IT-Sicherheitslücken in Hard- und Software betreffen private, unternehmerische und staatliche Systeme. Sobald eine Ausnutzung der Lücken technisch möglich ist, stellen sie eine Bedrohung für die IT-Sicherheit aller Beteiligten dar. Konkret betroffen sind Bürgerinnen/Bürger sowie Unternehmen als Nutzende, Herstellerinnen/Hersteller von Soft- und Hardware sowie staatliche (kritische) IT-Infrastruktur. Es ist daher im gesamtgesellschaftlichen Interesse, die Zahl der ausnutzbaren Sicherheitslücken so gering wie möglich zu halten.  Diese Kurzfassung des Papiers in der Schriftenreihe „digital | recht“ zeigt mit dem Konstrukt der Melde- und Koordinierungsstelle für CVD-Prozesse eine Lösung auf, IT-Sicherheitsforschende und sonstige Finderinnen und Finder von IT-Sicherheitslücken zugunsten des Gemeinwohls in die Beseitigung von Sicherheitslücken einzubeziehen.

Inhalt

Der bidt Impuls zeigt zwei Lösungsansätze auf, die die Rechtssicherheit für IT-Sicherheitsforschende maßgeblich fördern können:

  • Juristische Änderungsvorschläge für Strafrecht, Datenschutz- und IT-Sicherheitsrecht
  • Skizzierung einer unabhängigen Melde- und Koordinierungsstelle

Lösungsansatz 1: Juristische Impulse für einen Rechtsrahmen

Die Umgestaltung des gesetzlichen Rahmens schafft die Grundlage dafür. Durch die Berücksichtigung der wegweisenden verfassungsgerichtlichen Rechtsprechung in Strafrecht, Datenschutz- und IT-Sicherheitsrecht werden IT-Sicherheitsforschende merklich entlastet. Zugleich wird das Melden von IT-Sicherheitslücken als Mittel zur Stärkung der IT-Sicherheit erklärt und nicht mehr ausschließlich als (befürchteter) erster Schritt zur Ausnutzung der Sicherheitslücken. Auch zukünftig sollte in weiteren, jüngeren Rechtsgebieten – beispielsweise dem in Entstehung befindlichen europäischen Datenrecht – darauf geachtet werden, diesen Wert beizubehalten oder gar zu stärken.

Lösungsansatz 2: Etablierung einer Melde- und Koordinierungsstelle

Die vorgeschlagene Melde- und Koordinierungsstelle dient dabei als Vehikel, die Entwicklung dieses Wertes in der gesellschaftlichen Ordnung voranzutreiben. Sichere und vertrauliche Kommunikationswege im Meldeprozess zwischen IT-Sicherheitsforschenden und Herstellerinnen/Herstellern bzw. produktverantwortlichen Stellen bauen Hemmungen ab. Die Begleitung und Standardisierung des CVD-Prozesses schafft Klarheit und Vertrauen zwischen den Beteiligten, aber auch für die Allgemeinheit. Daneben steigert die Unabhängigkeit der Stelle selbst das Vertrauen gegenüber dem Staat als schützendes Organ, den Produktverantwortlichen, aber vor allem in das eigene System.

Autor*innen

  • Dr. Oliver Vettermann (geb. Bizuga) (FIZ Karlsruhe Leibniz-Institut für Informationsinfrastruktur)
  • Dr. Manuela Wagner (FZI Forschungszentrum Informatik, Karlsruhe)
  • Maximilian Leicht LL.M. (UdS) (Lehrstuhl für Rechtsinformatik, Universität des Saarlandes)
  • Prof. Dr.-Ing. Felix Freiling (Friedrich-Alexander-Universität Erlangen-Nürnberg (FAU))