BROADCASTS.com

Wenn der Bund sagt: \u201cHack mich!\u201d kann er Sicherheitsforscher:innen danach schlecht mit dem Hackerparagraphen zur Rechenschaft ziehen. Das ist die Kernidee des Bunten Bug Bountys.\n\nDas Melden von Sicherheitsl\xfccken und Datenlecks ist in Deutschland aktuell ein riskantes und aufw\xe4ndiges Unterfangen. Erfahrungsgem\xe4\xdf besteht 60 - 80% des Aufwandes darin, die L\xfccke und das Datenleck so zu dokumentieren, dass die Sicherheitsforscher:innen juristisch nicht angreifbar sind. \nSowohl von Seiten der EU [1] als auch die Deutsche Bundeswehr [2] gibt es hier bereits etablierte Angebote. Entsprechend haben wir im Rahmen des Cybersicherheitsdialog des BSI [3] im September diesen Jahres das Projekt \u201cB3 - Buntes Bug Bounty\u201d gestartet. Ziel des Projektes ist es einen ethischen, niedrigschwelligen und rechtssicherer Meldeprozess f\xfcr Sicherheitsl\xfccken und Datenlecks zu entwickeln. Im Rahmen des Vortrags soll der aktuelle Stand der Diskussion vorgestellt und zur Teilnahme an der Diskussion eingeladen werden.\n\n[1] https://joinup.ec.europa.eu/collection/eu-fossa-2/about\n[2] https://www.bundeswehr.de/de/security-policy\n[3] https://www.bsi.bund.de/DE/Themen/Verbraucherinnen-und-Verbraucher/Leistungen-und-Kooperationen/Digitaler-Verbraucherschutz/Projekt-Dialog-fuer-Cyber-Sicherheit/Dialog-fuer-Cyber-Sicherheit_node.html\n\nSollte ein:e Sicherheitsforscher:in aktuell eine Sicherheitsl\xfccke finden und dabei ggf. auch noch \xfcber ein Datenleck stolpern, entstehen eine Reihe von Fragen:\n\n* Habe ich mich strafbar gemacht, wenn ja wie dolle? #Hackerparagraph\n* Wem melde ich die L\xfccke?\n* Wem melde ich das Datenleck?\n* Kann ich das ethisch vertreten?\n* Wie viel Arbeit wird das?\n\nDie Arbeit von ehrenamtlichen Sicherheitsforscher:innen wird von den Organisationen, deren Systeme betroffen sind, nicht notwendigerweise positiv aufgenommen - siehe CDU Connect-App [1]. Auch kann das Melden von Sicherheitsl\xfccken bei Bekanntwerden der meldenden Person f\xfcr diese zu Repressalien f\xfchren wie der Fall der log4j L\xfccke gegen\xfcber dem Unternehmen AliBaba [2][3].\nEbenfalls ist nicht immer einfach erkennbar, wem eine L\xfccke und ein entsprechendes Leck zu melden sind:\n\n* der Organisation, die die Software einsetzt?\n* der Organisation, die die Software anbietet oder entwickelt?\n* Was ist zu tun, wenn es keine security.txt gibt?\n* Wendet sich eins an die Adresse im Impressum?\n* Im Falle eines Datenlecks, welcher LfDI ist zust\xe4ndig?\n* Der des Landes der Filiale, die im Impressum steht, der des Bundeslandes, in dem die Firma ihren Hauptsitz hat?\n* Was passiert, wenn das Datenleck an den falschen LfDI gemeldet wird?\n* Wieso wollen BfDI und LdDIs wissen wer ich bin?\n* Wie kann ich sicher sein, dass das BSI aus der L\xfccke keinen Staatstrojaner macht? etc. etc.\n\nWie das aus Sicht von Sicherheitsforscher:innen funktioniert, haben Zerforschung und Linus in dem Vortrag: \u201cDeine Software, die Sicherheitsl\xfccken und ich\u201d [5] dargestellt.\n\n\nDamit sich das bessert wollen wir - als konstruktiven Beitrag zur Debatte um Sicherheitsforschung auf Bundes- [6] und Europ\xe4ischer Ebene [7] - dem Bund vorschlagen, dass er Sicherheitsforscher:innen einl\xe4dt, ihn und die \xf6ffentliche Hand im Allgemeinen zu hacken.\n\nDies durch das Ausloben eines \u201cBunten Bug Bounties\u201d und das Einrichten einer one-stop-shop Meldestelle f\xfcr Sicherheitsl\xfccken und Datenlecks.\n\n\nVorbilder gibt es genug, die Bundeswehr [8] und die Niederlande [9] machen das schon. Die Bundeswehr verspricht Sicherheitsforscher:innen nicht anzuzeigen, die Niederlande garantieren, dass die Meldung ver\xf6ffentlicht werden darf und es gibt ein T-Shirt [10]. Die EU zahlt mit EU-Fossa [11] sogar Geld f\xfcr Fixes von L\xfccken in relevanten Open Source Frameworks.\n\nZiel des Projektes ist es herauszufinden: \n\n* Wie k\xf6nnte ein entsprechender Prozess aussehen?\n* Kann das rechtssicher gestaltet werden? \n* Wie passt das mit dem Cyber Resilience Act der EU [12] zusammen?\n\nIm Vortrag wollen wir den aktuellen Stand des Projektes vorstellen und die Community zur Diskussion einladen. \n\nWeiteres Demn\xe4chst unter:\nwww.inoeg.de/b3\n\n[1] https://www.zeit.de/digital/datenschutz/2021-08/cdu-connect-app-it-sicherheit-lilith-wittmann-forscherin-klage\n[2] https://winfuture.de/news,127162.html\n[3] https://www.scmp.com/tech/big-tech/article/3160670/apache-log4j-bug-chinas-industry-ministry-pulls-support-alibaba-cloud\n[4] https://securitytxt.org/\n[5] https://media.ccc.de/v/rc3-2021-xhain-278-deine-software-die-si\n[6] https://netzpolitik.org/2022/hackerparagrafen-sicherheit-fuer-die-sicherheitsforschung/\n[7] https://www.ccc.de/de/updates/2022/zero-day-schwarzmarkt-trockenlegen\n[8] https://www.bundeswehr.de/de/security-policy\n[9] https://www.government.nl/topics/cybercrime/fighting-cybercrime-in-the-netherlands\n[10] https://medium.com/pentesternepal/hacking-dutch-government-for-a-lousy-t-shirt-8e1fd1b56deb\n[11] https://joinup.ec.europa.eu/collection/eu-fossa-2/about\n[12] https://digital-strategy.ec.europa.eu/en/library/cyber-resilience-act\nabout this event: https://pretalx.c3voc.de/hip-berlin-2022/talk/CLCACQ/