Heute fand anlässlich der 1. Lesung des geplanten IT-Sicherheitsgesetzes (ITSG) – dem „Entwurf eines Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme“ – eine Debatte im Bundestag statt. Sie schwankte je nach Fraktionszugehörigkeit zwischen Selbstlob auf der einen und massiver Kritik auf der anderen Seite. Wir verfolgen das IT-Sicherheitsgesetz schon lange kritisch und auch diesmal bestätigten sich unsere Eindrücke.
Lediglich eine Einigkeit gab es: Es ist an der Zeit, sich endlich mit IT-Sicherheit auseinanderzusetzen.
Im Bereich der IT-Sicherheit brennt in Deutschland die Hütte lichterloh.
So beschrieb Konstantin von Notz von den Grünen die Situation. Auch wenn sein Vergleich der mit Abstand am drastischsten ausgemalte war, betonten alle Abgeordneten und Innenminister de Maizière die Schlüsselfunktion digitaler Infrastrukturen für das Funktionieren der heutigen Gesellschaft. Stephan Mayer von CDU/CSU:
IT-Sicherheit ist mittlerweile das Gerüst, ohne dass die Gesellschaft kaum existieren könnte.
Ob mit dem aktuellen Gesetzesentwurf ein ausreichender Schutz dieser Infrastrukturen geschaffen werden kann, ist strittig. „Wir wollen die deutschen IT-Systeme zu den sichersten der Welt machen“, versprach de Maizière, „Wir haben geliefert!“, verkündete Gerold Reichenbach von der SPD. Aber dass gehalten werden kann, was versprochen wird, bezweifeln vor allem die Oppositionspolitiker.
Begriffliche Unklarheiten
Im Entwurf des ITSG befinden sich viele begriffliche Unklarheiten. Schon bei der Bestimmung der Unternehmen, für die das Gesetz gilt, geht das los: Betreiber kritischer Infrastrukturen. Das sind zum Beispiel Wasser, Energie, Telekommunikation. Aber ab wann wird es kritisch? Laut Clemens Binninger von der CDU/CSU wird geschätzt, dass etwa 2.000 Unternehmen unter „kritisch“ fallen. Aber wo festgemacht wird, ob ein Stadtwerk groß genug ist, um als solches zu gelten, bleibt im Dunkeln.
Weitere schwammige Formulierungen sind „kritischer Vorfall“ und „erhebliche Störung“. Wenn die vorliegen, muss gemeldet werden. Angeblich sollen Betreiber und BSI zusammen festlegen, wann was vorliegt, da die Betreiber am besten wüssten, welches ihre kritischen Betriebsprozesse seien. Das lässt viel Spielraum für Interpretationen und Rechtsunsicherheiten.
Nadine Schön von der CDU/CSU formulierte die Begriffsunklarheiten jedoch einfach als Feature statt als Bug: „Man muss sich die Begriffe alle nochmal anschauen. Aber Digitalisierung ist schnellebig“, deshalb brauche man ein flexibles Gesetz.
Meldebürokratie
Die vorgesehene Meldepflicht für Sicherheitsvorfälle gilt für Unternehmen, die kritische Infrastrukturen betreiben. Im Standardfall sind anonyme Meldungen vorgesehen. Das freut die Unternehmen, da kein Imageschaden zu befürchten ist. „Die Prangerwirkung ausschließen“, nennt das Mayer.
Für alle anderen, nicht-kritischen Unternehmen gibt es keine Meldepflicht. Genauso wenig wie für Bundes- und Länderverwaltungen und Behörden. Das sei „nicht ganzheitlich“, kritisierte von Notz. Noch weiter gehen sogar Bedenken des Juristen Christoph Althaus, der laut tagesschau.de darin eine Hinderung der Effektivität und sogar ein Problem mit der Verfassungskonformität sieht.
Aber auch wenn gemeldet werden muss, ist erst einmal unklar, was mit diesen Meldungen passiert. Ein „Lagebild“ soll das Bundesamt für Sicherheit in der Informationstechnik (BSI) daraus erstellen.
