Generic filters
Exact matches only
Search in title
Search in excerpt
Search in content
FS Logoi

Simulierte Gerichtsprozesse sollen IT-Sicherheitsforschung voranbringen

Rechtswissenschaftlerinnen des Cybersicherheits-Forschungszentrums ATHENE haben deshalb jetzt eine Reihe von simulierten Gerichtsprozessen mit echten Richterinnen und Richtern, Staatsanwaltschaft, Strafverteidigung sowie Sachverständigen begonnen. Diese Simulationsstudie soll für mehr Rechtssicherheit in der Cybersicherheitsforschung sorgen.

von | 23.09.24

Die Urteile der Gerichtssimulation sollen als Wegweiser für die IT-Sicherheitsforschung dienen.
Foto: Catharina Frank/ATHENE

Cybersicherheitsforschende stehen mitunter gefühlt mit einem Bein im Gefängnis – es herrscht viel Unsicherheit darüber, was rechtlich im Rahmen von Wissenschaft erlaubt ist und was nicht. Rechtswissenschaftlerinnen des Nationalen Forschungszentrums für angewandte Cybersicherheit ATHENE haben deshalb simulierte Gerichtsprozesse gestartet, um fiktive, aber realistische Fälle aus der Cybersicherheitsforschung verhandeln zu lassen. Die Urteile der Gerichtssimulation sollen als Wegweiser für die IT-Sicherheitsforschung dienen. Der erste simulierte Prozess hat am Dienstag in Darmstadt stattgefunden.

Simulierte Gerichtsprozesse verhandeln fiktive, aber realistische Fälle

Allein in den vergangenen 12 Monaten lag der wirtschaftliche Schaden von Cybercrime in Deutschland laut IT-Verband Bitkom bei 178,6 Milliarden Euro. IT-Sicherheitsforschende entwickeln im Rahmen ihrer Arbeit wirksame Schutzmechanismen vor solchen Angriffen. Dabei nutzen sie teilweise Methoden und Werkzeuge, die auch von Cyberkriminellen genutzt werden. Und hier liegt ein großes Problem: Obwohl sie die Methoden nutzen, um Maßnahmen gegen mögliche Cyberbedrohungen abzuleiten, ist Cybersicherheitsforschenden oft nicht klar, wie sie sich im Rahmen ihrer Forschungsarbeiten verhalten sollen, um keine rechtlichen Schwierigkeiten zu bekommen. So besteht zunehmend die Gefahr, dass IT-Sicherheitsforschende aus Unsicherheit ihre Arbeit nicht mehr umfassend ausführen – was sich nachteilig auf den Kampf gegen Cyberkriminalität auswirkt.

Erster Fall wurde in Darmstadt verhandelt

Rechtswissenschaftlerinnen des Cybersicherheits-Forschungszentrums ATHENE haben deshalb jetzt eine Reihe von simulierten Gerichtsprozessen mit echten Richterinnen und Richtern, Staatsanwaltschaft, Strafverteidigung sowie Sachverständigen begonnen. Diese Simulationsstudie soll für mehr Rechtssicherheit in der Cybersicherheitsforschung sorgen.

Der erste fiktive Fall, der in Darmstadt verhandelt wurde, handelt von den Cybersicherheitsforschenden A und B, die regelmäßig im Darknet nach den neuesten Angriffsmethoden und -werkzeugen recherchieren. Dort stoßen sie auf eine Datei „Angebot-zur-Übernahme-von-Cyberangriffen-im-Auftrag.pdf“. A und B entscheiden sich, die Datei herunterzuladen, um sich darüber zu informieren, welche Cyberangriffe im Auftrag angeboten werden. Doch die Datei enthält – als „Arbeitsprobe“ der kriminellen Anbieter –überraschenderweise auch eine Liste mit tausenden gestohlenen Zugangsdaten zweier großer Unternehmen. Person A und Person B gehen mit dem zufälligen Fund unterschiedlich um. So dokumentiert A etwa jeden zentralen Schritt seines Umgangs mit den gefundenen Daten und loggt sich probeweise auch in einen Account ein, um zu testen, ob der Fund echt und aktuell ist, unterlässt jedoch eine Benachrichtigung der geschädigten Unternehmen, während B zwar die geschädigten Unternehmen benachrichtigt, jedoch keine Dokumentation über den Umgang mit den gefundenen Daten anfertigt und die Logins auch nicht austestet. Diese und andere Vorgehensweisen wurden jetzt vor dem simulierten Gericht verhandelt.

„Durch den unterschiedlichen Umgang der Cybersicherheitsforschenden mit dem ungeplanten Datenfund im Darknet wollen wir die rechtlichen Leitplanken links und rechts in einem solchen Fall besser kennenlernen“, erklärt Dr. Annika Selzer, Organisatorin der Studie und Koordinatorin des Forschungsbereichs „Legal Aspects of Privacy & IT Security“ in ATHENE.

Von dem Simulationsurteil erhofft sie sich eine möglichst große Orientierungshilfe für die Cybersicherheitsforschenden, deshalb agieren die Forscher im fiktiven Fall z.T. auch anders, als es verantwortungsvolle Cybersicherheitsforschende tun würden.

