Unabhängigkeit des BSI Angemessene Personalausstattung relevanter Behörden Open-Source Einsatz im KRITIS Umfeld Strikt defensive Cybersicherheitsstrategie für Staat und Wirtschaft Staatliche Verantwortung und Aufsicht sicherstellen Gründung eines Cyber-Hilfswerks (CHW) Patchmanagement im KRITIS-Umfeld Verpflichtung zur Responsible Disclosure Effektive Überprüfung und wirksame Sanktionierung des § 8a BSIG Bessere Kooperation nationaler und europäischer Cybersicherheitsinstitutionen
Unabhängigkeit des BSI
- Wir fordern die Unabhängigkeit des Bundesamts für Sicherheit in der Informationstechnik (BSI) vom Bundesministerium für Inneres, Bau und Heimat (BMI).
- Sicherheitsmängel in Kritischen Infrastrukturen (KRITIS) müssen an das BSI gemeldet werden. Aus der Fachaufsicht des BMI über das BSI erwächst das Risiko, dass das BMI das BSI anweisen kann, eine gemeldete Sicherheitslücke nicht zu schließen, sondern an Behörden wie z. B. BfV, BKA, BND und ZITIS weiterzugeben, damit die Lücke von diesen ausgenutzt werden kann. Derzeit kann diese Maßnahme z. B. bei Terrorgefahr oder Verdacht auf Spionagetätigkeit einer fremden Macht durch das BMI angeordnet werden. Wir brauchen hier eine klare Weisungsunabhängigkeit, so dass Sicherheitsmängel an unseren Kritischen Infrastrukturen konsequent geschlossen und nicht durch andere Behörden ausgenutzt werden können.
- Ein unabhängiges und ausschließlich defensiv agierendes BSI kann das benötigte Vertrauen schaffen, so dass Sicherheitsforscher alle gefundenen Schwachstellen dem Hersteller sowie dem BSI möglichst umgehend bereitstellen.
- Im Anschluss kann das BSI die Entwicklung eines Patches sowie das Ausrollen und Installieren bei KRITIS-Betreibern als Kunden dieser Hersteller beaufsichtigen und sicherstellen – notfalls auch entgegen dem Interesse anderer staatlicher Stellen.
- Als weitere Maßnahme kann dieses Ziel durch den Einsatz von Anreizen sowie von Bußgeldern und Strafzahlungen, vergleichbar dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) im Rahmen der DSGVO, erreicht werden.
- Alternativ zu Unterpunkt 3: Zur Sicherstellung der zügigen Entwicklung eines Patches für kritische Sicherheitslücken soll das BSI den vorhandenen gesetzlichen Rahmen für Bußgelder häufiger ausnutzen. Darüber hinaus halten wir es für notwendig, dass die Obergrenze der Bußgelder den Regelungen in der DSGVO angepasst wird.
- Solange dieses Vertrauen nicht hergestellt ist, werden durch Sicherheitsforscher entdeckte Sicherheitslücken nicht konsequent an das BSI gemeldet. Des Weiteren wird dadurch auch der Schwarzmarkt zum Handel mit zugehörigen Exploits für das Ausnutzen der Schwachstellen angefeuert, da Schwachstellen dadurch länger offen und damit für Angreifer interessant bleiben.
- Ein unabhängiges BSI würde auch dafür sorgen, dass es mit anderen Aufsichtsbehörden auf Augenhöhe agieren kann, wie unter anderem mit der BaFin oder der BNetzA.
Angemessene Personalausstattung relevanter Behörden
- Wir fordern mehr personelle Ressourcen und fachliche Kompetenzen für BSI, BBK und THW zum Schutz von IT-Komponenten in Kritischen Infrastrukturen.
- Angemessene Budgets, um kompetentes Fachpersonal anwerben und langfristig halten zu können.
- Kontinuierliche Aus- und Weiterbildungen für behördliches Personal.
