Cyber(un)sicherheit: Strategie von der Bundesregierung beschlossen

Die vom Innenministerium erarbeitete Strategie wurde vielfach kritisiert – nun wird die Aufweichung der Cybersicherheit zum Regierungsprogramm.

Statt für eine Erhöhung der Cybersicherheit durch entsprechende Gesetze mit strafbewehrten Auflagen zu sorgen, sollen Geräte und Software löchrig bleiben wie ein Schweizer Käse.

Kein Gerät ist sicher.
Jede*r ist betroffen.

Letztlich zeigt die Strategie, wohin die Reise geht: Überwachung und Kontrolle. Es wurden bereits etliche Gesetze beschlossen und weitere Gesetzesinitiativen sind auf dem Weg, sowohl in Deutschland als auch international (siehe den Blogbeitrag dazu).

Eine weitere Kritik an der Strategie: Die Weichen wurden noch vor der Bundestagswahl gestellt, statt der neuen Bundesregierung einen Gestaltungsspielraum einzuräumen.

Aus dem Inhalt der Cyber(un)sicherheitsstrategie 2021:

  • Ende-zu-Ende-Verschlüsselung aushöhlen: Hintertüren für Behörden – Anbieter sollen Klartext-Zugang ermöglichen.
  • Sicherheitslücken ausnutzen: Legaler Angriff über 0-day-Exploits und andere Schwachstellen; Hacking-Auftrag für das BSI und das neu geschaffene ZITiS (Zentrale Stelle für Informationstechnik im Sicherheitsbereich).
  • Staatstrojaner für alle: neben den Geheimdiensten dürfen Polizei und Zoll diese nutzen (das BKA hat bereits 2019 den Staatstrojaner Pegasus der NSO Group für eine Million € beschafft).

Telekommunikationsüberwachung (TKÜ) ist Abhören 2.0?

Es ist nachvollziehbar, dass Ermittlungs- und Strafverfolgungsbehörden in der digitalen Welt handlungsfähig bleiben müssen, d.h. sie müssen (technische) Möglichkeiten haben, Verdächtige zu überwachen und deren Kommunikation abzuhören.

Jedoch muss abgewogen werden, inwieweit jede*r Bürger*in davon betroffen ist: Mit der geplanten Strategie wird die digitale Welt unsicher – die Verhältnismäßigkeit wird nicht gewahrt.

Welche Mittel und Wege geeignet sind um die Balance zwischen rechtmäßiger Kontrolle, Überwachung und Strafverfolgung im Sinne des demokratischen Rechtsstaats und dem informationellen Selbstbestimmungsrecht einzuhalten, sollte in einem transparenten Gesetzgebungsverfahren ausgehandelt werden.

Mit der bereits gelebten Strategie der Bundesregierung ist das Maß bereits jetzt weit überschritten – nicht nur Datenschützer, Journalisten und Bürgerrechtler mahnen ein maßvolleres Herangehen an, auch Unternehmen schließen sich der Kritik an den Vorhaben an. Zudem fehl es an einer ausreichenden parlamentarischen Kontrolle, so dass die Behörden im Geheimen und vergleichsweise frei agieren können.

Was erträumen wir uns?
Eine sichere Welt. Auch in der IT.

Cybersicherheit erhöhen: Meine Hand für mein Produkt!

IT-Sicherheit kann nur garantiert werden, wenn dafür gesorgt wird, dass die Technik nicht angreifbar ist. Schwachstellen müssen deshalb schnellstmöglich gefixt werden, indem auch Behörden diese melden, denn nur dann können sie geschlossen werden.

Auf keinen Fall dürfen Sicherheitslücken absichtlich offengehalten werden, denn nicht nur Behörden, sondern auch Kriminelle nutzen diese aus.

Angemessen wären Gesetze, die eine Haftung der Hersteller für die Sicherheit der IT-Produkte durchsetzen, indem Verletzungen der Sicherheit strafbewehrt sind. Und zwar über die mit der DSGVO eingeführten Bußgeldverfahren hinaus, allein die Existenz von Schwachstellen sollte Folgen für die Hersteller haben.

