Exploit Regulations

aus Metalab Wiki, dem offenen Zentrum für meta-disziplinäre Magier und technisch-kreative Enthusiasten.
Zur Navigation springenZur Suche springen

Fukami on Exploit Regulations

When/Where: Mo., 21.10.2013, 20:00, Metalab, Bibliothek

Referenzen:

Inhalt: In den letzten Jahren und Jahrzehnten sind viele Gesetze auf nationaler und internationaler Ebene entstanden, die sich mit Unsicherheit in der technischen Welt auseinandersetzen oder vorgeben das zu tun. Dabei wird in erster Linie auf Bestrafung gesetzt, was sogleich die Möglichkeiten tiefer Eingriffe in die Persönlichkeitsrechte durch Strafverfolger bei vergleichsweise harmlose Vergehen eröffnet. Als Beispiel seien der "Hackertools"-Paragraphen in Deutschland und der EU genannt, die letztendlich eher zu Unsicherheit als zu mehr Sicherheit führen, weil die, die diese Werkzeuge als Verteidiger nutzen müssen, nicht wissen, was und welche sie erwerben und nutzen dürfen bzw. welche Werkzeuge und Methoden veröffentlicht werden dürfen, um Sicherheit zu erhöhen. Bei Exploits ist die Lage etwas komplexer, aber dennoch gut vergleichbar.

In den letzten Monate ging es aber in der Debatte in eine etwas andere Richtung. So machten die Amerikaner in Tallinn auf der NATO-Tagung klar, dass sie die Bereitstellung von Exploits und die Veröffentlichung von Unsicherheiten als kriegerischen Akt begreifen und entsprechend handeln werden. Nicht nur dieser Aspekt der militärischen Betrachtung normaler, zivilgesellschaftlicher Diskussionen wird zu einem sehr großen Problem.

Es könnte sich z.B. die von uns selbst ins Spiel gebrachte Exportkontrolle von Überwachungssoftware als Bumerang erweisen, denn die Gefahr ist groß, dass damit die Definitionen von Exploits im Rang von Waffen erfolgen. Setzt sich diese Überzeugung durch, wird das früher oder später einen äusserst negativen Effekt auf die Personen haben, die sich beruflich oder privat mit technischer Unsicherheit beschäftigen.

Eine Zivilgesellschaft, die wie unsere von funktionierender und sicherer Soft- und Hardware abhängig ist, ist aber auf einen offenen Umgang mit dem Thema angewiesen und muss sich gegen rein kommerzielle Interessen oder die von Strafverfolgern und Geheimdiensten zur Wehr setzen.

In dem Vortrag soll es kurz um die derzeitige gesetzliche Situation und aktuelle Vorhaben und Diskusssion gehen sowie darum, wie eigentlich real mit technischer Unsicherheit umgegangen wird (oder eben nicht). Hauptaugenmerk liegt dabei darauf, wie aus zivilgesellschaftlicher Sicht Regulierungen von Exploits sich gegen ihren Zweck richten - z.B. durch Regelungen zu "Vendor-Only Disclosure", die Unternehmen in die Lage versetzt, die Diskussion über Unsicherheit ihrer Produkte aus der Öffentlickeit zu verbannen - oder wieso strafrechtliche Bewehrung und die Androhung von Strafe vor allem jenen nützt, vor denen es besseren technischen Schutz bedarf.

Am Ende soll es einige Vorschläge geben, wie das Thema angegangen werden kann, ohne auf eine Exploit-Regulierung zu setzen, sondern das Kernziel (nämlich sicherere Soft- und Hardware zu haben) ins Auge fassen.