Pressemitteilung

Nachdem Recherchen von NDR und Spiegel Ende 2021 ergaben, dass große Mengen bereits durch Ermittlungen aufgedeckter Darstellungen von sexualisierter Gewalt an Kindern weiterhin im Internet aufzufinden waren, ihre Löschung aber durch Information der Speicherdienste von Journalist:innen in fast allen Fällen schnell und einfach erreicht werden konnte, haben Abgeordnete der Bundestagsfraktion DIE LINKE in einer Kleinen Anfrage (BT-Drucksache 20/729) die Bundesregierung zum Umgang mit gefundenem Material zu dokumentiertem Kindesmissbrauch im Internet befragt.

Aus der Antwort der Bundesregierung werden erhebliche Defizite im Umgang mit gefundenen Darstellungen sexualisierter Gewalt an Kindern im Netz offensichtlich.

Weiterlesen

Die Ergebnisse einer Recherche zu Darstellungen sexualisierter Gewalt an Kindern im Internet (leider fälschlicherweise immer noch oft als „Kinderpornografie“ bezeichnet)* von NDR und Spiegel aus dem Dezember 2021 ergab, dass große Mengen entsetzlicher Bilder von sexualisierter Gewalt an Kindern auch nach ihrem Entdecken durch Strafverfolgungsbehörden noch im Netz blieb. Die Journalist:innen des Investigativ Magazins Panorama und der Sendung Steuerung_F kontaktierten die Betreiber der jeweiligen Speicherorte und erreichten, dass in kurzer Zeit die meisten dieser Bilder offline genommen wurden.

Ich wollte wissen, wie das BKA mit Fällen umgeht, bei denen sie auf Bilder mit Darstellungen sexualisierter Gewalt an Kindern stoßen. Wird eine schnellstmögliche Löschung veranlasst, was offenbar auch niedrigschwellig und mit hoher Erfolgsquote und natürlich auch in anderen Ländern möglich ist? Für eine Antwort auf diese und andere Fragen rund um das Thema habe ich eine Kleine Anfrage an die Bundesregierung gestellt. 

Weiterlesen
Das Bild ist freundlicherweise von @maxxoid (twitter) bereitgestellt – Danke dafür.

Wer erinnert sich noch an Andy Scheuers zahlreiche digitalpolitischen Fehltritte? Okay, das ist viel verlangt, es waren schließlich viele – aber sein letzter blieb zumindest mir nachhaltig in Erinnerung: das digitale Totalversagen rund um den digitalen Führerscheinnachweis, ein Projekt, das er gemeinsam mit dem Kanzleramt in den Sand setzte.

