Selbstgewählte Themenschwerpunkte

Visionen für mehr Cyber-Sicherheit 2022/2023

Für die gemeinsame Arbeit werden im Rahmen der Denkwerkstatt verschiedene Teilprojekte entworfen. Die Teilnehmenden am Dialog können dafür ihre eigenen Visionen und Ideen für Frage- und Problemstellungen rund um die gesamtgesellschaftliche Cyber-Sicherheit einbringen und erste Lösungsvorschläge entwickeln. Die von den Teilnehmenden präferierten Themen werden nach der Denkwerkstatt in Workstreams gemeinsam erarbeitet.

Rahmenbedingungen der Workstreams: 

  • Die Workstreams dauern drei bis neun Monate.
  • Die Workstreams werden mit Unterstützung der Geschäftsstelle unter punktueller Hinzuziehung interessierter Dialogpartner:innen umgesetzt.
  • Die Ergebnisse der jeweiligen Workstreams werden im Folgejahr bei der Denkwerkstatt präsentiert, um die Weitergabe des Wissens und einen Erfahrungsaustausch zwischen den Dialogpartner:innen zu ermöglichen.

Aus diversen – von den Teilnehmenden der „Denkwerkstatt Sichere Informationsgesellschaft 2022“ eingebrachten – Visionen und Ideen wurden zwei konkrete Workstream-Vorschläge erarbeitet. Deren Vorhaben wurden in die Praxis umgesetzt.

Workstreams

Workstream 1

BuntesBugBounty

  • Initiatoren: Bianca Kastl und Gregor Bransky vom Innovationsverbund Öffentliche Gesundheit e. V. (InÖG)
  • Vision: Etablierung ano- pseudonyme, niedrigschwellige, rechtssichere und ethische Disclosure Prozesse.
  • Zielsetzung: Das Ziel des Workstreams ist die Unterstützung des gesamtgesellschaftlichen Dialogprozesses hinsichtlich eines bundesweiten Bug-Bounty-Programms für die IT-Systeme der öffentlichen Hand und Freie Open-Source-Software (FOSS). Innerhalb des Workstreams sollen Recherchen zu weltweit existierenden Konzepten erstellt werden. Außerdem sollen Partizipationsformate und Veranstaltungen konzipiert und durchgeführt werden, um die Perspektive von relevanten Akteur:innen einzubeziehen.
  • Zielgruppe: Sicherheitsforscher:innen, Entwickler:innen und politische Entscheidungsträger:innen, Bundesverwaltung.
  • Mehr Informationen: https://www.dialog-cybersicherheit.de/b3/

 

B3 im Dialog

B3 im Dialog ist ein Online-Format, um Stakeholdern zu Teilaspekten des Responsible Disclosure Process in Deutschland eine Diskussionsplattform zu bieten. Jeden dritten Dienstag im Monat gibt es zunächst einen Impulsvortrag von geladenen Gästen, gefolgt von einer Diskussionsrunde. Die Veranstaltung beginnt je um 17:00 Uhr und ist auf 2 Stunden angelegt.

B3 im Dialog findet über BigBlueButton statt.
Zugangslink: https://www.inoeg.de/b3/imdialog/ 

Kommende "B3 im Dialog"-Termine:

  • 20.06.23 // 17:00 bis 19:00 - Rechtslage der IT-Sicherheitsforschung
  • 20.07.23 (Donnerstag) // 17:00 bis 19:00 - Erfahrungen aus dem Ausland zu staatlichen Bug-Bounty-Programmen
  • 16.08.23 // 17:00 bis 19:00 – Abschlussevent mit Panel-Diskussion

 

Vergangene "B3 im Dialog"-Termine

 

Bitte beachtet, dass die Veranstaltung aufgenommen wird und unsere datenschutzrechtlichen Hinweise gelten. Die Zugangsdaten findet Ihr hier: https://www.inoeg.de/b3/imdialog/  

Weitere Informationen können auf unserer Unterseite gefunden werden: https://www.dialog-cybersicherheit.de/b3/
 

Zwischenstände:

