Die Pläne der britischen Regierung zur Überarbeitung des wichtigsten Cybercrime-Gesetzes des Landes würden nur einen so geringen gesetzlichen Schutz bieten, dass die meisten Sicherheitsexperten in der heutigen Situation verharren würden, so mehrere informierte Quellen gegenüber **Recorded Future News**. Pläne zur Änderung des **Computer Misuse Act 1990** wurden letzte Woche in der King's Speech angekündigt, nachdem die Branche jahrelang auf eine Modernisierung eines Gesetzes gedrängt hatte, das ihrer Ansicht nach gewöhnliche Cybersicherheitsaktivitäten verbietet. Im vergangenen Dezember versprach der Sicherheitsminister **Dan Jarvis**, die Regierung werde eine gesetzliche Verteidigung einführen – einen formellen gesetzlichen Schutz, der im Gesetz verankert ist –, der Forscher vor einer Verurteilung schützt, „solange sie bestimmte Sicherheitsvorkehrungen treffen“. Laut informierten Quellen, die bisher nicht berichtet wurden, sind diese Sicherheitsvorkehrungen jedoch äußerst begrenzt. ### Begrenzter Schutzumfang Die Regierung plant, die gesetzliche Verteidigung nur auf Fälle zu beschränken, in denen Forscher wegen des Scannens von internetfähigen Systemen verfolgt werden. Scannen ist eine Teilmenge von Cyberverteidigungsaktivitäten, die von kommerziellen Plattformen wie **Shodan** und **Censys** bereits kontinuierlich und von außerhalb der britischen Gerichtsbarkeit aus durchgeführt wird. Die Vorschläge würden von Forschern verlangen, die Aktivität einzustellen, sobald eine Schwachstelle identifiziert wurde. Das bedeutet, dass sie nicht bestätigen könnten, ob sie real ist, ihre Schwere beurteilen oder ihre Ausnutzbarkeit feststellen könnten. Branchenexperten sagen, dass dies jede Offenlegung nahezu wertlos macht, da Systembesitzer routinemäßig einen Nachweis verlangen, dass eine Schwachstelle echt ist, bevor sie darauf reagieren. ### Akkreditierungsanforderungen Akkreditierte Forscher müssten Tests auch persönlich durchführen und könnten andere nicht beauftragen, Aktivitäten in ihrem Namen durchzuführen. Diese Bestimmung würde dem üblichen Geschäftsmodell widersprechen, bei dem erfahrene Fachleute jüngere Mitarbeiter oder automatisierte Tools beaufsichtigen. Die Vorschläge würden auch die Qualifikation für die gesetzliche Verteidigung auf britische Staatsbürger beschränken, die über eine Akkreditierung des **UK Cyber Security Council** verfügen – der einzigen Stelle, die Cybersicherheitsexperten einen „Chartered“-Status verleihen kann, ähnlich dem Status von Wirtschaftsprüfern oder Ingenieuren. Regierungsvertreter teilten den Quellen von Recorded Future News mit, dass derzeit nur rund 300 Personen über eine solche Akkreditierung verfügen – etwa 0,4 % der „fast 70.000 hochqualifizierten Personen“, die laut offiziellen Regierungsangaben in diesem Sektor beschäftigt sind. Die Akkreditierungsanforderung wurde von Experten, die von Recorded Future News konsultiert wurden, weithin kritisiert. Sie bezeichneten sie als ein „Pay-to-Play“-Modell, das Bug-Bounty-Jäger, akademische Forscher, Hobbyisten und Fachleute kleinerer Unternehmen ausschließen könnte – die alle einen erheblichen Anteil an weltweiten Schwachstellenmeldungen ausmachen. ### Bedenken hinsichtlich der Motive der Regierung Die Quellen sagten, die Reformen scheinen hauptsächlich darauf ausgelegt zu sein, die eigene rechtliche Haftung der Regierung zu adressieren, anstatt die Bedürfnisse der Branche zu erfüllen, der sie helfen sollen. Sie zitierten Treffen, bei denen die Regierung selbst anerkannt habe, dass der Computer Misuse Act die Aktivitäten sowohl der Strafverfolgungsbehörden als auch des **National Cyber Security Centre (NCSC)** einschränke. Ein Sprecher des NCSC sagte: „Wie Sie erwarten würden, entsprechen die Aktivitäten des NCSC dem Gesetz und werden von einem robusten Aufsichtsrahmen gesteuert, der unsere Mission erfüllt, das Vereinigte Königreich zum sichersten Ort zum Leben und Arbeiten im Internet zu machen.