"Cybersicherheit" - ein Beitrag für einen sicheren digitalen Raum - Positionspapier der Arbeitskreise Kultur, Wissen, Lebensweisen (AK IV) und ...

Die Seite wird erstellt Sibylle-Hortensia Ulrich
 
WEITER LESEN
"Cybersicherheit" - ein Beitrag für einen sicheren digitalen Raum - Positionspapier der Arbeitskreise Kultur, Wissen, Lebensweisen (AK IV) und ...
»Cybersicherheit« –
ein Beitrag für einen sicheren
digitalen Raum
Positionspapier der Arbeitskreise
Kultur, Wissen, Lebensweisen (AK IV)
und Bürger*innenrechte und Demokratie (AK V)
Inhalt
Einleitung                                         3

Behörden der digitalen Sicherheit
in Deutschland                                    5
Strafverfolgungsbehörden                          5
Geheimdienste                                     5
Zivile Strukturen                                 5
Vernetzung                                        5
Ressourcenkonflikte                               6

Sicherheitsverlust durch staatliche Aktivitäten   7
Hintertüren                                       7
Staatstrojaner                                    7
Einsatz in Deutschland                            7
Handel mit Sicherheitslücken
und Überwachungstechnik                           8
Hackbacks                                         8

Erfassung und Meldung von Vorfällen
und Sicherheitslücken                             10
Meldung von sicherheitsrelevanten Vorfällen       10
Meldung von Sicherheitslücken                     10

Produkthaftung, Produktsicherheit,
Produktlebensdauer                                 11
IT-Produkthaftung                                 11
IT-Produktsicherheit                              11
IT-Produktlebensdauer                             11
Vorschlag zu einer Cyber-Design-Verordnung        12
Zertifizierung, Security by Design
und by Default                                    12
Investitionen in sichere Infrastrukturen          13

Schwachstelle Mensch                              14
Ständige Weiterbildung                            14
Sensibilisierung                                  15
Bildung                                           15
Handhabbare Verschlüsselung                       15

Digitale Gewalt                                   17
Was ist Digitale Gewalt?                          17
Wer ist betroffen                                 17
Männer und Frauen                                 18
Handlungsbedarf                                   18

Cyber Warfare –
Fragestellungen aus friedens-
und sicherheitspolitischer Sicht                  20

Fazit und Forderungen                             22

                                                        1
Fraktion DIE LINKE. im Bundestag
Platz der Republik 1, 11011 Berlin
Telefon: 030/22751170, Fax: 030/22756128
E-Mail: fraktion@linksfraktion.de
V.i.S.d.P.: Arbeitskreis IV und Arbeitskreis V
Autoren: Dr. André Hahn (MdB), Dr. Petra Sitte (MdB),
Anke Domscheit-Berg (MdB), Petra Pau (MdB), Dr. Alexander
S. Neu (MdB), Martina Renner (MdB), Dirk Burczyk, Dr. Kirsten
Jansen, Alexander Reetz, Anne Roth, Dr. Jürgen Scheele, Dr.
Simon Weiß
Stand: Dezember 2018
Layout/Druck: Fraktionsservice
Dieses Material darf nicht zu Wahlkampfzwecken
verwendet werden!
Mehr Informationen zu unseren parlamentarischen
Initiativen finden Sie unter: www.linksfraktion.de
190107

2
Einleitung
Im Jahr 1983 kam der Film »War Game« in die Kinos und                       einzelnen Nationalstaat über kriminelle Banden bis
wurde für die nächsten Jahrzehnte bildgebend für die                        hin zu Einzeltäter*innen alles sein und von überall aus
Vorstellung von Hackern und Cyber-War: Ein Schüler                          agieren. Je professioneller die Angreifer*innen vorge-
dringt in das Netz des Pentagon ein und aktiviert das                       hen, umso schwerer wird es herauszufinden, wer die
Atomwaffenarsenal der USA, die Welt steht am Ran-                           eigentlichen Angreifer*innen sind. Die digitale Forensik
de der Vernichtung. Nun ist das Pentagon seitdem                            bewegt sich zwangsweise in einem Graubereich und
sicherlich besser gegen Zugriffe geschützt – doch die                       kann lediglich Indizien sammeln.
seit den 90er Jahren rasant zunehmende Anwendung
von Computern für alle erdenklichen Anwendungen                             Der Blick auf den Status quo der Ausgestaltung digitaler
hat das Risiko, Opfer eines Angriffs auf das eigene                         Sicherheit, bspw. in Form der 2016 novellierten Cyber-
System zu werden, omnipräsent gemacht. Nicht zuletzt                        sicherheitsstrategie der Bundesregierung,4 aber auch
das Internet der Dinge (IoT/Internet of Things) rückt                       die unzähligen Beiträge der Vertreter*innen deutscher
das Bewusstsein für die Bedrohungen der digitalen                           Sicherheitsbehörden, zeigt, dass eine klare Zielrichtung
Sicherheit ebenso in den Fokus öffentlicher Debatten                        fehlt. Vielmehr gibt es ein buntes Durcheinander der
wie die zunehmende Berichterstattung über Attacken                          Kompetenzen. Ergänzt durch teilweise widerstrebende
auf die Netze von Regierungen, Parlamenten, Parteien,                       Interessen: Nicht erst seit der Einführung des Bundest-
öffentlichen Verwaltungen, Stiftungen, aber auch sog.                       rojaners ist klar, dass es für Geheimdienste, aber auch
Kritische Infrastrukturen (Kritis). Anders als bspw. der                    Strafverfolgungsbehörden wichtig ist, Sicherheitslücken
Fraktionsvorsitzende der Unionsfraktion Kauder glau-                        zu kennen, um diese später nutzen zu können. Gleich-
ben machen möchte, ist die Digitalisierung, und damit                       zeitig werden dieselben Akteure, die auf die Kenntnis
verbunden auch die Frage nach deren Sicherheit, nicht                       von Sicherheitslücken angewiesen sind, als Akteure der
erst das »Megathema der kommenden Jahre«,1 sondern                          gesamtstaatlichen Cybersicherheitsarchitektur einge-
mindestens seit zwei Dekaden Realität.                                      bunden. Da ist er also wieder, der viel zitierte Bock als
                                                                            Gärtner. Die Verabredungen im Koalitionsvertrag sowie
Durch das IoT geraten Gegenstände des täglichen                             die Kompetenzaufteilungen der Bundesregierung lassen
Gebrauchs in den Fokus potentieller Angreifer. Für                          auf wenig Besserung hoffen. Der Koalitionsvertrag
Besitzer*innen des viel zitierten smarten Kühlschranks2                     enthält lediglich inhaltlich unklare Verabredungen bei-
mag es auf den ersten Blick nicht so problematisch                          spielsweise für eine sichere digitale Authentifizierung
sein, wenn sich das Gerät zu einem Botnetz3 verbin-                         im Netz, ohne dass eine klare Idee zu ihrer Ausgestal-
det. Bei einer gehackten smarten Haustür-, Fenster-                         tung erkennbar wäre. Das Bundesamt für Sicherheit
steuerung oder Heizung und einem damit unmittelbar                          in der Informationstechnik (BSI) soll gleichzeitig zur
verbundenen individuellen Schaden mag das schon                             »Cybersicherheitsbehörde« werden und »in seiner Rolle
ganz anders aussehen. Neben Endverbraucher*innen                            als unabhängige und neutrale Beratungsstelle für IT-
sind aber auch öffentliche Verwaltungen oder Kritische                      Sicherheitsfragen« gestärkt werden.5 Hinsichtlich einer
Infrastrukturen (Kritis) Ziel von Attacken. Im letzten Fall                 überfälligen stärkeren Regulierung des IT-Marktes soll
mit möglicherweise unabsehbaren Folgen. Dominierten                         es offenbar bei unverbindlichen Standards bleiben – die
früher Inselnetze, so scheint heute alles miteinander                       zudem von den Anbietern selbst entwickelt werden. Wie
verbunden zu sein.                                                          sich zukünftig Bundesinnenministerium, Bundeswirt-
                                                                            schaftsministerium und das Bundeskanzleramt in ihrer
In vielen Lebensbereichen sorgt die Digitalisie-                            Politik der digitalen Sicherheit miteinander abstimmen
rung für erhebliche Erleichterungen. Öffentliche                            werden, ist vollkommen offen.
Verwaltungen können im Idealfall schneller und
bürger*innenfreundlicher arbeiten. Gleichzeitig führt                       Mit dem vorgelegten Positionspapier zeigen die
dies zu einer immer größer werdenden Menge an                               Autor*innen auf, welche (offensichtlichen) Missstände
gespeicherten Daten. Kam es nach quälend langsamen                          die aktuelle Ausgestaltung der digitalen Sicherheit in
Schritten in diesem Bereich zu Fortschritten, vergaß                        Deutschland mit sich bringt und welche Interessen-
und vergisst man in dem nun folgenden Rausch der                            konflikte hierbei vorherrschen. Darüber hinaus werden
digitalen Glückseligkeit allzu oft die Frage nach der                       Ansätze aufgezeigt, welche es ermöglichen, mehr
digitalen Sicherheit.                                                       digitale Sicherheit zu gewährleisten. Mit dem Begriff der
                                                                            »digitalen Sicherheit« soll all das umfasst sein, was unter
Im Vergleich zur analogen Welt stellt die Frage der                         den Schutzbereich des vom Bundesverfassungsgericht
Attribution ein ungleich größeres Problem bei Angriffen                     in seinem Urteil zur Online-Durchsuchung neu aus dem
im digitalen Raum dar. Aggressor*innen können vom                           allgemeinen Persönlichkeitsrecht abgeleiteten »digitalen
                                                                            Grundrecht« fällt, dem Recht auf Schutz der Vertrau-
1
  https://www.welt.de/debatte/kommentare/article172922212/
Gastbeitrag-Deutschland-braucht-einen-Digitalrat.html
2
  In der Praxis dürften aktuell smarte Fernseher, Smartwatches, Router      4
                                                                              https://www.bmi.bund.de/cybersicherheitsstrategie/BMI_CyberSi-
o.ä. deutlich lebensnäher sein, der beschriebene Effekt bleibt jedoch der   cherheitsStrategie.pdf
gleiche.                                                                    5
                                                                              Vgl. Koalitionsvertrag von CDU, CSU und SPD für die 19. Wahl-
3
  Viele Netzwerkgeräte, die durch ein Schadprogramm zusammenge-             periode, S. 44. https://www.bundesregierung.de/Content/DE/_
schlossen sind und ferngesteuert zu bestimmten Aktionen missbraucht         Anlagen/2018/03/2018-03-14-koalitionsvertrag.pdf;jsessionid=0B7C5
werden, meist ohne dass die Nutzer*innen etwas davon bemerken.              5E442D27BCF875094B0147514F6.s5t2?__blob=publicationFile&v=5

