"Cybersicherheit" - ein Beitrag für einen sicheren digitalen Raum - Positionspapier der Arbeitskreise Kultur, Wissen, Lebensweisen (AK IV) und ...
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
»Cybersicherheit« – ein Beitrag für einen sicheren digitalen Raum Positionspapier der Arbeitskreise Kultur, Wissen, Lebensweisen (AK IV) und Bürger*innenrechte und Demokratie (AK V)
Inhalt
Einleitung 3
Behörden der digitalen Sicherheit
in Deutschland 5
Strafverfolgungsbehörden 5
Geheimdienste 5
Zivile Strukturen 5
Vernetzung 5
Ressourcenkonflikte 6
Sicherheitsverlust durch staatliche Aktivitäten 7
Hintertüren 7
Staatstrojaner 7
Einsatz in Deutschland 7
Handel mit Sicherheitslücken
und Überwachungstechnik 8
Hackbacks 8
Erfassung und Meldung von Vorfällen
und Sicherheitslücken 10
Meldung von sicherheitsrelevanten Vorfällen 10
Meldung von Sicherheitslücken 10
Produkthaftung, Produktsicherheit,
Produktlebensdauer 11
IT-Produkthaftung 11
IT-Produktsicherheit 11
IT-Produktlebensdauer 11
Vorschlag zu einer Cyber-Design-Verordnung 12
Zertifizierung, Security by Design
und by Default 12
Investitionen in sichere Infrastrukturen 13
Schwachstelle Mensch 14
Ständige Weiterbildung 14
Sensibilisierung 15
Bildung 15
Handhabbare Verschlüsselung 15
Digitale Gewalt 17
Was ist Digitale Gewalt? 17
Wer ist betroffen 17
Männer und Frauen 18
Handlungsbedarf 18
Cyber Warfare –
Fragestellungen aus friedens-
und sicherheitspolitischer Sicht 20
Fazit und Forderungen 22
1Fraktion DIE LINKE. im Bundestag Platz der Republik 1, 11011 Berlin Telefon: 030/22751170, Fax: 030/22756128 E-Mail: fraktion@linksfraktion.de V.i.S.d.P.: Arbeitskreis IV und Arbeitskreis V Autoren: Dr. André Hahn (MdB), Dr. Petra Sitte (MdB), Anke Domscheit-Berg (MdB), Petra Pau (MdB), Dr. Alexander S. Neu (MdB), Martina Renner (MdB), Dirk Burczyk, Dr. Kirsten Jansen, Alexander Reetz, Anne Roth, Dr. Jürgen Scheele, Dr. Simon Weiß Stand: Dezember 2018 Layout/Druck: Fraktionsservice Dieses Material darf nicht zu Wahlkampfzwecken verwendet werden! Mehr Informationen zu unseren parlamentarischen Initiativen finden Sie unter: www.linksfraktion.de 190107 2
Einleitung
Im Jahr 1983 kam der Film »War Game« in die Kinos und einzelnen Nationalstaat über kriminelle Banden bis
wurde für die nächsten Jahrzehnte bildgebend für die hin zu Einzeltäter*innen alles sein und von überall aus
Vorstellung von Hackern und Cyber-War: Ein Schüler agieren. Je professioneller die Angreifer*innen vorge-
dringt in das Netz des Pentagon ein und aktiviert das hen, umso schwerer wird es herauszufinden, wer die
Atomwaffenarsenal der USA, die Welt steht am Ran- eigentlichen Angreifer*innen sind. Die digitale Forensik
de der Vernichtung. Nun ist das Pentagon seitdem bewegt sich zwangsweise in einem Graubereich und
sicherlich besser gegen Zugriffe geschützt – doch die kann lediglich Indizien sammeln.
seit den 90er Jahren rasant zunehmende Anwendung
von Computern für alle erdenklichen Anwendungen Der Blick auf den Status quo der Ausgestaltung digitaler
hat das Risiko, Opfer eines Angriffs auf das eigene Sicherheit, bspw. in Form der 2016 novellierten Cyber-
System zu werden, omnipräsent gemacht. Nicht zuletzt sicherheitsstrategie der Bundesregierung,4 aber auch
das Internet der Dinge (IoT/Internet of Things) rückt die unzähligen Beiträge der Vertreter*innen deutscher
das Bewusstsein für die Bedrohungen der digitalen Sicherheitsbehörden, zeigt, dass eine klare Zielrichtung
Sicherheit ebenso in den Fokus öffentlicher Debatten fehlt. Vielmehr gibt es ein buntes Durcheinander der
wie die zunehmende Berichterstattung über Attacken Kompetenzen. Ergänzt durch teilweise widerstrebende
auf die Netze von Regierungen, Parlamenten, Parteien, Interessen: Nicht erst seit der Einführung des Bundest-
öffentlichen Verwaltungen, Stiftungen, aber auch sog. rojaners ist klar, dass es für Geheimdienste, aber auch
Kritische Infrastrukturen (Kritis). Anders als bspw. der Strafverfolgungsbehörden wichtig ist, Sicherheitslücken
Fraktionsvorsitzende der Unionsfraktion Kauder glau- zu kennen, um diese später nutzen zu können. Gleich-
ben machen möchte, ist die Digitalisierung, und damit zeitig werden dieselben Akteure, die auf die Kenntnis
verbunden auch die Frage nach deren Sicherheit, nicht von Sicherheitslücken angewiesen sind, als Akteure der
erst das »Megathema der kommenden Jahre«,1 sondern gesamtstaatlichen Cybersicherheitsarchitektur einge-
mindestens seit zwei Dekaden Realität. bunden. Da ist er also wieder, der viel zitierte Bock als
Gärtner. Die Verabredungen im Koalitionsvertrag sowie
Durch das IoT geraten Gegenstände des täglichen die Kompetenzaufteilungen der Bundesregierung lassen
Gebrauchs in den Fokus potentieller Angreifer. Für auf wenig Besserung hoffen. Der Koalitionsvertrag
Besitzer*innen des viel zitierten smarten Kühlschranks2 enthält lediglich inhaltlich unklare Verabredungen bei-
mag es auf den ersten Blick nicht so problematisch spielsweise für eine sichere digitale Authentifizierung
sein, wenn sich das Gerät zu einem Botnetz3 verbin- im Netz, ohne dass eine klare Idee zu ihrer Ausgestal-
det. Bei einer gehackten smarten Haustür-, Fenster- tung erkennbar wäre. Das Bundesamt für Sicherheit
steuerung oder Heizung und einem damit unmittelbar in der Informationstechnik (BSI) soll gleichzeitig zur
verbundenen individuellen Schaden mag das schon »Cybersicherheitsbehörde« werden und »in seiner Rolle
ganz anders aussehen. Neben Endverbraucher*innen als unabhängige und neutrale Beratungsstelle für IT-
sind aber auch öffentliche Verwaltungen oder Kritische Sicherheitsfragen« gestärkt werden.5 Hinsichtlich einer
Infrastrukturen (Kritis) Ziel von Attacken. Im letzten Fall überfälligen stärkeren Regulierung des IT-Marktes soll
mit möglicherweise unabsehbaren Folgen. Dominierten es offenbar bei unverbindlichen Standards bleiben – die
früher Inselnetze, so scheint heute alles miteinander zudem von den Anbietern selbst entwickelt werden. Wie
verbunden zu sein. sich zukünftig Bundesinnenministerium, Bundeswirt-
schaftsministerium und das Bundeskanzleramt in ihrer
In vielen Lebensbereichen sorgt die Digitalisie- Politik der digitalen Sicherheit miteinander abstimmen
rung für erhebliche Erleichterungen. Öffentliche werden, ist vollkommen offen.
