Die fünf B und die IT-Sicherheit

Internet Security – CC-BY-NC-ND 2.0 via flickr/penut

In den vergangengen Tagen gab es bereits zwei Artikel auf Netzpolitik, die sich etwas näher mit dem Entwurf des IT-Sicherheitsgesetz auseinander gesetzt haben. Während es in Annas Artikel um eine Zusammenfassung ging und beim zweiten etwas spezieller um Meldepflichten und Verantwortlichkeiten, dreht sich dieser hier um die fünf B in dem Entwurf (BKA, BND, BfV, BSI und BfDI) und deren Rolle im Rahmen der Verbesserung von IT-Sicherheit.

Im Entwurf zum IT-Sicherheitsgesetz des BMI geht nicht zuletzt auch darum, wer welche Aufgaben übernehmen soll und entsprechend finanziell ausgestattet wird. Die Digitale Gesellschaft hat in ihrer alternativen Digitalen Agenda bereits entsprechende Kritik an der grundsätzlichen Ausrichtung der Bundesregierung zu dem Thema geäussert, und so heisst es in unter 2. „IT-Sicherheit: Dezentralisierung vorantreiben, Open Source fördern“:

Zudem erkennen wir in der Digitalen Agenda der Bundesregierung eine kontraproduktive Polizeiisierung und Militarisierung von „Cyber-Sicherheit“ anstelle des nötigen Paradigmenwechsels hin zu einer transparenten, evidenzbasierten und effektiven IT-Sicherheitspolitik. Polizeiliche, militärische und geheimdienstliche Stellen lösen die – zuvorderst technischen – Probleme der IT-Sicherheit nicht und verursachen dabei untragbar hohe gesellschaftlichen Kosten. Die Stärkung der Ressourcen staatlicher Stellen wie des BfV, die auf Eingriffsmöglichkeiten in IT-Systeme und den Zugriff auf Datenvorhaltungen angewiesen sind, verhindert ein Mehr an IT-Sicherheit.

BND, BfV und BKA sind nicht vertrauenswürdig

Das trifft auch schon den Kern des Problems: IT-Sicherheit ist eine Aufgabe, die sich schlicht nicht militärisch, polizeilich oder geheimdienstlich lösen lässt – im Gegenteil: Es besteht die Gefahr, dass hier, wie es so schön heisst, der Bock zum Gärtner gemacht wird. Auch wenn z.B. BND (Bundesnachrichtendienst) und BfV (Bundesamt für Verfassungsschutz) nicht in der Lage mögen, wie die NSA in großem Stile Implantate in Technik zu verbauen, so sind grade diese staatlichen Stellen jene, mit denen man als Unternehmen oder Privatmensch einfach nicht zu tun haben will, wenn es um die Sicherheit eigener technischer Systeme geht. Der Hauptgrund ist, dass beide eine unklare Agenda haben und, wie wir bei den diversen Untersuchungsausschüssen gesehen habe, ein gefährliches Eigenleben führen. Was sie hingegen gerne tun dürfen ist es, Hinweise an andere staatlichen Stellen oder die Öffentlichkeit zu geben, wenn sie von bevorstehenden oder bereits durchgeführten aber unentdeckt gebliebenen Angriffen wissen, von denen sie im Rahmen ihrer Tätigkeit erfahren. Darüber hinaus sollten aber genau diese Organisationen auf keinen Fall an der Organisation von IT-Sicherheit der Zivilgesellschaft hinaus beteiligt werden.

