BLE Security Guide

Rechtlicher Rahmen

StGB, DSGVO und EU Cyber Resilience Act — was du wissen musst

Lernziel

Nach dieser Seite weißt du, welche deutschen und europäischen Gesetze für BLE-Sicherheitstests relevant sind, wann du dich strafbar machst und wann nicht — und was ein verantwortungsvoller Umgang mit gefundenen Schwachstellen bedeutet.

Warum Recht und Technik zusammengehören

Sicherheitsforschung ist kein rechtsfreier Raum. Wer BLE-Geräte analysiert, bewegt sich in einem Bereich, in dem technisches Können allein nicht ausreicht. Du musst verstehen, was erlaubt ist — und was nicht.

Die gute Nachricht: Wenn du eigene Geräte testest und gefundene Schwachstellen verantwortungsvoll meldest, bist du auf der sicheren Seite. Dieser Guide ist darauf ausgelegt, genau das zu tun.

Strafgesetzbuch: §§ 202a, 202b, 202c

Das deutsche Strafgesetzbuch enthält drei Paragraphen, die für Sicherheitsforscher besonders relevant sind. Vereinfacht gesagt: Sie regeln, wann das Analysieren von Daten und Kommunikation strafbar ist.

§ 202a StGB — Ausspähen von Daten

Dieser Paragraph macht es strafbar, unbefugt auf Daten zuzugreifen, die durch eine Zugangssicherung geschützt sind — zum Beispiel ein Passwort oder eine Verschlüsselung.

Stell dir vor, jemand knackt das Schloss an einer fremden Haustür, um hineinzusehen. Das ist § 202a. Wenn die Tür dagegen offen steht (kein Schloss, keine Sicherung), greift der Paragraph nicht.

Wichtig für dich: Analysierst du ein BLE-Gerät, das du selbst gekauft hast, bist du befugt. Der Tatbestand ist nicht erfüllt.

§ 202b StGB — Abfangen von Daten

Dieser Paragraph verbietet es, nichtöffentliche Datenübertragungen mit technischen Mitteln abzufangen — also zum Beispiel, den BLE-Traffic zwischen Gerät und App einer fremden Person aufzuzeichnen.

Eigene Geräte, eigene Verbindungen: kein Problem. Fremde Kommunikation ohne Erlaubnis: strafbar.

§ 202c StGB — Vorbereitung

Dieser Paragraph erfasst vorbereitende Handlungen — etwa das Herstellen oder Beschaffen von "Hackertools" mit dem Ziel, §§ 202a oder 202b zu begehen.

Tooling wie Wireshark, JADX oder Ghidra ist aber nicht per se illegal. Der entscheidende Faktor ist die Absicht: Einsatz für erlaubte Sicherheitsforschung ist legitim.

Die goldene Regel: Nur eigene Geräte

Teste ausschließlich Geräte, die dir gehören oder für die du eine ausdrückliche, schriftliche Genehmigung des Eigentümers hast. Der Satz "Ich wollte ja nur schauen" schützt nicht vor Strafverfolgung. Dokumentiere Berechtigungen sorgfältig.

DSGVO: Datenschutz-Grundverordnung

Die Datenschutz-Grundverordnung (DSGVO) ist seit 2018 in der gesamten EU unmittelbar geltendes Recht. Für BLE-Geräte sind drei Artikel besonders relevant.

Artikel 9 — Besondere Kategorien personenbezogener Daten

Gesundheitsdaten sind nach DSGVO besonders geschützt. Artikel 4 Nr. 15 definiert sie als Daten über die körperliche oder geistige Gesundheit einer Person.

Konkret: Gewicht, Körperfettanteil und Bioimpedanz-Messwerte einer Körperwaage sind Gesundheitsdaten im Sinne der DSGVO. Artikel 9 verbietet deren Verarbeitung grundsätzlich — außer die betroffene Person hat ausdrücklich eingewilligt oder es liegt ein gesetzlicher Erlaubnisgrund vor.

Was das für dich bedeutet: Wenn du eine smarte Waage analysierst und dabei Gesundheitsdaten aufzeichnest — selbst aus deiner eigenen Waage — solltest du bewusst damit umgehen. Bewahre keine personenbezogenen Daten aus Tests auf, die nicht für die Analyse notwendig sind.

Artikel 25 — Privacy by Design

Hersteller sind verpflichtet, Datenschutz von Anfang an in ihre Produkte einzubauen — nicht als Nachgedanke. Eine Waage, die Gesundheitsdaten unverschlüsselt per BLE sendet, verstößt gegen dieses Prinzip.

Artikel 32 — Technische Schutzmaßnahmen

Datenverarbeiter müssen angemessene technische Maßnahmen treffen, um Daten zu schützen. Für IoT-Hersteller bedeutet das: Verschlüsselung, Zugangskontrolle, sichere Übertragung.

DSGVO-Bußgelder sind real

Verstöße gegen Artikel 9 können mit Bußgeldern von bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes geahndet werden (Artikel 83 DSGVO). Das ist kein theoretisches Risiko — europäische Datenschutzbehörden verhängen solche Strafen aktiv.

EU Cyber Resilience Act (CRA)

Der Cyber Resilience Act (Verordnung (EU) 2024/2847) ist das bisher umfangreichste europäische Gesetz zur Cybersicherheit von Produkten. Er ist am 10. Dezember 2024 in Kraft getreten.