Verwaltungen können im Idealfall schneller und
bürger*innenfreundlicher arbeiten. Gleichzeitig führt Mit dem vorgelegten Positionspapier zeigen die
dies zu einer immer größer werdenden Menge an Autor*innen auf, welche (offensichtlichen) Missstände
gespeicherten Daten. Kam es nach quälend langsamen die aktuelle Ausgestaltung der digitalen Sicherheit in
Schritten in diesem Bereich zu Fortschritten, vergaß Deutschland mit sich bringt und welche Interessen-
und vergisst man in dem nun folgenden Rausch der konflikte hierbei vorherrschen. Darüber hinaus werden
digitalen Glückseligkeit allzu oft die Frage nach der Ansätze aufgezeigt, welche es ermöglichen, mehr
digitalen Sicherheit. digitale Sicherheit zu gewährleisten. Mit dem Begriff der
»digitalen Sicherheit« soll all das umfasst sein, was unter
Im Vergleich zur analogen Welt stellt die Frage der den Schutzbereich des vom Bundesverfassungsgericht
Attribution ein ungleich größeres Problem bei Angriffen in seinem Urteil zur Online-Durchsuchung neu aus dem
im digitalen Raum dar. Aggressor*innen können vom allgemeinen Persönlichkeitsrecht abgeleiteten »digitalen
Grundrecht« fällt, dem Recht auf Schutz der Vertrau-
1
https://www.welt.de/debatte/kommentare/article172922212/
Gastbeitrag-Deutschland-braucht-einen-Digitalrat.html
2
In der Praxis dürften aktuell smarte Fernseher, Smartwatches, Router 4
https://www.bmi.bund.de/cybersicherheitsstrategie/BMI_CyberSi-
o.ä. deutlich lebensnäher sein, der beschriebene Effekt bleibt jedoch der cherheitsStrategie.pdf
gleiche. 5
Vgl. Koalitionsvertrag von CDU, CSU und SPD für die 19. Wahl-
3
Viele Netzwerkgeräte, die durch ein Schadprogramm zusammenge- periode, S. 44. https://www.bundesregierung.de/Content/DE/_
schlossen sind und ferngesteuert zu bestimmten Aktionen missbraucht Anlagen/2018/03/2018-03-14-koalitionsvertrag.pdf;jsessionid=0B7C5
werden, meist ohne dass die Nutzer*innen etwas davon bemerken. 5E442D27BCF875094B0147514F6.s5t2?__blob=publicationFile&v=5
3lichkeit, Integrität und Verfügbarkeit informationstech- Der Begriff der »digitalen Sicherheit« umfasst aus
nischer Systeme und Daten.6 Im erweiterten Sinne ver- Sicht der Autor*innen natürlich auch private Lebens-
stehen wir darunter auch jene informationstechnischen bereiche und damit die persönliche Sicherheit der
Systeme, auf die die Bürger*innen zur Lebensführung Nutzer*innen. Die Bandbreite ist kaum überschaubar
in der digitalen Welt angewiesen sind. Der schillernde und umfasst beispielsweise Identitätsdiebstahl, Mob-
Begriff »Cyber« bzw. »Cybersicherheit« verunklart aus bing und Kreditkartenbetrug aber auch die Privatisie-
unserer Sicht mehr, worum es eigentlich geht und was rung des Rechts durch Zuständigkeitsverlagerungen
genau als Bedrohung dieser Sicherheit ausgemacht wird. auf Unternehmen. Gerade die Angriffe im digitalen
Aus dem hier gebrauchten Begriff der »digitalen Sicher- Raum gegen Andersdenkende, -liebende oder -gläubi-
heit« hingegen erhellt beispielsweise unmittelbar, dass ge und insbesondere Mädchen und Frauen haben ein
davon die Nutzung von Verschlüsselung in der privaten Ausmaß erreicht, dass eine explizite Positionierung in
Kommunikation umfasst ist; von den Protagonisten der diesem Positionspapier den Autor*innen notwendig
Cybersicherheit wird Verschlüsselung mal als Bedro- erscheint.
hung, mal als wichtiges Instrument begriffen.
6
BVerfGE 129, 274-350.
4Behörden der digitalen Sicherheit in Deutschland
In der Bundesrepublik sind unterschiedliche Behörden ist. Während defensive Fähigkeiten in der digitalen
für Aufgaben der Sicherung von Vertraulichkeit, Integri- Sicherheit über alle Abteilungen verteilt sind, werden
tät und Verfügbarkeit informationstechnischer Systeme offensive Fähigkeiten zur Überwachung von digitaler
und Daten zuständig. Eine passgenaue Zuordnung von Kommunikation (von Quellen-TKÜ bis zur Meta-Daten-
Aufgaben ist nur ungefähr möglich und wird einerseits auswertung in sozialen Netzwerken) in einer eigenen
durch vielfache Parallelarbeiten, andererseits durch Abteilung entwickelt. Auch beim Bundesnachrichten-
zahlreiche Kooperationsgremien noch weiter erschwert. dienst (BND) gibt es eine deutliche Schieflage: Fast
In fast allen Behörden mit einer Zuständigkeit für eine halbe Milliarde Euro und einige hundert Personal-
digitale Sicherheit geht es nicht allein um defensive stellen stehen zur Verfügung, um in den kommenden
Fähigkeiten, sondern zugleich um die Entwicklung oder Jahren die Fähigkeiten zur Überwachung des internatio-
den Einsatz eigener offensiver Fähigkeiten. Einzige nalen Internetverkehrs auszuweiten. Von einer ur-
Ausnahme bildet bislang das Bundesamt für Sicherheit sprünglich mit 130 Planstellen einzurichtenden Abteilung
in der Informationstechnik (BSI). zur Abwehr von Angriffen auf deutsche Verwaltungs-
stellen vom Ausland aus mithilfe digitaler Werkzeuge ist
Strafverfolgungsbehörden seit längerem nichts mehr verlautbart. Angesichts der
allgemeinen Schwierigkeiten von Behörden in Deutsch-
Das Bundeskriminalamt (BKA) wie die Landeskriminal- land, geeignetes Fachpersonal zu finden, ist allerdings
ämter (LKÄ) haben mit Fragen der digitalen Sicherheit davon auszugehen, dass auch hier die angepeilte Perso-
vor allem in Hinsicht auf erfolgte Angriffe mit Ransom- nalstärke bei weitem noch nicht erreicht ist.
ware7, digitale Spionage (insb. Industriespionage) und
andere Formen von Angriffen zu tun, bei denen es zu Zivile Strukturen
Sicherheitsvorfällen gekommen ist. Bearbeitet werden
konkrete Fälle von Cyberkriminalität in der Abteilung Auch wenn Polizei und Geheimdienste sich den Unter-
Schwere und Organisierte Kriminalität, unterstützt nehmen im Bereich Cybercrime und digitaler Spio-
durch die Forschungs- und Beratungsstelle Cybercrime nage als staatliche Ansprechpartner andienen – für
im Kriminalistischen Institut im BKA. Für akute Vorfälle die Sicherheit ziviler IT-Strukturen sind zunächst die
existiert seit 2017 eine »Quick Reaction Force«, die bei Betreiber*innen von IT-Infrastruktur und im Ernstfall be-
Sicherheitsvorfällen mit mutmaßlich kriminellem Hin- hördlicherseits das BSI zuständig. Es bearbeitet gemel-
tergrund Beweise sichern soll. dete Sicherheitsvorfälle aus öffentlichen Verwaltungen
und Einrichtungen der Kritischen Infrastruktur (Energie,
Über entsprechende Analysefähigkeiten verfügt das Wasser, Transport etc.), und entwickelt gemeinsam
BKA jedoch zu wenig. Das hat auch mit Prioritäten- mit der Industrie Sicherheitsmaßstäbe für IT-Verfahren
setzung zu tun: Mit etwa 30 Beschäftigten wurde im und -Produkte, die dann Grundlage von Zertifizierungen
Kompetenzzentrum informationstechnische Überwa- werden. Die vom BSI veröffentlichten Berichte zur IT-
chung über vier Jahre ein Spähprogramm zur Ausleitung Sicherheitslage weisen Bürger*innen und Unternehmen
verschlüsselter Kommunikation (Quellen-TKÜ/Quellen- auf aktuelle Sicherheitsbedrohungen und mögliche
Telekommunikationsüberwachung) geschrieben, das Abwehrmaßnahmen hin. Das BSI arbeitet mit Computer
zunächst nur sehr begrenzte Einsatzmöglichkeiten Emergency Response Teams (CERT) von Unternehmen
hatte. Zugleich wird immer wieder über Defizite in der und öffentlichen Verwaltungen zusammen und stellt im
Strafverfolgung berichtet, weil das BKA (wie auch LKÄ Notfall auch ein eigenes Team zur Verfügung, um auf
und Staatsanwaltschaften) mit der Auswertung einer Notfälle reagieren zu können.
