Hacker*innen sorgen für unsere Sicherheit, indem sie Sicherheitslücken finden und melden. Doch damit gehen sie oft selbst Risiken ein, denn die Hackerparagrafen kennen keine ethischen Motive. Es ist höchste Zeit, diese Abschreckung zu beenden, finden Sicherheitsforscher*innen.
Sicherheitslücken in Wahlkampf-Apps, überlistbare Video-Identifikation, verwundbare Prozessoren: IT-Sicherheitsforschende finden immer wieder neue Probleme in Software und Hardware. Manche von ihnen arbeiten an Universitäten oder bei Unternehmen, andere suchen unabhängig und in ihrer Freizeit nach Sicherheitslücken.
All diese Hacker*innen eint jedoch eines: Sie machen die digitale Welt sicherer und begeben sich dafür oft selbst in große Unsicherheit. Denn die aktuellen Gesetze in Deutschland bieten den Hacker*innen kaum Schutz bei ihrer Arbeit.
So wies etwa die IT-Sicherheitsforscherin Lilith Wittmann die CDU im vergangenen Jahr darauf hin, dass viele personenbezogene Daten aus ihrer Wahlkampf-App ungeschützt im Netz standen – und kassierte daraufhin eine Anzeige. Am Ende zog die CDU die Anzeige nach öffentlichem Druck blamiert zurück und das LKA stellte die Ermittlungen ein. Doch die Rechtsunsicherheit für Hacker*innen bleibt.
Koalitionsvertrag verspricht Besserung
Die Regierungskoalition aus SPD, Grünen und FDP will das Problem nun endlich angehen. „Das Identifizieren, Melden und Schließen von Sicherheitslücken in einem verantwortlichen Verfahren, zum Beispiel in der IT-Sicherheitsforschung, soll legal durchführbar sein“, schreiben die Parteien in ihrem Koalitionsvertrag.
IT-Sicherheitsforscher*innen wie Manuela Wagner und Daniel Vonderau vom Forschungszentrum Informatik aus Karlsruhe haben dazu bereits Vorschläge unterbreitet. Sie haben in ihrer Arbeit immer wieder mit Kolleg*innen zu tun, die Produkte auf ihre IT-Sicherheit untersuchen und kennen die Probleme, denen sie dabei begegnen.
Gemeinsam mit anderen Wissenschaftler*innen verfassten Wagner und Vonderau im vergangenen Jahr ein Whitepaper zur Rechtslage der IT-Sicherheitsforschung. Darin analysieren sie die Rechtslage, zeigen Probleme für Sicherheitsforschende auf und leiten daraus Forderungen für Reformen ab.
Die Hackerparagrafen unterscheiden nicht nach Motivation
Eines der Hauptprobleme beschreibt Wagner im Gespräch mit netzpolitik.org: „Die Tathandlungen zum Auffinden von Sicherheitslücken sind in der Regel identisch, egal ob es kriminelle Hacker*innen oder Sicherheitsforschende sind. Aber Letztere haben eine ganz andere Motivation.“ Wenn sich also jemand beispielsweise mit der Sicherheit eines Banking-Systems auseinandersetzt, wird die Person ähnlich vorgehen – egal ob sie jemanden das Konto leerräumen möchte oder die Bank auf eine Sicherheitslücke hinweisen will.
Die sogenannten Hackerparagrafen im Strafgesetzbuch unterscheiden bisher nicht danach, ob jemand aus kriminellen oder ethischen Motiven nach Sicherheitslücken sucht. Laut § 202a StGB macht sich etwa strafbar, wer „sich oder einem anderen Zugang zu Daten“ verschafft, „die nicht für ihn bestimmt und die gegen unberechtigten Zugang besonders gesichert sind“. Schon wer eine solche vermeintliche Straftat „vorbereitet“, indem er sich Passwörter verschafft oder Programme besorgt, die beispielsweise zur Umgehung von Zugangssicherungen gedacht sind, hat potenziell ein Problem.
Laut Wagner führt die Rechtsunsicherheit dazu, dass sich die Forschung vornherein selbst beschränke oder „mit einer riesigen Unsicherheit“ leben müsse. Und gerade da ergibt sich aus den Hackerparagrafen ein Paradox, so ihr Kollege Daniel Vonderau: „Diejenigen, die sich nicht daran halten möchten, werden das auch weiterhin nicht tun“, sagt der IT-Rechtsforscher. Stattdessen würden ausgerechnet jene Hacker*innen abgeschreckt, die gute Absichten verfolgen.
