Süddeutsche Zeitung – Bundeswehr – Mission: unklar

Die Süddeutsche Zeitung berichtete über die Veröffentlichung einer Studie der Stiftung Wissenschaft und Politik zur generellen Sinnhaftigkeit des Einsatzes von Cyberwaffen. Zu dieser Veröffentlichung haben wir mit dem Autor ein Hintergrundgespräch geführt.

Zivilgesellschaftliche Organisationen wie die AG Kritis, die sich um die Sicherheit der kritischen Infrastruktur in Deutschland bemüht, warnen vor einem Cyber-Wettrüsten zum Schaden der Bürger. Beispiele dafür gibt es – etwa Schadsoftware, die für den Einsatz in einem begrenzten Konflikt geschrieben wurde und sich dann selbständig machte. Die Verschlüsselungssoftware NotPetya, mit der mutmaßlich die russische Regierung die Ukraine treffen wollte, traf die ganze Welt. Sie legte Hunderttausende Computer lahm und richtete Milliardenschäden in Unternehmen an.

Den vollständigen Artikel findet ihr hier:

Blog der Republik – Steigt die Bedrohung der Wasserwirtschaft angesichts massiver Sicherheitslücken?

Anlässlich eines Artikels vom Tagesspiegel zu wesentlichen IT Sicherheitsmängeln bei den Berliner Wasserbetrieben als KRITIS-Betreiber hat das Blog der Republik einen Beitrag über den Sachstand in der Wasserwirtschaft gebracht. Darin sind auch unsere Evaluierungsforderungen und Teile eines Interviews mit Manuel Atug von der AG KRITIS im Deutschlandradio mit eingeflossen.

Auch die AG KRITIS, eine aus 40 IT-/Sicherheits-ExpertInnen bestehende verbandsfreie Arbeitsgruppe, erhebt starke Kritik an der Rahmensetzung durch die Bundesregierung. Die Experten schreiben „Die KritisV, und damit auch die Schwellenwerte, soll laut § 9 KritisV alle zwei Jahre evaluiert werden. Die Frist für die Evaluierung ist allerdings bereits zweimal verstrichen, ohne dass das BMI eine entsprechende Evaluierung vorgelegt hat. Dabei hatte sich das BMI diese Evaluierungen und Fristen selbst verbindlich in der Verordnung vorgegeben. Auch das IT-Sicherheitsgesetz von 2015 hätte bereits mindestens einmal (alle vier Jahre) evaluiert werden müssen.“

Lebensraum Wasser – Steigt die Bedrohung der Wasserwirtschaft angesichts massiver Sicherheitslücken?

Aufgrund eines Artikels vom Tagesspiegel wegen wesentlicher IT Sicherheitsmängel bei den Berliner Wasserbetrieben als KRITIS-Betreiber hat das Blog Lebensraum Wasser einen Beitrag über die Wasserwirtschaft veröffentlicht. Darin wurden unsere Evaluierungsforderungen und Teile des Interviews mit Manuel Atug von der AG KRITIS im Deutschlandradio berücksichtigt.

Die AG KRITIS blickt daher mit großer Sorge darauf, dass die Versorgungssicherheit der Bevölkerung für das BMI nachrangig ist.

Dringender Handlungsbedarf

„Die Gefahr ist so groß, dass schnell gehandelt werden muss“, heißt es im Beitrag des DEUTSCHLANDFUNK, „denn die bisherigen Bestimmungen in der sogenannten Kritis-Verordnung könnten auch schon geändert werden, ohne dass auf die Verabschiedung des IT-Sicherheitsgesetzes 2.0 durch den Deutschen Bundestag gewartet werden muss“, erklärt Manuel Atug, Mitbegründer von AG KRITIS.

Bundesinnenministerium ignoriert Fristen in den eigenen Gesetzen!

Unsere Mitglieder einfachnurmark und TheC haben diese Einschätzung aus Sicht der AG KRITIS vorgenommen.

Die Bevölkerung erhält über Versorgungsunternehmen kritischen Dienstleistungen wie z. B. Energie, Wasser oder Gesundheitsversorgung.