immer weiter steigenden Zahl von Datenträgern nicht
hinterherkommt. Hier stellt nicht nur die schiere Masse Für Fürsprecher*innen eines Kurses der digitalen
ein Problem dar, sondern auch die Verschlüsselung Sicherheit, der in erster Linie auf die Härtung von
solcher Datenträger. IT-Infrastrukturen durch sichere Prozesse und Gefah-
renbewusstsein bei den Nutzer*innen setzt, könnte
Geheimdienste das BSI eine wichtige Behörde sein. Dazu wäre es aber
notwendig, das BSI aus dem Geschäftsbereich des
Zum Schutz digitaler Sicherheit erklärt sich offensiv Bundesinnenministeriums herauszulösen. Wie eine
auch immer wieder das Bundesamt für Verfassungs- Behörde mit der Aufgabe, die digitale Sicherheit für
schutz (BfV) zuständig. Digitale Angriffe werden in allen alle Bürger*innen zu erhöhen und zugleich glaubwürdig
Abteilungen, insbesondere in der Spionageabwehr und Distanz zu staatlichen Überwachungsforderungen zu
dem Geheim- und Sabotageschutz beobachtet und wahren genau konzipiert und rechtlich verfasst sein
ausgewertet. Auch das BfV verfügt über eine »Quick soll, ist noch zu klären.
Reaction Force«, die im Falle konkreter Angriffe oder
Angriffsversuche ausrückt und Analysen vornimmt – Vernetzung
wobei die Abgrenzung zum BKA und zum BSI unklar
Behörden mit Zuständigkeiten in der digitalen Sicher-
heit sind darüber hinaus stark vernetzt, auch wenn das
7
Schadprogramm, welches die Daten auf einem Computer sperrt. Für institutionelle Geflecht keine Aussage darüber zulässt,
die Entsperrung wird von den Geschädigten Geld verlangt.
5welcher inhaltlichen Qualität diese Zusammenarbeit ist. Hier fehlt es auch an der Ausbildung eigener Fach-
Zentral ist das beim BSI seit 2011 angesiedelte »Cyber-Ab- kräfte. Zwar hat die Bundeswehr-Hochschule nun
wehrzentrum« (Cyber-AZ), dem vom Bundesrechnungs- 11 Professuren für den Bereich IT/Cyber-Warfare
hof allerdings auch schon bescheinigt wurde, weitge- ausgeschrieben, in der Ausbildung für die öffentliche
hend ineffizient und überflüssig zu sein. Hier sind neben Verwaltung an den Landes-Fachhochschulen und an
Polizei, Geheimdiensten und Militär auch das Bundesamt der Hochschule der Verwaltung des Bundes gibt es
für Bevölkerungsschutz und Katastrophenhilfe vertreten. aber kaum Angebote für die Vermittlung von IT-Fach-
Es gibt sowohl einen CERT-Verbund von großen privaten kenntnissen.
Unternehmen und Verwaltungen als auch einen der Ver-
waltungen allein, innerhalb dessen ein Austausch über Deutlich wird an diesem Beispiel auch, wie unterschied-
aktuelle Bedrohungen stattfindet. Polizei und Geheim- lich Ressourcen aufgeteilt werden. Die 11 Professuren
dienste kooperieren darüber hinaus bei der Beobachtung an der Bundeswehr-Uni in München sollen zwar auch
des Internet (Gemeinsames Internetzentrum und Koor- mithelfen, den Bedarf an IT-Fachkräften in der öffent-
dinierte Internetauswertung), zumindest mittelbar geht lichen Verwaltung insgesamt zu befriedigen. Doch
es auch hier darum, aus dem Netz gesteuerte Attacken selbstverständlich wird hier vor allem die Aneignung of-
auf IT-Systeme rechtzeitig zu erkennen und präventiv fensiver Fähigkeiten im Rahmen des Cyber Warfare im
Maßnahmen ergreifen zu können. Vordergrund stehen. Im Sinne der Härtung von öffentli-
cher IT-Infrastruktur gegen Angriffe von außen müsste
Ressourcenkonflikte einerseits die Ausbildung eigener IT-Fachkräfte, die in
Rechenzentren etc. für Sicherheit sorgen, sichergestellt
In Bezug auf die digitale Sicherheit gibt es also eine werden, andererseits die breite Verankerung von Lern-
ganze Reihe von Behörden mit unterschiedlichen Aufga- inhalten mit Bezug zur Nutzung von Informationstech-
benstellungen und Befugnissen, die vor allem um eine nik in der Ausbildung des öffentlichen Dienstes generell
Ressource konkurrieren: IT-Fachkräfte mit hoher Exper- eine größere Rolle spielen. Eine breitere Verankerung
tise, die über die gefragten Fähigkeiten verfügen. Hier- von IT-Fachwissen in öffentlichen Verwaltungen würde
von gibt es nach Ansicht aller Beteiligten in Deutsch- die Abhängigkeit von IT-Unternehmen insgesamt ab-
land insgesamt zu wenig, was zu hohen Honoraren oder schwächen. Hierzu sind überzeugende und umsetzbare
Gehältern bei Großunternehmen führt, mit denen die Konzepte zu entwickeln.
öffentliche Verwaltung nicht konkurrieren kann.
6Sicherheitsverlust durch staatliche Aktivitäten
Das vorangegangene Kapitel zeigt kursorisch das Kom- der Staat sich exklusive Kenntnisse über Sicherheitslü-
petenzgeflecht der eingebundenen Behörden. Jenseits cken verschafft (sogenannte Zero Day Exploits aufgrund
der Frage, ob diese Struktur geeignet ist – was bezwei- der fehlenden Reaktionszeit auf Bekanntwerden der
felt werden darf –, ergibt sich noch ein schwerwiegen- Lücke) und sie »offenhält«, indem er diese Kenntnisse
deres Problem bei staatlichen Aktivitäten. Staatliche nicht weitergibt. Mit Blick auf die Gewährleistung eines
Einrichtungen – sowohl Geheimdienste als auch andere möglichst hohen Schutzniveaus wäre aber genau das
Sicherheitsbehörden – gehören zu den Akteursgruppen, geboten.
