EFF-Event: Bloggen für Freiheit

: Mitmachen erwünscht: Wer blockiert heute noch die Nutzung von Passwortmanagern?

WIRED appelliert in einem Artikel an die Betreiber von Webseiten, die es verbieten, Passwörter in Eingabefelder zu kopieren und damit effektiv verhindern, dass Menschen starke Passwörter und Passwortmanager nutzen, denn wer tippt schon über 20 Zeichen mit Sonderzeichen mehrmals täglich per Hand ein? Die Argumente der Seitenbetreiber sind dürftig: Es werden „manche Formen von Malware verhindert“, oder „Brute-Force-Angriffe“ und „Passwort-Phishing“. Ein Urteil, ob es einen Brute-Force-Angriff nicht einfacher macht, wenn der Nutzer stattdessen Trivialpasswörter nutzt, am besten noch auf mehreren Seiten gleichzeitig und ob es hilft, dass auf einer gefakten Webseite das Passwort per Hand eingegeben statt kopiert wird, überlassen wir euch.

Aber der Artikel vermeldet auch Positives: T‑Mobile habe noch letzte Woche den Kunden-Login mit Copy-Paste verhindert. Nach der Aufforderung eines Kunden, das zu ändern, ist das Problem nun gelöst. Es werden noch weitere Seiten wie Barclaycard und Western Union erwähnt. Daher hatten wir eine Idee: Welche Seiten blockieren eures Wissens nach die Passwortmanagernutzung? Schreibt sie in die Kommentare und versucht, euch aktiv an die Seiten zu wenden. Und wenn sie euch Scheinbegründungen liefern, teilt sie uns mit!

: Durch die Vordertür: Potentielles Einfallstor in das Intranet des Bundestags [Update: SZ korrigiert]

IT im Bundestag. Noch zu retten? Quelle: anonym

Durch die anhaltenden Diskussionen um den Bundestagshack ist das Vertrauen in die Infrastruktur der Institution – freundlich ausgedrückt – erschüttert worden. Nun wird ihr ein weiterer Stoß versetzt.

Eine Analyse der Webseite bundestag.de zeige, dass man von der Webseite aus das Intranet des Bundestags nach Schwachstellen scannen könne, da Rechner im Bundestag sowohl auf das interne als auch das externe Netz zugreifen können. Das erwähnte Kristian Köhntopp vor etwa einer Woche auf Google+:

IRC so: „Dual Homed Bundestag? Oder wie erklärt man sich sonst die Domains?“

Er illustriert seine Aussage mit Shell-Kommandos, unter anderem [Hervorhebung von uns]:

curl -o - http://www.spdfraktion.de | grep pkBaseURL
var pkBaseURL = (("https:" == document.location.protocol) ?
"https://statistics.spd.frak/piwik/" : "http://www.spdfraktion.de/piwik/" );
document.write(unescape("%3Cscript src='" + pkBaseURL + "piwik.js' type='text/javascript'%3E%3C/script%3E"));
J>

Die hervorgehobene URL befindet sich aller Wahrscheinlichkeit nach im Intranet auf den Fraktionsservern der SPD. Einen tatsächlichen Angriff hat Köhntopp unter anderem aus Furcht vor strafrechtlichen Konsequenzen nicht durchgeführt, daher ist die tatsächliche Durchführbarkeit eines Angriffs noch nicht bewiesen, zeigt zumindest aber eine massive Schwachstelle in der Infrastruktur.

Auch Linus Neumann vom CCC ist besorgt:

Ein erfolgreicher Angreifer aus dem Internet erhält damit potenziell Zugang zum internen Netz und auf die internen Inhalte, die der Server dort anbietet.

Update, die Süddeutsche Zeitung korrigiert:

Korrektur: In der ursprünglichen Version lautete die Überschrift „Wie sicher ist Bundestag.de?“ Nach Veröffentlichung des Artikels hat sich Rainer Babiel gemeldet, dessen Unternehmen diese Webseite betreut. Er hat darauf hingewiesen, dass die Systeme, über die die IT-Experten diskutieren, nicht mit Bundestag.de zusammenhängen. Herr Babiel hat Recht. Wir bitten, den Fehler zu entschuldigen. Dass Hacker nach Einschätzung von IT-Experten in das Parlamentsnetz eindringen könnten, ändert sich nicht.

: Live-Blog zur Verabschiedung des IT-Sicherheitsgesetzes: „Versprechen im Titel wird nicht gehalten“

Geplante Cybersicherheitsstrategie für Deutschland - noch will sich die Regierung nicht äußern.

Um 9 Uhr beginnen die zweite und dritte Beratung des „Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme”, des IT-Sicherheitsgesetzes (ITSG). Wir schreiben live mit und haben das Wichtigste zusammengefasst.

Zusammenfassung

Die Debatte verlief erwartbar. Mitglieder von Grünen und Linke wiesen auf Kritikpunkte im Gesetz hin, die wir bereits heute Morgen im Wesentlichen zusammengefasst haben. Mitglieder der CDU lobten sich insbesondere für den „kooperativen Ansatz”, bei dem Wirtschaft und BSI zusammenarbeiten sollen, um Sicherheitsvorfälle zu melden und zu analysieren.

Was an der Debatte auffiel: In beinahe jedem Redebeitrag wurde ein Bogen zum aktuellen Angriff auf die IT des Bundestags geschlagen. Der zeigt nämlich zum einen die Dringlichkeit einer Verbesserung, zum anderen auch die aktuelle Handlungsunfähigkeit und Überforderung von Verwaltung und BSI, den Vorfall unter Kontrolle zu bringen.

Die Opposition referenzierte häufig auch auf die Debatte zur Vorratsdatenspeicherung und mahnte an, dass ein Gesetz zur Erhöhung der IT-Sicherheit und eine anlasslose, massenhafte Speicherung von Kommunikationsdaten im Widerspruch zueinander stünden. Einigkeit herrschte weitgehend in dem Punkt, das BSI müsse unabhängig(er) vom Innenministerium werden. Ein Punkt, der außerhalb des ITSG geregelt werden muss.

Wie abzusehen war, wurde das Gesetz mit der Mehrheit der Regierungsfraktion angenommen. Unser Fazit fällt kurz aus und Petra Sitte hat es in ihrem Redebeitrag lobenderweise vorweggenommen:

Besser als die Blogger von netzpolitik.org kann man es nicht auf den Punkt bringen: Es wird ein IT-Sicherheitsimulationsgesetz verabschiedet werden.

De Maizière – Innenminister, CDU/CSU (09:02 Uhr)

IT-Sicherheit, Cyberwar, Cyberdefense, Marketing-Wörter. Es gibt kein Big Bang, keine einzige Maßnahme. Lösungen Schritt für Schritt angehen. ITSG ist wichtiger Schritt Richtung IT-Sicherheit.

Cybersicherheit ist IT-Sicherheit. Härtung und Schutz der System. Verhinderung und Verfolgung von Cyberkriminalität. Demokratischer Rechtsstaat hat im Internet nicht mehr und nicht weniger Rechte als außerhalb.

Unternehmen schützen, Wirtschaftsstandort Deutschland ist gefährdet. Cybersicherheit dient Schutz von Bürgern, Innovation, Staat.

Kritische Infrastrukturen schützen. „Die bei denen, wenn sie ausfallen, es für uns kritisch wird.”

Wir wissen, Melden ist peinlich, deshalb soll nicht alles öffentlich gemeldet werden.

Es gibt ein physisches deutsches Netz, das soll das ITSG schützen. Es gibt eine europäische Richtlinie, NIS, die ist dem ITSG nachgebildet. Das ist IT-Sicherheit made in Germany.

Wir haben keine Zeit zu verlieren.

Ist auch wichtig für Industrie 4.0 und Digitalisierung. Wird nicht ohne IT-Sicherheit funktionieren. Beispiel: Selbstfahrende Autos…

Bundestag wird heute das Gesetz verändern, äh verbessern. Hard- und Softwarehersteller werden einbezogen, BSI gestärkt, wird Sanktionen geben. Es bleibt beim „kooperativen Ansatz”. ITSG will kooperatives Verhältnis von Staat und Wirtschaft bei Entwicklung, Aufklärung, Meldung.

Thema Angriffe auf den Bundestag: Bundesregierung und Bundesverwaltung haben physisch getrenntes Netz. Lösung von bestimmtem ausländischen Betreiber nicht mehr akzeptiert. IT-Konsolidierung. Das Schutzschild, das BReg und BVerw gezogen haben, funktioniert ziemlich gut und das BSI hilft uns dabei. Bei Bundestagsangriff ist es gut, dass das BfV seine Hilfe auch anbietet.

ITSG ist EIN wichtiger Rechtsrahmen, ein nächster wird folgen. Nächste Woche evtl. Beginn Trilog zur EU-Datenschutzgrundverordnung, die auch für mehr Sicherheit in der IT sorgt.

Digitale Verwundbarkeit hat auch mit digitaler Sorglosigkeit zu tun. Noch so gute Gesetze ohne „Sicheres Fahren” im Netz gehen nicht. Anschnallgurt-Vergleich. Wenn man unsicher fährt, kommt es trotzdem zu Unfällen. Eigenverantwortung der Bürger.

Zwischenruf: Auch die sichern, die sich ordentlich verhalten!

Absolut!

Halte viel davon, dass wir uns Versicherungslösungen anschauen.

Petra Pau – Linke (09:17 Uhr)

ITSG ist längst überfällig. Linke will gute IT-Sicherheit, aber es liegt ein Schatten über dem Gesetz: NSA-Affäre. Bisher größter Angriff auf Bürgerrechte und Rechtsstaat in der BRD. Weniger IT-Sicherheit ist kaum denkbar. Bundesregierung entschied sich für null IT-Sicherheit.

Seltsamkeiten im Gesetzesentwurf. Zwei Gewinner: BND und BfV. Wettlauf der Geheimdienste schafft nicht mehr IT-Sicherheit, sondern weniger. Deshalb sagen wir nein. Es ist pure Selbstverständlichkeit, dass Informationen dem BfV übermittelt werden müssen und der Bundestag diese auch übermittelt. Auch selbstverständlich, dass BfV bei Bundestagsangriff hilft. Verstehe nicht die Pappkameraden, die gefordert haben, der Bundestag solle kooperieren.

IT-Sicherheit ist mehr als Innenpolitik. Für Linke hätten zwei Strukturveränderungen Vorrang: BSI aus Innenministerium lösen, zur ressortübergreifenden Bundesbehörde machen. Klare Qualitätsansprüche, finanzielle und personelle Mittel. BfDI weiter aufwerten. Bis hin zu einem Vetorecht.

Haben erlebt: Bei Anhörung zu VS-Gesetz wurde BfDI schlicht ignoriert. B90/Grüne haben Veränderungsantrag vorgelegt, Ablehnung Regierungsentwurf. Linke schließt sich an. Ein schlechtes Gesetz schafft nicht mehr Sicherheit im digitalen Zeitalter.

Gerold Reichenbach – SPD (09:23)

Heute wissen nur noch Computer, in welchem Regal sich Waren befinden. Störung hätte zur Folge, dass niemand mehr zugreifen kann. Waren wären noch da, niemand würde sie finden. Störungen können sich über Stunden und Tage hinwegziehen. Schutz kritischer Infrastrukturen ist elementar für Aufrechterhaltung des Staatswesens. Verbindliche Mindestanforderungen setzen. Unternehmen sollen sich und andere nicht schädigen.

Vorwurf, es handele sich um Meldegesetz. Stimmt nicht. Verstärkt die Pflichten der Telkos, stärkt BSI. Mehr Aufklärung in Bevölkerung soll helfen, BKA bekommt mehr Kompetenzen bei Cyber-Kriminalität. Experten-Anhörung, GroKo hat wichtige Anregungen aufgenommen. In EU wird gerade NIS beraten. Änderungsanträge: Bußgelder bei Verstößen, sonst wie Parkverbot ohne Bußgeld. Entspricht dem kooperativen Ansatz des Gesetzes.

BSI kann das nicht alleine lösen, braucht Kooperationen mit den Unternehmen. Fehlende Mitwirkungspflicht von Zulieferern kritisiert. Ist aber erstmal vertraglich zu regeln, klappt aber bei Monopolen und Streitigkeiten nicht. Deshalb hat BSI nun Anforderungsbefugnis, Unternehmen muss bei Beseitigung von Sicherheitslücken mithelfen.

Zweckbindung klarer gefasst: Abwehr von Gefahren der IT-Sicherheit des Bundes, Wartung und Warnung, Aufgaben BSI nach BSI-Gesetz – nichts mehr.

Wenn man aber in Verschwörungstheorie annimmt, dass die Gesetze nicht eingehalten werden, brauchen wir gar keine Gesetze mehr machen.

Standards, die für Wirtschaft gelten, gelten auch für alle Bundesbehörden. Auch Bundesverwaltung.

Stärkere Unabhängigkeit des BSI wäre notwendig, hätte aber die Komplexität des Gesetzes zu hoch gemacht. Änderungsantrag der Grünen ist wie Wunschzettel für alles Digitale. Rasante Entwicklungen in IT-Branche, deshalb soll Gesetz nach vier Jahren wissenschaftlich evaluiert werden. Erster Schritt, werden uns mit weiteren Themen beschäftigen müssen. Finde Versicherungslösungen sympathisch, brauchen aber klare Haftungsregelungen. Debatte geht weiter.

Überzeugt, dass wir mit ITSG einen richtigen und wichtigen Schritt getan haben. Linke ist immer noch ein bisschen in der Vergangenheit, denn in der digitalen Welt ist die Null von der Information gleichwertig der Eins.

Dieter Janecek – Grüne (09:37 Uhr)

Bundestagsangriff zeigt, man schafft es nicht, IT-Sicherheit hinzukriegen. MdBs haben Informationsbedürfnis, das wurde nicht befriedigt.

Im Änderungsantrag wurden Fehler nicht beseitigt. Außerdem VDS: Justizminister legt verfassungswidriges Gesetz vor. Wenn bei ITSG dasselbe, man kann nicht einfach ein Gesetz mit Hacker-Meldezentrale etablieren. Schutz der BürgerInnen ist überhaupt nicht vorgesehen, Aufklärung fehlt. Dialog mit Wirtschaft und Behörden fehlt, deswegen sind wir heute so anfällig. Interessant, dass sich Wirtschaft und Banken dazu geäußert haben, man solle die vom Gesetz Betroffenen erweitern.

Auch lobende Dinge: Änderungsantrag bringt Bewegungen in die richtige Richtung. Zum Beispiel Bußgelder. Aber nur bei tatsächlichem Schaden. Kein Meldeanreiz.

Rolle des BSI: Wir haben auf die SPD gesetzt in Punkto Unabhängigkeit. Wenig geblieben.

In Zeiten von NSA und Snowden bringt das kein Vertrauen, wir haben Vorschläge gemacht, die in die richtige Richtung gehen. Penetrationstest, dynamisches Prüfen.

Wir lehnen das Gesetz ab, da kein präventiver Ansatz, Titel hält Versprechen nicht.

Stephan Mayer – CDU/CSU (09:43)

Leben nicht mehr denkbar ohne funktionierende IT-Infrastruktur. Aber auch Abhängigkeit steigt. Richtig und wichtig, dass ITSG so stringent vorangetrieben wurde. BSI geht davon aus, dass bundesweit mehr als 1 Mio. Rechner Teil eines Botnetzes sind. Angeblich jeden Tag 300.000 neue Varianten von Schadprogrammen.

Geht um Bereiche der Daseinsvorsorge. Mindeststandards schaffen für Betreiber von KRITIS. Kooperativer Ansatz ist herausragend. Betreiber werden intensiv mit eingebunden vom zukünftigen Meldezentrum des BSI. Nicht jede Störung muss mit Klarnamen gemeldet werden, wegen Prangerwirkung. Nur die, die erheblich sind und zu Ausfall bzw. Funktionsbeeinträchtigung führen.

Telkos werden verpflichtet, dass Kunden informiert werden, wenn die Infrastruktur eines Kunden schadhaft ist. Darüber hinaus Erlaubnis für BSI, IT-Produkte auf Sicherheit überprüfen zu können.