                                                                                                                                            3
lichkeit, Integrität und Verfügbarkeit informationstech-   Der Begriff der »digitalen Sicherheit« umfasst aus
nischer Systeme und Daten.6 Im erweiterten Sinne ver-      Sicht der Autor*innen natürlich auch private Lebens-
stehen wir darunter auch jene informationstechnischen      bereiche und damit die persönliche Sicherheit der
Systeme, auf die die Bürger*innen zur Lebensführung        Nutzer*innen. Die Bandbreite ist kaum überschaubar
in der digitalen Welt angewiesen sind. Der schillernde     und umfasst beispielsweise Identitätsdiebstahl, Mob-
Begriff »Cyber« bzw. »Cybersicherheit« verunklart aus      bing und Kreditkartenbetrug aber auch die Privatisie-
unserer Sicht mehr, worum es eigentlich geht und was       rung des Rechts durch Zuständigkeitsverlagerungen
genau als Bedrohung dieser Sicherheit ausgemacht wird.     auf Unternehmen. Gerade die Angriffe im digitalen
Aus dem hier gebrauchten Begriff der »digitalen Sicher-    Raum gegen Andersdenkende, -liebende oder -gläubi-
heit« hingegen erhellt beispielsweise unmittelbar, dass    ge und insbesondere Mädchen und Frauen haben ein
davon die Nutzung von Verschlüsselung in der privaten      Ausmaß erreicht, dass eine explizite Positionierung in
Kommunikation umfasst ist; von den Protagonisten der       diesem Positionspapier den Autor*innen notwendig
Cybersicherheit wird Verschlüsselung mal als Bedro-        erscheint.
hung, mal als wichtiges Instrument begriffen.

6
    BVerfGE 129, 274-350.

4
Behörden der digitalen Sicherheit in Deutschland
In der Bundesrepublik sind unterschiedliche Behörden                ist. Während defensive Fähigkeiten in der digitalen
für Aufgaben der Sicherung von Vertraulichkeit, Integri-            Sicherheit über alle Abteilungen verteilt sind, werden
tät und Verfügbarkeit informationstechnischer Systeme               offensive Fähigkeiten zur Überwachung von digitaler
und Daten zuständig. Eine passgenaue Zuordnung von                  Kommunikation (von Quellen-TKÜ bis zur Meta-Daten-
Aufgaben ist nur ungefähr möglich und wird einerseits               auswertung in sozialen Netzwerken) in einer eigenen
durch vielfache Parallelarbeiten, andererseits durch                Abteilung entwickelt. Auch beim Bundesnachrichten-
zahlreiche Kooperationsgremien noch weiter erschwert.               dienst (BND) gibt es eine deutliche Schieflage: Fast
In fast allen Behörden mit einer Zuständigkeit für                  eine halbe Milliarde Euro und einige hundert Personal-
digitale Sicherheit geht es nicht allein um defensive               stellen stehen zur Verfügung, um in den kommenden
Fähigkeiten, sondern zugleich um die Entwicklung oder               Jahren die Fähigkeiten zur Überwachung des internatio-
den Einsatz eigener offensiver Fähigkeiten. Einzige                 nalen Internetverkehrs auszuweiten. Von einer ur-
Ausnahme bildet bislang das Bundesamt für Sicherheit                sprünglich mit 130 Planstellen einzurichtenden Abteilung
in der Informationstechnik (BSI).                                   zur Abwehr von Angriffen auf deutsche Verwaltungs-
                                                                    stellen vom Ausland aus mithilfe digitaler Werkzeuge ist
Strafverfolgungsbehörden                                            seit längerem nichts mehr verlautbart. Angesichts der
                                                                    allgemeinen Schwierigkeiten von Behörden in Deutsch-
Das Bundeskriminalamt (BKA) wie die Landeskriminal-                 land, geeignetes Fachpersonal zu finden, ist allerdings
ämter (LKÄ) haben mit Fragen der digitalen Sicherheit               davon auszugehen, dass auch hier die angepeilte Perso-
vor allem in Hinsicht auf erfolgte Angriffe mit Ransom-             nalstärke bei weitem noch nicht erreicht ist.
ware7, digitale Spionage (insb. Industriespionage) und
andere Formen von Angriffen zu tun, bei denen es zu                 Zivile Strukturen
Sicherheitsvorfällen gekommen ist. Bearbeitet werden
konkrete Fälle von Cyberkriminalität in der Abteilung               Auch wenn Polizei und Geheimdienste sich den Unter-
Schwere und Organisierte Kriminalität, unterstützt                  nehmen im Bereich Cybercrime und digitaler Spio-
durch die Forschungs- und Beratungsstelle Cybercrime                nage als staatliche Ansprechpartner andienen – für
im Kriminalistischen Institut im BKA. Für akute Vorfälle            die Sicherheit ziviler IT-Strukturen sind zunächst die
existiert seit 2017 eine »Quick Reaction Force«, die bei            Betreiber*innen von IT-Infrastruktur und im Ernstfall be-
Sicherheitsvorfällen mit mutmaßlich kriminellem Hin-                hördlicherseits das BSI zuständig. Es bearbeitet gemel-
tergrund Beweise sichern soll.                                      dete Sicherheitsvorfälle aus öffentlichen Verwaltungen
                                                                    und Einrichtungen der Kritischen Infrastruktur (Energie,
Über entsprechende Analysefähigkeiten verfügt das                   Wasser, Transport etc.), und entwickelt gemeinsam
BKA jedoch zu wenig. Das hat auch mit Prioritäten-                  mit der Industrie Sicherheitsmaßstäbe für IT-Verfahren
setzung zu tun: Mit etwa 30 Beschäftigten wurde im                  und -Produkte, die dann Grundlage von Zertifizierungen
Kompetenzzentrum informationstechnische Überwa-                     werden. Die vom BSI veröffentlichten Berichte zur IT-
chung über vier Jahre ein Spähprogramm zur Ausleitung               Sicherheitslage weisen Bürger*innen und Unternehmen
verschlüsselter Kommunikation (Quellen-TKÜ/Quellen-                 auf aktuelle Sicherheitsbedrohungen und mögliche
Telekommunikationsüberwachung) geschrieben, das                     Abwehrmaßnahmen hin. Das BSI arbeitet mit Computer
zunächst nur sehr begrenzte Einsatzmöglichkeiten                    Emergency Response Teams (CERT) von Unternehmen
hatte. Zugleich wird immer wieder über Defizite in der              und öffentlichen Verwaltungen zusammen und stellt im
Strafverfolgung berichtet, weil das BKA (wie auch LKÄ               Notfall auch ein eigenes Team zur Verfügung, um auf
und Staatsanwaltschaften) mit der Auswertung einer                  Notfälle reagieren zu können.
immer weiter steigenden Zahl von Datenträgern nicht
hinterherkommt. Hier stellt nicht nur die schiere Masse             Für Fürsprecher*innen eines Kurses der digitalen
ein Problem dar, sondern auch die Verschlüsselung                   Sicherheit, der in erster Linie auf die Härtung von
solcher Datenträger.                                                IT-Infrastrukturen durch sichere Prozesse und Gefah-
                                                                    renbewusstsein bei den Nutzer*innen setzt, könnte
Geheimdienste                                                       das BSI eine wichtige Behörde sein. Dazu wäre es aber
                                                                    notwendig, das BSI aus dem Geschäftsbereich des
Zum Schutz digitaler Sicherheit erklärt sich offensiv               Bundesinnenministeriums herauszulösen. Wie eine
auch immer wieder das Bundesamt für Verfassungs-                    Behörde mit der Aufgabe, die digitale Sicherheit für
schutz (BfV) zuständig. Digitale Angriffe werden in allen           alle Bürger*innen zu erhöhen und zugleich glaubwürdig
Abteilungen, insbesondere in der Spionageabwehr und                 Distanz zu staatlichen Überwachungsforderungen zu
dem Geheim- und Sabotageschutz beobachtet und                       wahren genau konzipiert und rechtlich verfasst sein
ausgewertet. Auch das BfV verfügt über eine »Quick                  soll, ist noch zu klären.
Reaction Force«, die im Falle konkreter Angriffe oder
Angriffsversuche ausrückt und Analysen vornimmt –                   Vernetzung
wobei die Abgrenzung zum BKA und zum BSI unklar
                                                                    Behörden mit Zuständigkeiten in der digitalen Sicher-
                                                                    heit sind darüber hinaus stark vernetzt, auch wenn das
7
  Schadprogramm, welches die Daten auf einem Computer sperrt. Für   institutionelle Geflecht keine Aussage darüber zulässt,
die Entsperrung wird von den Geschädigten Geld verlangt.

