Cybersicherheitsforschung : Warum es einen Rechtsrahmen für die offensive Cybersicherheitsforschung braucht

Angesichts der zunehmenden Bedrohung von IT-Systemen, etwa im Krieg in der Ukraine, aber auch durch erpresserische Ransomware oder die böswillige Stilllegung von ganzen Unternehmen oder Universitäten erhält die Forschung zur Abwehr von solchen Angriffen, die Cybersicherheitsforschung, immer mehr Gewicht. Zum Teil werden zur Erforschung der Gefährdungslage und Gegenmaßnahmen böswillige Angriffe sowie die aktive Unterstützung Angegriffener zum Zwecke der Abwehr eines Angriffs im Rahmen der sogenannten offensiven Cybersicherheitsforschung näher betrachtet. 

Im Rahmen dieser Forschung müssen Wissenschaftlerinnen und Wissenschaftler auch geltendes Recht beachten. Allerdings sind die einschlägigen Gesetze nicht vor dem Hintergrund entstanden, diese spezielle Forschung zu regeln. Dies führt zu großer Rechtsunsicherheit, so dass Cybersicherheitsforschende den schwierigen Balanceakt bewerkstelligen müssen, einerseits durch ihre Forschung einen höchstmöglichen Schutz für IT und Gesellschaft zu bewirken, ohne andererseits durch die Ausübung ihrer Forschungsmethoden und -ansätze sich selbst und womöglich auch später diejenigen, die ihre Forschungsergebnisse in die Praxis umsetzen, einem rechtlichen Risiko auszusetzen. 

Das Nationale Forschungszentrum für angewandte Cybersicherheit Athene unter Beteiligung des Fraunhofer-Institut für Sichere Informationstechnologie und der Goethe-Universität Frankfurt am Main will nun in einem ersten Schritt Aufmerksamkeit für bestehende Rechtsunsicherheiten für Cybersicherheitsforschende schaffen, dann Vorschläge zur Fortentwicklung des einschlägigen Rechts aufbereiten und schließlich erste praktische Handlungshilfen erarbeiten. Teil dessen ist eine Veranstaltungsreihe zum Rechtsrahmen der offensiven Cybersicherheitsforschung mit namhaften Expert:innen aus verschiedenen Disziplinen, die am 5. Dezember startet.

Hintergrund: Cybersicherheitsforschung zum Schutz vor Bedrohungen

Um die Sicherheit von IT-Infrastrukturen, -Systemen und -Anwendungen zu analysieren, müssen Cybersicherheitsforschende oft die Rolle von böswilligen Angreifenden simulieren, um Schwachstellen zu identifizieren und Cyberangriffe besser zu verstehen. Aus den daraus gewonnenen Erkenntnissen können sie sodann Analysen typischer Angriffe entwickeln und schließlich Gegenmaßnahmen ableiten. Damit können sowohl die IT selbst als auch die Gesellschaft vor den Auswirkungen von Angriffen geschützt werden – etwa zur Sicherstellung der Funktionalität kritischer IT-basierter Infrastrukturen. Dazu unterstützen Cybersicherheitsforschende auch die von einem Angriff betroffenen Unternehmen und staatlichen Stellen bei der aktiven Abwehr solcher Angriffe (PDF-Dokument, 14 Seiten).

Cybersicherheit: Ein Graubereich des Rechts

Bestehende Gesetze, die auf offensive Cybersicherheitsforschung Anwendung finden, sind häufig ein Unsicherheitsfaktor, weil sie nicht vor dem Hintergrund entstanden sind, speziell den Bereich der offensiven Cybersicherheitsforschung zu regeln.

Zum Beispiel regelt die Europäische Datenschutz-Grundverordnung die Pflicht, so wenige personenbezogene Daten wie möglich zu erheben. Um die personenbezogenen Daten u.a. vor unberechtigten Zugriffen zu schützen, müssen diese durch geeignete und angemessene technische und organisatorische Maßnahmen geschützt werden, zum Beispiel durch Information oder Risikofolgenabschätzungen unter Beteiligung Dritter. Zur Analyse typischen Täterverhaltens ist aber – ebenso wie für die Einschätzung von Geeignetheit und Angemessenheit – Voraussetzung, dass die datenverarbeitende Stelle vor der Festlegung der Maßnahmen umfangreiche Kenntnisse über die Umstände der Datenverarbeitung hat und insbesondere weiß, welche und wie viele personenbezogene Daten verarbeitet werden sollen. In der offensiven Cybersicherheitsforschung ist aber in der Regel nicht vorherzusehen, ob, welche und wie viele personenbezogene Daten unter welchen Umständen (etwa im Darknet) erhoben werden, so dass die Anforderungen des Datenschutzrechts nicht oder nur verspätet umsetzbar sind. Eine kluge datenschutzrechtliche Vorsorge und Betreuung während der Forschungsarbeiten kann die Umsetzung vieler Anforderungen bewirken, auch wenn die Verarbeitungsumstände weitestgehend unbekannt sind. 

Probleme mit ähnlichen Auswirkungen auf die Beachtung geltenden Rechts stellen sich u.a. auch im Bereich des Straf-, Urheber- und Völkerrechts, so dass auch in diesen Bereichen große Rechtsunsicherheit besteht. Dies wiederrum belässt die Forschung in einer Grauzone, die dazu führt, dass notwendige Forschung nicht durchgeführt wird oder kaum Verbreitung findet, weil die rechtlichen Grenzen und Möglichkeiten im Rahmen typischer IT-basierter Forschung nicht mit-bearbeitet wird. 

Verbesserung der rechtlichen Situation

Eine Verbesserung der Situation von Cybersicherheitsforschenden ist daher dringend nötig und sollte sich an folgenden Eckpunkten orientieren:

1)     Forschung braucht Rechtssicherheit, da offensive Cybersicherheitsforschung auf Dauer nur fortbestehen und erfolgreich sein kann, wenn diese nicht zur rechtlichen Bedrohung der Forschenden wird. Einen Verzicht auf notwendige Forschung darf es nicht geben.

2)     Forschung braucht Regeln, denn jeder rechtsfreie Raum stellt eine potenzielle Gefahr dar, für Zwecke ausgenutzt zu werden, die nicht im Sinne der Gesellschaft und nicht mit den ethischen Grundsätzen der wissenschaftlichen Forschung vereinbar sind. Ein Recht des Stärkeren darf es nicht geben.

3)     Forschung braucht adäquate Regeln, welche die besonderen Bedürfnisse der Forschung berücksichtigen und sie nicht ausbremsen. Unpassendes Recht darf es nicht geben. 

In einem ersten Schritt zur Analyse der Problembereiche und ersten Lösungsansätzen der Situation von Cybersicherheitsforschenden setzt Athene eine Veranstaltungsreihe auf, welche die geltende Rechtslage im interdisziplinären Diskurs zwischen hochrangigen Rechtswissenschaftler:innen und Cybersicherheitsforschenden diskutiert.

Annika Selzer ist Abteilungsleiterin am Fraunhofer SIT und Forschungsbereichskoordinatorin am Nationalen Forschungszentrum für angewandte Cybersicherheit Athene, Indra Spiecker gen. Döhmann ist Professorin an der Goethe-Universität Frankfurt und Forschungsbereichskoordinatorin in Athene.