Nicht einfach gemacht. Sachverständigenanhörung, Gespräche mit Betroffenen und anderen Vertretern der Community. Änderungsantrag mit Verbesserungen. BSI gestärkt. Nicht nur für Ressortbereich des BMI zuständig, sondern auch für alle anderen Bundesbehörden. Mitwirkungspflicht für Hersteller von Software und Hardware.

Umstritten sind Sanktionsmöglichkeiten. Nicht dazu da, die Wirtschaft zu gängeln. Gesetz darf aber kein zahnloser Tiger sein, Störungen müssen wirklich gemeldet werden. Sanktionen auch in EU-NIS-Richtlinie vorgesehen.

Fassungslos wie rasant die Entwicklung ist, deshalb Evaluierung nach vier Jahren. Klare Vorgaben, welches Unternehmen zu KRITIS gehört und welches nicht. Deshalb branchenspezifische Schwellenwerte. Gesetz ist ein wichtiger Schritt nach vorne, Etappenerfolg, sicher nicht das Ende.

Deutschland ist mit ITSG Schrittmacher auf europäischer Ebene. IT-Sicherheit kann nie an den Grenzen enden.

Petra Sitte – Linke (09:52)

Gesetz definiert KRITIS nicht, das soll eine Verordnung regeln. Das bedarf einer Überarbeitung. Angenommen, Bundestag ist auch KRITIS. Parlament ohne sicheres Datennetz ist ziemlich aufgeschmissen. Trotz aller Bemühungen hat es einen Angriff gegeben, Daten sind abgeflossen, Netz ist kompromittiert.

Nach ITSG: Der Fall müsste gemeldet werden. Anbieter müssen an Prävention, Aufklärung und Beseitigung arbeiten. IuK-Kommission bemüht sich, Abgeordnete wollen Wiederherstellung der Arbeitsfähigkeit. Angriffe wie in den letzten Tagen gegen die IuK-Kommission gehen vollkommen an der Sache vorbei. Keine Belege für Zweifel an der Vorsitzenden der IuK-Kommission.

Zu Aufklärung gehört vor allem Transparenz. Bereits im Prozess. Wird wohl noch Monate dauern. IT-Angelegenheiten dürfen keine Black Box sein. Brauchen offene Software, offene Prozesse und offene Kommunikation. Hilft besser als Geheimniskrämerei.

Kompetenzerweiterung BfV und BND: Geheimdienste wirken bei IT-Unsicherheit mit, sind eher ein Sicherheitsrisiko. Tiefe Vertrauenskrise, daher kein Wunder, dass eine Firma nicht ihre Datenlecks mit den Geheimdiensten teilen will, die anderen bei Wirtschaftsspionage helfen.

Vorgelegtes ITSG ist eher Geheimdienst-Aufbaugesetz. Besser als die Blogger von netzpolitik.org kann man es nicht auf den Punkt bringen: Es wird ein IT-Sicherheitsimulationsgesetz verabschiedet werden. [Danke für die Blumen!]

Metin Hakverdi – SPD (09:58)

ITSG ist wichtig für Industrie 4.0., Risiko für Industrie steigt. Digitalisierung unserer Industrie darf nicht zur Achillesferse werden. Für Sicherheit sorgt nicht die Technik allein.

Anbieter dürfen Daten sammeln. Balance zwischen Freiheit und Sicherheit ist ständiger Abwägungsprozess. Muss man sorgfältig sein. Unterschiedliche Speicherdauern können nicht gerechtfertigt werden. „In der Kürze liegt die Würze”, besonders bei Datenspeicherung. Lege Telkos den Grundsatz der Datensparsamkeit ans Herz.

Kompetenzzuwachs bei BSI ist heikel. Nicht sicher, ob Anbindung BSI ans BMI berechtigt ist, da es von anderen Protokolldaten einsehen kann. Kommt darauf an, wie das BMI die Anwendung legt. BSI zur unabhängigen Behörde ausbauen.

IT-Sicherheit ist eine Daueraufgabe, muss auch bei rechtlichem Rahmen auf der Höhe der Zeit sein.

Renate Künast – Grüne (10:05 Uhr)

Selten war eine Debatte so tagesaktuell. Zitat: „Das BSI sei zu Ergebnis gekommen, dass Netz des BT nicht mehr verteidigt werden könne und aufgegeben werden müsse.”

Wir haben eine Schlacht verloren gegen eine Cyberattacke. Aber wie reagieren wir? Wir wissen nicht mal, gegen wen wir die Schlacht verloren haben. Wir wissen nicht, warum, haben aber eine Ahnung, dass der Bundestag nicht ordentlich aufgestellt war. Gesetz ist dem Problem nicht angemessen.

ITSG ist selbst mit Änderungen nicht angemessen, geht von altem IT-Verständnis aus. Als ob es hilft, dass jemand 10.000 Euro zahlen muss, wenn er seiner Meldepflicht nicht nachgekommen ist.

Finde, altes IT-Verständnis ist so ein bisschen Mittelalter und aus Snowden wurde nichts gelernt. Wir sind ja nicht mal in der Lage zu wissen, was Nullen und Einsen materiell bedeuten.

Wie muss Infrastruktur aussehen, wie können wir uns schützen? Meldepflicht bringt da nichts. Wir müssen uns mit Thema des Prozesses auseinandersetzen. Reicht nicht, den neuesten Stand der Technik zu „berücksichtigen”. Man muss zwingen, Standards einzuhalten. Szenarien zur Gefahrenlage herstellen, stündlich und täglich neu.

In USA: Nicht durch Sanktionen getrieben, Unternehmen stellen Teams auf, bei denen die einen ständig angreifen und andere verteidigen. Dafür haben sie in ihrem technokratischen Gesetz [ITSG] null Angebot. Keine Erwähnung des Grundrechtes des Schutzes auf Vertraulichkeit und Integrität von IT-Systemen.

Bei Thema VDS schon wieder Massen an Daten speichern. Beide Gesetze zueinanderdenken. Erst Meldepflicht, dann zentrale Speicherung der Kommunikationsdaten aller Bürger. Gesetz hat kein Angebot für Sicherheit.

Mein Vorschlag: Legen sie beide Gesetze weg. Open Source nutzen, Sicherheitslücken nicht verstecken. Fangen sie endlich an, mit kreativer Analyse und Durchspielen von Gefahren Sicherheit zu schaffen.

Clemens Binninger – CDU/CSU (10:13 Uhr)

De Maizière hat gesagt: Netz des Bundes hat stabiles Schutzschild durch BSI. Verhindert Angriffe wie im Bundestag. Jeden Monat 90.000 Zugriffe auf infizierte Server. Jede Woche 15–20 hochkomplexe Angriffe, jeden Tag mind. einer mit ND-Hintergrund.

Muss Eindruck haben, dass Opposition bei Bundestagshack seine eigene Suppe kochen will. Beschreibt das Problem: Kein Lagebild über Bedrohung in der Industrie. Müssen Mindeststandards vorgeben.

Wer fällt unter ITSG? Große Stadtwerke. Bundesregierung, Ressortprinzip wird aufgehoben, BSI gibt Standards vor, einheitliche Sicherheitsmechanismen. Wichtiger Beitrag zu IT-Sicherheit des Bundes.

Meldepflicht und Bußgelder verhindern zahnlosen Tiger, bringen kooperative Mitarbeit. Meldepflicht für Bundesverwaltung gibt es seit 2010 für jeden IT-kritischen Angriff.

Wir lassen Unternehmen zwei Jahre Zeit zur Umsetzung. Konkretes wird in Verordnung geregelt. Gemeinsam mit BSI, Unternehmen, Verbänden. Sehr gutes, kluges Vorgehen. Großer, wichtiger Beitrag zur IT-Sicherheit. Beginn bei besonders heiklen Bereichen.

Christina Kampmann – SPD (10:20)

Sicherheit spielt in Rhetorik eine große Rolle. In IT wurde das lange vernachlässigt. Gut, dass wir das geändert haben.

Gesetz dürfte noch weiter gehen, aber ist ein guter Anfang. Änderungsantrag der Grünen hat nicht mehr viel mit IT-Sicherheit zu tun.

Industrie 4.0, selbstfahrende Autos, Cloud,…

Digitalisierung funktioniert nicht, wenn nicht Maximum an Sicherheit. Gibt staatlichen Handlungsauftrag.

Ohne Meldepflichten unklare Gefährdungslage, so kann man Gefahr nicht begegnen. Brauchen Unternehmen, die in ihre IT-Sicherheit investieren. Jeder einzelne Cent lohnt sich, sonst wird es am Ende noch teurer. Gesetz muss mehr sein als Vorgabe für KRITIS – Anstoß für gesamtgesellschaftliche Debatte zu IT-Sicherheit, die ist längst überfällig.

Hat Änderungen gegeben. Manche aber außen vor geblieben: Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität von IT-Systemen, technikgestützter Datenschutz, größere Unabhängigkeit des BSI.

Angriffe werden immer zahlreicher und komplexer. Deshalb gut, dass Bund und Hersteller mit in die Pflicht genommen werden. Wichtig, über kooperativen Ansatz hinauszugehen.

Erhebliche Verbesserungen, wir meinen es ernst, haben heute einen entscheidenden Schritt getan. Wir von der Koalition.

Hätte mir auch Verpflichtung zur Verschlüsselung vorstellen können. $Fußballvergleich.

Wir sind in der sicherheitspolitischen Champions League angekommen.

Hansjörg Durz – CDU/CSU (10:31)

Aktuelle Vorgänge zeigen, IT-Sicherheit ist verwundbar. Letzter BSI-Bericht hat gezeigt, dass dynamische Gefährdungslage entsteht, wir werden immer anfälliger.

Hier setzt ITSG an. Erforderlich, IT-Sicherheitsniveau zu erhöhen. Gibt freiwillige Initiativen. Freiwilligkeit allein hilft, besonders bei KRITIS, nicht aus. Bewusstsein wird oft erst geweckt, wenn Schaden eingetreten ist.

Widerstandsfähigkeit KRITIS muss erhöht werden, Deutschland hat Vorreiterrolle in IT-Sicherheit.

Kluge Philosophie des kooperativen Ansatzes: Beteiligung von Unternehmen und Sanktionsmechanismus mit Kontrolle.

Mehr an Sicherheit ist automatisch mehr an Sicherheit für die Wirtschaft. Meldesystem ist alles andere als Einbahnstraße. Unternehmen bekommen auch Rückmeldung über andere Vorfälle. „Privilegiertes Meldesystem”.

Weiterer Mehrwert für Unternehmen sind IT-Mindeststandards. Bietet Orientierung und Rechtssicherheit.

Weitere Verbesserung: Einbindung der Softwarehersteller.

Kritik aus Wirtschaft, schwer den Kreis der Betroffenen festzulegen. Zunächst Sektoren und Branchen definiert. Reicht nicht, ist kompliziert.

Kollaborativer Ansatz ist wegen Dynamik genau richtig. Parlamentarier sollten in die Verordnung miteinbezogen werden. Sicherheit ist ein dynamischer Prozess. Koalition macht einen klugen und großen Schritt für Stabilisierung der IT-Sicherheit.

Marian Wendt – CDU/CSU (10:39)

John Wayne sagte beim Sieg über Cyberterroristen: „Jippie-ja-yeah!”

In Realität weniger Action, aber die Auswirkungen sind genauso gefährlich wie im Film dargestellt. Stille Fachleute, sitzen oft in Kellern, hochgesicherten Anlagen, Bunkern. Lob und Anerkennung für diese Menschen.

Erfolgreiche Angriffe: Regin, Stuxnet, andere Angriffe. Anzahl der Angriffe schwer abschätzbar.

Nutzer sind durch Verhalten mitverantwortlich bei IT-Sicherheit. Haben sie schon mal auf einen Link auf einer Schmuddelseite angeklickt, PIN auf die Bankkarte geschrieben? Schon steht man vor den Scherben einer Sicherheitspolitik. Man würde den Kampf gegen Cybercrime verlieren.

Problem ist, dass Nachlässigkeit Einzelner andere gefährdet.

Parallele zum Impfen in der IT-Sicherheit, brauchen weitere Debatte und Aufklärung. Initiative Deutschland sicher im Netz. ITSG ist ein entscheidender Schritt. Klare Rolle des BSI ist großer Erfolg. Aber trotzdem: ITSG nur ein Mosaikstein in der Bekämpfung von Cybercrime.

Ich möchte fast sagen: „Jippie-ja-yeah!”

Abstimmung Gesetzentwurf

Gesetz mit Mehrheit der GroKo angenommen.

Abstimmung Entschließungsantrag der Grünen

Entschließungsantrag abgelehnt.

: Heute im Bundestag Verabschiedung des IT-Sicherheitsgesetzes – ein Überblick

Ab 9 Uhr wird es heute eine Debatte über das IT-Sicherheitsgesetz im Bundestag geben, danach geht es in die Abstimmung. Gleichzeitig zur Abstimmung steht auch ein Entschließungsantrag der Grünen, die fordern, dass das IT-Sicherheitsgesetz in seiner jetzigen Form zurückgezogen und verbessert werden soll. Wir haben den Gesetzgebungsprozess intensiv begleitet und fassen vor der Entscheidung, deren Ausgang wenig Raum für Überraschungen lässt, die Kritikpunkte an der aktuellen Gesetzesfassung zusammen.

Das Gesetz sieht eine anonyme Meldepflicht für IT-Sicherheitsvorfälle in Kritischen Infrastrukturen vor. Ob das genügt, um Unternehmen zur Investition in IT-Sicherheit zu bewegen, ist fraglich, da kein öffentlicher Druck entsteht. Namentlich muss nur gemeldet werden, „wenn sowieso das Licht ausgeht“, es also zu sehr schweren Beeinträchtigungen oder dem Ausfall von kritischen Systemen kommt. Ob eine vorgesehene nachträgliche Meldepflicht ausreichend ist, wenn Angreifer sich normalerweise nicht darauf beschränken, Infrastrukturen nacheinander anzugreifen, sondern dies in der Regel parallel erfolgt, wird ebenso angezweifelt. Damit verbunden wird auch befürchtet, dass die Information der Öffentlichkeit mangelhaft bleibt, wenn das BSI nur in Form von Lagebildern und nicht in Form von standardmäßiger Benachrichtigung Betroffener über die Sicherheitsvorfälle aufklärt.

Ein weiterer, viel bemängelter Punkt sind die unklaren Begriffsdefinitionen, die unter anderem dazu führen, dass Unternehmen nicht wissen würden, ob sie selbst zur betroffenen kritischen Infrastruktur gehören. Auch die Festlegung auf einen „Stand der Technik“ gibt keine klaren Leitlinien, eine Konkretisierung des Begriffes ist jedoch im Rahmen eines Gesetzes schwer umzusetzen. Laut Bundesregierung sind kritische Infrastrukturen jene, die für das Gemeinwohl unerlässlich sind. Das sind zum Beispiel Wasser, Energie, Telekommunikation. Es wird geschätzt, dass etwa 2.000 Unternehmen unter „kritisch“ fallen. Aber woran festgemacht wird, ob ein Stadtwerk groß genug ist, um als solches zu gelten, bleibt im Dunkeln.

Die Begrenzung des Gesetzes auf kritische Infrastrukturen ist dabei ein Kritikpunkt an sich. Denn eigentlich, sollte man meinen, ist IT-Sicherheit für alle ein maßgeblicher Faktor. Denn wenn eine Vielzahl an Unternehmen, die vielleicht für sich genommen nicht kritisch wären, von einem Angriff betroffen ist, kann das in der Masse einen ebenso kritischen Vorfall darstellen wie beispielsweise ein Angriff auf einen einzelnen großen Energieversorger. Ganz abgesehen von öffentlicher Verwaltung und anderen Bundes- und Ländereinrichtungen.

Ebenso wichtig für die IT-Sicherheit sind diejenigen, die Komponenten für IT-Systeme liefern, auf deren Basis die Betreiber arbeiten müssen. Existieren beispielsweise Sicherheitslücken in verwendeter Hard- oder Software, hat ein Betreiber eines Unternehmens wenig Handhabe, das ITSG hilft ihm dabei nicht. Ein Änderungsantrag der Großen Koalition hat diesen Punkt jedoch aufgegriffen und will auch die Hersteller und Zulieferer mit in die Verantwortung nehmen.