Eine gesetzlich geforderte Verpflichtung der Hersteller, über einen Zeitraum von mindestens 5 Jahren sicherheitsrelevante Updates bereitzustellen geht zwar in die richtige Richtung, jedoch sollten die Hersteeler generell in die Pflicht genommen werden, ihre Produkte sicher zu gestalten – und das geht am Besten über Bußgelder und die Möglichkeit von Anwendern Schadenersatz gegenüber ihnen durchzusetzen.

Das „Bananenprinzip“, nach dem ein Produkt beim Kunden reift, hat insbesondere im Sicherheitskontext keine Berechtigung: Bei einem Auto, bei dem das Bremssystem konstruktionsbedingt nicht funktioniert gilt eine Herstellerhaftung – warum nicht für IT-Produkte?

Wichtig ist, dass die Hersteller die Entwicklung anpassen und eine Garantie für die Sicherheit ihrer Produkte abgeben und übergangsweise, solange sie keine sicheren Produkte anbieten, für zeitnahe und regelmäßige Sicherheitsupdates sorgen. Und da sie dieses nicht freiwillig tun (werden), muss es gesetzlich durchgesetzt werden.

Zudem sollte der Gesetzgeber eine klare Trennung von Funktions- und Sicherheitsupdates durchsetzen, so dass Nutzer diese getrennt auswählen können, denn leider kommen durch Funktionsupdates oft neue Schwachstellen hinzu.

Aufgrund der Komplexität informationstechnischer Systeme wird es immer wieder notwendig sein, Bugs und Schwachstellen mit Updates zu beheben, jedoch sollte es nicht die Regel sein, dass Software dermaßen  fehlerbehaftet ist wie es heutzutage der Fall ist. Der Leitfaden des BSI zur Entwicklung von Webanwendungen benennt solche Ziele – Sicherheitsaspekte sollen grundlegend bei der Konzeption und Implementierung berücksichtigt werden.

Das Prinzip „Security by Design“ sollte für Softwareentwicklung in Anlehnung an das in der DSGVO geforderte Prinzip „Privacy by Design“ etabliert werden.

Sicherheit durch Open Source

Sicherheit kann durch Open Source Strategien erhöht werden, auch Unternehmen können diese anwenden, selbst wenn die Nutzung der Produkte mit Lizenzkosten verbunden ist. Denn nur mit Open Source kann unabhängig von Hersteller eine Prüfung der Produkte auf Herz und Nieren vorgenommen werden, da nur dann der Quellcode überprüfbar ist. Aus diesem Blickwinkel ist die Entwicklung der Corona Warn App ein gutes Beispiel.

Open Source ist in Rechenzentren weit verbreitet, denn Linux-basierte Server und Anwendungen gelten als sicher und zuverlässig, gerade im Vergleich zu proprietären Windows-Systemen und Anwendungen.

Open Source ist aber kein Allheilmittel: Die Software muss dauerhaft gepflegt werden, was bei etlichen veralteten und damit unsicheren Android-Versionen leider nicht der Fall ist, obwohl die Geräte selbst technisch noch gut funktionieren (würden). Hier zeigt sich, wie der Markt funktioniert: Da die Unternehmen ein großes Interesse daran haben, neue Geräte abzusetzen, wird in die ältere Technik so wenig Aufwand gesteckt wie nötig. Hier ist wie oben geschildert der Gesetzgeber gefordert: 5 Jahre sollten die mobilen Geräte mindestens nutzbar sein.

Weitere Informationen

Zur Sicherheit von Software

 

 

Autor: don't panic

Über das Pseudonym: "Don't panic" ist auf das Cover des legendären elektronischen Reiseführers durch die Galaxis gedruckt, damit ein Anhalter keine Angst verspürt. - The British author Arthur C. Clarke said Douglas Adams' use of "don't panic" was perhaps the best advice that could be given to humanity. cf. Wikipedia

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.