Beiträge

Koalitionsvertrag: AG KRITIS erstmals vorsichtig optimistisch

Der Koalitionsvertrag der Ampel-Parteien steht. Wir haben dies zum Anlass genommen, um die digitalpolitischen Inhalte mit unseren politischen Forderungen abzugleichen.

Im Allgemeinen hat sich hier sehr viel getan und wir sehen an vielen Stellen eine Bewegung in die richtige Richtung. Obwohl es sonst nicht unsere Art ist, stellen wir fest, dass wir vorsichtig optimistisch sind. Nachfolgend nehmen wir zu einzelnen Passagen des Koalitionsvertrags Stellung und geben konkrete Verbesserungs- und Umsetzungshinweise.

Unabhängigkeit des BSI

Wir leiten einen strukturellen Umbau der IT-Sicherheitsarchitektur ein, stellen das Bundesamt für Sicherheit in der Informationstechnik (BSI) unabhängiger auf und bauen es als zentrale Stelle im Bereich IT-Sicherheit aus.“ (441-442 )

Wir freuen uns darüber, dass das BSI unabhängiger werden soll. Die gewählte Formulierung ist hier jedoch sehr vage und sogar grammatikalisch fraglich; denn in unserer Wahrnehmung ist „unabhängig“ kein steigerbares Adjektiv. Entweder etwas ist unabhängig oder es ist eben abhängig.

Wir fordern die Unabhängigkeit des Bundesamts für Sicherheit in der Informationstechnik (BSI) vom Bundesministerium für Inneres, Bau und Heimat (BMI).

Dies ließe sich z.B. bewerkstelligen, in dem das BSI einem anderen Bundesministerium unterstellt wird, oder in dem die Fachaufsicht, wie beim Bundesamt für Statistik, nach wissenschaftlichen oder sachgerechten Kriterien selbst erfolgt und nur die Rechtsaufsicht beim BMI verbleibt (§ 2 (1, 3) BStatG).

Wir empfehlen der neuen Regierung daher, mindestens die Fachaufsicht über das BSI aus dem BMI zu lösen.

Angemessene Personalausstattung relevanter Behörden

 „Wir werden deshalb Planungs- und Genehmigungsverfahren modernisieren, entbürokratisieren und digitalisieren sowie die Personalkapazitäten verbessern. Indem wir Bürgerinnen und Bürger früher beteiligen, machen wir die Planungen schneller und effektiver. “ (148 – 151)

Das Verbessern der Personalkapazitäten ist dringend notwendig, insofern begrüßen wir diese Formulierung. Wir vermissen hier allerdings das aus unserer Sicht notwendige Vorhaben, Änderungen am behördlichen Laufbahnrecht und dem TVÖD vorzunehmen; denn sowohl das aktuelle Laufbahnrecht, als auch der TVÖD verhindern es, IT-Fachpersonal ein konkurrenzfähiges Gehalt zu zahlen. Im aktuellen Wettkampf um IT-Fachpersonal ist dies eine grundlegende Voraussetzung, um kompetentes Personal anstellen zu können. Es scheint in den Behörden noch nicht angekommen zu sein, dass Sie eben nicht im Umkreis von 30km um Ihre Liegenschaft um Personal konkurrieren, sondern dass Sie in direkter Konkurrenz zu US-Unternehmen stehen, die europäisches IT-Fachpersonal in Telearbeit zu sechsstelligen Jahresgehältern anstellen.

Open-Source Einsatz im KRITIS Umfeld

„Entwicklungsaufträge werden in der Regel als Open Source beauftragt, die entsprechende Software wird grundsätzlich öffentlich gemacht. Auf  Basis einer Multi-Cloud Strategie und offener Schnittstellen sowie strenger Sicherheits- und  Transparenzvorgaben bauen wir eine Cloud der öffentlichen Verwaltung auf. “ (408-411)

 „Wir werden kritische Technologie und Infrastruktur besser schützen, Standards und Beschaffung daran ausrichten und ein europäisches Open Source- 5/6G-Konsortium initiieren. Europäische Unternehmen schützen wir besser gegen extraterritoriale Sanktionen. “ (4433 – 4436)

