Deutsche Telekom präsentiert „Zehn-Punkte-Programm für mehr Sicherheit im Netz“

Die Deutsche Telekom präsentiert heute ein „Zehn-Punkte-Programm für mehr Sicherheit im Netz“, da die „massive Überwachung durch ausländische Geheimdienste sowie immer neue Fälle von Cyberkriminalität die digitale Entwicklung gefährden“. Um „mehr Transparenz, klare Verantwortlichkeiten und zusätzliche Expertise für einen besseren Schutz von Daten und Infrastruktur“ zu erreichen hat der Telekom-Konzern zehn Punkte formuliert, die wir hier kurz bewerten.

1. Die Erkenntnisse, die Edward Snowden zur Verfügung gestellt hat, müssen vollständig offengelegt und zugänglich gemacht werden. Nur so können mögliche Schwachstellen im Netz identifiziert und unverzüglich geschlossen werden.

Finden wir gut, aber konsequenterweise müsste die Deutsche Telekom auch fordern, dass alle Dokuemnte des NSA-Untersuchungsausschuss im Deutschen Bundestag offengelegt werden müssen. Inklusive der Dokumente zu Eikonal.

2. Innerhalb der EU sollten die Mitgliedsländer auf gegenseitiges Ausspionieren des Telekommunikations- und Internetverkehrs verzichten. Auch mit den USA sollte weiterhin ein Abkommen über einen Spionage-Verzicht angestrebt werden.

Die Formulierung „sollte“ ist natürlich zu schwach, „müssen“ wäre konsequenter. Wir sagen einfach „Innerhalb der EU müssen die Mitgliedsländer auf gegenseitiges Ausspionieren des Telekommunikations- und Internetverkehrs verzichten.“ Eigentlich eine Selbstverständlichkeit, ist es aber leider nicht. Die scheinen alle in einem Ringtauschsystem eingebunden zu sein und sehen das eher als Feature an, die anderen zu überwachen und das dann auszutauschen. Oder einfach mal zu überwachen und das nicht auszutauschen (z.b. REIGN-Trojaner vom GCHQ).

3. Sicherheitsbehörden sollten transparent machen, welche Informationen sie über Telekommunikations- und Internetnutzer abfragen. Dazu gehören Anzahl und Art der erfolgten Anfragen und Auskünfte sowie der überwachten Anschlüsse.

Transparenzberichte finden wir gut. Das muss aber auch BND beeinschließen. Und auch hier haben wir wieder die Formulierung „sollen“ statt „müssen“.

4. Unternehmen müssen Transparenz über Sicherheitsstandards und erfolgte Angriffe schaffen. Nur durch gegenseitige Ergänzung wird ein möglichst umfassender Schutz vor Cyberangriffen erreicht. Die Telekom hat ihre technischen Sicherheitsstandards unter www.telekom.com/sicherheit veröffentlicht und macht Cyberangriffe unter www.sicherheitstacho.eu transparent.

Ja, wäre was fürs IT-Sicherheitsgesetz. Da scheut sich leider die Bundesregierung, genau das durchzusetzen. Wichtig wäre eine Informationspflicht bei Sicherheitsschwankungen für alle Betroffene!

5. Forschung und Bildung zu Cybersicherheitsthemen müssen verstärkt werden. Die Telekom richtet einen Lehrstuhl für Datenschutz und Datensicherheit an der Hochschule für Telekommunikation in Leipzig ein. Mit der Plattform Teachtoday.de stellt die Telekom zudem Unterrichtsmaterialien für Schulen zum Themenkomplex Sicherheit und Datenschutz bereit.

Müsste man mal, finden wir auch.

6. Analytik und Forensik zur Netzsicherheit müssen verstärkt werden. Dafür sollten die Cyber Emergency Response Teams (CERT) in den Unternehmen ausgebaut und enger verzahnt werden. Neben der Verstärkung ihres Teams fördert die Telekom die Ausbildung von Spezialisten: Gemeinsam mit der IHK Köln wurde 2014 ein neues Qualifikationsprogramm „Cyber Security Professional“ geschaffen. Die Telekom wird in den nächsten Jahren mehrere hundert Mitarbeiter zu IT-Sicherheitsexperten weiterqualifizieren.

Das ist auch Aufgabe des BSI. Das muss unabhängig und aus dem BMI gelöst werden. Zudem darf es nur defensiv sein, nicht offensiv. Informationen über Sicherheitslücken müssen geschlossen und veröffentlicht werden.

