Lücken schließen: Der verantwortungsbewusste Umgang mit IT-Sicherheitslücken

Lücken schließen: Der verantwortungsbewusste Umgang mit IT-Sicherheitslücken

Dr. Oliver Vettermann FIZ Karlsruhe – Leibniz-Institut für Informationsinfrastruktur
Dr. Manuela Wagner Forschungszentrum für Informatik Karlsruhe
Maximilian Leicht LL.M. Universität des Saarlandes
Prof. Dr.-Ing. Felix Freiling Friedrich-Alexander-Universität Erlangen-Nürnberg (FAU)

Praktisch ausnutzbare Sicherheitslücken bedrohen die IT-Sicherheit privater wie staatlicher Infrastrukturen. Die Beseitigung der Lücken ist daher für alle Akteure wünschenswert. Dennoch fehlt oftmals ein entsprechendes Schwachstellenmanagement. Die Autorinnen und Autoren skizzieren den Status quo und zeigen Lösungsansätze auf, um die konfligierenden Interessens- und Rechtspositionen zu entwirren.

Das Wichtigste in Kürze

IT-Sicherheitslücken in Hard- und Software betreffen private, unternehmerische und staatliche Systeme. Sobald eine Ausnutzung der Lücken technisch möglich ist, stellen sie eine Bedrohung für die IT-Sicherheit aller Beteiligten dar. Konkret betroffen sind Bürger:innen sowie Unternehmen als Nutzende, Hersteller:innen von Soft- und Hardware sowie staatliche (kritische) IT-Infrastruktur. Es ist daher im gesamtgesellschaftlichen Interesse, die Zahl der ausnutzbaren Sicherheitslücken so gering wie möglich zu halten.

Gelingen kann dies nur durch ein defensives staatliches Handeln, das zur Behebung von IT-Sicherheitslücken beiträgt. Erst eine solche Ausrichtung erkennt den förderlichen Aspekt der IT-Sicherheitsforschung, die durch das Melden von entdeckten Sicherheitslücken auch zu deren effektiver und schneller Beseitigung beiträgt. Nach der klar überwiegenden Auffassung der IT-Sicherheitsforschung verschlechtert das Geheimhalten von Sicherheitslücken dagegen die IT-Sicherheitslage, weil eine parallele Entdeckung oder der Abfluss entsprechenden Wissens und damit ein unkontrollierbarer Missbrauch jederzeit möglich erscheinen.

Ein Baustein in der defensiven Ausrichtung ist der Prozess der Coordinated Vulnerability Disclosure (CVD). Dieser wird jedoch in den betroffenen Branchen kaum praktiziert, mutmaßlich auch weil ein solcher Prozess im Rechtsrahmen nicht verankert ist. In der Folge entstehen immer wieder Konflikte zwischen Hersteller:innen von Produkten, die IT-Sicherheitslücken aufweisen und proaktiv tätigen Sicherheitsforschenden bzw. ethischen Hacker:innen. Dadurch wird die Beseitigung der Lücken merklich beeinträchtigt.

Dieser bidt Impuls zeigt mit dem Konstrukt der Melde- und Koordinierungsstelle
für CVD-Prozesse eine Lösung auf, IT-Sicherheitsforschende und sonstige Finder:innen von IT-Sicherheitslücken zugunsten des Gemeinwohls in die Beseitigung von Sicherheitslücken einzubeziehen.

Lösungsansätze

Um die IT-Sicherheitslandschaft resilienter und defensiver zu gestalten, bedarf es zweier parallel anzustrebender Lösungsansätze: eine Anpassung des Rechtsrahmens sowie die Installation einer neutralen Melde- und Koordinierungsstelle zwischen den betroffenen Beteiligten.

Das Problem der brüchigen IT-Sicherheitslage durch zahlreiche IT-Sicherheitslücken in Soft- und Hardware kann nur durch eine defensive und forschungsfreundliche Ausrichtung der IT-Sicherheitslandschaft und -politik gelöst werden. Grundvoraussetzung dafür ist eine offene Haltung aller Beteiligten – also IT-Sicherheitsforschende als Meldende, Hersteller:innen und sonstige produktverantwortliche Stellen sowie staatliche Akteure. Zwischen allen muss eine prozessorientierte, aber doch transparente Kommunikation erfolgen, um die IT-Sicherheit aller Geräte und Anwendungen resilienter zu machen. Nur so können IT-Sicherheitslücken effektiv und nachhaltig geschlossen werden.

Lösungsansatz 1: Juristische Impulse für einen Rechtsrahmen

Die Umgestaltung des gesetzlichen Rahmens schafft die Grundlage dafür. Durch die Berücksichtigung der wegweisenden verfassungsgerichtlichen Rechtsprechung in Strafrecht, Datenschutz- und IT-Sicherheitsrecht werden IT-Sicherheitsforschende merklich entlastet. Zugleich wird das Melden von IT-Sicherheitslücken als Mittel zur Stärkung der IT-Sicherheit erklärt und nicht mehr ausschließlich als (befürchteter) erster Schritt zur Ausnutzung der Sicherheitslücken. Auch zukünftig sollte in weiteren, jüngeren Rechtsgebieten – beispielsweise dem in Entstehung befindlichen europäischen Datenrecht – darauf geachtet werden, diesen Wert beizubehalten oder gar zu stärken.

Lösungsansatz 2: Etablierung einer Melde- und Koordinierungsstelle

Die vorgeschlagene Melde- und Koordinierungsstelle dient dabei als Vehikel, die Entwicklung dieses Wertes in der gesellschaftlichen Ordnung voranzutreiben. Sichere und vertrauliche Kommunikationswege im Meldeprozess zwischen IT-Sicherheitsforschenden und Herstellerinnen/Herstellern bzw. produktverantwortlichen Stellen bauen Hemmungen ab. Die Begleitung und Standardisierung des CVD-Prozesses schafft Klarheit und Vertrauen zwischen den Beteiligten, aber auch für die Allgemeinheit. Daneben steigert die Unabhängigkeit der Stelle selbst das Vertrauen gegenüber dem Staat als schützendes Organ, den Produktverantwortlichen, aber vor allem in das eigene System.