BROADCASTS.com

b'Ein Pl\\xe4doyer f\\xfcr anonyme, niedrigschwellige, rechtssichere und ethische Disclosure Prozesse\\n\\nWenn der Bund ein Angebot schafft, das Sicherheitsforscher:innen bef\\xe4higt, Beitr\\xe4ge zur Verbesserung der Informationssicherheit durch Beteiligungsprozesse zu schaffen, mag dies die Auswirkungen des Hackerparagrafen mildern.\\n\\nWir haben das Abenteuer gestartet, zu versuchen dieser Frage im Rahmen des BSI Cybersicherheitsdialog auf den Grund zu gehen. Eine erste Vorstellung des Themas gab es im Rahmen der Jahresendveranstaltung 2022 auf der Hacking in Parallel [0][1] und im Rahmen des Netzpolitischen Abend 124 [2] am 07.03.2023\\n\\nDas Melden von Sicherheitsl\\xfccken und Datenlecks ist in Deutschland aktuell ein riskantes und aufw\\xe4ndiges Unterfangen. Erfahrungsgem\\xe4\\xdf besteht 60 bis 80 Prozent des Aufwandes darin, die L\\xfccke und das Datenleck so zu dokumentieren, dass die Sicherheitsforscher:innen juristisch nicht angreifbar sind.\\n\\nSowohl vonseiten der EU [3] als auch die Deutsche Bundeswehr [4] gibt es hier bereits etablierte Angebote. Entsprechend haben wir im Rahmen des Cybersicherheitsdialog des BSI [5] im September diesen Jahres das Projekt \\u201cB3 - Buntes Bug Bounty\\u201d gestartet. Ziel des Projektes ist es, einen ethischen, niedrigschwelligen und rechtssicheren Meldeprozess f\\xfcr Sicherheitsl\\xfccken und Datenlecks zu entwickeln. Im Rahmen des Vortrags soll der aktuelle Stand der Diskussion vorgestellt und zur Teilnahme an der Diskussion eingeladen werden.\\n\\n[0] https://pretalx.c3voc.de/hip-berlin-2022/talk/CLCACQ/\\n[1] media. ccc.de Link wenn die Einreichung online ist\\n[2] Link zum NPA 124 wenn der dieser im Netz steht.\\n[3] https://joinup.ec.europa.eu/collection/eu-fossa-2/about\\n[4] https://www.bundeswehr.de/de/security-policy\\n[5] https://www.bsi.bund.de/DE/Themen/Verbraucherinnen-und-Verbraucher/Leistungen-und-Kooperationen/Digitaler-Verbraucherschutz/Projekt-Dialog-fuer-Cyber-Sicherheit/Dialog-fuer-Cyber-Sicherheit_node.html\\n\\nSollte ein:e Sicherheitsforscher:in aktuell eine Sicherheitsl\\xfccke finden und dabei ggf. auch noch \\xfcber ein Datenleck stolpern, entstehen eine Reihe von Fragen:\\n\\n* Habe ich mich strafbar gemacht, wenn ja wie dolle? #Hackerparagraph\\n* Wem melde ich die L\\xfccke?\\n* Wem melde ich das Datenleck?\\n* Kann ich das ethisch vertreten?\\n* Wie viel Arbeit wird das?\\n\\nWie die aktuellen Antworten auf diese Fragen aussehen, was sich verbessern lie\\xdfe und was passieren m\\xfcsste, damit das passiert, versuchen wir im Rahmen des Cybersicherheitsdialog des BSI \\xf6ffentlich zu diskutieren. Dies passiert im Zeitraum von M\\xe4rz - September 2023.\\n\\nEine erste Vorstellung des Themas gab es im Rahmen der Jahresendveranstaltung 2022 auf der Hacking in Parallel [0][1] und im Rahmen des Netzpolitischen Abend 124 [2] am 07.03.2023.\\nGeplant ist eine Vortragsreihe im Rahmen des Cybersicherheitsdialog mit verschiedenen Blickwinkeln auf das Thema. Das BSI stellt sich mit seinen Coordinated Vulnerability Disclosure Prozessen der Diskussion, auch andere Perspektiven sollen vorkommen wie die der Open Source Community mit Brian Behlendorf [3] oder die Frage, was bei Bug Bounty Programmen alles falsch gemacht werden kann \\u2013 mit Katie Moussouris [4].\\n\\nUm einen echten Dialog zu schaffen, haben wir eine Webseite [5] mit git im Aufbau, um eine offene Diskussion zu erm\\xf6glichen und wollen das Thema auf verschiedenen Veranstaltungen vorstellen (re:publica, Troopers, Camp, etc.) und eben auf der easterhegg.\\n\\nMehr zum Inhalt:\\nDie Arbeit von ehrenamtlichen Sicherheitsforscher:innen wird von den Organisationen, deren Systeme betroffen sind, nicht notwendigerweise positiv aufgenommen - siehe CDU Connect-App [6]. Auch kann das Melden von Sicherheitsl\\xfccken bei Bekanntwerden der meldenden Person f\\xfcr diese zu Repressalien f\\xfchren wie der Fall der log4j L\\xfccke gegen\\xfcber dem Unternehmen AliBaba [7][8].