Da neuartige Cyberangriffe und Schwachstellen wesentlich komplexer sind als noch vor weniger Jahren, müssen Cybersicherheitsforschende oft die Rolle von böswilligen Angreifenden simulieren, um akute Bedrohungen für IT-Infrastrukturen, -Systeme und -Anwendungen zu verstehen. Aus den durch diesen Schritt gewonnenen Erkenntnissen leiten Cybersicherheitsforschende dann Abhilfemaßnahmen gegen neuartige Cyberangriffe und Schwachstellen ab, entwickeln diese fort und unterstützen die angegriffenen Organisationen mittels dieser Abhilfemaßnahmen in der aktiven Abwehr von Cyberangriffen.
Dieser Bereich der Cybersicherheitsforschung, bei dem Cybersicherheitsforschende also mit dem Ziel der Entwicklung von Abhilfemaßnahmen die Rolle böswilliger Angreifer simulieren und diese Cyberangriffe gegebenenfalls zusätzlich durch von ihnen entwickelte, aktive Abhilfemaßnahmen abwehren, bezeichnet man als offensive Cybersicherheitsforschung.
Häufig lassen sich bereits heute neuartige Bedrohungen nur mittels offensiver Forschungsmethoden begegnen. Es ist zu erwarten, dass die offensive Cybersicherheitsforschung in den kommenden Jahren aufgrund des technischen Fortschritts noch weiter an Bedeutung zunehmen wird, denn die IT-Sicherheit in Deutschland war noch nie einer so extremen Bedrohungslage ausgesetzt wie aktuell (Tagesspiegel Background berichtete). Die offensive Cybersicherheitsforschung wird insofern dazu beitragen, dass IT-Infrastrukturen, -Systeme und -Anwendungen – und die mittels dieser verarbeiteten Daten – auch weiterhin einem hohen Schutz unterliegen.
Personenbezogene Datenverarbeitungen in der offensiven Cybersicherheitsforschung
Offensive Cybersicherheitsforschende wissen in der Regel nicht, ob, welche und wie viele personenbezogene Daten sie im Rahmen ihrer Forschungsaktivitäten einsehen werden. Weil die Verarbeitung personenbezogener Daten mit Risiken für den von einer Datenverarbeitung Betroffenen einhergehen können, stellt das Datenschutzrecht strenge Anforderungen an die Verarbeitung personenbezogener Daten.
So kann es etwa vorkommen, dass Cybersicherheitsforschende im Rahmen der aktiven Abwehr eines Cyberangriffs mittels offensiver Methoden – beispielsweisedurch den Zugriff auf Software- und Hardwarekomponenten – als unbeabsichtigte Nebenfolge mit personenbezogenen Daten in Kontakt kommen und in der Folge dessen Daten jeglicher Art einsehen können.
Rechtsrahmen und Realität der offensiven Cybersicherheitsforschung passen nicht zusammen
Die von offensiven Cybersicherheitsforschenden zu beachtenden Datenschutzvorschriften sind dieselben, die auch von (fast) jeder anderen Europäischen Organisation im Rahmen der Verarbeitung personenbezogener Daten zu berücksichtigen sind.
Spezielle Vorschriften für die Verarbeitung personenbezogener Daten im Rahmen der offensiven Cybersicherheitsforschung existieren nicht. Dies führt in der Praxis zu einem großen Problem: Der geltende Rechtsrahmen und die Realität der offensiven Cybersicherheitsforschung passen nicht zusammen. Dies resultiert aus dem Umstand, dass das gesamte Datenschutzrechtssystem darauf ausgelegt ist, dass vor der Einsichtnahme in personenbezogene Daten genau feststeht, welche personenbezogenen Daten von welchen Betroffenen, auf Basis welcher Rechtsgrundlagen, für welche Zwecke und zu welcher Dauer verarbeitet werden sollen. Basierend auf diesen Kenntnissen werden sodann technische und organisatorische Maßnahmen umgesetzt, die die von einer personenbezogenen Datenverarbeitung Betroffenen entsprechend des spezifischen Verarbeitungsrisikos angemessen schützen.
Bei der Durchführung einer offensiven Cybersicherheitsmaßnahme sind die äußeren Rahmenbedingungen einer personenbezogenen Datenverarbeitung jedoch in der Regel nicht vor eben dieser absehbar – häufig steht zu Beginn der durchzuführenden Forschungsaktivitäten nicht einmal fest, ob im Rahmen dieser überhaupt personenbezogene Daten verarbeitet werden.
Datenschutzvorsorge als Lösung
Neben für die Zukunft wünschenswerten spezifischen Datenschutzvorschriften und/oder Guidelines für die offensive Cybersicherheitsforschung kann diesem Problem durch eine überlegte datenschutzrechtliche Vorsorge und Betreuung während der Forschungsaktivitäten begegnet werden.
Datenschutzrechtliche Rolle
Zur Datenschutzvorsorge zählen hierbei etwa die Überprüfung, in welcher datenschutzrechtlichen Rolle der offensive Cybersicherheitsforscher (respektive die Forschungseinrichtung, für die dieser tätig ist) im Rahmen der geplanten Forschungsaktivität tätig wird. Entscheidet die Forschungseinrichtung selbst über die Zwecke und Mittel einer bevorstehenden Datenverarbeitung, so handelt er als sogenannter Verantwortlicher. Handelt er im Auftrag einer Organisation, zum Beispiel, um für diese einen Cyberangriff aktiv abzuwehren, so ist er in der Regel ein sogenannter Auftragsverarbeiter.
