Zielsetzung

IT-Sicherheitsforschung schützt – aber wie geschützt sind IT-Sicherheitsforschende?

Da unabhängige IT-Sicherheitsforschung essentiell für eine sichere Digitalisierung ist und gleichzeitig IT-Sicherheitsforschende von Haftungs- und Strafbarkeitsrisiken bedroht sind, besteht dringender Reformbedarf in Deutschland – dieser wird im Whitepaper zur Rechtslage der IT-Sicherheitsforschung skizziert.

Hintergrund

Um die rechtlichen Probleme der IT-Sicherheitsforschung aufzuzeigen, entstand im Zeitraum 2020–2021 das Whitepaper als Resultat eines überinstitutionellen Autor*innenenkreises und geht auf eine Initiative von Wissenschaftler*innen aus Rechtswissenschaft und Sicherheitsforschung zurück. Ein aktueller Anlass war der Fall eines Gerichtsverfahrens gegen mehrere Forschungsgruppen deutscher Universitäten, welche sich dem Vorwurf ausgesetzt sahen, im Rahmen ihrer Forschungsarbeit urheberrechtlich geschützte Software dekompiliert zu haben (heise.de, Vortrag auf dem 35. Chaos Communication Congress (35C3), Artikel in Datenschutz und Datensicherheit (DuD)). Im Rahmen mehrerer Workshops debattierten Expert*innen von unterschiedlichen Forschungseinrichtungen aus Berlin, Bochum, Darmstadt, Frankfurt, Karlsruhe, München und Saarbrücken, wie ein sicherer Rechtsrahmen für IT-Sicherheitsforschung aussehen kann und welche Probleme sich aktuell stellen. Die Ergebnisse sind im Whitepaper kompakt zusammengefasst. Die Darstellungen sollen zur Diskussion anregen und Lösungsoptionen aufzeigen.

Whitepaper zur Rechtslage der Sicherheitsforschung

Die wichtige Rolle von Sicherheitsforschenden bei der Aufdeckung von Schwachstellen in bestehenden Produkten und Diensten muss anerkannt werden und es sollten Bedingungen geschaffen werden, die eine koordinierte Offenlegung von Schwachstellen ermöglichen. Denn Staat, Wirtschaft und Gesellschaft profitieren von einer unabhängigen IT-Sicherheitsforschung. Um exzellente und verwertbare Ergebnisse produzieren zu können, muss sich IT-Sicherheitsforschung dabei auch an realistischen Rahmenbedingungen orientieren. Zudem sollte sie zur Stärkung von Prävention, Detektion und Reaktion auch verstärkt proaktiv ausgerichtet sein, um neuen Bedrohungslagen zu begegnen.

Im Whitepaper finden Sie ausführliche Beschreibungen zu den Problemen sowie Vorschläge, wie Lösungen umgesetzt werden könnten. Darin geben die Autor*innen einen kompakten Überblick über die aktuelle Rechtslage in Deutschland, beschreiben das etablierte Coordinated Disclosure Verfahren zum Melden von Sicherheitslücken, geben einen Überblick über Best Practices und den historischen Kontext, vergleichen die Situation zu anderen Ländern und zeigen so mögliche Optionen zur Reform der Rechtslage.

Weitere Details zum Whitepaper und zu den Autor*innen finden Sie hier.

IT-Sicherheitsbedrohungen nehmen zu -
Sicherheit darf nicht
zurückbleiben

Forderungen

Rechtliche Hemmnisse erzeugen Abschreckungseffekte für praxis- und gemeinwohlorientierte IT-Sicherheitsforschung an Forschungseinrichtungen sowie aus dem privaten oder unternehmerischen Bereich. Daher fordern zahlreiche Unterstützer*innen aus Forschung und Gesellschaft:

  1. Rechtssicherheit für die IT-Sicherheitsforschung
  2. Klare Standards für den Umgang mit Sicherheitslücken
  3. Internationale Kooperation und klares Bekenntnis zur IT-Sicherheitsforschung



Weitere Details zu den Forderungen und eine Liste der Unterstützer*innen finden Sie hier.

Wollen Sie uns unterstützen? Nutzen Sie bitte das Webformular!