Auch das BKA (Bundeskriminalamt) gehört in eine ähnliche Kategorie. Die Polizei hat zwar auch Aufgaben im Rahmen der Verbrechensprävention zu erledigen. Aber grade weil sie mit Staatstrojanern hantieren (oder zumindest versuchen), um Verdächtigen auf den Rechner zu gucken, wird auch hier schnell klar, dass sie genauso wenig ein vertrauenswürdiger Partner sein können, schlicht aus dem Grund, weil sie aus „ermittlungstaktischen Gründen“ leicht mal eine Unsicherheit nicht melden, nur um ihre laufenden Ermittlungen nicht zu gefährden – was im Umkehrschluss leicht völlig Unbeteiligte gefährdet, die sich durch die entsprechenden Informationen leicht hätten schützen können. Wieso sollte so eine staatliche Stelle überhaupt mit der Erhöhung von IT-Sicherheit beschäftigt sein? Ihr ist doch sogar zumindest in Teilen daran gelegen, Unsicherheiten auszunutzen oder gezielt in Technik einzubauen. Dass sie bei erfolgten Einbrüchen ermitteln sollen, ist davon vollkommen unberührt, und ihre technische Expertise vor allem in der Forensik haben sie über TESIT (Link geht auf eine BKA-Seite), und das ist auch vollkommen okay so. Für IT-Sicherheit sorgen aber auch sie ganz sicher nicht, zumindest aber kann das BKA kein vertrauenswürdiger Partner sein für all jene, die sich um die Sicherheit ihrer eigenen IT-Systeme kümmern. Oder hat von euch schon mal jemand von einem Security Advisory des BKA gelesen? Mir ist da jedenfalls nichts bekannt und ich würde mich doch sehr wundern, wenn dem so in Zukunft sein sollte, obwohl sie in der Vergangenheit durchaus mit Zerodays in Berührung gekommen sein sollten.

BfDI und „BSI für Bürger“ to the rescue?

Zu den anderen zwei erwähnten Akteueren hat die alternative Digitale Agenda der Digiges auch was zu sagen:

Institutionell können die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) sowie das Bundesamt für Sicherheit in der Informationstechnik (BSI) eine Schlüsselrolle in der IT-Sicherheit spielen. Dazu sind beide Behörden aus dem Bundesministerium des Inneren auszugliedern, um ihre Unabhängigkeit zu gewähren. Statt der vorgeschlagenen Stärkung des BfV, ist die Ressourcen- und Personalausstattung von BfDI und BSI zunächst auf Augenhöhe mit den Sicherheitsbehörden zu bringen. Zudem ist zu prüfen, welche Aufgaben im Bereich der IT-Sicherheit derzeit in nachrichtendienstlichen Behörden angesiedelt sind und besser in ein unabhängiges BSI bzw. zur BfDI auszugliedern sind.

Viel zu viele Leute unterschätzen immer noch den Zusammenhang von Datenschutz und IT-Sicherheit, obwohl dieser Zusammenhang eigentlich klar auf der Hand liegt. Das deutsche Modell des Datenschutzes (und auch das europäische) ist aber vor allem juristisch und weniger technisch geprägt. Das ist schade und sollte meiner Meinung nach geändert werden. Hier schliesse ich mir ganz klar Rigo Wenger an, der fordert, die Datenschutzbehörden sollten zur Hälfte durch Naturwissenschaftler oder Informatiker besetzt werden.

Das BSI hat mit dem BSI für Bürger eine Abteilung, die sich vor allem um die Sicherheit von Bürgern und KMU (kleine und mittelständische Unternehmen) kümmern soll. Sie ist, genau wie ENISA (European Union Agency for Network and Information Security) auf europäischer Ebene, klar nicht-militärisch und nicht-polizeilich ausgerichtet, sondern soll ganz praktische Hilfestellung geben. Eine Überlegung wäre also, das „BSI für Bürger“ aus dem BSI heraus zu lösen und dem BfDI zuzuschlagen (der Teil, der sich mit Behördentechnik beschäftigt, kann meinetwegen gerne im BMI verbleiben). Ob und wie dann das neue Konstrukt noch ans BMI angelehnt sein kann und muss, kann ich nicht sagen (da fehlt mir schlicht das Wissen um Verwaltungsverfahren), aber rein rational sehe ich darin einen möglichen Weg. Im Kern geht es darum, dass der Konflikt, der sich hier auftut (nämlich zum einen für IT-Sicherheit zu sorgen, andererseits mögliche Lücken auszunutzen um gegen Verdächtige vorzugehen), sich nicht sinnvoll lösen lässt, wenn eine Verwaltungseinheit gleichzeitig für beides zuständig ist. Auch schon das Obama Review Panel zur NSA kam zu dem Ergebnis, dass die gleichzeitige Erfüllung offensiver und defensiver Aufgaben in der IT-Sicherheit zu einem Konflikt führt, der in der Regel zu Lasten der Defensive geht.

