Geschäftsgeheimnisse: Sicherheitsforscher warnt vor TTIP

Der Sicherheitsforscher René Pfeiffer – Organisator der Sicherheitskonferenz Deepsec in Wien – warnt vor dem transatlantischen Freihandelsabkommen TTIP – weil es neue Regelungen zum Schutz von Geschäftsgeheimnissen mitbringt, die auch die IT-Sicherheitsforschung betreffen könnten. Bereits heute werden Sicherheitsforscher häufig von Unternehmen mit Klagen bedroht, wenn sie Informationen über Sicherheitslücken veröffentlichen wollen.

Tatsächlich enthalten die aktuellen Entwürfe für TTIP bedenkliche Klauseln, die den Schutz von Geschäftsgeheimnissen deutlich ausweiten sollen. So soll sich, wenn es nach dem aktuellen Entwurf(öffnet im neuen Fenster) des Abkommens geht, strafbar machen, wer "unautorisierten, willentlichen Zugang zu einem Geschäftsgeheimnis hat, das sich in einem Computersystem befindet." Davon betroffen wären heute praktisch alle denkbaren Geschäftsgeheimnisse. Ein Problem für Sicherheitsforscher, aber auch Menschen, die illegale Geschäftsgeheimnisse einer Firma an die Öffentlichkeit bringen wollen.

Neues aus der Golem Karrierewelt(öffnet im neuen Fenster)

Workshops und Weiterbildungen: Bessere C++-Codequalität mit modernen Clean-Code-Prinzipien

zum Artikel

Karriere Ratgeber: EU-Entgelttransparenzrichtlinie: Was Unternehmen ab 2026 konkret erwartet

zum Ratgeber

Seminar: Keycloak – Sicheres Identity- & Access-Management: virtueller Drei-Tage-Workshop

zum Kurs

E-Learning: Mehr digitale Ordnung für Selbstständige (E-Learning)

zum Kurs

Die IT-Sicherheit wird nicht mit Geschäftsgeheimnissen geschützt

"Wenn Sicherheitsforscher den Quellcode von Produkten nicht untersuchen dürfen, wird die IT-Sicherheit langfristig leiden" , sagte Pfeiffer Golem.de "Sicherheitslücken zu ignorieren oder Untersuchungsergebnisse von Gerichten wegsperren zu lassen, hilft niemandem." Denn Informationen über Sicherheitslücken zu veröffentlichen, gehört nicht nur zum täglichen Brot der Hacker – sondern ist oft auch das einzige Druckmittel, damit Lücken von den Unternehmen tatsächlich geschlossen werden.

Schon heute gibt es zahlreiche Beispiele für Auseinandersetzungen zwischen Forschern und Unternehmen. Hacker, die die Sicherheit moderner Autos testen, machen sich unter Umständen strafbar, wenn sie für ihre Analyse den Quellcode der Software untersuchen. Denn dieser ist oft mit technischen Mitteln wie Verschlüsselung vor einem Zugriff Dritter geschützt und gilt als Geschäftsgeheimnis. Eine Umgehung dieser technischen Sicherungsmaßnahmen ist durch Gesetze wie den Digital Millennium Copyright Act verboten.

Urheberrecht und Geschäftsgeheimnisse gegen Autohacker

Ein Gericht in Großbritannien untersagte bereits im Jahr 2012 die Veröffentlichung eines wissenschaftlichen Artikels, in dem der Sicherheitsforscher Flavio Garcia und andere beschrieben, wie sich der elektronische Startvorgang zahlreicher Autos über Sicherheitslücken in verbauter Mifare-Technologie manipulieren lässt. Der umstrittene Artikel wurde nach zahlreichen Gerichtsverfahren erst in diesem Jahr veröffentlicht.(öffnet im neuen Fenster)

In den USA soll die Rechtslage im kommenden Jahr an die neuen Sicherheitsbedürfnisse angepasst werden – dann treten Ausnahmeregelungen für den Digital Millennium Copyright Act in Kraft, die die Suche nach Sicherheitslücken unter bestimmten Voraussetzungen legalisieren sollen.

Zahlreiche weitere Drohungen, Klagen und abgesagte Vorträge

Die Webseite Attrition.org(öffnet im neuen Fenster) sammelt in einer fortlaufenden Liste Drohungen von Unternehmen gegen Sicherheitsforscher. Erst im September 2015 erwirkte die Sicherheitsfirma Fireeye eine einstweilige Verfügung gegen die Forscher von ERNW, einem Sicherheitsunternehmen aus Hamburg, das Schwachstellen in Fireeye-Appliances nachgewiesen hatte. Der Vortrag wurde zwar gehalten – musste aber um zahlreiche technische Details beschnitten werden.

Ein namentlich nicht genanntes Unternehmen verhinderte der Website zufolge im Jahr 2012 einen Vortrag zu Schwachstellen in Scada-Systemen auf der Konferenz ICS Cyber Security Conference, die innerhalb von Atomkraftwerken eingesetzt werden. Bei derselben Konferenz wurde ein weiterer Vortrag zum selben Thema aus ähnlichen Gründen kurzfristig abgesetzt.

Ein bisschen Entwarnung bei TPP

Zwischenzeitlich hatten in der Open-Source-Szene Berichte über den neuen Entwurf für das Transpazifische Freihandelsabkommen TPP Aufregung entfacht – der Text sei eine Bedrohung für freie Software, weil er unter Umständen die Einhaltung der GPL und ähnlicher Lizenzen unmöglich machen würde. Dieser Deutung hat die Software Freedom Conservancy jetzt jedoch widersprochen . Man lehne das Abkommen zwar nach wie vor ab, für Privatanwender und Programmierer habe der Text jedoch nicht die befürchteten Auswirkungen.

Neuer Ärger für Sicherheitsforscher könnte aber im Vereinigten Königreich drohen. Das vor kurzem verabschiedete Überwachungsgesetz – meist nur Snoopers Charter genannt – verbietet es, Details über gefundene Abhörschnittstellen der Regierung zu veröffentlichen(öffnet im neuen Fenster) . Würde also ein Hacker bei einem von einem Telekommunikationsunternehmen beauftragten Sicherheitsaudit Schwachstellen finden, dann könnten diese von der Regierung stammen. Eine Veröffentlichung der Informationen wäre zumindest solange riskant, wie nicht zweifelsfrei geklärt ist, ob diese Sicherheitslücke absichtlich durch die Regierung eingebaut wurde.

Die Deepsec findet am 19. und 20. November in Wien statt. Nach Angaben der Veranstalter steht in diesem Jahr das Thema Industriespionage auf dem Programm(öffnet im neuen Fenster) – und was Unternehmen dagegen tun können. Golem.de wird von dort berichten.

• Reklame Hier geht es zu Echo Auto 2 bei Amazon