Ein anderes, viel angesprochenes Thema sind die Speicherbefugnisse für Telemedien- und Telekommunikationsanbieter bezüglich Verkehrsdaten nach §100 TKG, die zur Angriffserkennung gewährt werden sollen, ebenso wie die Möglichkeiten der Bestandsdatenabfrage zur Störungserkennung. Hier wird Tür und Tor für eine Verkehrsdatenspeicherung geöffnet. Momentan steht uns die durch Vorratsdatenspeicherung zwar sowieso bevor, aber kein Grund, Verfassungswidrigkeiten noch mit anderen Gesetzen zu untermauern.

Was die Wirksamkeit des Gesetzes darüberhinaus behindern könnte, sind die mangelnden Sanktionierungsbefugnisse. Denn gibt es keinen wirtschaftlichen Anreiz, Sanktionen zu vermeiden, da schlichtweg keine vorgesehen sind, ist es fraglich, ob Unternehmen mitunter intensive Investitionen in IT-Sicherheit tätigen werden. Deshalb sieht der letzte Änderungsantrag der Regierungskoalition nun doch – nachdem man immer wieder betonte, die Sanktionierung den Branchen überlassen zu wollen – Bußgelder in Höhe von maximal 50.000 bzw. 100.000 Euro vor, wenn es zu Verstößen kommt.

Mit dem IT-Sicherheitsgesetz soll die Rolle des BSI gestärkt werden, und es soll mehr Befugnisse bekommen. Ob das eine gute Idee ist, ist umstritten. Der Chaos Computer Club zweifelt in seiner Stellungnahme dessen Eignung an:

Spätestens seit bekanntwurde, daß das BSI seit Jahren an entscheidender Position staatliche Schadsoftware mitentwickelt, genießt das Amt kein Vertrauen mehr. Der CCC erneuert daher seine Forderung, das BSI endlich zu einer vom Innenministerium unabhängigen Bundesbehörde mit klarem Sicherheitsauftrag zu machen, die bei Staatstrojaner-Plänen oder anderen Maßnahmen, die zur Senkung der IT-Sicherheit beitragen, nicht mehr zuarbeiten darf.

Was noch dazu fehlt, ist eine hiebfeste Einschränkung der Zweckbindung in Bezug auf persönliche Daten, die vom BSI verarbeitet und weitergegeben werden.

Neben dem BSI sollen auch das Bundeskriminalamt, das Bundesamt für Verfassungsschutz, der Bundesnachrichtendienst und andere gestärkt werden. Mehr Stellen, mehr Budget, Zuständigkeiten für „Cyberkriminalität“ machen den Bock zum Gärtner.

Ob eine Verabschiedung des IT-Sicherheitsgesetzes zum aktuellen Zeitpunkt überhaupt sinnvoll ist, wurde aufgrund der aktuell debattierten NIS-Richtlinie an mehreren Stellen angezweifelt. Die NIS-Richtlinie stellt quasi das europäische Äquivalent des ITSG und damit Mindeststandards dar. Bei Widersprüchen müsste das ITSG nachgeregelt werden, manche sehen das ITSG jedoch als mögliche Vorlage für die europäische Regelung.

Und nun? Dass das IT-Sicherheitsgesetz kommt, ist mehr als wahrscheinlich. IT-Sicherheit wird dadurch nicht erhöht, sondern simuliert. Die Grünen haben in ihrem Entschließungsantrag Forderungen aufgestellt, um das Gesetz zu verbessern. Neben der Berücksichtigung der oben genannten Kritik wäre das beispielsweise auch die Förderung von Open-Source-Produkten und Verschlüsselung, gründliche Auditierung von Software, hohe Datenschutzstandards sowie Schutz von Whistleblowern, die auf Sicherheitsprobleme aufmerksam machen. Bis es in der Regierung zu solch einer Einsicht kommt, werden wohl aber noch ein paar „Cyberattacken“ auf öffentliche und sicherheitskritische Stellen ins Land gehen.

: IT-Sicherheitsgesetz wird bald verabschiedet – Große Koalition hat noch Änderungswünsche

Fast parallel zur Vorratsdatenspeicherung geht das IT-Sicherheitsgesetz seinen Weg durchs Parlament. Und das mit wesentlich weniger Medienaufmerksamkeit. Schon am Freitag, dem 12.6., soll es in zweiter und dritter Lesung den Bundestag passieren.

Im Vergleich zur letzten uns bekannten Version gab es noch einige Änderungen, wie heise.de mit Verweis auf einen Änderungsantrag der Großen Koalition berichtete. Der Änderungsantrag liegt uns vor, weshalb wir ihn hier veröffentlichen. Es folgen die wichtigsten Änderungen im Überblick.

Das Bundesamt für Informationssicherheit (BSI) soll Zugriff auf Protokolldaten in Bundesbehörden bekommen, ein „Einvernehmen“ für diesen Vorgang muss es nur bei Bundesgerichten geben. Aus der Begründung:

Derzeit erfüllt das BSI sein bestehendes Mandat zur zentralen Abwehr und Detektion von Angriffen durch ein zentrales Monitoring der behördenübergreifenden Regierungsnetze. Um neue Bedrohungen zuverlässig detektieren und abwehren zu können, muss dieses Monitoring ausgebaut werden. Hierfür benötigt das BSI auch Protokolldaten aus der internen IT der Behörden.

Das liest sich wie eine Reaktion auf den jüngst in den Medien präsenten Bundestagshack. Es ist unklar, wie lange diese Daten protokolliert werden sollen.

Eine positive Änderung ist die Einführung von Bußgeldern für den Fall, dass ein Betreiber einer „Kritischen Infrastruktur“ vorgeschriebene Sicherheitsvorkehrungen „nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig trifft.“ Handelt man einer Anweisung zuwider, werden Bußgelder in Höhe von bis zu 100.000 Euro fällig. In den übrigen Fällen kann sich die Strafzahlung auf bis zu 50.000 Euro belaufen. Was jedoch ausgenommen wird:

[D]er Verstoß des Betreibers einer Kritischen Infrastruktur gegen die Pflicht zur Meldung erheblicher Störungen im Sinne von § 8a Absatz 4 des BSI-Gesetzes [ist] dabei nur dann bußgeldbewehrt, wenn die betreffende Störung tatsächlich zu einem Ausfall oder einer Beeinträchtigung der Funktionsfähigkeit der Kritischen Infrastruktur geführt hat.

Das öffnet den Betreibern Tür und Tor, Sicherheitspannen weiterhin zu verschweigen, wenn nicht sowieso das Licht ausgeht und jeder von dem Problem erfährt.

An anderer Stelle wird die bindende Wirkung von Mindeststandards des BSI gestärkt, was in diesem Zusammenhang sicher sinnvoll ist. Sie sollen zu „allgemeinen Verwaltungsvorschriften“ gemacht werden können, wenn sich das Innenministerium und der IT-Rat darauf verständigen. Hier wird aber auch ein ganz anderer Punkt deutlich. Das BSI als Bundesbehörde ist immer noch direkt vom Innenministerium abhängig und auf dessen Kooperation angewiesen.

Weiterhin wurde die Kritik einiger Sachverständiger in der letzten Experten-Anhörung zum IT-Sicherheitsgesetz aufgegriffen. Es wurde vermehrt angesprochen, dass die Betreiber der Kritischen Infrastruktur Sicherheitslücken nicht selbstständig beheben können, wenn die eigentlichen Hard- und Softwareanbieter untätig bleiben. Daher kann das BSI nun „vom Hersteller der betroffenen informationstechnischen Produkte und Systeme die Mitwirkung an der Beseitigung oder Vermeidung einer Störung nach Absatz 4 verlangen.“

Einige Kritik wurde leider weiter ignoriert. Das Melden von Sicherheitsvorfällen kann immer noch anonym geschehen, insofern kein Ausfall oder eine Beeinträchtigung der Funktionsfähigkeit eingetreten ist. Außerdem sind die oftmals schwammigen Formulierungen erhalten geblieben, wie „Stand der Technik“ und „erheblicher Vorfall.“

Unangetastet sind auch die Speicherbefugnisse für Telemedien- und Telekommunikationsanbieter bezüglich Verkehrsdaten nach §100 TKG, die zur Angriffserkennung gewährt werden sollen. Hier wäre eine Konkretisierung und Beschränkung der Befugnisse dringend erforderlich, um nicht eine Vorratsdatenspeicherung für Telemedien- und Telekommunikationsanbieter durch die Hintertür einzuführen. Naja, es scheint, als hätte man bald sowieso eine Vorratsdatenspeicherung durch die Vordertür, die es loszuwerden gilt.

Was noch interessant ist: Es wurde eingefügt, dass das Gesetz vier Jahre nach Inkrafttreten „unter Einbeziehung eines wissenschaftlichen Sachverständigen, der im Einvernehmen mit dem Deutschen Bundestag bestellt wird“ zu evaluieren. Wir sind gespannt, was dabei rauskommt. Wir tippen ja darauf, dass sich die IT-Sicherheit durch das Gesetz nicht erhöhen wird, auch mit den Änderungen.

: EU-Parlament entwickelt Paket für „PGP-artige“ Software und verweist in der Zwischenzeit auf Office, 7zip und PDF

Europaparlamentsgebäude in Straßburg - <a href="http://creativecommons.org/licenses/by-sa/3.0/de">CC BY-SA 3.0</a> via wikimedia/<a href="https://de.wikipedia.org/wiki/Europ%C3%A4isches_Parlament#/media/File:Europaeisches_parlament_strassburg_mit_flaggen.jpg">King</a>

Letzte Woche habe wir darüber berichtet, dass im Europaparlament seit Beginn der NSA-Affäre wenig in Hinsicht IT-Sicherheit passiert ist. Wir veröffentlichen nun das ganze Schreiben der Generaldirektion Innovation und technologische Unterstützung (DG ITEC), das zeigt, wie versucht wird, statt PGP auf die „internen Verschlüsselungsmethoden von Office, 7zip und PDF“ zu verweisen. Grundlage des Schreibens ist eine Anfrage, GPG4Win auf einem Rechner innerhalb des EU-Parlamentes zu installieren.

In dem Zwischenbericht hatte DG ITEC noch darauf verwiesen, man könne das Ausrollen von PGP- und SMIME-basierter Verschlüsselung und Signierung starten, sobald „Bedarf da ist und Lizenzen vorliegen.“ In der uns vorliegenden Antwort – die deutlich nach der Erstellung des Zwischenberichts entstand – klingt das anders:

Aktuell gibt es keine passende „Out-of-the-Box“-Lösung für Ihre Anfrage. Ein Paket für PGP-artige Software ist gerade in Entwicklung, um die Integration in die Standardkonfiguration zu ermöglichen. Aber wir waren noch auf Informationen von den Diensten, die in die technischen Fragestellungen involviert sind.

Abgesehen von der Frage, was „PGP-artige Software“ sein soll, ist auch zweifelhaft, wie das mit dem früheren Zwischenbericht zusammenpasst. Der suggerierte zumindest einen etwas fortgeschritteneren Arbeitsstand.

DG ITEC rät, sich mit der „internen Verschlüsselung“ von Office, 7zip und PDF in der Zwischenzeit Abhilfe zu verschaffen. Dafür müsse man jedoch ein Passwort austauschen – mündlich. Wir können uns leider bereits vorstellen, wie das über ungesicherte Telefonleitungen passiert.

Doch DG ITEC schlägt, neben der Verwendung von Office, 7zip und PDF, noch ein anderes Workaround vor:

[…], z. B. die Installation der Software auf der zweiten Partition des Laptops, da diese Aktion keine Administratorrechte benötigt. In der Praxis gibt es hier jedoch einige Beschränkungen, die diesen Vorschlag inkompatibel mit ihrer Arbeit im Büro machen.

Das Betriebssystem auf der zweiten Partition darf sich nicht mit dem internen Netzwerk des Parlaments verbinden. Beide Methoden hätten ihre Stärken und Schwächen und „ihre Zuverlässigkeit hängt auch von gesundem Menschenverstand und gutem Verhalten ab.“

Englischer Volltext

For the time being there is no suitable and standard „out-of-the-box“ solution for your request. A package for a PGP-like software is currently in development in order to make possible its integration into the standard configuration but we are still awaiting informations from the services involved in this technical issue.

Nowadays, we can only propose workarounds – i.e installation of the software on the second partition of the laptops because this action doesn’t require administrator privileges but it has in practice some constraints making this proposal incompatible with your work at the office because the operating system on the second partition is not allowed to connect on the internal network of the EP, but it may fit your need for encryption if this need is not systematic.

There are some alternatives, some are available on our systems although they do not follow PGP’s principle of asymmetric cryptography. I can mention the built-in encryption methods in Office, 7zip and PDF. In the case of built-in encryption (and this is true for asymmetric encryption), the transmission of a „key“ will be necessary – it can be a password (provided verbally), or certificates (electronic files, usually sent by email of mobile storage devices like USB keys), the password can be transmitted verbally while the certificates (or encryption keys) cannot because they are too complex.

Both have their strenghts and weaknesses and their reliability also depend on common sense and good practices.

: Wir veröffentlichen Zwischenbericht zur IT-Sicherheit im EU-Parlament: Es ist wenig passiert

Plenarsaal des Europäischen Parlaments in Straßburg. Bild: <a href="https://de.wikipedia.org/wiki/Benutzer:J._Patrick_Fischer">J._Patrick_Fischer</a>. Creative Commons <a href="https://creativecommons.org/licenses/by-sa/3.0/de/">BY-SA 3.0</a>.

Wenn es um IT-Sicherheit im Europäischen Parlament geht, ist seit Beginn der NSA-Affäre nicht viel passiert. Das zeigt ein interner Zwischenbericht der Generaldirektion Innovation und technologische Unterstützung (ITEC), den wir an dieser Stelle veröffentlichen.

Der Ausschuss des EU-Parlaments für Bürgerliche Freiheiten, Justiz und Inneres (LIBE) hat im Januar einen Folgebericht zu ihrem Abschlussbericht zum Überwachungsskandal herausgegeben, in dem deutlich die Unzufriedenheit mit den Aktionen geäußert wurde, die seit Beginn des NSA-Skandals von der EU unternommen wurden. Dieser Bericht bezieht sich auch auf das uns vorliegende Dokument:

IT-Sicherheit in EU-Institutionen

Paragraph 101 der Resolution bezieht sich auf IT-Sicherheit im EU-Parlament und der Entwicklung von Empfehlungen, die IT-Sicherheit in EU-Institutionen zu stärken, sowie eine gründliche Prüfung und Bewertung der Zuverlässigkeit der IT-Sicherheit des Parlamentes.

Diesbezüglich hat die Begleitgruppe einen Zwischenbericht von DGITEC erhalten mit einer Strategie und einem Maßnahmenplan für die Sicherheit der IT. [s. S. 11 des Folgeberichtes]

Open Source verbindlich machen? Nicht möglich.

Der LIBE-Ausschuss hat gefordert, dass Software Open Source sein muss, wenn es um sensible, sicherheitrelevante Bereiche geht. DGITEC weist diese Forderung zurück:

Ausschreibungen müssen strikt den Vorschriften für öffentliche Beschafftung folgen und die Prinzipien der Gleichbehandlung respektieren. Daher können solche Limitierungen nicht in die Spezifikationen aufgenommen werden.

Bei gleicher Eignung von Open-Source-Software soll diese jedoch bevorzugt werden.

Firmen, die mit der NSA zusammenarbeiten, können nicht ausgeschlossen werden.

Gleiches gilt für die Auftragsvergabe an IT-Firmen, über die eine Kooperation mit der NSA bekannt ist. Der LIBE-Ausschuss forderte, dass evaluiert wird ob andere Firmen, vorzugsweise europäische, die gleichen Leistungen erbringen könnten. Auch das wird abgelehnt. Sonst müsste man die Vorschriften für die öffentliche Beschaffung ändern oder „im Gesetz Prozesse etablieren, die Blacklists von Unternehmen enthalten.“

Die Europäische Zentralbank bezieht unterdessen fröhlich weiter Internetdienstleistungen des US-Anbieters Verizon, dessen Zusammenarbeit mit der NSA bekannt ist. Trotz der Tatsache, dass sich im Juli 2014 Hacker Zugang zu E‑Mail-Adressen und Kontaktdaten im EZB-Netz verschafft hatten – dem Bereich, den Verizon betreut.

IT-Sicherheit vs. Performance?

