Staatliches Schwachstellenmanagement in Deutschland
Am 6. Juni organisierte die Stiftung Neue Verantwortung in Kooperation mit der Bundesakademie für Sicherheitspolitik (BAKS) die erste Konferenz zur deutschen Cyber-Sicherheitspolitik. Eines der Themen dieser Konferenz war der staatliche Umgang mit Schwachstellen in Hardware, Software und Online Services. Der Kernaspekt der Debatte darum ist, wie man die Interessen der Sicherheitsbehörden ("Zurückhalten der Schwachstellen um damit Hacking-Operationen durchzuführen") in Einklang mit den wirschaftlichen und zivilgesellschaftlichen Akteuren ("Schließen jeder Schwachstelle zur Stärkung des Internet-Ökosystems") bringen kann.
Das hochrangig besetzte Panel beschäftigte sich aber erst einmal mit der grundlegenden Debatte, warum man hier einen klaren Prozess – analog zum amerikanischen "Vulnerabilities Equities Process" (VEP) – braucht, und wie weit fortgeschritten Deutschland hierbei ist. Der deutsche Regierungsvertreter beschrieb die Panel-Diskussion als den ersten Schritt in dieser wichtigen Debatte und kündigte an, sich mit verschiedenen Akteuren hierzu austauschen zu wollen.
Panelist:innen waren:
Andreas Könen, Abteilungsleiter für Cyber- und IT-Sicherheit im Bundesministerium des Innern, für Bau und Heimat
Ari Schwartz, Geschäftsführer für Cyber-Sicherheitsdienstleistungen bei Venable LLP und ehemaliger Direktor für Cyber-Sicherheitspolitik im United States National Security Council
Lucie Krahulcova, EU Policy Analystin bei Access Now