Namentliche Meldung muss erst ab dem Ausfall kritischer Infrastruktur erfolgen. Dann, wenn es sowieso jeder merkt, weil das Licht ausgeht. Große Datenlecks dürften damit nie namentlich meldepflichtig werden, denn sie beeinträchtigen nur selten direkt die Funktionalität eines Systems.
Wirksamkeit
Ob das ITSG wirklich dazu führt, dass Unternehmen höhere Sicherheitsstandards einführen, muss in der derzeitigen Form bezweifelt werden. „Keine positiven Anreize für die Wirtschaft, aber auch keine negativen“, so lässt sich von Notz zusammenfassen. Denn Haftungsfragen oder gar Bußgeldregelungen sollen im Gesetz nicht festgelegt werden. Das Gesetz setzt auch keine Anreize, den Umgang mit kritischer Software grundlegend zu überdenken. In der Enquête-Kommission Internet wurde empfohlen, dass Open-Source-Software gefördert werden solle. Halina Wawzyniak von den Linken ist enttäuscht:
Die Berichte der Enquête werden ignoriert.
Sie fordert, sich das Kerckhoff-Prinzip zu Herzen zu nehmen und die Sicherheitsmechanismen von kritischen Infrastrukturen offenzulegen. Außerdem möchte sie Regelungen, die bei „responsible disclosure“ den Veröffentlicher von Sicherheitslücken vor Strafverfolgung schützen.
Rolle von BSI, BKA, BfV und Co.
Vor allem im Schatten der letzten Aufklärungen bezüglich der Rolle des BSI bei der Entwicklung des Staatstrojaners und seinem Erwerb von Sicherheitslücken ist dessen Vertrauenswürdigkeit stark beschädigt. „So kann es kein Vertrauen bei den Bürgern geben“, meint Jan Korte von den Linken. Man müsse das BSI unter anderem vom Innenministerium lösen und zu einer unabhängigen Stelle machen.
Auch Christina Kampmann von der SPD scheint mit dem BSI nicht ganz glücklich zu sein. Es habe eine klare Rolle in der Cybersicherheit des Bundes – und zwar defensiv. Aktiv zur Ermöglichung von Sicherheitslücken beizutragen, schade der Glaubwürdigkeit des BSI sowie der Politik:
Wir müssen IT-Sicherheit für Bürger schaffen und nicht gegen sie.
Mayer dementiert die Vorwürfe: „Wir machen uns nicht zu Hehlern von Sicherheitslücken“, das Innenministerium habe keine Sicherheitslücken angekauft.
Auch der Verfassungsschutz und andere Ermittlungsbehörden spielen im IT-Sicherheitsgesetz eine Rolle. Es soll aufgerüstet werden bei den Geheimdiensten, und das gefällt nicht allen. Korte moniert, ein Grundproblem des Gesetzesentwurfes sei, dass „zuviel aus Perspektive des staatlichen Sicherheitsapparates“ gesehen wird. „Bei Geheimdiensten soll aufgerüstet werden, die für Unsicherheit stehen“, bei der Bundesdatenschutzbeauftragten belaufen sich die geplanten Stellenerweiterungen auf eine einstellige Nummer.
Fazit
Was ist jetzt zu halten von der Debatte? Es zeigt sich primär, dass die einen finden, der Entwurf greife viel zu kurz. „Kein großer Wurf“, „konsequente Fortsetzung des Klein-Kleins der digitalen Agenda“, „Gesetz zur Simulation von IT-Sicherheit“, so die Vorwürfe Janeceks. „Der Entwurf des ITSG ist eines der wichtigsten und größten Vorhaben aus der Digitalen Agenda. Die Cyber-Sicherheitsstrategie wird konsequent fortgesetzt“, findet dagegen Mayer. Er und andere optimistische Abgeordnete sehen das kommende deutsche ITSG sogar als „Blaupause“ und „Vorbild“ für eine ähnliche Regelung in der EU, die geplante „Network and Information Security“-Direktive. Viele sind sich jedoch bewusst, dass das ITSG nur ein Anfang sein kann, so wie Kampmann. Und auch Lars Klingbeil (SPD) fordert vor allem die Opposition dazu auf, konstruktive Vorschläge zur Verbesserung zu bringen, nur „nicht ganz so krawallig wie heute“.