                                                                                                                              5
welcher inhaltlichen Qualität diese Zusammenarbeit ist.      Hier fehlt es auch an der Ausbildung eigener Fach-
Zentral ist das beim BSI seit 2011 angesiedelte »Cyber-Ab-   kräfte. Zwar hat die Bundeswehr-Hochschule nun
wehrzentrum« (Cyber-AZ), dem vom Bundesrechnungs-            11 Professuren für den Bereich IT/Cyber-Warfare
hof allerdings auch schon bescheinigt wurde, weitge-         ausgeschrieben, in der Ausbildung für die öffentliche
hend ineffizient und überflüssig zu sein. Hier sind neben    Verwaltung an den Landes-Fachhochschulen und an
Polizei, Geheimdiensten und Militär auch das Bundesamt       der Hochschule der Verwaltung des Bundes gibt es
für Bevölkerungsschutz und Katastrophenhilfe vertreten.      aber kaum Angebote für die Vermittlung von IT-Fach-
Es gibt sowohl einen CERT-Verbund von großen privaten        kenntnissen.
Unternehmen und Verwaltungen als auch einen der Ver-
waltungen allein, innerhalb dessen ein Austausch über        Deutlich wird an diesem Beispiel auch, wie unterschied-
aktuelle Bedrohungen stattfindet. Polizei und Geheim-        lich Ressourcen aufgeteilt werden. Die 11 Professuren
dienste kooperieren darüber hinaus bei der Beobachtung       an der Bundeswehr-Uni in München sollen zwar auch
des Internet (Gemeinsames Internetzentrum und Koor-          mithelfen, den Bedarf an IT-Fachkräften in der öffent-
dinierte Internetauswertung), zumindest mittelbar geht       lichen Verwaltung insgesamt zu befriedigen. Doch
es auch hier darum, aus dem Netz gesteuerte Attacken         selbstverständlich wird hier vor allem die Aneignung of-
auf IT-Systeme rechtzeitig zu erkennen und präventiv         fensiver Fähigkeiten im Rahmen des Cyber Warfare im
Maßnahmen ergreifen zu können.                               Vordergrund stehen. Im Sinne der Härtung von öffentli-
                                                             cher IT-Infrastruktur gegen Angriffe von außen müsste
Ressourcenkonflikte                                          einerseits die Ausbildung eigener IT-Fachkräfte, die in
                                                             Rechenzentren etc. für Sicherheit sorgen, sichergestellt
In Bezug auf die digitale Sicherheit gibt es also eine       werden, andererseits die breite Verankerung von Lern-
ganze Reihe von Behörden mit unterschiedlichen Aufga-        inhalten mit Bezug zur Nutzung von Informationstech-
benstellungen und Befugnissen, die vor allem um eine         nik in der Ausbildung des öffentlichen Dienstes generell
Ressource konkurrieren: IT-Fachkräfte mit hoher Exper-       eine größere Rolle spielen. Eine breitere Verankerung
tise, die über die gefragten Fähigkeiten verfügen. Hier-     von IT-Fachwissen in öffentlichen Verwaltungen würde
von gibt es nach Ansicht aller Beteiligten in Deutsch-       die Abhängigkeit von IT-Unternehmen insgesamt ab-
land insgesamt zu wenig, was zu hohen Honoraren oder         schwächen. Hierzu sind überzeugende und umsetzbare
Gehältern bei Großunternehmen führt, mit denen die           Konzepte zu entwickeln.
öffentliche Verwaltung nicht konkurrieren kann.

