Belgien will ethischen Hackern die Hand reichen. Das nationale Center for Cyber Security (CCB) hat rechtliche Vorgaben für das Melden von Sicherheitslücken in Systemen, Netzwerken und Anwendungen publiziert. Das Safe Harbor Framework soll in ganz Belgien Schutz vor Strafverfolgung garantieren, wenn sich Hacker an die Vorgaben halten.Damit geht Belgien weit. Es sei nach Holland, Litauen und Frankreich das vierte Land in Europa, das allgemeingültige Regeln erlasse, sagt Florian Badertscher, CTO von Bug Bounty Switzerland. Firmen, Organisationen und Behörden würden damit vor fertige Tatsachen gestellt, ob sie bereit seien oder nicht, so der Security-Spezialist.Denn das Regelwerk gilt sowohl für behördliche, als auch für privatwirtschaftlich betriebene IT-Systeme. Es soll vor allem zum Tragen kommen, wenn eine Organisation keine eigene Vulnerability Disclosure Policy (VDP) veröffentlicht hat – ein hauseigenes Regelwerk, wie Lücken zu melden sind.Umgehende Benachrichtigung der Verantwortlichen der verwundbaren Technologie, mindestens zur gleichen Zeit wie das CCBÜbermittlung eines schriftlichen Schwachstellenberichts an das CCB, in einem vorgeschriebenen Format und so rasch wie möglichVorgehen ohne betrügerische Absicht oder die Absicht zu schadenInformationen über die Schwachstelle und die gefährdeten Systeme nicht ohne die Zustimmung des CCB öffentlich bekannt gebenIn einem fremden System nur jene Handlungen vollziehen, die nötig sind, um eine Schwachstelle nachzuweisenWie gut schützt das neue Framework? Florian BadertscherDer letzte Punkt ist immer wieder Gegenstand von Diskussionen: Welche Aktionen sind nötig, um eine Schwachstelle nachzuweisen? Festgehalten wird vom CCB, dass der unberechtigte Zugriff auf Systeme, Veränderungen oder der Diebstahl von Daten, die Entwicklung von Hacking-Tools sowie das unbefugte Eindringen oder die Erweiterung von Befugnissen in Computersysteme grundsätzlich verboten seien. Sie könnten aber als gerechtfertigt eingestuft werden , um eine Schwachstelle zu identifizieren oder nachzuweisen. Man solle hier nur so weit gegen das Gesetz verstossen, wie es unbedingt nötig sei, so das belgische CCB. DDoS-Angriffe, Phishing, Social Engineering und Spamming, Brute-Force-Attacken oder die Installation von Malware sind strikt untersagt.Wer sich an die Regeln hält, soll von der Strafverfolgung wegen "Computer Hacking" geschützt werden, das in Belgien in mehreren Paragrafen geregelt ist. Das Land sieht bei Verstössen bis zu 5 Jahren Gefängnis vor. Im Streitfall wird aber auch in Belgien ein Gericht entscheiden müssen. Vom CCB heisst es dazu etwas vage: "Unter der Voraussetzung, dass Sie alle Bedingungen strikt einhalten, kann in begrenztem Umfang ein Rechtfertigungsgrund für die Straftatbestände angenommen werden."Die Schweiz geht einen anderen WegWie gut das Safe Harbor Framework Hacker wirklich schütze, sei von aussen schwierig zu beurteilen, sagt Badertscher. Das belgische Framework sei ein grosser Schritt nach vorne, es gebe aber auch andere Wege, um White-Hat-Hackern etwas mehr Rechtssicherheit zu versprechen. So hat etwa die Cybersecurity and Infrastructure Security Agency (CISA) der USA im Jahr 2020 Behörden verpflichtet, Vulnerability Disclosure Policies bekannt zu geben, allerdings ohne eine rechtliche Würdigung der Legal Safe Harbor Regelung. Damit müssen die rechtlichen Grundlagen nicht angepasst werden, man bewegt sich aber trotzdem in die richtige Richtung. Die Schweiz, sagt Badertscher, habe mit dem NCSC diesen Weg eingeschlagen wie es scheine und fördere aktiv Vulnerability Disclosure etwa durch den Einsatz des security.txt (https://securitytxt.org/). Die Standards seien aber noch weit hinter den USA und eine Pflicht für Behörden beispielsweise aktuell kein Thema .