- Nachwuchsförderung ist dringend notwendig, denn mit jeder digitalisierten Anlage verschwindet über die Jahre auch das Fachwissen, wie die Anlage (z. B. im Bereich Wasser und Energie) notfalls auch ohne Computersysteme betrieben werden kann. Nicht nur durch Digitalisierung, sondern auch durch Renteneintritt der Experten/Facharbeiter sowie alter Hasen verschwinden solche in Krisen und Cybergroßschadenslagen unschätzbar wertvollen Fähigkeiten.
- Darüber hinaus soll der Bund dafür sorgen, dass die Behörden untereinander nicht in einen Personalwettbewerb treten, in dem sie sich gegenseitig Personal oder Know-How-Träger zu anderen Behörden oder Institutionen wie z. B. ZITIS, CODE und UniBw abwerben.
- Anpassung des Dienstrechts und der Vergütungsstrukturen, um Fachkräfte auch im Wettbewerb mit der Wirtschaft gewinnen zu können. Das bestehende Dienstrecht ist sehr formal und erlaubt die Verbeamtung selbst fähigster IT-Fachkräfte nur in niederen Laufbahngruppen, sofern die notwendigen formalen Laufbahnvoraussetzungen nicht erfüllt sind. Dadurch kann vielen IT-Fachkräften nur eine niedrige Besoldung angeboten werden, die am Arbeitsmarkt nicht konkurrenzfähig ist. Eine Flexibilisierung des Laufbahnrechts könnte dieses Problem entschärfen.
Im Bereich der Tarifbeschäftigten muss die Möglichkeit der Zahlung konkurrenzfähiger Vergütungen ebenfalls geschaffen werden, z. B. durch Anpassung des TVöD. Die bisherige Möglichkeit, zeitlich begrenzte Zulagen zu zahlen, genügt auf Dauer nicht.
Open-Source Einsatz im KRITIS-Umfeld
- Im KRITIS-Umfeld eingesetzte Software soll grundsätzlich quelloffen gestaltet sein. Dort wo dies nicht möglich ist, sollen Quellcode und Build-Chain zumindest in treuhänderischer Verwaltung aufbewahrt werden. Dies sorgt dafür, dass ein Patch zur Behebung einer kritischen Sicherheitslücke auch dann noch erstellt werden kann, wenn der ursprüngliche Hersteller nicht mehr existiert oder eine Fehlerbehebung durch den Hersteller unwahrscheinlich ist.
- Die zu allen ausgerollten Sourcecode-Versionen zugehörige Build-Chain muss ebenso dokumentiert, reproduzierbar und getestet vorgehalten werden. Dies kann durch eine treuhänderische Verwaltung oder durch Veröffentlichung und (Betreiber-) externe Archivierung geschehen.
- Software für den Betrieb der Anlagen (aus den Anlagenkategorien der BSI-Kritisverordnung) von Kritischen Infrastrukturen muss frei verfügbar sein, oder der Quellcode in treuhänderischer Verwaltung gehalten werden. Dies ist erforderlich, damit die Anlagen viele Jahre und Jahrzehnte sicher betrieben werden können, auch wenn der Hersteller die Technologie nicht mehr unterstützt oder der Hersteller nicht mehr existiert. Dies folgt als Teil-Lösung für das Problem, dass (Hardware-) Komponenten (z. B. in Produktionsanlagen) nicht ohne Weiteres ausgetauscht oder aktualisiert werden können.
- Diese Forderung ist in Anlehnung an die Initiative Public Money Public Code von der fsfe zu verstehen (https://publiccode.eu/de/).
- Für SCADA/SPS Anlagen gibt es bereits in der Bundestags-Drucksache 17/12541, S. 97 einen überparteilichen Beschluss der Enquete Kommission für digitale Infrastruktur.
- Die vom BMI in Auftrag gegebene Studie „Strategische Marktanalyse zur Reduzierung von Abhängigkeiten von einzelnen Software-Anbietern“ stellt Risiken der Abhängigkeiten deutscher Behörden von wenigen Softwareherstellern (z. B. Microsoft) heraus.