Die Festlegung auf Open Source ist überfällig und wurde von so gut wie jeder digitalpolitisch aktiven Organisation im letzten Jahrzehnt gefordert. Wir vermissen hier allerdings einen wirklichen Reformwillen; denn der Staat kauft viel zu oft proprietäre Software oder Nutzungsverträge zu proprietären Clouds, als dass eigene Entwicklungsaufträge vergeben werden. Wir hätten uns hier ein klareres Bekenntnis zur Abkehr von proprietärer Software von außereuropäischen Herstellern gewünscht. Auch fehlt in diesem Zusammenhang der Willen, bestehende Open Source Projekte zu fördern (Machbarkeitsstudie) oder zu nutzen (dPhönixSuite).

Strikt defensive Cybersicherheitsstrategie für Staat und Wirtschaft

„Hackbacks lehnen wir als Mittel der Cyberabwehr grundsätzlich ab. Nicht-vertrauenswürdige Unternehmen werden beim Ausbau kritischer Infrastrukturen nicht beteiligt.“ (446-447 )

„Das Bundespolizeigesetz novellieren wir ohne die Befugnis  zur Quellen-TKÜ und Online-Durchsuchung.“ (3661- 3662)

Auf dem Weg zu einer defensiven Cybersicherheitsstrategie ist die Ablehnung von Hackbacks ein Schritt in die richtige Richtung. Auch die Entfernung der Befugnis zur Quellen-Telekommunikationsüberwachung oder Online-Durchsuchung ist ein weiterer Schritt auf dem Weg zu einer defensiven Cybersicherheitsstrategie. Wir fragen uns allerdings, wie in diesem Zusammenhang der folgende Satz zu verstehen ist:

„Die Bundeswehr muss (…) in die Lage versetzt werden, im Verbund mit anderen Bundesbehörden im Cyber- und Informationsraum als Akteur erfolgreich zu bestehen. “ (5041- 5044)

Hier wurde aus unserer Sicht eine Gelegenheit verpasst, den offiziellen Status der „Verteidigungsarmee“, also einem rein defensiven Vorgehen (Art. 87a GG), zu betonen und diesen Status auch für den Cyberraum zu bestätigen. Vor diesem Hintergrund ist auch der „Bundeswehreinsatz im Inneren“, also z.B. die Hilfsleistung gegenüber anderen Bundesbehörden notwendigerweise zu kritisieren. Die Bundeswehr sollte in jedem Fall die allerletzte Verteidigungslinie in jeder Krise sein. Jegliche Vorsorge für den Katastrophenfall sollte eben nicht mit den Ressourcen der Bundeswehr planen und dies sollte auch im Cyber- und Informationsraum beibehalten werden.

Staatliche Verantwortung und Aufsicht sicherstellen

„Den physischen Schutz kritischer Infrastrukturen bündeln wir in einem KRITIS-Dachgesetz.“ (3504 )

In diesem Zusammenhang halten wir es für notwendig, für jeden KRITIS-Sektor eine wissenschaftliche Evaluation zu beauftragen, wie notwendige und wirksame (staatliche) Kontrollmechanismen implementiert werden können. Grundsätzlich müssen Kritische Infrastrukturen sorgsamer und ausfallsicherer betrieben und ausgebaut werden, als andere Infrastrukturen. Dies widerspricht grundsätzlich den Bestrebungen nach Gewinnmaximierung durch privatwirtschaftliche Betreiber. Wirksame Regulierungen, unabhängige Kontrollinstanzen und kompetente Aufsichtsbehörden für die einzelnen Sektoren sind daher notwendig.

Auch empfehlen wir der neuen Bundesregierung, in diesem Dachgesetz dafür zu sorgen, dass die Länder endlich Ihre Verpflichtungen (Stellungnahme für Landtag NRW) erfüllen und eine Landes-KRITIS-Verordnung für den Sektor „Staat und Verwaltung“ erlassen, wie sich dies aus der föderalen Struktur in Zusammenhang mit dem IT-Sicherheitsgesetz bzw. dem BSI-Gesetz ergibt. Wir halten es für zwingend notwendig, dass diese Verordnung bundeseinheitlich gestaltet wird. IT-Sicherheit darf nicht zum Standortvorteil einzelner Bundesländer werden.

