IT-Sicherheitslücken in Hard- und Software betreffen private, unternehmerische und auch staatliche Systeme. Sobald eine Ausnutzung der Lücken technisch möglich ist, stellen sie eine Bedrohung für die IT-Sicherheit aller Beteiligten dar. Konkret betroffen sind Bürger*innen und Unternehmen als Nutzende, Hersteller von Soft- und Hardware sowie staatliche (kritische) IT-Infrastruktur. Es ist daher im gesamtgesellschaftlichen Interesse, die Zahl der ausnutzbaren Sicherheitslücken so gering wie möglich zu halten. Dieses Whitepaper führt in die rechtlichen und praktischen Probleme der IT-Sicherheitsforschung ein. Zugleich zeigt es vor allem rechtliche Auswege auf, die perspektivisch zu einer rechtssicheren IT-Sicherheitsforschung führen.

Die Beiträge geben die persönlichen Sichtweisen der Autor*innen wieder und entstanden ohne Projekt- oder Förderzusammenhang.

Inhalt

Im Whitepaper beschreibt ein interdisziplinäres Team von Autor*innen von unterschiedlichen Forschungseinrichtungen die Rechtslage der IT-Sicherheitsforschung, dabei werden insbesondere die folgenden Aspekte betrachtet

  • wissenschaftliche und politische Diskussion,
  • Lösungsansätze für den Umgang mit Sicherheitslücken,
  • Konzept für eine Meldestelle von Sicherheitslücken sowie
  • Grenzen einer Meldestelle.

Zusammenfassung

Ziel dieses Whitepapers ist es, einen Überblick über die bestehenden Probleme im verantwortungsvollen Umgang mit IT-Sicherheitslücken zu geben und einen Lösungsansatz aufzuzeigen. Grundlage dafür ist die Problemlage in gesellschaftlicher wie wissenschaftlicher Hinsicht: Die Einblicke in die wissenschaftliche und politisch-gesellschaftliche Diskussion (Kapitel 1) verdeutlichen die Relevanz der IT-Sicherheit in der fortschreitenden Digitalisierung und Vernetzung, und damit auch die Bedeutung von Schwachstellen bei der Bewertung der IT-Sicherheit. Die daran beteiligten Personen sowie Prozesse sind allerdings nur mäßig definiert bzw. überwiegend international etabliert. So ist der Begriff der IT-Sicherheitsforscher*in nicht klar und einheitlich definiert; oft schließt er ethische Hacker*innen und unabhängige Akteur*innen nicht ein. Die Meldung bzw. koordinierte Offenlegung von IT-Sicherheitslücken nach dem Schema des international etablierten Coordinated-Disclosure-Prozesses hat sich dagegen national bislang mäßig durchgesetzt. Grund dafür mögen die zahlreichen rechtlichen Probleme sein, die Kapitel 2 ergänzend zum bereits erschienenen Whitepaper in dieser Hinsicht aufzeigt. Die Betrachtung des Prozesses aus verschiedenen rechtswissenschaftlichen Blickwinkeln und Disziplinen zeigt zunächst grundrechtliche Konflikte im Dreieck IT-Sicherheitsforscher*in – Nutzer*in – Hersteller*in auf. Das Austarieren dieser Positionen gelingt auch nicht über die in der Untersuchung vertieften Betrachtungen u.a. im Datenschutz-, Straf- und Produktsicherheitsrecht. Auch aktuelle europäische Entwürfe wie jene der NIS2-Richtlinie und des Cyber Resilience Acts enthalten nur oberflächliche Lösungsvorschläge, die ein Austarieren kaum einbeziehen. Damit deuten die Ergebnisse dieses Kapitels darauf hin, dass bisheriges gesetzgeberisches Handeln die Konfliktlage nicht ausreichend berücksichtigt hat. Im Zuge der Umsetzung europäischer Regelungsvorhaben sowie des Gesetzgebungsauftrags in der Rechtsprechung des Bundesverfassungsgerichts eröffnet sich jedoch eine Chance, die einzelnen Positionen gesetzgeberisch zu würdigen. Hierfür bietet Kapitel 3 die Grundlage in Form einer unabhängigen Melde- und Koordinierungsstelle zur Unterstützung von CVD-Prozessen. Aufgabe der Stelle ist es, die vermittelnde Position zwischen Hersteller*in und Finder*in (z.B. IT-Sicherheitsforscher*innen) einzunehmen und im Interesse der Allgemeinheit das Schließen der IT-Sicherheitslücke bzw. Schwachstelle zu begleiten. Im Einzelnen sei auf die Ausführungen im Kapitel selbst verwiesen. Dennoch sei zu betonen, dass die Umsetzung des Vorschlags aus Kapitel 3 nicht dazu führt, dass sämtliche Probleme im Umgang mit IT-Sicherheitslücken gelöst würden. Aus rechtlicher Sicht verbleiben stets Verantwortungsanteile bei Hersteller*innen bzw. Produzent*innen und Melder*innen. Es ist daher notwendig, begleitende staatliche Maßnahmen – wie in Kapitel 4 ausgeführt – im Zuge des Aufbaus einer Melde- und Koordinierungsstelle zu treffen. Ein verantwortungsvoller Umgang mit IT-Sicherheitslücken kann folglich nur durch ein Zusammenspiel aus institutioneller Lösung in Form (freiwillig eingeschalteten) der Melde- und Koordinierungsstelle (Kapitel 3) und Begleitmaßnahmen zur Stärkung der Rechtssicherheit für Melder*innen von Schwachstellen und Hersteller*innen (Kapitel 4) gelingen.

Autor*innen

  • Dr. Manuela Wagner (FZI Forschungszentrum Informatik, Karlsruhe)
  • Dr. Oliver Vettermann (geb. Bizuga) (FIZ Karlsruhe Leibniz-Institut für Informationsinfrastruktur)
  • Steven Arzt (Nationales Forschungszentrum für angewandte Cybersicherheit ATHENE, Darmstadt)
  • Jun.-Prof. Dr. Dominik Brodowski LL.M. (UPenn) (Juniorprofessur für Strafrecht und Strafprozessrecht, Universität des Saarlandes)
  • Roman Dickmann LL.M. (Univ. Münster) (Fachanwalt für Versicherungsrecht)
  • Jun.-Prof. Dr. Sebastian Golla (Juniorprofessur für Kriminologie, Strafrecht und Sicherheitsforschung im Digitalen Zeitalter an der Ruhr-Universität Bochum)
  • Niklas Goerke (FZI Forschungszentrum Informatik, Karlsruhe)
  • Dr. Michael Kreutzer (Nationales Forschungszentrum für angewandte Cybersicherheit ATHENE, Darmstadt)
  • Maximilian Leicht LL.M. (UdS) (Lehrstuhl für Rechtsinformatik, Universität des Saarlandes)
  • Dr. Johannes Obermaier (Fraunhofer-Institut für Angewandte und Integrierte Sicherheit (AISEC), München)
  • Marc Schink (Fraunhofer-Institut für Angewandte und Integrierte Sicherheit (AISEC), München)
  • Linda Schreiber LL.M.(Darmstadt), LL.M.(Edinburgh) (Nationales Forschungszentrum für angewandte Cybersicherheit ATHENE, Darmstadt)
  • Prof. Dr. Christoph Sorge, (Lehrstuhl für Rechtsinformatik, Universität des Saarlandes)