Unsere Einschätzung hat sich seit dem letzten Mal nicht geändert. Der Entwurf greift zu kurz und in der jetzigen Form wäre er zum Papiertiger verurteilt.
Uns allen ist glaube ich klar, dass die Bundesregierung momentan auf allen Ebenen der digitalen Gesetzgebung versagt und exakt überhaupt gar nicht im Interesse der Bürger handelt. Einzelne Stimmen aus der SPD und vor allem die Opposition sind hier zwangsläufig unsere einzige Hoffnung. Aber solangsam frage ich mich ob die parteipolitische Kritik bei so einem medienunwirksamen Thema überhaupt irgendetwas zu bewirken vermag. So sehr ich die Ansichten und vor allem die Frustration von Konstantin von Notz teile; so sehr ich mir ihn als künftiger Minister für Netzpolitik auch wünsche; vielleicht hat Lars Klingbeil gerade in Punkto IT-Sicherheitsgesetz damit Recht, dass die Opposition evtl. im Sinne der Sache lieber objektive Verbesserungsvorschläge machen sollte. Aber naja – ich bin kein Politiker; wahrscheinlich hat es einen guten Grund, dass da kaum jemand sachlich argumentiert. Nur hätte man sich damit meiner Ansicht nach heute durchaus einen weitaus größeren Vorteil erspielen können.
Ich frage mich gerade, wieso sich gerade die von der Regierung mit so einem wichtigen Thema befassen, die selbst alle noch im #NEULAND leben. Wie kann jemand Gesetze und Vorschriften entwerfen, der noch nicht einmal weis, wovon er/sie da spricht? Hier gehören eindeutig Leute hin die Ahnung von dem haben, was sie da besprechen und nicht grüne, rote oder schwarze Minister(innen) die in der letzten Legislaturperiode noch Umweltminister oder Familienminister oder Lobbyist waren.
Außerdem frage ich mich, was soll da ganze Gelaber? Bevor ich etwas in Sachen Sicherheit fordere (oder per Gesetz festlege), muss ich als Staat den Leuten erst mal die Möglichkeit geben, auf sichere Voraussetzungen zugreifen zu können. Wieso gibt es seitens des Staates nicht eine groß angelegte Initiative, die den Leuten die Wichtigkeit von Verschlüsslung nahe legt und den Leuten zeigt, wie es geht? Der Bundesregierung ist es offensichtlich wichtiger, das sie legale Hintertüren in Verschlüsslungen bekommen, anstatt die Sicherheit ihrer eigenen Steuerzahler zu erhöhen. Wieso schickt man nicht Spezialisten in die Unternehmen, um dort erst einmal das Bewusstsein von Sicherheit vor die Gier von Profit zu setzen und zu etablieren? Wieso bietet man dem Normalbürger und den #NEULÄNDERN nicht kostenlose Kurse in verständlicher Sprache an, um erst einmal das Bewusstsein und gleich noch die Vorgehensweise für mehr Sicherheit zu erklären? Dann könnten nämlich auch der „Ich habe ja nix zu verbergen“ Gemeinde die Angst genommen werden, denn DIE sind es, die die wichtige Verschlüsslungsinitiative derer die mehr Erfahrung haben, ausbremsen und sogar verhindern.
Die sollten erst einmal die Vorraussetzungen schaffen, das die Leute sich ohne Aufwand und vor allem ohne hohe Kosten mit mehr Sicherheit versorgen können und erst wenn das gemacht ist, dann kann über weitere Sicherheitsmaßnahmen reden.
