Cybersicherheitsforschende stehen mitunter gefühlt mit einem Bein im Gefängnis – es herrscht viel Unsicherheit darüber, was rechtlich im Rahmen von Wissenschaft erlaubt ist und was nicht. Rechtswissenschaftlerinnen des Nationalen Forschungszentrums für angewandte Cybersicherheit Athene haben deshalb eine Reihe von simulierten Gerichtsprozessen gestartet, um fiktive, aber realistische Fälle aus der Cybersicherheitsforschung verhandeln zu lassen. Die Urteile der Gerichtssimulation sollen als Wegweiser für die IT-Sicherheitsforschung dienen. Der erste simulierte Prozess hat am Dienstag in Darmstadt stattgefunden.
Der Bitkom beziffert die durch Cyberkriminalität verursachten Schäden der vergangenen 12 Monaten in Deutschland auf 178,6Mrd.€. IT-Sicherheitsforschende entwickeln im Rahmen ihrer Arbeit Schutzmechanismen vor solchen Angriffen. Dabei nutzen sie teilweise Methoden und Werkzeuge, die auch von Cyberkriminellen genutzt werden. Und hier liegt ein Problem: Obwohl sie die Methoden nutzen, um Maßnahmen gegen mögliche Cyberbedrohungen abzuleiten, ist Cybersicherheitsforschenden oft nicht klar, wie sie sich im Rahmen ihrer Forschungsarbeiten verhalten sollen, um keine rechtlichen Schwierigkeiten zu bekommen. So besteht zunehmend die Gefahr, dass IT-Sicherheitsforschende aus Unsicherheit ihre Arbeit nicht mehr umfassend ausführen – was sich nachteilig auf den Kampf gegen Cyberkriminalität auswirkt.
Der erste Fall: Sensible Daten aus dem Darknet
Der erste fiktive Fall, der in Darmstadt verhandelt wurde, handelt von den Cybersicherheitsforschenden A und B, die regelmäßig im Darknet nach den neuesten Angriffsmethoden und -werkzeugen recherchieren. Dort stoßen sie auf eine Datei ‚Angebot-zur-Übernahme-von-Cyberangriffen-im-Auftrag.pdf‘. A und B entscheiden sich, die Datei herunterzuladen, um sich darüber zu informieren, welche Cyberangriffe im Auftrag angeboten werden. Doch die Datei enthält – als Arbeitsprobe der kriminellen Anbieter -überraschenderweise auch eine Liste mit tausenden gestohlenen Zugangsdaten zweier großer Unternehmen. Person A und Person B gehen mit dem zufälligen Fund unterschiedlich um. So dokumentiert A etwa jeden zentralen Schritt seines Umgangs mit den gefundenen Daten und loggt sich probeweise auch in einen Account ein, um zu testen, ob der Fund echt und aktuell ist, unterlässt jedoch eine Benachrichtigung der geschädigten Unternehmen, während B zwar die geschädigten Unternehmen benachrichtigt, jedoch keine Dokumentation über den Umgang mit den gefundenen Daten anfertigt und die Logins auch nicht austestet.
„Durch den unterschiedlichen Umgang der Cybersicherheitsforschenden mit dem ungeplanten Datenfund im Darknet wollen wir die rechtlichen Leitplanken links und rechts in einem solchen Fall besser kennenlernen“, erklärt Dr. Annika Selzer, Organisatorin der Studie und Koordinatorin des Forschungsbereichs Legal Aspects of Privacy & IT Security in Athene. Von dem Simulationsurteil erhofft sie sich eine möglichst große Orientierungshilfe für die Cybersicherheitsforschenden, deshalb agieren die Forscher im fiktiven Fall zum Teil auch anders, als es verantwortungsvolle Cybersicherheitsforschende tun würden.
Das Urteil
Das Gericht hat Person A aufgrund des probeweisen Logins in einen Account schuldig gesprochen, sie verwarnt und die Verurteilung zu einer Strafe von 20 Tagessätzen in Höhe von je 100€ vorbehalten. Zudem erteilte das Gericht der Person A die Auflage, 4.000€ an eine gemeinnützige Organisation zu zahlen. Zur Begründung erklärt der an der Studie teilnehmende Richter, dass Person A durch das Einloggen in einen fremden Account die Interessen der Dateninhaber verletzt habe, auch wenn es nur kurz und zu Testzwecken war. „Der Zweck heiligt in diesem Fall eben nicht die Mittel“, begründet der Richter. In allen weiteren Anklagepunkten wurde Person A freigesprochen, Person B wurde vollständig freigesprochen.
Auch wenn die Entscheidung nur auf einem fiktiven Fall basiert und endgültige Beurteilungen grundsätzlich einzelfallabhängig sind und nur durch die zuständigen Gerichte erfolgen können, liefert das Simulationsgericht Anhaltspunkte für die Praxis rund um die Strafbarkeit von Handlungen Cybersicherheitsforschender, etwa in Bezug auf die Überwindung von Zugangssicherungen, den Voraussetzungen für ein vorsätzliches Handeln und den Möglichkeiten der Rechtfertigung von strafrechtlich relevanten Handlungen.
Weitere Fälle gesucht
Die Simulationsstudie soll über mehrere Jahre weitergeführt werden. Für die nächsten simulierten Gerichtsprozesse können Cybersicherheitsforschende Vorschläge zu Fällen einreichen, die sie gerne verhandeln lassen würden. Mehr Informationen dazu finden sich hier.
