德国起草法律保护发现安全漏洞的研究人员

Rhinoer 犀牛安全 2024-11-30 16:00

德国联邦司法部起草了一项法律，为发现并负责任地向供应商报告安全漏洞的安全研究人员提供法律保护。

在规定范围内进行安全研究时，责任人将免于承担刑事责任和被起诉的风险。

联邦司法部长 Marco Buschmann 博士表示：“那些想要弥补 IT 安全漏洞的人应该得到认可，而不是一封检察官的来信。”

部长在同一声明中提到：“通过这项法律草案，我们将消除承担这一重要任务的人员承担刑事责任的风险。”

此外，拟议的刑法修正案对严重的数据监视和拦截案件提出了更严厉的处罚，特别是针对关键基础设施的数据监视和拦截案件。

保护安全研究人员

新法律草案修订了《刑法》（StGB）第202a条，以保护信息技术安全研究人员、公司以及所谓的“黑客”免受计算机刑法的惩罚。

当他们采取行动检测并关闭安全漏洞时，只要不被视为“未经授权”，就适用。

安全研究需满足的标准如下：
1. 采取该措施的目的必须是为了识别 IT 系统中的漏洞或其他安全风险。

1. 研究人员必须将发现的安全漏洞报告给能够解决该问题的负责实体，例如系统运营商、软件制造商或联邦信息安全办公室 (BSI)。

2. 访问系统的行为必须是识别漏洞所必需的。这确保豁免仅适用于安全测试所需的范围，而不会出现不必要或过度的访问。

同样的免除刑事责任规定也适用于与数据拦截（《刑法典》第 202b 条）和数据修改（《刑法典》第 303a 条）有关的犯罪，只要相关行为被视为获得授权。

同时，该草案还规定，对于严重的恶意数据监视和数据拦截案件，将处以三个月至五年监禁的刑罚（《刑法典》第 202a 条）。

关于严重情节，草案提到了以下情形：
– 该犯罪行为造成了重大经济损失。

• 该行为是受盈利动机驱动、以商业规模实施或作为犯罪组织的一部分进行的。

• 危及关键基础设施（如医院、能源供应商或交通网络）或影响德国或德国某个州安全的案件，包括来自国外的攻击。

有关该法律草案和拟议修正案的更多详细信息请参见此处。https://www.bmj.de/SharedDocs/Gesetzgebungsverfahren/DE/2024_ComputerStrafR.html?nn=110490

联邦州和有关协会已收到该提案并进行审查，并必须在 2024 年 12 月 13 日之前提交反馈意见，然后提交给联邦议院进行议会审议。

美国司法部于2022年5月宣布对《计算机欺诈和滥用法案》（CFAA）进行类似的修订，引入对“善意”安全研究人员的起诉排除条款。

信息来源：BleepingComputer