Immer wieder gibt es IT-Sicherheitsprobleme, die für Unternehmen wie Privatleute schwere Folgen haben: Botnetze, die massenhaft Router lahmlegen, sogennantes smartes Spielzeug, das Sicherheitslücken und Ausspähmechanismen in Kinderzimmer einschleust oder Prozessorlücken, die fast alle Systeme vorwundbar machen und die Hersteller lange nicht in den Griff bekommen. Das Thema hält die Politik in Atem, auch weil die Angst vor der Angreifbarkeit kritischer öffentlicher Infrastruktur allgegenwärtig ist. Union und SPD nehmen sich in ihrem Koalitionsvertrag vor, diese Themen anzugehen – einfach wird das nicht.
Wenn es darum geht, Unternehmen vor Sicherheitslücken zu schützen und ihnen bei Problemen zu helfen, ist das Bundesamt für Sicherheit in der Informationstechnik (BSI) die naheliegendste Anlaufstelle. Die Regierungsparteien in spe wollen die Behörde daher stärken und ausbauen: als „Beratungsstelle für kleine und mittlere Unternehmen“, um „Investitionen in IT-Sicherheit besser zu fördern und das IT-Sicherheitsgesetz weiterzuentwickeln“.
„IT-Sicherheitsgesetz 2.0“
Dem IT-Sicherheitsgesetz prophezeiten schon bei seiner Verabschiedung mehrere Organisationen wie der CCC Unwirksamkeit. Mit lediglich anonymen Meldepflichten gebe es keinen hinreichenden Anreiz, Systeme von vorneherein sicher zu gestalten. Zudem gehe die Maßnahme nicht weit genug, da sie fast ausschließlich für kritische Infrastrukturen gilt. Diese Einschränkung befürworteten vor allem Wirtschaftsvertreter, die im Vorfeld dafür lobbyierten, ihren Branchen verbindliche Auflagen zu ersparen.
Die noch zu bildende Regierung kündigt ein „IT-Sicherheitsgesetz 2.0“ an, um „Herstellerinnen und Hersteller sowie Anbieterinnen und Anbieter von IT-Produkten, die neben den kritischen Infrastrukturen von besonderem nationalem Interesse sind, stärker in die Pflicht [zu] nehmen.“ Hier ist die Beschränkung auf bestimmte Anbieter und Hersteller schon enthalten.
Immer noch kein unabhängiges BSI
Das BSI-Gesetz soll die Aufgaben der IT-Sicherheitsbehörde weiter konkretisieren und erweitern, etwa um Verbraucherschutz. Seine Rolle als „unabhängige und neutrale Beratungsstelle“ wollen die Parteien stärken. Das bleibt hinter früheren Wünschen von SPD-Netzpolitikern zurück, die bereits zu Beginn der letzten Legislatur forderten, das dem Innenministerium untergeordnete BSI vollständig unabhängig zu machen. Denn die Abhängigkeit schafft Interessenskonflikte: Eine Behörde, die für mehr IT-Sicherheit sorgen soll, aber gleichzeitig zur Unsicherheit beiträgt, indem sie unter anderem an der Entwicklung von Staatstrojanern mitwirkt, befindet sich in einer kontraproduktiven Doppelrolle.
Wenn es um IT-Sicherheit geht, stellt sich immer auch die Frage nach der Produkthaftung. Schließlich bergen Internet-of-Things-Geräte große Risiken. So können „smarte“ Toaster, Kaffeemaschinen und Überwachungskameras beispielsweise für Botnetze missbraucht werden, die mit verteilten Denial-of-Service-Angriffen Websites und Dienste lahmlegen. Viele kostengünstige Produkte landen massenhaft auf dem Markt, bei der Entwicklung stellt IT-Sicherheit nur einen zusätzlichen Kostenfaktor dar, Sicherheitsupdates gibt es nicht oder nur für eine sehr begrenzte Zeit.
IT-Sicherheitsstandards für das Internet of Things?
Union und SPD wollen „zusammen mit der Wirtschaft“ IT-Sicherheitsstandards für „internetfähige Produkte“ entwickeln, um dieses Risiko anzugehen. Ein Gütesiegel soll Produkte auszeichnen, die gewisse Standards einhalten und Hersteller sollen transparent machen, wie „lange sie mit sicherheitsrelevanten Updates versorgt werden“. „Die Hersteller und Anbieter digitaler Produkte und Dienstleistungen müssen Sicherheitslücken bekanntmachen und schnellstmöglich beheben“, heißt es weiter. Wer haftet, wenn es doch einmal Schäden gibt, sollen „klare Regelungen für die Produkthaftung“ festschreiben.
Auf den ersten Blick erscheint das sinnvoll, doch der Vorschlag droht, an der Realität zu scheitern. Für deutsche und europäische Hersteller mag das durchsetzbar sein. Doch was, wenn der Fehler von einem Chip im Gerät stammt, der aus chinesischer Produktion stammt? Haftet dann der deutsche Hersteller, der das Produkt zusammenbaut? Hat er eine rechtliche Handhabe, den chinesischen Hersteller zum Schließen der Lücke zu verpflichten? Der Anreiz für Verbraucher, sicherheitszertifizierte Produkte zu kaufen, ist das eine – der gnadenlose Preiskampf das andere und wohl auch weiterhin ein ausschlaggebender Faktor beim Kauf scheinbar praktischer Geräte.