die motiviert und befähigt sind, die Integrität von infor-
mationstechnischen System zu verletzen, um daraus In- Dass es sich hier um mehr als ein hypothetisches
formationen abzuschöpfen. Die damit einhergehende Be- Problem handelt, zeigt eindrucksvoll der Fall WannaC-
einträchtigung von Grundrechten (die sich insbesondere ry. Der weltweite, bislang schwerwiegendste Angriff
bei der massenhaften Überwachung von Kommunikati- seiner Art basierte auf einer Sicherheitslücke, die
onsnetzen durch Geheimdienste als erheblich darstellt) dem US-Nachrichtendienst NSA bereits seit Jahren
ist nicht das einzige Problem: Aus Sicht der Gewährleis- bekannt war.9 Sie hätte also schon längst geschlossen
tung eines möglichst hohen allgemeinen Schutzniveaus sein können – wäre sie nicht für den Zweck staatlicher
gibt es zwei Bereiche, in denen entsprechende staatliche Angriffe »gehortet« worden. Ransomware-Angriffe
Bestrebungen Schaden verursachen können. auf Krankenhäuser, die unmittelbar Auswirkungen auf
die Abläufe in der Krankenversorgung und sogar auf
Hintertüren lebenserhaltende Systeme haben können, zeigen die
immensen Gefahren, die damit verbunden sind. Werden
Der eine Bereich ist die breit angelegte Schwächung zur Terroristenjagd solche Werkzeuge entwickelt, ist
oder gar Verhinderung von Sicherheitsmaßnahmen ihre Effektivität hinsichtlich der Abwehr terroristischer
durch staatliche Vorgaben, etwa durch Einschränkun- Gefahren zweifelhaft – die damit verbundenen Risiken
gen der Verwendung von Verschlüsselungstechnolo- sind aber klar erkennbar und real. Dass Befürchtungen,
gien, einer Pflicht zum Einbau von Hintertüren oder Behörden könnten auch in Deutschland Sicherheits-
Maßnahmen, die gegen die anonyme Nutzbarkeit des lücken bewusst offenlassen, nicht unbegründet sind,
Internets gerichtet sind. Auch wenn derartige Maß- zeigt die Debatte um die Aufgaben der Zentralen Stelle
nahmen allein auf die Erleichterung des staatlichen für Informationstechnik im Sicherheitsbereich (ZITiS).
Zugriffs gerichtet sind, sind sie zwangsläufig mit einem Ihr Chef, der ehemalige Leiter der BND-Abteilung
reduzierten Schutz vor allen Angreifer*innen verbun- Technische Aufklärung Wilfried Karl, äußerte in einem
den. Allerdings werden jedenfalls in Deutschland zwar Interview, es bräuchte einen »Prozess innerhalb der
regelmäßig Forderungen nach derartigen Maßnahmen Behörden, wie wir mit Sicherheitslücken in Software
erhoben (zuletzt durch den ehemaligen Innenminister verantwortungsvoll umgehen.«10
de Maizière mit dem Wunsch nach verpflichtenden Hin-
tertüren in digitalen Geräten)8, bislang aber ohne Erfolg; Einsatz in Deutschland
und während beispielsweise die gesetzliche Beschrän-
kung privater Anwendung von Verschlüsselung in den In Deutschland geht der Einsatz von Staatstrojanern
1990ern noch kontrovers diskutiert wurde, ist davon durch Sicherheitsbehörden und die öffentliche Diskus-
heute praktisch nicht mehr die Rede. Insbesondere in sion darüber bis in die Mitte der 2000er zurück. Dabei
autoritär regierten Staaten ist die Lage jedoch oft eine wurde lange darauf verzichtet, eine eigene gesetz-
andere. Auch in Abwesenheit gesetzlicher Regelungen liche Grundlage zu schaffen; inzwischen existieren
ist zudem von geheimdienstlichen Aktivitäten in diesem diese im Bund (hier seit 2017 mit sehr weitgehenden
Bereich auszugehen (vergleiche Abschnitt »Investitio- Befugnissen)11 und in zahlreichen Bundesländern. In
nen in sichere Infrastrukturen«). der Rechtsprechung ist das Urteil des Bundesverfas-
sungsgerichts vom 27. Februar 2008 zentral, das ein
Staatstrojaner Grundrecht auf Gewährleistung der Vertraulichkeit und
Integrität informationstechnischer Systeme herleitet
Der andere problematische Bereich ist der staatliche und dem Einsatz von Staatstrojanern enge Grenzen
Einsatz von Software, die den direkten Fernzugriff setzt.12 Der Begriff der »Quellen-Telekommunikati-
auf Computersysteme erlaubt (Online-Durchsuchung, onsüberwachung« verweist auf die Verwendung von
Staatstrojaner oder euphemistisch Quellen-Telekommu- Staatstrojanern, um auf dem kompromittierten System
nikationsüberwachung). Wiederum besteht hier neben Telekommunikationsdaten abzugreifen; der Unterschied
dem tiefgehenden Grundrechtseingriff durch die Maß- zur Onlinedurchsuchung besteht also im Einsatzzweck.
nahme selbst eine Beeinträchtigung des allgemeinen
Schutzniveaus durch den Umstand, dass der wirksame 9
https://www.washingtonpost.com/business/technology/nsa-officials-
Einsatz derartiger Software nur dann möglich ist, wenn worried-about-the-day-its-potent-hacking-tool-would-get-loose-then-it-
did/2017/05/16/50670b16-3978-11e7-a058-ddbb23c75d82_story.
html?utm_term=.e534b94b9925
10
https://www.welt.de/politik/deutschland/article178035350/Neue-
8
http://www.rnd-news.de/Exklusive-News/Meldungen/Novem- Cyber-Behoerde-Zitis-Es-geht-nur-um-legale-Ueberwachung.html
ber-2017/De-Maiziere-will-Ausspaehen-von-Privat-Autos-Computern- 11
http://dipbt.bundestag.de/doc/btd/18/127/1812785.pdf
und-Smart-TVs-ermoeglichen 12
http://www.bverfg.de/e/rs20160420_1bvr096609.html
7Eine technische Gewährleistung der Beschränkung auf tung der Verordnung, die in diesem Bereich strengere
laufende Kommunikationsdaten wird für kaum möglich Regeln beinhalten könnte, ist zurzeit im Entwurfssta-
gehalten.13 DIE LINKE hat sich vor allem aufgrund des dium.17 DIE LINKE fordert in ihrem Wahlprogramm zur
erheblichen Grundrechtseingriffs wiederholt klar gegen Bundestagswahl 2017 ein generelles Exportverbot für
jedweden Einsatz von Staatstrojanern ausgesprochen. Überwachungstechnologien.18 Diese Forderung steht
jedoch vor zwei zentralen Herausforderungen. So sind
Für das BKA ist derzeit der (geplante) Einsatz von zwei vom Wassenaar-Abkommen zunächst auch solche
verschiedenen Softwarelösungen bekannt: Die selbst- Programme (Intrusionsoftware) erfasst, die für Penetra-
programmierte Remote Communication Interception tionstests verwendet werden und gerade der Härtung
Software (RCIS), die in einer ersten Version auf die von IT-Systemen dienen sollen – aber eben auch für
Überwachung von Skype für Windows auf Desktopsys- das Eindringen in fremde Systeme gebraucht werden
teme (RCIS 1.0) begrenzt ist und in einer zweiten Versi- können. Mit der Aufnahme dieser Dual-Use-Software in
on auch mobile Geräte wie Smartphones und Tablets die Exportkontrolle soll sichergestellt sein, dass sie nur
infizieren und abhören können soll (RCIS 2.0), und das an solche Staaten exportiert wird, die Gewähr für einen
Produkt FinSpy der Firma FinFisher.14 Beide Produkte bestimmungsgemäßen Einsatz bieten. Ein generelles
werden wegen ihrer begrenzten Anwendungsreichweite Exportverbot ließe auch das nicht mehr zu.
