Spiegel Online titelt gerade, dass die EU-Kommission ihre geplante Meldepflicht für „Hackerangriffe“ nun konkretisiert und auch das Bundesinnenministerium schon entsprechende Pläne habe. In der Internet-Enquête haben wir eine ganze Reihe von Vorschlägen in diese Richtung gemacht, die allerdings von der Koalition abgelehnt wurden und daher nur als Sondervotum auftreten – die Sondervoten sind aber oft sowieso viel interessanter, weil sie eben nicht auf Druck der Koalition entstanden sind.
Hier der Kern unserer Vorschläge zu Internet-Sicherheit:
IT-Sicherheit: Schaffung eines Immunsystems der digitalen Gesellschaft
Sicherheitslücken in Soft- und Hardware können nie gänzlich ausgeschlossen werden. Mit geeigneten modernen Methoden der Software-Entwicklung und Qualitätskontrolle können diese aber hinsichtlich Anzahl und Schwere durchaus eingeschränkt werden. Dies kostet allerdings Zeit und Geld, ohne dass der Kunde direkt neue Funktionen in der Software bemerkt. Der Anreiz, in Sicherheit zu investieren, ist daher für viele Hersteller gering.
In den vergangenen Jahrzehnten hat sich der Trend durchgesetzt, den zunehmenden Bedrohungen mit Verschärfungen des Strafrechts zu begegnen. Die stetig wachsende Zahl an Angriffen zeigt jedoch, dass die Bedrohung damit nicht reduziert werden konnte.
Vor diesem Hintergrund hält es die Enquete-Kommission für geboten, ein „Immunsystem der digitalen Gesellschaft“ aufzubauen. Dazu gehört sowohl Anreize für die Erstellung sicherer Software zu schaffen als auch den Druck zur schnellen Behebung von Sicherheitslücken weiter zu erhöhen. Angriffe und Lücken müssen daher schnellstmöglich identifiziert sowie gegenüber potenziell Betroffenen kommuniziert und behoben werden. Zugleich muss gegenüber staatlichen Stellen - deren Aufgabe die Aufrechterhaltung der öffentlichen Sicherheit und Ordnung ist -, angezeigt werden, wenn Kritische Infrastrukturen betroffen sein könnten.
Viele Angriffe auf informationstechnische Systeme oder Sicherheitslücken werden nicht bekannt. Dadurch können andere Nutzer der gleichen Software ihre Systeme nicht vor Angriffen schützen. Von zunehmender Bedeutung ist zudem der Schutz von Cloud-Diensten, denn diese stellen für Angreifer attraktive Ziele dar, da hier oft eine Vielzahl von unterschiedlichsten Daten gespeichert werden. Um so wichtiger ist es, dass die Betroffenen über IT-Sicherheitsprobleme des jeweiligen Dienstleisters informiert werden, um ihren IT-Sicherheitsschutz enstsprechend anpassen zu können. Die Enquete-Kommission empfiehlt dem Deutschen Bundestag deshalb
- eine Regelung zu schaffen, die eine grundsätzliche Meldepflicht von bekanntgewordenen und hinsichtlich ihres Gefahrenpotentials näher zu definierenden und differenzierenden Angriffen auf staatliche und private Stellen an das Bundesamt für Sicherheit in der Informationstechnik (im folgenden BSI genannt) beinhaltet – eine solche Meldepflicht ist zwingend zur Verbesserung des Lagebildes erforderlich.
- das BSI gesetzlich zur Veröffentlichung dieser Angriffe zu verpflichten. Dabei kann eine Veröffentlichung grundsätzlich anonym erfolgen; eine anonyme Nutzung ist angezeigt, um zu verhindern, dass angegriffene Unternehmen durch diese Meldungen einen erheblichen Vertrauensverlust erleiden und aus diesem Grunde die Meldepflicht zu umgehen versuchen.
- zu den Ausführungen unter Punkt 2 sind schnellstmöglich Erhebungen über weitere erforderliche personelle und finanzielle Ressourcen im BSI erforderlich .
