Neues IT-Sicherheitsgesetz: Internet-Anbieter dürften zukünftig nicht-definierte „Steuerdaten“ auswerten

Internet-Anbieter bekommen mehr Möglichkeiten, den Datenverkehr ihrer Kunden zu überwachen und zu filtern. Das steht in einer Änderung des IT-Sicherheitsgesetzes, die der Bundestag heute beschließt. Nur zwei Jahre nach Verabschiedung des Gesetzes müssen EU-Vorgaben eingepflegt werden.

Gegen Störungen mit Steuerdaten vorgehen – was auch immer das ist. (Symbolbild) – Public Domain Keith Wickramasekara

Im Rahmen des heutigen Abstimmungsmarathons im Bundestag soll auch eine Reform des erst zwei Jahre alten IT-Sicherheitsgesetzes beschlossen werden. Der offizielle Titel lautet Gesetz über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der [Europäischen] Union. Damit wird die EU-Richtlinie zur Stärkung von Netzwerk- und Informationssystemsicherheit umgesetzt.

Schnelle Eingreifteams beim BSI

Es sollen mehrere Gesetze geändert werden, darunter das Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSI). Dadurch werden die Aufgaben des BSI erweitert. Die große Koalition will unter anderem Grundlagen für sogenannte Mobile Incident Response Teams konkretisieren. Diese mobilen und schnellen Eingreifteams sollen bei besonders schweren IT-Sicherheitsvorfällen zur Stelle sein und unter anderem Betreibern Kritischer Infrastrukturen wie Stromversorgern helfen, Sicherheitsvorfälle in den Griff zu bekommen. Dafür sollen 63 neue Stellen beim BSI geschaffen werden.

Das BSI kann bereits heute einspringen, wenn Bundesstellen und Kritische Infrastrukturen Probleme mit der IT-Sicherheit haben und einwilligen, durch das BSI unterstützt zu werden. Jetzt soll das BSI zusätzlich dann eingreifen dürfen, wenn etwa der „Netzwerkverkehr der betroffenen Einrichtungen analysiert werden muss“. Da die Auswertung von Netzwerkverkehr ein Eingriff in das Fernmeldegeheimnis ist, bedarf es ausdrücklicher Regelungen, die zuvor nicht vorhanden waren.

Bauchschmerzen beim Datenschutz

Konstantin von Notz, Mitglied der grünen Bundestagsfraktion im federführenden Innenausschuss, sieht trotz der Regelungen noch Datenschutzprobleme. Betroffene Unternehmen scheuten sich, „Schadensfälle zu melden, weil das BSI weiterhin vom Innenministerium mit seinem Überwachungsfokus abhängig ist und der Datenschutz bei Eingreifteams nicht sichergestellt ist“, sagt er gegenüber netzpolitik.org. „Solange Sicherheitsbehörden offensichtlich lieber Sicherheitslücken ankaufen und offen halten anstatt diese zu schließen, bleibt man hier unglaubwürdig.“

Der kritische Punkt liegt hier bei der Datenweitergabe. Schon bisher darf das BSI „Protokolldaten, die beim Betrieb von Kommunikationstechnik des Bundes anfallen“, an Polizeien und Geheimdienste weitergeben. Mit dem neuen Gesetz wird die Weitergabe auch für den Netzwerkverkehr Kritischer Infrastruktur erlaubt, da sich „wichtige Erkenntnisse für ihre Aufgabenwahrnehmung ergeben können“.

Bezahlte freiwillige Cyberwehr

Die geplante Gesetzesänderung beinhaltet auch eine rechtliche Grundlage für die sogenannte Cyberwehr. Im Oktober hat netzpolitik.org den Entwurf eines Kooperationsvertrages veröffentlicht, mit dem Eingreifteams des BSI auch durch IT-Sicherheitsexperten aus Wirtschaftsunternehmen unterstützt werden sollen.

Die Pläne wurden infolgedessen aus der Wirtschaft kritisiert, da die Mitarbeit ursprünglich unentgeltlich und freiwillig geplant war. In der neuen Regelung ist daher vorgesehen, dass die hilfesuchenden Stellen die Kosten für externe Unterstützung tragen müssen.

