Die GI begrüßt das in der Cybersicherheitsstrategie der Bundesregierung 2021 festgehaltene Ziel, ein „verbindliches Vorgehen [zu] etablier[en], das den verantwortungsvollen Umgang mit 0-day-Schwachstellen und Exploits regelt“ und den „Konflikt zwischen IT-Sicherheit und nachrichtendienstlicher Aufklärung, Gefahrenabwehr sowie Strafverfolgung“ (S. 89) adressiert. Ein verantwortungsvoller Umgang mit 0-day-Schwachstellen im Sinne der IT-Sicherheit der deutschen Unternehmen sowie aller Bürgerinnen und Bürger kann jedoch ausschließlich darin bestehen, bekannt gewordene Sicherheitslücken im Sinne einer Responsible Disclosure schnellstmöglich zu veröffentlichen.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) sollte daher zu einer entsprechenden Veröffentlichung von Schwachstellen verpflichtet werden. Die genaue Verfahrensweise sollte sich an den etablierten Verfahrensweisen einer Responsible Disclosure orientieren, d.h. den verantwortlichen Stellen muss ausreichend Gelegenheit und umfassend Information zur umgehenden Beseitigung der Schwachstellen gegeben werden.

• Stellungnahme zum Eckpunktepapier der Cyber-Sicherheitsstrategie 2021: https://gi.de/meldung/stellungnahme-zum-eckpunktepapier-der-css-2021
• GI-Stellungnahme zur geplanten Cybersicherheitsstrategie 2021 https://gi.de/meldung/stellungnahme-zur-geplanten-cybersicherheitsstrategie-2021 
• GI-Fachgruppe kritisiert Entwurf zum „IT-Sicherheitsgesetz 2.0“: https://gi.de/meldung/gi-fachgruppe-kritisiert-entwurf-zum-it-sicherheitsgesetz-20