LIBE verlangte außerdem die Überprüfung der Kommunikationssicherheit zwischen den Arbeitsplätzen des Parlamentes und der IT-Systeme. Die Antwort mutet seltsam an:

Eine Risikoabwägung muss durchgeführt werden, da der aktuelle Provider behauptet, dass die NSA nicht auf seine Kommunikationsnetze zugegriffen habe. Das Ausrollen von Verschlüsselungslösungen bräuchte eine sorgfältige Analyse, um eine Verschlechterung des Services bei den Hochleistungslinks zwischen den Arbeitsplätzen des Parlaments zu vermeiden.

Es wäre schade, wenn die Risikoabwägung hier einen Service-Engpass attestieren würde, denn – wenn dieses Szenario ansatzweise realistisch wäre – sollte eigentlich eine Erhöhung der Kapazitäten die Konsequenz sein und nicht das Weglassen von Sicherheit.

Es scheint, als habe man vollständig vergessen, dass vor etwa 1,5 Jahren massenweise Mail-Accounts von EU-Parlamentariern gehackt worden sind, laut Berichterstattung ohne größere Anstrengungen. Schon damals wurden die laxen Sicherheitsmaßnahmen im EU-Parlament angeprangert, Sophie in’t Veld von ALDE etwa monierte, die Schwächen des hauseigenen IT-Systems seien seit Jahren bekannt. Mittlerweile kann man noch 1,5 Jahre aufaddieren.

Mit einer Haltung wie der obigen ist es nur eine Frage der Zeit, bis sich ein Sicherheitsvorfall wie der des Mail-Hacks wiederholt.

Verschlüsselung, Signaturen, sicheres Instantmessaging – „Sobald Bedarf besteht.“

Bei E‑Mail-Verschlüsselung und Signaturen scheint man noch in den Kinderschuhen zu stecken. Es seien geeignete Produkte ausgewählt worden, die zur Verfügung standen. Man habe sich für den PGP- und SMIME-Standard entschieden und könne das Ausrollen starten, sobald „Bedarf da ist und Lizenzen vorliegen.“ Dass Bedarf da ist, sollte doch mittlerweile eigentlich zweifelsfrei geklärt sein, oder?

Bei elektronischen Signaturen habe es zwar ein erfolgreiches Pilotprojekt gegeben, aber um alle EP-Nutzer miteinzubeziehen bedürfe es einer „strategischen Entscheidung“ oder „neuen Pilotstudie,“ um zu evaluieren, wie die Lösung generalisiert werden könne. Beim Einrichten von sicherem Instant Messaging müsse noch genau analysiert werden, „um Kompatibilitätsprobleme zu vermeiden, die eine Service-Störung hervorrufen könnten.“

Was bisher möglich ist.

Leider sind die Abgeordneten darauf angewiesen, dass sie Software zum Verschlüsseln, Signieren und sicheren Kommunizieren installiert bekommen, denn selbst dürfen sie keine installieren. Standardmäßig gibt es Windows 7, Outlook und Internet Explorer sowie neuerdings Firefox – ohne Plugins. Wunschsoftware kann bei DGITEC beantragt werden. Uns sind jedoch nur zwei negative Antworten von DGITEC bekannt, nachdem Abgeordnetenbüros nach gpg4win gefragt hatten. Es wurde auf andere Programme verwiesen – wie etwa die eingebaute Verschlüsselung in Office, 7zip und PDF. Das tröstet uns jetzt nicht unbedingt.

Gemischtes & Fazit

Auch die Serverstandorte sollten evaluiert werden. Diese befänden sich laut Antwort primär in zwei großen Datencentern, beide davon außerhalb der EU-Liegenschaften. Sie seien jedoch abgesichert und gegen unbefugten Zutritt geschützt. Ergebnisse zur Sicherheit und Datenschutzproblemen bei der Verwendung von Cloud-Lösungen durch das Parlament sollen im Laufe von 2015 veröffentlicht werden.

Alles in allem klingt der Zwischenbericht wie Ankündigungs- und Vertröstungspolitik. Doch das soll keine reine Anklage an DGITEC werden, denn die sind, in Relation zu der Masse an Abgeordneten und Mitarbeitern, die sie betreuen müssen, deutlich unterbesetzt. Doch hier liegt es an den verantwortlichen Stellen, die Kapazitäten für IT-Sicherheit aufzustocken, um weitere peinliche und – hinsichtlich der im EU-Parlament übertragenen Informationen – fatale Sicherheitslücken zu vermeiden.

: Anhörung zum IT-Sicherheitsgesetz im Bundestag (Liveblog und Fazit)

Wie bereits angekündigt, findet heute ab 14 Uhr eine Expertenanhörung zum Thema IT-Sicherheitsgesetz (ITSG) im Innenausschuss des Bundestages statt.

Kurze Erinnerungsauffrischung: Das IT-Sicherheitsgesetz liegt derzeit in Fassung eines Gesetzesentwurfes vor, der von uns und vielen anderen, wie etwa dem CCC, stark kritisiert wird. Eigentlich soll er für mehr Sicherheit, vorrangig bei „Kritischen Unternehmen und Infrastrukturen“ sorgen. Durch schwammige Formulierungen und wirtschaftsfreundliche Verwässerung verfehlt der Entwurf dieses Ziel und verdient eher den Namen IT-Sicherheitssimulationsgesetz. Es ist weder genau definiert, wer eine kritische Infrastruktur bereitstellt, noch, was ein schwerwiegender Vorfall ist, der gemeldet werden müsste. Meldungen können im Normalfall anonym erfolgen und auch Sanktionsmöglichkeiten sind in dem Entwurf nicht vorgesehen. Mehr kritische Punkte haben wir hier zusammengefasst.

Wir haben live aus der Anhörung berichtet, für die ganze drei Stunden vorgesehen waren. Wer die Anhörung selbst nachvollziehen wollte, konnte das im Parlamentsfernsehen tun. Die eingeladenen Sachverständigen waren:

Michael Hange, Präsident des Bundesamtes für Sicherheit in der Informationstechnik
Prof. Dr. Gerrit Hornung, Universität Passau, Lehrstuhl für öffentliches Recht, IT-Recht und Rechtsinformatik
Linus Neumann, Chaos Computer Club (CCC), Berlin [Text der Stellungnahme, Blogpost]
Iris Plöger, Bundesverband der Deutschen Industrie e.V., Leiterin der Abteilung Digitalisierung
Prof. Dr. Alexander Roßnagel, Universität Kassel, Institut für Wirtschaftsrecht
Prof. Dr.-Ing. Jochen Schiller, Freie Universität Berlin, Institute of Computer Science
Dipl.-Ing. (FH) Thomas Tschersich, Deutsche Telekom AG, Leiter Group Security Services
Dr. Axel Wehling, Gesamtverband der Deutschen Versicherungswirtschaft e.V., Mitglied der Hauptgeschäftsführung, Geschäftsführer des Krisenreaktionszentrums der deutschen Versicherungswirtschaft

Eingangsstatements

Sitzungsvorsitzender Wolfgang Bosbach (CDU/CSU)

$begrüßungs-foo

Es wird ein Wortprotokoll geben. Und schriftliche Stellungnahmen, die ins Internet gestellt werden.

Michael Hange

Herausragende Punkte

Lagebericht zur IT-Sicherheit, BITKOM-Studie und Snowdenenthüllungen zeigen, wie verletztlich der Cyberraum ist.

Es gibt drei kritische Punkte: Vernetzung, Komplexität, die Erreichbarkeit jedes System über das Internet.

Gefährdungslage: Internet ist als Plattform für Angreifer attraktiv. Dienste und Angriffe sind zu kaufen, Entdeckungsrisiko ist gering, Masse der möglichen Ziele ist groß, Cyber-Angriffe kennen keine Grenzen.

Schwachstellen sind systemimmanent. Bei üblicher Software existieren 2–5 Promille Fehler pro Programmzeile. Bei gängigen Betriebssystemen ergibt das über 20.000 Schwachstellen. Die Bedeutung von Advanced Persistent Threats nimmt zu – das sind „hochwertige Premiumangriffe“.

Apps nähern sich 1,5 Millionen nur für Android.

Cybersicherheit rückt im KRITIS-Bereich [Kritische Infrastrukturen] in den Vordergrund. Bisher ist die Zusammenarbeit mit den Behörden freiwillig, aber angesichts des Risikos wird das der Realität nicht mehr gerecht.

Der Zeitpunkt ist gekommen, für KRITIS und Internetnutzer mehr zu tun. Mindeststandards, Meldepflicht, Warnpflicht, jährliches Lagebild, Prüfung zentraler Produkte, Änderungen in TMG und TKG.

BSI soll aktiv präventiv werden in Zusammenarbeit mit den Aufsichtsbehörden. ITSG ist ein notwendiger und wichtiger Schritt.

Prof. Dr. Gerrit Hornung

Gesetzentwurf adressiert eine relevante Frage und ist ein sinnvoller Ansatz. In aller Kürze:

1. Inhaltliche Standards: Ziel ist Verbesserung der IT-Sicherheit. Stand der Sicherheit soll berücksichtigt werden, das ist zu wenig. Sicherheit muss eingehalten werden. Branchenstandards sind ein probates Mittel, bringen aber auch Probleme.

2. Wie weist man die Einhaltung nach? Bereich der Audits ist ungeregelt. Das ist unzureichend, braucht genauere Regelung.

Meldepflichten: Entwurf sieht Sonderregelungen vor, keine Rechtfertigung für terminologische Abweichungen. Ist damit auch unterschiedlicher Inhalt gemeint. Bereich der hoheitlichen Anwender wird nicht geregelt. Nicht einsichtig, warum diese anders als KRITIS behandelt werden sollen.

Umgang mit den Informationen durch das BSI ist wichtig. Meldungen enthalten sensible Informationen über Wirtschaft. BSI sollte mehr für Öffentlichkeitsarbeit tun und Dritte informieren. Nicht nur Bedürfnisse der Wirtschaft berücksichtigen.

Kriminelle dürfen nicht auf Lücken hingewiesen werden, Lücken müssen vorher geschlossen werden. Information der Öffentlichkeit ist nicht adressiert, das ist ergänzungsbedürftig. Auch europäische Richtlinie sieht das vor.

3. Fehlende Sanktionen: Nicht alle Betreiber sind kooperativ, BSI braucht deshalb Durchsetzungs- und Anordnungsbefugnisse. Ungleichbehandlung, Bußgelder nur für TK-Bereich vorgesehen.

Zu §100 TKG: Wird als kleine Vorratsdatenspeicherung bezeichnet.

Linus Neumann

Im Gesetz sollen technische Probleme adressiert werden. Schwierig mit juristischen Mitteln zu machen.

Zwei Möglichkeiten für mehr IT-Sicherheit:

Härtung – Im Schadensfall den Schaden begrenzen – und Prävention – Finden und Entfernen von Bugs im Code. Am Ende die einzige Möglichkeit, ein Sicherheitsrisiko loszuwerden.

Anreize für eine Erhöhung der IT-Sicherheit im ITSG? Im ITSG starken Fokus auf KRITIS, aber Endnutzerschutz sollte größere Rolle spielen.

Stört, dass jegliche Proaktivität fehlt. Stand der Technik soll eingehalten werden, wird aber schon per Definition eingehalten. Technische Sicherheit muss erhöht werden, das kann nicht durch Meldepflichten im Nachhinein passieren.

Erstellung von Sicherheitskonzepten ist vorgesehen, um Rechtsunsicherheit des „Stands der Technik“ zu entfliehen. Verbände müssen sich für gemeinsames Sicherheitskonzept zusammensetzen. Dilemma: Standard, den alle erfüllen oder Standard, den man noch nicht erfüllt. Letzteres würde Investitionen benötigen.

§100 TKG, damit wird Datenvorhaltung ermöglicht. Aber Störungen sind akute Probleme, da bringt 180 Tage zurückreichender Datensatz nicht. „Das ist einfach Unsinn.“

BSI hat inhärenten Interessenskonflikt, weil BMI untergeordnet. Es ist auch im offensiven Bereich der IT-Sicherheit tätig, Verweis auf Wunschliste des BND. BSI unterstützt auch die Entwicklung von Staatstrojanern. Als zentrale Meldestelle daher grundsätzlich nicht geeignet.

Iris Plöger

BDI findet die Maßnahmen, wie Meldepflicht, unverhältnismäßig. Es entstehen finanzielle Aufwände. Nutzen ist nicht einschätzbar. Industrie hat Eigeninteresse an IT-Sicherheit.

Meldepflicht allein führt nicht zum Ziel, da reaktiv. Freiwillige Zusammenarbeit funktioniert sehr gut.

Eigene Vorschläge schon 2014 eingebracht, Studie „IT-Sicherheit in Deutschland.“ Konkrete Handlungsempfehlungen präsentiert.

1. KRITIS klar definieren. Ist nicht klar, an wen sich das Gesetz richtet. Unternehmen müssen wissen, ob sie betroffen sind. Staat ist der größte Betreiber kritischer Infrastrukturen. Schutzgut des Gesetzes ist kein Grund für Ungleichbehandlung staatlicher und privater Betreiber.

2. Umfang und Inhalt der Meldepflichten im Gesetz nicht bestimmt. Definition „erheblicher Störungen“ nicht hinreichend. Weitergabe von Daten sollte gesetzlich ausgeschlossen werden.

3. Mindeststandards sind branchenspezifisch wichtig.

4. Kompatibilität zwischen ITSG und NIS-Richtlinie wichtig. Stehen bisher nicht im Einklang. Unterschiedliche nationale und europäische Anforderungen.

5. Keine Doppelregelungen und Doppelzuständigkeiten schaffen.

6. Zusammenarbeit BSI und Unternehmen ausbauen. Informationen müssen zeitnah und praxisorientiert an Unternehmen gegeben werden – tagesaktuell. Allianz für Cybersicherheit stärken.

Prof. Dr. Alexander Roßnagel

1. Gesetzentwurf grundsätzlich zu begrüßen. Name verspricht mehr, als die Regelungen verfolgen. Maßnahmen sind grundsätzlich geeignet, Grundrechtseingriffe erforderlich und verhältnismäßig.

2. Definition kritischer Infrastrukturen erscheint ausreichend. Für Rechtssicherheit müssen sie so detailliert beschrieben werden wie in Emmissionsschutzverordnung, detaillierte Merkmale sind sachlich geboten.

3. Sicherheitsvorkehrungen sind für ein gleichmäßiges Mindestniveau erforderlich. Stand der Technik soll nicht nur berücksichtigt, sondern eingehalten werden. Branchengerechte Vorgaben sind zu begrüßen. Aber eingesetzte Technik kann nicht durch Betreiber selbst verbessert werden, daher müssen Sicherheitsnachweise hier präziser gefasst werden.

4. Kooperatives Sicherheitssystem ist zu begrüßen, wie anonyme und identifizierende Meldepflicht. Wann eine Meldepflicht besteht, sollte jedoch präziser geregelt werden. Ausnahmen sollen nur bei spezielleren Regelungen greifen. Verbessert werden muss Information der Öffentlichkeit und Nutzer. Staat hat Schutzpflicht, daher sollte Information die Regel sein.

Pflichten der Betreiber müssen sanktionsbewährt sein.

5. §100 TKG, Gesetzentwurf erweitert Begriff der Störung. Vorschrift erlaubt anlasslos Speicherung von Verkehrsdaten, das ist unverhältnismäßig. Muss eingeschränkt werden.

Prof. Dr.-Ing. Jochen Schiller

Gedankenexperiment: Smarter Backofen, lädt Backprogramme aus dem Internet. Steuerung übernimmt ein Webserver. Hat Schadsoftware, verkohlt nicht nur Kuchen, sondern die ganze Wohnung. Wer ist haftbar? Nutzer, Hersteller, Hacker?

Backofen ist keine kritische Infrastruktur, aber Probleme sind ähnlich. Eingebettete Computer steuern vielfältige Systeme, sind aber kaum abgesichert. Haben wir das richtige Sicherheitsbewusstsein?

Grundlegender Bewusstseinswandel ist notwendig, Sicherheit ist ein dynamischer Prozess.

Sicherheitsprozesse müssen branchenübergreifend gedacht werden. Alle müssen eingeschlossen werden, um wirksam zu sein. Drei Viertel aller Angriffe betreffen KMUs, diese stellen in ihrer Gesamtheit auch kritische Infrastrukturen dar – Wirkungsbereich des ITSG überdenken!