- Anbieter von Cloud-Diensten sollten darüber hinaus verpflichtet werden, ihre Kunden über erkannte Angriffe zu informieren, damit diese ihren Schutz entsprechend anpassen können.
- eine gesetzliche Regelung zu schaffen, die Soft- und Hardware-Hersteller verpflichtet, ihnen bekannt gewordene Sicherheitslücken ihrer Software gegenüber dem BSI unmittelbar nach Bekanntwerden anzuzeigen.
- eine gesetzliche Regelung zu schaffen, nach der alle öffentlichen Stellen und Behörden verpflichtet werden, ihnen bekannt gewordene Sicherheitslücken unmittelbar an das BSI zu melden.
- den verstärkten Einsatz freier Software und offener Formate fördert, die nachweislich eine verminderte Vulnerabilität gegenüber IT-Angriffen mit sich bringt
Entdecker von Sicherheitslücken stehen oftmals vor dem Problem, dass sie entweder gänzlich ignoriert oder mit zivil- oder strafrechtlichen Verfahren bedroht werden, wenn sie ihre Entdeckung beispielsweise an den Hersteller einer Software oder Betreiber einer Internet-Anwendung melden. Daher unterlassen viele solche Meldungen. Dies sorgt dafür, dass bestehende Sicherheitslücken nicht gestopft und von Kriminellen ausgenutzt werden können, beispielsweise wenn Informationen über Lücken auf dem Schwarzmarkt gehandelt werden.
Vor diesem Hintergrund empfiehlt die Enquête-Kommission dem Deutschen Bundestag
- eine beim BSI angegliederte Meldestelle einzurichten, bei der jeder (auf Wunsch anonym oder pseudonymisiert) Meldungen über Sicherheitslücken einreichen kann, ohne Konsequenzen befürchten zu müssen.
- Zu prüfen, ob und in welchem Umfang die zur Bearbeitung der Meldungen entsprechenden personellen und finanziellen Ressourcen des BSI aufgestockt werden müssen.
- eine Weiterleitung der Meldungen an die jeweils verantwortlichen Hersteller durch die Meldestelle festzuschreiben und die Behebung der Sicherheitslücken zu überprüfen.
- eine gesetzliche Regelung zu schaffen, die Sicherheitsforscher und Entdecker von Sicherheitslücken vor straf- und zivilrechtlicher Verfolgung schützt, wenn diese sich verantwortungsvoll verhalten.
- eine gesetzliche Regelung zu schaffen, die interne und externe Personen schützt, die Sicherheitslücken offenlegen (Whistleblowerschutz).
Es gibt immer wieder Fälle, in denen die Hersteller von Betriebssystemen, Anwendungsprogrammen oder weiterer Software auch Jahre nach Kenntnis von Sicherheitslücken diese weder beheben noch veröffentlichen. Während dieser Zeit können diese Lücken von Kriminellen ausgenutzt werden, ohne dass die betroffenen Anwender die Möglichkeit zur Umgehung des Problems haben. Es ist daher für die Gesellschaft nützlich, wenn Sicherheitslücken der Allgemeinheit bekannt werden: Jeder hat dann die Möglichkeit, Schutzmaßnahmen zu ergreifen. Zudem steigt der Druck auf den Hersteller, das Problem tatsächlich zu beheben.
Daher empfiehlt die Enquête-Kommission dem Deutschen Bundestag
- eine gesetzliche Regelung zu schaffen, nach der das BSI verpflichtet wird, nach einer Frist von 30 Tagen nach Meldung an den Hersteller, die Lücke, Details dazu und Möglichkeiten zur Beseitigung oder Umgehung des Problems zu veröffentlichen („Full Disclosure“). Diese Frist kann in schwierig zu behebenden Fällen auf Antrag bis zu zwei mal um jeweils 30 Tage verlängert werden.
