IT-Sicherheit raus aus der Grauzone – Zeit für klare Gesetze!
Die Bundestagswahl ist vorbei, Koalitionen werden gebildet – und eines bleibt für uns von größter Bedeutung: IT-Sicherheit braucht Rechtssicherheit!
Bereits in der letzten Legislaturperiode war dieses Thema Teil des Koalitionsvertrags und hat einen Gesetzesentwurf hervorgebracht. Allerdings wurde das Gesetz vor dem Regierungswechsel nicht mehr verabschiedet. Angesichts der wachsenden Bedrohungslage und aktueller geopolitischer Entwicklungen fordern wir den Gesetzgeber auf, dieses Thema erneut aufzugreifen.
Deshalb haben wir einen offenen Brief verfasst, den wir Anfang März an die zuständigen Stellen der Parteien verschicken werden.
Lasst uns gemeinsam der kommenden Regierung zeigen, wie wichtig das Thema ist. Es ist höchste Zeit, die rechtlichen Risiken für ethische Hacker abzubauen!
Die zukünftige Bundesregierung Platz der Republik 1 11011 Berlin
IT-Sicherheit braucht Rechtssicherheit – jetzt im Koalitionsvertrag festschreiben!
Sehr geehrte Damen und Herren von CDU, CSU und SPD,
2024 waren 81% der deutschen Unternehmen von Datendiebstahl, Industriespionage und -sabotage betroffen — mit einem Rekordschaden von 266,6 Milliarden Euro.[1] Die Bedrohung im Cyberraum ist so hoch wie nie zuvor, auch mit Blick auf die angespannte geopolitische Situation.[2]IT-Sicherheit ist wichtiger denn je geworden.
Wir kümmern uns um die IT-Sicherheit in Deutschland. Wir sind Forscherinnen und Forscher, die ihr Lebenswerk der IT-Sicherheit verschrieben haben, jedoch aus Angst vor rechtlichen Konsequenzen ihre Forschung nicht frei verfolgen können.[3][4] Wir sind Berufstätige, die tagtäglich Cyberangriffe verhindern und dennoch Klagen befürchten müssen. Wir sind technikbegeisterte Menschen, die ihre Freizeit der IT-Sicherheit widmen, und als Dank angezeigt werden.[5] Wir schaffen sichere IT-Infrastruktur, aber die Gesetzeslage macht unsere Arbeit zu einem Spiel mit dem Feuer. Denn die Gesetzeslage macht keine Ausnahmen für die legitime und notwendige Forschung und Arbeit, die Fehler aufdeckt und behebt.
Für eine wirksame und zeitgemäße IT-Sicherheitslandschaft in Deutschland muss das verantwortungsvolle Finden und Melden von Sicherheitslücken legal möglich sein. Derzeit jedoch findet in vielen Fällen eine solche Meldung oder überhaupt die Suche nach Schwachstellen nie statt, aus Angst vor rechtlichen Konsequenzen. Das Problem: Zwar sind anonyme Meldungen an das BSI möglich, doch betrifft diese Anonymisierung lediglich die Meldung selbst, nicht das Auffinden an sich, und bietet daher keine Rechtssicherheit. Diese muss dringend gewährleistet werden, um eine proaktive Sicherheitskultur zu fördern.
Lassen Sie uns das Potenzial derer freisetzen, die helfen können. Die Notwendigkeit für Rechtssicherheit in der IT-Sicherheitsforschung wurde bereits von Rechtswissenschaftlern[6], sowie von der Industrie, unter anderem dem Verband der Automobilindustrie, erkannt[7]. Zudem hat sich im vergangenen Jahr auch der wissenschaftliche Dienst des Deutschen Bundestages mit der Rechtslage im internationalen Vergleich befasst, denn in mehreren Ländern wurden bereits ähnliche Reformschritte unternommen.[8]
Wir bitten Sie daher:
Rechtssicherheit für verantwortungsvolles Suchen und Melden von Sicherheitslücken muss Teil des Koalitionsvertrages werden!
Der Reformprozess muss zeitnah eingeleitet werden!
Die IT-Sicherheitsgemeinschaft muss am Prozess beteiligt werden um eine praxistaugliche Lösung zu finden und zu gewährleisten!
Florian Hantke, Forscher am CISPA Helmholtz-Zentrum für Informationssicherheit Bayern,
Florian ist Doktorand am CISPA und beschäftigt sich in seiner Forschung mit den rechtlichen und ethischen Challenges der Sicherheitsforschung sowie der Sicherheit im Web. Neben seiner wissenschaftlichen Arbeit ist Florian bei Hacker-Wettbewerben aktiv, als Security Consultant tätig und schaut sich gerne von ihm private genutzte Anwendungen im Detail an.