Zugriff auf „Steuerdaten“

Der Innenausschuss hat den Gesetzentwurf der Bundesregierung noch einmal geändert. Laut Beschlussempfehlung des Ausschusses soll auch das Telekommunikationsgesetz erweitert werden. Anbieter von Telekommunikationsdiensten sollen neben Bestands- und Verkehrsdaten zusätzlich „Steuerdaten“ speichern und nutzen können, um Störungen beheben und unerlaubten Zugriff auf Telekommunikations- und Datenverarbeitungssysteme verhindern zu können.

Was das bedeutet, ist nicht auf den ersten Blick zu erkennen. Die Begriffe Bestands- und Verkehrsdaten sind im Telekommunikationsgesetz definiert. Bestandsdaten umfassen Kundendaten wie Name und Adresse. Damit kann beispielsweise ermittelt werden, welcher Teilnehmer hinter einer bestimmten IP-Adresse steckt. In den Verkehrsdaten sind Teilnehmer und Umstände von Kommunikation erfasst. Bei Mobiltelefonie heißt das: Wer telefoniert wann mit wem und wo?

Was Steuerdaten sind, ist nicht im TKG definiert. Auf Nachfrage von netzpolitik.org bei der Telekom, was bei Steuerdaten gespeichert werden würde, antwortete ein Pressesprecher:

Die Art des Verkehrs ist nicht in den Verkehrsdaten enthalten. Das ist aber beispielsweise notwendig, um DDoS-Attacken zu erkennen.

In der Beschlussempfehlung des Innenausschusses wird ausdrücklich darauf hingewiesen, dass es nicht um die Inhalte der Kommunikation gehe. Dass sich die zusätzlichen Informationen durch Steuerdaten nur auf die Art des Verkehrs beziehen, sagt die Begründung der Beschlussempfehlung jedoch nicht. Je nach Angriffsart und -durchführung seien unterschiedliche Daten aus verschiedenen Schichten der Netzwerkprotokolle notwendig, heißt es.

Deep Packet Inspection oder nicht?

Netzpolitik.org fragte bei den Berichterstattern der Regierungskoalitionen, Gerold Reichenbach (SPD) und Clemens Binninger (Union), nach, ob es sich dabei um eine Auswertung handele, welche Ports bei der Kommunikation verwendet werden und welche sonstigen Protokolldaten unter die Regelung fallen. Bisher erhielten wir darauf jedoch keine konkrete Antwort.

Reichenbach kommentierte, man wolle damit die Befugnisse von Diensteanbietern auf rechtssicheren Boden stellen, „die sie heute oft über ihre Allgemeinen Geschäftsbedingungen etwa zur Spam-Abwehr regeln“. Einer Darstellung als „Light-Version von Deep Packet Inspection“ verwehre er sich. Das wurde beispielsweise bei der Berichterstattung auf heise.de genannt. Man habe deutlich formuliert, dass es sich nur um Netzwerkprotokolldaten handele und Kommunikationsinhalte vollständig ausgeschlossen seien.

Deep Packet Inspection liegt aber nicht nur dann vor, wenn Kommunikationsinhalte angeschaut werden. Auch die Auswertung von Protokollinformationen, die für die Zustellung von Datenpaketen nicht notwendig sind, ist ein „tieferes“ Hineinschauen in die Kommunikation. Martina Renner, Berichterstatterin der Linken für das Gesetz, kündigte an, ihre Fraktion werde dem Entwurf nicht zustimmen – unter anderem, weil die Regelung zur Speicherdauer dieser Daten – auch außerhalb technischer Störungen – „schwammig“ bliebe:

Es drängt sich auf, dass so ein Türöffner geschaffen werden soll. Jedenfalls können die so erlangten Daten für tiefgreifende Analysen des Verhaltens von Nutzerinnen und Nutzern missbraucht werden.

Internet-Filter gegen Internet der Dinge

Die vorgeschlagene Änderung geht über die Analyse der Daten noch hinaus. Diensteanbieter sollen in die Telekommunikationsverkehre von Nutzern eingreifen, sie filtern und bei Vorliegen einer Störung „einschränken, umleiten oder unterbinden“ dürfen. Voraussetzung dafür ist, dass Nutzer eine von ihnen ausgehende Störung nicht selbst beseitigen oder „eine unverzügliche Beseitigung durch den Nutzer nicht zu erwarten ist“. Dieser Halbsatz zielt auf das sogenannte Internet der Dinge.

