Pressekonferenz zum IT-Sicherheitsgesetz – Mit anonymer Meldepflicht gegen Premiumangriffe

Namentlcih gemeldet wird erst, wenns sowieso jeder merkt und das Licht aus ist – CC BY-SA 3.0 via wikimedia

Nach der Abstimmung des IT-Sicherheitsgesetzes (IT-SG) im Kabinett am Morgen, fand eine Pressekonferenz mit Innenminister de Maizière und BSI-Präsident Michael Hange statt, auf der es auch um die Lage der IT-Sicherheit der Nation gehen sollte.

Thematisch passend, denn die „weiterhin angespannte“ Lage zur IT-Sicherheit in Deutschland stellt eine willkommene Legitimation für ein IT-SG dar. Und so begann de Maizière auch damit, auf die Risiken durch das Internet hinzuweisen, darunter die täglich 2000-3000 Angriffe auf Regierungsnetze. Hange setzte mit Beispielen fort und beschrieb, jeder Laie könne „zum Preis von 300 Dollar“ einen Trojanerkoffer kaufen und 2 Promille aller Softwarezeilen seien „mit Schadcode infiziert“ (sic). Außerdem beschwor er die zunehmende Relevanz von Advanced Persistence Threads, zielgerichteten und professionellen Angriffen auf kritische IT-Infrastrukturen, die er als „Premiumangriffe“ bezeichnete. Sie stellten das Hauptangriffsszenario für Unternehmen dar, währenddessen Bürger primär Opfer von Identitätsdiebstahl würden. Darüberhinaus sprach er noch diejenigen Bedrohungen an, die ein Problem für das gesamte Internet darstellten, wie etwa Heartbleed, das als „Open Source Software-Tool“ bezeichnet wurde…

Was klar wurde: Die Bundesregierung hat erkannt, dass IT-Sicherheit ein Problem ist, dass das Internet längst zu einer kritischen Infrastruktur geworden ist und hat deshalb das IT-Sicherheitsgesetz auf den Weg gebracht. Doch leider ist das nur ein sehr schwammig formulierter Katalog von Mindestkriterien. Während der Pressekonferenz wurde deutlich, dass man das aber seitens der Ministerien gar nicht als Bug, sondern als Feature anzusehen scheint und sich darauf verlässt, dass die Branchen intern Dinge schon näher regeln würden.

Es gibt aber eine ganze Menge, das unklar bleibt und das schon im Vorgängerartikel angesprochen wurde: Wie wird geprüft, ob ein System sicher ist? Was ist dieser „Stand der Technik“, der zum Mindestmaß für alle Betreiber von Telemediendiensten werden soll? Was ist ein „erheblicher Vorfall“, der einer Meldung bedarf? Dass das in der Eigenverantwortung der Betreiber liegen soll, da laut Hange „jeder für sich selbst entscheiden muss, wie er Sicherheit gestaltet“, befriedigt nicht. Auch nicht, dass der Innenminister es als Erfolg verbucht, die anonyme Meldepflicht von erheblichen Sicherheitsvorfällen weniger Anforderungen an Unternehmen stelle als beispielsweise Produktrückrufe in der Lebensmittelindustrie.

Man braucht keine weitere Sicherheitssimulation, die nur die Interessen der Industrieverbände schützt. Es sind wirksame Mindestrahmenbedingungen notwendig und — vor allem — Transparenz gegenüber dem Verbraucher.

Und man kann sich vorstellen, was in zwei Jahren passieren wird: Die Anzahl der Meldungen an Sicherheitsvorfällen wird sich vermutlich durch den Meldemechanismus im IT-SG erhöhen, damit wäre eines der ausgesprochenen Ziele erreicht, um einen besseren Blick auf das Lagebild zu bekommen. Das wird dann im nächsten Lagebericht zur IT-Sicherheitslage oder zur Cybersicherheit oder irgendeinem anderen Bericht zu den bösen Seiten des Internets auffallen. Und bietet dann eine gute Argumentationsgrundlage, Ermittlungsbehörden weitere Kompetenzen und Ermittlungsmethoden zu geben.

