Das Bundeskabinett hat heute eine neue Cybersicherheitsstrategie verabschiedet. Sie bildet den Nachfolger einer 2011 beschlossenen Strategie, die mittlerweile überholt ist. Das Papier wurde von der Bundesregierung im Alleingang formuliert, den Bundestag wollte sie trotz Kritik nicht daran beteiligen.
Die Cybersicherheitsstrategie steht im Kontext der immer wieder betonten wachsenden Bedrohungslage im sogenannten Cyberraum. Bundesinnenminister Thomas de Maizière warnte unter anderem vor Stromausfällen durch Hackerangriffe auf zentrale Infrastrukturen und vor einer Zuspitzung der „asymmetrischen Bedrohungslage im Cyberraum“ – also dem Prinzip, dass auch einzelne Angreifer oder Gruppen großen Schaden anrichten können.
In der Cybersicherheitsstrategie selbst ist von „steigender Komplexität und Interdependenz der eingesetzten Technik und sich ständig wandelnden Bedrohungen“ die Rede, auch die „Privatsphäre der Bürgerinnen und Bürger“ werde „zunehmend angreifbar“. Ein Satz, der im Hinblick auf das kürzlich verabschiedete BND-Gesetz eine durchaus ironische Note trägt.
Zusammenarbeit von Staat und Wirtschaft
Ein Teil der Cybersicherheitsstrategie dreht sich um die verstärkte Kooperation von staatlichen Institutionen und Wirtschaft. Um IT-Sicherheit auf hohem Niveau gewährleisten zu können, seien „im Sinne eines kooperativen Ansatzes auch neue Wege zu beschreiten, um die jeweiligen Kompetenzen zu bündeln und zu nutzen“.
Einer dieser neuen Wege – wenn auch nicht explizit erwähnt – ist die geplante „Cyberwehr“. Anfang Oktober hat netzpolitik.org zusammen mit Zeit Online einen Entwurf der „Kooperationsvereinbarung Cyberwehr“ veröffentlicht, aus dem Pläne von Bundesinnenministerium (BMI) und Bundesamt für Sicherheit in der Informationstechnik (BSI) hervorgehen, eine Art Freiwillige Feuerwehr für IT-Sicherheitsvorfälle bei Kritischen Infrastrukturen zu gründen.
Als Kritische Infrastrukturen werden Institutionen bezeichnet, die für das Funktionieren des Gemeinwesens unverzichtbar sind. Dazu gehören unter anderem Wasser- und Energieversorger, Nahrungs- und medizinische Versorgung, aber auch Finanz- und Versicherungswesen.
IT-Spezialisten aus Unternehmen, die sich der Cyberwehr anschließen, sollen zu den Betreibern Kritischer Infrastrukturen geschickt werden können, wenn diese einen Sicherheitsvorfall nicht mehr selbst beheben können. Am Prinzip der Cyberwehr gab es einige Kritik. Am meisten wurde in Frage gestellt, was Unternehmen dazu motivieren sollte, anderen kostenlos eigene Experten zur Verfügung zu stellen. Zum anderen ist es auch für Betroffene kritisch, Dritten Zugriff auf die eigenen IT-Systeme zu gewähren. Zudem demonstrieren die Pläne, dass es dem BSI derzeit nicht möglich ist, genügend eigene Experten anzuwerben, um selbstständig helfen zu können.
Ausweitung des IT-Sicherheitsgesetzes
Das im Juni 2015 vom Bundestag beschlossene IT-Sicherheitsgesetz hat seinen Namen kaum verdient. Kritikpunkte lagen vor allem darin, dass Betreiber Kritischer Infrastrukturen im Normalfall nur anonyme Meldungen bei IT-Sicherheitsvorfällen abgeben müssen. Das kommt den Unternehmen zwar sehr entgegen, da sie so keinen Rufschaden befürchten müssen, senkt aber auch die Motivation, ausreichende Absicherungen zur Vermeidung solcher Vorfälle zu treffen.