Strikt defensive Cybersicherheitsstrategie für Staat und Wirtschaft
- Wir setzen uns für eine strikt defensive Cybersicherheitsstrategie ein. Wir verurteilen den Einsatz und die Bereitstellung offensiver Wirkmittel im Cyberraum. Insbesondere Kritische Infrastrukturen sind anfällig für Angriffe von Cyber-Kriminellen oder von Drittstaaten – egal ob feindlich gesinnt oder von „Freunden“. Da eine zweifelsfreie Zuordnung der Herkunft eines Cyberangriffs nach dem Stand der Technik ausgeschlossen ist, muss davon ausgegangen werden, dass sowohl der Angriff als auch ein Gegenangriff immer auch zivile Infrastruktur treffen kann. Dies ist laut den Zusatzprotokollen der Genfer Konvention von 1977 klar ausgeschlossen, vgl. Art. 52 und 14 ZP II und 54 ZP I. Auch die deutlich ältere Haager Landkriegsordnung untersagt in Art. 25, 27, und 56 Angriffe auf zivile Infrastruktur im weiteren Sinne.
- Wir fordern daher ein internationales Abkommen, das jegliche offensive Wirkmittel im digitalen Raum als Digitalwaffen (D-Waffen) einstuft und diese im Rahmen eines Digitalwaffensperrvertrags international verbietet, ähnlich wie die vorhandenen ABC-Waffensperrverträge.
- Weiterhin sind wir der Meinung, dass Deutschland mit gutem Beispiel vorangehen muss und solche Cyberwirkmittel weder entwickeln noch einsetzen darf. Die geplanten Gesetzesänderungen zum Einsatz offensiver Wirkmittel im Cyberraum, an denen das BMI arbeitet, dürfen nicht durchgeführt werden.
- Für den Kauf oder die Entwicklung von 0day Exploits durch staatliche Akteure darf kein Budget bereitgestellt werden.
- Wir erkennen an, dass wir unsere Kritischen Infrastrukturen bisher nicht ausreichend schützen und fordern daher, alle informationstechnischen Systeme mit „Security by Design“ zu gestalten und zu implementieren. Dies schützt proaktiv gegen erfolgreiche Angriffe aus dem Cyberraum. Alle Programmierer und Administratoren müssen konstant weitergebildet werden, um auf dem aktuellen Stand der Technik zu bleiben. Dies gilt nicht nur im Bereich des Betriebs, sondern auch in der Entwicklung und der Gestaltung sicherer Systeme. Dazu fordern wir die Einrichtung oder den Ausbau mehrerer Lehrstühle zur IT-Sicherheitsforschung und -Lehre.
- Eine defensive Cybersicherheitsstrategie soll nicht nur für Deutschland umgesetzt werden. Die Bundesregierung soll auch im Rahmen der EU-Mitgliedschaft darauf hinwirken, dass die gesamte EU eine defensive Cybersicherheitsstrategie umsetzt, da relevante KRITIS-Infrastruktur an Ländergrenzen oft nicht aufhört und als gemeinsame europäische Infrastruktur genutzt und betrieben wird.
Staatliche Verantwortung und Aufsicht sicherstellen
- Kritische Infrastruktur sollte bestenfalls nicht unter vollständiger Kontrolle der Privatwirtschaft sein. Wir erkennen aber an, dass dies nicht für alle Sektoren möglich ist.
- In jedem KRITIS-Sektor muss daher einzeln betrachtet werden, wie notwendige und wirksame (staatliche) Kontrollmechanismen implementiert werden können. Grundsätzlich müssen Kritische Infrastrukturen sorgsamer und ausfallsicherer betrieben und ausgebaut werden als andere Infrastrukturen. Dies widerspricht grundsätzlich den Bestrebungen nach Gewinnmaximierung durch privatwirtschaftliche Betreiber. Wirksame Regulierungen, unabhängige Kontrollinstanzen und kompetente Aufsichtsbehörden für die einzelnen Sektoren sind daher notwendig.
