Schwerpunkte

Das IT-Sicherheitsgesetz 2.0

»Ein Sicherheits­­gesetz mit Internetpolizei und Beugehaft«

01. Oktober 2019, 07:57 Uhr   |  Hagen Lang


Fortsetzung des Artikels von Teil 1 .

Das Naheliegendste versäumt

Nämlich?

Die schon angesprochene Meldepflicht von Sicherheitslücken in IT-Systemen, die 2018 als angeblicher Wunsch von Innenminister Seehofer kolportiert wurde, findet sich nirgendwo im Gesetzentwurf! Weder IT-Fachleute noch das BSI sind verpflichtet, Sicherheitslücken der Meldestelle des BSI zu melden und zu veröffentlichen, sondern allein die Hersteller der jeweiligen Komponente müssen melden. Durch diese Quasi-Geheimhaltung werden Private und Unternehmen einem völlig überflüssigen Angriffs­risiko ausgesetzt – einem Risiko, das auf der Grundlage des IT-Sicherheitsgesetzes verheimlicht wird!

Hier müssten die Unternehmensverbände Sturm laufen. Während also einerseits die Wissenden laut Gesetz über Sicherheitslücken schweigen dürfen, wird, wer vorsätzlich oder fahrlässig an der Beseitigung einer Störung nicht mitwirkt, einer vollziehbaren Anordnung zuwiderhandelt oder eine Auskunft nicht korrekt erteilt, mit Bußgeldern in Höhe von bis zu 20 Mio. € oder von bis zu 4 % des gesamten weltweit erzielten jährlichen Unternehmensumsatzes des vorangegangenen Geschäftsjahrs bedroht, je nachdem, welcher der Beträge höher ist. Eine Begründung für diese aus der DSGVO bekannten Höhe wird nicht gegeben, zumal hier eine Orientierung am Weltumsatz stattfindet, das Gesetz aber national ausgerichtet ist und noch nicht einmal europäische Partner und die Bundesländer umfassend unterrichtet werden.

Diese Heimlichtuerei findet sich leider auch bei den vorgesehenen Maßnahmen des zur Detektion und Auswertung von Schadprogrammen, Sicherheitslücken und anderen Sicherheitsrisiken, sogenannten Penetration-Tests, in öffentlich erreichbaren informationstechnischen Systemen. Diese kann das BSI vornehmen, wenn sie ungeschützt sind und dadurch in ihrer Sicherheit oder Funktionsfähigkeit gefährdet sein können. Je nach betroffener Branche wie beispielsweise Energie oder Transportwesen ist das eine gefährliche Regelung, solange das BSI die Security-Tests offensichtlich heimlich durchführen kann – ohne dem Betreiber oder den Teilnehmern die Security-Tests anzukündigen. Voraussetzung ist, dass dem BSI Sicherheitslücken in diesem IT-System bekannt sind; daher muss gefragt werden, warum diese nicht unverzüglich dem Betreiber mitgeteilt werden – vor allem Security-Tests. Zumal das BSI die Installation von Maßnahmen anordnen kann.

softScheck
© softScheck

Prof. Dr. Hartmut Pohl, Geschäftsführer der softScheck GmbH »Es wird Security-mäßig eine Art Zweiklassengesellschaft geschaffen, in der einige Bescheid wissen und die meisten aber nicht. Damit bleiben deutsche Unternehmen und Bürger der Sabotage, Spionage und Schädigung durch fremde Nachrichtendienste und die organisierte Kriminalität schutzlos ausgeliefert.«

Der Gesetzentwurf sieht die Aufweichung eines, nennen wir es einmal Grundrechtes vor, genauer: des Zeugnisverweigerungsrechts, also des Rechtes, sich nicht durch eigene Aussagen zu belasten, wie es bisher die Zivilprozessordung und Strafprozessordnung enthielten. Was ist hier vorgesehen?

Die Staatsanwaltschaft sowie die Behörden und Beamten des Polizeidienstes dürfen auch gegen den Willen des einer Straftat mittels Telekommunikation verdächtigen Inhabers auf Nutzerkonten oder Funktionen zugreifen und sie dürfen unter dieser virtuellen Identität mit Dritten in Kontakt treten. Der Verdächtige ist dann verpflichtet, die zur Nutzung der virtuellen Identität erforderlichen Zugriffsdaten herauszugeben.

Weigern sich Verdächtige, ihre Passwörter preiszugeben, können die Behörden entweder ein Ordnungsgeld oder Haft von bis zu sechs Monaten anordnen. Das neue Gesetz erlaubt damit eine Beugehaft. In der Praxis könnte es also dazu kommen, dass ein Verdächtiger ins Gefängnis muss, weil er seine Passwörter nicht herausgibt. Bisher können Behörden Verdächtige nicht dazu zwingen, ihre Passwörter preiszugeben. Sie sind nicht verpflichtet, sich an einem Verfahren gegen sich selbst zu beteiligen. Ihnen steht das Recht zu, zu schweigen.

Die Behörden wollen die Online-Konten und damit die Online-Identität von Verdächtigen übernehmen, um weitere potenzielle Verdächtige auszumachen. In der Praxis wollen sie so vor allem im Darknet entscheidende Ermittlungsfortschritte machen. Sie sollen die gesammelten Informationen jedoch nicht gegen den Verdächtigen selbst verwenden dürfen. Auch ohne richterlichen Beschluss soll zudem ohne Wissen und Willen von Inhabern heimlich auf deren Nutzerkonten und IT-Geräte zugegriffen werden können. Das ist in seiner Auswirkung auf die Grundrechte nicht wirklich zu Ende gedacht.

Das BSI soll die Möglichkeit erhalten, behördliche Kommunikation zu öffnen.

