IT-Sicherheit: Vorratsdatenspeicherung in Deutschland

IT-Sicherheitsgesetz verabschiedet

Der Innenausschuss hat den Weg für das von der Bundesregierung angestrebte IT-Sicherheitsgesetz freigemacht. Gegen die Stimmen der Opposition verabschiedete das Gremium mit der Koalitionsmehrheit den entsprechenden Gesetzentwurf in modifizierter Fassung. Unmittelbar zur gleichen Zeit informierte Bundestagspräsident Lammert die Abgeordneten über den Angriff auf das Datennetz des Parlamentes. Wir haben uns den Gesetzesentwurf etwas genauer angeschaut.

Der Wolf im Schafspelz oder doch mehr Sicherheit?

Es gibt schon komische Zufälle. Das Datennetz des Bundestages wurde völlig unterwandert - und zwar just in dem Moment, als das Thema Vorratsdatenspeicherung unter dem Titel "IT-Sicherheit" trotz flächendeckender Ablehnung durch das Volk beschlossen werden soll. Das Ausmaß der Infiltration ist anscheinend nicht zu ermitteln, die Schäden sind wohl irreperabel. Es wird gemunkelt, dass ein Austausch der kompletten Hardware unumgänglich sei.

Der Chaos-Computer-Club hat in einer umfassenden Stellungnahme bereits im Vorfeld konstantiert, dass dieses vermeintliche IT-Sicherheitsgesetz völlig unbrauchbar sei, die Sicherheit in irgendeiner Form zu gewährleisten.

"Keiner der in diesem Gesetzentwurf vorgesehenen Schritte ist geeignet, zu einer sinnvollen Erhöhung der IT-Sicherheit in Deutschland beizutragen"

Ziel des IT-Sicherheitsgesetzes

Der Gesetzentwurf der Bundesregierung (18/4096) soll offiziell die Sicherheit der IT-Netze und der gesamten IT-Infrastruktur stärken. Doch was genau heißt das denn nun und wie soll dieses Ziel erreicht werden?

Es wird (sehr zeitgemäß) anerkannt, dass alle gesellschaftlichen Bereiche, also vom Staat über die Wirtschaft bis zu großen, kleinen und mittelständischen Betrieben, mit dem Internet verflochten sind und ein Großteil des privaten und öffentlichen Lebens zunehmend ins Netz verlagert wird.

Die Beschreibung hierzu im Gesetzesentwurf ist zur Sicherheit auch für alle fomuliert, für die das Cyber System immer noch Neuland ist.

"Mit der digitalen Durchdringung der Gesellschaft entstehen in nahezu allen Lebensbereichen neue Potentiale, Freiräume und Synergien. Gleichzeitig wächst die Abhängigkeit von IT-Systemen im wirtschaftlichen, gesellschaftlichen und individuellen Bereich und damit die Bedeutung der Verfügbarkeit und Sicherheit der IT-Systeme sowie des Cyberraums insgesamt digital"

Zur Gewährleistung des Schutzes fordert der Entwurf für „Kritische Infrastrukturen“, also der Einrichtungen, die für das Funktionieren des Gemeinwesens von zentraler Bedeutung sind, ein Mindestmaß an Sicherheitsmerkmalen. Das "Mindestmaß" wurde nicht definiert. Die Betreiber sollen dem Bundesamt für Sicherheit in der Informationstechnik (BSI) IT-Sicherheitsvorfälle melden. Die Betreiber leisteten insoweit durch die Meldepflicht einen eigenen Beitrag zur IT-Sicherheit und bekämen „ein Mehrfaches an Informationen und Know-how zurück“, heißt es in der Vorlage.

Die Betreiber von Mobilfunknetzen, Kabelnetzen oder andere Telekommunikationsdienstleister werden nach dem Entwurf "verpflichtet", IT-Sicherheit „nach dem Stand der Technik“ zu gewährleisten. Zudem sollen sie IT-Sicherheitsvorfälle, die zu einem unerlaubten Zugriff auf Informations-Systeme der Nutzer oder einer Beeinträchtigung der Verfügbarkeit führen können, unverzüglich über die Bundesnetzagentur an das BSI melden und betroffene Nutzer über bekannte Störungen informieren, die durch Schadprogramme auf den datenverarbeitenden System der Nutzer hervorgerufen werden.

Ferner soll der Anteil des BSI an der Erstellung des Sicherheitskatalogs für Telekommunikationsnetzbetreiber der Vorlage zufolge ausgebaut werden. Zudem soll das Bundeskriminalamt „im Bereich Cyberkriminalität angesichts der zunehmenden Zahl von IT-Angriffen gegen Bundeseinrichtungen und gegen bundesweite kritische Infrastrukturen in seinen Rechten gestärkt“ werden.

Was kann mit dem IT-Sicherheitsgesetz erreicht werden?