6
Sicherheitsverlust durch staatliche Aktivitäten
Das vorangegangene Kapitel zeigt kursorisch das Kom-               der Staat sich exklusive Kenntnisse über Sicherheitslü-
petenzgeflecht der eingebundenen Behörden. Jenseits                cken verschafft (sogenannte Zero Day Exploits aufgrund
der Frage, ob diese Struktur geeignet ist – was bezwei-            der fehlenden Reaktionszeit auf Bekanntwerden der
felt werden darf –, ergibt sich noch ein schwerwiegen-             Lücke) und sie »offenhält«, indem er diese Kenntnisse
deres Problem bei staatlichen Aktivitäten. Staatliche              nicht weitergibt. Mit Blick auf die Gewährleistung eines
Einrichtungen – sowohl Geheimdienste als auch andere               möglichst hohen Schutzniveaus wäre aber genau das
Sicherheitsbehörden – gehören zu den Akteursgruppen,               geboten.
die motiviert und befähigt sind, die Integrität von infor-
mationstechnischen System zu verletzen, um daraus In-              Dass es sich hier um mehr als ein hypothetisches
formationen abzuschöpfen. Die damit einhergehende Be-              Problem handelt, zeigt eindrucksvoll der Fall WannaC-
einträchtigung von Grundrechten (die sich insbesondere             ry. Der weltweite, bislang schwerwiegendste Angriff
bei der massenhaften Überwachung von Kommunikati-                  seiner Art basierte auf einer Sicherheitslücke, die
onsnetzen durch Geheimdienste als erheblich darstellt)             dem US-Nachrichtendienst NSA bereits seit Jahren
ist nicht das einzige Problem: Aus Sicht der Gewährleis-           bekannt war.9 Sie hätte also schon längst geschlossen
tung eines möglichst hohen allgemeinen Schutzniveaus               sein können – wäre sie nicht für den Zweck staatlicher
gibt es zwei Bereiche, in denen entsprechende staatliche           Angriffe »gehortet« worden. Ransomware-Angriffe
Bestrebungen Schaden verursachen können.                           auf Krankenhäuser, die unmittelbar Auswirkungen auf
                                                                   die Abläufe in der Krankenversorgung und sogar auf
Hintertüren                                                        lebenserhaltende Systeme haben können, zeigen die
                                                                   immensen Gefahren, die damit verbunden sind. Werden
Der eine Bereich ist die breit angelegte Schwächung                zur Terroristenjagd solche Werkzeuge entwickelt, ist
oder gar Verhinderung von Sicherheitsmaßnahmen                     ihre Effektivität hinsichtlich der Abwehr terroristischer
durch staatliche Vorgaben, etwa durch Einschränkun-                Gefahren zweifelhaft – die damit verbundenen Risiken
gen der Verwendung von Verschlüsselungstechnolo-                   sind aber klar erkennbar und real. Dass Befürchtungen,
gien, einer Pflicht zum Einbau von Hintertüren oder                Behörden könnten auch in Deutschland Sicherheits-
Maßnahmen, die gegen die anonyme Nutzbarkeit des                   lücken bewusst offenlassen, nicht unbegründet sind,
Internets gerichtet sind. Auch wenn derartige Maß-                 zeigt die Debatte um die Aufgaben der Zentralen Stelle
nahmen allein auf die Erleichterung des staatlichen                für Informationstechnik im Sicherheitsbereich (ZITiS).
Zugriffs gerichtet sind, sind sie zwangsläufig mit einem           Ihr Chef, der ehemalige Leiter der BND-Abteilung
reduzierten Schutz vor allen Angreifer*innen verbun-               Technische Aufklärung Wilfried Karl, äußerte in einem
den. Allerdings werden jedenfalls in Deutschland zwar              Interview, es bräuchte einen »Prozess innerhalb der
regelmäßig Forderungen nach derartigen Maßnahmen                   Behörden, wie wir mit Sicherheitslücken in Software
erhoben (zuletzt durch den ehemaligen Innenminister                verantwortungsvoll umgehen.«10
de Maizière mit dem Wunsch nach verpflichtenden Hin-
tertüren in digitalen Geräten)8, bislang aber ohne Erfolg;         Einsatz in Deutschland
und während beispielsweise die gesetzliche Beschrän-
kung privater Anwendung von Verschlüsselung in den                 In Deutschland geht der Einsatz von Staatstrojanern
1990ern noch kontrovers diskutiert wurde, ist davon                durch Sicherheitsbehörden und die öffentliche Diskus-
heute praktisch nicht mehr die Rede. Insbesondere in               sion darüber bis in die Mitte der 2000er zurück. Dabei
autoritär regierten Staaten ist die Lage jedoch oft eine           wurde lange darauf verzichtet, eine eigene gesetz-
andere. Auch in Abwesenheit gesetzlicher Regelungen                liche Grundlage zu schaffen; inzwischen existieren
ist zudem von geheimdienstlichen Aktivitäten in diesem             diese im Bund (hier seit 2017 mit sehr weitgehenden
Bereich auszugehen (vergleiche Abschnitt »Investitio-              Befugnissen)11 und in zahlreichen Bundesländern. In
nen in sichere Infrastrukturen«).                                  der Rechtsprechung ist das Urteil des Bundesverfas-
                                                                   sungsgerichts vom 27. Februar 2008 zentral, das ein
Staatstrojaner                                                     Grundrecht auf Gewährleistung der Vertraulichkeit und
                                                                   Integrität informationstechnischer Systeme herleitet
Der andere problematische Bereich ist der staatliche               und dem Einsatz von Staatstrojanern enge Grenzen
Einsatz von Software, die den direkten Fernzugriff                 setzt.12 Der Begriff der »Quellen-Telekommunikati-
auf Computersysteme erlaubt (Online-Durchsuchung,                  onsüberwachung« verweist auf die Verwendung von
Staatstrojaner oder euphemistisch Quellen-Telekommu-               Staatstrojanern, um auf dem kompromittierten System
nikationsüberwachung). Wiederum besteht hier neben                 Telekommunikationsdaten abzugreifen; der Unterschied
dem tiefgehenden Grundrechtseingriff durch die Maß-                zur Onlinedurchsuchung besteht also im Einsatzzweck.
nahme selbst eine Beeinträchtigung des allgemeinen
Schutzniveaus durch den Umstand, dass der wirksame                 9
                                                                     https://www.washingtonpost.com/business/technology/nsa-officials-
Einsatz derartiger Software nur dann möglich ist, wenn             worried-about-the-day-its-potent-hacking-tool-would-get-loose-then-it-
                                                                   did/2017/05/16/50670b16-3978-11e7-a058-ddbb23c75d82_story.
                                                                   html?utm_term=.e534b94b9925
                                                                   10
                                                                      https://www.welt.de/politik/deutschland/article178035350/Neue-
8
  http://www.rnd-news.de/Exklusive-News/Meldungen/Novem-           Cyber-Behoerde-Zitis-Es-geht-nur-um-legale-Ueberwachung.html
ber-2017/De-Maiziere-will-Ausspaehen-von-Privat-Autos-Computern-   11
                                                                      http://dipbt.bundestag.de/doc/btd/18/127/1812785.pdf
und-Smart-TVs-ermoeglichen                                         12
                                                                      http://www.bverfg.de/e/rs20160420_1bvr096609.html

                                                                                                                                       7
Eine technische Gewährleistung der Beschränkung auf                  tung der Verordnung, die in diesem Bereich strengere
laufende Kommunikationsdaten wird für kaum möglich                   Regeln beinhalten könnte, ist zurzeit im Entwurfssta-
gehalten.13 DIE LINKE hat sich vor allem aufgrund des                dium.17 DIE LINKE fordert in ihrem Wahlprogramm zur
erheblichen Grundrechtseingriffs wiederholt klar gegen               Bundestagswahl 2017 ein generelles Exportverbot für
jedweden Einsatz von Staatstrojanern ausgesprochen.                  Überwachungstechnologien.18 Diese Forderung steht
                                                                     jedoch vor zwei zentralen Herausforderungen. So sind
Für das BKA ist derzeit der (geplante) Einsatz von zwei              vom Wassenaar-Abkommen zunächst auch solche
verschiedenen Softwarelösungen bekannt: Die selbst-                  Programme (Intrusionsoftware) erfasst, die für Penetra-
programmierte Remote Communication Interception                      tionstests verwendet werden und gerade der Härtung
Software (RCIS), die in einer ersten Version auf die                 von IT-Systemen dienen sollen – aber eben auch für
Überwachung von Skype für Windows auf Desktopsys-                    das Eindringen in fremde Systeme gebraucht werden
teme (RCIS 1.0) begrenzt ist und in einer zweiten Versi-             können. Mit der Aufnahme dieser Dual-Use-Software in
on auch mobile Geräte wie Smartphones und Tablets                    die Exportkontrolle soll sichergestellt sein, dass sie nur
infizieren und abhören können soll (RCIS 2.0), und das               an solche Staaten exportiert wird, die Gewähr für einen
Produkt FinSpy der Firma FinFisher.14 Beide Produkte                 bestimmungsgemäßen Einsatz bieten. Ein generelles
werden wegen ihrer begrenzten Anwendungsreichweite                   Exportverbot ließe auch das nicht mehr zu.
bislang nur in Einzelfällen sowohl im Bereich der Gefah-
renabwehr und der Strafverfolgung eingesetzt.                        Hackbacks

