Für Cyberkriminelle sind sie Einfallstore: die Schwachstellen in Hard- und Softwareprodukten. Daher sollte es eigentlich im ureigenen staatlichen Interesse liegen, Sicherheitsforscher:innen zu fördern, die die Schwachstellen verantwortlich offenlegen. Allerdings nutzen auch Nachrichtendienste und Sicherheitsbehörden Schwachstellen aus und halten diese manchmal zurück oder versuchen sie sogar aktiv zu erwerben. Die Rolle von Staaten in der globalen Schwachstellenökonomie ist daher durchaus ambivalent.
Welche Auswirkungen haben diese Widersprüche auf die globale Cybersicherheit? Wo und wie prallen unterschiedliche Ziele von Staaten aufeinander? Wie kann die Rolle von Sicherheitsforschern:innen weltweit gestärkt werden? Diese Fragen standen im Mittelpunkt der Veranstaltung „Government Vulnerability Disclosures: Turning the Tide“ des IFSH-Teams „Internationale Cybersicherheit“, die in Kooperation mit dem Auswärtigen Amt ausgerichtet wurde. Der Sicherheitsforscher Mehmet Ince gab zunächst einen Einblick in die praktischen Herausforderungen, mit denen die Community täglich konfrontiert ist, gefolgt von Expertenbeiträgen von Anastasiya Kazakova (Kaspersky), Nick Kelly (Good Faith Cybersecurity Researchers Coalition) und Stewart Scott (Atlantic Council). Eingeleitet und moderiert wurde die Veranstaltung von Dr. Mischa Hansel (IFSH).
In der Diskussion wurde immer wieder der globale Charakter des Themas betont, da Schwachstellen nicht an nationalen Grenzen halt machen. Obwohl sich alle UN-Mitgliedsstaaten - zumindest im Prinzip - zur Förderung der verantwortungsvollen Offenlegung von IT-Schwachstellen verpflichtet haben, sind die entsprechenden Normen in der Praxis noch zu vage und ihre Umsetzung wird oft durch den geostrategischen Wettbewerb konterkariert.
In diesem Zusammenhang gab es eine intensive Diskussion über Chinas „Vorschriften zum Management von Sicherheitslücken in Netzwerkprodukten“ aus dem Jahr 2021, die vorsehen, dass Sicherheitslücken innerhalb von 48 Stunden an staatliche Behörden gemeldet werden müssen. Dies weicht von bestehenden Standards ab und könnte die grenzüberschreitende Sicherheitsforschung erschweren. Eine erste empirische Studie des Atlantic Council zeigte jedoch keine klaren Auswirkungen auf die Zahl der von chinesischen Forscher:innen eingereichten Schwachstellen, obwohl die anonymisierten Meldungen zunahmen.
Die Teilnehmer:innen waren sich einig, dass es illusorisch ist, weitreichende globale Beschränkungen für das Horten und die Nutzung von Schwachstellen durch Staaten zu erwarten, insbesondere vor dem Hintergrund der aktuellen weltpolitischen Konstellation. Dennoch könnten verschiedene vertrauensbildende Maßnahmen, zum Beispiel im Rahmen regionaler Organisationen, den Wettbewerb abmildern. Ebenso könnten einzelne Staaten ausdrücklich erklären, dass Schwachstellen, die zivilen Cybersicherheitsbehörden gemeldet werden, überhaupt nicht an Geheimdienste oder das Militär weitergegeben werden, oder zumindest dies auf Ausnahmefälle begrenzen und für größere Transparenz sorgen.
Eine stärkere internationale Koordinierung und Harmonisierung wäre auch im Hinblick auf den rechtlichen Rahmen für Sicherheitsforscher:innen wünschenswert. Derzeit sind diese mit einem Flickenteppich von nicht immer kohärenten und oft sogar widersprüchlichen Gesetzen und Vorschriften konfrontiert. Hier sollten die Staaten stärker von politischen Empfehlungen wie dem umfassenden Katalog der OECD zum Thema Gebrauch machen und Reformen einleiten. Der Verbreitung solcher Best Practices hat sich auch die neugegründete Good Faith Cybersecurity Researchers Coalition verschrieben, die auf der Veranstaltung vorgestellt wurde. Um staatliche Reformen zu erleichtern, bedarf es unter anderem einer verlässlichen Datenerhebung über gemeldete Schwachstellen, wie ein Teilnehmer aus dem akademischen Bereich erwähnte.
Einige Teilnehmenden knüpften an die derzeitige Diskussion um Spyware-Missbrauch sowie das Problem grauer und schwarzer Märkte für Sicherheitslücken an. Diese Felder seien von internationalen Regulierungsbemühungen weitgehend ausgenommen, was zu „jurisdiction hopping“ führe. Und doch bestimmt der Markt nicht alles, wie andere Teilnehmer:innen betonten. Viele Sicherheitsforscher:innen sind nicht nur durch finanziellen Gewinn motiviert, sondern primär durch den Wunsch, IT-Systeme zu verbessern. Daher sollte die Förderung von „sicheren Häfen“ für diese Forschung in Verbindung mit transparenteren Verfahren für den Umgang mit Schwachstellen eine Priorität sein.