TMG und TKG sind nicht konsistent, um Angreifer zu erkennen. Das ist aus technischer Sicht nicht sinnvoll. Man muss reagieren können, bevor etwas passiert. Lagebild erfasst nicht alles im notwendigen Detailgrad.

Insgesamt: Gelebte IT-Sicherheit liegt hinter dem Stand der Technik zurück, ITSG ist Startschuss zum Sicherheitsbewusstsein.

Dipl.-Ing. (FH) Thomas Tschersich

Gesetz ist absolut notwendiger Schritt in die richtige Richtung. Geht um unsere Zukunftsfähigkeit in der digitalen Welt.

Historische Chance für Standortfaktor der sicheren Dienstleistungsumgebung. Nicht aus den Augen verlieren, dass weitere Schritte erforderlich sind.

Es fehlt die Einbeziehung der Hard- und Softwarehersteller. Angreifer sind erfolgreich, weil Schwachstellen ausgenutzt werden können. Betreiber kann die nicht allein beheben, Hersteller müssen unterstützen und Updates zur Verfügung stellen.

Vermutet, dass 95 Prozent aller Angriffe vergebens wären, wenn alle auf dem „Stand der Technik“ wären.

Man braucht ein Warnmeldungsregime zum Austausch von Informationen über Angriffe. Meldepflicht ist sinnvoll, relevante Meldungen sind notwendig für praktischen Nutzen.

Speichern von Daten in Telediensten: Diskussion um Erforderlichkeit ist notwendig. Logs sind notwendig für Schutz vor und Erkennung von Angriffen. Es braucht eine Definition, was gespeichert werden kann und darf.

Dr. Axel Wehling

Ist der richtige Zeitpunkt mit der richtigen Dosierung, gibt drei Kernpunkte:

1. Anonymisierte Meldung

2. Fortschreiten bei kooperativem Ansatz: Muss ausgebaut werden. Insbesondere in der Frage, welche Unternehmen zu KRITIS zählen. Bei Definition von Sicherheitsaudits und Zertifizierungen sollten branchenspezifische Lösungen möglich sein.

Kleinere Anpassungen sind erforderlich.

3. Branchenansatz: Versicherungsbranche hat Single Point of Contact mit BSI schon 2010 eingerichtet. Soll ausgebaut werden. Branchenansatz ist das Tool, um spezifisch IT-Sicherheit voranzubringen und Bürokratie zu vermeiden. Branchen haben unterschiedliche Anforderungen.

Um Meldekultur zu etablieren von Spezialgesetzen absehen. Lagebild reicht, evtl auch spezielle Lagebilder. Keinen Konkurrenzkampf zwischen den einzelnen Meldewegen generieren.

Fragerunde

Wendt (CDU/CSU)

@Tschersich/Wehling: Konkreter Wert als Anhaltspunkt für Definition kritischer Infrastruktur möglich? Welche Bereiche und Sektoren sollten unter KRITIS fallen, wird das europaweit tragfähig sein?

Tschersich: Kennzahlen schwierig. KRITIS alles, was unter Grundversorgung fällt, egal wie groß oder klein. D.h. auch Nahrungsmittel. Hier ist branchenspezifischer Ansatz sachdienlich. BSI bildet das Korrektiv, wenn eine Branche sich entziehen will, um Investitionen zu vermeiden.

Wehling: 1200 Versicherungsunternehmen in Deutschland, im GdV nur 430 Unternehmen. Nicht alle müssen miterfasst werden – branchenspezifisch gucken. In Übungen die Response-Zeiten angeschaut und geschätzt, ob diese adäquat sind. Nicht alle können in einen Topf geworfen werden.

Man kann ein Gefühl entwickeln, wer dazugehört oder nicht.

Schwer zu sagen, ob mit EU-Regelung kompatibel. National andere Aufteilung ist unschädlich, in etlichen Staaten gar keine nennenswerte Versicherungswirtschaft.

@Plöger/Hornung: Wesentlichkeit und Bestimmtheit, ist Gesetz ausreichend konkret? Ist sichergestellt, dass Kooperation von Unternehmen, Wissenschaft und Behörden funktioniert

Plöger: Große Unsicherheit bei Unternehmen besteht. Umfang und Inhalt der Meldepflicht wird kritisiert. Anzahl der Personen in großen Unternehmen, um das zu leisten, wird sehr groß sein.

Begrüßt kooperativen Ansatz, wünscht sich mehr Präzision im Gesetz. Frage, ob man mit Meldepflichten dem Problem Herr wird, unklar.

Hornung: Anforderung aus Grundgesetz, wesentliche Entscheidungen muss Gesetzgeber treffen. Also auch, auf wen ein Gesetz angewendet wird. Nicht jedes Unternehmen muss das direkt aus dem Gesetz sehen können. Empfiehlt Konkretisierung, gibt im Gesetz Ansätze dafür.

Wie ist die Zahl von maximal 2000 betroffenen Unternehmen, die im Gesetz genannt wird, zustande gekommen? Sollte präzisiert werden.

Je vager der Entwurf, desto größer die Chance, mit der EU-Richtlinie kompatibel zu sein. Eigentliche Probleme bei EU liegen bei Veröffentlichung der Ergebnisse und Sanktionen.

@Hange: Meldepflichten, Einschätzung der Menge der zu meldenden Vorfälle? Wie wird mit Meldefällen umgegangen? Wie wird der Mehraufwand?

Hange: BSI hat ein Lagezentrum, dass künftig 24/7 präsent sein wird. Zweistufiger Prozess: Was ergibt sich an Gefährdung für andere? Daraus ergibt sich eine Warnung. Dann: Meldepflichten sind kein Selbstzweck. Jede Meldung braucht auch Analyse, 80 – 90 Prozent aller Angriffe können abgewehrt werden. Spam ist nicht meldewürdig, sondern neuartige Angriffe. Betrifft vermutlich 5 – 10 Angriffe pro Jahr.

Ist ein dynamischer Prozess, wichtig ist, die Methoden festzulegen und Common Sense für Vorgehensweise zu etablieren. Informationen müssen vertraulich bleiben.

Reichenbach (SPD)

@Hornung/Roßnagel: Websteuerungen in eingebetteten Systemen: Zuordnungsschwierigkeiten zu TMG oder TKG, wie ist das Problem zu lösen?

Hornung: Sowohl in TMG und TKG Problem mit Umgang mit Verkehrsdaten. Es gibt überlappende Bereiche. Lösung nicht im Gesetzentwurf, Erforderlichkeitskriterium zu vage, Speicherdauer läuft völlig auseinander. Man braucht eine Erheblichkeitsschwelle und Zweckbindungsregelung, sowie Obergrenze für Speicherpflicht.

Roßnagel: Wenn man TMG miteinbezieht hat man nicht nur Verkehrs- sondern auch Nutzungsdaten. Eingriff in Grundrechte wird dadurch tiefer. Schließt nicht aus, dass trotzdem Vorsorgemaßnahmen getroffen werden. Aber darauf achten, dass stufenweise vorgegangen wird. Nicht alle Daten aller Nutzer für unbestimmten Zeitraum aufbewahren. Erstmal anonyme Statistiken analysieren. Sollte im Gesetz verankert werden. BVerfG hat eingefordert, dass nicht einfach alles gespeichert werden darf.

@Hange/Roßnagel/Schiller: Mitwirkungspflicht von Herstellern. Was passiert, wenn Monopolist ein Sicherheitsproblem ignoriert? Wie können Regelungen Mitwirkung garantieren?

Roßnagel: BSI kann Betreiber zu Nachbesserung auffordern, aber nicht Hersteller. Das muss aber möglich sein.

Schiller: Kann nicht so tun, als wäre IT-Bereich etwas ganz Neues. Nicht einzusehen, dass derjenige, der das Produkt anbietet, nicht zur Rechenschaft gezogen werden soll. Der Anbieter selbst muss Anforderungen an Hardwarehersteller stellen. Nicht logisch, dass in diesem Fall Haftung nicht greifen soll. Weiterpropagieren von Verantwortlichkeiten kann nicht sein.

Hange: Mit Mindeststandards wird ein Rahmen vorgegeben. Bindung des Herstellers an den KRITIS-Betreiber notwendig, z.B. in AGBs. BSI kann auch öffentlich warnen, das hat hohen Wirkungsgrad. Via Gesetz auf Zulieferer einwirken ist wirksam. Produktauswahl muss am Markt entschieden werden. Benennung von Schwachstellen schafft Druck auf Hersteller.

@Hornung/Roßnagel: Sanktionsmechanismen, wie ist das besser formulierbar? Wie lässt sich Wettbewerbsverzerrung vermeiden?

Hornung: TKG-Bereich kann als Modell gelten, nur erhebliche Verstöße Bußgeld-bewehrt. Nicht auf Sanktionsbefugnisse verzichten.

Roßnagel: Sicherungs- und Meldepflicht werden von großer Anzahl an Unternehmen befolgt. Muss dafür sorgen, dass diejenigen keine Wettbewerbsnachteile haben. Daher ist Sanktion notwendig. Regelung aus TKG könnte übertragen werden.

@Hornung/Roßnagel/Hange: Kritik von außen: Zweckbindung nicht ausreichend. Nachschärfung notwendig?

Roßnagel: Zweckbindung in §7a Abs. 2, Gesetz wird aber nicht nur von Rechtsabteilungen angewendet, daher sollte diese Frage präzise und detailliert beschrieben werden. Darf nicht nur Juristen-lesbar sein.

Hange: Nur dazu da, um Schwachstellen dem BSI zu nennen. Keine Weitergabe vorgesehen.

Wawzyniack (Linke)

@Neumann: Hat gesagt, dass Meldepflichten noch keinen Hack verhindert haben. Wenn Endnutzerschutz im Mittelpunkt, ist da Meldepflicht nicht doch sinnvoll? Vielleicht sogar ein Mehr an Meldepflicht? Verbot des Verkaufs von Sicherheitslücken?

Neumann: Gibt Ad-Hoc-Angriffe, Angriffe sind erfolgreich, wenn sie neuartig sind. Hohe Kunst fängt bei neuen Angriffen an, z.B. OpenSSL. Konnte keiner vorhersehen und fast niemand detektieren. Meiste Unternehmen haben hier Defizite. Angreifer hat keine Motivation, die Meldung der Telekom abzuwarten, bis er andere angreift.

Warum meldet bisher niemand freiwillig, Gelegenheit besteht seit 2012 in der Allianz für Cybersicherheit? Irgendwas funktioniert da nicht.

IT-Sicherheit ist multidimensionales Problem, es gibt viele Angriffsmotivationen.

@Neumann: Mehr Proaktivität gefordert, wie kann das aussehen?

Man sollte den Unternehmen Anreize geben – durch Haftung, Zwänge, … – den Risikoszenarien zu begegnen, bei denen Endnutzer zu schaden kommen und nicht nur das Kerngeschäft.

Bereits vorgeschlagen zu schauen: Was sind Softwareprodukte, die ein Großteil der Menschen nutzen? OpenSSL: Niemand hat das auditiert, um das eigene Risiko zu verringern. Alle profitieren von einer Sicherheitsüberprüfung, daher haben einzelne Unternehmen wenig Anreiz, profitieren aber davon.

Was macht man mit der proprietären Software? Kann bisher noch ohne jegliche Garantie operieren. Haftung würde mit wenig Bürokratie schönen Effekt erzielen. Gesamte Awareness für IT-Sicherheit ist noch nicht so hoch, wie sie sein könnte.

@Neumann: Ambivalente Funktion des BSI angesprochen. Aus Sicht der Endnutzer evtl. Auditierung sinnvoll, das scheint aber schwierig. Ist Auditierung sinnvoll, mit BSI als unabhängiger Stelle?

Unabhängigkeit ist ein dringendes Anliegen. BSI hat Imageproblem: Staatstrojaner, ungenügende Aufklärung bei Identitätsdiebstählen. Erfolg der Allianz für Cybersicherheit nicht groß. Mangelnde Unabhängigkeit ist dabei ein Kernproblem. Schade, dass sich das Gesetz nicht auf BSI-Lageberichte stützt.

@Neumann: Datenvorhaltung bei Störungen kritisiert. In welchem Umfang sind welche Daten notwendig?

Es darf keinen Freibrief geben, alle Daten unbegrenzt vorzuhalten. Aber es gibt konkrete Notwendigkeit, in Verkehrsdaten zu schauen, um Angriff vernünftig aufzuklären. Betreiber muss das tun, aber in diesem Fall ist Informieren der Nutzer notwendig.

Oft werden die Daten für Kleinstvergehen angefragt, daher sieht man, dass massive Einschränkung des Verwendungszwecks notwendig ist. Wenige Stunden bis Tage Speicherung sind ausreichend.

@Schiller/Hornung: Anwendungsbereich des Gesetzes, kleinere Unternehmen werden ausgenommen (< 250 Mitarbeiter, 43 Mio. Euro Bilanzsumme). Macht Bestimmtheitsgebot da noch Sinn? Nicht alle von Anfang an einbeziehen?

Hornung: Ausnahme für Kleinstunternehmer (kleiner 10 Mitarbeiter), nicht für KMUs. Wenn die reingenommen werden, kann das unverhältnismäßige Kosten verursachen.

Schiller: Stand der Technik und Sicherheitsbewusstsein. Stand der Technik ist definierbar. Warum KMUs? Bewusstseinsbildung. Oft kein Sicherheitsbewusstsein vorhanden, auch wenn keine Mitwirkungspflicht. Außerdem ist die Menge der KMUs zusammen relevant. Alle einzeln nicht erfasst. Wenn man ein Land lahmlegen will, dann geht man zu denen, die schlecht geschützt sind. Angriff ist dann in der Menge kritisch.

@Hange/Hornung: BfV soll bis zu 50 Stellen mehr bekommen, weil BSI dem BfV Daten übermitteln soll. Aber im Gesetz stehen nur Unterrichtungspflichten. Ist tatsächlich die Möglichkeit einer Datenübermittlung vorgesehen, Ermächtigungsgrundlage?

Hange: BSI hat technischen Blick auf Analyse. Wird warnen und Handlungsempfehlungen geben, Lageberichte erstellen. Bei Angriffen auf Regierungsnetze liegt Anteil der „hochwertigen Angriffe“ im einstelligen Bereich.

Zu Heartbleed – auch BSI macht Open Source. Auch Open Source muss geprüft werden. BSI will hier die Rolle des Prüfens übernehmen. Krypto-Bibliothek soll geprüft werden, BSI kann das finanzieren. Zertifizierung soll genutzt werden, um auch proprietäre Produkte zu prüfen, zum Beispiel bei eGK, Smart Meter.

Mitarbeit am Staatstrojaner wird auch Gegenstand des NSA-Ausschusses sein. BSI kann auch beauftragt werden, für Sicherheit zu sorgen. Darauf beschränkt sich das. Bei Identitätsdiebstahl waren die Server ruckelig, wurde aber in den Griff bekommen. Täglich werden bis 20.000 IP-Adressen an Provider gegeben, damit Kunden gewarnt werden können.

Gesamtgesellschaftlich muss gefragt werden, wie man Bürger besser schützen kann. Auch um kriminelle Bedrohungen an den Bürger zu reduzieren.

Hornung: BSI muss Stellen wie BfV unterrichten. Dieser Begriff ist unbestimmt. Auffällig, dass Gesetzesbegründung unspezifisch ist. Was BfV damit macht, muss das BfV selbst entscheiden. Scheint so zu sein, dass substantieller Teil der Auswertung beim BfV liegen soll. Sieht das kritisch.

von Notz (Grüne)

@Roßnagel/Hornung/Neumann: Was sind konkrete Punkte, die noch in das Gesetz hineingehören, damit auch Bürger geschützt werden?

Hornung: Hersteller mit ins Boot holen, Auditierung detaillierter formulieren. Anreize durch Haftungsregelungen. Inwieweit können sich Anbieter durch AGBs freizeichnen? Das im AGB-Recht beschränken. Meldepflicht für weitere Behörden und sonstige Anbieter.

Neumann: IT-Systeme sind komplex, schwer zu beherrschen. Meist gibt es aber nur Checklisten. Angreifer muss sich darum nicht kümmern, ist viel flexibler. Das erzeugt ein Ungleichgewicht. Schnellere Auditierung notwendig. Nicht IT-Sicherheit mit noch mehr Bürokratie erschlagen. Das geht zu Lasten proaktiver Maßnahmen.