Im letztgenannten Fall ist zwischen der Forschungseinrichtung und der beauftragenden Organisation ein sogenannter Auftragsverarbeitungsvertrag zu schließen. Die meisten der nachfolgend genannten Pflichten treffen im Falle einer Auftragsverarbeitung sodann (primär) die beauftragende Organisation, weshalb die weitere Betrachtung im weiteren Verlauf dieses Beitrags ausgeklammert wird.
Rechtsgrundlage und Informationspflicht
Vor einer möglichen Datenerhebung sollte zudem geprüft werden, auf Basis welcher Rechtsgrundlage diese Daten verarbeitet werden könnten. Hierbei könnte das Überwiegen eines berechtigen Interesses des Verantwortlichen (oder eines Dritten) an der Verarbeitung der personenbezogenen Daten geprüft werden. Ein solches könnte zum Beispiel in der Durchführung offensiver Forschungsmethoden mit dem Ziel der Stärkung und Verbesserung der IT-Sicherheit liegen.
Im nächsten Schritt ist zu prüfen, in welchen möglichen Fallkonstellationen der Datenerhebung Informationspflichten zu erfüllen wären und in welchen gegebenenfalls eine Ausnahme von der Informationspflicht besteht (eine solche besteht etwa dann, wenn personenbezogene Daten nicht bei dem von der personenbezogenen Datenverarbeitung Betroffenen direkt erhoben werden und der Aufwand für die Informationserteilung unverhältnismäßig wäre – zum Beispiel, wenn ein Datensatz keine Kontaktdaten des Betroffenen enthält).
Sodann wäre für die Fallkonstellationen, in denen die Informationspflicht zu erfüllen wäre, eine entsprechende Datenschutzinformation zu erstellen und ein Prozess zu etablieren, der die fristgerechte Zusendung der Datenschutzinformation an die Betroffenen sicherstellt.
Datenschutzfolgenabschätzung und weitere Maßnahmen
Darüber hinaus ist vor der Datenerhebung zu prüfen, ob in bestimmten Fallkonstellationen eine Datenschutzfolgenabschätzung verpflichtend durchzuführen wäre und welche technischen und organisatorischen Maßnahmen zu treffen sind, um die Rechte und Freiheiten der Betroffenen hinsichtlich der für sie bestehenden Risiken angemessen zu schützen. Aufgrund der Unsicherheit über die möglichen Fallkonstellationen sollte dieser Schritt zwar nach bestem Wissen und Gewissen durchgeführt werden, jedoch nicht für jede nur denkbare, jedoch sehr unwahrscheinliche Fallkonstellation (etwa die Einsichtnahme von hochschützenswerten Daten aus dem Zeugenschutzprogramm bei einer Darknetrecherche) vorgesorgt werden.
Auch sollte zugunsten der wirtschaftlich angemessenen Umsetzung technischer und organisatorischer Maßnahmen berücksichtigt werden, ob beispielsweise ungewollt erhobene Daten ohnehin für jedermann einsehbar sind (etwa weil ein Angreifer diese unrechtmäßig erlangt und im Internet veröffentlicht hat). Die vorgesehen technischen und organisatorischen Maßnahmen sollten sich in derartigen Fällen auf die Unterrichtung betroffener Organisationen konzentrieren, damit diese wiederum ihre Betroffenen informieren können. Von Cybersicherheitsforschern ungewollt erhobene personenbezogene Daten sollten darüber hinaus so schnell wie möglich gelöscht werden.
Schließlich sind die zum Schutz der Rechte und Freiheiten der Betroffenen ergriffenen Schritte zu dokumentieren – also etwa die Dokumentation der Rechtsgrundlage und des Überwiegens eines berechtigten Interesses, der Eintrag in das sogenannte Verzeichnis der Verarbeitungstätigkeiten oder die Dokumentation der ergriffenen technischen und organisatorischen Maßnahmen.
Ist die Datenschutzvorsorge abgeschlossen, beginnt die Datenschutzbetreuung während der Durchführung der offensiven Forschungsaktivität. Im Rahmen der Datenschutzbetreuung sollten von Cybersicherheitsforschenden insbesondere Änderungen der im Rahmen der Datenschutzvorsorge getroffenen Annahmen zur personenbezogenen Datenverarbeitung umgehend intern gemeldet werden. Auf diese Änderungen gilt es sodann schnellstmöglich und zum Wohle der Betroffenen zu reagieren.
Fazit
Zur Förderung der offensiven Cybersicherheitsforschung bedarf es eines klar definierten Rechtsrahmens, so dass Cybersicherheitsforschende durch ihre Forschungsarbeit einen höchstmöglichen Schutz für IT und Gesellschaft bewirken können, ohne durch die Ausübung ihrer Forschungsmethoden sich selbst und womöglich auch diejenigen, die ihre Forschungsergebnisse in die Praxis umsetzen, einem rechtlichen Risiko auszusetzen zu müssen.
Alina Boll und Annika Selzer sind Mitarbeiterinnen von ATHENE und Fraunhofer SIT und Indra Spiecker gen. Döhmann ist Professorin an der Goethe-Universität Frankfurt und Forschungsbereichskoordinatorin in Athene.
Der Beitrag gibt die persönliche Meinung der Autorinnen wieder und kann eine Rechtsberatung nicht ersetzen. Dieser Beitrag wurde vom Bundesministerium für Bildung und Forschung (BMBF) und vom Hessischen Ministerium für Wissenschaft und Kunst (HMWK) im Rahmen ihrer gemeinsamen Förderung für das Nationale Forschungszentrum für angewandte Cybersicherheit ATHENE unterstützt.
