Über das Buch

Zum Inhalt

Moderne IT-Systeme werden von immer komplexer werdender Software gesteuert. Enthält solche Software sicherheitsrelevante Fehler, sind die jeweiligen IT-Systeme angreifbar. Sicherheitsrelevante Informationen über entsprechende Softwareschwachstellen und ihre Exploits sind deshalb ein hochsensibles Gut: betroffene Softwarehersteller und staatliche wie private Einrichtungen sind auf solche Informationen angewiesen, um Fehler beheben und gefährdete Netze schützen zu können, Cyberkriminelle, Geheimdienste oder dubiose nichtstaatliche Akteure hingegen können solche Informationen für Angriffe nutzen.

Dieser komplizierten Interessenlage zum Trotz haben sich mittlerweile unterschiedliche Marktplätze etabliert, auf denen frei mit Informationen über Softwareschwachstellen oder Exploits gehandelt wird. Weder die Identität noch die mutmaßlichen Motive des jeweiligen Erwerbers sind auf diesen Märkten von Bedeutung – stattdessen erhält den Zuschlag hier in vielen Fällen ganz einfach der Meistbietende. Dass mit dieser Entwicklung schwerwiegende Gefahren für die allgemeine IT-Sicherheit einhergehen, liegt auf der Hand. Zusätzlich verschärft wird die Lage außerdem noch durch Sicherheitsforscher oder politisch motivierte Privatpersonen, die entdeckte Schwachstellen teilweise nach eigenem Gutdünken und völlig unkoordiniert der Weltöffentlichkeit präsentieren.

Diese Studie geht der Frage nach, ob das geltende nationale Recht den Gefahren im Zusammenhang mit der Weitergabe und Nutzung von Softwareschwachstellen und Exploits in angemessener Weise Rechnung trägt. Untersucht werden dabei insbesondere Fragen nach der zivilrechtlichen Haftung für den Vertrieb fehlerhafter Software, für die Veröffentlichung von Softwareschwachstellen und Exploits und für den kommerziellen Handel mit sicherheitsrelevanten Informationen. Daneben wird auch auf die verfassungsrechtlichen Vorgaben für die Verwendung von Schwachstellen und Exploits durch staatliche Akteure…

Schlagworte

Softwarefehler, Schwachstelle, Exploits, IT-Sicherheit, IT-Recht, Zero-Day, IT-Grundrecht, Haftung für Sicherheitslücken, Softwareschwachstelle, Responsible Disclosure, Full Disclosure, Cybersicherheit