Koordinierte Offenlegung von Schwachstellen in der EU

Der Zustand der IT-Sicherheit in der EU ist wahrscheinlich kein Glanzfall, die Erkenntnis dürfte nicht überraschen. Nun hat die Agentur der Europäischen Union für Cybersicherheit (ENISA) eine Übersicht über die nationalen Maßnahmen zur koordinierten Offenlegung von Schwachstellen („Coordinated Vulnerability Disclosure“ – CVD) in den EU-Mitgliedstaaten veröffentlicht und zeigt auf, dass noch sehr viel Arbeit vor der EU liegt.

Offenlegung von Sicherheitslücken

Die Offenlegung von Cyber-Schwachstellen ist in den Mittelpunkt der Aufmerksamkeit von Cybersicherheitsexperten gerückt, die sich für die Stärkung der Cybersicherheitsresistenz der Europäischen Union einsetzen. Der Grund für die Besorgnis liegt in den Bedrohungen der Cybersicherheit, die sich hinter den Schwachstellen verbergen, wie die Auswirkungen der Log4Shell-Schwachstelle zeigen.

Die ENISA fasst es so zusammen: Sicherheitsforscher und ethische Hacker nehmen IKT-Systeme – sowohl Open-Source- als auch kommerzielle Closed-Source-Software – ständig unter die Lupe, um Schwachstellen, Fehlkonfigurationen, Software-Schwachstellen usw. zu finden. Auf diese Weise wird eine breite Palette von Problemen aufgedeckt: schwache Passwörter, grundlegende kryptografische Fehler oder tief verschachtelte Softwarefehler.

Die Identifizierung von Schwachstellen ist aus Sicht der IT-Sicherheit absolut unerlässlich, wenn verhindert werden soll, dass Angreifer diese Lücken ausnutzen. Es ist wichtig zu bedenken, dass Angreifer immer Malware entwickeln können, die speziell auf die Ausnutzung von Schwachstellen ausgelegt ist, die der Öffentlichkeit bekannt sind. Abgesehen von der Identifizierung selbst können Anbieter auch zögern, Schwachstellen zuzugeben, da ihr Ruf dadurch geschädigt werden könnte.

Verbindliche Regeln

Die koordinierte Offenlegung von Schwachstellen (CVD) ist ein Prozess, bei dem die Finder von Schwachstellen zusammenarbeiten und Informationen mit den relevanten Interessengruppen wie Anbietern und IKT-Infrastrukturbesitzern austauschen. Eine regulierte, koordinierte Offenlegung von Sicherheitslücken stellt dann sicher, dass Software-Schwachstellen der Öffentlichkeit bekannt gemacht werden, sobald der Hersteller eine Lösung oder einen Patch entwickelt oder eine andere Lösung gefunden hat, dabei sollen die Interessen aller Beteiligten gewahrt werden, insbesondere soll sichergestellt sein, dass

  • Forscher die richtigen Stellen kontaktieren, um die Schwachstelle bekannt zu machen;
  • die Hersteller rechtzeitig eine Lösung oder einen Patch entwickeln können;
  • Entdecker für ihre Arbeit Anerkennung erhalten und vor strafrechtlicher Verfolgung geschützt sind.

Gerade letzteres ist ein erhebliches Problem, da die Suche nach Sicherheitslücken ohne Beauftragung in Deutschland derzeit regelmäßig in die Strafbarkeit führt, wie ich bereits dargestellt habe.

Wie ist die Lage in der EU?

Der ENISA-Bericht gibt einen Überblick über die nationalen CVD-Maßnahmen in der EU, vergleicht die verschiedenen Ansätze und hebt bewährte Verfahren hervor.

Die Analyse zeigt, dass es zwischen den Mitgliedstaaten große Unterschiede in Bezug auf den Stand der Umsetzung der CVD-Politik gibt. So hatten nur vier Mitgliedstaaten bereits eine solche CVD-Politik eingeführt, während weitere vier Mitgliedstaaten kurz davor standen. Die verbleibenden Mitgliedstaaten werden in zwei Gruppen unterteilt: diejenigen, die derzeit darüber diskutieren, wie sie vorankommen wollen, und diejenigen, die dieses Stadium noch nicht erreicht haben.

