Seit Jahren fordern Sicherheitsunternehmen und Forscher eine Überholung des britischen Computer Misuse Act, der Anfang der 1990er Jahre verabschiedet wurde. Security Minister Dan Jarvis kündigte im Dezember gesetzliche Schutzbestimmungen an, die Forscher von strafrechtlicher Verfolgung bewahren sollten – unter bestimmten Voraussetzungen. Doch Insider berichten jetzt von ernüchternden Realitäten: Die geplanten “Safeguards” sind deutlich restriktiver als erhofft.
Zentrales Problem ist eine drastische Einengung des Schutzbereichs: Die neue gesetzliche Verteidigung soll nur für das “Scanning” – also das automatisierte Durchsuchen von internetgestützten Systemen – gelten. Diese Tätigkeit wird weltweit bereits von Plattformen wie Shodan und Censys kontinuierlich durchgeführt. Forscher dürften nach Erkennen einer Schwachstelle ihre Arbeit sofort einstellen und könnten weder deren Echheit verifizieren noch deren Schweregrad bewerten. Dies ist praktisch wertlos, da System-Eigentümer zweifelsfrei Beweis für echte Vulnerabilities verlangen, bevor sie reagieren.
Ein zweites erhebliches Hindernis: Nur Forscher mit Akkreditierung des UK Cyber Security Council – aktuell etwa 300 Personen – würden geschützt. Das entspricht nur 0,4 Prozent der knapp 70.000 Fachkräfte in Großbritannien. Diese “Pay-to-Play”-Struktur würde Bug-Bounty-Hunter, akademische Forscher, Hobbyisten und Angestellte kleinerer Unternehmen ausschließen – obwohl diese global einen großen Anteil aller Vulnerability-Meldungen liefern.
Darüber hinaus müssen akkreditierte Forscher Tests persönlich durchführen. Keine Delegation an Junior-Mitarbeiter oder automatisierte Tools – ein Verbot, das modernen kommerziellen Praktiken widerspricht. Zudem bleiben viele legitime Sicherheitsaktivitäten kriminalisiert, etwa das Zugreifen auf Angreifer-Infrastruktur zur Analyse von Kampagnen.
Cyber-Policy-Beraterin Jen Ellis warnt: Das Gesetz sei deutlich enger als erwartet und würde Forschung “behindern” und Einzelne statt Handlungen unter Druck setzen. Besonders problematisch: Die Pläne ignorieren Künstliche Intelligenz. Ob KI-gestützte Vulnerability-Tools unter die Vorschrift eines “persönlich handelnden Menschen” fallen, ist offen – das Gesetz könnte bereits bei Verabschiedung überholt sein.
Die Industrie beklagt Wettbewerbsnachteile gegenüber Deutschland, Frankreich, Niederlanden, Belgien und den USA, die flexiblere Rechtrahmen bieten. Bereits lenken britische Firmen sensible Forschung in andere Länder um. Die Home Office signalisiert zwar Dialog mit internationalen Partnern – doch Experten befürchten, dass die Reform das ursprüngliche Ziel verfehlt.