Für viele Hersteller ist Sicherheit nur ein Kostenfaktor, der sich nicht in einem höheren Umsatz niederschlägt. Um den ökonomischen Anreiz für sichere Software zu steigern empfiehlt die Enquête-Kommission dem Bundestag
- zu prüfen, wie Anbieter gegebenfalls auch gesetzlich verpflichtet werden könnten, IT-Sicherheit stärker in die Produkte zu implementieren. Dies kann beispielsweise durch Produkthaftungsregelungen oder eine Beweislastregelung befördert werden.
Des Weiteren empfiehlt die Enquête-Kommission dem Bundestag
- eine gesetzliche Regelung zu schaffen, die seitens der Provider ab einer relevanten Größe eine Erreichbarkeit gegenüber dem BSI an sieben Tagen in der Woche für 24 Stunden gewährleistet.
- eine Regelung zu schaffen, die sicherstellt, dass für IT-Projekte der öffentlichen Hand von Beginn an Risiko- und Bedrohungsmodelle (Thread Model) erstellt werden. Dazu gehört ein effizientes Konzept zur sicheren Entwicklung sowie eines sicheren Lebenszyklus für die Software. Diese sollen öffentlich zugänglich sein, so dass sie von unabhängiger Seite begutachtet werden können. Dadurch fallen potentielle Risiken frühzeitig auf und durch die Öffentlichkeit wird es erschwert, angebrachte Maßnahmen nicht durchzuführen.
- unter dem IT-Sicherheitsaspekt ist auch das „Dilemma“ zwischen Wettbewerb und Sicherheit zu prüfen: Einige Anbieter schotten ihre Produkte oder Marktplätze ab und errichten hohe Barrieren, während andere Anbieter ihre Produkte und Marktplätze für den Wettbewerb öffnen,. Sicherheitsaspekte dürfen nicht Vorwand für die Abschottung gegenüber dem Wettbewerb sein. Darum sind Initiativen zu fördern, die IT-Sicherheit mit offenen Plattformen und offener Software verbinden.
Darüber hinaus empfiehlt die Enquête-Kommission:
- im Bereich des Informatik-Studiums und der Ausbildung verstärkt den Bereich der Sicherheit und sicherer Software-Entwicklung zu beachten.
Die bei Mobiltelefonen genutzte GSM-Verschlüsselung kann nicht mehr als sicher angesehen werden, seit sie 2009 kompromittiert und erfolgreiche Angriffe dokumentiert wurden. Mittlerweile steht für Wirtschaftsspionage oder den Bruch der Privatsphäre der Nutzerinnen und Nutzer von Mobiltelefonen einfach einzusetzende Software zur Verfügung.
Die Enquete-Kommission fordert die Bundesregierung daher auf,
- bei den deutschen Unternehmen und insbesondere bei den Mitgliedern der GSM Association darauf zu drängen, dass im Rahmen der GSM Association schnellstmöglich ein neuen Standard für ein sicheres Verschlüsselungsverfahren auf den Weg gebracht wird.
Unsere kompletten Handlungsempfehlungen zum Bereich Sicherheit finden sich hier: PG-Zugang--HE-Schluss.pdf. Und hier das gesamte Dokument der Projektgruppe Zugang, Struktur, Sicherheit.
Da in der Enquête-Kommission nur solche Texte eine Mehrheit finden, die von der Regierungs-Koalition abgesegnet wurden, sind oftmals die Sondervoten – in denen dann die Sachverständigen frei sind – die viel interessanteren Texte. Und dem Bundestag steht es, vor allem in zukünftiger Zusammensetzung, natürlich frei, auch den Sondervoten zu folgen, zumal die mehrheitlich beschlossenen Empfehlungen teilweise sehr seicht sind. Von daher sind sie durchaus nicht viel weniger wert als die Mehrheitsvoten.
Wäre ja auch zu naiv gewesen daran zu glauben, dass die EU-Kommission zentrale Nutzerinteressen tatsächlich vertritt.