Moderne Gesellschaften sind stark von digitalen Systemen abhängig, von Krankenhäusern über Behörden bis zur Energieversorgung. Gleichzeitig sind IT-Systeme aber auch so komplex, dass sie nie vollständig fehlerfrei sein werden.

Damit stellt sich nicht die Frage ob Sicherheitslücken in einem System existieren, sondern wer diese Schwachstellen zuerst entdeckt und was danach passiert?

Was Ethical Hacker tun - und warum wir sie brauchen

Täglich werden Sicherheitslücken in digitalen Systemen entdeckt. Manchmal gezielt, oft aber auch zufällig. Was dann passiert, hängt davon ab, wer sie findet.

Werden sie von Kriminellen entdeckt, können sie für Spionage, Erpressung oder Sabotage genutzt werden. Werden sie von gutwilligen Personen gefunden, können sie gemeldet und behoben werden, bevor Schaden entsteht. Genau hier setzen Ethical Hacker an: Sie entdecken Schwachstellen, melden sie vertraulich an die Betreiber oder Hersteller und warten mit einer allfälligen öffentlichen Bekanntmachung, bis die Lücke geschlossen ist. Diese Praxis nennt sich Responsible Disclosure.

Ein zentraler Grundsatz gilt dabei immer: Ethical Hacker greifen so wenig wie möglich in Systeme ein, vermeiden den Zugriff auf personenbezogene Daten und haben kein Interesse daran, Schaden anzurichten oder sich Vorteile zu verschaffen. Ihr Ziel ist es, Schwachstellen aufzuzeigen, damit sie geschlossen werden können. Oft tun sie das sogar unentgeltlich und ehrenamtlich.

Gerade in einer stark digitalisierten Gesellschaft wird diese Arbeit immer wichtiger. Gesundheitswesen, Energieversorgung und Verwaltung sind auf komplexe Software angewiesen und damit auch auf Menschen, die ihre Schwachstellen verantwortungsvoll ans Licht melden.

Sicherheitslücken als geopolitische Gefahr

Die Bedeutung dieser Arbeit geht weit über einzelne Systeme hinaus. Staaten investieren weltweit massiv in offensive Cyberfähigkeiten und suchen gezielt nach bislang unbekannten Schwachstellen, um Systeme auszuspionieren oder zu sabotieren. Schätzungen gehen davon aus, dass allein China zehntausende Spezialist:innen in staatlich unterstützten Hackerstrukturen beschäftigt.

Auch der internationale Markt für sogenannte Zero-Day-Vulnerabilities spielt dabei eine Rolle. Für bislang unbekannte Sicherheitslücken werden hier teilweise Millionenbeträge bezahlt, nicht nur von Unternehmen, sondern auch von staatlichen Akteuren.

Je länger eine Sicherheitslücke unentdeckt bleibt, desto größer das Risiko, dass sie für Spionage oder Sabotage ausgenutzt wird. Responsible Disclosure verkleinert diese Angriffsfläche und macht uns alle sicherer.

Responsible Disclosure als Teil moderner IT-Sicherheit

Viele Unternehmen, Behörden und Organisationen haben bereits eigene Vulnerability-Disclosure-Programmeeingerichtet. Über solche Meldekanäle können Ethical Hacker Sicherheitslücken verantwortungsvoll melden, damit sie geschlossen werden, bevor sie ausgenutzt werden. Manche Einrichtungen zahlen über sogenannte Bug Bounty Programme sogar symbolische Geldbeträge an Ethical Hacker, die ihnen Schwachstellen melden.

Auch regulatorisch gewinnt dieses Thema an Bedeutung. Die europäische NIS-Richtlinie und ihre Nachfolgerin NIS-2 verpflichten Betreiber kritischer Infrastruktur, sich systematisch mit Sicherheitslücken auseinanderzusetzen und entsprechende Melde- und Reaktionsprozesse einzurichten.

