Hackerfreundliche Gesetze: Pariser Verein will Sicherheitsforscher schützen

Forscher, die Sicherheitslücken melden, werden oft mit rechtlichen Drohungen konfrontiert. Das "Cybersecurity Advisors Network" will das mit Lobbyarbeit ändern.

Lesezeit: 3 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen

(Bild: Maksim Kabakou/Shutterstock.com)

Von
  • Fabian A. Scherschel

Sicherheitsforscher ist oft ein ziemlich undankbarer Job: So manche Firma reagiert auf das Melden von Sicherheitslücken in ihren Systemen entweder gar nicht, oder sie droht gleich mit Anwalt und Klage, anstatt produktiv und zügig daran mitzuarbeiten, ihre Systeme abzusichern. Obwohl viele Firmen mittlerweile Bug-Bounty-Programme anbieten und sich öffentlich äußerst positiv zu Sicherheitsforschern und deren Bemühungen äußern, sieht die Realität hinter den Kulissen oft immer noch anders aus. Besonders unabhängige Sicherheitsforscher ohne eine große Firma oder Organisation im Rücken sehen sich nach wie vor oft mit Einschüchterungsversuchen und der Androhung von rechtlichen Schritten konfrontiert. Eine gemeinnützige Interessengemeinschaft von Sicherheitsforschern bemüht sich nun mit einer weltweiten Koalition von Partnern darum, solchen unabhängigen White-Hat-Hackern Rechtsschutz zu gewähren.

Wie das in Paris ansässige Cybersecurity Advisors Network (CyAN) jetzt bekanntgab, ist es das Ziel der Initiative, Gesetzesänderungen herbeizuführen. Diese sollen Sicherheitsforscher vor rechtlichen Konsequenzen bewahren, wenn sie sich in fremde Systeme hacken, um Sicherheitslücken aufzuspüren und diese – im Sinne der Allgemeinheit – den Verantwortlichen zu melden, bevor die Schwachstellen missbraucht werden. Das Zero Day Legislative Project, wie die neue Arbeitsgruppe sich nennt, will zusammen mit Sicherheitsforschern Modellgesetze ausarbeiten, die dann von Lobbyisten in die Parlamente getragen werden können, um lokale Gesetzesgrundlagen für den Schutz von White-Hat-Hackern zu schaffen.

Unterstützt wird die Initiative unter anderem von der bekannten Sicherheitsforscherin Katie Moussouris, die bei Microsoft entscheidend am Aufbau einer konstruktiven Zusammenarbeit mit der Hacker-Community beteiligt war, und von Casey Ellis, der die Crowdsource-Bug-Bounty-Plattform Bugcrowd begründet hat. Die französische Regierung hat der CyAN-Initiative ebenfalls Unterstützung zugesagt. Und auch die OECD, die Organisation für wirtschaftliche Zusammenarbeit und Entwicklung, hat sich Anfang des Jahres für die Entwicklung ähnlicher Modellgesetze zum Schutze von Sicherheitsforschern ausgesprochen.

Die Idee, eine solche Arbeitsgruppe zu gründen, entstand laut dem Leiter des Zero Day Legislative Project, Peter Coroneos, durch eine Umfrage bei einem virtuellen Meeting von über 150 Sicherheitsforschern. Diese hätten rechtliche Drohungen als eins der größten Probleme identifiziert, das sie bei der Ausübung ihres Berufes behindert. Das sagte Coroneos der britischen Nachrichtenseite The Register in einem Gespräch. Bei CyAN sei man zuerst überrascht gewesen, dass das heutzutage noch ein Problem sei. Und habe sich dann dazu entschieden, etwas dagegen zu tun. "Oft finden Forscher eine Schwachstelle und informieren den Hersteller. Als nächstes bekommen sie dann eine Unterlassungserklärung oder einen Drohbrief zugestellt", so Coroneos.

Bei heise Security hatten wir in der Vergangenheit auch des öfteren mit Sicherheitsforschern zu tun, die die eine oder andere rechtliche Drohung erhalten hatten und sich dann an uns wandten. Wer sich als (bislang) Nichtbetroffener einen Eindruck von solchen Drohbriefen verschaffen will, wird zum Beispiel in einer entsprechenden Sammlung auf GitHub fündig.

(fab)