Bug-Bounty-Programme bieten eine Möglichkeit für Sicherheitsforscher, Onlinedienste auf Sicherheitsprobleme hin abzutasten und allfällige Schwachstellen zu melden. Allerdings sieht das Schweizer Strafrecht dies nicht vor – im Gegenteil: Artikel 143bis StGB richtet sich explizit gegen unbefugtes Eindringen in ein fremdes Datenverarbeitungssystem:
Wer auf dem Wege von Datenübertragungseinrichtungen unbefugterweise in ein fremdes, gegen seinen Zugriff besonders gesichertes Datenverarbeitungssystem eindringt, wird, auf Antrag, mit Freiheitsstrafe bis zu drei Jahren oder Geldstrafe bestraft.
StGB 143bis – https://www.admin.ch/opc/de/classified-compilation/19370083/index.html#a143bis
Professionelle Penetration-Tester sind im Rahmen ihrer Tätigkeit regelmässig mit dieser Norm konfrontiert. Aufgrund des Vertrags zwischen ihnen und dem Eigentümer der Systeme, wird das Problem jedoch entschärft.
Für Bug-Bounty-Hunter stellt sich die Situation anders dar, denn sie stehen im Moment der Untersuchung des fremden Systems grundsätzlich in keinem geregelten Auftragsverhältnis und müssen deshalb im schlimmsten Fall mit einer Verfolgung durch den Eigentümer des untersuchten Systems rechnen.
Zwar ist die internationale Strafverfolgung für Cyberdelikte langwierig und wird nur in seltenen Fällen angestrebt. Für einheimische Forscher stellt das Strafrecht jedoch eine spürbare Bedrohung dar.
Dieses Problem stellt sich auch in anderen Jurisdiktionen. International hat vor allem die israelisch-amerikansiche Forscherin Amit Elazari auf die Notwendigkeit eines «Legal Safe Harbors» für Bug-Bounty-Programme aufmerksam gemacht.
Exemplarisch ist etwa eine Anleitung des Niederländischen National Cyber Security Centers (NCSC). Sie erklärt, wie sich Bug-Bounty-Programme unter niederländischem Recht organisieren lassen.
Eine korrespondierende Vorlage fehlt für die Schweiz. Die Schweizerische Post hat sich im Vorlauf ihres Bug-Bounty-Programmes bereits 2018 intensiv Gedanken zu diesem Thema gemacht und wendet einen Verhaltenskodex (Code of Conduct) für die Bounty-Hunter an.
Er verpflichtet die Forscher zunächst auf ein regelkonformes Verhalten in Rahmen des Bug-Bounty-Programmes. Ist dieses Verhalten gegeben, verpflichtet sich die Post im Gegenzug, auf jede Strafverfolgung zu verzichten und darüber hinaus auch dazu, den Forschern rechtlich zur Seite zu stehen, sollte eine entsprechende Verfolgung von dritter Seite angestrengt werden.
Wir haben diesen Legal Safe Harbor durchgesehen und präsentieren hier im Einverständnis mit der Post eine beispielhafte Form, die sich für andere Bug-Bounty-Programme in der Schweiz einsetzen lassen:
Consequences of complying with the Code of Conduct (Legal Safe Harbor)
- The owner will not take civil action or file a complaint with law enforcement authorities against participants for accidental, good faith violations of the Code of Conduct
- The owner interprets activities by participants that comply with the Code of Conduct as authorized access under the Swiss Penal Code. This includes Swiss Penal Code paragraphs 143, 143bis and 144bis.
- The owner will not file a complaint against participants for trying to circumvent the security measures deployed in order to protect the services in-scope for this program.
- If legal action is initiated by a third party against a participant and the participant has complied with the Code of Conduct as outlined in this document, the owner will take the necessary measures to make it known to the authorities that such participant’s actions have been conducted in compliance with this policy.
- Any non-compliance with the Code of Conduct may result in exclusion from the program. For minor breaches, a warning may be issued. For severe breaches, the organizers reserve the right to file criminal charges.
Der Legal Safe Harbor wird unter der Attribution 4.0 International (CC BY 4.0) zur Verfügung gestellt. Ein kommerzielle Verwendung und die Abänderung des Textes sind erlaubt, solange www.bugbounty.ch als Quellenangabe genannt wird.
Tatsächlich wurde das Wording der Post auch bereits übernommen. MELANI / NCSC verwendet dieses für den Public Security Test (PST) of the SwissCovid Proximity Tracing System.
Zwei der obenstehenden Einträge wurden aber scheinbar zu Ungunsten der Tester verändert. Da es beim Test des Tracing Systems aber in erster Linie um eine Source Code Analyse geht und die Server des Bundesamts für Gesundheit ausserhalb des Scopes liegen, spielt der Schutz vor der Strafverfolgung eine weniger wichtige Rolle. Deshalb hat MELANI / NCSC den vierten Punkt gestrichen und die Abstufung im fünften Punkt (minor breaches) ausgelassen. Beides scheint uns im konkreten Fall vernünftig.
Demgegenüber ist es für reguläre Bug Bounty Programme aber wichtig, die entsprechenden Passagen zu übernehmen: Nur so kann sichergestellt werden, dass die einheimischen Tester vor der Strafverfolgung geschützt sind.
