Sicherheitslücken schließen
Der jüngste „bidt Impuls“ des Bayerischen Forschungsinstituts für Digitale Transformation der Bayerischen Akademie der Wissenschaften thematisiert den verantwortungsbewussten Umgang mit IT-Sicherheitslücken. Die Autorinnen und Autoren nehmen darin eine Bestandsaufnahme beim Umgang mit Sicherheitslücken vor und zeigen Lösungsansätze auf, wie konfligierende Interessens- und Rechtspositionen entwirrt werden können. Neben der Beseitigung rechtlicher Hemmnisse empfehlen sie die Einrichtung einer neutralen Melde- und Koordinierungsstelle.
Praktisch ausnutzbare Sicherheitslücken in Hard- und Software bedrohen die IT-Sicherheit privater wie staatlicher Infrastrukturen. Die Beseitigung dieser Lücken ist daher für alle Akteur:innen – Produkthersteller:innen, Betreiber:innen sowie Nutzer:innen wünschenswert. Die Autor:innen des „bidt Impuls“ Oliver Vettermann, Manuela Wagner, Maximilian Leicht und Felix Freiling beleuchten in ihren Ausführungen die aktuelle Situation im Umgang mit IT-Sicherheitslücken. Sie zeigen Konflikte auf, die in der Praxis zwischen Herstellerseite und unabhängigen, proaktiv tätigen IT-Sicherheitsforschenden bzw. ethischen Hacker:innen bestehen. Koordinierungs- und Meldeverfahren wie der Coordinated-Vulnerability-Disclosure(CVD)-Prozess sind aktuell weder rechtlich verpflichtend geregelt noch flächendeckend umgesetzt. Durch diese Rechtsunsicherheiten für Forschende sind Abschreckungseffekte zu beobachten.
Juristische Impulse für einen Rechtsrahmen
Um Sicherheitslücken zu beseitigen und existierende Systeme bei allen Betroffenen langfristig resilienter zu machen, zeigen die Autor:innen des „bidt Impuls“ zum einen juristische Impulse für einen Rechtsrahmen auf. Dazu zählt u. a. die gesetzliche Ausgestaltung des verfassungsrechtlichen Schutzauftrags zur Gewährleistung der IT-Sicherheit, welche einen Ausgleich der multipolaren Grundrechts- und Interessenlage zwischen Forschenden, Produktnutzenden und Herstellern bzw. Unternehmen erfordert. Ebenso sollten Hemmnisse im Strafrecht abgebaut und IT-Sicherheitsforschung bei der Novellierung des IT-Sicherheits- und Datenschutzrechts in der IT-Sicherheitslandschaft verankert werden.
Etablierung einer Melde- und Koordinierungsstelle
Als zweiten Lösungsansatz schlagen die Autor:innen die Etablierung einer Melde- und Koordinierungsstelle vor, welche in die gesetzlich implementierten Prozesse eingebunden werden soll. Eine solche Stelle könnte für einen koordinierten Ausgleich von Interessen und die Vermittlung zwischen allen Beteiligten sorgen und damit eine Vertrauensbasis von der Meldung einer Sicherheitslücke bis zur Veröffentlichung und Behebung herstellen. So erfolgt zwischen allen eine prozessorientierte, aber transparente Kommunikation, die nötig ist, damit IT-Sicherheitslücken effektiv und nachhaltig geschlossen werden.
Veranstaltungshinweis
Ergebnisse aus dem „bidt Impuls“ werden am 8. November 2023 um 16:30 Uhr im Rahmen der Veranstaltung „bidt Werkstatt digital: Lücken (immer) schließen? Wie soll der Staat mit IT-Sicherheitslücken umgehen?“ diskutiert. Anmeldung unter https://us06web.zoom.us/webinar/register/WN_QXeo_owiRVio37OfvXVpKA#/registration
Über das bidt:
Das Bayerische Forschungsinstitut für Digitale Transformation (bidt) ist ein Institut der Bayerischen Akademie der Wissenschaften. Es trägt dazu bei, die Entwicklungen und Herausforderungen des digitalen Wandels besser zu verstehen. Damit liefert es die Grundlagen, um die digitale Zukunft im Dialog mit der Gesellschaft verantwortungsvoll und gemeinwohlorientiert zu gestalten. Das bidt fördert herausragende interdisziplinäre Forschung und liefert als Think Tank Entscheidungsträgern in Politik und Wirtschaft evidenzbasierte Empfehlungen. Forschung findet am Institut im offenen Dialog zwischen Wissenschaft, Politik, Wirtschaft und Gesellschaft statt.
Pressekontakt:
Dr. Margret Hornsteiner
Abteilungsleiterin Dialog
Tel.: +49 89 540 235 630
E-Mail: presse@bidt.digital
Wissenschaftlicher Ansprechpartner:
Prof. Dr.-Ing. Felix Freiling
Professur für Informatik, Friedrich-Alexander-Universität Erlangen-Nürnberg (FAU) und Mitglied im Direktorium des bidt
E-Mail: felix.freiling@bidt.digital
Originalpublikation:
Vettermann, O./ Wagner, M./ Leicht, M./ Freiling, F. (2023): Lücken schließen: Der verantwortungsbewusste Umgang mit IT-Sicherheitslücken. bidt Impulse Nr. 5. https://doi.org/10.35067/b0bj-im05
Weitere Informationen:
https://www.bidt.digital/veranstaltung/luecken-immer-schliessen-wie-soll-der-staat-mit-it-sicherheitsluecken-umgehen/ Veranstaltung „bidt Werkstatt digital: Lücken (immer) schließen? Wie soll der Staat mit IT-Sicherheitslücken umgehen?“ am 8. November 2023