Deine Spende für digitale Freiheitsrechte

Wir berichten über aktuelle netzpolitische Entwicklungen, decken Skandale auf und stoßen Debatten an. Dabei sind wir vollkommen unabhängig. Denn unser Kampf für digitale Freiheitsrechte finanziert sich zu fast 100 Prozent aus den Spenden unserer Leser:innen.

6 Ergänzungen

  1. Habe gerade mal das PDF zur Lage der IT-Sicherheit… überflogen.

    Zuerst: Das ist eine gute und trotz der vielen Seiten recht kurz und prägnant gefasste Beschreibung, die geeignet ist, in Schulen als Lehrmaterial Verwendung zu finden.

    Zuzweit: Ein offizielles Statement der Behörden, warum die Störerhaftung für Private und kommerziell betriebene Internetzugangspunkte sofort abzuschaffen ist. Diese Gefahren sind für den Nutzer nicht vollständig zu bewältigen. Er kann somit auch nicht haftbar gemacht werden.

    Und, Ironie EIN, wenn selbst ein Minister behautet, dass 2 von 1000 Codezeilen mit Schadcode behaftet ist, muss schleunigst durchgegriffen werden. In jedem Router der Nutzer steckt Firmware mit deutlich mehr als 2000 Zeilen Quellcode. Die Steilvorlage schlicht weg, die Störerhaftung zu eliminieren.

    Man schlage die Gesetze der Regierung mit den Auussagenn der Regierung.

  2. Aber nochmals im Ernst:

    Der Bericht ist, genau genommen, außenpolitisch brisant: Es wird Bezug genommen auf Snowden. Implizit also klar gemacht, dass die USA zu den inhaltlich beschriebenen „digitalen“ Agressoren gehört.

    Vielleicht hat Snowden dem deutschen und europäischen Selbstbewusstsein einen gewissen Impuls verliehen, der endlich auch dazu führt, High-Tech-Unternehmen vor Ort mehr zu fördern, als sämtliche Hard- und Software aus Amiland zu importieren.

  3. (… gelöscht…) Der Artikel oben ist einfach korrekt.

    Bleibt hinzuzufügen, wenn de Maizière

    – Sicherheitslücken nutzt, um Angst zu schüren (also frei Sicherheitslücken ausnutzt, ganz wie ein böser „Hacker“)
    – gleichzeitig Staatstrojaner und
    – Internetfilter propagiert werden (und Jugendschutz damit zur Farce wird),
    – das Urheberrecht nicht angepasst wird,
    – dafür aber Zeitungen gegen alle Realität und Vernunft ein Goldesel versprochen wird,
    – Störerhaftung Inovation verhindert,
    – Netzneutralität aus rein „wirtschaftlichen“ Grunden zu Gunsten der Telekommunikationskonzerne gegen Internetinhaltsanbieter verbogen wird und
    – ein IT-Gesetz als Spagat zwischen behaupteter „Sicherheit“ und eigenen Interessen also in vollständiger Unwirksamkeit, installiert wird,
    – und die Datenschutzbeauftragte sich mehr um ihr Büro kümmert, als um Datenschutz

    – und und und, die Liste ist lang. Hint: Europa und Deutschlands Interessen/Einfluss.

    Die „Erfinder“ des Netzes müssen offensichtlich absolut dumm gewesen sein und de Maizière hat ein großes S auf der Brust und ein rotes Cape.

    Ja dann? Na ja, mit Sicherheit wird nichts aus der Sicherheit. Einen Koffer muss ich da mit Sicherheit nicht kaufen, würde ich Böses im Schilde führen. Sonst hätten die Geheimdienste schließlich auch ein Problem beim infliltrieren von Rechersystemen. Bei Koffern denke ich sowieso an andere Dinge.

    Sicher ist nur, dass dieses Netz im Kopf der Politik nichts mit dem Internet zu tun hat. Nun passen sie es gerade an. Nicht den Kopf. Das Netz.

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.