Bei der Schaffung dieses Dachgesetz bitten wir die neue Bundesregierung zudem, unsere Forderung nach gesetzlich verpflichtendem Patchmanagement sowie nach effektiver Überprüfung und wirksamen Sanktionen bei Nichteinhaltung des § 8a BSIG zu berücksichtigen.

Gründung eines Cyber-Hilfswerks (CHW)

Die Freiwilligen stärken wir durch ein Ehrenamtskonzept und in föderaler Abstimmung durch  bundesweit einheitliche Freistellungs und Versicherungsschutzregeln der Helferinnen und Helfer. DasTechnische Hilfswerk (THW) nimmt weiter eine zentrale Rolle ein und soll seine Kompetenzen in der
Cyberhilfe erweitern. Den physischen Schutz kritischer Infrastrukturen bündeln wir in einem KRITISDachgesetz.“ (3501 – 3505)

Wir freuen uns sehr über die Aufnahme unseres Impulses zur Schaffung eines Cyberhilfswerks. Allerdings sind wir uns nicht sicher, ob eine Ansiedlung beim THW der richtige Schritt ist. Hier muss das bestehende Konzept mit den unterschiedlichen Varianten und Möglichkeiten diskutiert werden. Es ist aus unserer Sicht klar, dass ein Cyberhilfswerk als Bindeglied zwischen dem BSI und dem THW konzeptioniert werden muss. An welcher Behörde ein CHW aufgehangen wird, sollte daher mit dem Ziel einer möglichst effektiven Aufgabenerfüllung diskutiert werden, bevor die finale Festlegung erfolgt.

Verpflichtung zur Responsible Disclosure

„Das Identifizieren, Melden und Schließen von Sicherheitslücken in einem verantwortlichen Verfahren, z. B. in der IT-Sicherheitsforschung, soll legal durchführbar sein. “ (445-446 )

Wahrscheinlich ist mit „verantwortlichem Verfahren“ das so genannte „Responsible Disclosure“ Verfahren gemeint. Um dies zu erreichen, müssen jedoch Anpassungen an UrhG, UWG und StgB erfolgen. Konkrete Vorschläge, wie dies passieren kann, finden sich hier: sec4research.de  sowie auf Bundestagsdrucksache 19/7698, II Unterpunkt 8

„Staat wird keine Sicherheitslücken ankaufen oder offenhalten.“ (3651 – 3655)

Obwohl dies für uns grundsätzlich gut klingt, haben wir hier zwei Sorgen: Zum einen erlaubt diese Formulierung weiterhin, dass der Staat mittels der Zentralen Stelle für Informationstechnik im Sicherheitsbereich (ZITIS), Sicherheitslücken findet und selbst ausnutzt, bis diese geschlossen werden. Zum anderen wird sich die Möglichkeit offen gehalten, Dienstleistungen außereuropäischer Überwachungsdienstleister einzukaufen, die selbst auf großen Mengen bisher unveröffentlichter Sicherheitslücken sitzen und diese für ihr Geschäftsmodell geheim halten.

Auch vor dem Hintergrund, dass das BSI die zentrale Meldestelle für Sicherheitslücken werden soll, ist es wichtig, den oft im Ehrenamt arbeitenden IT-Sicherheitsforscherinnen aber auch den IT-Sicherheitsdienstleistern die explizite Sicherheit zu geben, dass durch sie gefundene Sicherheitslücken auch veröffentlicht werden.

Gerne stehen wir für alle Parlamente, Ministerien und Bundesämter im Ehrenamt beratend zur Verfügung, um im Sinne der Zivilgesellschaft die Versorgungssicherheit und Resilienz kritischer Infrastrukturen zu verbessern.

 

Dieser Artikel wurde erstellt von Johannes Rundfeldt und Elina Eickstädt

 

Ergebnis der Sachverständigenanhörung zum IT-Sicherheitsgesetz 2.0

Am 01. März 2021 war Manuel Atug, Gründer und Sprecher der AG KRITIS, als Sachverständiger im Ausschuss für Inneres und Heimat im Rahmen der Anhörung zum Entwurf des IT-Sicherheitsgesetz 2.0 geladen. Neben unserer Stellungnahme gab es von allen Sachverständigen enorme Kritik an dem geplanten Gesetzesvorhaben. Wir fordern daher weiterhin die Notbremse für den Entwurf, damit die dringend erforderlichen umfangreichen Änderungen durchgeführt werden können. Weiterhin muss die vorgesehene Evaluierung des ersten IT-Sicherheitsgesetzes durchgeführt werden.

