Lücken schließen: Der verantwortungsbewusste Umgang mit IT-Sicherheitslücken
Date
Volume
Issue
Journal
Series Titel
Book Title
Publisher
Link to publishers version
Abstract
Praktisch ausnutzbare Sicherheitslücken bedrohen die IT-Sicherheit privater wie staatlicher Infrastrukturen. Die Beseitigung der Lücken ist daher für alle Akteure, wie Produktherstellerinnen und -hersteller, Betreiberinnen und Betreiber sowie Nutzerinnen und Nutzer, wünschenswert. Dennoch zeigten Konflikte zwischen Herstellerseite und unabhängigen, proaktiv tätigen Sicherheitsforschenden, dass ein auf Kooperation basierendes Schwachstellenmanagement oftmals fehlt. Obwohl sich Expertinnen und Experten überwiegend bezüglich der grundsätzlichen Notwendigkeit eines koordinierten Zusammenwirkens durch Coordinated-Vulnerability-Disclosure-Prozesse (CVD) einig sind, ist dieses aktuell weder rechtlich verpflichtend geregelt noch flächendeckend umgesetzt. Vielmehr sind durch die Rechtsunsicherheiten für Forschende Abschreckungseffekte zu beobachten. Der „bidt Impuls“ skizziert diesen Status quo und zeigt Lösungsansätze auf, um die konfligierenden Interessens- und Rechtspositionen zu entwirren. Neben der Beseitigung einiger rechtlicher Hemmnisse durch die Gesetzgebung wird von den Autorinnen und Autoren die Einrichtung einer koordinierenden und im Konfliktfall schlichtenden Meldestelle zur Unterstützung von Disclosure-Prozessen empfohlen.