Behörden sind auf eine sichere Kommunikation angewiesen. Diese besondere Sicherheit erfordert eine effektive und schnelle Kontrollmöglichkeit des BSI, um Gefahren für die Kommunikationstechnik früh zu erkennen und in der Folge zu beseitigen. Dieser Gefahr für die Sicherheit der Kommunikationstechnik des Bundes muss dadurch begegnet werden, dass auch die verschlüsselte Kommunikation des Bundes geöffnet und hierdurch einer Analyse nach § 5 BSIG zugänglich gemacht werden muss.

Hinter den Analysepunkten des BSI müssen die Daten – um die Vertraulichkeit wiederherzustellen und die Kommunikation vor der Kenntnis durch Unbefugte zu schützen – wieder verschlüsselt werden, bevor diese weitergeleitet werden. Es erscheint zur Bewertung des Sicherheitsniveaus fachlich ungerechtfertigt, Nutzdaten zu entschlüsseln. Sicherheitsanalysen werden weltweit ohne Einsicht der übertragenen Daten durchgeführt. Dieses Vorgehen reduziert im Gegenteil das Sicherheitsniveau behördlicher Kommunikation maßlos. Es erscheint angesichts der alleinigen Nutzung des hochsicheren Bundesbehördennetzes erst recht überflüssig.

Was kann man denn noch an konstruktiven Elementen im Gesetzentwurf finden?

Mit einem IT-Sicherheitskennzeichen namens ‚IT-Gütesiegel‘ sollen einheitliche Mindestanforderungen für internetfähige Geräte festgelegt werden. Damit entspricht das Gesetz berechtigten Forderungen von Verbänden. Zum Schutz der Bürger werden Voraussetzungen für ein einheitliches IT-Sicherheitskennzeichen geschaffen, welches die IT-Sicherheit der Produkte erstmals für Bürgerinnen und Bürger sichtbar macht. Hierdurch wird eine fundierte Kaufentscheidung ermöglicht.

Außerdem wird Verbraucherschutz als zusätzliche Aufgabe des BSI gesetzlich etabliert. Mit der neu eingefügten Aufgabe wird die Zuständigkeit des BSI für die Entwicklung von Anforderungen nebst entsprechender Konformitätsprüfung und -bestätigung bei IT-Produkten insbesondere in Gestalt von Technischen Richtlinien ausdrücklich festgelegt. Es ist zu begrüßen, dass das BSI einheitliche Vorgaben schaffen und als zentrale Stelle im Markt etablieren soll.

Gut gefällt mir auch, dass Unternehmensanteilerwerbungen von Herstellern von KRITIS-Komponenten künftig unter die Investitionskontrolle des BMWi fallen – dies geht über die bisherige Regelung, die nur Software geringfügig erfasst, hinaus. Ein sachlich gebotener Vorschlag angesichts der zukünftig unverzichtbaren deutschen Souveränität im Bereich der Informationstechnik.

Letztlich sind die enthaltenen Maßnahmen aber nur reaktiv und bedienen sich alter IT-Sicherheitsmaßnahmen und nachträglicher Protokollauswertungen. Will man immer nur abwehren können oder auch angreifen können? Wie seit Langem dokumentiert, bauen bekannte Chiphersteller Management-Engines in ihre Chips ein, deren Verwendung das gesamte Maßnahmenpaket des IT-Sicherheitsgesetzes unterläuft. Da muss sich der Bundesinnenminister fragen lassen, was der technisch-organisatorische Aufwand und die Grundrechtsänderung sollen.

Herr Pohl, vielen Dank für das Gespräch!

IT-Infrastrukturen für KRITIS – die Aufzählung des Gesetzestextes

Umfangreiche Pflichten erwarten künftig IT-Hersteller, deren IT in KRITIS eingesetzt wird. Der Gesetzentwurf definiert als IT-Einrichtungen in KRITIS derzeit Leit-,
Automations- und Steuertechnik in Kraftwerken, Strom-, Gas-, Kraftstoff-, Energie-, Wärme- und Trinkwasserversorgung sowie Abfallbeseitigung, ferner IT-Einrichtungen zum Anlagenbetrieb sowie Datenübertragung, -Handling und Speicherung in und im Zusammenhang mit DAX-Unternehmen, Krankenhäusern, Arzneimitteln, Lebensmittelversorgung, Laboren, Bargeldversorgung, digitalem Zahlungsverkehr, Wertpapiergeschäften, Versicherungsdienstleistungen, Personenbeförderung, Güterbeförderung (inkl. Logistik) zu Lande, Wasser und in der Luft sowie (per geplanter Verordnung) den Sektoren Rüstung, Medien und Kultur.

Professor Dr. Hartmut Pohl ist Sprecher des Präsidiumarbeitskreises Datenschutz und IT-Sicherheit der Deutschen Gesellschaft für Informatik, Geschäftsführer der softScheck GmbH in Sankt Augustin, Professor für Softwaresicherheit an der Hochschule Bonn-Rhein-Sieg sowie deutscher Delegierter bei der International Federation of Information Processing (IFIP) – Technical Committee 11 – Security & Privacy und Jury-Mitglied des Essener Security-Information-Awards.

Seite 2 von 2

1. »Ein Sicherheits­­gesetz mit Internetpolizei und Beugehaft«
2. Das Naheliegendste versäumt

Auf Facebook teilenAuf Twitter teilenAuf Linkedin teilenVia Mail teilen

Das könnte Sie auch interessieren

Skalierbare IoT-Hardware-Sicherheit
Blockchain macht IoT auf Basis von 5G sicher
307 Mio. Euro Kosten hätten vermieden werden können

Verwandte Artikel

softScheck GmbH