Praktisch ausnutzbare Sicherheitslücken in Hard- und Software bedrohen die IT-Sicherheit privater wie staatlicher Infrastrukturen. Die Beseitigung dieser Lücken ist daher für alle Akteur:innen – Produkthersteller:innen, Betreiber:innen sowie Nutzer:innen wünschenswert.
Die Autor:innen des „bidt Impuls“ Oliver Vettermann, Manuela Wagner, Maximilian Leicht und Felix Freiling beleuchten in ihren Ausführungen die aktuelle Situation im Umgang mit IT-Sicherheitslücken. Sie zeigen Konflikte auf, die in der Praxis zwischen Herstellerseite und unabhängigen, proaktiv tätigen IT-Sicherheitsforschenden bzw. ethischen Hacker:innen bestehen. Koordinierungs- und Meldeverfahren wie der Coordinated-Vulnerability-Disclosure(CVD)-Prozess sind aktuell weder rechtlich verpflichtend geregelt noch flächendeckend umgesetzt. Durch diese Rechtsunsicherheiten für Forschende sind Abschreckungseffekte zu beobachten.
Juristische Impulse für einen Rechtsrahmen
Um Sicherheitslücken zu beseitigen und existierende Systeme bei allen Betroffenen langfristig resilienter zu machen, zeigen die Autor:innen des „bidt Impuls“ zum einen juristische Impulse für einen Rechtsrahmen auf. Dazu zählt u. a. die gesetzliche Ausgestaltung des verfassungsrechtlichen Schutzauftrags zur Gewährleistung der IT-Sicherheit, welche einen Ausgleich der multipolaren Grundrechts- und Interessenlage zwischen Forschenden, Produktnutzenden und Herstellern bzw. Unternehmen erfordert. Ebenso sollten Hemmnisse im Strafrecht abgebaut und IT-Sicherheitsforschung bei der Novellierung des IT-Sicherheits- und Datenschutzrechts in der IT-Sicherheitslandschaft verankert werden.
Etablierung einer Melde- und Koordinierungsstelle
Als zweiten Lösungsansatz schlagen die Autor:innen die Etablierung einer Melde- und Koordinierungsstelle vor, welche in die gesetzlich implementierten Prozesse eingebunden werden soll. Eine solche Stelle könnte für einen koordinierten Ausgleich von Interessen und die Vermittlung zwischen allen Beteiligten sorgen und damit eine Vertrauensbasis von der Meldung einer Sicherheitslücke bis zur Veröffentlichung und Behebung herstellen. So erfolgt zwischen allen eine prozessorientierte, aber transparente Kommunikation, die nötig ist, damit IT-Sicherheitslücken effektiv und nachhaltig geschlossen werden.
Veranstaltung
Ansprechpartner:innen
Pressekontakt
Anfragen zur Studie
Prof. Dr.-Ing. Felix Freiling
Mitglied im bidt-Direktorium | Professur für Informatik, Friedrich-Alexander-Universität Erlangen-Nürnberg (FAU)