CRA-Zeitplan

10. Dezember 2024: Inkrafttreten

11. Dezember 2026: Meldepflichten für Hersteller werden verpflichtend

11. Dezember 2027: Vollständige Anwendung — alle neuen Produkte müssen konform sein

Bis dahin haben Hersteller Zeit, ihre Produkte anzupassen. Der Druck ist real: Nicht-konforme Produkte dürfen ab 2027 im EU-Binnenmarkt nicht mehr verkauft werden.

Was der CRA von Herstellern verlangt

Der CRA verpflichtet Hersteller von "Produkten mit digitalen Elementen" — das schließt BLE-Geräte wie smarte Lampen, Waagen oder Fitness-Tracker ein — zu einer Reihe von Maßnahmen:

Security by Design: Sicherheit muss von Anfang an ins Produkt eingebaut werden, nicht nachträglich aufgepfropft werden. Hardcodierte Passwörter, unverschlüsselte Übertragungen und fehlende Authentifizierung sind ausdrücklich verboten.

Software Bill of Materials (SBOM): Hersteller müssen eine vollständige Liste aller verwendeten Softwarekomponenten bereitstellen — damit Schwachstellen in Drittkomponenten schnell identifiziert und behoben werden können.

Vulnerability Disclosure Policy (VDP): Jeder Hersteller muss einen öffentlichen Prozess haben, über den Sicherheitsforscher Schwachstellen melden können. Funde müssen innerhalb definierter Fristen bearbeitet werden.

5 Jahre Security-Updates: Hersteller müssen Sicherheitsupdates für mindestens 5 Jahre nach Markteinführung bereitstellen. Das Ende der "verkaufen und vergessen"-Ära.

Sanktionen: Bei Verstößen drohen Bußgelder von bis zu 15 Millionen Euro oder 2,5 % des weltweiten Jahresumsatzes.

Warum der CRA für Sicherheitsforscher wichtig ist

Der CRA schafft einen legalen Rahmen für Vulnerability Disclosure: Wenn ein Hersteller eine VDP haben muss, hast du als Forscher einen offiziellen Kanal, über den du Schwachstellen melden kannst — und der Hersteller ist gesetzlich verpflichtet, sie ernst zu nehmen.

Responsible Disclosure: Der ethische Umgang mit Schwachstellen

Wenn du eine Sicherheitslücke findest, trägst du Verantwortung. "Responsible Disclosure" (verantwortungsvolle Offenlegung) ist der Industriestandard für den Umgang damit.

Der Ablauf

  1. Schwachstelle dokumentieren — Was hast du gefunden? Wie reproduzierbar ist sie? Welche Daten sind betroffen?

  2. Hersteller kontaktieren — Schreibe den Hersteller direkt an (security@, cert@, oder das allgemeine Kontaktformular). Beschreibe die Schwachstelle klar, ohne technische Details öffentlich zu machen.

  3. Angemessene Frist einräumen — 90 Tage ist der Industriestandard (CVD nach ISO/IEC 29147). Gib dem Hersteller Zeit, das Problem zu beheben.

  4. Eskalation bei Nicht-Reaktion — Wenn der Hersteller nicht reagiert: Kontaktiere das CERT-Bund (Bundesamt für Sicherheit in der Informationstechnik, BSI). Das BSI kann als Vermittler fungieren.

  5. Koordinierte Veröffentlichung — Nach Ablauf der Frist (oder wenn ein Patch verfügbar ist) kannst du die Schwachstelle veröffentlichen. Idealerweise koordiniert mit dem Hersteller.

Nie sofort veröffentlichen

Eine Schwachstelle sofort zu tweeten oder zu veröffentlichen, bevor der Hersteller informiert wurde, ist ethisch fragwürdig und kann rechtliche Konsequenzen haben. Gib Herstellern die Chance, das Problem zu beheben — die Nutzer profitieren davon.

Praktische Tipps für Sicherheitsforscher

  • Alles dokumentieren: Screenshot, Log, PCAP — mit Zeitstempel. Dokumentation schützt dich bei Streitigkeiten.
  • Schriftliche Genehmigung einholen: Wenn du Geräte eines Auftraggebers testest, lass dir den Scope schriftlich bestätigen.
  • CERT-Bund kennen: Das BSI betreibt unter cert-bund.de einen Kanal für Schwachstellenmeldungen, der auch für Forscher zugänglich ist.
  • CVE-Antrag stellen: Für öffentlich relevante Schwachstellen kann eine CVE-Nummer (Common Vulnerabilities and Exposures) bei MITRE beantragt werden.

Zusammenfassung

  • §§ 202a, 202b, 202c StGB regeln Datenzugriff und -abfangen — bei eigenen Geräten ist keine dieser Tatbestände erfüllt
  • Die DSGVO schützt besonders Gesundheitsdaten (Art. 9); Hersteller müssen Privacy by Design (Art. 25) und technische Schutzmaßnahmen (Art. 32) umsetzen
  • Der EU Cyber Resilience Act (2024/2847) tritt ab Dezember 2027 vollständig in Kraft und verpflichtet Hersteller zu Security by Design, SBOM, VDP und 5-jährigem Update-Support
  • Responsible Disclosure bedeutet: Hersteller informieren, Frist geben, koordiniert veröffentlichen
  • Immer dokumentieren: wessen Gerät, welche Genehmigung, welche Befunde

Wissenstest

1 / 2

Du findest beim Test deiner eigenen smarten Lampe eine schwerwiegende Sicherheitslücke. Was ist der richtige nächste Schritt?