Ich wurde eingeladen, heute bei einer Pressekonferenz von Epicenter.works am Podium zu sitzen. Es ging um einen Fall, bei dem es im Zuge einer klassischen verantwortungsvollen Offenlegung einer Schwachstelle (Responsible Disclosure, bzw Coordinated Vulnerability Disclosure [CVD]) zu einer Anzeige gekommen ist. Nachzulesen ist der Fall auf der Epicenter Webseite.

Ich will hier kurz meine Notizen / Speaking Notes zusammenfassen.

Solche Klagen/Anzeigen gibt es nicht nur in Österreich, in Deutschland gab es etwa letztens auch ähnliche Fälle. Es gibt aber auch schon gute Gegenbeispiele wie etwa die Niederlande – dort bekommen Melder ein T-Shirt und keine Anzeige. Die Stadt Den Haag organisiert sogar "Hack the Hague"-Partys. Seitens der EU gibt es daher in der NIS2 Richtlinie Vorgaben an die EU-Mitgliedstaaten, dieses Thema zu adressieren. Das sind:

• Es muss eine nationalen CVD-Policy entwickelt werden (Artikel 7(2)c)
• Es muss eines der CSIRTs als CVD-Anlaufstelle festgelegt werden (Artikel 12)

Die NIS-Kooperationsgruppe, welche die Aufgabe hat, die NIS-Implementationen in den Mitgliedstaaten zu harmonisieren, hat ein Dokument veröffentlicht, das hierzu Empfehlungen ausspricht. Von der ENISA gibt es auch eine Studie zu diesem Thema.

Der Entwurf für das NISG-2024 regelt das Thema CVD in § 11 sehr knapp und greift nicht alle Punkte auf, die laut den EU-Empfehlungen geregelt gehören. Dazu gehören:

• Strafrecht: Wie schützt man verantwortungsvolle Schwachstellenfinder:innen vor Anzeigen – also genau der Anlassfall in Österreich.
• Zivilrecht: An was müssen sich Forscher:innen halten, damit klar ist, dass sie nicht auf Geschäftsschädigung bzw. Schadensersatz geklagt werden können.
• Datenschutz: Um zu beweisen, dass Datenlecks bestehen, muss man Beispieldaten hernehmen. Was sind hier die Spielregeln?
• Wie soll der CVD-Prozess genau funktionieren und welche Zeitlimits gelten bei den Schritten.

Vor allem sollte das Ziel des CVD-Prozesses klar definiert sein: Es muss darum gehen, dass die Schwachstelle möglichst schnell, umfassend und ohne Ausnutzung durch Dritte behoben wird. Der CVD-Prozess ist für die Verteidiger da – sie sollen durch die erstellen Datenbanken (etwa bei der ENISA) und Verständigungen in die Lage versetzt werden, sich zu schützen. Es geht ganz klar nicht darum, dass der Staat Exploits sammeln will.

Es braucht hier eine gefühlvolle Abwägung zwischen dem Schutz vor rücksichtslosem Penetration-Testing versus dem Recht, online links und rechts zu schauen und gefundene Probleme ohne Furcht vor negativen Folgen melden zu können. Damit das garantiert werden kann, schreibt die EU-Richtlinie vor, dass diese Meldungen auch anonym erfolgen können.

Nach allem, was ich aus dem BMI gehört habe, wird das Thema bald angegangen, ich wünsche mir, dass es hier zu einer Einbeziehung der Zivilgesellschaft und den Universitäten kommt.

Genauso wie der Staat Österreich sich eine nationale CVD-Policy geben sollte, so sollten auch alle Organisationen klar bekanntgeben, wie sie auf Meldungen zu Problemen in ihren Netzen reagieren, und wo man diese melden kann. Eine Option dafür ist der security.txt Standard.

Wir von CERT.at werden wohl die Rolle des CSIRTs bekommen, das sich um die gemeldeten Schwachstellen in Österreich kümmern wird. Wir machen das gewissermaßen schon seit Anbeginn: wir geben jeden Tag hunderte Meldungen zu Sicherheitsproblemen im österreichischen Internet an die jeweiligen Betreiber weiter, damit diese ihre Systeme absichern. Hier ist durchaus noch Luft nach oben, insbesondere was die Mitarbeit mancher ISPs angeht.