bislang nur in Einzelfällen sowohl im Bereich der Gefah-
renabwehr und der Strafverfolgung eingesetzt. Hackbacks
Handel mit Sicherheitslücken Es werden in jüngster Zeit vermehrt Forderungen laut,
und Überwachungstechnik staatliche Stellen zu ermächtigen, im Fall von Angriffen
auch durch Gegenangriffe reagieren zu können, um so
Um Sicherheitslücken für solche Zwecke zu verwenden, z. B. Server auszuschalten oder abgegriffene Daten zu
muss der Staat zunächst einmal Kenntnis davon erlan- löschen. Entsprechend äußerten sich insbesondere
gen. Ressourcen, um Lücken selbständig zu identifizie- Anfang des Jahres 2017 Verfassungsschutzpräsident
ren, haben deutsche staatliche Stellen nur begrenzt, Maaßen und der ehemalige Innenminister de Maizière.19
selbst wenn sie wie im Fall des BKA eigene Staatstro- Hierfür wurde zuletzt sogar eine Änderung des Grund-
janer programmieren. Welche Rolle die neue Zentrale gesetzes ins Spiel gebracht.20
Stelle für Informationstechnik im Sicherheitsbereich
(ZITiS) hier in Zukunft spielen wird, ist unklar. Unklar ist, wer über eine solche Ermächtigung verfü-
gen könnte. In der Diskussion genannt werden u.a. die
Der Einsatz von Staatstrojanern bringt es demnach mit Strafverfolgungsbehörden von Bund und Ländern, der
sich, dass der Staat Sicherheitslücken – wenn nicht Verfassungsschutz, die Bundeswehr im Rahmen ihres
gleich ganze Softwarelösungen – ankauft. Damit fördert neuen Kommandos Cyber- und Informationsraum oder
er den bestehenden Markt rund um derartige Lücken das BSI. In den Vereinigten Staaten wird sogar die For-
und erhöht indirekt die Anreize für Dritte, gefundene derung diskutiert, derartige Maßnahmen auch zivilen
Sicherheitslücken zu verkaufen, statt sie in verantwor- Opfern eines Angriffs selbst zu erlauben.21
tungsvoller Weise bekannt zu machen. Es existiert eine
ganze Industrie, die Überwachungssoftware an staat- Da die Durchführung solcher Angriffe das unbefugte Ein-
liche Behörden in aller Welt verkauft. Ein berüchtigtes dringen in informationstechnische Systeme voraussetzt,
Beispiel von vielen ist die in München ansässige Firma sind sie mit dem gleichen grundsätzlichen Problem ver-
FinFisher, deren Produkte nicht nur von deutschen bunden, das bereits für den Einsatz von Staatstrojanern
Sicherheitsbehörden gekauft werden, sondern auch angeführt wurde: Der Staat muss sich über geeignete
autoritären Regimen als Werkzeug dienen, um gegen Kanäle Kenntnis von Sicherheitslücken verschaffen,
Oppositionelle vorzugehen.15 ohne sie zu schließen, und beeinträchtigt somit das
allgemeine Sicherheitsniveau globaler digitaler Netze.
Vor diesem Hintergrund wird seit einiger Zeit über
Exportkontrollen von Überwachungssoftware diskutiert. Ein zusätzliches Problem entsteht als Folge des allge-
Seit 2015 wird auf europäischer Ebene Überwachungs- meinen Attributionsproblems: Da Angriffe üblicher-
technologie in Übereinstimmung mit dem »Wassenaar- weise nicht direkt erfolgen, sondern über Systeme
Abkommen für Exportkontrollen von konventionellen von Dritten ohne deren Einverständnis oder Wissen,
Waffen und doppelverwendungsfähigen Gütern und kann Kollateralschaden nicht ausgeschlossen wer-
Technologien« von der Dual-Use-Verordnung erfasst,
was bis jetzt jedoch keine erheblichen Einschränkungen
in der Praxis mit sich gebracht hat.16 Eine Überarbei- 17
https://www.reporter-ohne-grenzen.de/fileadmin/Redaktion/Inter-
netfreiheit/20170209_Stellungnahme_ROG_BMWi_Dual_Use_Richtli-
nie.pdf
13
https://ccc.de/system/uploads/216/original/quellen-tkue-CCC.pdf 18
https://www.die-linke.de/fileadmin/download/wahlen2017/wahl-
14
https://netzpolitik.org/2017/geheimes-dokument-das-bka-will- programm2017/die_linke_wahlprogramm_2017.pdf (S. 124).
schon-dieses-jahr-messenger-apps-wie-whatsapp-hacken/; https:// 19
http://www.spiegel.de/netzwelt/netzpolitik/bundesamt-fuer-verfas-
netzpolitik.org/2018/geheime-dokumente-das-bundeskriminalamt- sungsschutz-plant-cyber-gegenangriffe-a-1129273.html
kann-jetzt-drei-staatstrojaner-einsetzen/ 20
https://www.berliner-zeitung.de/politik/gesetzaenderung-
15
http://www.spiegel.de/netzwelt/netzpolitik/gamma-gruppe-hacker- effektiver-gegen-cyberkriminalitaet-aus-dem-ausland-vorgehen-
kopieren-finfisher-unterlagen-a-985098.html 28943184?dmcid=sm_fb
16
https://thecorrespondent.com/6257/how-european-spy-technology- 21
https://tomgraves.house.gov/uploadedfiles/discussion_draft_ac-
falls-into-the-wrong-hands/2168866237604-51234153 dc_act.pdf
8den. Schlimmstenfalls könnte dieser von Angreifern Ein System, in dem Sicherheitslücken als Währung zur
nicht nur in Kauf genommen werden, sondern sogar Steigerung der Sicherheit von IT-Systemen begriffen
provoziert, indem etwa bewusst kritische Systeme für werden, ist zum Scheitern verurteilt. Es muss daher ein
Angriffe zweckentfremdet werden oder False-Flag-Ope- anderer Ansatz gefunden werden.
rationen durchgeführt werden. Betroffene Dritte könn-
ten sich ebenfalls zu einer Reaktion veranlasst sehen,
womit die Gefahr einer Eskalation verbunden ist.22
22
Für eine ausführlichere Darstellung dieser und weiterer Problem-
felder beim Einsatz von Hackbacks vgl. https://www.swp-berlin.org/
fileadmin/contents/products/arbeitspapiere/AP_Schulze_Hack-
back_08_2017.pdf (S. 9ff.).
9Erfassung und Meldung von Vorfällen
und Sicherheitslücken
Bei der Frage nach verpflichtenden oder freiwilligen Verschiedentlich wird gefordert, eine allgemeine Melde-
Meldungen im Bereich der IT-Sicherheit müssen zwei bzw. Veröffentlichungspflicht für Sicherheitslücken
verschiedene Bereiche unterschieden werden: Die analog zu Vorfällen einzuführen, so etwa 2013 von einem
Meldung von sicherheitsrelevanten Vorfällen, auf die Arbeitskreis der Gesellschaft für Informatik,27 vom
sich bislang gesetzgeberische Aktivität konzentriert hat; Forum Informatiker*innen für Frieden und gesellschaft-
und die Meldung von Sicherheitslücken, für die keine liche Verantwortung (FIfF)28 und 2017 vor dem Hinter-
entsprechenden Regelungen existieren. grund von WannaCry von Telekom-Chef Höttges.29 Eine
solche Pflicht würde, wenn sie auch staatliche Stellen
Meldung von sicherheitsrelevanten Vorfällen trifft, den Einsatz von Staatstrojanern und anderer
Überwachungssoftware auf Basis von Zero Day Exploits
Seit 2015 besteht durch das IT-Sicherheitsgesetz ein ausschließen. In jedem Fall wäre damit Firmen, die mit
rechtlich vorgeschriebenes Verfahren zur Meldung derartiger Software handeln, die Geschäftsgrundlage
erheblicher Störungen von informationstechnischen entzogen. Zu beachten ist allerdings, dass auch eine
Systemen für die Betreiber*innen sogenannter Kritis an öffentlich bekannte bzw. durch Updates bereits adres-
das BSI. Daneben besteht mit der »Allianz für Cyber- sierte Sicherheitslücke in der Praxis noch vorhanden
Sicherheit« bereits seit 2012 eine vom BSI in Koopera- und ausnutzbar sein kann.
tion mit der Wirtschaft eingerichtete Stelle für freiwil-
lige Meldungen.23 2016 wurden durch die sogenannte Ein verantwortlicher Umgang mit derart identifizierten
NIS-Richtlinie (2016/1148) vergleichbare Regelungen auf Sicherheitslücken wird allgemein darin gesehen, zuerst
europäischer Ebene vorgegeben, in deren Folge 2017 diejenigen darüber zu informieren, die in der Position
auch die deutschen Regelungen noch einmal angepasst sind, sie zu schließen, nach einer dafür geeigneten Frist
wurden, insbesondere durch eine Erweiterung auf aber öffentlich zu machen.