“ Die Agentur lehnte es ab, die Anzahl ihrer eigenen Mitarbeiter mit Chartered-Status zu nennen. **Jen Ellis**, eine Beraterin für Cybersicherheitspolitik und unabhängige Beraterin der britischen Regierung, lobte die Beamten für ihre Zusammenarbeit mit der Sicherheitsgemeinschaft, warnte jedoch vor einer „Fehlausrichtung zwischen Erwartungen und Realität“. Sie sagte, die Forscher hätten gehofft, dass die vorgeschlagenen Reformen des Computer Misuse Act „eine gesetzliche Verteidigung oder einen rechtlichen sicheren Hafen“ für gutgläubige Sicherheitsforschung bieten würden, argumentierte jedoch, dass der aktuelle Vorschlag „viel enger“ sei und sich nur auf das Scannen nach bekannten Schwachstellen konzentriere. Ellis kritisierte auch jede Ausnahme, die an berufliche Rollen oder Zertifizierungen gebunden ist, und sagte, dass Sicherheitsforschung oft unabhängig und außerhalb großer Organisationen durchgeführt werde. Solche Anforderungen würden die Forschung und die Entwicklung von Fähigkeiten „behindern“, große Unternehmen bevorzugen und letztendlich „den Einzelnen und nicht die Tat kriminalisieren“. ### Auswirkungen auf Industriepraktiken Standardpraktiken in der globalen Cybersicherheitsbranche, einschließlich des Zugangs zu Angreiferinfrastrukturen, um laufende Kampagnen zu verstehen, bleiben im Vereinigten Königreich kriminalisiert. Es wird davon ausgegangen, dass die Regierung besorgt ist, dass eine breite gesetzliche Verteidigung, die diese Aktivitäten abdeckt, böswilligen Akteuren eine rechtliche Deckung bieten würde. Die Industrie sagt, die aktuelle Position bringe britische Unternehmen in einen Wettbewerbsnachteil gegenüber Konkurrenten in Deutschland, Frankreich, den Niederlanden, Belgien und den Vereinigten Staaten – die alle unter weniger restriktiven rechtlichen Rahmenbedingungen operieren und keine Schwierigkeiten bei der Strafverfolgung von Cyberkriminellen gemeldet haben. Branchenverbände sagen, dass einige britische Unternehmen sensible Forschungsarbeiten bereits über Gerichtsbarkeiten mit klareren rechtlichen Rahmenbedingungen leiten. Das Innenministerium teilte mit, es spreche mit internationalen Amtskollegen, um deren Ansätze zu diesem Thema zu verstehen. Die Mängel des Computer Misuse Act sind Spezialisten der britischen Strafverfolgungsbehörden weithin bekannt. Ein Forscher, dessen Unternehmen mit der Polizei zusammenarbeitet, teilte Recorded Future News mit, dass er Bedenken bei einem leitenden Beamten geäußert habe, nachdem er während einer Untersuchung auf das Netzwerk eines Kriminellen zugegriffen hatte. Die Antwort des Beamten sei gewesen, sich keine Sorgen zu machen – die Staatsanwaltschaft würde das öffentliche Interesse auch ohne gesetzliche Verteidigung berücksichtigen. Forscher und Industriegruppen sagten, dass eine solche informelle Zusicherung keine Grundlage sei, um ein Unternehmen aufzubauen, eine Berufshaftpflichtversicherung abzuschließen oder Kollegen zu instruieren. ### Bedenken hinsichtlich KI und Zukunftssicherheit Forscher wiesen auch darauf hin, dass die Vorschläge keine Rücksicht auf agentive KI-Tools nehmen, die in der Branche zunehmend zur autonomen Schwachstellenerkennung und Sicherheitstests eingesetzt werden. Ob Aktivitäten, die von einem KI-System und nicht von einem menschlichen Forscher durchgeführt werden, unter eine Verteidigung fallen würden, die von akkreditierten Personen verlangt, Tests persönlich durchzuführen, wurde nicht geklärt. Dies birgt die Aussicht auf einen Rechtsrahmen, der bereits veraltet ist, bevor er in Kraft tritt. Ein Sprecher des Innenministeriums sagte: „Diese Regierung erkennt die wichtige Rolle an, die Cybersicherheitsexperten bei der Verbesserung und dem Schutz der Sicherheit des Vereinigten Königreichs spielen. Es ist unerlässlich, dass wir sie unterstützen. Unser National Security Bill wird die Unterstützung legitimer Forschung mit dem Schutz der nationalen Sicherheit in Einklang bringen. Wir schätzen den Input der Cybersicherheitsbranche und werden weiterhin mit ihnen zusammenarbeiten, während wir unseren Vorschlag verfeinern.“