CCC fordert Schwachstellen-Schwarzmarkt trocken zu legen

0
929
IT-Schwachstellen sind wie ein Riss in der Mauer. Über so eine Schwachstelle können Hacker ins System eindringen. (Foto: BS/Michael Krause, pixabay.com)

Der Chaos Computer Club (CCC) hat im EU-Untersuchungsausschuss PEGA ausgesagt. Dieser Ausschuss untersucht den staatlichen Einsatz von Überwachungssoftware in der Europäischen Union (EU). Der CCC stellt vier Forderungen zum Handel mit Schwachstellen auf.

Ein Hacker kann fremde Geräte nur durchsuchen oder überwachen, indem er eine Sicherheits-Schwachstelle ausnutzt. Auch staatliche Überwachungssoftware basiert auf solchen Schwachstellen. Neue Sicherheitslücken werden oft für viel Geld auf dem Schwarzmarkt gehandelt.

Der CCC will diesen Handel beenden und stellt vier Forderungen auf. Zuerst solle IT-Sicherheitsforschung nicht illegalisiert werden. Rechtliche Regelungen wie der sogenannte “Hackerparagraph” gehörten abgeschafft. Laut diesem Paragraphen (§202a Strafgesetzbuch STGB) wird es mit bis zu drei Jahren Freiheitsstrafe oder einer Geldstrafe bestraft, wenn man sich unbefugt Zugang zu fremden Daten beschafft. Das StGB unterscheidet dabei nicht, ob ein Hacker sich diesen Zugang aus kriminellen Motiven verschafft oder um die Sicherheitslücke zu melden. “Wer im Rahmen der Ausübung seines IT-Sicherheitsberufs in die Nähe von Kriminellen gerückt wird, ist potentiell viel anfälliger, von besagten Kriminellen umarmt zu werden”, heißt es in der Pressemitteilung des CCC.

Zweitens sollten Geheimdienste und Polizeien aufhören, Schwachstellen zu kaufen, um damit Quellen-TKÜ vorzunehmen. Drittens solle es einen verpflichtenden Prozess geben, um staatliche bekannte Sicherheitslücken bekannt zu machen. Nur so könnten sie mitigiert – also abgeschwächt oder gestopft werden. Diese Forderung ist nicht neu. Im Koalitionsvertrag der Bundesregierung und in der Cybersicherheitsagenda des Bundesinnenministerium (BMI) wurde versprochen, ein effektives “Schwachstellenmanagement” einzuführen.

Viertens und letztens müsse die EU neue Sicherheitslücken (Zero-Day-Schwachstellen) auf einer eigenen Stelle ankaufen. Zum Marktwert oder höher. Über lange Sicht sei dies günstiger als die Folgen zu bezahlen, wenn Schwachstellen in die falschen Hände gerieten.

Kommentieren Sie den Artikel

Please enter your comment!
Please enter your name here