„Wir haben immer das Risiko, uns strafbar zu machen“
Karl und die anderen Mitglieder des IT-Sicherheitskollektivs zerforschung waren mit diesem Paradox schon häufiger konfrontiert. Wiederholt ist es der Gruppe gelungen, Sicherheitsprobleme aufzudecken, zuletzt bei einer Software für Arztpraxen. Aber auch Chatbuch-Dienste, Corona-Teststellen und Schul-Apps haben die Hacker*innen erfolgreich auf Sicherheitslücken untersucht. Wir haben sie gefragt, was die Arbeit von zerforschung am meisten behindert.
„Die Paragrafen sind so unklar gefasst, dass wir bei unserer Arbeit immer das Risiko haben, uns strafbar zu machen“, schreibt Karl. Doch die meisten Systeme seien so schlecht gesichert, dass sie nicht als „besonders geschützt“ gelten würden. Wenn man nämlich keine Zugangssicherung überwinden muss, macht man sich nicht des „Ausspähens von Daten“ strafbar. Zu diesem Ergebnis kam das Landeskriminalamt Berlin beispielsweise im Fall der Wahlkampf-App „CDU Connect“. Die Daten waren aus „technischer Sicht öffentlich abrufbar“, befand das LKA.
Im Ernstfall bietet das aber nur einen schwachen Trost. Denn ob es wirklich keine Zugangssicherung gibt, müssen im Zweifel Richter*innen entscheiden – „nach einem langen und anstrengenden Gerichtsverfahren“, so Karl. Gerade für weniger erfahrene unabhängige Forscher*innen, die vielleicht nur geringe öffentliche Solidarität erfahren, ist das ein beängstigendes Szenario.
Das Dunkelfeld ist groß
„Der Schaden entsteht nicht erst in dem Moment, wo ein*e Sicherheitsforscher*in angezeigt oder angeklagt wird“, so Karl. „Bereits das Risiko, dass jederzeit rechtliche Schritte erfolgen könnten, und daher die eigene Wohnung immer im durchsuchungsbereiten Zustand zu halten, schränkt in der Arbeit ein.“
Doch wie oft passiert es tatsächlich, dass jemand wohlmeinende Sicherheitsforschende verklagt oder gar die Polizei vor deren Tür steht? Offizielle Zahlen dazu gibt es nicht, sagt Vonderau. „Das meiste sind zivilrechtliche Verfahren oder es werden Vergleiche zwischen IT-Sicherheitsforschenden und Unternehmen geschlossen.“ Kaum einer spreche darüber, deshalb existiere ein großes Dunkelfeld.
Bekannt wurde hingegen der Fall eines Programmierers, der ein Datenleck bei einer Software für den Online-Handel entdeckte. Schätzungsweise 700.000 Personen waren durch die Lücke potenziell gefährdet. Der Programmierer meldete das Problem dem betroffenen Unternehmen. Die Reaktion erfolgte prompt: Er bekam eine Anzeige, die Polizei durchsuchte seine Wohnung und beschlagnahmte seine Computer.
Dieser Fall bestätigt Wagners Beobachtung: „Die Hersteller sind sich oft nicht darüber im Klaren, dass sie selbst Vorteile von der IT-Sicherheitsforschung haben. Hier muss die Forschung immer wieder Bewusstsein schaffen und Aufklärungsarbeit leisten.“ Denn wenn sie mit solchen Abschreckungen gegen die Forschenden vorgehen, führt das nicht zu weniger Sicherheitslücken – im Gegenteil: Am Ende werden weniger gefährliche Lücken gemeldet und geschlossen.
Abhängig vom Wohlwollen der Unternehmen
Damit die Forscher*innen aber nicht weiter vom Wohlwollen der Unternehmen abhängen, braucht es klare gesetzliche Regelungen. In der Vorhabenplanung des Bundesinnenministeriums steht das Thema „Weiterentwicklung des IT-Sicherheitsrechts“ für 2023 auf dem Plan. Das Bundesjustizministerium schreibt auf Anfrage, es sei für die Strafrechtsthemen wie die Paragrafen 202a und 202c StGB zuständig. Der Thematik wolle man sich „im Rahmen einer Prüfung des Computerstrafrechts insgesamt“ widmen, so eine Sprecherin des Ministeriums. Gemeinsam mit dem Innenministerium habe es bereits Expertengespräche gegeben, „mit Vertretern von Justiz, Wissenschaft, Anwaltschaft, IT-Sicherheitsbranche und Netz-Community“.