In der Vergangenheit haben Angreifer Geräte mit miserablen Sicherheitsvorkehrungen übernommen, um große DDoS-Angriffe durchzuführen. Das ist ein Problem. Ein genauso großes Problem ist es jedoch, den Diensteanbietern derartig umfassende Rechte zu gewähren, bei „Störungen“ Verkehre ihrer Nutzer zu filtern und zu blockieren. In der Begründung heißt es:

Hierbei wird legitime Kommunikation von maliziöser Kommunikation getrennt.

Was „legitim“ oder „maliziös“ ist, entscheidet der Anbieter selbst.

Nachbesserung bei Meldepflichten für Vorfälle

Neben Eingreifteams, Cyberwehr und Steuerdaten regelt der Gesetzentwurf noch weitere Punkte, etwa zu Meldepflichten bei IT-Sicherheitsvorfällen. Diese waren bereits im zuvor verabschiedeten ersten IT-Sicherheitsgesetz von 2015 geregelt, werden aber nun konkretisiert und ausgeweitet. Damals kritisierten Sachverständige des Bundestages, dass nicht genau definiert ist, welche Vorfälle gemeldet werden müssen. Da die bisherigen Meldepflichten der EU-Richtlinie nicht genügen, musste nachgebessert werden. Konstantin von Notz sagt gegenüber netzpolitik.org: „So muss sich Berlin nach dem überhasteten IT-Sicherheitsgesetz nun erst von Brüssel zu verschärften Melde- und Kontrollpflichten verhelfen lassen.“

Das IT-Sicherheitsgesetz ist nicht einmal zwei Jahre alt. Auf EU-Ebene begannen bereits 2013 die Arbeiten an der EU-Richtlinie zur IT-Sicherheit. Es war demnach bekannt, dass kurz nach der Verabschiedung des IT-Sicherheitsgesetzes bereits Änderungen nötig werden würden. Dennoch stimmten die Regierungsfraktionen für das Gesetz. Stephan Mayer von der Unionsfraktion sagte sogar in der 1. Lesung, man wolle ein „Vorbild“ für die NIS-Richtlinie sein.

Doch auch die aktuelle Nachbesserung des IT-Sicherheitsgesetzes lässt noch einige Fragen offen. Und es ist abzusehen, dass zukünftig weitere Änderungen notwendig sein werden. Ein ganz konkreter Punkt betrifft die Frage, welche Einrichtungen überhaupt zu Kritischen Infrastrukturen gezählt werden, die besonders geschützt werden müssen und für die besondere Vorgaben gelten. Für die Bereiche Energie, Informationstechnik und Telekommunikation, Wasser sowie Ernährung wurde das in der ersten KRITIS-Verordnung definiert. Für die Bereiche Finanzen, Transport, Verkehr und Gesundheit steht eine Definition noch aus.

Deine Spende für digitale Freiheitsrechte

Wir berichten über aktuelle netzpolitische Entwicklungen, decken Skandale auf und stoßen Debatten an. Dabei sind wir vollkommen unabhängig. Denn unser Kampf für digitale Freiheitsrechte finanziert sich zu fast 100 Prozent aus den Spenden unserer Leser:innen.

9 Ergänzungen

  1. Übrigens, zum Thema DPI:

    Die BEREC Guidelines zur NN-Verordnung („BEREC Guidelines on the Implementation by National Regulators of European Net Neutrality Rules“) definieren die Kommunikationsdaten, also die Inhalte die DPI wären, als Transportlayer Protocol Payload. (siehe Absatz Nr. 66 und 67 in den Guidelines)

    Die Payload der OSI Layer 4 ist dort also – zumindest für Verkehrsmanagement – tabu. Das sehen die Cyberleute sicher nicht so. Die werden wohl nur die OSI Layer 7 Payload als Inhalt ansehen und den Rest fröhlich durchschnüffeln.

  2. Sogenannte Steuerdaten sind nirgendwo definiert. Das wird schon so etwas sein, wie die Erfassung der Ports, über die der Traffic läuft. Den Artikeln auf Heise und Golem war zu entnehmen, dass es sich um etwas wie deep packet inspection handelt. Wenn man das verstehen will, muss man sich wahrscheinlich den Quellcode https://github.com/countercept/doublepulsar-detection-script ansehen, dann weiß man, wie so etwas funktioniert. Auf den ersten Blick würde ich sagen, um diese Schadware zu sichten braucht man auf jeden Fall den Port, hier 445. Wenn es darauf hinausläuft, ist es sehr wohl deep packet inspection.