Als Sachverständige wurden geladen:

  • Sebastian Artz, Branchenverband Bitkom
  • Manuel Atug, Arbeitsgemeinschaft Kritische Infrastrukturen (AG KRITIS)
  • Prof. Dr. Klaus F. Gärditz, Staatsrechtler
  • Dr. Sven Herpig, Stiftung Neue Verantwortung
  • Linus Neumann, Chaos Computer Club
  • Martin Schallbruch, Digital Society Institute der European School of Management and Technology Berlin

Die geladenen Sachverständigen waren sich einig, dass der vorliegende Gesetzesentwurf mangelhaft ist. Bereits vor der Einbringung des Entwurfs in den Bundestag hat das Ministerium des Inneren, für Bau und Heimat existierende Entwürfe des Gesetzestexts nicht oder nur mit sehr kurzen Rückmeldefristen für eine Stellungnahme der zivilgesellschaftlichen Organisationen veröffentlicht, sodass erste Kommentare auf geleakten Versionen des Texts beruhen. Zusätzlich handelt es sich bei den vorliegenden Texten um sogenannte Änderungsgesetze, die ein einfaches Lesen des aus den Änderungen resultierenden Gesetzestexts nicht möglich machen.

In der Stellungnahme erläuterte Manuel Atug die von uns bereits mehrfach kritisierten Punkte: Fehlende Unabhängigkeit des BSIs, fehlende Evaluierung des ersten IT-Sicherheitsgesetzes, die Streichung der Stärkung des Bundesamtes für Bevölkerungsschutz und Katastrophenhilfe sowie insbesondere die Einführung der Möglichkeit des Zurückhalten von Schwachstellen durch das BSI, da sich die Behörde damit zum „Handlanger der Sicherheitsbehörden und Nachrichtendienste“ mache und das Vertrauen in den Responsible Disclosure Prozess des BSI erschüttert werden würde.

Auch die anderen Sachverständigen formulierten teils erhebliche Kritik. Dr. Sven Herpig äußerte Kritik an wirkungslosen Passagen bezüglich des digitalen Verbraucherschutzes, da „[…] es in Deutschland weiter möglich sein werde, unsichere IT-Produkte auf den Markt zu bringen“. Linus Neumann vermisst eine Strategie, die „kompromisslos auf IT-Sicherheit“ setzt, beispielsweise durch ein Mindesthaltbarkeitsdatum für Softwarekomponenten und kritisiert das freiwillige IT-Sicherheitskennzeichen. Der Verfassungsrechtler Dr. Klaus F. Gärditz formuliert zusätzlich zu der inhaltlichen Kritik der anderen Sachverständigen verfassungs- und verwaltungsrechtliche Bedenken an § 9b des Entwurfs.

Die Aufzeichnung der kompletten Sitzung ist auf der Webseite des Bundestags abrufbar. Unsere Stellungnahme [AG KRITIS], [Deutscher Bundestag], die Stellungnahmen der anderen Sachverständigen sowie die Rede von Manuel Atug sind öffentlich einsehbar.

Stellungnahme zum IT-Sicherheitsgesetz 2.0 im Innenausschuss des Bundestag

Am 01. März 2021 war Manuel Atug, Gründer und Sprecher der AG KRITIS, als Sachverständiger im Ausschuss für Inneres und Heimat im Rahmen der Anhörung zum Entwurf des IT-Sicherheitsgesetz 2.0 geladen. Neben der mündlichen Stellungnahme im Innenausschuss haben wir auch eine schriftliche Stellungnahme abgegeben, die wir hier veröffentlichen.

Erste Fraktion im Deutschen Bundestag fordert ein Cyberhilfswerk

Die Fraktion der freien Demokraten im Deutschen Bundestag hat auf Drucksache 19/24632 einen Antrag mit dem Titel: „Pandemie als digitalen Weckruf ernst nehmen – Umfangreiche
Digitalisierungsstrategie vorlegen“ veröffentlicht.