Koordinierte Offenlegung von Schwachstellen in der EU - Rechtsanwalt Ferner
Quelle: ENISA-Report „Coordinated Vulnerability Disclosure policies in the EU
COORDINATED VULNERABILITY DISCLOSURE POLICIES IN THE EU“, April 2022, Seite 14

CVD: Stand in Deutschland

Man darf durchaus überrascht sein, dass Deutschland grün markiert ist. Dabei betont die Analyse selbst (Seite 17), dass es in Deutschland keine formale nationale Regelung für CVD gibt.

Aber, das rettet den Status: Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat eine erarbeitet, die nach Zustimmung der BSI-Leitung und der zuständigen Ministerien veröffentlicht wird. Für den Umgang mit Schwachstellen sind Meldeverfahren innerhalb der Bundesverwaltung an das BSI und durch das BSI etabliert worden (vgl. § 4 Abs. 2-4 BSIG und die BSI-Webseite zum Thema).

Entsprechend der BSI-Richtlinie müssen alle Bundesbehörden dem BSI Informationen im Zusammenhang mit neu erkannten Schwachstellen melden, die für die Aufgabenerfüllung oder die Sicherheit der Informationstechnik anderer Behörden von Bedeutung sind. Alle gefundenen Schwachstellen werden über das BSI an die betroffenen Hersteller gemeldet, damit diese entsprechend handeln können. Ziel des Verfahrens ist es, Schäden, die aus der möglichen Ausnutzung von Schwachstellen resultieren, zu minimieren. Durch die koordinierte Beteiligung der betroffenen Hersteller können zum einen funktionierende Sicherheitsupdates bereitgestellt werden. Zum anderen wird durch die zeitlich begrenzte Aufbewahrung von Schwachstellen- und Angriffsdetails der mögliche Schaden reduziert. Derzeit ist die BSI-Politik aus Sicht der ENISA als die deutsche nationale Politik zu betrachten, da diese Behörde die zentrale Anlaufstelle für CVD ist. In diesem Zusammenhang ist nicht zu erwarten, dass andere öffentliche Einrichtungen in Deutschland eine weitere formelle CVD-Richtlinie veröffentlichen. Als Beispiel führt man dann konkret den Umgang der Bundeswehr mit Sicherheitslücken an.

Koordinierte Offenlegung von Schwachstellen in der EU - Rechtsanwalt Ferner

Das Problem ist, dass dies nur Behörden betrifft und insbesondere die massiven Probleme im privaten Sektor damit ausgeblendet werden. Die potenzielle Strafbarkeit für Hacker und Sicherheitsforscher ist ein massives Problem und schwächt die IT-Infrastruktur. Die ENISA-Analyse stellt die Situation in DE mit der grünen Einfärbung zu positiv dar!

Empfehlungen der ENISA

Die wichtigsten Empfehlungen der ENISA aus der Analyse sind:

  • Änderungen der Strafgesetze und der Richtlinie über Cyberkriminalität, um Sicherheitsforschern, die an der Aufdeckung von Sicherheitslücken beteiligt sind, rechtlichen Schutz zu bieten;
  • die Festlegung spezifischer Kriterien für eine klare Unterscheidung zwischen „ethischem Hacking“ und „Black Hat“-Aktivitäten vor der Einführung eines rechtlichen Schutzes für Sicherheitsforscher;
  • Schaffung von Anreizen für Sicherheitsforscher, sich aktiv an der CVD-Forschung zu beteiligen, entweder durch nationale oder europäische Bug-Bounty-Programme oder durch die Förderung und Durchführung von Schulungen zur Cybersicherheit.
  • Darüber hinaus gibt es weitere Empfehlungen zu den wirtschaftlichen und politischen Herausforderungen sowie zu operativen und Krisenmanagement-Aktivitäten.
Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht)
Benutzerbild von Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht)

Von Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht)

Ich bin Fachanwalt für Strafrecht + Fachanwalt für IT-Recht und widme mich beruflich ganz der Tätigkeit als Strafverteidiger und dem IT-Recht. Vor meinem Leben als Anwalt war ich Softwareentwickler. Ich bin Autor sowohl in einem renommierten StPO-Kommentar als auch in Fachzeitschriften. Dabei bin ich fortgebildet in Krisenkommunikation und Compliance.

Erreichbarkeit: Per Mail, Rückruf, Threema oder Whatsapp.

Unsere Kanzlei ist spezialisiert auf Starke Strafverteidigung, seriöses Wirtschaftsstrafrecht und anspruchsvolles IT-Recht + Kunst & Medien - ergänzt um Arbeitsrecht.