\\nEbenfalls ist nicht immer einfach erkennbar, wem eine L\\xfccke und ein entsprechendes Leck zu melden sind:\\n* der Organisation, die die Software einsetzt?\\n* der Organisation, die die Software anbietet oder entwickelt?\\n* Was ist zu tun, wenn es keine security.txt gibt?\\n* Wendet sich eins an die Adresse im Impressum?\\n* Im Falle eines Datenlecks, welcher Landesdatenschutzbeauftragte (LfDI) ist zust\\xe4ndig?\\n* Der des Landes der Filiale, die im Impressum steht, der des Bundeslandes, in dem die Firma ihren Hauptsitz hat?\\n* Was passiert, wenn das Datenleck an den falschen LfDI gemeldet wird?\\n* Wieso wollen BfDI und LfDIs wissen, wer ich bin?\\n* Wie kann ich sicher sein, dass das BSI aus der L\\xfccke keinen Staatstrojaner macht?\\netc. etc.\\n\\nWie das aus Sicht von Sicherheitsforscher:innen funktioniert, haben Zerforschung und Linus in dem Vortrag: \\u201cDeine Software, die Sicherheitsl\\xfccken und ich\\u201d [9] dargestellt.\\nDamit sich das bessert wollen wir \\u2013 als konstruktiven Beitrag zur Debatte um Sicherheitsforschung auf Bundes- [10] und Europ\\xe4ischer Ebene [11] dem Bund vorschlagen, dass er Sicherheitsforscher:innen einl\\xe4dt, Beitr\\xe4ge zur Verbesserung der Informationssicherheit durch Beteiligungsm\\xf6glichkeiten f\\xfcr Hacker:innen zu schaffen.\\n\\nDas wird durch das Ausloben eines \\u201cBunten Bug Bounties\\u201d und das Einrichten einer one-stop-shop Meldestelle f\\xfcr Sicherheitsl\\xfccken und Datenlecks erm\\xf6glicht.\\nVorbilder gibt es genug, die Bundeswehr [12] und die Niederlande [13] k\\xf6nnen hier beispielhaft genannt werden. Die Bundeswehr verspricht Sicherheitsforscher:innen, sie nicht anzuzeigen, die Niederlande garantieren, dass die Meldung ver\\xf6ffentlicht werden darf und es gibt ein T-Shirt [14]. Die EU zahlt mit EU-Fossa [15] sogar Geld f\\xfcr Fixes von L\\xfccken in relevanten Open Source Frameworks.\\nZiel des Projektes ist es herauszufinden:\\n\\n* Wie k\\xf6nnte ein entsprechender Prozess aussehen?\\n* Kann das rechtssicher gestaltet werden?\\n* Wie passt das mit dem Cyber Resilience Act der EU [16] zusammen?\\n\\nIm Vortrag wollen wir den aktuellen Stand des Projektes vorstellen und die Community zur Diskussion einladen.\\nWeiteres Demn\\xe4chst unter:\\nwww.inoeg.de/b3\\n\\n[0] https://pretalx.c3voc.de/hip-berlin-2022/talk/CLCACQ/\\n[1] media. ccc.de Link wenn die Einreichung online ist\\n[2] Link zum NPA 124 wenn der dieser im Netz steht.\\n[3] https://de.wikipedia.org/wiki/Brian_Behlendorf\\n[4] https://en.wikipedia.org/wiki/Katie_Moussouris\\n[5] www.inoeg.de/b3\\n[6] https://www.zeit.de/digital/datenschutz/2021-08/cdu-connect-app-it-sicherheit-lilith-wittmann-forscherin-klage\\n[7] https://winfuture.de/news,127162.html\\n[8] https://www.scmp.com/tech/big-tech/article/3160670/apache-log4j-bug-chinas-industry-ministry-pulls-support-alibaba-cloud\\n[9] https://securitytxt.org/\\n[10] https://media.ccc.de/v/rc3-2021-xhain-278-deine-software-die-si\\n[11] https://netzpolitik.org/2022/hackerparagrafen-sicherheit-fuer-die-sicherheitsforschung/\\n[12] https://www.ccc.de/de/updates/2022/zero-day-schwarzmarkt-trockenlegen\\n[13] https://www.bundeswehr.de/de/security-policy\\n[14] https://www.government.nl/topics/cybercrime/fighting-cybercrime-in-the-netherlands\\n[15] https://medium.com/pentesternepal/hacking-dutch-government-for-a-lousy-t-shirt-8e1fd1b56deb\\n[16] https://joinup.ec.europa.eu/collection/eu-fossa-2/about\\n[17] https://digital-strategy.ec.europa.eu/en/library/cyber-resilience-act\\nabout this event: https://cfp.eh20.easterhegg.eu/eh20/talk/XEGM7H/'