Dringender Reformbedarf in Deutschland: Whitepaper zur Rechtslage der IT-Sicherheitsforschung

Interdisziplinäres Forscherteam aus Informatik und Rechtswissenschaft beleuchtet Rechtslage der IT-Sicherheitsforschung sowie den Reformbedarf aus Sicht der angewandten Sicherheitsforschung / 22 Autor*innen des Whitepapers zeigen die Notwendigkeit zur Schaffung ausgewogener Bedingungen, die eine verantwortungsbewusste und koordinierte Offenlegung von IT-Sicherheitslücken ermöglichen / Aktuelle Rechtslage erzeugt Abschreckungseffekte für gemeinwohlorientierte Sicherheitsforschung

Karlsruhe, 25.11.2021 – Die Lage ist ernst – das wird deutlich angesichts der besorgniserregenden Einschätzung zur Cybersicherheit wie jüngst im aktuellen Lagebericht der IT-Sicherheit in Deutschland des Bundesamts für Sicherheit in der Informationstechnik (BSI). Laut BSI ist und bleibt hier der Umgang mit Schwachstellen eine der größten Herausforderungen der Informationssicherheit, denn „Cyber-Kriminelle sind aufgrund ihrer technischen Möglichkeiten dazu fähig, Schwachstellen auszunutzen – in vielen Fällen ohne weiteres Zutun der Anwenderinnen und Anwender“. Der Branchenverband Bitkom e. V. belegte dies zusätzlich mit einer Studie, der zufolge Cyberangriffe bei 86 Prozent aller Unternehmen zu Schäden führen und jedes zehnte Unternehmen sich deshalb in seiner Existenz bedroht sehe.

Hier kommt der unabhängigen und gemeinwohlorientierten IT-Sicherheitsforschung in Deutschland eine besondere Bedeutung zu: IT-Sicherheitsforschende widmen sich unter anderem der Analyse von Sicherheitslücken, denn trotz größtmöglicher Sorgfalt sind Produkte der Informations- und Kommunikationstechnik selten frei davon. Hierzu zählt auch das proaktive Testen frei am Markt verfügbarer Produkte. Die eingesetzten Methoden und technischen Vorgehensweisen ähneln zwar denen von Cyberkriminellen – die Intention ist aber eine ganz andere: werden Sicherheitsschwachstellen gefunden, werden diese an Produktverantwortliche gemeldet, denen so eine Möglichkeit geboten wird, ihre Produkte abzusichern und damit sowohl ihr Unternehmen als auch deren Kundschaft vor Schäden zu bewahren.

IT-Sicherheitsforschung schützt – aber wie geschützt sind IT-Sicherheitsforschende?

Jedoch konstatiert ein heute veröffentlichtes Whitepaper zur Rechtslage der IT-Sicherheitsforschung in Deutschland  von 22 Autor*innen aus Forschung und Praxis „eine weitläufige Rechtsunsicherheit, die schon bei der Entscheidung für oder gegen einen Forschungsgegenstand ggf. abschreckende Wirkung hat. Da Hochschulen gesetzlich zu wissenschaftlicher Redlichkeit verpflichtet sind, dürfen sie keine Projekte betreiben, wenn diese gegen geltendes Recht verstoßen könnten.“

Dies zeigt sich etwa im Urheberrecht: Für die Durchführung von IT-Sicherheitsuntersuchungen ist in vielen Fällen Reverse Engineering notwendig. Dabei wird systematisch die Funktions- und Konstruktionsweise eines unbekannten Systems oder Produkts ermittelt und insbesondere auf ungewollte Funktionen bzw. Fehler untersucht. Urheberrechtlich sind einige Formen des Reverse Engineerings ohne Zustimmung der Urheber*innen verboten. Da IT-Systeme in der Regel aus verschiedenen Komponenten unterschiedlicher, weltweit tätiger Unternehmen zusammengesetzt sind, ist eine Einwilligung für alle diese Elemente praktisch kaum zu erreichen. Bestehende urheberrechtliche Erlaubnisnormen greifen für die Forschung regelmäßig zu kurz. Auch differenziert weder das Urheber- noch das aktuelle IT-Strafrecht ausreichend nach den verfolgten Absichten.

