik, Leitlinie des BSI zum Coordinated Vulnerability Disclosure (CVD)-Prozess, 01.12.2022, Link: https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/CVD/CVD-Leitlinie.pdf?__blob=publicationFile&v=4.
- The Danish Government, The Danish National Strategy for Cyber and Information Security, 12.2021, Link: https://digst.dk/media/27024/digst_ncis_2022-2024_uk.pdf.