IT-Sicherheitsforschende benötigen einen rechtssicheren Rahmen, um produktiv arbeiten zu können. Allerdings sind Sicherheitsforschende selbst bei einem verantwortungsbewussten Umgang mit Sicherheitslücken in Deutschland von Haftungs- und Strafbarkeitsrisiken bedroht.

Die Lage ist ernst – das wird deutlich angesichts der besorgniserregenden Einschätzung zur Cybersicherheit wie jüngst im aktuellen Lagebericht der IT-Sicherheit in Deutschland des Bundesamts für Sicherheit in der Informationstechnik (BSI). Laut BSI ist und bleibt hier der Umgang mit Schwachstellen eine der größten Herausforderungen der Informationssicherheit, denn „Cyber-Kriminelle sind aufgrund ihrer technischen Möglichkeiten dazu fähig, Schwachstellen auszunutzen – in vielen Fällen ohne weiteres Zutun der Anwenderinnen und Anwender“. Der Branchenverband Bitkom e.V. belegte dies zusätzlich mit einer Studie, der zufolge Cyberangriffe bei 86 Prozent aller Unternehmen zu Schäden führen und jedes zehnte Unternehmen sich deshalb in seiner Existenz bedroht sehe.

Aktuelle Fälle zeigen, dass diese Diskussion dringend notwendig ist. Dieses Jahr wurde Strafanzeige gegen eine Sicherheitsforscherin erstattet, nachdem sie Verantwortliche über eine Schwachstelle in einem Webdienst samt App und den (zumindest drohenden) Abfluss sensibler Daten informiert hatte (zeit.de, sueddeutsche.de, netzpolitik.org, heise.de). In einem ähnlichen Fall folgte auf die Offenlegung einer Schwachstelle eine Hausdurchsuchung (golem.de). Damit bestehen erhebliche Abschreckungseffekte, welche Forschende sowohl an Forschungseinrichtungen als auch im Bereich des sog. ethischen Hackens von einer gesamtgesellschaftlich nutzstiftenden Forschung abhalten könnten.

Während der Pandemie konnten laut einer Umfrage mit Hilfe „ethischer Hacker*innen“ Cyberangriffe im Wert von 27 Milliarden US-Dollar abgewehrt werden. (Bugcrowd, Inside the Mind of a Hacker 2021)

Wege zum verantwortungsbewussten Umgang mit Sicherheitslücken werden international diskutiert: einige Länder, wie bspw. die Niederlande, haben bereits klare Vorgaben für ethisches Hacken umgesetzt. Andere Länder ringen noch mit einer Positionierung. Da die Auswirkungen von Sicherheitslücken nicht an Ländergrenzen halt machen, sollten auch die Rahmenbedingung für die Forschung international einheitlich gestaltet werden. Ein erster Impuls hierzu kann von nationalen Regelungen, zu denen das Whitepaper aufruft, ausgehen.