Haftung bei Fahrlässigkeit einführen, Erhöhung der Schutzziele über den Stand der Technik hinaus. Konkrete Vorgaben für die Zukunft formulieren – das wäre Standortvorteil. Konkrete Schutzziele vorgeben. Grundlagen für gesamte deutsche Wirtschaft schaffen.

Roßnagel: Geht nicht nur darum, Wahrscheinlichkeit von Schäden und Angriffen zu reduzieren. Sondern auch um Schadenspotential. Haftung kann präzisiert werden, was sind berechtigte Sicherheitserwartungen und ‑pflichten? Öffentliche Hand sollte vorbildhaft vorangehen, z.B. nur zertifizierte Produkte einsetzen. Aktuellen Entwurf aber nicht deswegen aufhalten, sondern Schritt für Schritt vorgehen.

@Roßnagel/Hornung/Neumann: In Hinblick auf Scheinabsicherungen – was wären harte, notwendige Prüfungsschritte, um Hard- und Software als sicher beschreiben zu können? Z.B. bei Netzwerk-Switches.

Neumann: Zwei Teilprobleme, es gibt die Sicherheit, die das Produkt bieten kann und die Sicherheit, die man kaputtkonfigurieren kann. Man kann Anbieter von Produkten durch Zertifizierung zu Überprüfungen anhalten. Dort gibt es noch Luft nach oben, aktuelle Kontrollmöglichkeiten scheinen noch nicht zu greifen. Problembewusstsein ist nicht gegeben.

Roßnagel: Aus Technikrecht kann man Mindestniveau übertragen. Einheitlichkeit erreichen, wird aber nicht jedem Risiko gerecht. Dann spezifischere Anforderungen stellen. Schauen, ob IT-Sicherheitskonzepte existieren und umgesetzt werden.

@Hange/Roßnagel/Hornung/Neumann: Problem in Diskussion um IT-Sicherheit, Cyberwar und Co. bei Verteidigung und Angriff? Wie kann es sein, dass das BSI dem BMI unterstellt ist?

Hornung: Bei Zusammenarbeit BSI und andere Behörden aufpassen, aber komplette Unabhängigkeit nicht notwendig. Muss über Zusammenarbeit der verschiedenen Abteilungen nachdenken.

Roßnagel: Frage nach Unabhängigkeit zweitrangig, relevant ist, ob es Interessensgegensätze gibt. Evtl. ist Unabhängigkeit ein Mittel, darauf zu reagieren.

@Roßnagel/Hornung/Neumann: Parallele Verhandlung der NIS-Richtlinie in der EU. Ist es sinnvoll, dass das ITSG Vorbild der NIS-Richtlinie werden soll?

Hornung: Abhängig davon, wie der Zeitplan für die NIS-Richtlinie aussieht. Keine Prozesse vorgeben, die Unternehmen teuer umsetzen müssen.

Roßnagel: Artikel 2 der NIS-Richtlinie sagt, sie betreibt nur eine Mindestharmonisierung, Länder dürfen trotzdem noch eigene spezifische Regelungen über Mindestniveau erlassen. Definition von kritischen Infrastrukturen in NIS nicht enthalten.

Jarzombek (CDU/CSU)

@Tschersisch: Wie wird bei Telekom vorgegangen, wenn Kunden als Teil eines Botnetzes unterwegs sind?

Tschersisch: Monatlich werden viele Endkunden angeschrieben, von deren IPs Angriffe stammen. Hat einen enormen positiven Effekt, viele Kunden fragen nach und nehmen das ernst. Problem ist, dass solche Informationen nicht durch eigene Auswertungen ermittelt werden dürfen. Man ist auf Meldungen von Dritten angewiesen.

@Hange: Wie sind Reaktionszeiten des BSI bei eingehenden Meldungen geplant? Wie sieht Unterstützung von Unternehmen bei persistenten Angreifern aus?

Hange: Schon jetzt sind Prozesse etabliert. Prozesse müssen mit den Branchen transparent gemacht werden. Man kann nicht zeitlich genau definieren.

BSI kann Betreiber von KRITIS unterstützen – als Ersthilfe – oder an dritte Dienstleister verweisen.

@Plöger/Hornung: Wie ist Alternativvorschlag zur Konkretisierung von Begriffen, z.B. Stand der Technik?

Plöger: Parallele zu Patentrecht – Industrie hat sich zurückhaltend geäußert, den Stand der Technik in einem Gesetz zu formulieren.

Hornung: Man kommt nicht ohne unbestimmte Rechtsbegriffe aus. Man braucht jemanden, der entscheidet, was Stand der Technik ist. Das ist Dynamik, aber die fehlt im Gesetzesentwurf.

Hakverdi (SPD)

@Roßnagel: Wie kann man §100 TKG verfassungskonform formulieren?

Roßnagel: Man muss den zulässigen Anlass genau beschreiben. Stufenweise vorgehen: Verkehr beobachten ohne Personenbezug, bei Anlass auch Anomalien näher anschauen, auch anonym und pseudonym. Erst bei Entdeckung eines Angriffs den Personenbezug herstellen. Im ersten Schritt keine flächendeckende und anlasslose Speicherung von personenbezogenen Daten durchführen. EuGH verlangt, dass Verarbeitung personenbezogener Daten auf das absolut Notwendige beschränkt wird.

Ausnahmen für bestimmte Berufe (Ärzte, Rechtsanwälte, etc.) – überlegen, ob man eine Whitelist mit bestimmten Anschlüssen erstellt. §100 TKG modernisieren. Mehr Kriterien zum Schutz der betroffenen Bürger.

Nachfrage: Sind Whitelists technisch möglich?

Tschersisch: Technisch möglich so gut wie alles, aber Realismus fraglich.

Fazit

Im Grunde entsprachen die vorgebrachten Argumente den Punkten, die bereits im Vorfeld kritisiert wurden. Ein Streitfaktor ist dabei die Frage, ob eine im Normalfall anonyme Meldepflicht ausreicht. Ein weiterer, viel bemängelter Punkt sind die unklaren Begriffsdefinitionen, die unter anderem dazu führen, dass Unternehmen nicht wissen würden, ob sie selbst zur betroffenen kritischen Infrastruktur gehören. Auch die Festlegung auf einen Stand der Technik gibt keine klaren Leitlinien, eine Konkretisierung des Begriffes ist jedoch im Rahmen eines Gesetzes schwer umzusetzen.

Die Begrenzung des Gesetzes auf kritische Infrastrukturen ist dabei ein Kritikpunkt an sich. Denn eigentlich, sollte man meinen, ist IT-Sicherheit für alle ein maßgeblicher Faktor. Denn wenn eine Vielzahl an Unternehmen, die vielleicht für sich genommen nicht kritisch wären, von einem Angriff betroffen ist, kann das in der Masse einen ebenso kritischen Vorfall darstellen wie beispielsweise ein Angriff auf einen einzelnen, großen Energieversorger. Ebenso wichtig für die IT-Sicherheit sind diejenigen, die Komponenten für IT-Systeme liefern, auf deren Basis die Betreiber arbeiten müssen. Existieren beispielsweise Sicherheitslücken in verwendeter Hard- oder Software, hat ein Betreiber eines Unternehmens wenig Handhabe, das ITSG hilft ihm dabei nicht.

Inwiefern der Gesetzesentwurf helfen kann, proaktiv Angriffe zu bekämpfen bleibt fraglich und so stellten einige der Sachverständigen in Frage, ob eine vorgesehene nachträgliche Meldepflicht ausreichend ist, wenn Angreifer sich normalerweise nicht darauf beschränken, Infrastrukturen nacheinander anzugreifen, sondern dies in der Regel parallel erfolgt. Was die Wirksamkeit des Gesetzes darüberhinaus behindern könnte, sind die mangelnden Sanktionierungsbefugnisse. Denn gibt es keinen wirtschaftlichen Anreiz, Sanktionen zu vermeiden, da schlichtweg keine vorgesehen sind, ist es fraglich, ob Unternehmen mitunter intensive Investitionen in IT-Sicherheit tätigen werden.

Ein anderes, viel angesprochenes Thema sind die Speicherbefugnisse für Telemedien- und Telekommunikationsanbieter bezüglich Verkehrsdaten nach §100 TKG, die zur Angriffserkennung gewährt werden sollen. Hier ist eine Konkretisierung und Beschränkung der Befugnisse dringend erforderlich, um nicht eine Vorratsdatenspeicherung durch die Hintertür einzuführen.

Ob eine Verabschiedung des IT-Sicherheitsgesetzes zum aktuellen Zeitpunkt überhaupt sinnvoll ist, wurde aufgrund der aktuell debattierten NIS-Richtlinie an mehreren Stellen angezweifelt. Die NIS-Richtlinie stellt quasi das europäische Äquivalent des ITSG und damit Mindeststandards dar. Bei Widersprüchen müsste das ITSG nachgeregelt werden, manche sehen das ITSG jedoch als mögliche Vorlage für die europäische Regelung.

Worin sich alle Beteiligten einig waren ist der Punkt, dass eine Regelung von IT-Sicherheitsstandards dringend geboten ist. Dass das IT-Sicherheitsgesetz in der aktuellen Entwurfsfassung das gebotene Mittel ist, ist jedoch unwahrscheinlich.

: IT-Sicherheitsrichtlinie des Bundesinnenministeriums: Keine Kettenmails! Und zentrale Verschlüsselung!

Über eine Informationsfreiheitsanfrage zu den Blackberry-Kryptophones haben wir erfahren, dass es im Bundesinnenministerium (BMI) mit Anweisungen zur verschlüsselten Kommunikation ziemlich mau aussieht. Aber wir wollten wissen, wie mau genau und haben die Hausanordnung zum Einsatz von Informationstechnik im BMI per IFG-Anfrage angefordert und erhalten.

Zurück in die 90er

Bei ersten Durchlesen fällt auf: Das Dokument liest sich an manchen Stellen wie ein Relikt aus den 90ern. „E‑Mail ist elektronische Post“, wird an einer Stelle erklärt, „das personenbezogene Postfach ist täglich mehrfach auf neue Posteingänge zu überprüfen“, an einer anderen. Auch wird dem geneigten Leser erklärt, wie man E‑Mails adressieren kann und was „An“, „Cc“ und „Bcc“ bedeuten. Darüberhinaus wird der klassische Internet-Ausdrucker aufgefordert, dass Dokumente „möglichst am Bildschirm zu lesen“ sind. Beinahe charmant wirkt auch Absatz 6.2.8:

Untersagung von Kettenbriefen

Als Kettenbriefe werden insbesondere E‑Mails bezeichnet, die die Aufforderung enthalten, der Empfänger solle sie an eine Reihe weiterer Empfänger weiterleiten. Der Versand oder die Weiterleitung von Kettenbriefen ist untersagt.

Wer denkt dabei nicht an die Zeiten von „Durchlesen und Weiterleiten!!! Wichtig!!! Dies ist kein Scherz!!1elf“ und schlechten, pseudowitzigen Power-Point-Präsentationen, die in Büros hin- und hergeschickt wurden? Im Innenministerium sind diese Zeiten vorbei.

IT-Sicherheit mit sechs Zeichen

Weniger lustig wird es bei den IT-Sicherheitsvorkehrungen. „Das Passwort muss eine Länge von mindestens sechs Zeichen haben“, heißt es. Doch schon 2011 gab das Bundesamt für Sicherheit in der Informationstechnik (BSI) eine Pressemitteilung heraus, die Passwörter mit mindestens acht Zeichen empfahl, die „nicht im Wörterbuch stehen“ und „neben Buchstaben […] auch Ziffern und Sonderzeichen enthalten“ sollen. Eigentlich sollte doch das BMI ein Interesse daran haben, die Mindestempfehlung der ihm selbst unterstellten Behörde umzusetzen. Könnte man meinen.

Nach „starken Sicherheitsvorkehrungen“ hört es sich jedoch erst einmal an, wenn vom „Umgang mit beweglichen Datenträgern“ geredet wird – also allem von Disketten bis USB-Sticks. Hier wird davon geredet, dass sowohl optische Laufwerke als auch USB-Ports standardmäßig deaktiviert seien und zum Transport von Daten personalisierte USB-Sticks mit „biometrischem Zugangsschutz (Fingerabdruckscan)“ beantragt werden müssten. Schön und gut – von der oftmals nachgewiesenen Unsicherheit biometrischer Zugangssysteme mal abgesehen –, doch die Regel erinnert unschön an eine parallele Regelung bei der Polizei Niedersachsen. Wir haben vor einiger Zeit durch interne Quellen erfahren, dass dort die Sperrung von USB-Ports und CD-Laufwerken von den Mitarbeitern dadurch umgangen wird, indem sie schlichtweg mit anderen Rechnern arbeiten, die keine Einschränkungen aufweisen und von der lästigen internen Sicherheitsarchitektur kaum befleckt sein dürften.

Verschlüsselung durch die Virtuelle Poststelle

Zu VS-Daten, also Verschlusssachen, Personalaktendaten oder „besonderen Arten“ personenbezogener Daten, gibt es zusätzliche Sicherheitshinweise. Diese dürfen zum Beispiel nicht auf Mobiltelefonen gespeichert werden, die ja „systembedingt nur über schwache Sicherheitsmechanismen“ verfügen. Ebenso dürfen sie nicht per SMS [sic] versandt werden; mit speziellen Kryptohandys dürfen zumindest Daten bis zum Verschlussgrad VS-NfD – nur für den Dienstgebrauch – übermittelt werden.

Auch das sorglose Hin- und Herschicken per Mail ist untersagt. Intern dürfen sie zwar „ohne zusätzliche Sicherungsmaßnahmen“ versandt werden, aber sie müssen, damit man gleich weiß, welche Mails interessant sind, mit dem Hinweis „VS-NfD“ im Betreff gekennzeichnet werden. Auch die Anweisung, dass der Inhalt nur im Anhang – keine Rede von verschlüsseltem Anhang – gesendet werden darf, ist hinsichtlich der Sicherheitssteigerung zumindest fragwürdig.

Schickt man eine vertrauliche Mail nach außen, wird es kompliziert. Eine Bereitstellung von Ende-zu-Ende-Mailverschlüsselung wäre wohl sinnvoll, immerhin hat das BMI die Entwicklung von „frei verfügbarer Verschlüsselungssoftware für jedermann“ auf Basis von GnuPG gefördert. Aber davon keine Spur, es wird ein bürokratischer Prozess in Gang gesetzt:

Zum Schutz der Vertraulichkeit des elektronischen Schriftverkehrs ist besonders bei der Kommunikation im Behördenumfeld der Einsatz der sogenannten Virtuellen Poststelle, die an zentraler Stelle die Ver- und Entschlüsselung des externen E‑Mail-Verkehrs automatisiert vornehmen kann, zu empfehlen.

Eine zentrale Stelle, die ver- und entschlüsselt? Erinnert ein wenig an den Entwurf für De-Mail, bei dem auch der De-Mail-Server für den Schlüssel verantwortlich ist und damit echte Ende-zu-Ende-Verschlüsselung ad Absurdum geführt wird. Aber an diesem Punkt hat die „Arbeitsgemeinschaft De-Mail“ mittlerweile eingelenkt und will ein Browser-Plugin für PGP-Verschlüsselung anbieten.

Auch von verschlüsselten https-Verbindungen scheint man im BMI nicht viel zu halten. Die werden nämlich „zur Prüfung der übertragenen Daten auf einen eventuell enthaltenen Schadcode“ vor der Firewall des BMI entschlüsselt und wiederverschlüsselt. Das BMI nennt es SSL-Proxy, man könnte es aber auch als per Dekret vertrauenswürdigen „Man-in-the-middle“ bezeichnen. Es wird jedoch zugesichert, dass keine weiteren Protokolldateien anfallen würden, denn sonst könnte man mit Leichtigkeit Online-Passwörter oder sonstige sensible Daten der Mitarbeiter abgreifen.

VDS im Kleinen

Keine weiteren Protokolldaten heißt aber auch nur, dass es reguläre Protokolldaten gibt, die gespeichert werden, und zwar im Falle der regulären Internetnutzung maximal sechs Monate und im Fall von E‑Mail- und Fax-Verkehr 90 Tage. Das betrifft Verbindungsdaten, Datum/Uhrzeit, Absender und Empfänger sowie das übertragene Datenvolumen.

