Dialog für Cybersicherheit

Selbstgewählte Themenschwerpunkte

Visionen für mehr Cybersicherheit 2023/2024

Workstreams 2023/2024

In diesem Zyklus werden die beiden Workstreams umgesetzt:

Technische Anlaufstelle für Betroffene digitaler Partnerschaftsgewalt
Cyberresilience-Framework. In IT-Krisen schneller agieren.

Weitere Informationen folgen. Wollt Ihr Euch beteiligen? Dann schreibt an: projekt-digitalegesellschaft@bsi.bund.de.

Workstreams 2022/2023

Workstream 1

BuntesBugBounty

Initiatoren: Bianca Kastl und Gregor Bransky vom Innovationsverbund Öffentliche Gesundheit e. V. (InÖG)
Vision: Etablierung ano- pseudonyme, niedrigschwellige, rechtssichere und ethische Disclosure Prozesse.
Zielsetzung: Das Ziel des Workstreams ist die Unterstützung des gesamtgesellschaftlichen Dialogprozesses hinsichtlich eines bundesweiten Bug-Bounty-Programms für die IT-Systeme der öffentlichen Hand und Freie Open-Source-Software (FOSS). Innerhalb des Workstreams sollen Recherchen zu weltweit existierenden Konzepten erstellt werden. Außerdem sollen Partizipationsformate und Veranstaltungen konzipiert und durchgeführt werden, um die Perspektive von relevanten Akteur:innen einzubeziehen.
Zielgruppe: Sicherheitsforscher:innen, Entwickler:innen und politische Entscheidungsträger:innen, Bundesverwaltung.
Mehr Informationen: https://www.dialog-cybersicherheit.de/b3/

B3 im Dialog

B3 im Dialog ist ein Online-Format, um Stakeholdern zu Teilaspekten des Responsible Disclosure Process in Deutschland eine Diskussionsplattform zu bieten. Die Reihe endet zunächst mit dem Zyklus 22/23 des Dialogs für Cybersicherheit, wird aber voraussichtlich durch ein Teil des Workstreams weiter geführt.

Weitere Informationen findet ihr hier (Webseite der Stakeholder): https://www.inoeg.de/b3

Vergangene "B3 im Dialog"-Termine

21.03.23 // 17:00 bis 19:00 - Log4Shell & Consequences (Christian Grobmeier et Al. - log4j Team; Brian Behlendorf - OpenSSF) (Video/Slides)
18.04.23 // 17:00 bis 19:00 - Meldeprozesse in Deutschland (mit Tassilo Thieme vom CERT-Bund zur CVD-Richtlinie und Hinnerk van Bruinehsen vom BlnBDI) - Moderiert von Bianca Kastl (Slides / Video)
16.05.23 // 17:00 bis 19:00 - Bug-Bounty-Prozesse: Dos and Don'ts (Dr. Ralf-Philipp Weinmann, The Research Institute OÜ) - Moderiert von Bianca Kastl (Video)
20.06.23 // 17:00 bis 19:00 - Diskussion des aktuellen Standes
18.07.23 // 17:00 bis 19:00 - Staatliche Förderung von FOSS auf EU-Ebene (mit Saranjit Arora vom EC-OSPO)- Moderiert von Isabel Drost-Fromm (Slides)
15.08.23 // 17:00 bis 19:00 – Sicherheitsforschung im Verbraucher:innenschutz (mit Dr. Ayten Öksüz von der Verbraucherzentrale NRW)- Moderiert von Gregor Bransky (Video)

Bitte beachtet, dass die Veranstaltung aufgenommen wird und unsere datenschutzrechtlichen Hinweise gelten. Die Zugangsdaten findet Ihr hier: https://www.inoeg.de/b3/imdialog/

Weitere Informationen können auf unserer Unterseite gefunden werden: https://www.dialog-cybersicherheit.de/b3/

Ergebnisbericht

Der Abschlussbericht des Workstreams BuntesBugBounty kann nun hier heruntergeladen werden.