Handel mit Sicherheitslücken                                         Es werden in jüngster Zeit vermehrt Forderungen laut,
und Überwachungstechnik                                              staatliche Stellen zu ermächtigen, im Fall von Angriffen
                                                                     auch durch Gegenangriffe reagieren zu können, um so
Um Sicherheitslücken für solche Zwecke zu verwenden,                 z. B. Server auszuschalten oder abgegriffene Daten zu
muss der Staat zunächst einmal Kenntnis davon erlan-                 löschen. Entsprechend äußerten sich insbesondere
gen. Ressourcen, um Lücken selbständig zu identifizie-               Anfang des Jahres 2017 Verfassungsschutzpräsident
ren, haben deutsche staatliche Stellen nur begrenzt,                 Maaßen und der ehemalige Innenminister de Maizière.19
selbst wenn sie wie im Fall des BKA eigene Staatstro-                Hierfür wurde zuletzt sogar eine Änderung des Grund-
janer programmieren. Welche Rolle die neue Zentrale                  gesetzes ins Spiel gebracht.20
Stelle für Informationstechnik im Sicherheitsbereich
(ZITiS) hier in Zukunft spielen wird, ist unklar.                    Unklar ist, wer über eine solche Ermächtigung verfü-
                                                                     gen könnte. In der Diskussion genannt werden u.a. die
Der Einsatz von Staatstrojanern bringt es demnach mit                Strafverfolgungsbehörden von Bund und Ländern, der
sich, dass der Staat Sicherheitslücken – wenn nicht                  Verfassungsschutz, die Bundeswehr im Rahmen ihres
gleich ganze Softwarelösungen – ankauft. Damit fördert               neuen Kommandos Cyber- und Informationsraum oder
er den bestehenden Markt rund um derartige Lücken                    das BSI. In den Vereinigten Staaten wird sogar die For-
und erhöht indirekt die Anreize für Dritte, gefundene                derung diskutiert, derartige Maßnahmen auch zivilen
Sicherheitslücken zu verkaufen, statt sie in verantwor-              Opfern eines Angriffs selbst zu erlauben.21
tungsvoller Weise bekannt zu machen. Es existiert eine
ganze Industrie, die Überwachungssoftware an staat-                  Da die Durchführung solcher Angriffe das unbefugte Ein-
liche Behörden in aller Welt verkauft. Ein berüchtigtes              dringen in informationstechnische Systeme voraussetzt,
Beispiel von vielen ist die in München ansässige Firma               sind sie mit dem gleichen grundsätzlichen Problem ver-
FinFisher, deren Produkte nicht nur von deutschen                    bunden, das bereits für den Einsatz von Staatstrojanern
Sicherheitsbehörden gekauft werden, sondern auch                     angeführt wurde: Der Staat muss sich über geeignete
autoritären Regimen als Werkzeug dienen, um gegen                    Kanäle Kenntnis von Sicherheitslücken verschaffen,
Oppositionelle vorzugehen.15                                         ohne sie zu schließen, und beeinträchtigt somit das
                                                                     allgemeine Sicherheitsniveau globaler digitaler Netze.
Vor diesem Hintergrund wird seit einiger Zeit über
Exportkontrollen von Überwachungssoftware diskutiert.                Ein zusätzliches Problem entsteht als Folge des allge-
Seit 2015 wird auf europäischer Ebene Überwachungs-                  meinen Attributionsproblems: Da Angriffe üblicher-
technologie in Übereinstimmung mit dem »Wassenaar-                   weise nicht direkt erfolgen, sondern über Systeme
Abkommen für Exportkontrollen von konventionellen                    von Dritten ohne deren Einverständnis oder Wissen,
Waffen und doppelverwendungsfähigen Gütern und                       kann Kollateralschaden nicht ausgeschlossen wer-
Technologien« von der Dual-Use-Verordnung erfasst,
was bis jetzt jedoch keine erheblichen Einschränkungen
in der Praxis mit sich gebracht hat.16 Eine Überarbei-               17
                                                                        https://www.reporter-ohne-grenzen.de/fileadmin/Redaktion/Inter-
                                                                     netfreiheit/20170209_Stellungnahme_ROG_BMWi_Dual_Use_Richtli-
                                                                     nie.pdf
13
   https://ccc.de/system/uploads/216/original/quellen-tkue-CCC.pdf   18
                                                                        https://www.die-linke.de/fileadmin/download/wahlen2017/wahl-
14
   https://netzpolitik.org/2017/geheimes-dokument-das-bka-will-      programm2017/die_linke_wahlprogramm_2017.pdf (S. 124).
schon-dieses-jahr-messenger-apps-wie-whatsapp-hacken/; https://      19
                                                                        http://www.spiegel.de/netzwelt/netzpolitik/bundesamt-fuer-verfas-
netzpolitik.org/2018/geheime-dokumente-das-bundeskriminalamt-        sungsschutz-plant-cyber-gegenangriffe-a-1129273.html
kann-jetzt-drei-staatstrojaner-einsetzen/                            20
                                                                        https://www.berliner-zeitung.de/politik/gesetzaenderung-
15
   http://www.spiegel.de/netzwelt/netzpolitik/gamma-gruppe-hacker-   effektiver-gegen-cyberkriminalitaet-aus-dem-ausland-vorgehen-
kopieren-finfisher-unterlagen-a-985098.html                          28943184?dmcid=sm_fb
16
   https://thecorrespondent.com/6257/how-european-spy-technology-    21
                                                                        https://tomgraves.house.gov/uploadedfiles/discussion_draft_ac-
falls-into-the-wrong-hands/2168866237604-51234153                    dc_act.pdf

8
den. Schlimmstenfalls könnte dieser von Angreifern                    Ein System, in dem Sicherheitslücken als Währung zur
nicht nur in Kauf genommen werden, sondern sogar                      Steigerung der Sicherheit von IT-Systemen begriffen
provoziert, indem etwa bewusst kritische Systeme für                  werden, ist zum Scheitern verurteilt. Es muss daher ein
Angriffe zweckentfremdet werden oder False-Flag-Ope-                  anderer Ansatz gefunden werden.
rationen durchgeführt werden. Betroffene Dritte könn-
ten sich ebenfalls zu einer Reaktion veranlasst sehen,
womit die Gefahr einer Eskalation verbunden ist.22

22
   Für eine ausführlichere Darstellung dieser und weiterer Problem-
felder beim Einsatz von Hackbacks vgl. https://www.swp-berlin.org/
fileadmin/contents/products/arbeitspapiere/AP_Schulze_Hack-
back_08_2017.pdf (S. 9ff.).

                                                                                                                            9
Erfassung und Meldung von Vorfällen
und Sicherheitslücken
Bei der Frage nach verpflichtenden oder freiwilligen               Verschiedentlich wird gefordert, eine allgemeine Melde-
Meldungen im Bereich der IT-Sicherheit müssen zwei                 bzw. Veröffentlichungspflicht für Sicherheitslücken
verschiedene Bereiche unterschieden werden: Die                    analog zu Vorfällen einzuführen, so etwa 2013 von einem
Meldung von sicherheitsrelevanten Vorfällen, auf die               Arbeitskreis der Gesellschaft für Informatik,27 vom
sich bislang gesetzgeberische Aktivität konzentriert hat;          Forum Informatiker*innen für Frieden und gesellschaft-
und die Meldung von Sicherheitslücken, für die keine               liche Verantwortung (FIfF)28 und 2017 vor dem Hinter-
entsprechenden Regelungen existieren.                              grund von WannaCry von Telekom-Chef Höttges.29 Eine
                                                                   solche Pflicht würde, wenn sie auch staatliche Stellen
Meldung von sicherheitsrelevanten Vorfällen                        trifft, den Einsatz von Staatstrojanern und anderer
                                                                   Überwachungssoftware auf Basis von Zero Day Exploits
Seit 2015 besteht durch das IT-Sicherheitsgesetz ein               ausschließen. In jedem Fall wäre damit Firmen, die mit
rechtlich vorgeschriebenes Verfahren zur Meldung                   derartiger Software handeln, die Geschäftsgrundlage
erheblicher Störungen von informationstechnischen                  entzogen. Zu beachten ist allerdings, dass auch eine
Systemen für die Betreiber*innen sogenannter Kritis an             öffentlich bekannte bzw. durch Updates bereits adres-
das BSI. Daneben besteht mit der »Allianz für Cyber-               sierte Sicherheitslücke in der Praxis noch vorhanden
Sicherheit« bereits seit 2012 eine vom BSI in Koopera-             und ausnutzbar sein kann.
tion mit der Wirtschaft eingerichtete Stelle für freiwil-
lige Meldungen.23 2016 wurden durch die sogenannte                 Ein verantwortlicher Umgang mit derart identifizierten
NIS-Richtlinie (2016/1148) vergleichbare Regelungen auf            Sicherheitslücken wird allgemein darin gesehen, zuerst
europäischer Ebene vorgegeben, in deren Folge 2017                 diejenigen darüber zu informieren, die in der Position
auch die deutschen Regelungen noch einmal angepasst                sind, sie zu schließen, nach einer dafür geeigneten Frist
wurden, insbesondere durch eine Erweiterung auf                    aber öffentlich zu machen.
Dienste wie Suchmaschinen und Cloud-Computing-
Dienste.