Der Gesetzentwurf besteht aus 6 Seiten ( + Anschreiben an den Bundespräsidenten). Davon sind umfassende 2 Seiten Gesetzesinhalt und Lösungsansatz, die anderen 4 Seiten beschäftigen sich mit den Kosten und den Planstellen in den verschiedenen Kremien um das Gesetz auszuüben. Dieses Verhältniss verleiht uns an sich ja schon ein sehr sicheres Gefühl. :-(

Keine klaren Aussagen zur IT-Sicherheit

Der Gesetzentwurf hinterlässt also mehr Fragen als Antworten. Im Bundestag jedoch gab es durchaus auch positive Meinungen. So lobte die SPD das Gesetz, weil es europaweit stark beachtet werde und Deutschland das erste Land ist, welches diesen Weg geht. Die Linken plädierten unter anderem für ein "unabhängiges" Bundesamt.

Im Zeitalter Hackern, Cloud-Diensten und Cyberattaken in diesem Neuland "Internet" muss die Bundesregierung etwas unternehmen - schon allein um die womöglich nötige Neufinanzierung der eigenen IT-Technik zu begründen.

Das neue IT-Sicherheitsgesetz bietet nicht viel - und vor allem digital keine Sicherheit. Auf diesem Wege konnte aber die unbeliebte Vorratsdatenspeicherung endlich angestoßen werden. Politisch wird dieses Gesetz also bestimmt auch weiterhin von vielen als Erfolg gefeiert.

Neue Funkanlagen Richtlinie (RED) der EU Kommission vom 29.10.2021

Zur Thematik IT-Sicherheit warnte bereits 2016 der Chaos Computer Club vor einer drohenenden Funkabschottung. Ihre Befürchtung mit Art. 3 Abs. 3 i könnten alle Funkanlagen derartig dicht gemacht werden, dass keine externe Software-Entwicklung mehr möglich ist. Dies hätte sicher Auswirkungen auf Innovation, Softwarefreiheit und einen fairen Wettbewerb für Unternehmen. Im Jahr 2018 setzte der Bundestag die Passage dennoch ins nationale Recht um.

Am 29.10.2021 hat die EU-Kommission nun über einen nachgeordneten Rechtsakt Vorschriften zur Einhaltung der umstrittenen Richtlinie über Funkanlagen erlassen (Radio Eqipment Directive, RED). Diese sollen sicherstellen, dass die neu erfassten Anforderungen an vernetzte Geräte zur Cypersicherheit eingehalten werden, bevor sie in der EU auf den Markt kommen. Worauf ist nun zu achten?

Anforderungen zur Cyber Sicherheit und Geltungsbereiche

Funkanlagen, die künftig auf den Markt kommen, sollen die Anforderungen an die Cybersicherheit nach Art. 3 Abs. 3 der RED erfüllen. Die vernetzten Geräte dürfen weder schädliche Auswirkungen auf das Netz oder seinen Betrieb haben noch eine missbräuchliche Nutzung von Netzressourcen, die eine Beeinträchtigung des Dienstes verursachen.

Demnach sollen alle künftigen Funkanlagen die Anforderungen an den Datenschutz erfüllen. Konkret erforderlich ist dies in den Fällen, in denen personenbezogene Daten und Informationen direkt verarbeitet werden (z.B. Smart Toys, Wearables, Smartwatches, Smart Clothing, Fitnesstracker).

Verpflichtung geplant ab 2024 - Was müssen Hersteller beachten?

Dass Hersteller Anforderungen an IT-Sicherheit und Datenschutz erfüllen müssen, ist nicht ganz neu. Es gilt eine Verpflichtung der Hersteller zur Berücksichtigung der DSGVO. Mit Blick in die Zukunft, die eine Umstellung der Produktentwicklung in Anspruch nehmen wird, sollten Hersteller sich schnellstmöglich auf die Umsetzung der neuen Vorgaben vorbereiten. Ein wichtiger Bestandteil des FRITZ!Box Sicherheitskonzeptes sind beipielsweise regelmäßige Aktualisierungen mit der FRITZ!OS durchzuführen.

Hochwertige AVM Router im FTS Mobilfunk Shop

Unternehmen und Hersteller können künftig mit Informationen von IT-Sicherheitskennzeichen vom BSI, die Sicherheitseigenschaften ihrer IT-Produkte leicht erkennbar machen. Das IT-Sicherheitskennzeichen, kann ein Verkaufsargument darstellen, denn für Verbraucher ist es relevant umfassende Informationen zu Themen wie Datenschutz , Security und dem Schutz vor Angriffen zu erhalten. Unternehmen sollten bestrebt sein, präventiv ihre Unternehmensstrukturen auf mögliche Risiken und Bedrohungen zu überprüfen und zu sichern. Zur Umsetzung von IT-Sicherheit empfiehlt sich ein unternehmensbezogenes Cyber Security Compliance Management, für die Erstellung eines einheitlichen Sicherheitskonzepts und natürlich zur Risikoabwägung.