In Österreich ist das Richtige tun rechtlich gefährlich

In Österreich besteht allerdings ein Problem: Verantwortungsvolle Sicherheitsarbeit kann rechtliche Risiken auslösen.

Der zentrale Straftatbestand ist §118a StGB („Widerrechtlicher Zugriff auf ein Computersystem“). Die Bestimmung ist so weit formuliert, dass sie bereits dann greifen kann, wenn Ethical Hacker Systeme untersuchen und auf Sicherheitslücken testen.

Neben strafrechtlichen Risiken können auch verwaltungsrechtliche Sanktionen drohen. So sieht etwa §62 Abs. 1 Z 1 Datenschutzgesetz Verwaltungsstrafen von bis zu 50.000 Euro vor.

Das Ergebnis: Sicherheitslücken werden gar nicht erst gemeldet – obwohl Betreiber ein großes Interesse daran haben sollten, davon zu erfahren. In Österreich ist es derzeit rechtlich gefährlicher, das Richtige zu tun, als die Gefahr totzuschweigen.

Wir wissen das aus eigener Erfahrung. Während der COVID-Pandemie evaluierten Mitarbeiter:innen von epicenter.works gemeinsam mit Journalist:innen des Standards das Epidemiologische Meldesystem (EMS) und stießen dabei auf eine gravierende Sicherheitslücke, über die potenziell tausende sensible Gesundheitsdaten zugänglich gewesen wäre. Obwohl wir nach Responsible Disclosure gehandelt haben, leitete die Staatsanwaltschaft ein Ermittlungsverfahren nach §118a StGB gegen uns (und nicht gegen den Standard) ein. Nach zwei Jahren wurde das Verfahren eingestellt und nachdem wir den Missstand öffentlich machten, musste sich auch der zuständige Minister bei uns entschuldigen. Die Belastung, die Kosten und der Abschreckungseffekt bleiben bis heute.

Andere Länder, zeigen wie’s geht

Mehrere europäische Staaten haben bereits Rahmenbedingungen geschaffen, die Ethical Hacker ausdrücklich unterstützen.

Die Niederlande haben ein etabliertes System für Coordinated Vulnerability Disclosure, bei dem Ethical Hacker Sicherheitslücken melden können, ohne automatisch strafrechtliche Konsequenzen befürchten zu müssen – solange sie sich an klare Regeln halten.

Auch Estland setzt bewusst auf Zusammenarbeit mit der IT-Community und bindet Ethical Hacker aktiv in die Verteidigung seiner digitalen Infrastruktur ein. Der Ansatz entstand nach den massiven Cyberangriffen auf estnische Behörden, Medien und Unternehmen im Jahr 2007, die international als einer der ersten groß angelegten staatlich unterstützten Cyberangriffe gelten. In der Folge baute Estland Strukturen auf, die es Expert:innen aus der IT-Community ermöglichen, zur Sicherheit der stark digitalisierten staatlichen Infrastruktur beizutragen.

Österreich bewegt sich - aber es braucht mehr

Die Forderung nach Rechtssicherheit für Ethical Hacking ist nicht neu. Epicenter.works setzt sich seit Jahren dafür ein, verantwortungsvolle Offenlegung von Sicherheitslücken rechtlich abzusichern.

Im Jänner 2026 hat der Nationalrat mit den Stimmen von ÖVP, SPÖ, NEOS und Grünen die Bundesregierung erstmals aufgefordert zu evaluieren, wie Ethical Hacking rechtlich besser abgesichert werden kann. Ein erster Schritt, aber noch keine Reform.

Wir setzen uns weiterhin für eine Reform der rechtlichen Rahmenbedingungen für Responsible Disclosure in Österreich ein. Damit diese Reform praxistauglich wird, brauchen wir auch Erfahrungen aus der Community. Wir helfen außerdem immer gerne auch beim Abstellen von Sicherheitslücken oder anderen Missständen, wie wir es in der Vergangenheitschon öfter getan haben.