Sicher­heits­lü­cken: Unter­neh­men soll­ten auf Bug-Bounty statt Straf­an­zei­gen setzen

Die Empö­rung in den sozia­len Netz­wer­ken war groß, als die IT-Sicherheitsexpertin Lilith Witt­mann am 3. August auf Twit­ter bekannt mach­te, dass das Ber­li­ner Lan­des­kri­mi­nal­amt (LKA) sie als Beschul­dig­te in einem Ermitt­lungs­ver­fah­ren im Zusam­men­hang mit Sicher­heits­lü­cken in der “CDU-connect-App” führt. Immer­hin hat­te die IT-Sicherheitsexpertin und Akti­vis­tin des Cha­os Com­pu­ter Clubs (CCC) die Par­tei zuvor im Rah­men eines Respon­si­ble Dis­clo­sure dar­auf auf­merk­sam gemacht, dass ihre App erheb­li­che Sicher­heits­lü­cken auf­wies und unter ande­rem ein Zugriff auf die per­sön­li­chen Daten von über 18.000 Wahl­kampf­hel­fern mög­lich war.

Dass die IT-Sicherheitsexpertin den­noch eine E‑Mail des LKA Ber­lin bekam, ist offen­bar auf eine Anzei­ge der CDU zurück­zu­füh­ren, die die Par­tei nach eige­nem Bekun­den inzwi­schen “zurück­ge­zo­gen” haben will. Aus die­sem Grund hat der CCC ange­kün­digt zukünf­tig kei­ne Sicher­heits­lü­cken mehr an die CDU mel­den zu wol­len. Die Apps selbst sind, nach­dem sie vor­über­ge­hend off­line genom­men wur­den, aktu­ell wie­der ver­füg­bar und kön­nen für den Haus­tür­wahl­kampf der Par­tei wie­der ein­ge­setzt werden.

Im Zusam­men­hang mit dem Ermitt­lungs­ver­fah­ren haben uns zahl­rei­che Fra­gen erreicht, die wir im Fol­gen­den ger­ne näher erläu­tern möchten.

1.    Was ist Respon­si­ble Disclosure?

Mit dem Begriff Respon­si­ble Dis­clo­sure wird ein Ver­fah­ren zur Offen­le­gung von Schwach­stel­len umschrie­ben. Die Beson­der­heit besteht dar­in, dass eine Ver­öf­fent­li­chung der Schwach­stel­len erst statt­fin­det, wenn die Schwach­stel­le durch den Her­stel­ler beho­ben wur­de. Hier­für wird dem Her­stel­ler in der Regel ein bestimm­ter Zeit­raum eingeräumt.

2.    Wes­we­gen hat die CDU Straf­an­zei­ge bzw. Straf­an­trag gestellt?

Es ist bis­lang unklar, ob eine Straf­an­zei­ge oder ein Straf­an­trag der CDU vor­liegt. Eine Straf­an­zei­ge ist eine Mit­tei­lung an eine Straf­ver­fol­gungs­be­hör­de (z.B. die Staats­an­walt­schaft oder Poli­zei) mit wel­cher der Behör­de ein Sach­ver­halt mit­ge­teilt wird. Ein Straf­an­trag hin­ge­gen kann nur durch den Geschä­dig­ten einer Straf­tat gestellt wer­den und ist nur bei bestimm­ten Straf­ta­ten erfor­der­lich. Nach unse­rer Erfah­rung wird in der Regel im Zusam­men­hang mit einer Straf­an­zei­ge auch ein Straf­an­trag bzgl. aller in Betracht kom­men­den Delik­te gestellt. Dies könn­te die Ver­wir­rung um die Begriff­lich­kei­ten erklären.

3.    Straf­an­zei­ge oder Straf­an­trag zurück­zie­hen: Geht das?

Die CDU hat inzwi­schen auf Twit­ter mit­ge­teilt, dass die Par­tei die Straf­an­zei­ge gegen die IT-Sicherheitsexpertin zurück­ge­zo­gen habe. Aus recht­li­cher Sicht ist jedoch anzu­mer­ken, dass eine Straf­an­zei­ge, anders als ein Straf­an­trag, nicht zurück­ge­nom­men wer­den kann. Die ver­meint­li­che Rück­nah­me einer Straf­an­zei­ge hat damit kei­ne Aus­wir­kun­gen auf ein­ge­lei­te­te Ermitt­lungs­ver­fah­ren. Wird hin­ge­gen ein Straf­an­trag zurück­ge­nom­men, so wird das Ver­fah­ren bei sog. rela­ti­ven Antrags­de­lik­ten nur fort­ge­führt, soweit die Staats­an­walt­schaft wegen des beson­de­ren öffent­li­chen Inter­es­ses an der Straf­ver­fol­gung ein Ein­schrei­ten von Amts wegen für gebo­ten hält. Das vor­lie­gen­de Ermitt­lungs­ver­fah­ren könn­te sich auf § 202a StGB sowie § 42 BDSG stüt­zen. Da jedoch § 202a StGB nach § 205 Abs. 1 S. 2 StGB ein rela­ti­ves Antrags­de­likt ist, kann das Ver­fah­ren trotz Rück­nah­me des Straf­an­tra­ges durch die CDU bei Vor­lie­gen eines beson­de­ren öffent­li­chen Inter­es­ses wei­ter­ge­führt wer­den. Ange­sichts des lau­fen­den Wahl­kampfs und der Bedeu­tung der CDU als Volks­par­tei erscheint dies nicht völ­lig ausgeschlossen.

