Weil Cybersicherheitsforschende oft in einem rechtlichen Graubereich arbeiten, simuliert das Nationale Forschungszentrum für angewandte Cybersicherheit ATHENE Gerichtsprozesse mit echten Anwälten, Staatsanwälten und Richtern, um für mehr Klarheit zu sorgen.
Beim jüngsten dieser Prozesse ging es um den Umgang mit hochsensiblen Daten einer Opferberatungsstelle. Am Ende wurden zwei Cybersicherheitsforschende verwarnt. Infos und Details zu den bisher verhandelten Fällen inklusive Urteilsbegründungen finden sich hier.
In dem fiktiv diskutierten Fall wird der Bruder der Cybersicherheitsforscherin A Opfer einer Gewalttat und wendet sich an eine Beratungsstelle. Seine Verletzungen werden fotografiert und die Fotos für ihn zum Download bereitgestellt, mit einem personalisierten Link sowie Passwortschutz versehen. Der Cybersicherheitsforscherin fällt auf, dass sich Link und Passwort nach einem einfachen System erschließen lassen könnten. Sie berät sich in ihrem Forschungsinstitut mit ihrer Kollegin, der Cybersicherheitsforscherin B. Gemeinsam prüfen sie, ob ihre Vermutungen stimmen, und es gelingt ihnen, insgesamt 44 Fotos weiterer Opfer herunterzuladen, die sie zu Dokumentationszwecken auf einem Server ihrer Forschungsgruppe speichern, auf den insgesamt sechs Forschende Zugriff haben. Sie kontaktieren daraufhin die Opferberatungsstelle, um sie auf die Schwachstelle aufmerksam zu machen und liefern gleich auch praktische Hinweise und Handlungsempfehlungen, wie sich die sensiblen Bilder besser schützen lassen. Die Opferberatungsstelle erstattet daraufhin Anzeige.
Das Simulationsgericht verwarnte A und B jeweils unter Vorbehalt einer Geldstrafe von 30 Tagessätzen zu je 100 Euro. Innerhalb eines Jahres müssen sie zudem jeweils 500 Euro an die Opferberatungsstelle zahlen. Bewähren sie sich in dieser Zeit und begehen keine weiteren Straftaten, bleibt es bei der Verwarnung.
Die Simulationsstudie wird über mehrere Jahre weitergeführt. In den kommenden Jahren sollen Cybersicherheitsforschende durch simulierte Urteile zu weiteren Forschungsaktivitäten ein besseres Bild erhalten, in welchem Rahmen sich ihre Forschung rechtskonform umsetzen lässt und welche Maßnahmen sie gegebenenfalls umsetzen sollten, um eine Verurteilung wie im jetzt verhandelten Fall zu verhindern.
Das Nationale Forschungszentrum für angewandte Cybersicherheit ATHENE ist eine Forschungseinrichtung der Fraunhofer-Gesellschaft und bündelt die Cybersicherheitsforschung der beiden Fraunhofer-Institute SIT und IGD sowie der TU Darmstadt, der Goethe-Universität Frankfurt und der Hochschule Darmstadt. ATHENE zählt zu den weltweit führenden Forschungszentren der IT-Sicherheit und ist das größte Zentrum seiner Art in Europa.