Auch simulierte Gerichtsprozesse enden mit Urteilen

Das Gericht hat Person A aufgrund des probeweisen Logins in einen Account schuldig gesprochen, sie verwarnt und die Verurteilung zu einer Strafe von 20 Tagessätzen in Höhe von je 100 EUR vorbehalten. Zudem erteilte das Gericht der Person A die Auflage, 4000 Euro an eine gemeinnützige Organisation zu zahlen. Zur Begründung erklärt der an der Studie teilnehmende Richter, dass Person A durch das Einloggen in einen fremden Account die Interessen der Dateninhaber verletzt habe, auch wenn es nur kurz und zu Testzwecken war. „Der Zweck heiligt in diesem Fall eben nicht die Mittel“, begründet der Richter. In allen weiteren Anklagepunkten wurde Person A freigesprochen, Person B wurde vollständig freigesprochen.

Auch wenn die Entscheidung nur auf einem fiktiven Fall basiert und endgültige Beurteilungen grundsätzlich einzelfallabhängig sind und nur durch die zuständigen Gerichte erfolgen können, liefert das Simulationsgericht wichtige Anhaltspunkte für die Praxis rund um die Strafbarkeit von Handlungen Cybersicherheitsforschender, etwa in Bezug auf die Überwindung von Zugangssicherungen, den Voraussetzungen für ein vorsätzliches Handeln und den Möglichkeiten der Rechtfertigung von strafrechtsrelevanten Handlungen.

Die genaue Beschreibung des fiktiven Falls sowie das Gerichtsurteil werden in der Dezemberausgabe der Fachzeitschrift Datenschutz und Datensicherheit (DuD) veröffentlicht und im Nachgang auch im Internet veröffentlicht.

Simulationsstudie sucht noch weitere Fälle

Die Simulationsstudie wird über mehrere Jahre weitergeführt. Für die nächsten simulierten Gerichtsprozesse können Cybersicherheitsforschende Vorschläge zu Fällen einreichen, die sie gern verhandeln lassen würden.

Mehr Informationen dazu finden sich auf der ATHENE-Website.

Über ATHENE

Das Nationale Forschungszentrum für angewandte Cybersicherheit ATHENE ist eine Forschungseinrichtung der Fraunhofer-Gesellschaft und bündelt die Cybersicherheitsforschung der beiden Fraunhofer-Institute SIT und IGD sowie der TU Darmstadt, der Goethe-Universität Frankfurt und der Hochschule Darmstadt. ATHENE zählt zu den weltweit führenden Forschungszentren der IT-Sicherheit und ist das größte Zentrum seiner Art in Europa.

Jetzt Newsletter abonnieren

Brennstoff für Ihr Wissen, jede Woche in Ihrem Postfach.

Hier anmelden

KI: Neues Forschungsprojekt will Stromnetze KI-basiert optimieren
KI: Neues Forschungsprojekt will Stromnetze KI-basiert optimieren

Angesichts des steigenden Anteils an erneuerbaren Energien in Deutschland stehen die Stromnetzbetreiber vor neuen Herausforderungen. Erzeugung und Nachfrage unterliegen zunehmenden Schwankungen, da die durch erneuerbare Quellen wie Wind und Sonne gewonnene Strommenge variiert und gleichzeitig immer mehr Haushalte dezentral Strom ins Netz einspeisen. Die Betreiber müssen daher eine Vielzahl an Variablen ausbalancieren, um eine konstante und zuverlässige Versorgung zu gewährleisten.

mehr lesen
Die Corona-Pandemie trieb die Digitalisierung laut ZEW-Studie nicht voran
Die Corona-Pandemie trieb die Digitalisierung laut ZEW-Studie nicht voran

Entgegen der öffentlichen Wahrnehmung half die Covid-19-Pandemie nicht, die Digitalisierung in Deutschland voranzubringen, wie das ZEW – Leibniz-Zentrum für Europäische Wirtschaftsforschung GmbH Mannheim in einer Befragung herausgefunden hat. Zwar gaben Unternehmen mehr Geld für Technik aus, die Homeoffice und virtuelle Zusammenarbeit ermöglicht. Gleichzeitig gingen jedoch Investitionen in modernste Produktionsmittel ebenso zurück wie solche in modernste Analyse- und Planungstechnologien sowie digital gestütztes Kundenmanagement. Vor allem größere Vorhaben wurden verschoben oder ganz aufgegeben.

mehr lesen
ZVEI bemängelt zu hohe Bürokratielast in Deutschland
ZVEI bemängelt zu hohe Bürokratielast in Deutschland

Angesichts des heute veröffentlichten Berichts des Nationalen Normenkontrollrats (NKR) bemängelt auch der ZVEI die deutlich zu hohe Bürokratielast in Deutschland. „Es ist zu viel – der Bericht des Nationalen Normenkontrollrats hat heute bestätigt, was viele Unternehmen auch in der Elektro- und Digitalindustrie bereits selbst erleben: Die Belastung durch die bürokratischen Anforderungen ist zu hoch“, erklärte der Vorsitzende der ZVEI-Geschäftsführung, Wolfgang Weber, in einer Pressemeldung.

mehr lesen
HIMA ernennt neue General Manager für China und Ostasien
HIMA ernennt neue General Manager für China und Ostasien

HIMA hat neue General Manager für die Regionen China sowie Nord- und Südostasien ernannt. Yao Zhou wird ab Oktober 2024 neue General Managerin der Region China, Luis Hernando Torres ist verantwortlich für Nord- und Südostasien, wie das Unternehmen in einer Pressemeldung erklärte.

mehr lesen

atp weekly

Der Newsletter der Branche

Ihr kostenfreier E-Mail-Newsletter für alle Belange der Automatiserung.

Sie möchten das atp magazin testen

Bestellen Sie Ihr kostenloses Probeheft

Überzeugen Sie sich selbst: Gerne senden wir Ihnen das atp magazin kostenlos und unverbindlich zur Probe!

Finance Illustration 03