Whitepaper zur Rechtslage der IT-Sicherheitsforschung
Reformbedarf aus Sicht der angewandten Sicherheitsforschung
Als wissenschaftliche Grundlage und zur Erläuterung der wesentlichen Hintergründe haben Rechtswissenschaftler*innen und Informatiker*innen gemeinsam ein Whitepaper zur Rechtslage der Sicherheitsforschung in Deutschland verfasst. Zum besseren Verständnis der hier präsentierten Forderungen wird die komplexe Rechtslage aufgezeigt sowie Möglichkeiten und Grenzen des verantwortungsbewussten Umgangs mit Schwachstellen als auch praktische Erfahrungen beschrieben.
Dieses Whitepaper wurde hier im November 2021 veröffentlicht.
Whitepaper Verantwortungsbewusster Umgang mit IT-Sicherheitslücken
IT-Sicherheitslücken in Hard- und Software betreffen private, unternehmerische und auch staatliche Systeme. Sobald eine Ausnutzung der Lücken technisch möglich ist, stellen sie eine Bedrohung für die IT-Sicherheit aller Beteiligten dar. Konkret betroffen sind Bürger*innen und Unternehmen als Nutzende, Hersteller von Soft- und Hardware sowie staatliche (kritische) IT-Infrastruktur. Es ist daher im gesamtgesellschaftlichen Interesse, die Zahl der ausnutzbaren Sicherheitslücken so gering wie möglich zu halten. Dieses Whitepaper führt in die rechtlichen und praktischen Probleme der IT-Sicherheitsforschung ein. Zugleich zeigt es vor allem rechtliche Auswege auf, die perspektivisch zu einer rechtssicheren IT-Sicherheitsforschung führen.
Dieses Whitepaper wurde im Februar 2023 in digital | recht veröffentlicht.
bidt Impuls: Lücken schließen
Diese Kurzfassung des Papiers in der Schriftenreihe „digital | recht“ zeigt mit dem Konstrukt der Melde- und Koordinierungsstelle für CVD-Prozesse eine Lösung auf, IT-Sicherheitsforschende und sonstige Finderinnen und Finder von IT-Sicherheitslücken zugunsten des Gemeinwohls in die Beseitigung von Sicherheitslücken einzubeziehen.
Der Impuls wurde im April 2023 beim Bayerischen Forschungsinstitut für Digitale Transformation (bidt) veröffentlicht.
Weitere Veröffentlichungen
Die rechtliche Adressierung von IT-Sicherheitslücken sowie der IT-Sicherheitsforschung stellt eine komplexe Materie dar, welche zunehmend ihren Weg in den Fokus der wissenschaftlichen Auseinandersetzung findet. Im Folgenden haben wir für Sie Publikationen aufgelistet, welche im Zusammenhang mit diesem Projekt entstanden sind. Die geäußerten Ansichten sind jeweils die der einzelnen Autor*innen.
- Dominik Brodowski, (Ir-)responsible disclosure of software vulnerabilities and the risk of criminal liability, it – Information Technology 57 (2015): Special Issue: From IT Forensics to Forensic Computing Felix C. Freiling (Hrsg.), S. 357–365, DOI: 10.1515/itit-2015-0014
- Fabian Franzen / Dominik Maier / Manuela Wagner, Mehr schlecht als Recht: Grauzone Sicherheitsforschung, DuD 2020, S. 511–517, DOI: 10.1007/s11623-020-1316-y
- Oliver Vettermann / Manuela Wagner, Broken by Design? Rechtlicher Schutz und Schranken der IT-Sicherheitsforschung, InTeR 2020, S. 126–134
- Daniel Vonderau / Manuela Wagner, Vom Hörsaal in den Gerichtssaal – IT-Sicherheitsforschung als rechtliches Risiko, DSRITB 2020, S. 525–543.
- Manuela Wagner, Hacken im Dienst der Wissenschaft: Proaktive Sicherheitstests im Angesicht des Strafrechts, PinG 2020, S. 66–77
- Manuela Wagner, IT-Sicherheitsforschung in rechtlicher Grauzone – Lizenz zum Hacken, DuD 2020, S. 111–120