Was wünschen sich die Sicherheitsforschenden für die Zukunft? Karl schreibt, dass die Regelungen so gestaltet werden müssen sollten, „dass Sicherheitsforscher*innen keine Strafen mehr befürchten müssen. Dafür müssen diese explizit und unmissverständlich von diesen Paragrafen ausgenommen werden.“
Wer Lücken über einen Coordinated-Vulnerability-Disclosure-Prozess meldet, sollte künftig kein Risiko mehr fürchten müssen. In einem solchen Prozess zur Offenlegung von Sicherheitslücken ist beispielsweise geregelt, dass die Forschenden die Unternehmen über eine Sicherheitslücke informieren und ihnen Zeit zugestehen, bevor sie diese veröffentlichen. So können die Unternehmen Lücken schließen, bevor diese jemand böswillig ausnutzen kann.
„Oft stellen sich Hersteller tot“
Das findet bereits heute häufig statt. „Einige haben Responsible-Disclosure-Policies oder Bug-Bounty-Programme“, sagt Wagner. Man könne auch versuchen, das Einverständnis einzuholen. Bei den sogenannten Bug Bounties loben die Hersteller eine Belohnung aus, wenn jemand sie auf eine Lücke hinweist. „Andere wiederum schließen in ihren Geschäftsbedingungen Sicherheitsanalysen und Reverse Engineering aus. Ein bisschen ist man immer vom Wohlwollen der Gegenseite abhängig“, sagt Wagner.
Und nicht immer läuft es problemlos, selbst wenn Bug-Bounty-Programme oder ähnliche Mechanismen existieren. Denn auch dann gelten immer noch die Regeln der Unternehmen. Ein Sicherheitsforscher berichtete etwa von Kommunikationsverzögerungen mit Apple, denen er eine Lücke meldete und die lange nicht reagiert hätten – sodass er sie am Ende selbst veröffentlichte.
Auch Karl will sich nicht auf die Hersteller verlassen müssen. „Wenn diese eine Lücke ignorieren, muss eine Veröffentlichung straffrei sein“, so Karl. „Denn oft stellen sich Hersteller tot und hoffen, dass die Schwachstellenfinder*innen die Lücken vergessen und sie sonst niemand findet.“ Es müsse es genügen, „die Lücken mit ausreichend Vorlauf an den Hersteller oder die zuständigen staatlichen Stellen wie das CERTBund beim BSI oder die Datenschutzbehörden gemeldet zu haben.“
Niedrigschwellig und anonym melden
Ob die Finder*innen dabei an Universitäten, IT-Sicherheitsunternehmen kommen oder vollständig unabhängig arbeiten, dürfe keine Rolle spielen. Der Meldeprozess sollte möglichst niedrigschwellig sowie anonym oder pseudonym zugänglich sein: „Es darf nicht passieren, dass die Sicherheitsforscher*innen zunächst ein kompliziertes Verfahren durchlaufen müssen, bei dem im schlimmsten Fall bei kleinen Fehlern hohe Strafen drohen“, so Karl.
Schon heute können Finder*innen ihre Lücke beim BSI melden, betont das Justizministerium in seiner Antwort. Diese würden „dort ausgewertet und auf deren Schließung hingewirkt“. Auch für Wagner kann das eine Möglichkeit sein, wenn die Hersteller nicht reagieren. „Das BSI hat eine Funktion als Meldestelle, kann aber auch Daten an die Strafverfolgung weitergeben“, sagt sie. Ein richtiger Sicherheitsanker sei das daher nicht. „Dann bleibt am Ende nur eine anonyme Meldung“, sagt Wagner. „Für Wissenschaftler*innen ist das weniger interessant, weil spätestens auf einem Forschungspaper ihre Namen stehen. Aber ethischen Hacker*innen, die sich unsicher sind, kann das helfen.“
Auch zerforschung meldet regelmäßig Funde auch an das BSI. Karl wünscht sich aber, dass die Behörde unabhängiger vom Innenministerium wird: „Eine Behörde, die gleichzeitig für das Bauen von Staatstrojanern zuständig ist, kann sich nicht glaubhaft für das Schließen von Sicherheitslücken einsetzen.“.
Am liebsten wäre den ehrenamtlichen Zerforscher*innen aber etwas anderes: „Viel unserer Arbeit sollte eigentlich gar nicht nötig sein“, schreibt Karl. „Immer wieder entdecken wir grundlegende Lücken in weit verbreiteten Systemen. Lücken, die so grundlegend sind, dass sie eigentlich schon lange vorher abgefangen werden sollten.“
Um dies zu gewährleisten, reichen Veränderungen der Hackerparagrafen allein nicht aus. Vielmehr braucht es außerdem klarere Pflichten und Haftungsregeln für die Hersteller*innen, Ausbildungen für IT-ler*innen, die digitale Sicherheit in den Fokus nehmen, und vieles mehr. Doch für diejenigen, die trotz aller Risiken für sich selbst unsere Sicherheit erhöhen, würde mehr Rechtssicherheit schon vieles einfacher machen.
Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.
0 Commentaires