DIE LINKE hat in den parlamentarischen Beratungen
den Ansatz eines IT-Sicherheitsgesetzes grundsätzlich
begrüßt, aber Kritik an den unklaren Begriffsdefinitio-
nen und der schwierigen Rolle des einerseits hier zu-
ständigen, andererseits nicht vom Innenministerium –
und damit den potentiell entgegenlaufenden Interessen
von Sicherheitsbehörden – unabhängigen BSI geübt.24

Was genau dem Bereich der Kritischen Infrastruktur zu-
zuordnen ist, wurde 2016 mit der BSI-Kritis-Verordnung25
zunächst für die die Bereiche Energie, Wasser, Ernäh-
rung und IKT festgelegt, 2017 erweitert um Festlegun-
gen für Gesundheit, Finanz- und Versicherungswesen
sowie Transport und Verkehr.

Meldung von Sicherheitslücken

Keine allgemeine gesetzliche Regelung besteht für die
Meldung von Sicherheitslücken als solche. Auch das
BSI ist lediglich nach §§ 4 und 8b des BSI-Gesetzes
grundsätzlich verpflichtet, Bundesbehörden und
Betreiber*innen Kritischer Infrastrukturen über sie
betreffende Informationen zu Sicherheitslücken zu
unterrichten; nach § 7 darf es Warnungen über Sicher-
heitslücken auch in anderen Fällen Betroffenen oder
der Öffentlichkeit bekanntmachen.26

23
   https://www.allianz-fuer-cybersicherheit.de/ACS/DE/Ueber_uns/
ueber_uns.html
24
   https://dipbt.bundestag.de/doc/btp/18/18110.pdf (S. 10572);     27
                                                                      http://pak-datenschutz.gi.de/nc/stellungnahmen/detailansicht/
http://dipbt.bundestag.de/doc/btp/18/18221.pdf (S. 22295f.).       article/eu-meldepflicht-fuer-cyberattacken-greift-zu-kurz-sicherheitslue-
25
   https://www.gesetze-im-internet.de/bsi-kritisv/BJNR095800016.   cken-veroeffentlichen.html
html                                                               28
                                                                      https://cyberpeace.fiff.de/Kampagne/Forderung10
26
   http://www.gesetze-im-internet.de/bsig_2009/BJNR282110009.      29
                                                                      http://www.faz.net/aktuell/wirtschaft/unternehmen/telekom-chef-
html                                                               hoettges-wir-kommen-dann-zwischen-zehn-und-zwoelf-15035218.html

10
Produkthaftung, Produktsicherheit,
Produktlebensdauer
Neben der Einhegung des staatlichen Geschäfts mit                              Diese Norm folgt der EU-Produkthaftungsrichtlinie
Sicherheitslücken ist es für die Schaffung einer ef-                           unmittelbar. Letztere sieht zwar die Möglichkeit zu einer
fektiven Sicherheit von IT-Systemen aller Art ebenso                           Ausnahmeregelung vor (Art. 15 Abs. 1 lit. b 85/374/EWG):
notwendig, die IT-Produkte selbst respektive deren                             Demnach können die Mitgliedstaaten Rechtsvorschriften
Hersteller*innen in die Verantwortung zu nehmen. Da                            erlassen, nach denen ein Hersteller auch dann haftet,
sichere Produkte in den meisten Fällen aktuell kein                            wenn der Fehler nach dem Stand der Wissenschaft und
Wert an sich sind, sondern zuallererst Zusatzkosten für                        Technik beim Inverkehrbringen nicht erkannt werden
die Produzent*innen erzeugen, muss an dieser Stelle                            konnte. Doch wirkte eine solche Ausnahmereglung nur
ein Ansatzpunkt gefunden werden.                                               bedingt, da der Schadensbegriff aus der verschuldensun-
                                                                               abhängigen Haftung auf Personenschäden und Schäden
Die Ausweitung der Produkthaftung auf IT-                                      auf privat genutzte Sachen (Beschädigung oder Zerstö-
Hersteller*innen kann mittel- und langfristig zur                              rung einer anderen Sache als des fehlerhaften Produkts,
Härtung von IT-Systemen beitragen, indem die                                   die zum privaten Ge- oder Verbrauch bestimmt ist)
Hersteller*innen zu mehr Sorgfalt in der Entwicklung                           beschränkt ist (Art. 9 85/374/EWG, §1 Abs. 1 ProdHaftG).
von Hard- und Software bewegt werden. Die Etablie-                             Ohne Änderungen im Schadensbegriff des europäischen
rung von verbindlichen Vorgaben zur Produktsicher-                             Sekundärrechts könnten Produktfehler, wie sie in IT-
heit setzt überdies einen Schritt früher an, indem von                         Sicherheitslücken hervortreten, allenfalls für Branchen
vornherein Mindeststandards für mit dem Internet                               mit latent hohem Schadensrisiko für Personen wie etwa
verbundene IT-Systeme vorgegeben werden. Regelun-                              Krankenhäuser oder Flugsicherung dem verschuldensun-
gen zur Produktlebensdauer dienen ferner der Aufrecht-                         abhängigen Haftungsrecht unterworfen werden.
erhaltung einer sicherheitskonformen Funktionalität
von insbesondere in der Betriebsverantwortung von                              IT-Produktsicherheit
privaten Endanwender*innen sich befindenden IT-Sys-
temen, indem verbindliche Vorgaben zur erwartbaren                             Das Produktsicherheitsgesetz, es folgt ebenfalls euro-
Lebensdauer gemacht und für diesen Zeitraum beispiel-                          päischen Vorgaben aus einer Vielzahl von EU-Richtli-
weise Software- und Sicherheitsupdates bereitzustellen                         nien, ist ähnlich wie das ProdHaftG auf die Sicherheit
sind. Alle drei Vorgaben bedeuteten eine beträchtliche                         und Gesundheit von Personen oder allgemein Körper-
Intensivierung der Maßnahmen zur Verbesserung der                              schäden beschränkt (§ 3 ProdSG). Vermögens- und
Cybersicherheit auf Seiten der Verantwortlichkeit der                          Eigentumsschäden, aber auch Schäden an Daten und
IT-Hersteller*innen. Ein Blick auf die bestehenden                             Datenbeständen werden nicht erfasst. In den Sicher-
Gesetzesregelungen zeigt jedoch, dass diese nicht auf                          heitsanforderungen zu technischen Arbeitsmitteln und
die spezifischen Sicherheitsbedingungen von mit dem                            Verbraucherprodukten, konkretisiert noch in mehreren
Internet verbundenen IT-Systemen ausgerichtet sind.                            Ausführungsbestimmungen wie etwa der Verordnung
                                                                               über elektrische Betriebsmittel (1. ProdSV), finden sich
IT-Produkthaftung                                                              zudem keinerlei Produktsicherheitsnormen, die auf mit
                                                                               dem Internet verbundene IT-Systeme und entsprechen-
Nach der EU-Produkthaftungsrichtlinie (85/374/EWG),                            de IT-Sicherheitsvorfälle beziehbar wären oder anwend-
umgesetzt in nationales Recht durch das Gesetz                                 bar sind.
über die Haftung für fehlerhafte Produkte (ProdHaftG),
werden unter dem Produktbegriff bewegliche Sachen                              IT-Produktlebensdauer
einschließlich Elektrizität erfasst. Grundsätzlich unter-
liegen somit Hard- und Software dem verschuldensun-                            Bislang bestehen Vorgaben zu einer garantierten Pro-
abhängigen Haftungsrecht und müssen somit für den                              duktlebensdauer lediglich im Rahmen der europäischen
Zweck, für den sie entwickelt wurden, die erforderliche                        Ökodesign-Richtlinie (2009/125/EG), und das für zwei
Sicherheit aufweisen.30 Allerdings ist die Haftung für                         Produktgruppen: Leuchtmittel und Staubsauger. Für
Entwicklungsrisiken, wie sie sich insbesondere in Form                         die letztgenannte Produktgruppe beispielsweise wurde
von IT-Sicherheitslücken darstellen, ausgeschlossen.                           eine Motorlebensdauer von mindestens 500 Stunden
Gehaftet wird nicht, wenn der Fehler nach dem Stand                            festgelegt.31 Ziel der Ökodesign-Richtlinie ist es, die
der Wissenschaft und Technik beim Inverkehrbringen                             Umweltverträglichkeit energieverbrauchsrelevanter
nicht erkannt werden konnte (§ 1 Abs. 2 Nr. 5 Prod-                            Produkte unter Einbeziehung ihres gesamten Lebens-
HaftG).                                                                        weges mittels Vorgabe von Ökodesign-Anforderungen
                                                                               zu verbessern und EU-weit zu vereinheitlichen, um zu
                                                                               verhindern, dass solche nationalstaatlich unterlaufen
30
  Im Falle von Software, insbesondere von online übertragener Soft-
ware, ist die Produkteigenschaft allerdings teilweise streitig. Vgl. Verant-   31
                                                                                 Verordnung (EU) Nr. 666/2013 der Kommission vom 8. Juli 2013 zur
wortlichkeiten von IT-Herstellern, Nutzern und Intermediären Studie im         Durchführung der Richtlinie 2009/125/EG des Europäischen Parla-
Auftrag des BSI durchgeführt von Prof. Dr. Gerald Spindler, Universität        ments und des Rates im Hinblick auf die Festlegung von Anforderungen
Göttingen. BSI, 2007. S. 85-87. https://www.bsi.bund.de/SharedDocs/            an die umweltgerechte Gestaltung von Staubsaugern. http://www.eu-
Downloads/DE/BSI/Publikationen/Studien/ITSicherheitUndRecht/                   roparl.europa.eu/sides/getDoc.do?pubRef=-//EP//TEXT+REPORT+A8-
Gutachten_pdf.pdf?__blob=publicationFile&v=2                                   2017-0214+0+DOC+XML+V0//DE

