Die Beseitigung ausnutzbare Sicherheitslücken in Hard- und Software ist für alle Akteure, Produkthersteller, Betreiber sowie Nutzer wünschenswert. (Quelle. hiz)

 

Praktisch ausnutzbare Sicherheitslücken in Hard- und Software bedrohen die IT-Sicherheit privater wie staatlicher Infrastrukturen. Die Beseitigung dieser Lücken ist daher für alle Akteure, Produkthersteller, Betreiber sowie Nutzer wünschenswert. Die Autoren des „bidt Impuls“ des Bayerischen Forschungsinstituts für Digitale Transformation der Bayerischen Akademie der Wissenschaften, Oliver Vettermann, Manuela Wagner, Maximilian Leicht und Felix Freiling beleuchten in ihren Ausführungen die aktuelle Situation im Umgang mit IT-Sicherheitslücken. Sie zeigen Konflikte auf, die in der Praxis zwischen Herstellerseite und unabhängigen, proaktiv tätigen IT- Sicherheitsforschenden bzw. ethischen Hacker bestehen. Koordinierungs- und Meldeverfahren wie der Coordinated-Vulnerability- Disclosure(CVD)-Prozess sind aktuell weder rechtlich verpflichtend geregelt noch flächendeckend umgesetzt. Durch diese Rechtsunsicherheiten für Forschende sind Abschreckungseffekte zu beobachten.

 

Juristische Impulse für einen Rechtsrahmen

Um Sicherheitslücken zu beseitigen und existierende Systeme bei allen Betroffenen langfristig resilienter zu machen, zeigen die Autoren des „bidt Impuls“ zum einen juristische Impulse für einen Rechtsrahmen auf. Dazu zählt u. a. die gesetzliche Ausgestaltung des verfassungsrechtlichen Schutzauftrags zur Gewährleistung der IT-Sicherheit, welche einen Ausgleich der multipolaren Grundrechts- und Interessenlage zwischen Forschenden, Produktnutzenden und Herstellern bzw. Unternehmen erfordert. Ebenso sollten Hemmnisse im Strafrecht abgebaut und IT- Sicherheitsforschung bei der Novellierung des IT-Sicherheits- und Datenschutzrechts in der IT-Sicherheitslandschaft verankert werden.

 

Etablierung einer Melde- und Koordinierungsstelle

Als zweiten Lösungsansatz schlagen die Autor:innen die Etablierung einer

Melde- und Koordinierungsstelle vor, welche in die gesetzlich implementierten Prozesse eingebunden werden soll. Eine solche Stelle könnte für einen koordinierten Ausgleich von Interessen und die Vermittlung zwischen allen Beteiligten sorgen und damit eine Vertrauensbasis von der Meldung einer Sicherheitslücke bis zur Veröffentlichung und Behebung herstellen. So erfolgt zwischen allen eine prozessorientierte, aber transparente Kommunikation, die nötig ist, damit IT-Sicherheitslücken effektiv und nachhaltig geschlossen werden.

 

Über das bidt:

Das Bayerische Forschungsinstitut für Digitale Transformation (bidt) ist ein Institut der Bayerischen Akademie der Wissenschaften. Es trägt dazu bei, die Entwicklungen und Herausforderungen des digitalen Wandels besser zu verstehen. Damit liefert es die Grundlagen, um die digitale Zukunft im Dialog mit der Gesellschaft verantwortungsvoll und gemeinwohlorientiert zu gestalten. Das bidt fördert herausragende interdisziplinäre Forschung und liefert als Think Tank Entscheidungsträgern in Politik und Wirtschaft evidenzbasierte Empfehlungen. Forschung findet am Institut im offenen Dialog zwischen Wissenschaft, Politik, Wirtschaft und Gesellschaft statt.

 

Veranstaltungshinweis

Ergebnisse aus dem „bidt Impuls“ werden am 8. November 2023 um 16:30 Uhr im Rahmen der Veranstaltung „bidt Werkstatt digital: Lücken (immer) schließen? Wie soll der Staat mit IT-Sicherheitslücken umgehen?“ diskutiert. Anmeldung unter https://us06web.zoom.us/webinar/register/WN_QXeo_owiRVio37OfvXVpKA#/registration

 

Originalveröffentlichung:

Vettermann, O./ Wagner, M./ Leicht, M./ Freiling, F. (2023): Lücken schließen: Der verantwortungsbewusste Umgang mit IT-Sicherheitslücken. bidt Impulse Nr. 5.

https://doi.org/10.35067/b0bj-im05

 

Siehe auch:

https://www.bidt.digital/veranstaltung/luecken-immer-schliessen-wie-soll-der-staat-mit-it-sicherheitsluecken-umgehen/