Logo der Bayerischen Akademie der Wissenschaften

Sicherheitslücken schließen

Der jüngste „bidt Impuls“ des Bayerischen Forschungsinstituts für Digitale Transformation der Bayerischen Akademie der Wissenschaften thematisiert den verantwortungsbewussten Umgang mit IT-Sicherheitslücken. Die Autorinnen und Autoren nehmen darin eine Bestandsaufnahme beim Umgang mit Sicherheitslücken vor und zeigen Lösungsansätze auf, wie konfligierende Interessens- und Rechtspositionen entwirrt werden können. Neben der Beseitigung rechtlicher Hemmnisse empfehlen sie die Einrichtung einer neutralen Melde- und Koordinierungsstelle.

Praktisch ausnutzbare Sicherheitslücken in Hard- und Software bedrohen die IT-Sicherheit privater wie staatlicher Infrastrukturen. Die Beseitigung dieser Lücken ist daher für alle Akteur:innen – Produkthersteller:innen, Betreiber:innen sowie Nutzer:innen wünschenswert. Die Autor:innen des „bidt Impuls“ Oliver Vettermann, Manuela Wagner, Maximilian Leicht und Felix Freiling beleuchten in ihren Ausführungen die aktuelle Situation im Umgang mit IT-Sicherheitslücken. Sie zeigen Konflikte auf, die in der Praxis zwischen Herstellerseite und unabhängigen, proaktiv tätigen IT-Sicherheitsforschenden bzw. ethischen Hacker:innen bestehen. Koordinierungs- und Meldeverfahren wie der Coordinated-Vulnerability-Disclosure(CVD)-Prozess sind aktuell weder rechtlich verpflichtend geregelt noch flächendeckend umgesetzt. Durch diese Rechtsunsicherheiten für Forschende sind Abschreckungseffekte zu beobachten.

Juristische Impulse für einen Rechtsrahmen

Um Sicherheitslücken zu beseitigen und existierende Systeme bei allen Betroffenen langfristig resilienter zu machen, zeigen die Autor:innen des „bidt Impuls“ zum einen juristische Impulse für einen Rechtsrahmen auf. Dazu zählt u. a. die gesetzliche Ausgestaltung des verfassungsrechtlichen Schutzauftrags zur Gewährleistung der IT-Sicherheit, welche einen Ausgleich der multipolaren Grundrechts- und Interessenlage zwischen Forschenden, Produktnutzenden und Herstellern bzw. Unternehmen erfordert. Ebenso sollten Hemmnisse im Strafrecht abgebaut und IT-Sicherheitsforschung bei der Novellierung des IT-Sicherheits- und Datenschutzrechts in der IT-Sicherheitslandschaft verankert werden.

Etablierung einer Melde- und Koordinierungsstelle

Als zweiten Lösungsansatz schlagen die Autor:innen die Etablierung einer Melde- und Koordinierungsstelle vor, welche in die gesetzlich implementierten Prozesse eingebunden werden soll. Eine solche Stelle könnte für einen koordinierten Ausgleich von Interessen und die Vermittlung zwischen allen Beteiligten sorgen und damit eine Vertrauensbasis von der Meldung einer Sicherheitslücke bis zur Veröffentlichung und Behebung herstellen. So erfolgt zwischen allen eine prozessorientierte, aber transparente Kommunikation, die nötig ist, damit IT-Sicherheitslücken effektiv und nachhaltig geschlossen werden.

Veranstaltungshinweis

Ergebnisse aus dem „bidt Impuls“ werden am 8. November 2023 um 16:30 Uhr im Rahmen der Veranstaltung „bidt Werkstatt digital: Lücken (immer) schließen? Wie soll der Staat mit IT-Sicherheitslücken umgehen?“ diskutiert. Zur Anmeldung hier klicken

Ansprechpartnerinnen und Ansprechpartner

- für Presseanfragen:

Dr. Margret Hornsteiner | Abteilungsleiterin Dialog
Tel.: +49 89 540 235 630
E-Mail: presse@bidt.digital

- zum „bidt Impuls“:

Prof. Dr.-Ing. Felix Freiling | Professur für Informatik, Friedrich-Alexander-Universität Erlangen-Nürnberg (FAU) und Mitglied im Direktorium des bidt

E-Mail: felix.freiling@bidt.digital