Das IT Sicherheitsgesetz könnte Wasserversorger und Stadtwerke massiv unter Druck setzen. Möglicherweise wird der Anpassungsprozess schmerzhaft und teuer. Es gibt viel Unwissen in Bezug auf IT Sicherheit, obwohl gerade dort die Systeme sehr sensibel und nicht selten unzureichend geschützt sind. http://lebensraumwasser.com/2015/02/25/sind-wasserversorger-gegen-hackerangriffe-gerustet/
Die haben sich vom IT–Sicherheits-Experten Guttenberg beraten lassen, der hat sein Abschluss schnell am Kopierer gemacht.
http://www.n-tv.de/mediathek/videos/wirtschaft/Europa-braucht-keine-eigene-Cloud-article14725921.html
IT-Sicherheitspolitiker überzeugen nicht durch IT-Sicherheit
Am vergangenen Freitag debattierten die führenden deutschen IT-Sicherheitspolitiker über das geplante IT-Sicherheitsgesetz im Bundestag. Es sprachen der Reihe nach:
– Dr. Thomas de Maizière (CDU)
– Jan Korte (Die Linke)
– Gerold Reichenbach (SPD)
– Dr. Konstantin von Notz (B90/Grüne)
– Stephan Mayer (CSU)
– Halina Wawzyniak (Die Linke)
– Christina Kampmann (SPD)
– Dieter Janecek (B90/Grüne)
– Clemens Binninger (CDU)
– Lars Klingbeil (SPD)
– Nadine Schön (CDU)
– Hansjörg Durz (CSU).
Grund genug um sich die Websites und E-Mail-Accounts dieser zwölf IT-Sicherheitspolitiker mal etwas genauer anzusehen.
Verschlüsselte Website:
Mit Ausnahme der Website von Bundesinnenminister Dr. Thomas de Maizière (SSL Labs B-Rating: Kein TLS 1.2, kein HSTS) wird keine einzige mit einem gültigen TLS-Zertifikat für eine verschlüsselte Verbindung (https) ausgeliefert. Und das im Jahre 2015, besser gesagt im Jahre 2 nach Snowden. Dabei würde man solche TLS-Zertifikate heutzutage sogar völlig kostenlos bekommen. Beispiele hierfür sind die chinesische WoSign CA (https://buy.wosign.com/free/), der israelische Anbieter StartSSL (https://www.startssl.com/?app=1) und bald auch das amerikanische Projekt „Let’s Encrypt“ (https://letsencrypt.org). Wie wäre es denn, wenn man mit dem IT-Sicherheitsgesetz auch eine CA, die kostenlos Zertifikate ausstellt, in Deutschland oder der EU schaffen würde?
Datenschutz / Datenweitergabe an Dritte:
Besucht man die Website thomasdemaiziere.de werden Daten an Vimeo und Google weitergeleitet, bei von-notz.de an Twitter, bei christina-kampmann.de an Google, bei lars-klingbeil.de an Google, Yahoo und Readspeaker, bei nadineschoen.de an Google und Twitter. Muss das denn sein?
E-Mail-Accounts:
Die Mail-Server der @bundestag.de Adressen sind vorbildlich eingerichtet. Seit dem kürzlichen Medien-Hype um Hillary Clinton muss jedoch gelten: Vorsicht beim Betrieb eines eigenes E-Mail-Servers! Die Mailserver von jankorte.de, mayerstephan.de, dieter-janecek.de und lars-klingbeil.de liefern jeweils einen Zertifikatsfehler. Der Mailserver von wawzyniak.de spricht kein TLS 1.2. Und aaaah, Hilfe: An @nadineschoen.de sollte man im Moment lieber gar nicht schreiben.
Ende-zu-Ende-Verschlüsselung:
Auf den öffentlichen PGP-Schlüssel-Servern findet man zu den E-Mail-Adressen des Bundestags einzig von Dr. Konstantin von Notz (konstantin.notz@bundestag.de) einen 2048 RSA Bit Key. Gerold Reichenbach kann man zumindest über seine private E-Mail-Adresse Ende-zu-Ende-verschlüsselt erreichen. Alle anderen IT-Sicherheitspolitiker haben hier dringend Nachholbedarf!
Sonstiges:
Auffällig ist, dass alle genannten Unionspolitiker (mit Ausnahme von Nadine Schön) ihren Web- und Mailserver bei der 1&1 Internet AG stehen haben.