Weiterhin gab es im Gesetz einige unklare Begriffsdefinitionen sowie eine Beschränkung auf Kritische Infrastrukturen. Letzteres zumindest könnte sich bald ändern. Die Bundesregierung will prüfen, ob die Regelungen auch auf „andere Unternehmen von hoher gesellschaftlicher Relevanz“ ausgeweitet werden sollen. Davon abgesehen ist eine Neuregelung der Gesetzgebung zur IT-Sicherheit allein wegen der auf EU-Ebene verabschiedeten Direktive zur Sicherheit von Netz- und Informationssysteme – kurz NIS-Direktive – notwendig. Spätestens bis zum Mai 2018 müssen die Mitgliedstaaten der EU ihre eigenen Rechtsvorschriften anpassen, um der Richtlinie nachzukommen.
„Digitaler Sorglosigkeit entgegenwirken“
Die Strategie der Bundesregierung will nicht nur Unternehmen in die Pflicht nehmen, sie enthält auch Pläne, die Bevölkerung zu befähigen, sich sicherer im Netz zu bewegen. Oder in den Worten der Regierung: „die digitalen Verwundbarkeiten zu minimieren“.
Da dafür bereits in der Schule der Umgang mit digitalen Medien geübt werden muss, sollen Bund und Länder enger zusammenarbeiten. Die Unterschiede in der Medienausbildung zwischen den Ländern sind immer noch eklatant und die Pläne der Bundesregierung wirken wie eine Kursänderung. Noch im März 2015 verwies die Regierung auf die Eigenverantwortung der Länder bei der Medienbildung, doch im Oktober dieses Jahres kündigte Bildungsministerin Johanna Wanka einen „Digitalpakt“ des Bundes mit den Ländern an.
Erfreulich klingt, dass sich die Regierung für „leicht handhabbare und sichere Verschlüsselung“ einsetzen will. Die IT-Sicherheitsforschung soll vorangetrieben und Informationsangebote für die Allgemeinheit sollen ausgebaut werden. Doch gleich im nächsten Absatz relativiert die Regierung sich selbst und will Strafverfolgern und Sicherheitsbehörden die Möglichkeit geben, „verschlüsselte Kommunikation zu entschlüsseln oder zu umgehen“, wenn es erforderlich ist.
[Es] müssen die technischen Fähigkeiten der Strafverfolgungs- und Sicherheitsbehörden zur Entschlüsselung parallel zu den technischen Entwicklungen in Sachen Verschlüsselungen stetig fortentwickelt werden.
Widersprüchliche Haltung zu Verschlüsselung
Eine konkrete Ausprägung dieses Ziels kennen wir bereits: ZITiS – die Zentralstelle für Informationstechnik im Sicherheitsbereich. Sie soll „technische Unterstützung der Sicherheits- und Fachbehörden des Bundes einschließlich der Nachrichtendienste im Hinblick auf deren operativen Cyber-Fähigkeiten“ leisten, sollen laut Sicherheitsstrategie „Synergieeffekte“ für die Sicherheitsbehörden entstehen.
Das ist nicht das einzige Geschenk für die Sicherheitsbehörden. Sie sollen, in Bund und Ländern, „leistungsstarke Analyse- und Auswertetools“ bekommen und das Bundesamt für Verfassungsschutz erhält mehr Personal für die Spionageabwehr.
Sichere Verschlüsselung bereitstellen und sie bei nächster Gelegenheit gleich wieder brechen. Die Bundesregierung hat sich dafür das Mantra „Sicherheit durch Verschlüsselung und Sicherheit trotz Verschlüsselung“ zurechtgelegt. Doch auch nach mannigfaltiger Wiederholung wird das Konzept, so wie die Bundesregierung es sich gedacht hat, nicht funktionieren.
