Als wissenschaftliche Grundlage und zur Erläuterung der wesentlichen Hintergründe haben Rechtswissenschaftler*innen und Informatiker*innen gemeinsam ein Whitepaper zur Rechtslage der Sicherheitsforschung in Deutschland verfasst. Zum besseren Verständnis der hier präsentierten Forderungen wird die komplexe Rechtslage aufgezeigt sowie Möglichkeiten und Grenzen des verantwortungsbewussten Umgangs mit Schwachstellen als auch praktische Erfahrungen beschrieben. Das Whitepaper soll zur Diskussion in Politik und Gesellschaft anregen sowie Lösungsoptionen aufzeigen.
Die Beiträge geben die persönlichen Sichtweisen der Autor*innen wieder und entstanden ohne Projekt- oder Förderzusammenhang.
Inhalt
Im Whitepaper beschreibt ein interdisziplinäres Team von Autor*innen von unterschiedlichen Forschungseinrichtungen die Rechtslage der IT-Sicherheitsforschung im Hinblick auf
- relevante Strafnormen,
- den urheberrechtlichen Schutz von Computerprogrammen,
- das Datenschutzrecht,
- den Schutz von Geschäftsgeheimnissen sowie
- vertrags- und deliktsrechtliche Haftungsfragen.
Chancen und Herausforderungen des „Coordinated Vulnerability Disclosure“-Prozesses
Daneben wollen die Autor*innen das Bewusstsein für die Notwendigkeit eines verantwortungsbewussten Umgangs mit Sicherheitslücken schaffen: Mit der Coordinated Vulnerability Disclosure wurden bereits weltweit wertvolle Erfahrungen gesammelt. Das Whitepaper beschreibt die wichtigsten Herausforderungen und Lösungswege, den Umgang und die Risikobewertung von Schwachstellen sowie Historie, Bedeutung und Rolle der Sicherheitsforschung im internationalen Vergleich. Es soll eine erste wissenschaftliche Basis für die Diskussion zum Umgang mit gefundenen Schwachstellen bzw. Sicherheitslücken bilden.
Rechtliche Konsequenzen erzeugen Abschreckungseffekte für praxis- und gemeinwohlorientierte IT-Sicherheitsforschung
Als Fazit zur Analyse der aktuellen Rechtslage in Deutschland wird im Whitepaper festgehalten: der gesetzliche Rahmen sollte so angepasst werden, dass Forschende in Deutschland nicht aufgrund drohender rechtlicher Konsequenzen vom Untersuchen und Melden von IT-Sicherheitslücken abgeschreckt werden. So würden auf Basis der präsentierten Analyse bspw. mit der Schaffung von Erlaubnisnormen für IT-Sicherheitsuntersuchungen im Urheber- und Strafrecht rechtliche Hemmnisse abgebaut. Dies würde auch in das Vertrags- und Deliktsrecht ausstrahlen, wo im Whitepaper ebenfalls Chilling-Effekte aufgezeigt werden.
Zusätzlich bedarf es der Kommunikation auf Augenhöhe zwischen Entdecker*innen bzw. Melder*innen von Sicherheitslücken und den für die Beseitigung verantwortlichen Stellen (i.d.R. die Hersteller*innen eines Produkts / Systems). Empfänger*innen einer Meldung von Sicherheitslücken erhalten unentgeltlich eine wertvolle Leistung, welche – sofern eine Behebung der Schwachstelle erfolgt – einen Beitrag zur Senkung eigener (Produkt-) Haftungsrisiken bieten kann. Daher sollten sich Beteiligte dafür engagieren, auch in Deutschland klare Standards für den verantwortungsbewussten Umgang mit Sicherheitslücken zu etablieren und sich für eine entsprechende Fehlerkultur einzusetzen. Der aktuelle Lagebericht des BSI zeigt erneut, dass bislang wenige Herstelleri*innen darauf vorbereitet sind, Coordinated Vulnerability Disclosure-Prozesse selbstständig durchzuführen.
Autor*innen
- Silvia Balaban, Syndikusanwältin (Leiterin Themenfeld Recht am FZI Forschungszentrum Informatik, Karlsruhe)
- Prof. Dr. Franziska Boehm (FIZ Karlsruhe Leibniz-Institut für Informationsinfrastruktur, Karlsruher Institut für Technologie (KIT) / Zentrum für Angewandte Rechtswissenschaft (ZAR))
- Jun.-Prof. Dr. Dominik Brodowski LL.M. (UPenn) (Juniorprofessur für Strafrecht und Strafprozessrecht, Universität des Saarlandes)
- Roman Dickmann LL.M. (Univ. Münster) (Fachanwalt für Versicherungsrecht)
- Fabian Franzen (Technische Universität München)
- Niklas Goerke (FZI Forschungszentrum Informatik, Karlsruhe)
- Jun.-Prof. Dr. Sebastian Golla (Juniorprofessur für Kriminologie, Strafrecht und Sicherheitsforschung im Digitalen Zeitalter an der Ruhr-Universität Bochum)
- Stephan Koloßa (Mitglied der Forschungsgruppe „SecHuman“ der Ruhr-Universität Bochum (bis Ende 2020))
- Dr. Michael Kreutzer (Nationales Forschungszentrum für angewandte Cybersicherheit ATHENE, Darmstadt)
- Dr. Jochen Krüger (Lehrstuhl für Rechtsinformatik, Universität des Saarlandes)
- Maximilian Leicht LL.M. (UdS) (Lehrstuhl für Rechtsinformatik, Universität des Saarlandes)
- Dr. Johannes Obermaier (Fraunhofer-Institut für Angewandte und Integrierte Sicherheit (AISEC), München)
- Maria Pieper (FZI Forschungszentrum Informatik, Karlsruhe)
- Marc Schink (Fraunhofer-Institut für Angewandte und Integrierte Sicherheit (AISEC), München)
- Linda Schreiber LL.M.(Darmstadt), LL.M.(Edinburgh) (Nationales Forschungszentrum für angewandte Cybersicherheit ATHENE, Darmstadt)
- Dr. Dieter Schuster (Fraunhofer-Institut für Angewandte und Integrierte Sicherheit (AISEC), München)
- Prof. Dr. Christoph Sorge, (Lehrstuhl für Rechtsinformatik, Universität des Saarlandes)
- Hoa Tran, (FZI Forschungszentrum Informatik, Karlsruhe)
- Oliver Vettermann (geb. Bizuga) (FIZ Karlsruhe Leibniz-Institut für Informationsinfrastruktur)
- Dr. Stephanie Vogelgesang LL.M. (UdS) (Saarbrücker Zentrum für Recht und Digitalisierung (ZRD-Saar))
- Daniel Vonderau (FZI Forschungszentrum Informatik, Karlsruhe)
- Dr. Manuela Wagner (FZI Forschungszentrum Informatik, Karlsruhe)