Überschreiten diese Versorgungsunternehmen den in der „Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz“ (KritisV) vorgegebenen Regelschwellenwert von aktuell 500.000 versorgten Personen, sind sie Betreiber einer kritischen Infrastruktur (KRITIS) im Sinne des BSI-Gesetzes (BSIG). Dadurch werden sie zur Umsetzung und Einhaltung von im BSIG geforderten Maßnahmen zum Schutz Ihrer Produktionsumgebungen verpflichtet.

Der Berliner Tagesspiegel berichtete erneut über unzureichend geschützte Wasserbetriebe:

Dabei wirft der Tagesspiegel auch die Frage auf, ob die Schwellenwerte noch zeitgemäß sind oder einer Evaluierung bedürfen. Auf diese Fragestellung gehen wir hier näher ein.

Nehmen wir beispielsweise die Größe von Städten in Deutschland als Maßstab, überschreiten in Deutschland nur 14 von 81 Großstädten den Schwellenwert von 500.000 Einwohnern. Dies sind bei insgesamt mehr als 2.000 Städten lediglich ca. 20% aller Einwohner. Der Überwiegende Anteil aller Bürger wird also von Unternehmen versorgt, die nicht verpflichtet sind, ihre Systeme und IT-Infrastruktur entsprechend der Anforderungen für KRITIS-Betreiber abzusichern.

Evaluierung längst überfällig

Die KritisV, und damit auch die Schwellenwerte, soll laut § 9 KritisV alle zwei Jahre evaluiert werden. Die Frist für die Evaluierung ist allerdings bereits zweimal verstrichen, ohne dass das BMI eine entsprechende Evaluierung vorgelegt hat. Dabei hatte sich das BMI diese Evaluierungen und Fristen selbst verbindlich in der Verordnung vorgegeben.

Auch das IT-Sicherheitsgesetz von 2015 hätte bereits mindestens einmal (alle vier Jahre) evaluiert werden müssen.

Die AG KRITIS blickt daher mit großer Sorge darauf, dass die Versorgungssicherheit der Bevölkerung für das BMI nachrangig ist.

Statt also die gesetzlich vorgeschriebene Evaluierungen vorzunehmen und damit einhergehend auch eine Berücksichtigung von Kaskadeneffekten zu analysieren, drückt das BMI lieber eine zweite Version des IT-Sicherheitsgesetzes durch, ohne die erste Version evaluiert zu haben.

Auch Mario Brandenburg MdB, der technologiepolitische Sprecher der Fraktion der Freien Demokraten im Deutschen Bundestag veröffentlichte ein entsprechendes Statement dazu.

Die AG KRITIS fordert daher das BMI auf, die gesetzlich vorgegebene Evaluierung der KritisV umgehend – und damit vor allem noch vor Verabschiedung des IT-Sicherheitsgesetz 2.0 – vorzunehmen, um den Gesetzesbruch abzustellen. Damit einhergehend ist die offensichtlich benötigte Senkung der Schwellwerte in Bezug auf effektiven Bevölkerungsschutz zu realisieren. Nur so kann die Versorgungssicherheit der Bürger in Deutschland gewährleistet werden. Selbstverständlich fordern wir auch, dass das BMI die Evaluierung unter Einbeziehung der in diesem Bereich aktiven Interessensvertretungen aus Wirtschaft und Zivilgesellschaft durchführt und das Ergebnis im Sinne einer lebendigen Demokratie veröffentlicht.

IT-Sicherheitsgesetz 2.0: Neue Meldepflichten für Unternehmen

BASECAMP hat sich zum aktuellen Entwurf für das IT-Sicherheitsgesetz 2.0 geäußert und dabei auch mehrere unserer wesentlichen Kritikpunkte mit aufgegriffen.

Ein zweiter Kritikpunkt der AG KRITIS richtet sich gegen “die offensichtliche Umgehung des frisch geschaffenen Nationalen Cyberabwehrzentrum (NCAZ) bei erfolgreichen Angriffen auf IT-Systeme”. Den Änderungsplänen zu § 109a TKG zufolge sollen Datenverluste an das Bundeskriminalamt (BKA) gemeldet werden. Diese Meldung sollte stattdessen an das NCAZ erfolgen, fordert die AG KRITIS.

