01945nam a2200181uu 4500001001200000003000400012005001700016008004100033040000800074041000800082100002200090245008500112260006400197300001000261490003500271500137400306856008301680WIIW0000156OSt20190606102118.0190606t2019       |||||||||| ||| ||ger d  cOSt  ager  aSchulze, Matthias1 aGovernance von 0-Day-Schwach­stellen in der deutschen Cyber-Sicherheitspolitik.  aBerlin : bSWP Stiftung Wissenschaft und Politik,cMai 2019  a39 S.  aSWP-Studiev2019/10x1611-6372  aSicherheitslücken in Hard- und Software sind ein globales, kollektives Pro­blem der Cyber-Sicherheit. Durch die fortschreitende Digitalisierung der Lebenswelt und digitale Rüstungswettläufe steigt die Verwundbarkeit, vor allem der Industriestaaten. Gleichzeitig beharren offensive Cyber-Akteure darauf, dass die Ausnutzung unbekannter sogenannter 0‑Day-Sicherheits­lücken für militärische Cyber-Operationen, aber auch zum Zweck der Spionage und der Strafverfolgung essentiell sei.

Ein konstruktiver Umgang mit diesem Offensiv-defensiv-Dilemma, das sich für die Staaten beim Handling von 0-Day-Sicherheitslücken auftut, findet bisher in der deutschen Cyber-Sicherheitspolitik nicht statt. Die Bundesregierung sollte eine proaktivere Schwachstellen-Governance ent­wickeln. Sie sollte die Praxis der staatlichen Akquise und Verwendung von Sicherheitslücken überdenken, auf die Verkürzung der Lebenszeit von Schwachstellen hinarbeiten und die negativen Externalitäten einer offen­siven Cyber-Sicherheitspolitik reflektieren. Deutschland und die EU sollten statt Geheimhaltung einen offeneren Umgang mit Schwachstellen kulti­vieren. Dazu gehört die Einführung verpflichtender Meldeprogramme für private und öffentliche Organisationen, die Bereitstellung von Bug-Bounty-Plattformen und die Regulierung schwarzer Schwachstellenmärkte.42uhttps://www.swp-berlin.org/fileadmin/contents/products/studien/2019S10_she.pdf