Dienste wie Suchmaschinen und Cloud-Computing-
Dienste.
DIE LINKE hat in den parlamentarischen Beratungen
den Ansatz eines IT-Sicherheitsgesetzes grundsätzlich
begrüßt, aber Kritik an den unklaren Begriffsdefinitio-
nen und der schwierigen Rolle des einerseits hier zu-
ständigen, andererseits nicht vom Innenministerium –
und damit den potentiell entgegenlaufenden Interessen
von Sicherheitsbehörden – unabhängigen BSI geübt.24
Was genau dem Bereich der Kritischen Infrastruktur zu-
zuordnen ist, wurde 2016 mit der BSI-Kritis-Verordnung25
zunächst für die die Bereiche Energie, Wasser, Ernäh-
rung und IKT festgelegt, 2017 erweitert um Festlegun-
gen für Gesundheit, Finanz- und Versicherungswesen
sowie Transport und Verkehr.
Meldung von Sicherheitslücken
Keine allgemeine gesetzliche Regelung besteht für die
Meldung von Sicherheitslücken als solche. Auch das
BSI ist lediglich nach §§ 4 und 8b des BSI-Gesetzes
grundsätzlich verpflichtet, Bundesbehörden und
Betreiber*innen Kritischer Infrastrukturen über sie
betreffende Informationen zu Sicherheitslücken zu
unterrichten; nach § 7 darf es Warnungen über Sicher-
heitslücken auch in anderen Fällen Betroffenen oder
der Öffentlichkeit bekanntmachen.26
23
https://www.allianz-fuer-cybersicherheit.de/ACS/DE/Ueber_uns/
ueber_uns.html
24
https://dipbt.bundestag.de/doc/btp/18/18110.pdf (S. 10572); 27
http://pak-datenschutz.gi.de/nc/stellungnahmen/detailansicht/
http://dipbt.bundestag.de/doc/btp/18/18221.pdf (S. 22295f.). article/eu-meldepflicht-fuer-cyberattacken-greift-zu-kurz-sicherheitslue-
25
https://www.gesetze-im-internet.de/bsi-kritisv/BJNR095800016. cken-veroeffentlichen.html
html 28
https://cyberpeace.fiff.de/Kampagne/Forderung10
26
http://www.gesetze-im-internet.de/bsig_2009/BJNR282110009. 29
http://www.faz.net/aktuell/wirtschaft/unternehmen/telekom-chef-
html hoettges-wir-kommen-dann-zwischen-zehn-und-zwoelf-15035218.html
10Produkthaftung, Produktsicherheit,
Produktlebensdauer
Neben der Einhegung des staatlichen Geschäfts mit Diese Norm folgt der EU-Produkthaftungsrichtlinie
Sicherheitslücken ist es für die Schaffung einer ef- unmittelbar. Letztere sieht zwar die Möglichkeit zu einer
fektiven Sicherheit von IT-Systemen aller Art ebenso Ausnahmeregelung vor (Art. 15 Abs. 1 lit. b 85/374/EWG):
notwendig, die IT-Produkte selbst respektive deren Demnach können die Mitgliedstaaten Rechtsvorschriften
Hersteller*innen in die Verantwortung zu nehmen. Da erlassen, nach denen ein Hersteller auch dann haftet,
sichere Produkte in den meisten Fällen aktuell kein wenn der Fehler nach dem Stand der Wissenschaft und
Wert an sich sind, sondern zuallererst Zusatzkosten für Technik beim Inverkehrbringen nicht erkannt werden
die Produzent*innen erzeugen, muss an dieser Stelle konnte. Doch wirkte eine solche Ausnahmereglung nur
ein Ansatzpunkt gefunden werden. bedingt, da der Schadensbegriff aus der verschuldensun-
abhängigen Haftung auf Personenschäden und Schäden
Die Ausweitung der Produkthaftung auf IT- auf privat genutzte Sachen (Beschädigung oder Zerstö-
Hersteller*innen kann mittel- und langfristig zur rung einer anderen Sache als des fehlerhaften Produkts,
Härtung von IT-Systemen beitragen, indem die die zum privaten Ge- oder Verbrauch bestimmt ist)
Hersteller*innen zu mehr Sorgfalt in der Entwicklung beschränkt ist (Art. 9 85/374/EWG, §1 Abs. 1 ProdHaftG).
von Hard- und Software bewegt werden. Die Etablie- Ohne Änderungen im Schadensbegriff des europäischen
rung von verbindlichen Vorgaben zur Produktsicher- Sekundärrechts könnten Produktfehler, wie sie in IT-
heit setzt überdies einen Schritt früher an, indem von Sicherheitslücken hervortreten, allenfalls für Branchen
vornherein Mindeststandards für mit dem Internet mit latent hohem Schadensrisiko für Personen wie etwa
verbundene IT-Systeme vorgegeben werden. Regelun- Krankenhäuser oder Flugsicherung dem verschuldensun-
gen zur Produktlebensdauer dienen ferner der Aufrecht- abhängigen Haftungsrecht unterworfen werden.
erhaltung einer sicherheitskonformen Funktionalität
von insbesondere in der Betriebsverantwortung von IT-Produktsicherheit
privaten Endanwender*innen sich befindenden IT-Sys-
temen, indem verbindliche Vorgaben zur erwartbaren Das Produktsicherheitsgesetz, es folgt ebenfalls euro-
Lebensdauer gemacht und für diesen Zeitraum beispiel- päischen Vorgaben aus einer Vielzahl von EU-Richtli-
weise Software- und Sicherheitsupdates bereitzustellen nien, ist ähnlich wie das ProdHaftG auf die Sicherheit
sind. Alle drei Vorgaben bedeuteten eine beträchtliche und Gesundheit von Personen oder allgemein Körper-
Intensivierung der Maßnahmen zur Verbesserung der schäden beschränkt (§ 3 ProdSG). Vermögens- und
Cybersicherheit auf Seiten der Verantwortlichkeit der Eigentumsschäden, aber auch Schäden an Daten und
IT-Hersteller*innen. Ein Blick auf die bestehenden Datenbeständen werden nicht erfasst. In den Sicher-
Gesetzesregelungen zeigt jedoch, dass diese nicht auf heitsanforderungen zu technischen Arbeitsmitteln und
die spezifischen Sicherheitsbedingungen von mit dem Verbraucherprodukten, konkretisiert noch in mehreren
Internet verbundenen IT-Systemen ausgerichtet sind. Ausführungsbestimmungen wie etwa der Verordnung
über elektrische Betriebsmittel (1. ProdSV), finden sich
IT-Produkthaftung zudem keinerlei Produktsicherheitsnormen, die auf mit
dem Internet verbundene IT-Systeme und entsprechen-
Nach der EU-Produkthaftungsrichtlinie (85/374/EWG), de IT-Sicherheitsvorfälle beziehbar wären oder anwend-
umgesetzt in nationales Recht durch das Gesetz bar sind.
