2026-06-05 –, HfG Workshop Room 112 Language: Deutsch
=== Reservierung nötig / Reservation needed: https://pretix.entropia.de/entropia/gpn24-workshops/ ===
Stell dir vor, du findest eine Software-Schwachstelle, meldest sie und eine Woche später steht die Polizei vor der Tür. Laptop, Telefon, smarter Kühlschrank und Raspberry Pi: beschlagnahmt. Willkommen bei Spaß mit §202c.
Aber keine Sorge, da gibt's jetzt ein neues Geschäftsmodell: Whitehat Trust Framework™ (WTF). Drei Meldungs-Tiers: Free (Haftung? Eure Sache, Good luck!), Shield Basic (49 €/Monat, Selbstbeteiligung 2.500 €) und Shield Pro (199 €/Monat, inklusive LegalCVSS™, halluziniert gelegentlich, Prozesskostenübernahme gegen 50 % eurer Bug-Bounty-Payouts sowie Anonymity-as-a-Service mit Briefkasten auf den Caymans). Vielen Dank, §202c, ohne dich gäbe es kein WTF.
Gefällt euch nicht? Uns auch nicht. Das Computerstrafrecht kriminalisiert Sicherheitsforschende und Lücken werden deshalb oft nur über Umwege gemeldet oder gar nicht. Viele Unternehmen setzen längst auf Bug-Bounty-Programme, aber solange niemand weiß, ob Anerkennung oder Anklage wartet, bleiben Lücken offen.
Beiträge von Trollen, Engeln, Sicherheitsforschenden und anderen Wesen herzlich willkommen!
Die Ampel hatte eine Reform versprochen, die aktuelle Regierung hat sie in den Koalitionsvertrag geschrieben, und trotzdem läuft seit Jahren die Jeopardy-Melodie. Wahlperiode 21, die Kategorie steht fest: „IT-Sicherheit". Da 21 bekanntlich die Hälfte von 42 ist, wird es Zeit für mindestens eine Teilantwort.
Die Gesellschaft für Informatik, LOAD e.V., Anoxinon e.V. u.v.m. haben eine Konsultation gestartet, als Erinnerungshilfe fürs Justizministerium. Wie kann Responsible Disclosure funktionieren, ohne dass Rechtssicherheit zum Premium-Feature wird? Wie werden Lücken strukturiert gemeldet und geschlossen? Und was können wir gemeinsam tun, damit IT-Sicherheitsforschung endlich als Ehrenamt anerkannt wird?
Seit seiner Einführung wird das Computerstrafrecht (aka „Hackerparagraph“) kritisiert. Die aktuelle Gesetzeslage verhindert, dass Sicherheitsforscher*innen Schwachstellen rechtssicher melden können, und kriminalisiert bereits den Besitz von sogenannten „Hackertools“.
Doch während die jetzige Bundesregierung Dinge wie die Gemeinnützigkeit von E-Sports umgesetzt hat, bleibt die Reform des Computerstrafrechts weiter im Wartemodus. Gefühlt läuft im Hintergrund seit zwei Legislaturperioden die Jeopardy-Melodie... Wir wollen nicht länger warten, sondern dem Justizministerium Starthilfe geben. Bisher konnten wir Workshops zu technischen und rechtlichen Fragen umsetzen. Jetzt wollen wir eine breitere Diskussion anstoßen, Beiträge von Trollen, Engeln, Sicherheitsforschenden und anderen Wesen sind herzlich erwünscht.
Uns interessieren dabei insbesondere zwei Punkte:
Wie kann Responsible Disclosure so aussehen, dass Menschen Schwachstellen melden können, ohne sich selbst in Schwierigkeiten zu bringen?
Wie kann Coordinated Vulnerability Disclosure funktionieren, sodass Lücken strukturiert gemeldet, priorisiert und geschlossen werden? Dazu möchten wir mit euch diskutieren und freuen uns auf euren Input!
Politische Themen; Strafverfolgung
Network heißt für mich mit Menschen reden, und IT ist für mich entweder Computer oder LARP-Con.
Ich bin Vorstandsmitglied bei Anoxinon e.V. und arbeite bei der Gesellschaft für Informatik e.V.
Privat und beruflich versuche ich, die Welt jeden Tag ein bisschen weniger unsicher zu machen: für dich, mich, Unternehmen und öffentliche Einrichtungen.
Interessiert sich für Grundrechte und Geld (sowie Piratenschätze) und versucht, ersteres auch im Netz über Vorstandsarbeit bei LOAD e.V. zu sichern und zweiteres besser zurückzuholen, statt es organisierter Kriminalität auf dem Silbertablett zu servieren (Mitarbeit NGO Antifinancialcrime.org).
Hat in Berlin an der Entschärfung des Hackerparagraphen mitgearbeitet und gegen digitalpolitisches Sicherheits-Voodoo gekämpft, bis jemand das Ampelsystem lahmlegte. Promoviert jetzt zu digitalen Identitäten und hat den Anker in Kiel gesetzt.