Zwischenstände:

August 2023: In der sechsten und letzten Ausgabe der Veranstaltungsreihe „B3 im Dialog“ im Zyklus 22/23 des Workstreams ging es um die Auswirkungen des Hackerparagrafen im Verbraucher:innenschutz. Workstream-Mitglied Dr. Ayten Öksüz von der Verbraucherzentrale NRW e.V. gab einen Einblick in die Möglichkeiten und Grenzen der Verbraucherzentrale, Datenschutzverstöße von Anbietern digital vernetzter Geräte und Dienste zu prüfen. In einer anschließenden Diskussionsrunde ging es größtenteils um denkbare Novellierungen der deutschen Rechtslage der IT-Sicherheitsforschung und mögliche Auswirkungen des Cyber Resilience Act (CRA) auf EU-Ebene. Der Workstream ist mit dem Ende des Monats abgeschlossen worden.
Juli 2023: In der fünften Ausgabe der Veranstaltungsreihe „B3 im Dialog“, die am 18. Juli 2023 stattfand, hatte der Workstream Saranjit Arora vom European Commission Open Source Programme Office (EC-OSPO) zu Gast. Der Workstream plant nun seine letzte Veranstaltung innerhalb des Workstream-Zyklus am 16. August 2023 und die Zukunft nach diesem Zyklus.
Juni 2023: Im „B3 im Dialog“ am 20. Juni fand ein interner Austausch zur „Rechtslage der IT-Sicherheitsforschung“ statt, in welchem die bisherigen Erkenntnisse des Workstreams sowie mögliche nächste Schritte für die kommenden Monate diskutiert wurden. Im nächsten Termin der Veranstaltungsreihe „B3 im Dialog“ am 18. Juli werden wir unter anderem mit dem EC-OSPO über das Bug-Bounty-Programm im vergangenen EU-FOSSA 2 Projekt und über ihr aktuelles Bug-Bounty-Programm reden.
Mai 2023: Wie sieht ein gutes Bug-Bounty-Programm aus und welche Erfahrungswerte gibt es hinsichtlich der Prozesse zur Implementierung? Darüber sprach Dr. Ralf-Philipp Weinmann im dritten „B3 im Dialog“ am 16. Mai und leitete einen intensiven Austausch ein. Dr. Weinmann beschäftigt sich seit seiner Jugend mit dem Auffinden von IT-Sicherheitslücken. Anfang 2023 gründete er das "The Research Institute OÜ", eine Gesellschaft mit Hauptsitz in Estland, deren Ziel es ist, gemeinnützige öffentliche IT-Sicherheitsforschung die zu betreiben und zu veröffentlichen.
April 2023: Am 18. April fand im Rahmen des Workstreams „BuntesBugBounty“ die Veranstaltung „B3 im Dialog – Meldewege in Deutschland“ statt, mit Tassilo Thieme vom CERT-BUND und Hinnerk van Bruinehsen von der Berliner Beauftragten für Datenschutz und Informationsfreiheit Berlin (BlnBDI). Außerdem war der Workstream mit einem Vortrag und einem Workshop auf der easterhegg in Hamburg vertreten. Weitere Veranstaltungen werden parallel geplant und vorbereitet.
März 2023: Am 21. März 2023 fand die erste Veranstaltung „B3 im Dialog“ statt.Thema des Abends waren die Konsequenzen der Sicherheitslücke Log4shell, die im Dezember 2021 in der Open Source Library Log4j öffentlich wurde und weltweit Serverinfrastrukturen betraf. Weitere Veranstaltungen werden parallel geplant und vorbereitet.
Februar 2023: Es wurde die initiale Phase mit ersten Recherchen zu Bug-Bounty-Programmen abgeschlossen. Die Recherche wird bedarfsorientiert ergänzt. Ab März werden monatliche Dialogformate angeboten, um mit Gästen und der Öffentlichkeit über Teilaspekte eines Bug-Bounty-Programms zu diskutieren. Das erste Thema wird die aktuelle rechtliche Einordnung von Schwachstellenmeldungen in Deutschland sein.
Januar 2023: Der Workstream organisiert seine kommenden Arbeitstreffen neu und führt kürzer getaktete Arbeitstreffen im kleineren Kreis ein. Die monatlichen Treffen werden zukünftig für neue partizipative Formate genutzt. Der Gesamtprozess soll zudem weiter für die Zivilgesellschaft geöffnet werden.
Dezember 2022: Der Workstream "BuntesBugBounty" befasst sich in einem Dialogprozess mit der Möglichkeit eines staatlichen Bug-Bounty-Programms für Deutschland. Im ersten Treffen am 6. Dezember 2022 wurden die geplante Zielsetzung und die anvisierten Outputs des Workstreams besprochen. Neben den Produkten, an denen auch die Geschäftsstelle mitwirkt (Recherche, Veranstaltungen, Abschlussbericht), beschäftigen sich die Teilnehmenden parallel mit einem Positionspapier für eine zentrale, rechtssichere Stelle für die Meldung von Sicherheitslücken.