  • Mai 2023: Wie sieht ein gutes Bug-Bounty-Programm aus und welche Erfahrungswerte gibt es hinsichtlich der Prozesse zur Implementierung? Darüber sprach Dr. Ralf-Philipp Weinmann im dritten „B3 im Dialog“ am 16. Mai und leitete einen intensiven Austausch ein. Dr. Weinmann beschäftigt sich seit seiner Jugend mit dem Auffinden von IT-Sicherheitslücken. Anfang 2023 gründete er das "The Research Institute OÜ", eine Gesellschaft mit Hauptsitz in Estland, deren Ziel es ist, gemeinnützige öffentliche IT-Sicherheitsforschung die zu betreiben und zu veröffentlichen. 
  • April 2023: Am 18. April fand im Rahmen des Workstreams „BuntesBugBounty“ die Veranstaltung „B3 im Dialog – Meldewege in Deutschland“ statt, mit Tassilo Thieme vom CERT-BUND und Hinnerk van Bruinehsen von der Berliner Beauftragten für Datenschutz und Informationsfreiheit Berlin (BlnBDI). Außerdem war der Workstream mit einem Vortrag und einem Workshop auf der easterhegg in Hamburg vertreten. Weitere Veranstaltungen werden parallel geplant und vorbereitet.
  • März 2023: Am 21. März 2023 fand die erste Veranstaltung „B3 im Dialog“ statt.Thema des Abends waren die Konsequenzen der Sicherheitslücke Log4shell, die im Dezember 2021 in der Open Source Library Log4j öffentlich wurde und weltweit Serverinfrastrukturen betraf.  Weitere Veranstaltungen werden parallel geplant und vorbereitet.
  • Februar 2023: Es wurde die initiale Phase mit ersten Recherchen zu Bug-Bounty-Programmen abgeschlossen. Die Recherche wird bedarfsorientiert ergänzt. Ab März werden monatliche Dialogformate angeboten, um mit Gästen und der Öffentlichkeit über Teilaspekte eines Bug-Bounty-Programms zu diskutieren. Das erste Thema wird die aktuelle rechtliche Einordnung von Schwachstellenmeldungen in Deutschland sein. 
  • Januar 2023: Der Workstream organisiert seine kommenden Arbeitstreffen neu und führt kürzer getaktete Arbeitstreffen im kleineren Kreis ein. Die monatlichen Treffen werden zukünftig für neue partizipative Formate genutzt. Der Gesamtprozess soll zudem weiter für die Zivilgesellschaft geöffnet werden.
  • Dezember 2022: Der Workstream "BuntesBugBounty" befasst sich in einem Dialogprozess mit der Möglichkeit eines staatlichen Bug-Bounty-Programms für Deutschland. Im ersten Treffen am 6. Dezember 2022 wurden die geplante Zielsetzung und die anvisierten Outputs des Workstreams besprochen. Neben den Produkten, an denen auch die Geschäftsstelle mitwirkt (Recherche, Veranstaltungen, Abschlussbericht), beschäftigen sich die Teilnehmenden parallel mit einem Positionspapier für eine zentrale, rechtssichere Stelle für die Meldung von Sicherheitslücken.

Workstream 2

UpSchooling

  • Initiatoren: Patrick Luzina (Bits & Bäume) und Markus Saborowski (Institut für Kinder- und Jugendhilfe Mainz)
  • Vision: Befähigung und Sensibilisierung von Schüler:innen im Bereich Cyber-Sicherheit.
  • Zielsetzung: Ziel des Workstreams „UpSchooling“ ist es, einen Beitrag zur Vermittlung und zum Erlernen der Cyber-Sicherheitsrisiken im Umgang mit IT-Systemen für Jugendliche und junge Erwachsene im Alter zwischen 13 und 18 Jahren zu leisten. Dafür erfolgt zunächst eine Recherche über bereits existierende Konzepte und Programme zum Thema Cyber-Sicherheit für Schülerinnen und Schüler bzw. für Schulen. Darauf aufbauend wird ein partizipativer Workshop veranstaltet, in dem gemeinsam mit Schüler:innen existierende Lehrmaterialien und Ansätze evaluiert und gegebenenfalls weiterentwickelt werden. Am Ende des Workstreams steht eine Dokumentation mit den gesammelten Erkenntnissen.
  • Zielgruppe: Jugendliche und junge Erwachsene im Alter zwischen 13 und 18 Jahren.
     

