Abstract (deu)
Software und Produkte, die Software enthalten, sind überall zu finden. In dieser Software sind Schwachstellen, auch genannt Sicherheitslücken. Diese Sicherheitslücken sind die Ursache vieler weitreichender Konsequenzen. Sie sind verantwortlich für eine Vielzahl an Phänomenen, von banalen Dingen wie Computerabstürzen bis hin zu böswilligen Handlungen. Das Handlungsspektrum hier erstreckt sich von Internetkriminalität über „Hackerangriffe“ im Namen von Staaten bis hin zur Unterbrechung oder Störung von (globalen) Lieferketten.
In diesem Sinne stellen Softwareschwachstellen auch ein Sicherheitsproblem dar. Die Eindämmung von böswilligen Effekten oder Handlungen verlangt daher nach einer Vielzahl von Überlegungen. Eine dieser Strategien ist die Offenlegung der Schwachstellen, in der Fachsprache „Coordinated Vulnerability Disclosure“ (auch: Responsible Disclosure) genannt. Dieser Prozess ist gekennzeichnet durch die Mitteilung von Sicherheitslücken an die jeweils als Verursacher identifizierten Parteien mit dem Ziel einer Behebung derselben.
Bevor die Sicherheitslücken allerdings behoben werden können, müssen diese praktikabel oder aufbereitet werden. Akteur-Netzwerk Theorie ist die theoretische Basis dieser Masterarbeit. Diese Theorie ist Bestandteil der Science-Technology-Studies, was wiederum der Wissenschaftssoziologie anhänglich ist. Dieses akademische Feld erforscht das Spannungsfeld zwischen Technologie(n) und sozialen Strukturen, Institutionen und Verhältnissen.
Die primäre Problemstellung ist das Verständnis von Sicherheitslücken als greifbare Objekte, ein „Ding an sich“. Diese Sicherheitslücken sind in diesem Verständnis nicht eindeutig dem „Physischen“ zuordenbar, da sie sich in einem digitalem Raum bewegen. Durch die bisherig vorrangig Behandlung physischer Objekte verschließt sich die Akteur-Netzwerk Theorie dem Untersuchen von digitalen Objekten. Deshalb müssen als erster Schritt die Begrifflichkeiten der Akteur-Netzwerk Theorie dem digitalen Objekt „Sicherheitslücken“ angepasst werden, um die theoretischen Annahmen dann auf diese „Sache“ anzuwenden.
Das Grundverfahren von Akteur-Netzwerk Theorie ist verschiedene Formen von Ordnungsmäßigkeiten oder -prinzipien zu verfolgen. Welche Arten von Grenzen oder Barrieren werden von wem, wie und wo gezogen und aufgebaut, wie werden diese argumentiert und wie formen diese Tätigkeiten unsere Verständnisse der Welt?
In dieser Hinsicht beginnt die Reise einer Sicherheitslücke bei den Personen, die danach suchen oder diese entdecken. Die Methoden dieser Arbeit umfassen Dokumentenauswertung und die Durchführung von teilstandardisierten Interviews. Diese Interviews wurden mit Leuten durchgeführt, die Sicherheitslücken „in freier Wildbahn“, d.h. in Software oder -produkten die bereits in Anwendung sind, suchen. Eine zweite Gruppe umfasst Personen mit der Berufsbezeichnung „Chief Information Security Officer“, einer Managementposition die sich um die Informationssicherheit in Betrieben kümmert.
Diese Arbeit untersucht, welche Arten von Wissen in die Suche nach Sicherheitslücken fließt, wie das Meldeverfahren sowie die Verifizierung und Einstufung derselben organisiert sind. Das Ziel ist, ein besseres Verständnis über die Erschaffung von „sozialen Welten“ durch als unbedeutend wahrgenommene Praktiken zu bekommen. Auch die Aushandlung was als Sicherheitslücke gilt ist Teil dieser Arbeit.
Die Resultate dieser Arbeit zeigen, dass die Grenzen von was als „Sicherheitslücke“ gilt fließend sind und dass das Verständnis derselben (sozialer) Arbeit bedarf. Der „ontologische Status“ was das „Ding“ Sicherheitslücke ist, ist einzig erklärbar durch die Verknüpfung mit äußerlichen Einflüssen oder Sphären, das Verständnis ist daher verhandelbar. Sie sind ein Knotenpunkt. Als letzter Punkt werden Sorgfalt und Achtsamkeit als Kategorien eingeführt. Diese sollen dabei helfen, „Sicherheit“ als eine fortlaufende Anstrengung durch die Mobilisierung von Ressourcen mit dem Ziel potenziell schadhafter oder schädlicher Technologien, wie zum Beispiel Sicherheitslücken, zu begreifen.