Robotik, Recht, Risiko
Heute: Disclosure von IT-Sicherheitslücken
Oktober ist Cyber Security Month – und nahezu täglich werden neue IT-Sicherheitslücken bekannt, die wiederum Hacker auf den Plan rufen. Im Ernstfall können Cyberangriffe ganze Produktionen lahmlegen, insbesondere in der Smart Factory. Wer Roboter einsetzt, ist laufend darauf angewiesen, dass etwaige Sicherheitslücken der Steuerungssoftware rechtzeitig erkannt und durch Updates von deren Hersteller geschlossen werden.
Dr. iur. David Bomhard ist Physiker und Rechtsanwalt
bei der Kanzlei Noerr. Er ist spezialisiert auf die rechtliche Beratung bei IT-Projekten (insb. Cloud Computing, AI-Einsatz und Datennutzung). (Bild: Noerr LLP)
Besonders verheerenden Schaden kann ein sogenannest Full Disclosure anrichten, bei dem ein Dritter eine Sicherheitslücke öffentlich bekanntgibt, etwa in einem Hackerforum.
Schwelle zum Cybercrime
Aber Vorsicht: Wer unbefugt Bugs veröffentlicht, überschreitet schnell die Schwelle zum Cybercrime. Neben einer Strafbarkeit droht je nach Einzelfall auch eine Verletzung von geltendem Datenschutz-, Presse-, Wettbewerbs- und Urheberrecht. Die Erfahrung zeigt, dass Roboterbetreiber und Softwarehersteller gut beraten sind, im Ernstfall alle rechtlichen Optionen zu erwägen, um drohende Full Disclosures wirkungsvoll zu verhindern. Unter anderem kommen hierfür Strafanzeigen, Abmahnungen, einstweilige Verfügungen und Schadensersatzklagen in Betracht.
Königsweg: Responsible Disclosure Agreement
Der Königsweg besteht oft darin, den Entdecker der Sicherheitslücke mit „Zuckerbrot und Peitsche“ (also mit kleineren Belohnungen und/oder mit der Drohkulisse umfassender Klagen) für ein sogenanntes Responsible Disclosure zu gewinnen. Hiermit gemeint ist ein Verfahren, bei dem sich der Entdecker verpflichtet, den Softwarefehler zunächst nur den Hersteller und erst später der Öffentlichkeit zu offenbaren. Damit erhält der Softwareanbieter eine Chance, die Sicherheitslücke eigenhändig und diskret zu schließen, bevor größerer Schaden droht. Da das Gesetz (anders als beim Schatzfund) keine bestimmten Anzeige- und Belohnungspflichten vorschreibt, sind der Vertragsfreiheit kaum Grenzen gesetzt. Allerdings steckt der Teufel im Detail: Jedes Responsible Disclosure Agreement sollte unbedingt strenge Vertraulichkeitspflichten und ausreichend flexible Fristen-Mechanismen zugunsten des Softwareherstellers vorsehen, damit genügend Zeit für die Behebung der Sicherheitslücke bleibt. Auch die Gerichte dürfen sich in jüngster Zeit vermehrt mit Responsible Disclosures beschäftigen. Daher bleibt mit Spannung abzuwarten, welche genauen Mechanismen sich hier in der Praxis durchsetzen werden.
Bis dahin verbleibe ich hochachtungsvoll
David Bomhard