4.    Wel­che Fol­gen hat die Sicher­heits­lü­cke für die CDU?

Ist das Auf­tre­ten von Sicher­heits­lü­cken mit einer Ver­let­zung des Schut­zes per­so­nen­be­zo­ge­ner Daten ver­bun­den und kann ein Risi­ko für die Rech­te und Frei­hei­ten natür­li­cher Per­so­nen nicht aus­ge­schlos­sen wer­den, muss der Ver­ant­wort­li­che dies unver­züg­lich und mög­lichst bin­nen 72 Stun­den, nach­dem ihm die Ver­let­zung bekannt wur­de, der zustän­di­gen Behör­de gem. Art. 33 Abs. 1 DSGVO mel­den. Ob die Ent­de­ckung einer Sicher­heits­lü­cke durch IT-Sicherheitsexperten bei einem Respon­si­ble Dis­clo­sure jedoch ein rele­van­tes Risi­ko dar­stellt, ist umstrit­ten. Dar­über hin­aus kön­nen Cyber­an­grif­fe zahl­rei­che wei­te­re Rechts­fol­gen haben.

5.    Was kön­nen Unter­neh­men bes­ser machen?

Vor dem Hin­ter­grund, dass nach einer aktu­el­len Stu­die des Bit­kom der deut­schen Wirt­schaft jähr­lich ein Scha­den von mehr als 220 Mil­li­ar­den Euro durch Cyber­si­cher­heits­vor­fäl­le ent­steht, die u.a. auf Erpres­sun­gen (z.B. durch Ran­som­wa­re) zurück­zu­füh­ren sind, soll­ten Unter­neh­men auf­grund der Viel­zahl von Angriffs­mög­lich­kei­ten und zur Ver­mei­dung lang­wie­ri­ger Straf­ver­fah­ren und damit ver­bun­de­ner Kos­ten alter­na­ti­ve Vor­keh­run­gen tref­fen. Dazu bie­ten sich bei­spiels­wei­se die Ein­rich­tung von Kon­takt­adres­sen für IT-Sicherheitsforscher sowie Bug-Bounty-Programmen an. Letz­te­re beloh­nen IT-Sicherheitsexperten finan­zi­ell für die Ent­de­ckung und Mel­dung von Sicher­heits­lü­cken im Rah­men eines Respon­si­ble Dis­clo­sure. Soll­ten Unter­neh­men Sicher­heits­lü­cken im Wege des Respon­si­ble Dis­clo­sure mit­ge­teilt wer­den, raten wir in jedem Fall drin­gend davon ab den Hin­weis­ge­ber durch eine Straf­an­zei­ge oder einen Straf­an­trag straf­recht­li­cher Ver­fol­gung auszusetzen.

6.    Gibt es recht­li­che Schutz­mög­lich­kei­ten für IT-Sicherheitsexperten?

Das deut­sche Straf­recht schützt gut­wil­li­ge IT-Sicherheitsexperten, die Schwach­stel­len an die Betrof­fe­nen mel­den, statt sie in bös­wil­li­ger Absicht aus­zu­nut­zen oder im Dark­net zu ver­kau­fen, bis­her nur unzu­rei­chend. Dies gilt ins­be­son­de­re für die § 202a ff. StGB. Eine Novel­lie­rung des deut­schen Cyber­straf­rechts und eine garan­tier­te Straf­frei­heit für IT-Sicherheitsexperten, wenn die­se Sicher­heits­lü­cken im Wege des Respon­si­ble Dis­clo­sure mel­den, ist daher über­fäl­lig. Unab­hän­gig davon kön­nen IT-Sicherheitsexperten, um zu ver­mei­den, dass sie in den Fokus von Unter­neh­men und Ermitt­lungs­be­hör­den gera­ten, sich bei der Kon­takt­auf­nah­me bei­spiels­wei­se der Unter­stüt­zung des Bun­des­amts für Sicher­heit in der Infor­ma­ti­ons­tech­nik (BSI) bedie­nen. Das BSI stellt zu die­sem Zweck ein Mel­de­for­mu­lar zur Ver­fü­gung und ver­spricht dabei einen ver­trau­ens­vol­len Umgang mit den Infor­ma­tio­nen. Da es sich beim BSI jedoch um eine staat­li­che, nicht­un­ab­hän­gi­ge Stel­le han­delt, ist das Ver­trau­lich­keits­ver­spre­chen im Zwei­fels­fall brü­chig. Wir emp­feh­len daher, ins­be­son­de­re Unter­neh­men oder For­schungs­ein­rich­tun­gen, die regel­mä­ßig Sicher­heits­lü­cken mel­den, das Respon­si­ble Dis­clo­sure über einen Rechts­an­walt vor­neh­men zulas­sen, da Rechts­an­wäl­te wegen des anwalt­li­chen Berufs­ge­heim­nis­ses nicht zur Offen­le­gung ver­pflich­tet wer­den können.

Die Digi­tal Busi­ness Unit von reusch­law Legal Con­sul­tants unter­stützt Sie ger­ne bei der Bewäl­ti­gung von IT-Sicherheitsvorfällen und berät Sie zu allen recht­li­chen Fra­ge­stell­lun­gen im Kon­text von Respon­si­ble Dis­clo­sure und Bug-Bounty-Programmen. Neh­men Sie jeder­zeit Kon­takt auf.