Widersprüchliche Kryptopolitik
Zu Beginn der letzten Legislaturperiode war, beeinflusst durch die Snowden-Enthüllungen, Verschlüsselung ein zentrales Anliegen. Deutschland solle zum „Verschlüsselungsstandort Nr. 1“ werden, hieß es in der damals verkündeten Digitalen Agenda. Dieses Ziel verfehlte die Bundesregierung. Stattdessen gründete sie die Entschlüsselungsbehörde ZITiS – kurz für „Zentralstelle für Informationstechnik im Sicherheitsbereich“ -, die unter anderem Sicherheitslücken finden soll, um sie etwa für Staatstrojaner ausnutzen zu können. Kurzum: Unter dem Deckmantel des Kampfes gegen Terrorismus verschoben sich die Prioritäten.
Im geplanten Koalitionsvertrag klingen die Vorhaben, Verschlüsselungstechnologien voranzutreiben, entsprechend zurückhaltender. Forschung wolle man „intensiv fördern“ und Pläne zur elektronischen Verwaltung und zum eGovernment machen es notwendig, dass Menschen „verschlüsselt mit der Verwaltung über gängige Standards“ kommunizieren zu können.
Militarisierung der IT-Sicherheitsforschung
Es wird deutlich, dass der Fokus auf etwas anderem liegt: „Um Sicherheit und Ordnung auch in der vernetzen Welt zu fördern, legen wir ein neues Rahmenprogramm für die zivile Sicherheitsforschung auf.“ Ein paar Sätze weiter relativiert sich jedoch das Adjektiv „zivil“. Zusammenarbeiten sollen nämlich „Wissenschaft, Wirtschaft, Sicherheitsbehörden und Einsatzkräfte“ – Interessenskonflikte sind hier vorprogrammiert.
Noch deutlicher wird die Verschiebung von IT-Sicherheitsforschung hinein in den behördlich-militärischen Raum bei der geplanten „Agentur für Disruptive Innovationen in der Cybersicherheit und Schlüsseltechnologien“. Sie soll unter Federführung von Verteidiungs- und Innenministerium stehen. Sowohl bei der Bundeswehr als auch beim Innenministerium wurden Überlegungen bekannt, in Zukunft offensive Cyberangriffe durchzuführen – sogenanntes „Hacking Back“.
Damit setzt sich der Kurs der letzten Jahre fort. Die Regierung will alles und nichts. Oder wie der letzte Innenminister Thomas de Maizière wiederholt formulierte: „Sicherheit durch Verschlüsselung und Sicherheit trotz Verschlüsselung“. Doch es gibt keinen Alleinanspruch Deutschlands, Sicherheitslücken auszunutzen. Solange solche Lücken nicht geschlossen werden, um sie für staatliche Zwecke auszunutzen, könnten Dritte sie gleichermaßen finden. Und die Regierung opfert die Sicherheit und das Recht auf vertrauliche Kommunikation aller, um Befugnisse für Polizeien und Geheimdienste auszuweiten.
Ich bin im Kontext des Staatstorjaners immer verwundert, dass dabei nur auf die Gefahr für die Bürger hingewiesen wird (ist ja auch schon schlimm genug). Was der Politik nähmlich nicht klar zu seien scheint ist, dass sie sich mit dem Staatstorjaner selbst gefärden.
Die Verwaltung, die Polizeibehörden und auch der Bundestag setzen fast vollständig auf Windwos. Wenn sie nun für ihren Staatstorjaner eine Sicherheitslücke geheim halten, dann bleibt die natürlich auch in ihren eigenen System offen.
Das selbstständige fixen der Lücke geht auch nicht, da sie ja garnicht den Quellcode haben (wäre bei open-source Softwar kein Problem ;-) – wobei sie dann oft die Fixes veröffentlichen müssten, GPL sei dank).
Ja so sans die alten Rittersleut…
Regierungen, die Win 8 und 10 nicht schlicht verbieten, haben kein Mitspracherecht bei IT-Sicherheit. Da braucht man über CIA, BND, NSA, Trojaner, Prism und XKeyscore nicht mal nachdenken. Mit Android und IoS ist es nicht anders. Die GroKo-Parteien sind bestenfalls Heuchler und Lügner. Andere sind natürlich auch nicht viel besser. Insofern ist deutsche „Politik“, nicht nur die GroKo, nur ein Zeugnis des Vasallentums geworden.
Ich finde den beschriebenen Interessenkonflikt sehr spannend. Ich stimme zu, dass ein unabhängiges BSI weit aus mehr zu leisten im Stande ist. Natürlich verliert eine mögliche Regierung und vor allem das Innenministerium Einfluss und damit auch Macht. Wertvolle Quellen versiegen oder sind nur mit vielmehr Aufwand zugänglich sind. Andererseits finde ich den Aspekt, dass die Regierung durch Staatstrojaner auch ein eigenes Risiko eröffnet bzw. offen hält sehr spannend. Ich habe das so noch nicht gesehen. In jedem Fall werden so die Unternehmen vom Staat mangelhaft unterstützt und müssen eigne Lösungen entwickeln bzw. einkaufen. Davon profitieren dann wieder IT Sicherheitsdienstleister wie Protea Networks (https://www.proteanetworks.de/). Allerdings kann dies nicht die Lösung sein, da der Staat ein Interesse an sicherer IT und Infrastruktur haben muss. Ansonsten werden wir in Sachen Digitalisierung noch mehr zum Nachzügler.