Dort heißt es neben wichtigen anderen Positionen zu einer defensiven Cybersicherheitsstrategie und zu der Forderung eines unabhängigen BSI unter anderem auch:

Damit auch nach einer Großschadenslage im Cyberraum die Versorgung der Bevölkerung sichergestellt werden kann, sind weiterhin die vorhandenen Bewältigungskapazitäten im BSI zu erweitern, indem ergänzende, ehrenamtliche Strukturen nach Vorbild des THW geschaffen werden.

Der vollständige Antrag ist hier zu finden:

Damit ist die Fraktion der Freien Demokraten die erste Fraktion, die unsere Forderung zur Gründung eines Cyberhilfswerks aufgenommen und zur Fraktionsposition gemacht hat. Dies freut uns sehr, denn wir sind davon überzeugt, dass ein Cyberhilfswerk ein notwendiger und wichtiger Schritt zur Erhöhung der Versorgungssicherheit der Bevölkerung ist.

Gerne beraten wir bei Interesse alle Fraktionen im Deutschen Bundestag, wie sie die Gründung eines Cyberhilfswerk bestmöglich auf die eigene politische Agenda setzen.

„Hackbacks ineffektiv und gefährlich“ – sagt der wissenschaftliche Dienst des Bundestags!

Der Wissenschaftliche Dienst hat in einem eingestuften Gutachten wesentliche Teile unserer Forderungen bestätigt. Das Gutachten wurde auf netzpolitik.org veröffentlicht und bestätigt im Wesentlichen „Die Bundesregierung arbeitet an offensiven Kapazitäten und Hackbacks, doch das ist ineffektiv und gefährlich.“. Das Gutachten entwickelt hat Dr. John Zimmermann Oberstleutnant der Bundeswehr, der seit über 30 Jahren im Dienst der Bundeswehr steht.
Im Gutachten wird aufgezeigt, dass „digitale Gegenmaßnahmen als wartungsaufwändige Einmal-Wirkmittel mit hohem Proliferationsrisiko“ nur als „Einmal-Wirkmittel mit Bumerangeffekt“ auftreten und somit ein wesentliches Risiko darstellen. Darüber Hinaus wird klargestellt, dass von zivilen Kollateralschäden auszugehen ist, wie auch die Vergangenheit schon gezeigt hat. Das offene Thema der Attribution und ihrer Auswirkung wird ebenfalls angesprochen: „Am Ende eines digitalen Wettrüstens ergäbe sich daher in globaler Hinsicht eine anarchische Situation, in der gut gerüstete Cyber-Mächte und nichtstaatliche Hacker einander auf Augenhöhe bedrohen“.
Weiterhin wird festgestellt: „Das Ziehen von klaren definitorischen Grenzen zwischen Angriff und Verteidigung ist kaum möglich“. Daher lassen sich die technischen Mittel für eine „offensive Abwehr“ nicht von digitalen Waffen unterscheiden. Das Gutachten zeigt darüberhinaus erneut, dass unsere Bundesregierung nicht weiß, wer „in Deutschland für die Durchführung der ‚Hackbacks‘ zuständig sein, und wer die rechtlichen und technischen Kompetenzen dazu besitzen soll“.
Die AG KRITIS fordert eine defensive Cybersicherheitsstrategie. Dieser Forderung schließt sich auch das Gutachten mit „Verteidigung ist die beste Verteidigung“ als Quintessenz an. 
Berücksichtigung fand unter anderem die Expertise von @Perceptic0n und der SWP, welcher Forderungen, die unseren sehr ähnlich sind, in den beiden Publikationen Überschätzte Cyber-Abschreckung und Governance von 0-Day-Schwach­stellen in der deutschen Cyber-Sicherheitspolitik veröffentlicht hat. Diese wurden vom Gutachter unter anderem als Quelle genutzt.
Das eingestufte Gutachten bestätigt unsere Forderungen und macht uns Hoffnung, dass unsere Expertise auch hinter verschlossenen Türen Gehör findet. Nichtsdestotrotz ist das Ziel noch nicht erreicht – die offizielle Cybersicherheitsstrategie unserer Bundesregierung muss zu einer defensiven Cybersicherheitsstrategie werden!