Sicherheitslücken: Unternehmen sollten auf Bug-Bounty statt Strafanzeigen setzen

Stefan Hessel

Die Empörung in den sozialen Netzwerken war groß, als die IT-Sicherheitsexpertin Lilith Wittmann am 3. August auf Twitter bekannt machte, dass das Berliner Landeskriminalamt (LKA) sie als Beschuldigte in einem Ermittlungsverfahren im Zusammenhang mit Sicherheitslücken in der "CDU-connect-App" führt. Immerhin hatte die IT-Sicherheitsexpertin und Aktivistin des Chaos Computer Clubs (CCC) die Partei zuvor im Rahmen eines Responsible Disclosure darauf aufmerksam gemacht, dass ihre App erhebliche Sicherheitslücken aufwies und unter anderem ein Zugriff auf die persönlichen Daten von über 18.000 Wahlkampfhelfern möglich war.

Dass die IT-Sicherheitsexpertin dennoch eine E-Mail des LKA Berlin bekam, ist offenbar auf eine Anzeige der CDU zurückzuführen, die die Partei nach eigenem Bekunden inzwischen "zurückgezogen" haben will. Aus diesem Grund hat der CCC angekündigt zukünftig keine Sicherheitslücken mehr an die CDU melden zu wollen. Die Apps selbst sind, nachdem sie vorübergehend offline genommen wurden, aktuell wieder verfügbar und können für den Haustürwahlkampf der Partei wieder eingesetzt werden.

Im Zusammenhang mit dem Ermittlungsverfahren haben uns zahlreiche Fragen erreicht, die wir im Folgenden gerne näher erläutern möchten.

1.    Was ist Responsible Disclosure?

Mit dem Begriff Responsible Disclosure wird ein Verfahren zur Offenlegung von Schwachstellen umschrieben. Die Besonderheit besteht darin, dass eine Veröffentlichung der Schwachstellen erst stattfindet, wenn die Schwachstelle durch den Hersteller behoben wurde. Hierfür wird dem Hersteller in der Regel ein bestimmter Zeitraum eingeräumt.

2.    Weswegen hat die CDU Strafanzeige bzw. Strafantrag gestellt?

Es ist bislang unklar, ob eine Strafanzeige oder ein Strafantrag der CDU vorliegt. Eine Strafanzeige ist eine Mitteilung an eine Strafverfolgungsbehörde (z.B. die Staatsanwaltschaft oder Polizei) mit welcher der Behörde ein Sachverhalt mitgeteilt wird. Ein Strafantrag hingegen kann nur durch den Geschädigten einer Straftat gestellt werden und ist nur bei bestimmten Straftaten erforderlich. Nach unserer Erfahrung wird in der Regel im Zusammenhang mit einer Strafanzeige auch ein Strafantrag bzgl. aller in Betracht kommenden Delikte gestellt. Dies könnte die Verwirrung um die Begrifflichkeiten erklären.

3.    Strafanzeige oder Strafantrag zurückziehen: Geht das?

Die CDU hat inzwischen auf Twitter mitgeteilt, dass die Partei die Strafanzeige gegen die IT-Sicherheitsexpertin zurückgezogen habe. Aus rechtlicher Sicht ist jedoch anzumerken, dass eine Strafanzeige, anders als ein Strafantrag, nicht zurückgenommen werden kann. Die vermeintliche Rücknahme einer Strafanzeige hat damit keine Auswirkungen auf eingeleitete Ermittlungsverfahren. Wird hingegen ein Strafantrag zurückgenommen, so wird das Verfahren bei sog. relativen Antragsdelikten nur fortgeführt, soweit die Staatsanwaltschaft wegen des besonderen öffentlichen Interesses an der Strafverfolgung ein Einschreiten von Amts wegen für geboten hält. Das vorliegende Ermittlungsverfahren könnte sich auf § 202a StGB sowie § 42 BDSG stützen. Da jedoch § 202a StGB nach § 205 Abs. 1 S. 2 StGB ein relatives Antragsdelikt ist, kann das Verfahren trotz Rücknahme des Strafantrages durch die CDU bei Vorliegen eines besonderen öffentlichen Interesses weitergeführt werden. Angesichts des laufenden Wahlkampfs und der Bedeutung der CDU als Volkspartei erscheint dies nicht völlig ausgeschlossen.