über die Haftung für fehlerhafte Produkte (ProdHaftG),
werden unter dem Produktbegriff bewegliche Sachen IT-Produktlebensdauer
einschließlich Elektrizität erfasst. Grundsätzlich unter-
liegen somit Hard- und Software dem verschuldensun- Bislang bestehen Vorgaben zu einer garantierten Pro-
abhängigen Haftungsrecht und müssen somit für den duktlebensdauer lediglich im Rahmen der europäischen
Zweck, für den sie entwickelt wurden, die erforderliche Ökodesign-Richtlinie (2009/125/EG), und das für zwei
Sicherheit aufweisen.30 Allerdings ist die Haftung für Produktgruppen: Leuchtmittel und Staubsauger. Für
Entwicklungsrisiken, wie sie sich insbesondere in Form die letztgenannte Produktgruppe beispielsweise wurde
von IT-Sicherheitslücken darstellen, ausgeschlossen. eine Motorlebensdauer von mindestens 500 Stunden
Gehaftet wird nicht, wenn der Fehler nach dem Stand festgelegt.31 Ziel der Ökodesign-Richtlinie ist es, die
der Wissenschaft und Technik beim Inverkehrbringen Umweltverträglichkeit energieverbrauchsrelevanter
nicht erkannt werden konnte (§ 1 Abs. 2 Nr. 5 Prod- Produkte unter Einbeziehung ihres gesamten Lebens-
HaftG). weges mittels Vorgabe von Ökodesign-Anforderungen
zu verbessern und EU-weit zu vereinheitlichen, um zu
verhindern, dass solche nationalstaatlich unterlaufen
30
Im Falle von Software, insbesondere von online übertragener Soft-
ware, ist die Produkteigenschaft allerdings teilweise streitig. Vgl. Verant- 31
Verordnung (EU) Nr. 666/2013 der Kommission vom 8. Juli 2013 zur
wortlichkeiten von IT-Herstellern, Nutzern und Intermediären Studie im Durchführung der Richtlinie 2009/125/EG des Europäischen Parla-
Auftrag des BSI durchgeführt von Prof. Dr. Gerald Spindler, Universität ments und des Rates im Hinblick auf die Festlegung von Anforderungen
Göttingen. BSI, 2007. S. 85-87. https://www.bsi.bund.de/SharedDocs/ an die umweltgerechte Gestaltung von Staubsaugern. http://www.eu-
Downloads/DE/BSI/Publikationen/Studien/ITSicherheitUndRecht/ roparl.europa.eu/sides/getDoc.do?pubRef=-//EP//TEXT+REPORT+A8-
Gutachten_pdf.pdf?__blob=publicationFile&v=2 2017-0214+0+DOC+XML+V0//DE
11und zu Handelshemmnissen werden können. Indika- der Europäische Binnenmarkt nicht zuletzt den größten
toren für die Produktlebensdauer sind laut Anhang 1 gemeinsamen Markt weltweit darstellt, können sich
der Richtlinie die garantierte Mindestlebensdauer, der gemeinschaftlich erlassene Schutzmaßnahmen und
Mindestzeitraum der Lieferbarkeit von Ersatzteilen, Sicherheitsstandards über eine Verbreitung der hier
die Modularität, die Nachrüstbarkeit sowie die Repa- zulässigen Produkte außerhalb des EU-Binnenmarktes
rierbarkeit. Als energieverbrauchsrelevante Produkte mittelbar auch jenseits der Gemeinschaftsgrenzen
werden unter dem Regelungsniveau der EU-Ökodesign- etablieren.
Richtlinie grundsätzlich auch IT-Systeme und –Kompo-
nenten erfasst, obgleich diese in der Bewertungspraxis Zertifizierung, Security by Design
vorrangig noch als Stand-Alone-Systeme betrachtet und by Default
werden und bislang keinerlei Regelungen für eine zu
garantierende Mindestlebensdauer für solche erlassen Außerhalb des Bereichs Kritischer Infrastrukturen, bei
wurden. Mit dem Internet verbundene IT-Systeme wie denen Sicherheitsstandards auf Basis der Kritis-Verord-
Smartphones oder IoT-Produkte wurden ferner bislang nung durch verantwortliche Unternehmen eingehalten
noch überhaupt nicht erfasst. werden müssen, fehlen ansonsten verbindliche Sicher-
heitsstandards für IT-Produkte, insbesondere solche
Vorschlag zu einer Cyber-Design-Verordnung mit Verbindung ins Internet. Sowohl das IT-Sicherheits-
gesetz als auch die derzeit im Gesetzgebungsverfahren
Eine Cyber-Design-Verordnung für informationstechni- befindliche Verordnung der EU über die Einrichtung
sche Systeme (Hard oder Software oder beides) bietet einer EU-Sicherheitsagentur (ENISA) und eines Sicher-
zahlreiche Vorteile. Vorgaben zur Produkthaftung, heitszertifizierungssystems sehen lediglich eine markt-
Produktsicherheit und Produktlebensdauer für mit konforme Form der Regulierung vor: Demnach sollen
dem Internet verbundene IT-Systeme können separat, dem ursprünglichen Kommissionsvorschlag zufolge
unabhängig von der Änderung einer Vielzahl von EU- von öffentlicher Seite nur Vorgaben für Sicherheitszer-
Richtlinien und der durch sie spezifizierten Produktei- tifizierungen gemacht werden, deren Einhaltung dann
genschaften etabliert werden. In Form eines gesonder- von privaten Unternehmen überprüft und entsprechend
ten Rechtsakts setzt jene auf bestehende Regelungen zertifiziert wird. Das Zertifikat ist dabei keineswegs ver-
obenauf und bleiben letztere unberührt. Als Verordnung bindlich vorgeschrieben, um ein Produkt überhaupt auf
gilt sie zudem unmittelbar und etabliert einheitliche den Markt zu bringen. Es soll lediglich den Kund*innen
Schutzmaßnahmen in allen Mitgliedstaaten, ohne dass bei ihrer Kaufentscheidung helfen.
es eines nationalen Umsetzungsaktes bedarf. Indem
– ähnlich wie nach der Ökodesign-Richtlinie – pro- Dies ist aus unserer Sicht nicht ausreichend und wurde
duktspezifische Durchführungsmaßnahmen erlassen vom Bundesrat auch bereits kritisiert (Bundesrats-
werden, kann überdies in Fragen der Produkthaftung drucksache BR 680/17). Vielmehr ist zu diskutieren, wie
für Hard- und Softwarehersteller nach der Sicherheits- weit eine solche Sicherheitszertifizierung obligatorisch
sensitivität internetfähiger IT-Systeme differenziert wer- für die Marktzulassung werden sollte und aus pragma-
den und entsprechend den durchaus unterschiedlichen tischer Sicht werden kann. Hier ist auf die Zertifizie-
Belangen von Großunternehmen, kleinen und mittleren rungspflicht der EU-Datenschutzgrundverordnung für
Unternehmen (KMU) sowie Kleinstunternehmen entge- Produkte, die den Anforderungen von Privacy by Design
gengekommen werden. Insbesondere letztgenannten und Privacy by Default entsprechen müssen, als Vorbild
ist es heute in den meisten Fällen wirtschaftlich nicht zu verweisen (Art. 42 i.V.m. Art. 25 Verordnung (EU)
möglich und auch künftig weiterhin nicht erforder- 2016/679, Amtsblatt der EU L 119/1 vom 4.5.2016). Eine
lich, sich pauschal gegen Schadensfälle abzusichern, solche Regelung hinsichtlich Security by Design und
während der Abschluss von Cyber-Versicherungen Security by Default für IT-Produkte wäre im Rahmen
zur Risikominimierung und zum Risikoausgleich den einer abgestimmten Politik der EU sogar geboten, weil
beiden erstgenannten unbenommen bleibt. Schließlich Fragen des Datenschutzes in Zeiten der Digitalisierung
wird erstmals eine garantierte Mindestlebensdauer für unmittelbar mit Fragen der Datensicherheit verknüpft
solche IT-Systeme möglich, die sich – wie Smartpho- sind. Security by Design würde dabei das Sicherheitsni-
nes oder IoT-Produkte – in der Betriebsverantwortung veau auf dem Stand der Technik erfassen (Minimierung
von privaten Endanwender*innen befinden und über von Zugriffsmöglichkeiten), Security by Default beträfe
die in der Praxis Cyberangriffe geführt werden, ohne beispielsweise den Umgang mit Zugangspasswörtern.
dass deren Besitzer*innen es bemerken. Dazu ist die Es müsste dann für jedes Produkt ein voreingestelltes,
Produktlebensdauer, einschließlich des Vorhaltens von individuelles Passwort geben, statt solcher voreinge-
Software- und Sicherheits-Updates, entsprechender stellter Passwörter wie »admin« oder »1234«. Der damit
Geräte erheblich gegenüber dem Ist-Stand – die Funk- für die Hersteller verbundene Mehraufwand ist durch
tionsfähigkeit von Smartphones beispielsweise ist nach die Gefahren, die hinsichtlich der Möglichkeit des
Angaben des Umweltausschusses des Europäischen Aufbaus von Botnetzen im IoT bestehen, gerechtfertigt.