    Denen scheint so etwas wie der Bricker Bot vorzuschweben, https://www.golem.de/news/internet-of-things-bricker-bot-soll-2-millionen-iot-geraete-zerstoert-haben-1704-127483.html , nur, dass Geräte, die illegale downloads ziehen oder der Politik/Konzernen sonst missliebig auffallen, auch geblockt werden sollen.

    Da diese Steuerdaten nirgendwo definiert sind und das Ziel vorgegeben wird, muss man wohl davon ausgehen, dass es sich um deep packet inspection i.e.S. handelt.

    1. Da der Artikel DDoS erwähnt, gehe ich davon aus, dass mit Steuerdaten Signalisierungs- und Flowcontrol-Flags gemeint sein könnten. OSI 4 sollte dennoch Tabu bleiben. Eine Sync-Flood erkennt man auch auf der IP-Layer.

  3. @Gerhard

    Richtig.

    Während auf OSI 3 die IPs „herumfliegen“, fügt TCP diese in einem virtuellen Kanal zusammen. Aus vereinzelten IP-Packets mit Payloads wie beispielsweise „12:00 Uhr“, „Bombe“ und „Kanzleramt“ werden neue Verdachtsmomente erkennbar.

    Der Begriff DPI wird von den Verantwortlichen bewusst vermieden, da dieser oft in Artikel zur Internetzensur zu lesen ist.

    Den gefürchteten Correlation-Attacks auf Tor kommt man so auch einem Schritt näher.

    Das ist nachvollziehbar :D

  4. Schon wieder: „Cyber“. Das Wort heißt doch „Zauber“!

    Z.B. Zauberwehr oder Zauberterrorismus.

  5. Vor 2 Tagen wurde ich hier im Blog noch als Verschwörungstheoretiker tituliert. Nur wegen meiner Behauptung, dass die Regierung wieder die Zeiten herstellen will, wo es Kommunikation nur in eine Richtung, nämlich die von oben nach unten gab. Da sind wir jetzt schon gefährlich nahe dran und keinen regt das auf. Fehlt nur noch das Verschlüsselungsverbot… VPN kann man ja jetzt schon mit DPI dicht machen.

  6. Sogenannte Steuerdaten, also Telegramme mit Steuerinformationen, gibt es nicht. Abgesehen von Daten, die Layer-3-Switche untereinander zur Paketweiterleitung (Netzwerkmanagement) austauschen. Darum geht es nicht.

    Also können die so bezeichneten Daten nur Standard-Pakete sein (z. B. TCP, UDP…), die alle möglichen Daten enthalten können. Sie zu analysieren ist eindeutig Deep Packer Inspection.

    Statistische Informationen der Netzwerkgeräte, die DDoS anzeigen könnten, sind Statistikdaten. Können also nicht unter dem Begriff „Steuerdaten“ fallen. – Bleibt tatsächlich nur Deep Packet Inspection um zu erklären, was mit Steuerdaten „umschrieben“, also verschleihert werden soll!

  7. Das ist wieder sowas, wie die Wahrheit könnte die Bevölkerung nur beunruhigen. Deshalb nur deep packet inspection light. Ist ziemlich eindeutig eine ganze angedacht. Nun ist es so, dass die Provider das dürfen, sie dürften aber auch darauf verzichten. Die Medallie hat zwei Seiten. Mit meiner OPNsense und dem darauf laufenden Snort habe ich ja selbst eine DPI installiert. Nämlich als Firewall gleich auf dem Router. Die andere Seite der Medallie ist, dass die Methode auch für andere Blockaden sowohl bei Unternehmen als auch von Staaten (siehe Tor-Blockade durch die Türkei 2016, oder noch besser China-Firewall) zur Meinungs- und Informationsblockade benutzt werden kann. Irgendwelche Schadprogramme sind nicht so häufig, dass man da den großen Knüppel auspacken müsste. Außerdem wären Kollateralschäden vorprogrammiert. Wo beschaffe ich mir denn das hackigste Hackertool, um im Zweifelsfall irgendwelchen Dreck, den mir die Netzwerkkrieger untergejubelt haben, wieder von der Platte zu putzen? Bestimmt nicht bei irgendwelchen Behördendeppen oder noch dümmeren Abgeordneten von CDU/CSU/SPD. Der Weg würde nämlich durch DPI auch versperrt werden.

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.