                                                                                                                                                 11
und zu Handelshemmnissen werden können. Indika-                       der Europäische Binnenmarkt nicht zuletzt den größten
toren für die Produktlebensdauer sind laut Anhang 1                   gemeinsamen Markt weltweit darstellt, können sich
der Richtlinie die garantierte Mindestlebensdauer, der                gemeinschaftlich erlassene Schutzmaßnahmen und
Mindestzeitraum der Lieferbarkeit von Ersatzteilen,                   Sicherheitsstandards über eine Verbreitung der hier
die Modularität, die Nachrüstbarkeit sowie die Repa-                  zulässigen Produkte außerhalb des EU-Binnenmarktes
rierbarkeit. Als energieverbrauchsrelevante Produkte                  mittelbar auch jenseits der Gemeinschaftsgrenzen
werden unter dem Regelungsniveau der EU-Ökodesign-                    etablieren.
Richtlinie grundsätzlich auch IT-Systeme und –Kompo-
nenten erfasst, obgleich diese in der Bewertungspraxis                Zertifizierung, Security by Design
vorrangig noch als Stand-Alone-Systeme betrachtet                     und by Default
werden und bislang keinerlei Regelungen für eine zu
garantierende Mindestlebensdauer für solche erlassen                  Außerhalb des Bereichs Kritischer Infrastrukturen, bei
wurden. Mit dem Internet verbundene IT-Systeme wie                    denen Sicherheitsstandards auf Basis der Kritis-Verord-
Smartphones oder IoT-Produkte wurden ferner bislang                   nung durch verantwortliche Unternehmen eingehalten
noch überhaupt nicht erfasst.                                         werden müssen, fehlen ansonsten verbindliche Sicher-
                                                                      heitsstandards für IT-Produkte, insbesondere solche
Vorschlag zu einer Cyber-Design-Verordnung                            mit Verbindung ins Internet. Sowohl das IT-Sicherheits-
                                                                      gesetz als auch die derzeit im Gesetzgebungsverfahren
Eine Cyber-Design-Verordnung für informationstechni-                  befindliche Verordnung der EU über die Einrichtung
sche Systeme (Hard oder Software oder beides) bietet                  einer EU-Sicherheitsagentur (ENISA) und eines Sicher-
zahlreiche Vorteile. Vorgaben zur Produkthaftung,                     heitszertifizierungssystems sehen lediglich eine markt-
Produktsicherheit und Produktlebensdauer für mit                      konforme Form der Regulierung vor: Demnach sollen
dem Internet verbundene IT-Systeme können separat,                    dem ursprünglichen Kommissionsvorschlag zufolge
unabhängig von der Änderung einer Vielzahl von EU-                    von öffentlicher Seite nur Vorgaben für Sicherheitszer-
Richtlinien und der durch sie spezifizierten Produktei-               tifizierungen gemacht werden, deren Einhaltung dann
genschaften etabliert werden. In Form eines gesonder-                 von privaten Unternehmen überprüft und entsprechend
ten Rechtsakts setzt jene auf bestehende Regelungen                   zertifiziert wird. Das Zertifikat ist dabei keineswegs ver-
obenauf und bleiben letztere unberührt. Als Verordnung                bindlich vorgeschrieben, um ein Produkt überhaupt auf
gilt sie zudem unmittelbar und etabliert einheitliche                 den Markt zu bringen. Es soll lediglich den Kund*innen
Schutzmaßnahmen in allen Mitgliedstaaten, ohne dass                   bei ihrer Kaufentscheidung helfen.
es eines nationalen Umsetzungsaktes bedarf. Indem
– ähnlich wie nach der Ökodesign-Richtlinie – pro-                    Dies ist aus unserer Sicht nicht ausreichend und wurde
duktspezifische Durchführungsmaßnahmen erlassen                       vom Bundesrat auch bereits kritisiert (Bundesrats-
werden, kann überdies in Fragen der Produkthaftung                    drucksache BR 680/17). Vielmehr ist zu diskutieren, wie
für Hard- und Softwarehersteller nach der Sicherheits-                weit eine solche Sicherheitszertifizierung obligatorisch
sensitivität internetfähiger IT-Systeme differenziert wer-            für die Marktzulassung werden sollte und aus pragma-
den und entsprechend den durchaus unterschiedlichen                   tischer Sicht werden kann. Hier ist auf die Zertifizie-
Belangen von Großunternehmen, kleinen und mittleren                   rungspflicht der EU-Datenschutzgrundverordnung für
Unternehmen (KMU) sowie Kleinstunternehmen entge-                     Produkte, die den Anforderungen von Privacy by Design
gengekommen werden. Insbesondere letztgenannten                       und Privacy by Default entsprechen müssen, als Vorbild
ist es heute in den meisten Fällen wirtschaftlich nicht               zu verweisen (Art. 42 i.V.m. Art. 25 Verordnung (EU)
möglich und auch künftig weiterhin nicht erforder-                    2016/679, Amtsblatt der EU L 119/1 vom 4.5.2016). Eine
lich, sich pauschal gegen Schadensfälle abzusichern,                  solche Regelung hinsichtlich Security by Design und
während der Abschluss von Cyber-Versicherungen                        Security by Default für IT-Produkte wäre im Rahmen
zur Risikominimierung und zum Risikoausgleich den                     einer abgestimmten Politik der EU sogar geboten, weil
beiden erstgenannten unbenommen bleibt. Schließlich                   Fragen des Datenschutzes in Zeiten der Digitalisierung
wird erstmals eine garantierte Mindestlebensdauer für                 unmittelbar mit Fragen der Datensicherheit verknüpft
solche IT-Systeme möglich, die sich – wie Smartpho-                   sind. Security by Design würde dabei das Sicherheitsni-
nes oder IoT-Produkte – in der Betriebsverantwortung                  veau auf dem Stand der Technik erfassen (Minimierung
von privaten Endanwender*innen befinden und über                      von Zugriffsmöglichkeiten), Security by Default beträfe
die in der Praxis Cyberangriffe geführt werden, ohne                  beispielsweise den Umgang mit Zugangspasswörtern.
dass deren Besitzer*innen es bemerken. Dazu ist die                   Es müsste dann für jedes Produkt ein voreingestelltes,
Produktlebensdauer, einschließlich des Vorhaltens von                 individuelles Passwort geben, statt solcher voreinge-
Software- und Sicherheits-Updates, entsprechender                     stellter Passwörter wie »admin« oder »1234«. Der damit
Geräte erheblich gegenüber dem Ist-Stand – die Funk-                  für die Hersteller verbundene Mehraufwand ist durch
tionsfähigkeit von Smartphones beispielsweise ist nach                die Gefahren, die hinsichtlich der Möglichkeit des
Angaben des Umweltausschusses des Europäischen                        Aufbaus von Botnetzen im IoT bestehen, gerechtfertigt.
Parlaments heute bereits nach ein bis zwei Jahren nicht               Zudem sollten Hersteller*innen verpflichtet werden,
mehr ausreichend gewährleistet –32 zu verlängern. Da                  Nutzer*innen eindeutig und verständlich darauf hinzu-