Workstream 2

UpSchooling

Initiatoren: Patrick Luzina (Bits & Bäume) und Markus Saborowski (Institut für Kinder- und Jugendhilfe Mainz)
Vision: Befähigung und Sensibilisierung von Schüler:innen im Bereich Cybersicherheit.
Zielsetzung: Ziel des Workstreams „UpSchooling“ ist es, einen Beitrag zur Vermittlung und zum Erlernen der Cybersicherheitsrisiken im Umgang mit IT-Systemen für Jugendliche und junge Erwachsene im Alter zwischen 13 und 18 Jahren zu leisten. Dafür erfolgt zunächst eine Recherche über bereits existierende Konzepte und Programme zum Thema Cybersicherheit für Schülerinnen und Schüler bzw. für Schulen. Darauf aufbauend wird ein partizipativer Workshop veranstaltet, in dem gemeinsam mit Schüler:innen existierende Lehrmaterialien und Ansätze evaluiert und gegebenenfalls weiterentwickelt werden. Am Ende des Workstreams steht eine Dokumentation mit den gesammelten Erkenntnissen.
Zielgruppe: Jugendliche und junge Erwachsene im Alter zwischen 13 und 18 Jahren.

Ergebnisbericht und Lehrmaterialien

Der Ergebnisbericht des Workstreams UpSchooling kann hier heruntergeladen werden.

Die erarbeiteten Lehrmaterialien können hier heruntergeladen werden.

Zwischenstände:

August 2023: Im Workstream UpSchooling fand am 08.08.2023 das letzte Workstream-Treffen statt, welches vor allem durch Berichte aus kleineren Arbeitsgruppen geprägt war, etwa dem Bericht vom zweiten Schulworkshop in Heidelberg im Juli. Darüber hinaus wurden die Skripte von drei Videos besprochen, die gerade in Zusammenarbeit mit Cedric Mössner produziert werden und auf den Themen der Lernmodule aufbauen. Der Workstream ist mit dem Ende des Monats abgeschlossen worden.
Juli 2023: Im Workstream haben Anne Hennig, Daniela Jäger-Biela, Jolanda Todt sowie Markus Saborowski mit Unterstützung durch die Geschäftsstelle im Englischen Institut in Heidelberg den zweiten und letzten Schulworkshop durchgeführt. Aufbauend auf den Erfahrungen des ersten Workshops haben sie mit längeren, vertiefenden Einheiten dreizehn Schüler:innen der Jahrgangsstufe 8 in verschiedenen Sicherheitsthemen geschult.
Juni 2023: Der UpSchooling-Workstream hat am 19. Juni den ersten von zwei Workshops zur Cybersicherheit durchgeführt. Jolanda Todt, Markus Saborowski sowie Patrick Luzina aus der Gruppe der Stakeholder haben stellvertretend für die ganze Gruppe unsere Themen Smartphone-Sicherheit, „Das Internet vergisst nicht“, Phishing, Datenschutz sowie Sichere Passwörter in die Klasse 10c des Editha-Gymnasiums Magdeburg getragen. Wir blicken auf einen erfolgreichen Tag zurück, vor allem die Schüler:innen haben entsprechende Rückmeldungen gegeben. Mit den Themen haben wir einen Nerv getroffen, Rückmeldungen wie „ich fühle mich sicherer im Umgang mit dem Internet“ haben dies bestätigt. Verbessern können wir den Workshop noch in methodischer Hinsicht, vor allem die knappe Zeit zur Bearbeitung einzelner Aspekte ließe sich noch verbessern. Diese und weitere wichtige Hinweise werden wir zur Vorbereitung des zweiten Workshops verwenden, der im Juli in Heidelberg stattfindet.
Mai 2023: Im Workstream UpSchooling wird es langsam ernst: Der erste der geplanten Schul-Workshops rückt immer näher. In einer Arbeitsgruppe feilen die Stakeholder, welche den Workshop durchführen werden, gemeinsam mit dem Geschäftsstellen-Team an der Fertigstellung der Lernmodule und den letzten Details. Das Ziel ist es, am 19. Juni in Magdeburg die digitalen Sicherheitsthemen gut in die Schule tragen und den Schüler:innen die Teilnahme an einem informativen und partizipativen Workshop ermöglichen zu können. Die erfreulich motivierte Teilnahme der Stakeholder an den Schul-Workshops macht dies möglich. Auch ein zweiter Workshop steht mittlerweile fest: am 20. Juli wird der Workstream das Programm nach Heidelberg bringen und dort an einer weiteren Schule durchführen.
April 2023: Der Workstream „Upschooling“ ist weiter intensiv dabei, die Inhalte für die geplanten Workshops mit Schüler:innen zu erarbeiten. Bei zwei kommenden Workstreamtreffen Anfang Mai werden die Konzepte für einzelne Bausteine der Workshops noch pädagogisch unterfüttert und dann finalisiert. Auch die ersten Schulen haben bereits zugesagt. Mitte Juni wird es einen vierstündigen Workshop in Magdeburg geben.
März 2023: Im Workstream wurde die Konzeptionierung der partizipativen Workshops mit Schülerinnen und Schülern konkreter. Im letzten Workstreamtreffen wurden bestehende und frei verfügbare Lernmaterialien auf ihre Eignung zum Einstieg in den Workstream gesichtet und evaluiert. Außerdem wurden erste Ideen für den offenen Teil des Workshops gesammelt. Die Teilnehmenden entwerfen nun pädagogische und methodologische Konzepte für die Umsetzung des Workshops.
Februar 2023: Während parallel noch Gespräche mit erfahrenen Anbietern im Bereich digitale Bildung stattfinden, geht es nun an die Planung des zentralen partizipativen Workshops mit Schüler:innen. Hierzu wurden erste Inhalte und spielerische Ansätze diskutiert und erste konkrete Ideen gesammelt. Weiter geht es im März mit der konkreten Workshop-Planung.
Januar 2023: Die monatlichen Treffen werden durch weitere Arbeitstreffen ergänzt, die bedarfsorientiert stattfinden. Im letzten Arbeitstreffen ging es um mögliche Interviewpartner:innen, die über praktisches und theoretisches Fachwissen im Bereich der (Selbst-)lernangebote zum Thema IT- und Cybersicherheit verfügen und für Gespräche angefragt werden sollen. Ziel der Gespräche ist es, hilfreiche Tipps einzuholen, z. B. über den aktuellen Forschungsstand, die Entwicklung und Anpassung von Lernmaterialien oder über den Umgang mit Risiken.
Dezember 2022: Mit dem Auftakttreffen am 7. Dezember 2022 fiel auch der Startschuss des "UpSchooling"-Workstreams. Das Herzstück des Workstreams soll ein partizipativer Workshop mit Schüler:innen sein, bei dem Selbstlerninhalte und -methoden zum Thema Cybersicherheit gemeinsam und lebensnah erarbeitet werden. Das Format soll einen Beitrag zur Vermittlung von Cybersicherheitsrisiken leisten, denen Jugendliche in ihrem Alltag begegnen.