IT-Sicherheitslücken suchen und finden – Bug-Bounty-Programm für Berlin

Wir wollen, dass die Digitalisierung Fahrt aufnimmt in Berlin, das muss auch bedeuten, dass Bürger*innen Vertrauen in die eingesetzte Infrastruktur und Software haben. Mit einem Antrag möchte ich die bestehende Sicherheitsarchitektur von Berlin stärken und das Engagement von ethischem Hacking und Sicherheitsforscher*innen unterstützen. “IT-Sicherheitslücken suchen und finden – Ein Bug-Bounty-Programm für Berlin” (Drucksache 19/1026) fordert den Senat auf, ein Bug-Bounty-Programm für Berlin zu etablieren, wie es bereits in der Privatwirtschaft und in anderen Länder praktiziert wird (beispielsweise in der Schweiz).

Mit einem Bug-Bounty Programm schafft das Land Berlin einen Rahmen für einen modernen Umgang mit Sicherheitslücken in IT-Infrastruktur und Software. Zudem wird eine positive Fehlerkultur in der Berliner Verwaltung etabliert. Dies stärkt die digitale Resilienz und das Vertrauen der Bürger*innen in eine sichere digitale Verwaltung von Berlin. Zusätzlich soll es für die Verwaltung einen Wettbewerb geben, welche das Engagement von Mitarbeiter*innen in der Verwaltung würdigt, welche Sicherheitslücken aufdecken.

Eine Vulnerability-Disclosure-Policy ergänzt die Wettbewerbe. In der Regelung wird beschrieben, wie Sicherheitslücken gemeldet werden können, wie damit umgegangen wird und schließt im Fall von ethischem Hacking den Rechtsweg nach § 202c StGB (sogenannte Hackerparagraph) aus. Eine solche Regelung gibt es bereits für die Website Berlin.de. Daher ist es ein logischer Schritt diese nicht nur auf die Website sondern auf die gesamte Software und Infrastruktur auszuweiten.

Der Senat wird aufgefordert, ein Bug-Bounty-Programm für Berlin zu erarbeiten und rechtssichere Wege zu etablieren, um Sicherheitslücken in der vom Land Berlin eingesetzten Software zu melden. Insbesondere sollen über die bisherigen Anstrengungen hinaus folgende Maßnahmen umgesetzt werden:

• In Zusammenarbeit mit Berliner Universitäten oder anderen Forschungseinrichtungen sowie gemeinnützigen Vereinen wie dem CCC soll ein rechtssicheres öffentliches BugBounty-Programm zur Entdeckung von Sicherheitslücken und Sicherheitsvorfällen in der digitalen Infrastruktur und eingesetzten Software der Berliner Verwaltung geschaffen werden. Die Aufdeckung von Sicherheitslücken wird mit einem „Berliner Awareness-Preis für IT-Sicherheit“ (nach Vorbild von Bug-Bounty-Programmen im Unternehmensbereich) belohnt. In künftigen Verträgen mit Softwareanbieter*innen sind hierfür entsprechende Regelungen zu schaffen, um die nötigen Preisgelder als Malus geltend machen zu können.
• Ein regelmäßiger Wettbewerb für Beschäftigte der Berliner Verwaltung, die auf Sicherheitslücken in Infrastruktur oder Software hinweisen, ist zu etablieren. Mit dieser Maßnahme soll die aktive Beteiligung von Beschäftigten an der Beseitigung von Schwachstellen in der Informationssicherheit gefördert werden.
• Vulnerability-Disclosure-Policy für ganz Berlin: In Zusammenarbeit mit Sicherheitsforscher*innen und Zivilgesellschaft soll eine Vulnerability-DisclosurePolicy für die gesamte Berliner Verwaltung erstellt werden. Ihre Regeln sollen rechtssicher garantieren, dass Sicherheitslücken in Infrastruktur und Software gemeldet und schnellstmöglich behoben werden können. Verträge mit Dritten werden dahingehend angepasst.

Dem Abgeordnetenhaus ist zum 1. September 2023 zu berichten.