Gründung eines Cyber-Hilfswerks (CHW)
Quelle: https://ag.kritis.info/wp-content/uploads/2020/02/chw-konzept_v1.0.pdf
- Hauptaufgabe des CHW ist die Bündelung ziviler Helfer und Spezialisten verschiedener Fachbereiche, sowie die Bereitstellung von Verfahren und Rahmenbedingungen, um hauptamtliche Kräfte in Cyber-Großschadenslagen zu unterstützen. Es soll sich also um eine Organisation aus Freiwilligen und Ehrenamtlichen handeln, die bei einer solchen Großschadenslage die bestehenden, derzeit aber zu geringen Bewältigungskapazitäten sinnvoll ergänzt und die Betriebsgrundlage für kritische Versorgungsdienstleistungen im KRITIS-Umfeld wiederherstellt.
- Als schnelle Einsatzgruppe soll das CHW in der Lage sein, kurzfristig auf Cyber-Großschadenslagen zu reagieren und vor Ort an relevanten IT- und OT-Systemen Hilfe zu leisten. Primäre Zielsetzung ist dabei immer der Schutz der Bevölkerung vor den Auswirkungen von Ausfällen oder Einschränkungen der Kritischen Infrastruktur bzw. ihrer kritischen Versorgungsdienstleistung.
- Darüber hinaus sorgt eine solche Organisation auch für exzellente Möglichkeiten der Nachwuchsförderung und -werbung und erhöht die Vernetzung von Experten untereinander. Einsatzlogistik und Zusammenarbeit beim Beheben von Störfällen in der IT- und OT-Security-Branche sind bisher wenig bis kaum erforscht oder formalisiert – das CHW würde hier Grundlagen schaffen, die aufgrund der ehrenamtlichen Natur der Helfer direkt in die Fachabteilungen der Arbeitgeber der Helfer zurückfließen können.
- Es darf unter keinen Umständen passieren, dass das CHW für offensive Zwecke eingesetzt oder eingespannt wird. Das CHW soll daher ausschließlich defensiv wirken. Das Ziel des CHW muss es sein, eine ununterbrochene wesentliche Versorgung für Bürger wiederherzustellen.
- Die Friedensmäßigkeit zu betonen ist wichtig, da genauso wie das THW gemäß Gesetz über das Technische Hilfswerk (THWG) keine kriegerischen Handlungen unterstützen darf und kann, auch nicht indirekt. Auch ein im Zivilschutz aufgestelltes CHW muss darauf beschränkt sein, durch friedensmäßige Handlungen die Zivilbevölkerung zu schützen und zu unterstützen. Somit wäre die Vorbereitung, Unterstützung oder Durchführung von Cyberangriffen inkl. Hackback-Szenarien ausgeschlossen. Dazu gehört auch eine direkte oder mittelbare Unterstützung staatlicher Stellen durch fachliche Expertise, beispielsweise durch im Rahmen der CHW-Einsatztätigkeit erlangte Kenntnisse von Sicherheitslücken und Angriffswerkzeugen.
- Das CHW darf nicht militärisch eingesetzt werden, da es nur von Freiwilligen und nicht von staatlichen Streitkräften besetzt wird. Auch Einsätze, bei denen das CHW bei der Durchführung hoheitlicher Aufgaben assistiert, die eigentlich den Sicherheitsbehörden vorbehalten sind, lehnen wir kategorisch ab, denn dies würde sowohl das Neutralitätsgebot einer jeden Hilfsorganisation unterwandern, als auch im Bereich der Gewaltentrennung besonders schwierige Fragestellungen aufwerfen.
- Auch die Werkzeuge, welche im Rahmen der Vorbereitungen und Einsätze des CHW entwickelt werden, oder von Mitgliedern und Helfern selbst entwickelt wurden, dürfen aufgrund des immer anzunehmenden Dual-Use-Charakters (mögliche Nutzung für offensive Tätigkeiten) nicht an Sicherheitsbehörden weitergegeben werden.
- Dies gilt auch für Informationen mit Dual-Use-Charakter, wie z. B. Informationen über Sicherheitslücken, die im Rahmen der Behebung des Vorfalls ermittelt oder gewonnen werden. Hierfür ist ein Prozess mit dem Ziel der Behebung und Veröffentlichung im Rahmen einer sog. Responsible Disclosure zu entwickeln, vorzugeben und einzuhalten. Wir schließen damit explizit die Teilnahme an einem sog. Vulnerabilities Equities Process (VEP) aus. Gefundene Sicherheitslücken müssen geschlossen, nicht jedoch geheim- oder zurückgehalten werden.
