Immer häufiger greifen Hacker die IT-Systeme von Unternehmen, Behörden und Institutionen an. Dabei verursachen sie teils große Schäden. Begünstigt wird die Cyberkriminalität durch die restriktive deutsche Rechtslage bei der Offenlegung von Software-Sicherheitslücken. Zu diesem Ergebnis kommt ein am 25. November 2021 veröffentlichtes Positionspapier eines interdisziplinären Forscherteams aus Informatik und Rechtswissenschaft. Das innBW-Mitglied FZI Forschungszentrum Informatik koordinierte die Studie. Die Empfehlung der Experten: Die Bundesregierung müsse ausgewogene Bedingungen für eine verantwortungsbewusste und koordinierte Offenlegung von IT-Sicherheitslücken durch die Sicherheitsforschung ermöglichen. Die aktuelle Rechtslage erzeuge dagegen Abschreckungseffekte.
Cyberangriffe sind großes Problem
Cyberangriffe sind gezielte Angriffe auf größere, für eine spezifische Infrastruktur wichtige Rechnernetze von außen zur Sabotage, Informationsgewinnung und Erpressung. Bei 86 Prozent aller Unternehmen führen die Attacken zu Schäden. Jedes zehnte Unternehmen fühlt sich deshalb in seiner Existenz bedroht, hat der Branchenverband Bitkom in einer Untersuchung ermittelt. Gegenstrategien zu entwickeln ist hierzulande aufgrund der geltenden Rechtslage jedoch schwer möglich. Das interdisziplinäre Team aus ganz Deutschland unter Koordination des Kompetenzzentrums IT-Sicherheit des FZI beschreibt in der Analyse ausführlich, warum das so ist und wie es geändert werden könnte.
Die unabhängige und gemeinwohlorientierte IT-Sicherheitsforschung in Deutschland steht vor einem Dilemma: Sie testen Produkte der Informations- und Kommunikationstechnik auf vorhandene Sicherheitslücken. Hierzu zählt auch das proaktive Testen frei am Markt verfügbarer Produkte. Die eingesetzten Methoden und technischen Vorgehensweisen ähneln zwar denen von Cyberkriminellen – die Intention ist aber eine ganz andere: werden Sicherheitsschwachstellen gefunden, werden diese an Produktverantwortliche gemeldet, denen so eine Möglichkeit geboten wird, ihre Produkte abzusichern und damit sowohl ihr Unternehmen als auch deren Kundschaft vor Schäden zu bewahren. Da die Forschenden gesetzlich zu wissenschaftlicher Redlichkeit verpflichtet sind, dürfen sie jedoch keine Projekte betreiben, wenn diese gegen geltendes Recht verstoßen könnten.
Sicherheitsforscher wegen ihrer Arbeit vor Gericht
Beispiele wie das eines Forscherteams von Universitäten aus Berlin, München und Erlangen-Nürnberg von 2018 zeigen die Notwendigkeit einer Reform: Das Team musste sich wegen der geplanten Veröffentlichung ihrer Forschungsergebnisse vor Gericht verantworten. Das Verfahren konnte mit dem Abschluss einer Coordinated-Disclosure-Vereinbarung beendet werden. Dieses Jahr waren unabhängige Sicherheitsforschende, welche mitunter auch als „ethische Hacker“ bezeichnet werden, mit Strafanzeigen und sogar Hausdurchsuchungen konfrontiert, obwohl sie Datenlecks anzeigten, von denen zahlreiche Personen betroffen waren. Dem müsse der Gesetzgeber nun einen Riegel vorschieben, so die Autorinnen und Autoren des Papiers.
Über das FZI
Das FZI Forschungszentrum Informatik mit Hauptsitz in Karlsruhe und Außenstelle in Berlin ist eine gemeinnützige Einrichtung für Informatik-Anwendungsforschung und Technologietransfer. Es bringt die neuesten wissenschaftlichen Erkenntnisse der Informationstechnologie in Unternehmen und öffentliche Einrichtungen und qualifiziert junge Menschen für eine akademische und wirtschaftliche Karriere oder den Sprung in die Selbstständigkeit. Betreut von Professoren verschiedener Fakultäten entwickeln die Forschungsgruppen am FZI interdisziplinär für ihre Auftraggeber Konzepte, Software-, Hardware- und Systemlösungen und setzen die gefundenen Lösungen prototypisch um. Mit dem FZI House of Living Labs steht eine einzigartige Forschungsumgebung für die Anwendungsforschung bereit. Das FZI ist Innovationspartner des Karlsruher Instituts für Technologie (KIT).