Man kann keine Systeme bauen, die eine hundertprozentig vertrauliche Kommunikation versprechen und sie dann wieder durch Sicherheitsbehörden umgehen. Für jede Entschlüsselung durch Sicherheitsbehörden, für jeden Staatstrojaner, werden Sicherheitslücken in Kauf genommen, ausgenutzt und nicht geschlossen. Damit ist kein Datenschutz „auf höchstem Niveau“ möglich. Denn zu glauben, andere Geheimdienste oder Kriminelle könnten diese Lücken nicht auch ausnutzen, ist naiv.
Konstantin von Notz, netzpolitischer Sprecher der Grünen im Bundestag, kommentiert dazu gegenüber netzpolitik.org:
Statt endlich grundsätzliche Weichenstellungen zur Verbesserung der IT-Sicherheit, zum Schutz digitaler Infrastrukturen und privater Kommunikation vorzunehmen, stellt sie grundlegende Verfassungsprinzipien weiterhin offen in Frage.
Cyber-Abwehrzentrum reformieren
Ein Kind der Cybersicherheitsstrategie 2011 ist das „Nationale Cyber-Abwehrzentrum“. Bisher ist es kein besonders beliebtes Kind: „Nicht geeignet“ attestierte der Bundesrechnungshof dem Cyber-Abwehrzentrum 2014. Eigentlich sollte es als Lagezentrum für den Informationsaustausch zwischen beteiligten Bundesbehörden dienen und die Fähigkeiten verschiedener Behörden bei der Abwehr von sogenannten Cybergefahren zusammenführen. In der Realität war die Institution jedoch wenig aktiv und hilfreich. Daher soll sie nun reformiert werden.
Aus einer Kleinen Anfrage aus dem August ging hervor, dass eine Evaluation des Cyber-Abwehrzentrums stattgefunden hat – das Ergebnis ist leider nicht öffentlich zugänglich. Einige Informationen zur Umgestaltung gibt es dennoch: Im Juni antwortete das BSI auf Nachfrage von netzpolitik.org, dass in Zukunft auch anlassabhängig „die aufsichtsführenden Stellen über die Kritischen Infrastrukturen in Deutschland daran angebunden“ werden sollen. In der Sicherheitsstrategie werden auch die Länder eingeladen, teilzunehmen.
Außerdem heißt es, das Cyber-Abwehrzentrum solle „mit eigenen Bewertungs- und Auswertungsfähigkeiten ausgestattet“ werden. Bei seiner Gründung gab man dem Cyber-Abwehrzentrum kein eigenes Personal, alle zehn Mitarbeiter waren weiterhin den beteiligten Behörden zugeordnet.
Provider und „datenschutzkonforme Sensorik“
Ein Absatz, der Rätsel aufgibt, dreht sich um Zusammenarbeit mit Kommunikationsprovidern zur Erkennung und zum Umgang mit Cyber-Bedrohungen:
Der Ausbau datenschutzkonformer Sensorik zur Anomalieerkennung im Netz ist hierbei ein wirksames Mittel, um die Datensicherheit im Netz generell zu erhöhen. Um die Rechte der Betroffenen zu schützen, sollen die Erkenntnisse anonymisiert bzw. pseudonymisiert werden.
Schon als Zeit Online und der Deutschlandfunk im Sommer über einen Entwurf der Strategie berichteten, warfen sie die Frage auf, ob damit Deep Packet Inspection gemeint ist. Also das Analysieren und Hineinschauen in Datenpakete, auch hinsichtlich ihres Inhaltes.
Eine Rechtsgrundlage dafür gibt es nicht. Und dass die Erkenntnisse „anonymisiert bzw. pseudonymisiert“ werden sollen, beruhigt nicht. Zum einen, weil das Wörtchen „beziehungsweise“ signalisiert, dass eine Anonymisierung vermutlich nicht stattfinden würde. Und eine Pseudonymisierung, so ihre Eigenschaft, erlaubt eine nachträgliche Zuordnung.