Wir nutzen Cookies auf unserer Website. Einige von ihnen sind essenziell für den Betrieb der Seite, während andere uns helfen, diese Website und die Nutzererfahrung zu verbessern (Tracking Cookies). Sie können selbst entscheiden, ob Sie die Cookies zulassen möchten. Bitte beachten Sie, dass bei einer Ablehnung womöglich nicht mehr alle Funktionalitäten der Seite zur Verfügung stehen.
Belgien will ethischen Hackern die Hand reichen. Das nationale Center for Cyber Security (CCB) hat rechtliche Vorgaben für das Melden von Sicherheitslücken in Systemen, Netzwerken und Anwendungen publiziert. Das Safe Harbor Framework soll in ganz Belgien Schutz vor Strafverfolgung garantieren, wenn sich Hacker an die Vorgaben halten.Damit geht Belgien weit. Es sei nach Holland, Litauen und Frankreich das vierte Land in Europa, das allgemeingültige Regeln erlasse, sagt Florian Badertscher, CTO von Bug Bounty Switzerland. Firmen, Organisationen und Behörden würden damit vor fertige Tatsachen gestellt, ob sie bereit seien oder nicht, so der Security-Spezialist.Denn das Regelwerk gilt sowohl für behördliche, als auch für privatwirtschaftlich betriebene IT-Systeme. Es soll vor allem zum Tragen kommen, wenn eine Organisation keine eigene Vulnerability Disclosure Policy (VDP) veröffentlicht hat – ein hauseigenes Regelwerk, wie Lücken zu melden sind.Umgehende Benachrichtigung der Verantwortlichen der verwundbaren Technologie, mindestens zur gleichen Zeit wie das CCBÜbermittlung eines schriftlichen Schwachstellenberichts an das CCB, in einem vorgeschriebenen Format und so rasch wie möglichVorgehen ohne betrügerische Absicht oder die Absicht zu schadenInformationen über die Schwachstelle und die gefährdeten Systeme nicht ohne die Zustimmung des CCB öffentlich bekannt gebenIn einem fremden System nur jene Handlungen vollziehen, die nötig sind, um eine Schwachstelle nachzuweisenWie gut schützt das neue Framework? Florian BadertscherDer letzte Punkt ist immer wieder Gegenstand von Diskussionen: Welche Aktionen sind nötig, um eine Schwachstelle nachzuweisen? Festgehalten wird vom CCB, dass der unberechtigte Zugriff auf Systeme, Veränderungen oder der Diebstahl von Daten, die Entwicklung von Hacking-Tools sowie das unbefugte Eindringen oder die Erweiterung von Befugnissen in Computersysteme grundsätzlich verboten seien. Sie könnten aber als gerechtfertigt eingestuft werden , um eine Schwachstelle zu identifizieren oder nachzuweisen. Man solle hier nur so weit gegen das Gesetz verstossen, wie es unbedingt nötig sei, so das belgische CCB. DDoS-Angriffe, Phishing, Social Engineering und Spamming, Brute-Force-Attacken oder die Installation von Malware sind strikt untersagt.Wer sich an die Regeln hält, soll von der Strafverfolgung wegen "Computer Hacking" geschützt werden, das in Belgien in mehreren Paragrafen geregelt ist. Das Land sieht bei Verstössen bis zu 5 Jahren Gefängnis vor. Im Streitfall wird aber auch in Belgien ein Gericht entscheiden müssen. Vom CCB heisst es dazu etwas vage: "Unter der Voraussetzung, dass Sie alle Bedingungen strikt einhalten, kann in begrenztem Umfang ein Rechtfertigungsgrund für die Straftatbestände angenommen werden."Die Schweiz geht einen anderen WegWie gut das Safe Harbor Framework Hacker wirklich schütze, sei von aussen schwierig zu beurteilen, sagt Badertscher. Das belgische Framework sei ein grosser Schritt nach vorne, es gebe aber auch andere Wege, um White-Hat-Hackern etwas mehr Rechtssicherheit zu versprechen. So hat etwa die Cybersecurity and Infrastructure Security Agency (CISA) der USA im Jahr 2020 Behörden verpflichtet, Vulnerability Disclosure Policies bekannt zu geben, allerdings ohne eine rechtliche Würdigung der Legal Safe Harbor Regelung. Damit müssen die rechtlichen Grundlagen nicht angepasst werden, man bewegt sich aber trotzdem in die richtige Richtung. Die Schweiz, sagt Badertscher, habe mit dem NCSC diesen Weg eingeschlagen wie es scheine und fördere aktiv Vulnerability Disclosure etwa durch den Einsatz des security.txt (https://securitytxt.org/). Die Standards seien aber noch weit hinter den USA und eine Pflicht für Behörden beispielsweise aktuell kein Thema .