- In offiziellen Notlagen sollte eine Alarmierung des CHW ausschließlich durch Behörden erfolgen können, beispielsweise durch das Bundesministerium des Innern, für Bau und Heimat (BMI), da dieses auch dem Technischen Hilfswerk (THW) den Einsatzbefehl erteilt.
- Eine weitere Möglichkeit wäre, auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) in diese Richtung zu befähigen, da dieses durch das Nationale Cyber Abwehrzentrum (NCAZ) möglicherweise früher ein vollständiges Lagebild als andere Behörden hat und dadurch auch die Bedrohungslage für Kritische Infrastrukturen abschätzen kann, selbst wenn diese noch nicht aktiv betroffen sind. Auch das BBK und das dortige Gemeinsame Melde- und Lagezentrum von Bund und Ländern (GMLZ) sind Stellen, die für eine Alarmierung in Frage kommen könnten. In Situationen, in denen das Computer Emergency Response Team der Bundesverwaltung (CERT-Bund) aktiv wird oder CERTs im CERT-Verbund informiert werden, könnte die alarmierende Behörde das CHW mit alarmieren, sofern notwendig.
- Darüber hinaus halten wir es für sinnvoll, dass das Militär, die Rüstungsindustrie sowie andere militärisch agierende Unternehmen das CHW nicht alarmieren können sollten, da diese Organisationen bereits über ausreichende eigene Ressourcen verfügen und zudem den angestrebten Non-Kombattanten-Status der Organisation gefährden würden. Auch dienen Organisationen dieser Art nicht der Sicherstellung der Versorgung der Bevölkerung mit Kritischen Infrastrukturen.
- Da es sich hier um eine zivile Reserve für den Katastrophenfall handelt, sollte der Staat die entstehenden Kosten und Haftungsrisiken übernehmen. Es gilt beim Aufbau der CHW-Strukturen eine praktikable und sicher geregelte Lösung zu etablieren, die seitens der Trägerorganisation akzeptiert werden kann. In keinem Fall darf es zu einer zusätzlichen Belastung der CHW-Helfer kommen, da diese ehrenamtlich zivile Hilfe in Cyber-Krisenfällen leisten.
- Wir halten es für geboten und notwendig, dass Strukturen geschaffen werden, die eine Entschädigung der Arbeitgeber der ehrenamtlichen Einsatzkräfte ermöglichen.
- Zur Sicherstellung der notwendigen Qualifikation der CHW-Helfer möchten wir ein hybrides Konzept entwickeln, das sowohl die schon vorhandenen beruflichen Qualifikationen und Zertifikate der Mitglieder und Helfer, als auch die individuell angeeignete Berufserfahrung im IT- und OT-Kontext von Anlagen in Kritischen Infrastrukturen berücksichtigt. Darüber hinaus soll das CHW auch selbst Schulungen und Übungen durchführen oder Dritte beauftragen, Schulungen und Weiterbildungen für CHW-Helfer durchzuführen.
VEP: Ein VEP bezeichnet den Prozess, bei welchem Sicherheitslücken durch den Staat zurückgehalten werden, damit die Sicherheitsbehörden eine etwaige Geheimhaltung zwecks späterer Ausnutzung prüfen können.
Gesetzlich verpflichtendes Patchmanagement im KRITIS-Umfeld
- Das BSIG soll dahingehend geändert werden, dass Hersteller verpflichtet werden können, auf Weisung des BSI und notfalls bußgeldbewehrt Patches für dem BSI bekannt gewordene Sicherheitslücken in Kernkomponenten Kritischer Infrastruktur entwickeln zu müssen.
- Wir fordern eine gesetzliche Verpflichtung der KRITIS-Betreiber, Aktualisierungen und Softwareverteilung auf Integrität und Herkunft zu prüfen. KRITIS-Betreiber müssen auch binnen einer vorgegebenen Frist Empfehlungen und Mindeststandards des BSI umsetzen.