Viele offene Fragen zum Schluss
Große Teile der Cybersicherheitsstrategie waren inhaltlich bereits vorher bekannt: Der geplante Aufbau von ZITiS, die Pläne zur Cyberwehr, die Umstrukturierung im Cyber-Abwehrzentrum – um nur einige Punkte zu nennen.
Liest man sich die 46 Seiten durch, auf denen im Durchschnitt über sechs mal pro Seite das Präfix „Cyber“ auftaucht, bleibt man stellenweise ratlos zurück. Vieles ist unklar: Wie soll die Zusammenarbeit von Wirtschaft und Staat bei Fragen der IT-Sicherheit aussehen? Wie will man Verschlüsselung stärken und gleichzeitig Sicherheitsbehörden mitlesen lassen? Was ist eigentlich „datenschutzkonforme Sensorik“? Wo soll eigentlich das ganze dafür benötigte Personal herkommen, an dem es schon heute an allen und Ecken fehlt? Und: Bis wann soll das alles umgesetzt werden? In dieser Legislaturperiode wird das nicht mehr funktionieren.
So neu ist es ja nicht, dass der „Staat“ und die Kommerzialisierung das Internet kaputt gemacht haben. Dann verwenden wir eben Tor als Standardbrowser und meiden Win 8/8.1/10. Damit ist man ziemlich sicher unterwegs. Die Miesere probiert sich mit der Quadratur des Kreises. Wer Lücken für den „Staat“ fordert, braucht nicht glauben, dass diese Lücken nicht auch anderen „Anwendern“ zur Verfügung stünden.
Alles Cyber, oder was? ;-)
Wenn Verschlüsselung durch „den Staat“ knackbar ist, dann ist sie auch für jeden anderen knackbar und somit überflüssig und kann ganz abgeschafft werden. Entweder nach derzeit geltenden Standards sicher, oder lückenhaft. Beides geht nicht. Und demnach auch sicher vor dem Staat. Denn machen wir uns nichts vor: Viel Terror geht inzwischen vom Staate aus!
Und nur weil „der Staat“ bis heute Verschlüsselungen nicht knacken kann, ist noch nichts geschehen, das ein Eingreifen dringend erforderlich gemacht hätte. Wir leben alle noch, trotz Verschlüsselung. Können wir das bitte mal daran festmachen? Danke.
Und endlich Datenschutzgesetze verabschieden, die dem Bürger nützen und uns vor Microsoft, Apple und Googles dieser Welt schützen? Danke.
In der Politik sitzen IT-technisch lauter doofe Menschen. Sie sprechen von Autobahnen und Stopschildern. Und wir wählen so etwas auch noch!
Was sicherheitskritische Infrastruktur angeht, sollten wir künftig als erste Frage stellen:
„Des Ding, des mia do hamm, muss des jetz ans Inddernetz oder muss des ned ans Inddernetz? Kämma des a anderscht lösn oder wie hamm ma des früher gmacht?“
Und dann klären sich schon viele Dinge. Ich muss das Atomkraftwerk nicht von zu Hause aus fernadministrieren können, dafür gibts Personal vor Ort, das das wesentlich besser kann. Wir leben in einer Zeit, in der wir denken, es sei gut, wenn alles ans Netz kommt. Das ist es aber nicht. Schaltet alle Fernzugänge bei Dingen ab, die nicht ans Netz müssen. Und schon ist das Problem weitestgehend gelöst. Was ich gar nicht erst cyberangreifen kann, ist auch nicht gefährdet. Und wenn so ein dahergelaufener Mänaddscha daherkommt und denkt, dass ihm dabei einer abgeht, wenn man sein tolles Dingsi ans Netz pinöppelt, nur damit seine BWL-Armee eine Kostenstelle um paar Euro reduzieren kann, dann muss man diesen Leuten einfach mächtig in die Eier treten und sagen: „Nö.“ Im Wiederholungsfall wird dann nicht der Mitarbeiter entlassen, sondern der Mänaddscha.