4.    Welche Folgen hat die Sicherheitslücke für die CDU?

Ist das Auftreten von Sicherheitslücken mit einer Verletzung des Schutzes personenbezogener Daten verbunden und kann ein Risiko für die Rechte und Freiheiten natürlicher Personen nicht ausgeschlossen werden, muss der Verantwortliche dies unverzüglich und möglichst binnen 72 Stunden, nachdem ihm die Verletzung bekannt wurde, der zuständigen Behörde gem. Art. 33 Abs. 1 DSGVO melden. Ob die Entdeckung einer Sicherheitslücke durch IT-Sicherheitsexperten bei einem Responsible Disclosure jedoch ein relevantes Risiko darstellt, ist umstritten. Darüber hinaus können Cyberangriffe zahlreiche weitere Rechtsfolgen haben.

5.    Was können Unternehmen besser machen?

Vor dem Hintergrund, dass nach einer aktuellen Studie des Bitkom der deutschen Wirtschaft jährlich ein Schaden von mehr als 220 Milliarden Euro durch Cybersicherheitsvorfälle entsteht, die u.a. auf Erpressungen (z.B. durch Ransomware) zurückzuführen sind, sollten Unternehmen aufgrund der Vielzahl von Angriffsmöglichkeiten und zur Vermeidung langwieriger Strafverfahren und damit verbundener Kosten alternative Vorkehrungen treffen. Dazu bieten sich beispielsweise die Einrichtung von Kontaktadressen für IT-Sicherheitsforscher sowie Bug-Bounty-Programmen an. Letztere belohnen IT-Sicherheitsexperten finanziell für die Entdeckung und Meldung von Sicherheitslücken im Rahmen eines Responsible Disclosure. Sollten Unternehmen Sicherheitslücken im Wege des Responsible Disclosure mitgeteilt werden, raten wir in jedem Fall dringend davon ab den Hinweisgeber durch eine Strafanzeige oder einen Strafantrag strafrechtlicher Verfolgung auszusetzen.

6.    Gibt es rechtliche Schutzmöglichkeiten für IT-Sicherheitsexperten?

Das deutsche Strafrecht schützt gutwillige IT-Sicherheitsexperten, die Schwachstellen an die Betroffenen melden, statt sie in böswilliger Absicht auszunutzen oder im Darknet zu verkaufen, bisher nur unzureichend. Dies gilt insbesondere für die § 202a ff. StGB. Eine Novellierung des deutschen Cyberstrafrechts und eine garantierte Straffreiheit für IT-Sicherheitsexperten, wenn diese Sicherheitslücken im Wege des Responsible Disclosure melden, ist daher überfällig. Unabhängig davon können IT-Sicherheitsexperten, um zu vermeiden, dass sie in den Fokus von Unternehmen und Ermittlungsbehörden geraten, sich bei der Kontaktaufnahme beispielsweise der Unterstützung des Bundesamts für Sicherheit in der Informationstechnik (BSI) bedienen. Das BSI stellt zu diesem Zweck ein Meldeformular zur Verfügung und verspricht dabei einen vertrauensvollen Umgang mit den Informationen. Da es sich beim BSI jedoch um eine staatliche, nichtunabhängige Stelle handelt, ist das Vertraulichkeitsversprechen im Zweifelsfall brüchig. Wir empfehlen daher, insbesondere Unternehmen oder Forschungseinrichtungen, die regelmäßig Sicherheitslücken melden, das Responsible Disclosure über einen Rechtsanwalt vornehmen zulassen, da Rechtsanwälte wegen des anwaltlichen Berufsgeheimnisses nicht zur Offenlegung verpflichtet werden können.

Die Digital Business Unit von reuschlaw Legal Consultants unterstützt Sie gerne bei der Bewältigung von IT-Sicherheitsvorfällen und berät Sie zu allen rechtlichen Fragestelllungen im Kontext von Responsible Disclosure und Bug-Bounty-Programmen. Nehmen Sie jederzeit Kontakt auf.

[August 2021]