Beispiele wie das eines Forscherteams von Universitäten aus Berlin, München und Nürnberg von 2018 zeigen die Notwendigkeit einer Reform: Das Team musste sich wegen der geplanten Veröffentlichung ihrer Forschungsergebnisse vor Gericht verantworten. Das Verfahren konnte mit dem Abschluss einer Coordinated-Disclosure-Vereinbarung beendet werden. Dieses Jahr waren unabhängige Sicherheitsforschende, welche mitunter auch als „ethische Hacker“ bezeichnet werden, mit Strafanzeigen und sogar Hausdurchsuchungen konfrontiert, obwohl sie Datenlecks anzeigten, von denen zahlreiche Personen betroffen waren.

Chancen und Herausforderungen des „Coordinated Vulnerability Disclosure“-Prozesses

Das interdisziplinäre Autor*innen-Team aus ganz Deutschland unter Koordination des Kompetenzzentrums IT-Sicherheit des FZI Forschungszentrum Informatik beschreibt im Whitepaper ausführlich, wo Chancen und Risiken für die IT-Sicherheitsforschung liegen.

So werde etwa die Gefahr, dass entdeckte Sicherheitslücken ausgenutzt werden können, durch den sogenannten „Coordinated Vulnerability Disclosure“-Prozess minimiert. Hier werden gefundene Sicherheitslücken zunächst derjenigen Stelle gemeldet, die in der Lage ist die Schwachstelle zu beheben – in der Regel das produzierende Unternehmen. Nach einer angemessenen Frist, innerhalb der im Regelfall die Schwachstelle beseitigt worden ist, beziehungsweise eine andere Lösung bereitgestellt wurde, erfolgt eine Warnung gegenüber der Öffentlichkeit, damit gefährdete Personenkreise erforderliche Schutzmaßnahmen ergreifen können. Zum Teil fehlt allerdings noch das entsprechende Bewusstsein für die Notwendigkeit eines solchen Prozesses.

Rechtliche Konsequenzen erzeugen Abschreckungseffekte für praxis- und gemeinwohlorientierte IT-Sicherheitsforschung

Doch selbst bei einem verantwortungsbewussten Umgang mit Sicherheitslücken sind IT-Sicherheitsforschende in Deutschland von Haftungs- und Strafbarkeitsrisiken bedroht, denn die im Whitepaper beschriebenen Lösungswege finden im aktuellen Rechtsrahmen in Deutschland noch keine Beachtung.

Zudem weisen die Autor*innen darauf hin, dass der gesetzliche Rahmen so angepasst oder angewendet werden sollte, dass Forschende in Deutschland nicht aufgrund drohender rechtlicher Konsequenzen vom Untersuchen und Melden von IT-Sicherheitslücken abgeschreckt werden.
Notwendig sei auch eine entsprechende Fehlerkultur und Kommunikation auf Augenhöhe, anstatt IT-Sicherheitsforschenden mit Rechtsverfolgung zu drohen – zumal, da die Empfänger*innen einer Meldung von Sicherheitslücken meist unentgeltlich eine wertvolle Leistung erhalten.

Deutschland hinkt im internationalen Vergleich hinterher

Für ein besseres Verständnis der Lage der Sicherheitsforschung skizziert das Whitepaper die Entstehungsgeschichte sowie die aktuellen Limitierungen durch Rechtsunsicherheit und Abschreckungseffekte. Im Rahmen eines Rechtsvergleichs wird zudem gezeigt, in welchen Ländern bereits Aktivitäten zur Absicherung der Sicherheitsforschung stattfinden wie etwa die Niederlande, die bereits über klare Richtlinien für ethisches Hacken verfügen.

Daneben wollen die Forschenden das Bewusstsein für die Notwendigkeit eines verantwortungsbewussten Umgangs mit Sicherheitslücken schaffen: Mit der Coordinated Vulnerability Disclosure wurden bereits weltweit wertvolle Erfahrungen gesammelt. Diese gilt es nun im Gesetz zu verankern sowie in der Praxis durch klare und einheitliche Standards zu etablieren. Forschende befürchten andernfalls im internationalen Vergleich zurückzubleiben und damit spürbare Standortnachteile. Daher werben sie dafür, durch ein klares Bekenntnis zur IT-Sicherheitsforschung auch im Rahmen internationaler Kooperation zumindest auf EU-Ebene dem Thema Nachdruck zu verleihen.

Das Whitepaper zur Rechtslage der IT-Sicherheitsforschung umfasst zirka 60 Seiten und kann hier kostenfrei abgerufen werden: https://sec4research.de/

Auf den Erkenntnissen des Whitepapers fußen zentrale Kernforderungen für mehr Rechtssicherheit für die IT-Sicherheitsforschung, die nebst Auflistung der Unterstützer*innen hier zum Download bereitstehen: https://sec4research.de/forderungen