- Dies erfordert, dass Hersteller entsprechende Signaturen implementieren. Unsignierte Software und Patches dürfen im KRITIS-Umfeld unserer Meinung nach nicht eingesetzt werden. Patches müssen gesichert eingespielt werden können, um einen dauerhaften Schutz der IT-und OT-Landschaft zu gewährleisten.
Verpflichtung zur Responsible Disclosure
- Werden Schwachstellen an Sicherheitsbehörden gemeldet, durch diese ermittelt oder erlangen diese anderweitig Kenntnis davon, so dürfen diese Schwachstellen nicht für offensive Angriffe zurückgehalten oder verwendet werden, da der Schutz der Kritischen Infrastrukturen im Vordergrund stehen muss. Responsible Disclosure und das Beheben von Schwachstellen trägt – im Gegensatz zum Zurückhalten und Ausnutzen von Schwachstellen – wesentlich zu einer sicheren und stabilen digitalen Gesellschaft bei.
- Die zivil- und strafrechtliche Rechtssicherheit und der gesetzliche Schutz von privat und akademisch arbeitenden IT-Sicherheitsforschern muss wiederhergestellt werden. Darüber hinaus sollen diese Personen verpflichtet werden, Sicherheitslücken im Rahmen eines Responsible Disclosure-Prozesses mit dem BSI zu teilen.
- Unternehmen, die von Sicherheitslücken in Kritischen Infrastrukturen Kenntnis erlangen, sollen verpflichtet werden, diese ohne schuldhafte Verzögerung an die zuständigen Stellen im BSI zu melden.
Effektive Überprüfung und wirksame Sanktionierung des § 8a BSIG
- Bei der Prüfung wird zu einem zu großen Teil Papier und zu einem zu kleinen Teil Technik in der IT und OT geprüft. Wir fordern, dass die Prüfungen nach § 8a BSIG zielgerichteter auf die Vermeidung von Versorgungsengpässen oder Versorgungsausfällen ausgerichtet werden. Dabei muss auch die eingesetzte Technik von fachkundigen Prüfern untersucht werden.
- Wir fordern weiterhin, dass das BMI eine tiefgehende Evaluierung der Effektivität der bisher durchgeführten Prüfungen und eine Evaluierung der Qualität der Prüfer erstellt. Im Rahmen der Qualitätssicherung der Prüfer für die Umsetzung des IT-Grundschutz führt das BSI schon jetzt sogenannte „Mock-Up-Audits“ durch. Dabei liegt der Fokus auf den Kenntnissen und Fähigkeiten der Prüfer. Mock-Up-Audits in dieser Form sollen auch für Prüfungen nach § 8a BSIG regelmäßig durchgeführt werden.
- Das BSI soll seine gesetzlichen Möglichkeiten, die ihm mit § 8a BSIG Absatz 5 gegeben wurden, nutzen und verbindliche Vorgaben für die Prüfungen und Prüfer festlegen.
- KRITIS-Betreiber sind nach § 8a BSI-Gesetz dazu verpflichtet, Sicherheitsmaßnahmen nach dem Stand der Technik umzusetzen. In der Praxis erfolgt diese Umsetzung allerdings nur sehr schleppend. Hier müssen wirksame Anreize und Sanktionen geschaffen werden, um eine zügige und vollständige Umsetzung der gesetzlichen Auflagen sicherzustellen. Zudem muss eine effektive Kontrolle der Einhaltung stattfinden. Dafür müssen die vorhandenen Kontrollen qualitativ und quantitativ ausgebaut werden. Selbstverständlich soll diese Maßnahme, zusammen mit den anderen, auch evaluiert werden.
Bessere Kooperation nationaler und europäischer Cybersicherheitsinstitutionen
Es muss ein gemeinsames IT-Sicherheits-Lagezentrum der europäischen Staaten, der Wirtschaft und der Forschungsinstitute geschaffen werden, in dem Informationen über Cybersicherheitsprobleme untereinander ausgetauscht werden können. Diese Organisation soll den notwendigen Informationsaustausch der von uns geforderten defensiven Cybersicherheitsstrategie sicherstellen.
Download aller Forderungen als PDF
Hier gibt es alle Forderungen auch noch zum Download als PDF.