Zwischenstände:

  • Mai 2023: Im Workstream UpSchooling wird es langsam ernst: Der erste der geplanten Schul-Workshops rückt immer näher. In einer Arbeitsgruppe feilen die Stakeholder, welche den Workshop durchführen werden, gemeinsam mit dem Geschäftsstellen-Team an der Fertigstellung der Lernmodule und den letzten Details. Das Ziel ist es, am 19. Juni in Magdeburg die digitalen Sicherheitsthemen gut in die Schule tragen und den Schüler:innen die Teilnahme an einem informativen und partizipativen Workshop ermöglichen zu können. Die erfreulich motivierte Teilnahme der Stakeholder an den Schul-Workshops macht dies möglich. Auch ein zweiter Workshop steht mittlerweile fest: am 20. Juli wird der Workstream das Programm nach Heidelberg bringen und dort an einer weiteren Schule durchführen.
  • April 2023: Der Workstream „Upschooling“ ist weiter intensiv dabei, die Inhalte für die geplanten Workshops mit Schüler:innen zu erarbeiten. Bei zwei kommenden Workstreamtreffen Anfang Mai werden die Konzepte für einzelne Bausteine der Workshops noch pädagogisch unterfüttert und dann finalisiert. Auch die ersten Schulen haben bereits zugesagt. Mitte Juni wird es einen vierstündigen Workshop in Magdeburg geben.
  • März 2023: Im Workstream wurde die Konzeptionierung der partizipativen Workshops mit Schülerinnen und Schülern konkreter. Im letzten Workstreamtreffen wurden bestehende und frei verfügbare Lernmaterialien auf ihre Eignung zum Einstieg in den Workstream gesichtet und evaluiert. Außerdem wurden erste Ideen für den offenen Teil des Workshops gesammelt. Die Teilnehmenden entwerfen nun pädagogische und methodologische Konzepte für die Umsetzung des Workshops.
  • Februar 2023: Während parallel noch Gespräche mit erfahrenen Anbietern im Bereich digitale Bildung stattfinden, geht es nun an die Planung des zentralen partizipativen Workshops mit Schüler:innen. Hierzu wurden erste Inhalte und spielerische Ansätze diskutiert und erste konkrete Ideen gesammelt. Weiter geht es im März mit der konkreten Workshop-Planung. 
  • Januar 2023: Die monatlichen Treffen werden durch weitere Arbeitstreffen ergänzt, die bedarfsorientiert stattfinden. Im letzten Arbeitstreffen ging es um mögliche Interviewpartner:innen, die über praktisches und theoretisches Fachwissen im Bereich der (Selbst-)lernangebote zum Thema IT- und Cyber-Sicherheit verfügen und für Gespräche angefragt werden sollen. Ziel der Gespräche ist es, hilfreiche Tipps einzuholen, z. B. über den aktuellen Forschungsstand, die Entwicklung und Anpassung von Lernmaterialien oder über den Umgang mit Risiken.
  • Dezember 2022: Mit dem Auftakttreffen am 7. Dezember 2022 fiel auch der Startschuss des "UpSchooling"-Workstreams. Das Herzstück des Workstreams soll ein partizipativer Workshop mit Schüler:innen sein, bei dem Selbstlerninhalte und -methoden zum Thema Cyber-Sicherheit gemeinsam und lebensnah erarbeitet werden. Das Format soll einen Beitrag zur Vermittlung von Cyber-Sicherheitsrisiken leisten, denen Jugendliche in ihrem Alltag begegnen. 

Publikationen des Workstream-Zyklus 2021/22

Ergebnisbericht zum Workstream 2 - "Digitales Mindesthaltbarkeitsdatum"

Leitfaden zum Workstream 3 - "Dos and Don'ts für nachhaltige Sicherheit"

Leitfaden zum Workstream 4 - "Effektive IT-Security Awareness"

Ergebnisbericht zum Workstream 5 - "Update4Schule"