Erinnert an unsere Recherchen zur Bundestags-VDS, nur dass sich dort in der gut verborgenen Dienstvereinbarung zur „Nutzung elektronischer Medien“ wenigstens noch ein Begründungsversuch für die Notwendigkeit der Speicherung finden ließ.

Was am Rande auch noch sauer aufstößt, ist die Windows-Zentriertheit im Leitfaden. Vorlagen im „Textverarbeitungsprogramm Word“ sind zu nutzen, als Beispielformate sind „MS-Word“ und „MS-Excel“ aufgeführt. Open Source wird nicht mit einem einzigen Wort erwähnt.

Fazit: Unbefriedigend. Besonders zu kritisieren ist neben der zu vermissenden Zeitgemäßheit die Zwischenschaltung zentraler Ver- und Entschlüsselungsinstanzen, die den Mitarbeitern in vielen Fällen jegliche Möglichkeit zu echter Ende-zu-Ende- und Transport-Verschlüsselung verwehrt.

: „Hightech-Strategie“ der Bundesregierung: 180 Millionen für die Sicherheit (Update)

Die Bundesregierung hat bekanntgegeben, dass die Bundesminister sich auf ein Rahmenprogramm zu Fragen von IT-Sicherheit im Kontext der Hightech-Strategie geeinigt haben:

Klar ist: Computerkriminalität und das Ausspionieren von Daten nehmen zu. 2013 stieg die weltweite Zahl von Angriffen auf die IT-Sicherheit um 48 Prozent auf insgesamt fast 43 Millionen. Das entspricht 117.330 Angriffen pro Tag. Der wirtschaftliche Schaden liegt bei geschätzten 575 Milliarden Dollar.

Wir brauchen daher IT-Sicherheit. Auf neue Schutzmechanismen folgen aber meist neue Angriffsmethoden. Daher ist IT-Sicherheit in erster Linie als vorausschauender Prozess zu verstehen. Aufgabe der Forschung ist es, innovative Schutzmaßnahmen und belastbare Lösungen zu entwickeln, die auch in Zukunft funktionieren und den Teufelskreis durchbrechen.

Das Rahmenprogramm umfasse vier Schwerpunkte: Technische Lösungen und Verschlüsselung, Sicherheit und Vertrauenswürdigkeit von IKT-Systemen, Absicherung von kritischen Infrastrukturen vor Angriffen, bedienbare Technologien zum Schutz der Privatsphäre des Einzelnen. Das Programm soll von 2015 bis 2020 laufen. Das Ressort-zuständige Bundesforschungsminitserium gibt an, 180 Millionen in Forschung investieren zu wollen.

Wir sind gespannt, inwiefern das Rahmenprogramm Neuerungen im Vergleich zu den Punkten in der bisherigen Hightech-Strategie enthält und haben den Text angefragt.

[Update: Text ist hier zu finden]

: Onlinejournalismus-Fail: Wie aus einem gescheiterten No-Spy-Erlass ein Gesetz wird

Quellcode offenlegen per Gesetz? Schön wär's - via moviecode.tumblr.com

Seit ein paar Tagen geistert, initiiert vom Wall Street Journal, die Nachricht durch englischsprachige Medien, dass in Deutschland ein „Internetsicherheitsgesetz“ debattiert würde, dass „US-Technologie-Firmen aus Deutschlands digitaler Wirtschaft ausschließen könnte.“

Es sieht neue Bedingungen vor, etwa Quellcode oder andere proprietäre Daten offenzulegen. Es soll für Firmen gelten, die Informationstechnologie an die deutsche Regierung verkaufen oder an private Unternehmen, die Teil von Industriebereichen sind, die Berlin als kritisch für die Sicherheit des Landes einschätzt.

Daraufhin fingen wir an, im IT-Sicherheitsgesetz zu suchen, dessen neuesten Entwurf wir gestern veröffentlicht haben – negativ. Aber welches andere Gesetz könnte es sein? Wir kontaktierten Journalisten, die die Meldung brachten, aber die wussten es interessanterweise auch nicht so genau. Klarheit brachte uns erst ein Anruf bei Gerold Reichenbach, dem SPD-Abgeordneten, der mit dem Wall Street Journal gesprochen hatte.

Das Ergebnis: Grundlage für das „Gesetz“, das in der Meldung zitiert wurde, war das „No-Spy-Abkommen“, das schon im Januar für gescheitert erklärt wurde. Im April hatten Bund und Länder stattdessen dennoch einen No-Spy-Erlass verabschiedet, der die Auftragsvergabebedingungen für Software erweitern sollte, um sich vor verdeckter Datenweitergabe zu schützen. Aber auch diesen kann man als gescheitert betrachten, er wurde von der Vergabekammer des Bundes in einem konkreten Fall im Juni für rechtswidrig erklärt.

Also keine Vorlage, „von der weithin erwartet wird, dass sie zum Gesetz wird.“ Schade eigentlich, vor allem der Punkt mit der Offenlegung von Quellcode wäre ein notwendiger Schritt in die richtige Richtung.

: Beschwörung von Bedrohungen aus dem Cyberraum: Lagebericht zu Computer- und Internetkriminalität

Gefahren aus dem Cyber-Raum (CC BY-SA-NC 2.0 via flickr)

Auf der heutigen Pressekonferenz im Haus der Bundespressekonferenz wurde ein Lagebericht zur Computer- und Internetkriminalität 2013/14 – Bundesdeutsch: Cyberkriminalität – vorgestellt. Jörg Ziercke, Präsident des BKA und Dieter Kempf, Präsident des IT-Branchenverbandes BITKOM erläuterten die Lage der Bedrohung.

Für Ziercke steht unmissverständlich fest: Kriminalität im Internet nimmt beständig zu. Tatsächlich betrug der Anstieg von 2012 mit 63.959 Fällen auf 2013 mit 64.426 nicht einmal ein Prozent. Um seine Aussage dennoch zu unterlegen und „zur Abrundung des Gesamtbildes“ beruft sich Ziercke zusätzlich auf diejenigen Straftaten, die mit Hilfe des Tatmittels Internet begangen wurden. Dort wurde zwar ein Anstieg von 12 Prozent auf 257.486 Fälle beobachtet. Betrachtet man die Aufschlüsselung solcher Straftaten in der Polizeilichen Kriminalstatistik, sieht man jedoch, dass der beliebte Term „Cyberkriminalität“ für einige der genannten Fälle hochgradig implausibel ist. Denn in der Auflistung befinden sich auch Tatfelder wie: „Einfacher Diebstahl von Fahrrädern“ und „Tankbetrug“. Wir tippen darauf, dass hier jemand Google Maps als Hilfsmittel zum Finden von beliebten Fahrradabstellplätzen oder Tankstellen genutzt hat. Ist das dann Cyber-Fahrraddiebstahl?

Außerdem beruft sich Ziercke auf ein riesiges „Dunkelfeld“ nicht angezeigter Fälle aus dem Bereich „Cybercrime“. Laut einer Dunkelfeldstudie des LKA Niedersachsen würden lediglich 9 Prozent der Fälle angezeigt. Überträgt man die Schätzung auf die von Ziercke präsentierten Zahlen, hätte es etwa 2,8 Millionen Fälle mit dem Tatmittel Internet geben müssen. Bezieht man das wiederum auf die Einwohnerzahl Deutschlands, in etwa 80,781 Millionen, und nimmt unrealistischerweise ein Fall pro Betroffenem an und lässt Firmen außen vor, kommt man auf 3,4 Prozent betroffener Deutscher.

Spätesten wenn man dann die von der BITKOM in einer Umfrage ermittelten Zahlen betrachtet, denen zufolge im letzten Jahr 44 Prozent der Internetnutzer Opfer krimineller Vorfälle geworden sind, sollte man stutzig werden. Legen BITKOM und BKA unterschiedliche Maßstäbe an, gelten die 40 Prozent von Viren betroffenen Menschen nicht als strafrechtlich relevant? Man sieht wieder einmal deutlich, wie schwammig die Cyber-Begriffe sind und wie die vorliegenden Zahlen gedehnt werden, um zur gewünschten Argumentation gegen „die Entgrenzung von Kriminalität im Internet“ zu passen.

Die beinhaltete auch eine Negativdarstellung von Anonymisierungsdiensten wie Tor durch Ziercke:

Über solche Online-Plattformen werden beispielsweise der illegale Handel mit Drogen, Waffen und Kreditkartendaten betrieben oder illegale Dienstleistungen, wie die Durchführung von DDoS-Attacken, angeboten

Ebenso problematisch seien digitale Währungen wie Bitcoin, die stellten die Ermittler von Herausforderungen:

Es wurden 981 Bitcoins sichergestellt. Problem war, die Bitcoins in einer digitalen Geldbörse aufzubewahren – was schließlich auch gelang.

Es wurde klar, welches Ziel BKA-Präsident Ziercke mit seinem Lagebericht verfolgt: Mehr Ermittlungsinstrumente im Netz, weniger Anonymität und Vertraulichkeit persönlicher Kommunikation. Er sagt das mit unverblümten Worten:

[Die Zunahme von Cybercrime und mangelnde Aufklärungserfolge] sind auch ein Effekt der fehlenden Verkehrsdatenspeicherung, von Anonymisierung und Kryptieren.

Wie die Gewerkschaft der Polizei gestern schon bekanntgegeben hat, will auch Ziercke die Vorratsdatenspeicherung zurück, Identifizierbarkeit im Netz und die Mails von Strafverdächtigen mitlesen. Das passt augenscheinlich nicht zu der von der Bundesregierung vielfach, auch in der Digitalen Agenda vorgestellten, propagierten Förderung Deutschlands als IT-Sicherheitsstandort und der Befürwortung von mehr Verschlüsselung und dem Schutz der Privatsphäre im Netz. Selbst Kempf stellt es positiv dar, dass die Nutzung von Verschlüsselundssoftware für E‑Mails (16%), Dateien (15%) und Anonymisierungsdiensten (16%) im Vergleich zum letzten Jahr deutlich zugenommen hat. Ziercke wehrt den Zielkonflikt damit ab, dass man ja nur in schweren Fällen Anonymisierung und Verschlüsselung aufheben müsse. Wie er das machen will? Bezüglich Tor hat er eine Lösung parat:

Wir könnten mit verdeckten Ermittlern arbeiten. Tornetzwerke sind ein Problem, aber das ist nicht unüberwindlich

Der Vorschlag ist offensichtlicher Humbug, verdeckte Ermittlung können keine Anonymität auf Netzwerk- sondern höchstens auf persönlicher Ebene aufheben. Und bezüglich einer Lösung für verschlüsselte Kommunikation schweigt sich Ziercke aus, aber wir kennen Vorschläge aus anderen Ländern: Etwa die Pflicht zur Herausgabe von Passwörtern wie in Großbritannien, Hintertüren in Verschlüsselungssoftware oder einfach der Einsatz des Bundestrojaners zur Online-Durchsuchung. Der ist ja mittlerweile einsatzbereit.

Dann können wir uns ja bald wieder sicher im Cyberraum bewegen. Wäre da nicht die NSA und andere Geheimdienste. Die – zusammen mit Cyberkriminellen und Unternehmen – versetzen, glaubt man der BITKOM-Umfrage, 81 Prozent der Internetnutzer in Sorge. Das sind weit mehr als andere Gefahrenquellen wie Mobbing oder Viren. Kempf sieht das anders:

Ich finde die Gefahr durch Ausspähung durch Geheimdienste für vernachlässigbar.

Dabei vergisst er, dass der anlasslosen Massenüberwachung die Verletzung von Grundrechten inhärent ist. Und die halten wir keineswegs für vernachlässigbar, sondern für ganz konkret.

: Die fünf B und die IT-Sicherheit

Internet Security - <a href="https://creativecommons.org/licenses/by-nc-nd/2.0/">CC-BY-NC-ND 2.0</a> via flickr/<a href="https://www.flickr.com/photos/penut/">penut</a>

In den vergangengen Tagen gab es bereits zwei Artikel auf Netzpolitik, die sich etwas näher mit dem Entwurf des IT-Sicherheitsgesetz auseinander gesetzt haben. Während es in Annas Artikel um eine Zusammenfassung ging und beim zweiten etwas spezieller um Meldepflichten und Verantwortlichkeiten, dreht sich dieser hier um die fünf B in dem Entwurf (BKA, BND, BfV, BSI und BfDI) und deren Rolle im Rahmen der Verbesserung von IT-Sicherheit.

Im Entwurf zum IT-Sicherheitsgesetz des BMI geht nicht zuletzt auch darum, wer welche Aufgaben übernehmen soll und entsprechend finanziell ausgestattet wird. Die Digitale Gesellschaft hat in ihrer alternativen Digitalen Agenda bereits entsprechende Kritik an der grundsätzlichen Ausrichtung der Bundesregierung zu dem Thema geäussert, und so heisst es in unter 2. „IT-Sicherheit: Dezentralisierung vorantreiben, Open Source fördern“:

Zudem erkennen wir in der Digitalen Agenda der Bundesregierung eine kontraproduktive Polizeiisierung und Militarisierung von „Cyber-Sicherheit“ anstelle des nötigen Paradigmenwechsels hin zu einer transparenten, evidenzbasierten und effektiven IT-Sicherheitspolitik. Polizeiliche, militärische und geheimdienstliche Stellen lösen die – zuvorderst technischen – Probleme der IT-Sicherheit nicht und verursachen dabei untragbar hohe gesellschaftlichen Kosten. Die Stärkung der Ressourcen staatlicher Stellen wie des BfV, die auf Eingriffsmöglichkeiten in IT-Systeme und den Zugriff auf Datenvorhaltungen angewiesen sind, verhindert ein Mehr an IT-Sicherheit.

BND, BfV und BKA sind nicht vertrauenswürdig

Das trifft auch schon den Kern des Problems: IT-Sicherheit ist eine Aufgabe, die sich schlicht nicht militärisch, polizeilich oder geheimdienstlich lösen lässt – im Gegenteil: Es besteht die Gefahr, dass hier, wie es so schön heisst, der Bock zum Gärtner gemacht wird. Auch wenn z.B. BND (Bundesnachrichtendienst) und BfV (Bundesamt für Verfassungsschutz) nicht in der Lage mögen, wie die NSA in großem Stile Implantate in Technik zu verbauen, so sind grade diese staatlichen Stellen jene, mit denen man als Unternehmen oder Privatmensch einfach nicht zu tun haben will, wenn es um die Sicherheit eigener technischer Systeme geht. Der Hauptgrund ist, dass beide eine unklare Agenda haben und, wie wir bei den diversen Untersuchungsausschüssen gesehen habe, ein gefährliches Eigenleben führen. Was sie hingegen gerne tun dürfen ist es, Hinweise an andere staatlichen Stellen oder die Öffentlichkeit zu geben, wenn sie von bevorstehenden oder bereits durchgeführten aber unentdeckt gebliebenen Angriffen wissen, von denen sie im Rahmen ihrer Tätigkeit erfahren. Darüber hinaus sollten aber genau diese Organisationen auf keinen Fall an der Organisation von IT-Sicherheit der Zivilgesellschaft hinaus beteiligt werden.

Auch das BKA (Bundeskriminalamt) gehört in eine ähnliche Kategorie. Die Polizei hat zwar auch Aufgaben im Rahmen der Verbrechensprävention zu erledigen. Aber grade weil sie mit Staatstrojanern hantieren (oder zumindest versuchen), um Verdächtigen auf den Rechner zu gucken, wird auch hier schnell klar, dass sie genauso wenig ein vertrauenswürdiger Partner sein können, schlicht aus dem Grund, weil sie aus „ermittlungstaktischen Gründen“ leicht mal eine Unsicherheit nicht melden, nur um ihre laufenden Ermittlungen nicht zu gefährden – was im Umkehrschluss leicht völlig Unbeteiligte gefährdet, die sich durch die entsprechenden Informationen leicht hätten schützen können. Wieso sollte so eine staatliche Stelle überhaupt mit der Erhöhung von IT-Sicherheit beschäftigt sein? Ihr ist doch sogar zumindest in Teilen daran gelegen, Unsicherheiten auszunutzen oder gezielt in Technik einzubauen. Dass sie bei erfolgten Einbrüchen ermitteln sollen, ist davon vollkommen unberührt, und ihre technische Expertise vor allem in der Forensik haben sie über TESIT (Link geht auf eine BKA-Seite), und das ist auch vollkommen okay so. Für IT-Sicherheit sorgen aber auch sie ganz sicher nicht, zumindest aber kann das BKA kein vertrauenswürdiger Partner sein für all jene, die sich um die Sicherheit ihrer eigenen IT-Systeme kümmern. Oder hat von euch schon mal jemand von einem Security Advisory des BKA gelesen? Mir ist da jedenfalls nichts bekannt und ich würde mich doch sehr wundern, wenn dem so in Zukunft sein sollte, obwohl sie in der Vergangenheit durchaus mit Zerodays in Berührung gekommen sein sollten.

