Schedule FrOSCon 2026

Lecture

Security is not a Crime: Warum wir die Kriminalisierung der IT-Sicherheit beenden müssen

Ein Plädoyer für digitale Zivilcourage, Open Source und echte IT-Resilienz

August 16, 2026 HS 4 de Who can you trust? – Making and accepting contributions in 2026

Wenn ein Statiker einen Riss in einer Brücke entdeckt, wird er für seinen Hinweis gefeiert. Entdeckt eine IT-Sicherheitsforscherin eine kritische Lücke in staatlicher Software, droht ihr in Deutschland oft die Staatsanwaltschaft. Warum kriminalisieren wir digitale Zivilcourage, anstatt sie als Schutzschild zu begreifen? Wie wir IT-Sicherheit als gesellschaftliche Gemeinschaftsaufgabe neu definieren können bis hin zu einem leidenschaftlicher Aufruf für eine wehrhafte, offene und ehrliche digitale Gesellschaft.

Wir schreiben das Jahr 2026. Während neue Gesetze wie NIS-2 und das Kritis-Dachgesetz Unternehmen zu maximaler Resilienz verpflichten, behindert das deutsche Computerstrafrecht (§ 202c StGB) weiterhin die Menschen, die unsere Systeme tatsächlich absichern. Dieser Vortrag analysiert, warum das aktuelle rechtliche Narrativ den technologischen Realitäten und dem Open-Source-Ethos massiv entgegensteht.
Wir beleuchten den notwendigen Wandel auf drei zentralen Ebenen:
Technisch: Warum wir "Responsible Disclosure" und verschlüsselte Meldekanäle als Standard für digitale Souveränität brauchen, um Schwachstellen nicht zu verstecken, sondern zu schließen.
Gesellschaftlich: Wir dekonstruieren das Zerrbild des "kriminellen Hackers" und positionieren Sicherheitsforschung als Form des digitalen Whistleblowings, das unsere Infrastruktur schützt.
Politisch: Wir fordern eine Reform, die sich an europäischen Standards orientiert und Sicherheit durch Kooperation statt durch Kriminalisierung erreicht.
Dabei schlagen wir die Brücke zum FrOSCon-Motto "Wem kannst Du noch trauen?": Open Source ist hierbei nicht nur eine Lizenzform, sondern das einzige Vertrauensmodell für eine transparente, auditierbare Infrastruktur. Wir zeigen mit dem Schweizer NCSC-Modell, wie staatliche Bug-Bounty-Programme unter "Safe Harbor"-Bedingungen Sicherheit schaffen, statt sie zu untergraben.