Simeon Hoffmann, Forscher am CISPA Helmholtz-Zentrum für Informationssicherheit Saarland,
Simeon ist Doktorand am CISPA Helmholtz-Zentrum für Informationssicherheit. In seiner Forschung befasst er sich mit der Sicherheit im Internet der Dinge. Daneben ist er Mitglied in einem Team für Hacker-Wettbewerbe und hilft bei der Ausrichtung. Wenn er gerade beides nicht macht, brennt wahrscheinlich irgendwo ein Lötkolben oder er versucht an Pinsel oder Schere kreativ zu sein.
Niklas berät seine Kunden zu Entwicklung und Betrieb sicherer Software und studiert Cybersecurity an der Uni Saarland. Dort macht er neben seinem Master zusammen mit dem Team der Uni Punkte auf Hacker-Wettbewerben und hilft solche Wettbewerbe auszurichten. Wenn er nicht am Computer ist, erkundet er wahrscheinlich gerade die Natur.
Mit vollster Unterstützung der Unterzeichner*innen⁹
Prof. Dr. Christoph Sorge, Professor für Rechtsinformatik an der Universität des Saarlandes Saarland,
Prof. Dr. Martin Johns, Professor für IT Sicherheit an der TU Braunschweig Niedersachsen,
Prof. Dr. Daniel Tenbrinck, Hochschuldozent und Hobby-Hacker Bayern,
Prof. Dr.-Ing. Sebastian Roth, Leiter des Lehrstuhls für Cybersecurity an der Universität Bayreuth Bayern,
Dr.-Ing. Matthias Fassl, Forscher am CISPA Helmholtz-Zentrum für Informationssicherheit Saarland,
Jean-Christophe Le Toquin, Cybersecurity Advisors Network (CyAN) derzeit im Ausland,
Daniel Weber, Forscher am CISPA Helmholtz-Zentrum für Informationssicherheit Saarland,
Daniel arbeitet als Doktorand am CISPA Helmholtz-Zentrum für Informationssicherheit. Seine Forschung fokussiert sich auf die Sicherheit von CPUs sowie das Finden und Schließen von Seiten-Kanal Schwachstellen. Nebenbei ist er Mitglied im Capture-the-Flag Team saarsec und nimmt dort zusammen mit Dozenten und Studenten an Hacker-Wettbewerben teil.
Moritz Bley, Forscher am CISPA Helmholtz-Zentrum für Informationssicherheit Nordrhein-Westfalen,
Alexander Ponticello, Forscher am CISPA Helmholtz-Zentrum für Informationssicherheit Saarland,
Tobias Madl, Vorstand der Neodyme AG Bayern,
David Lau, Studentische Hilfskraft und Mitglied CTF Teams der FAU Bayern,
Maximilian Golla, CISPA Saarland,
Jannis Rautenstrauch, Forscher am CISPA Helmholtz-Zentrum für Informationssicherheit Brandenburg,
Immanuel Lautner, Information Security Manager Bayern,
Christoph Bischof, Rechtsanwalt Bayern,
Shubham Agarwal, Forscher am CISPA Helmholtz-Zentrum für Informationssicherheit Saarland,
Carolin Kothe Berlin,
Philip Decker, CyberSecurity Student, Security Analyst Saarland,
Felix Kindermann Bayern,
Anna Hartig, Security Consultant, Pentesterin Nordrhein-Westfalen,
Keno Hassler, Forscher am CISPA Helmholtz-Zentrum für Informationssicherheit Saarland,
Keno ist Doktorand am CISPA Helmholtz-Zentrum für Informationssicherheit und forscht zum Thema Softwaresicherheit, insbesondere zu Compilern und automatisierten Schwachstellentests (Fuzz Testing).
Kilian Hantke Sachsen,
Carolyn Guthoff, Forscherin am CISPA Helmholtz-Zentrum für Informationssicherheit Saarland,
K.Andler Saarland,
Tim Philipp Schäfers, IT-Sicherheitsforscher & Gründer von Mint Secure Berlin,
Fabian Thomas, Forscher am CISPA Helmholtz-Zentrum für Informationssicherheit Saarland,
Fabian ist Doktorand am CISPA Helmholtz-Zentrum für Informationssicherheit und forscht an Schwachstellen in CPUs.
Alexander Krause, Forscher am CISPA Helmholtz-Zentrum für Informationssicherheit Niedersachsen,
Viktor Heiduck, Informatik-Student Berlin,
Leon Sander Baden-Württemberg,
Elisabeth Nickel Bayern,
Kai Aschenbach, Schulverwaltungsassistent Technik Nordrhein-Westfalen,
Daniel Erceg, Forscher am CISPA Helmholtz-Zentrum für Informationssicherheit Saarland,
Patrick Scherer, CISPA Helmholtz-Zentrum für Informationssicherheit Saarland,
Robert Künnemann, Forscher in Cybersecurity Saarland,
Philipp Görz, Forscher am CISPA Helmholtz-Zentrum für Informationssicherheit Baden-Württemberg,
Peter Nickel Bayern,
Nikolai Reger, Freiberuflicher Berater für Informationssicherheit Berlin,
