Sicherheitslücken sind in immer komplexerer Software und IT-Systemen unvermeidlich. Wir müssen also mit Sicherheitslücken leben, aber sie müssen auch konsequent gesucht, gefunden und schnell geschlossen werden. Dazu tragen Sicherheitsforscherinnen und -forscher bei.
In einem aktuellen Fall hat die Sicherheitsforscherin Lilith Wittmann sich die CDU-connect-App genauer angeschaut und ist dabei unter anderem auf 18.000 Datensätze mit persönlichen Daten von Wahlhelferinnen und Wahlhelfern der CDU gestoßen. Sie hat also ein massives Datenschutzproblem entdeckt. Nun wird gegen sie ermittelt. Aber warum eigentlich?
Zum einen weigern sich einige Politiker mit Regierungsverantwortung schon seit vielen Jahren, ein durchdachtes Management für Sicherheitslücken zu etablieren. Sicherheitsbehörden wollen zudem Sicherheitslücken offen halten, damit sie diese nutzen können – denn ihre Spionageprogramme funktionieren auf der Basis von Sicherheitslücken.
Deshalb fehlt noch immer eine gesetzliche Meldepflicht für Sicherheitslücken. Mit der Verabschiedung etwa des Ausspähparagrafen §202aStGB hat die Politik einen Graubereich geschaffen, der Sicherheitsforscherinnen- und Forschern die Rechtssicherheit nimmt, die sie eigentlich für ihre Arbeit brauchen.
Sie hat sich im Prozess an das sogenannte Responsible Disclosure gehalten. Sie hat die Sicherheitslücke dokumentiert und dann das Bundesamt für Sicherheit in der Informationstechnik (BSI), die Landesdatenschutzbeauftragte und die CDU über die Lücke informiert. Bei diesem Verfahren ist es so, dass die Sicherheitslücke nicht veröffentlicht wird, bevor sie geschlossen wurde.
Zunächst hat ihr die CDU sogar ein Jobangebot gemacht. Das hat Frau Wittmann aber abgelehnt, um ihre Unabhängigkeit nicht zu gefährden. Dann hat das Landeskriminalamt Berlin Frau Wittmann mitgeteilt, dass eine Anzeige gegen sie vorliege. Die CDU hatte Anzeige erstattet, diese aber später wieder zurückgenommen – vermutlich auch weil die Anzeige in der Öffentlichkeit sehr negativ diskutiert wurde. Die Ermittlungsbehörden sind aber gehalten, festzustellen, ob der Anfangsverdacht für Straftat vorliegt, wenn sie von einem solchen Vorfall erfahren. Und erfahren haben sie davon durch die Anzeige.
Ransomware: Gehackt, bestohlen, erpresst
Auch in kriminellen Kreisen gibt es bestimmte Trends. Einer davon heißt Ransomware. Dabei werden Daten geklaut und die Opfer dann erpresst. Mittlerweile sind auch deutsche Unternehmen betroffen und ein Ende der Angriffe ist nicht abzusehen – im Gegenteil.
Auch in kriminellen Kreisen gibt es bestimmte Trends. Einer davon heißt Ransomware. Dabei werden Daten geklaut und die Opfer dann erpresst. Mittlerweile sind auch deutsche Unternehmen betroffen und ein Ende der Angriffe ist nicht abzusehen – im Gegenteil.
Solche Ermittlungsverfahren sind nach dem Aufdecken von Sicherheitslücken gar nicht selten. Deshalb fordern Sicherheitsforscher ja schon seit längerem zum einen Ausnahmetatbestände beim Straftatbestand "Ausspähen von Daten", was ja im §202a StGB geregelt ist und beim 202c.
Die Schweiz ist hier etwas besser aufgestellt. Dort wird eine neutrale Meldestelle eingerichtet, an die Sicherheitsforscher Schwachstellen senden können. Diese Meldestelle nimmt dann Kontakt zu den Herstellern auf. Die Überlegung dabei: Wenn eine neutrale Stelle den Hersteller auf die Lücke aufmerksam macht, ist der Druck höher und der Hersteller kann keine rechtlichen Schritte gegen den Sicherheitsforscher einleiten, der die Lücke an die Meldestelle weitergegeben hat. Langfristig, das sagen auch die Sicherheitsforscher in der Schweiz, brauchen wir Ausnahmetatbestände für Sicherheitsforscher bei den entsprechenden Strafnormen.