Dern vollständigen Artikel bei BASECAMP findet ihr hier:

Unseren Blogpost zu diesem Thema findet ihr hier:

Kommentierung der Stiftung Neue Verantwortung des IT-SiG2

Die Stiftung Neue Verantwortung hat, ebenso wie wir, eine Kommentierung des vorgeschlagenen IT-Sicherheitsgesetz 2.0 erstellt. In dieser Kommentierung wird das von uns entworfene Konzept eines Cyberhilfswerks empfohlen. Dafür möchten wir uns bedanken!

Empfehlung: Ein Ausbau der MIRTs ist zu unterstützen, da für diese eine breite Fachexpertise – zum Beispiel für die unterschiedlichen Systeme Kritischer Infrastrukturen – bereitgehalten werden muss. Der genannte Ausbau der Teams wäre eine effiziente Investition der im Entwurf insgesamt vorgesehenen Personalressourcen. […] Zudem sollte eine Einbettung des Konzepts des Cyber-Hilfswerks in diesen Plan geprüft werden.

Der lesenswerte Volltext der Kommentierung zum IT-SiG2 ist auf der Website der Stiftung Neue Verantwortung zu finden.

 

DLF-Radio: Kritik am Entwurf zum IT-Sicherheitsgesetz 2.0

Bei Deutschlandfunk – Computer und Kommunikation hat unserer Mitglied @HonkHase über den aktuellen Entwurf zum IT-Sicherheitsgesetz 2.0.

Solche Sorgen könnten durch ein vom Ministerium unabhängiges Bundesamt für die Sicherheit in der Informationstechnik ausgeräumt werden. Diese Unabhängigkeit für das BSI ist auch von vielen Sicherheitsexperten und IT-Fachleuten gefordert worden. Im Gesetzesentwurf wurden solche Forderungen und Anregungen aber nicht berücksichtigt. Manuel Atug:

„Leider wurde aber die essentiell fachliche Unabhängigkeit des BSI nicht in Paragraph 1 BSI Gesetz vorgesehen. Beispielsweise könnte man sich da in der Ausgestaltung der fachlichen Unabhängigkeit hervorragend am Statistischen Bundesamt orientieren.“

Der vollständige Beitrag im DLF mit @HonkHase findet sich hier:

Unser Blogpost zu diesem Thema findet sich hier:

Süddeutsche Zeitung – Union streitet über möglichen Freibrief für Huawei

Die Süddeutsche Zeitung berichtete über die „Lex Huawei“ mit einer Einschätzung von unserem Mitglied @ijonberlin in Bezug auf den Zertifizierungsprozess und die Vorgaben für die Garantieerklärung.

IT-Sicherheitsexperten, die sich seit Jahren mit Zertifizierungsprozessen befassen, halten die Vorgaben für die Garantieerklärung für deutlich zu weit gefasst: „Die notwendigen Zusagen und Erklärungen kann kein Anbieter seriös abgeben, da alle Anbieter, egal welcher Herkunft, Schnittstellen für Ermittlungsbehörden anbieten, die von Geheimdiensten auch für Spionage-Zwecke missbraucht werden könnten“, sagt Johannes Rundfeldt, Co-Leiter der @AG_KRITIS, einer ehrenamtlichen Initiative von Experten für Kritische Infrastruktur.

Der vollständige Artikel der Süddeutschen Zeitung findet sich hier:

 

Golem: Sandsäcke stapeln im Internet

Das Onlinemagazin Golem hat sich mit unserem Mitglied @ijonberlin über die Fortschritte und den aktuellen Stand des CHW-Konzept erkundigt und einen Artikel dazu veröffentlicht.

Wie ein Technisches Hilfswerk für IT-Vorfälle stellen sich Aktivisten ein Cyberhilfswerk vor. Es soll eingreifen, wenn es zum Ernstfall kommt. Die Initiatoren sehen sich als Mittler zwischen Nerds und Behörden.

Artikel von Anna Biselli

Der vollständige Artikel bei Golem findet sich hier:

Heise: Arbeitsgruppe KRITIS will Cyber-Hilfswerk für IT-Katastrophenfälle gründen

Heise hat einen Überblick über die AG KRITIS und das Cyber-Hilfswerk veröffentlicht.

„Die AG KRITIS will ehrenamtliche Helfer zu IT-Notfalleinsätzen in Kritische Infrastrukturen schicken. Bundesbehörden zeigten sich vom Konzept interessiert.“

Der vollständige Artikel bei Heise findet sich hier: