Neuer Rechtsrahmen für die Meldung von IT-Schwachstellen
Aktuell
15. Februar 2023
Cyberkriminelle suchen aktiv nach Schwachstellen und nutzen sie dann, um in Systeme oder Netzwerke einzudringen. Sie können dies tun, um Daten zu stehlen, zu sabotieren, einen Ransomware-Angriff zu starten oder sogar zu Spionagezwecken.
Es gibt aber auch Menschen mit guten Absichten, die im Auftrag einer Organisation oder anderweitig aktiv nach Schwachstellen suchen. Sie stellen ihre Erkenntnisse der Organisation zur Verfügung, damit diese ihre Systeme oder Netze besser schützen kann.
Ein neuer Rechtsrahmen
Um die Situation dieser Menschen mit guten Absichten zu klären, ist ein neuer Rechtsrahmen geplant, der am 15. Februar 2023 in Kraft treten soll. Dieser Rahmen beschreibt, wie eine natürliche oder juristische Person ohne betrügerische Absicht oder die Absicht, Schaden anzurichten, bestehende Schwachstellen in Netzen und Informationssystemen in Belgien aufdecken kann und melden muss.
Bei den Grundprinzipien geht es um die Wahrung der Verhältnismäßigkeit und der Notwendigkeit: Der Forscher darf nur Maßnahmen ergreifen, die für den Nachweis des Vorliegens einer Schwachstelle erforderlich sind. Sofern nicht im Voraus eine Belohnung vereinbart wurde (z. B. bei einem Bug-Bounty-Programm oder einem vereinbarten Penetration Test), darf der Hacker keine Belohnung oder Zahlung verlangen.
Eine der neuen Bestimmungen besagt, dass eine entdeckte Schwachstelle so schnell wie möglich dem verantwortlichen Eigentümer des IT-Systems und dem Zentrum für Cybersicherheit Belgien (CCB) gemäß dem dafür vorgesehenen Verfahren gemeldet werden muss.
Schließlich darf man die entdeckte Schwachstelle unter keinen Umständen ohne die Erlaubnis des CCB weitergeben.