Parlaments heute bereits nach ein bis zwei Jahren nicht Zudem sollten Hersteller*innen verpflichtet werden,
mehr ausreichend gewährleistet –32 zu verlängern. Da Nutzer*innen eindeutig und verständlich darauf hinzu-
32
Stellungnahme des Ausschusses für Umweltfragen, öffentliche
Gesundheit und Lebensmittelsicherheit (11.4.2017) für den Ausschuss (2016/2272(INI)). http://www.europarl.europa.eu/sides/getDoc.
für Binnenmarkt und Verbraucherschutz zu dem Thema »Längere do?pubRef=-//EP//TEXT+REPORT+A8-2017-0214+0+DOC+XML+V0//
Lebensdauer für Produkte: Vorteile für Verbraucher und Unternehmen« DE
12weisen, welche Geräte und Anwendungen einen Zugang schränkt kontrollierbar sein sollen, (gegenwärtig) nicht
zum Internet haben und welche Gefahren damit mögli- entsprochen werden.35
cherweise einhergehen.
Es bedarf daher in Deutschland und Europa einer
Die EU-Datenschutzgrundverordnung könnte zugleich Rückgewinnung an technologischer Souveränität in
hinsichtlich des Sanktionsregimes bei vorsätzlicher Form von erheblichen Investitionen in Forschung und
Verletzung der Prinzipien Security by Design/Security Entwicklung sicherer Infrastrukturen. Als Gegenmodell
by Default und der oben genannten Meldepflichten für zur amerikanischen, partiell aber auch chinesischen Do-
festgestellte Sicherheitslücken als Vorbild dienen. Für minanz ist eine europäische Open-Source-Infrastruktur
Datenschutzverstöße sind dort bis zu vier Prozent des mit offenen und transparent entwickelten Standards
Welt-Jahresumsatzes als Sanktion vorgesehen. zu etablieren. Die bereits für die IT-Forschung bspw.
im Rahmen von »Horizont 2020« bereitgestellten Mittel
Investitionen in sichere Infrastrukturen müssen von der Förderung kommerzieller Produktent-
wicklungen zur Förderung von Open-Source-Software
Jenseits einer fehlenden Haftung für Entwicklungsri- umgelenkt werden. Es soll nicht darum gehen, wie
siken bestehen weitere Gründe, dass Hardware und in der herrschenden Digitalwirtschaftspolitik kon-
Software nicht immer von Anfang an als sicher gelten kurrenzfähige Unternehmen zu den USA und China
können. Hervorzuheben sind im hiesigen Kontext insbe- aufzubauen, sondern IT-Produkte mit hohen Sicher-
sondere zwei. heitsstandards für alle zugänglich zu machen. Zwar
sind Open-Source-Software und Open-Source-Hard-
Erstens: Mandatierte Sicherheitslücken in zentra- warekomponenten nicht grundsätzlich fehlerfrei, doch
len Netzkomponenten, mit denen staatliche Zugrif- lassen sie jederzeit eine Überprüfung zu. Auch können
fe durch Geheimdienste bspw. auf Netzwerkrouter Open-Source-Anwendungen durch öffentlich ausgelobte
ermöglicht werden, ohne dass die entsprechenden Auditierungen oder bedingungslos ausgelobte Geld-
Hersteller*innen diese öffentlich machen dürfen. preise für das Auffinden kritischer Sicherheitslücken
Weltweit wird der Markt für Switch- und Router-Tech- (Bug-Bounty-Programme)36 in ihrer Qualität erhöht und
nologien von Firmen aus den USA und China domi- in ihrer potentiellen Kritikalität umgekehrt beständig
niert, sodass auch in Europa die Betreiber*innen von verbessert werden. Durch offene Verfahren und das
Netzinfrastrukturen mehr oder minder zwangsläufig Prinzip vieler Augen können die Weichen in Richtung
diese Komponenten nutzen. Zudem bestätigte sich im sicherer Open-Source-Infrastrukturen im Hinblick auf
Rahmen der Snowden-Enthüllungen ausdrücklich, dass Software, Hardware und Dienste gestellt werden. Dar-
die NSA Sicherheitslücken in diesbezüglichen Systemen über hinaus lässt sich mit einer solchen Förderung von
von US-Hersteller*innen mandatierte und damit einher- Open-Source-Technologien auch die Entwicklung von
gehende Manipulationsmöglichkeiten nutzte. Umge- Privacy by Design-Standards verbinden, eine stärkere
kehrt geht die US-Regierung zugleich davon aus, dass Verknüpfung mit der sozial- und geisteswissenschaftli-
ähnliche Hintertüren auch in chinesischen Produkten chen Begleitung der Entwicklung und Einführung neuer
bestehen, sodass diese in den USA nicht in Hochsicher- Innovationen herstellen und die Einhaltung von ethi-
heitsbereichen eingesetzt werden dürfen.33 schen Standards (Responsible Research) durchsetzen.
Zweitens: Betriebssysteme und andere Softwareappli-
kationen, die in ständiger Verbindung mit dem Internet
stehen, um personenbezogene Daten auf den Client-
systemen zu erheben und auszuleiten. Hier ist unter
anderem auf die Marktmacht von Microsoft und die
Abhängigkeit von Behörden in Deutschland von dessen
Produkten zu verweisen. Im Falle des Betriebssystems
Windows 10 etwa kann, wie die Bundesbeauftragte für
den Datenschutz (BfDI) konstatiert, selbst bei optima-
ler Konfiguration aller Datenschutzeinstellungen die
Übertragung und Verarbeitung von personenbezogenen
Daten auf Serversysteme in den USA nicht verhin-
dert werden, können zudem die ausgelesenen Daten
nicht geprüft werden, da sie verschlüsselt ausgeleitet
werden.34 Neben dem generellen Dilemma der Vulnera-
bilität von Microsoft-Produkten gegenüber Angriffen auf
IT-Infrastrukturen kann dem Grundsatz, dass in Behör-
den eingesetzte Windows-Rechner von diesen uneinge-
35
https://www.heise.de/newsticker/meldung/Behoerden-ignorieren-
33
https://www.swp-berlin.org/fileadmin/contents/products/arbeits- Sicherheitsbedenken-gegenueber-Windows-10-3971133.html
papiere/AP_Schulze_Hackback_08_2017.pdf (S. 15). 36
Gerade hinsichtlich der Missbrauchsmöglichkeiten solcher Program-
34
BfDI: 26. Tätigkeitsbericht zum Datenschutz 2015–2016. Erschei- me, zunächst selbst für Sicherheitslücke zu sorgen, die dann später
nungsdatum: 30.05.2017. S. 125f. https://www.bfdi.bund.de/ gemeldet werden können, kommt der Transparenz hinsichtlich der
SharedDocs/Publikationen/Taetigkeitsberichte/TB_BfDI/26TB_15_16. Mitwirkung an der Entwicklung von Open-Source-Produkten eine hohe
pdf?__blob=publicationFile&v=3 Bedeutung zu.
13Sie können auch lesen
