Governance von 0-Day-: Schwachstellen in der deutschen Cyber-Sicherheitspolitik
معرفی کتاب «Governance von 0-Day-: Schwachstellen in der deutschen Cyber-Sicherheitspolitik» نوشتهٔ Matthias Schulze، منتشرشده توسط نشر Stiftung Wissenschaft und Politik در سال 2019. این کتاب در فرمت pdf، زبان آلمانی ارائه شده است.
Sicherheitslücken in Hard- und Software sind ein globales, kollektives Problem der Cyber-Sicherheit. Durch die fortschreitende Digitalisierung der Lebenswelt und digitale Rüstungswettläufe steigt die Verwundbarkeit, vor allem der Industriestaaten. Gleichzeitig beharren offensive Cyber-Akteure darauf, dass die Ausnutzung unbekannter sogenannter 0-Day-Sicherheitslücken für militärische Cyber-Operationen, aber auch zum Zweck der Spionage und der Strafverfolgung essentiell sei. Ein konstruktiver Umgang mit diesem Offensiv-defensiv-Dilemma, das sich für die Staaten beim Handling von 0-Day-Sicherheitslücken auftut, findet bisher in der deutschen Cyber-Sicherheitspolitik nicht statt. Die Bundesregierung sollte eine proaktivere Schwachstellen-Governance entwickeln. Sie sollte die Praxis der staatlichen Akquise und Verwendung von Sicherheitslücken überdenken, auf die Verkürzung der Lebenszeit von Schwachstellen hinarbeiten und die negativen Externalitäten einer offensiven Cyber-Sicherheitspolitik reflektieren. Deutschland und die EU sollten statt Geheimhaltung einen offeneren Umgang mit Schwachstellen kultivieren. Dazu gehört die Einführung verpflichtender Meldeprogramme für private und öffentliche Organisationen, die Bereitstellung von Bug-Bounty-Plattformen und die Regulierung schwarzer Schwachstellenmärkte. 5 Problemstellung und Empfehlungen 7 Das Sicherheitslückendilemma 10 Der Schwachstellen-Lebenszyklus 12 Das Schwachstellen-Ökosystem: Wer sucht und findet Schwachstellen? 14 Schwachstellenmärkte: Wer kauft und verkauft Schwachstellen? 17 Wie funktioniert die Schwachstellenökonomie? 18 Die Nutzung von 0-Days in staatlichen Cyber-Operationen 22 Wie sollten Staaten mit Sicherheitslücken umgehen? 22 Geheimhaltung und vollständiges Zurückhalten (stockpiling) 24 Vollständige, verantwortungsvolle Veröffentlichung 26 Schwachstellenmanagementprozesse (VEP) 29 Analyse und Zusammenfassung 31 Handlungsoptionen 32 Verpflichtende Coordinated-Vulnerability-Disclosure-Programme 33 Entkriminalisierung ethischen Hackings 35 Anreizstrukturen für ethische Hacker: Bug-Bounties und Hackerwettbewerbe 36 Kompetitive Bug-Bounty-Preise 37 Austrocknen des grauen und schwarzen Marktes 38 Fazit 39 Abkürzungen
دانلود کتاب Governance von 0-Day-: Schwachstellen in der deutschen Cyber-Sicherheitspolitik