Dabei spielt auch eine Rolle, dass die Definition von „Kritischer Infrastruktur“ gar nicht stattfindet (und auch zugegebenermassen eine echte Herausforderung ist). Denn „kritisch“ sind natürlich erstmal alle Sachen, die irgendwie alle betreffen (z.B. Energie- und Wasserversorgung oder Krankenhäuser), aber für KMU und Bürger ist das kritische natürlich auch ganz anderes. Für mich ist es z.B. viel kritischer, wenn mein NAS (Networked Attached Storage) abraucht als wenn ein Krankenhaus in einem bayerischen Kaff lahmgelegt wird (und so geht es wohl den meisten). Was aber trotzdem nicht heisst, dass deswegen der BND oder das BfV mein Problem in irgendeiner Weise zu interessieren hat, den BfDI es hingegen schon interessieren könnte (und das BKA vielleicht, wenn das Problem durch einen kriminellen Eingriff stattgefunden hat, aber das war es dann auch schon).

Die Kritik von Digiges und anderen, hier wird einfach eine rein polizeiliche, militärische und geheimdienstliche Sicht auf das Thema gelegt, die rein gar nichts zur Sicherheit beträgt, eher sogar im Gegenteil! Was wir brauchen sind vertrauenswürdige Partner für die Zivilgesellschaft, die unsere Probleme mit IT-Sicherheit nicht gegen ein krudes und undurchsichtiges Ziel ausspielen, also einem „Kampf gegen Terrorismus“ oder ähnlichem und leicht falsche und schädliche Prioritäten setzen.

2 Ergänzungen

  1. Ich halte auch die Herauslösung aus dem BMI-Umfeld von BfDI und BSI für zwingend notwendig, um die Bedrohung die von diesen Behörden für die Bürger ausgeht zu mindern. Aber das reicht nicht.
    Bei den Staatstrojanern haben wir ja gesehen, dass der bestehende Datenschutz in Bund (z.b. Schaar als gründer Fundi) und Ländern (z.B. Weichert als grüner Fundi). In beiden Entitäten war das Verfahrensmeldung nach §4d BDSG völlig wirkungslos. Falls es überhaupt durchgeführt wurde, hat es keiner kontrolliert von den Aufsichtsbehörden. Der Chaos Computer Club musste den Skandal statt der zuständigen Behörde aufdecken. Der Source-Code wurde nicht untersucht und die Ergebnisse zum Täterschutz unter Geheimschutz gestellt (VS-NfD was ja auch hier so ve4röffentlicht wurde). So sieht kein Datenschutz aus, das ist Täterschutz. Das muss reformiert werden statt in Fernsehdiskussionen ständig über das Üble der Welt bei Facebook zu labern und vor Gericht nicht die Hausaufgaben machen.
    Beim BSI genauso: da müssen endlich die geheimagenten und SPione raus. Nicht nur bei der Gründung (alte Abteilung 6 des BND) sind 1990 Spione übernommen worden, auch in der Neuzeit wurde das BSI mit Spionen durchsetzt. Zum Beispiel war der jetzige Vizepräsidnet Andreas Könen bis 2006 im Leitungsstab des BND-Präsidenten. Spione haben im BSI nichts zu suchen, sondern gefährden die Sicherheit der Bevölkerung.
    http://www.bka.de/nn_244598/DE/Publikationen/Herbsttagungen/2013/Programm/ht2013KoenenHenzlerVitae.html

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.