Würde man den deutschen „Entscheidern“ endlich etwas Verstand einprügeln, dann hätten wir solche Probleme gar nicht erst. Fortschritt schön und gut, aber doch nicht mit der Brechstange unter Ignoranz aller Risiken, die uns dann massenhaft auf die Füße fallen. Machen „weils geht“ war schon immer eine schlechte Idee. Das gilt übrigens auch insbesondere für Sicherheitsdienste. Wie bescheuert kann man sein? Ich vergaß, wir sind das Land, das permanent Datenbanken will, mehr Überwachung, mehr Kontrolle, mehr Automatisierung, mehr Zentralisierung.
Mal sehen, wann wir Flugzeuge bekommen, die man vom Boden aus fernsteuern kann. Weil das irgendwie hilft, Terroristen und depressive Piloten von ihrem Plan abzubringen. Irgendein CSU-Politiker aus der hinteren Ecke kommt doch da sicher eines Tages vorbei und findet die Idee gut.
Wir hinterlassen unseren Kindern bereits heute ein Land, in dem es sich nicht mehr lohnt zu leben. Unfrei, in Gefangenschaft und permanent unter irgendwelchen Repressalien. Warum benennen wir uns nicht einfach um? In Bundesgefängnis Deutschland – der größte Freiluftknast der Welt.
Korrekt! Warum darf kritische Infrastruktur überhaupt an das Internet angebunden werden? Ernsthaft. 100%ige Sicherheit kann es nie geben. Im besten Fall ist mal das Licht aus oder die Heizung bleibt kalt – im schlimmsten Fall fliegen uns demnächst die Industrieanlagen um die Ohren oder Terroristen steuern unsere autonomen Fahrzeuge fern. Wird mal Zeit den Stecker zu ziehen.
Nur sechs mal „Cyber“ pro Seite? Das ist steigerungsfähig.
Sobald eine Verschlüsselung mit einer Hintertür versehen ist, kann sie immer auch von weiteren Dritten missbraucht werden. Sei es durch fremde außerdeutsche Geheimdienste oder Hackern oder Kriminellen.
Folglich entweder man verschlüsselt, dann richtig (keiner kommt rein) oder das Internet ist gescheitert. Fertig. Das ist alles was man dazu sagen muss. Macht lieber Politik, die die Menschenwürde und Menschenrechte nicht verletzten und die Bedürfnisse der heutigen Zeit ernstnimmt. Oder ihr geht nach Hause siehe Beispiel Trump. Sich jahrelang im Schatten rumdrücken und sich kein Stück um all die ganzen geleaken Probleme zu kümmen, mit Neulandsschildern zu winken und sich null für den Schutz der Bürger einzusetzen, ist politisch grob fahrlässig!
Und NEIN ihr dürft nicht alle Leben der Bürger kontrollieren, liebe Regierende. Schämt Euch dafür, soetwas überhaupt nach und nach durchzudrücken. Besraft die Terroristen aber nicht die eigene Bevölkerung und setzt euch endlich mal für echte Menschenrechte ein, anstatt für eure Kumpels FVEYs oder der geilen Wirtschaft.
Ich habe im Rahmen des Twitter-„Live-Chats“ mal eine der offenen Fragen aufgegriffen und an den Staatssekretär gestellt, die Antwort ist leider auch eher ein Eiertanz und lässt nichts gutes vermuten.
Frage: „Ist mit ‚datenschutzkonformer Sensorik zur Anomalieerkennung im Netz‘ Deep Packet Inspection gemeint?“
Antwort: „Es sollen künftig mehr Daten ausgewertet werden dürfen, um Cyber-Angriffe frühzeitig erkennen & rechtzeitig abwehren zu können. Aber: enge Zweckbindung.“ (auf Twitter: https://twitter.com/BMI_Bund/status/796671950928154624)