7. Perspektivisch sollten Inhalte auf dem Übertragungsweg Ende zu Ende verschlüsselt werden. Hier sind Hersteller, Netzbetreiber und Diensteanbieter gleichermaßen gefordert, einfache Lösungen für Kunden zu entwickeln. Die Telekom setzt sich bei den Standardisierungsgremien für einheitliche Verschlüsselungstechniken ein.

Müsste man mal. Was macht eigentlich DE-Mail von der Deutschen Telekom?

8. Netzbetreiber dürfen sich nicht von einzelnen Herstellern kritischer Infrastrukturkomponenten abhängig machen. Die Telekom führt für diese Elemente eine so genannte georedundante Dual-Vendor-Strategie ein. Bei kritischen Komponenten setzt die Telekom Produkte von mindestens zwei Herstellern aus unterschiedlichen geographischen Regionen ein.

Sitzen dann Chinesen und US-Amerikaner gleichzeitig in den Netzen der Deutschen Telekom Netzen und belauschen sich gegenseitig? Was ist mit der Förderung von nationalen Hardwareproduktionen?

9. Hersteller von Hard- und Software müssen genauso wie Netz- und Diensteanbieter bekannte Schwachstellen unverzüglich beseitigen. Die Telekom wird ihre Zulieferer dazu verpflichten. Bei besonders kritischen Komponenten sollte die Sicherheit der Produkte durch eine unabhängige Prüfstelle nachgewiesen werden. Das IT-Sicherheitsgesetz sowie die entsprechende Richtlinie der EU sollten das aufgreifen.

Klingt ja sinnvoll, aber wie läuft das denn in der Praxis wie gerade mit Android 4.3, wenn sich Google weigert, weiterhin Updates für die bei der Telekom ausgelieferten Handies zu liefern?

10. Daten dürfen beim Transport durch das Internet keine Umwege durch andere Rechtsräume nehmen. Im Telekom-Netz ist das Internet der kurzen Wege bereits realisiert. Diesen Ansatz will die Telekom mit einer Selbstverpflichtung aller Internetprovider weiter vorantreiben. Damit würde ein unberechtigter Zugriff auf die in Europa transportierten Daten von außerhalb deutlich erschwert.

Vom Schengenrouting sind wir auch als Selbstverpflichtung statt Gesetz noch nicht überzeugt.

Insgesamt sind das schon ein paar spannende Punkte, die die Deutsche Telekom als großer Player heute kommuniziert. Wie immer gilt: Worte sind schön, konkrete Taten lassen sich besser beurteilen.

Deine Spende für digitale Freiheitsrechte

Wir berichten über aktuelle netzpolitische Entwicklungen, decken Skandale auf und stoßen Debatten an. Dabei sind wir vollkommen unabhängig. Denn unser Kampf für digitale Freiheitsrechte finanziert sich zu fast 100 Prozent aus den Spenden unserer Leser:innen.

11 Ergänzungen

  1. Zum Kommentar von Punkt 9: Nicht Google weigert sich, Updates für die von der Telekom verkauften Smartphones zu liefern. Dies ist die Aufgabe der Smartphone Hersteller.

    1. Ich glaube bei dem Kommentar zu Punkt 9 geht es im Speziellen um eine aktuelle Sicherheitslücke in Android 4.3, die Google wohl nicht mehr beheben wird mit dem Hinweis darauf, die User sollten statt des eingebauten Browsers Chrome oder Firefox nutzen und irgendwann würde 4.3 dann auch verschwinden.

      Unabhängig davon haben Sie aber recht, dass viele Smartphone-Hersteller und Provider, die eigene Modellreihen vertreiben, häufig viel zu wenig für Updates tun.

      1. Ich kenne die Hintergründe zur aktuell diskutierten Android 4.3 Sicherheitslücke und weiß auch, dass das Problem mit „installiert Firefox oder Chrome“ nicht aus der Welt zu schaffen ist. Ich wollte nur darauf hinweisen, dass Google-Blaming, was mir in anderen Fällen durchaus gerechtfertig scheint, hier vom eigentlichen Problem ablenkt.

        1. Mir ging es nicht um Google-Blaming, das war nur der erste Fall, der mir beim Schreiben einfiel und wo ich dachte, dass das spannend sein könnte, um das Versprechen der Telekom zu testen.

  2. Eine Bessere Überschrift wäre wohl gewesen, Die Telekom und der schöne Schein oder wie lenken wir von unserer eigenen Unfähigkeit ab!

  3. Die Wörter mit den roten Linien drunter, sollte man vor der Veröffentlichung nochmal genau angucken…

  4. Wer wissen möchte was aus diesem 10 Punkte Plan wird, schaut sich am besten mal die x-Punkte-Pläne von Ilse Aigner und CSU-Horst an, kein weiterer Kommentar.

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.