BfDI und „BSI für Bürger“ to the rescue?

Zu den anderen zwei erwähnten Akteueren hat die alternative Digitale Agenda der Digiges auch was zu sagen:

Institutionell können die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) sowie das Bundesamt für Sicherheit in der Informationstechnik (BSI) eine Schlüsselrolle in der IT-Sicherheit spielen. Dazu sind beide Behörden aus dem Bundesministerium des Inneren auszugliedern, um ihre Unabhängigkeit zu gewähren. Statt der vorgeschlagenen Stärkung des BfV, ist die Ressourcen- und Personalausstattung von BfDI und BSI zunächst auf Augenhöhe mit den Sicherheitsbehörden zu bringen. Zudem ist zu prüfen, welche Aufgaben im Bereich der IT-Sicherheit derzeit in nachrichtendienstlichen Behörden angesiedelt sind und besser in ein unabhängiges BSI bzw. zur BfDI auszugliedern sind.

Viel zu viele Leute unterschätzen immer noch den Zusammenhang von Datenschutz und IT-Sicherheit, obwohl dieser Zusammenhang eigentlich klar auf der Hand liegt. Das deutsche Modell des Datenschutzes (und auch das europäische) ist aber vor allem juristisch und weniger technisch geprägt. Das ist schade und sollte meiner Meinung nach geändert werden. Hier schliesse ich mir ganz klar Rigo Wenger an, der fordert, die Datenschutzbehörden sollten zur Hälfte durch Naturwissenschaftler oder Informatiker besetzt werden.

Das BSI hat mit dem BSI für Bürger eine Abteilung, die sich vor allem um die Sicherheit von Bürgern und KMU (kleine und mittelständische Unternehmen) kümmern soll. Sie ist, genau wie ENISA (European Union Agency for Network and Information Security) auf europäischer Ebene, klar nicht-militärisch und nicht-polizeilich ausgerichtet, sondern soll ganz praktische Hilfestellung geben. Eine Überlegung wäre also, das „BSI für Bürger“ aus dem BSI heraus zu lösen und dem BfDI zuzuschlagen (der Teil, der sich mit Behördentechnik beschäftigt, kann meinetwegen gerne im BMI verbleiben). Ob und wie dann das neue Konstrukt noch ans BMI angelehnt sein kann und muss, kann ich nicht sagen (da fehlt mir schlicht das Wissen um Verwaltungsverfahren), aber rein rational sehe ich darin einen möglichen Weg. Im Kern geht es darum, dass der Konflikt, der sich hier auftut (nämlich zum einen für IT-Sicherheit zu sorgen, andererseits mögliche Lücken auszunutzen um gegen Verdächtige vorzugehen), sich nicht sinnvoll lösen lässt, wenn eine Verwaltungseinheit gleichzeitig für beides zuständig ist. Auch schon das Obama Review Panel zur NSA kam zu dem Ergebnis, dass die gleichzeitige Erfüllung offensiver und defensiver Aufgaben in der IT-Sicherheit zu einem Konflikt führt, der in der Regel zu Lasten der Defensive geht.

Dabei spielt auch eine Rolle, dass die Definition von „Kritischer Infrastruktur“ gar nicht stattfindet (und auch zugegebenermassen eine echte Herausforderung ist). Denn „kritisch“ sind natürlich erstmal alle Sachen, die irgendwie alle betreffen (z.B. Energie- und Wasserversorgung oder Krankenhäuser), aber für KMU und Bürger ist das kritische natürlich auch ganz anderes. Für mich ist es z.B. viel kritischer, wenn mein NAS (Networked Attached Storage) abraucht als wenn ein Krankenhaus in einem bayerischen Kaff lahmgelegt wird (und so geht es wohl den meisten). Was aber trotzdem nicht heisst, dass deswegen der BND oder das BfV mein Problem in irgendeiner Weise zu interessieren hat, den BfDI es hingegen schon interessieren könnte (und das BKA vielleicht, wenn das Problem durch einen kriminellen Eingriff stattgefunden hat, aber das war es dann auch schon).

Die Kritik von Digiges und anderen, hier wird einfach eine rein polizeiliche, militärische und geheimdienstliche Sicht auf das Thema gelegt, die rein gar nichts zur Sicherheit beträgt, eher sogar im Gegenteil! Was wir brauchen sind vertrauenswürdige Partner für die Zivilgesellschaft, die unsere Probleme mit IT-Sicherheit nicht gegen ein krudes und undurchsichtiges Ziel ausspielen, also einem „Kampf gegen Terrorismus“ oder ähnlichem und leicht falsche und schädliche Prioritäten setzen.

: Broschüre des Zentrums für Investigativen Journalismus: IT-Sicherheit für Journalisten

Das Zentrum für Investigativen Journalismus ist „eine gemeinnützige Organisation mit Sitz in London, die Journalisten, Forscher, Produzenten und Studenten in der Praxis und Methodik des investigativen Journalismus schult“ (Wikipedia). Und da die gegenwärtige Totalüberwachung auch journalistische Arbeit bedroht, haben sie ein Handbuch über IT-Sicherheit herausgegeben: Information Security for Journalists.

After Snowden’s disclosures we know that there are real safeguards and real counter measures available. The CIJ’s latest handbook, Information Security for Journalists, lays out the most effective means of keeping your work private and safe from spying. It explains how to write safely, how to think about security and how to safely receive, store and send information that a government or powerful corporation may be keen for you not to know, to have or to share. To ensure your privacy and the safety of your sources, Information Security for Journalists will help you to make your communications indecipherable, untraceable and anonymous.

Although this handbook is largely about how to use your computer, you don’t need to have a computer science degree to use it. Its authors, and the experts advising the project are ensuring its practical accuracy and usability, and work with the latest technology.

Derzeit gibt’s das als 80-seitiges PDF, bald auch als EPUB und MOBI.

: IT-Sicherheitsgesetz vor dem Aus: Wirtschaft verhindert Meldepflicht über Sicherheitsvorfälle

Betreiber „kritischer Infrastrukturen“ sollen nicht zeitnah verpflichtet werden, IT-Sicherheitsvorfälle an das Bundesamt für Sicherheit in der Informationstechnik zu melden. Durch Druck von Wirtschaftsverbänden blockiert das Wirtschaftsministerium einen entsprechenden Gesetzentwurf des Innenministeriums. Statt einer Meldepflicht an den Staat sollten aber immer die Betroffenen davon erfahren, wenn ihre Daten abhanden gekommen sind.

Anfang März berichteten wir über das IT-Sicherheitsgesetz, nach dem Betreiber kritischer Infrastrukturen verpflichtet werden sollten, erhebliche IT-Sicherheitsvorfälle an das Bundesamt für Sicherheit in der Informationstechnik (BSI) zu melden. Schon damals meldete Wirtschaftsminister Rösler Bedenken an und forderte „weitere Abstimmungen“.

Manuel Bewarder berichtet jetzt in der Welt vom Aus des Projekts:

Allerdings gilt es nach Informationen der „Welt“ als ausgeschlossen, dass die Cyber-Abwehr noch vor der Bundestagswahl in Gesetzesform gegossen wird. Zu tief sind die Gräben zwischen dem Innen- und dem Bundeswirtschaftsministerium. Am 14. Juni werden die wichtigsten Verbände zwar noch einmal angehört – viel mehr wird allerdings nicht passieren.

Grund ist wohl massiver Lobby-Druck der Wirtschaftsverbände, die Kosten und Image-Schäden fürchten:

Matthias Wachter vom Bundesverband der Deutschen Industrie (BDI) etwa lehnt den Gesetzentwurf ab, „weil er nicht zielführend ist und mit einem hohen finanziellen und bürokratischen Aufwand“ für die Unternehmen daher komme. „Einen zusätzlichen gesetzlichen Regelungsbedarf sehen wir nicht“, sagte Wachter der „Welt“.

: Vorratsdaten in Frankreich: Auch Passwörter werden gespeichert [4. Update]

Am 25. Februar ist in Frankreich das Gesetz (eigentlich: Dekret) zur Umsetzung der Vorratsdatenspeicherungs-Richtlinie der EU beschlossen worden, die Veröffentlichung im Amtsblatt erfolgte am 1. März. Neben den bereits bekannten und in der Richtlinie genannten Daten wie IP-Adressen, Telefonnummern, Email-Adressen etc., aus denen man bereits unglaublich viel über die Teilnehmer erfahren kann, ist in letzter Sekunde die Liste der zu speichernden Daten um „Passwörter“ (mots de passe) ergänzt worden.

Das ganze lief offenbar unter Ausschluss der Öffentlichkeit und sogar der Fachgremien ab. In der Version des Gesetzes, die vorher der französischen Datenschutzkommission CNIL [update: und der Telco- und Postaufsicht] zur Kommentierung vorgelegt worden war, tauchten Passwörter noch gar nicht auf. Sie wurden erst in letzter Minute ergänzt und ohne irgendeine öffentliche Debatte abgenickt. Inhaltlich und formal ist das ein Skandal erster Güte.

Der europäische Chefdatenschützer von Google, Peter Fleischer, den ich normalerweise nicht so schätze, bringt die Konsequenzen gut auf den Punkt: Damit ist der Einstieg gemacht in die Vorratsdatenspeicherung von Inhalten, während es bisher ja „nur“ um Verbindungsdaten ging. Man kann nur hoffen, dass es hier bald zu Klagen kommen wird. Bislang wird offenbar noch kaum darüber berichtet.

Update: Es besteht etwas Unklarheit darüber, welche Passwörter gemeint sind. Aus der Maschinenübersetzung des Dekretes lese ich heraus, dass damit Mail-Passwörter gemeint sind, der Mailanbieter also keine MD-5-Hashes des Passworts mehr speichern darf. Das wäre an sich schon eine recht große Sicherheitslücke und außerdem sehr praktisch für die Polizei.

Ein von aprica in den Kommentaren verlinkter AFP-Bericht interpretiert das allerdings so, dass es auch um Foren-Accounts und anderes geht, wo Passwörter anfallen.

Hier gibt es noch einen französischen Blogpost dazu, der ein wenig zur historischen Einordnung schreibt. Nach den dort zitierten Passagen mit Referenz auf das zugrundeliegende Gesetz von 2004 sind eventuell alle Anbieter von im Web gehosteten Angeboten betroffen. Krass.

Das Gesetz macht wohl in Frankreich derzeit unter dem Namen „Le décret Big Brother“ die Runde. Ich warte noch auf weitere Einschätzungen und Infos von Kollegen aus Frankreich. Wer mehr Infos hat: Gerne in die Kommentare!

Update 2: Rigo hat das in den Kommentaren ausführlich in den zeitgeschichtlichen Kontext gestellt. Danke dafür! Damit es nicht untergeht, kopiere ich es mal hier oben rein:

: Lobbying und Sensationslust statt Cyber War

Wie der Guardian berichtet, kommt eine Studie der Uni Oxford zu dem Ergebnis, dass es äußerst unwahrscheinlich sei, dass es jemals einen reinen Cyber War geben wird.

Heavy lobbying, lurid language and poor analysis are inhibiting government planning for cyber protection

In dem Bericht, den die britischen Forscher im Rahmen der OECD-Studie „Future Global Shocks“ erstellt haben, kommen diese zu dem Ergebnis, dass Lobbying, Sensationslust und ein Mangel an Forschung die Regierungsplanung für eine Cyber-Abwehr eher behindern.

Da große Teile der kritischen Infrastruktur mittlerweile von staatlicher in private Hand gegeben wird, sehen sie den Nutzen einer rein militärischen Cybersecurity Defence als begrenzt an.
Einen „echten“ Cyber War sehen sie als unrealistisch an: es gebe keine strategischen Gründe, aus denen ein Agressor seinen Angriff auf den Cyberspace begrenzen sollte.
Überhaupt erschwerten Übertreibungen und schwammige Definitionen dessen, was alles unter einen Angriff fallen solle, die Analyse und führten damit zu grob falschen Schlüssen.
Neben der finanziellen Unterstützung der internationalen CERT-Community empfehlen die Autoren, die EndbenutzerInnen besser zu schulen, da die Reduktion der Anzahl ungeschützter Computer auch die Schlagkraft der Botnetze verringere.

Großbritanniens New Labour-Regierung hatte 2009 im Rahmen der National Security Strategy erstmals auch eine Cyber-Security Strategy vorgelegt.

: Botnets, Internetanbieter und Politik – auf sanften Sohlen zu neuen nationalen Strukturen der Internet-Regulierung?

Dieser Gastbeitrag stammt von Andreas Schmidt, der an der Technischen Universität Delft zu institutionellen und organisatorischen Aspekten von Internet-Sicherheit forscht. Er bloggt seit kurzem auch dazu auf netdefences.com. (RB)

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) und der Verband der Internetbetreiber (eco) haben vereinbart, im Rahmen einer Kooperation eine Art nationales Botnet-Zentrum zu errichten. Ist es nach der politischen Instrumentalisierung missbrauchter Kinder ein neuer Versuch, eine Organisation aufzubauen, die einen direkten staatlichen (oder privatwirtschaftlichen) Eingriff in die Kommunikation aller ermöglicht? Wo beim Sperrgesetz Schwarz und Weiß noch sehr einfach zu trennen waren, sind die Dinge hier verschlungener, nuancierter, vielschichtiger.

Es gibt eine Reihe von Gründen, die BSI und eco zu diesem Schritt bewegt haben dürften. Gestützt wird ihr Vorgehen von pragmatischen Erwägungen und einer Reihe plausibler wissenschaftlicher Argumente. Doch es könnte auch der Kern eines neuen nationalen Internet-Governance-Regimes werden, dessen gesamtes Gebilde und auch dessen Risiken und Nebenwirkungen sich erst im Laufe der Zeit offenbaren werden.

: Änderungsentwurf zum BSI-Errichtungsgesetz im Volltext

Der bisher nicht öffentliche Referentenentwurf für das Änderungsgesetz zum BSI-Errichtungsgesetz ist uns gerade zugespielt worden. Im September hatten wir bereits auf eine Sendung im Deutschlandradio verwiesen, in dem auf eine geplante Befugnis des BSI hingewiesen wurde,

sich Zugang zu Gebäuden, Einrichtungen und informationstechnischen Systemen [zu] verschaffen, die für den Betrieb der betroffenen Informationstechnik von Bedeutung sind und die Steuerung solcher Einrichtungen [zu] übernehmen, wenn dies zur Abwehr einer dringenden Gefahr für die Kommunikationstechnik des Bundes erforderlich ist.

Heise hatte im Dezember dann den Referentenentwurf vorliegen und ihn ganz gut zusammengefasst. Von der Befugnis, Gebäude zu betreten oder ganze IT-Systeme zu übernehmen, war da allerdings schon nicht mehr die Rede. Dennoch gibt es einige unter Umständen heikle neue Befugnisse:

die Speicherung und Verarbeitung von Telekommunikationsdaten zu Sicherheitszwecken sowie deren Weitergabe an Polizei, Strafverfolgungsbehörden und „sonstige öffentliche Stellen“,
die Unterstützung des BND durch das BSI,
die Befugnis des BSI, für Behörden verpflichtende IT-Sicherheitsstandards zu erlassen,
die neue Rolle des BSI als Zertifizierungsstelle für IT-Sicherheit.

Nun liegt also der Entwurf im Volltext vor, und ihr könnt euch selber ein Bild machen. Zum Vergleich hier die derzeit gültige Fassung des „Gesetzes über die Errichtung des Bundesamtes für Sicherheit in der Informationstechnik“ (BSI-Gesetz).

IT-Sicherheit