26. Juni 2023 – Im Auftrag des Nationalen Testinstituts für Cybersicherheit NTC hat Walder Wyss AG ein ausführliches Rechtsgutachten mit dem Titel “Strafbarkeit von Ethical Hacking” erstellt. Das Nationale Testinstitut für Cybersicherheit NTC untersucht digitale Produkte und Infrastrukturen, die nicht oder nicht ausreichend geprüft werden - auch auf eigene Initiative. Das Aufspüren von Sicherheitslücken ohne ausdrücklichen Auftrag und ohne Einwilligung wirft Fragen nach einer allfälligen Strafbarkeit auf. Nach schweizerischem Recht macht sich strafbar, wer unbefugt die Zugangssicherung eines fremden Systems überwindet oder dies versucht. Zudem stellt das Strafgesetzbuch die Manipulation und Veränderung von Daten unter Strafe.

Walder Wyss AG kommt in ihrem Gutachten zum Schluss, dass «Ethical Hacking» unter Einhaltung gewisser Rahmenbedingungen straffrei sein kann: Werden im Rahmen von Schwachstellenanalysen Strafnormen verletzt, kann unter Umständen der rechtfertigende Notstand nach Art. 17 StGB geltend gemacht werden. Das Eindringen in ein System ist jedoch nur dann gerechtfertigt, wenn konkrete Anhaltspunkte dafür vorliegen, dass ein System von potenziellen Sicherheitslücken betroffen ist. Zudem muss die Aufdeckung, Dokumentation und Information über diese Sicherheitslücken dem Zweck dienen, die Gefahr böswilliger Zugriffe abzuwenden.

Vor einer detaillierten Veröffentlichung der Ergebnisse von Schwachstellenanalysen sollten die identifizierten und dokumentierten Sicherheitslücken vollständig geschlossen sein. Ist dies nicht der Fall, sollte der Detaillierungsgrad einer Veröffentlichung auf die notwendigen Informationen reduziert werden. Dadurch werden die Systembenutzer angemessen gewarnt und erhalten die Möglichkeit, sich zu schützen.

Das Gutachten von Walder Wyss AG wurde von Dr. Michael Isler, Oliver M. Kunz und Gina Moll erstellt.

Das Gutachten ist unter folgendem Link abrufbar: auf Deutsch

Executive Summary: in Deutsch, Englisch, Französisch und Italienisch