32
  Stellungnahme des Ausschusses für Umweltfragen, öffentliche
Gesundheit und Lebensmittelsicherheit (11.4.2017) für den Ausschuss   (2016/2272(INI)). http://www.europarl.europa.eu/sides/getDoc.
für Binnenmarkt und Verbraucherschutz zu dem Thema »Längere           do?pubRef=-//EP//TEXT+REPORT+A8-2017-0214+0+DOC+XML+V0//
Lebensdauer für Produkte: Vorteile für Verbraucher und Unternehmen«   DE

12
weisen, welche Geräte und Anwendungen einen Zugang                   schränkt kontrollierbar sein sollen, (gegenwärtig) nicht
zum Internet haben und welche Gefahren damit mögli-                  entsprochen werden.35
cherweise einhergehen.
                                                                     Es bedarf daher in Deutschland und Europa einer
Die EU-Datenschutzgrundverordnung könnte zugleich                    Rückgewinnung an technologischer Souveränität in
hinsichtlich des Sanktionsregimes bei vorsätzlicher                  Form von erheblichen Investitionen in Forschung und
Verletzung der Prinzipien Security by Design/Security                Entwicklung sicherer Infrastrukturen. Als Gegenmodell
by Default und der oben genannten Meldepflichten für                 zur amerikanischen, partiell aber auch chinesischen Do-
festgestellte Sicherheitslücken als Vorbild dienen. Für              minanz ist eine europäische Open-Source-Infrastruktur
Datenschutzverstöße sind dort bis zu vier Prozent des                mit offenen und transparent entwickelten Standards
Welt-Jahresumsatzes als Sanktion vorgesehen.                         zu etablieren. Die bereits für die IT-Forschung bspw.
                                                                     im Rahmen von »Horizont 2020« bereitgestellten Mittel
Investitionen in sichere Infrastrukturen                             müssen von der Förderung kommerzieller Produktent-
                                                                     wicklungen zur Förderung von Open-Source-Software
Jenseits einer fehlenden Haftung für Entwicklungsri-                 umgelenkt werden. Es soll nicht darum gehen, wie
siken bestehen weitere Gründe, dass Hardware und                     in der herrschenden Digitalwirtschaftspolitik kon-
Software nicht immer von Anfang an als sicher gelten                 kurrenzfähige Unternehmen zu den USA und China
können. Hervorzuheben sind im hiesigen Kontext insbe-                aufzubauen, sondern IT-Produkte mit hohen Sicher-
sondere zwei.                                                        heitsstandards für alle zugänglich zu machen. Zwar
                                                                     sind Open-Source-Software und Open-Source-Hard-
Erstens: Mandatierte Sicherheitslücken in zentra-                    warekomponenten nicht grundsätzlich fehlerfrei, doch
len Netzkomponenten, mit denen staatliche Zugrif-                    lassen sie jederzeit eine Überprüfung zu. Auch können
fe durch Geheimdienste bspw. auf Netzwerkrouter                      Open-Source-Anwendungen durch öffentlich ausgelobte
ermöglicht werden, ohne dass die entsprechenden                      Auditierungen oder bedingungslos ausgelobte Geld-
Hersteller*innen diese öffentlich machen dürfen.                     preise für das Auffinden kritischer Sicherheitslücken
Weltweit wird der Markt für Switch- und Router-Tech-                 (Bug-Bounty-Programme)36 in ihrer Qualität erhöht und
nologien von Firmen aus den USA und China domi-                      in ihrer potentiellen Kritikalität umgekehrt beständig
niert, sodass auch in Europa die Betreiber*innen von                 verbessert werden. Durch offene Verfahren und das
Netzinfrastrukturen mehr oder minder zwangsläufig                    Prinzip vieler Augen können die Weichen in Richtung
diese Komponenten nutzen. Zudem bestätigte sich im                   sicherer Open-Source-Infrastrukturen im Hinblick auf
Rahmen der Snowden-Enthüllungen ausdrücklich, dass                   Software, Hardware und Dienste gestellt werden. Dar-
die NSA Sicherheitslücken in diesbezüglichen Systemen                über hinaus lässt sich mit einer solchen Förderung von
von US-Hersteller*innen mandatierte und damit einher-                Open-Source-Technologien auch die Entwicklung von
gehende Manipulationsmöglichkeiten nutzte. Umge-                     Privacy by Design-Standards verbinden, eine stärkere
kehrt geht die US-Regierung zugleich davon aus, dass                 Verknüpfung mit der sozial- und geisteswissenschaftli-
ähnliche Hintertüren auch in chinesischen Produkten                  chen Begleitung der Entwicklung und Einführung neuer
bestehen, sodass diese in den USA nicht in Hochsicher-               Innovationen herstellen und die Einhaltung von ethi-
heitsbereichen eingesetzt werden dürfen.33                           schen Standards (Responsible Research) durchsetzen.

Zweitens: Betriebssysteme und andere Softwareappli-
kationen, die in ständiger Verbindung mit dem Internet
stehen, um personenbezogene Daten auf den Client-
systemen zu erheben und auszuleiten. Hier ist unter
anderem auf die Marktmacht von Microsoft und die
Abhängigkeit von Behörden in Deutschland von dessen
Produkten zu verweisen. Im Falle des Betriebssystems
Windows 10 etwa kann, wie die Bundesbeauftragte für
den Datenschutz (BfDI) konstatiert, selbst bei optima-
ler Konfiguration aller Datenschutzeinstellungen die
Übertragung und Verarbeitung von personenbezogenen
Daten auf Serversysteme in den USA nicht verhin-
dert werden, können zudem die ausgelesenen Daten
nicht geprüft werden, da sie verschlüsselt ausgeleitet
werden.34 Neben dem generellen Dilemma der Vulnera-
bilität von Microsoft-Produkten gegenüber Angriffen auf
IT-Infrastrukturen kann dem Grundsatz, dass in Behör-
den eingesetzte Windows-Rechner von diesen uneinge-
                                                                     35
                                                                        https://www.heise.de/newsticker/meldung/Behoerden-ignorieren-
33
   https://www.swp-berlin.org/fileadmin/contents/products/arbeits-   Sicherheitsbedenken-gegenueber-Windows-10-3971133.html
papiere/AP_Schulze_Hackback_08_2017.pdf (S. 15).                     36
                                                                        Gerade hinsichtlich der Missbrauchsmöglichkeiten solcher Program-
34
   BfDI: 26. Tätigkeitsbericht zum Datenschutz 2015–2016. Erschei-   me, zunächst selbst für Sicherheitslücke zu sorgen, die dann später
nungsdatum: 30.05.2017. S. 125f. https://www.bfdi.bund.de/           gemeldet werden können, kommt der Transparenz hinsichtlich der
SharedDocs/Publikationen/Taetigkeitsberichte/TB_BfDI/26TB_15_16.     Mitwirkung an der Entwicklung von Open-Source-Produkten eine hohe
pdf?__blob=publicationFile&v=3                                       Bedeutung zu.

                                                                                                                                        13
Sie können auch lesen