Weiterlesen
  1. Wird die Bundesregierung – im Zusammenhang mit der o. g. Anwendung – auch weiterhin eine Blockchain-basierte Lösung zugrunde legen (falls ja, bitte Begründung beifügen)?
    a) Falls ja, welches Problem löst die Blockchain-Technologie nach Ansicht der Bundesregierung, das es ohne sie nicht gäbe und das nicht durch andere Technologien (einfacher) lösbar ist?
    b) Wie bewertet die Bundesregierung die inhaltlich übereinstimmende und voneinander unabhängige Kritik des BfDI, des BSI sowie von Expertinnen und Experten aus der Zivilgesellschaft an dieser Lösung?
    c) Wer zeichnete verantwortlich für die grundsätzliche Entscheidung für die Technologie und die letztliche Auswahl der konkreten Blockchainbasierten Lösung (bitte die Namen, Position), Abteilungen bzw. Organisationseinheiten, Bundesbehörden und das Bundesministerium angeben)?
    d) Welche technische und funktionale Bewertung lag dieser Entscheidung zugrunde?
    e) Welche alternativen Technologien wurden dabei ggf. in Betracht gezogen, und warum wurde gegen sie entschieden (je betrachtete Alternative bitte begründen)?
  2. a) Welche technischen Änderungen bzw. Verbesserungen plant die Bundesregierung hinsichtlich der ID-Wallet-App, und bis wann soll die ID-Wallet-App wieder verfügbar sein?
    b) In welcher Weise wird die Bundesregierung das BSI, den BfDI und die Zivilgesellschaft in die weiteren Arbeitsprozesse einbinden?
  3. a) Wird die amtierende Bundesregierung die Gespräche zwischen der vorherigen Bundesregierung und den am Gesamtprojekt beteiligten
    Unternehmen über eine dauerhafte Governance für das Gesamtökosystem Digitale Identitäten fortsetzen (siehe Antwort auf die Schriftliche Frage 2 auf Bundestagsdrucksache 19/32661, Antwort bitte begründen?
    b) Welche Anforderungen stellt die Bundesregierung an Unternehmen, die potentiell an einer dauerhaften Governance Digitaler Identitäten beteiligt sein sollen, vor allem mit Blick auf die nationale Souveränität?
  4. Welche Verbesserungen plant die Bundesregierung zur bestehenden eIDLösung (z. B. durch die Schaffung eines Grundrechts auf digitale Identität, durch vereinfachte Zugänglichkeit, modernisierte Protokolle, reduzierte Kostenstruktur, Zusatzfunktionen wie z. B. FIDO u. a.)?
    Antwort: Die Fragen 1 sowie 4 bis 6 werden aufgrund ihres Sachzusammenhangs gemeinsam beantwortet. Über die konkrete Ausgestaltung einer Weiterentwicklung der 09/2021 veröffentlichten ID Wallet wurde noch nicht entschieden.
  1. a) Weshalb und auf welcher rechtlichen Grundlage wurde für die Nutzung eines bestehenden Rahmenvertrages mit der SVA entschieden, anstatt einer öffentlichen Ausschreibung?
    b) Wie bewertet die amtierende Bundesregierung diese Art der Vergabe? Rahmenverträge dienen dazu, bestimmte, häufiger benötigte Leistungsarten vergaberechtskonform und schnell in Anspruch nehmen zu können. Vor dem Abschluss eines Rahmenvertrages findet eine öffentliche Ausschreibung statt.
  2. Inwiefern (inklusive genauer Angabe des Zeitpunkts sowie der konkreten Art und Weise) wurden das BSI und der BfDI in die Prüfung der App „ID Wallet“ (also nicht nur allgemein beim Projekt Digitale Identitäten) vor sowie nach der Veröffentlichung der App einbezogen, und zu welcher Bewertung kamen diese jeweils (bitte eventuelle Stellungnahmen und Einschätzungen beider Behörden im Wortlaut und mit Datum des Eingangs angeben)? Falls das BSI und der BfDI vor bzw. nach der Veröffentlichung nicht spezifisch zur ID-Wallet eingebunden wurden, bitte jeweils begründen, warum nicht?
    Antwort: Es wird auf die Antwort der Bundesregierung zu Frage 4 auf Bundestagsdrucksache 19/32661 verwiesen. Zum Systemkonzept für den Digitalen Führerscheinnachweis gab es vom 4.Juli 2021 bis zum 18. August 2021 wöchentliche Sitzungen. Das in den Arbeitssessions abgestimmte Abschlussdokument wurde am 19. August 2021 an das BSI geschickt. Das BSI sah auf dieser Grundlage zwei „Einschränkungen“ bzgl. der Sicherheit des Systems. Diese bezogen sich erstens auf das Fehlen einer Prüfung des QR-Code/E-Mail und enthaltener Links beim Einsprung in Prozesse (Abruf der Registerauskunft oder Vorzeigen des daraus erzeugten Wallet-Credentials) und der daraus resultierenden Notwendigkeit, dass etwaige
    Angriffsversuche durch die Nutzerin oder den Nutzer eigenständig erkannt werden können. Zweitens merkte das BSI an, dass hinsichtlich der Nutzung von
    Deeplinks die Prozesse (Abruf der Registerauskunft oder Vorzeigen des daraus erzeugten Wallet-Credentials) nicht erkennen können, ob es sich tatsächlich um
    den erwarteten Deeplink oder um einen unerwarteten aber dennoch akzeptierten Deeplink handle. Angesichts der Tatsache, dass die Liste der akzeptierten
    Deeplinks im Code der Wallet eingebettet sind und, aufgrund der zu diesem Zeitpunkt überschaubaren Zahl an Anwendungen, schätzte das BSI das Angriffspotenzial in diesem Zusammenhang als gering ein, wies allerdings darauf hin, dass mit einer steigenden Anzahl an Anwendungen die Liste der akzeptierten Deeplinks unübersichtlicher werde und damit die Wahrscheinlichkeit des Auftretens bösartiger Deeplinks/Anbieter steige. Einordnend kann dazu ergänzt werden: Punkt 1 betrifft unter anderem den
    QR-Code, welcher dazu dient, den Initialisierungs-Prozess anzustoßen. Dieser befindet sich für die Ausstellung des Führerscheinnachweises auf der Webseite
    des Kraftfahrt-Bundesamts (KBA). Aufgrund der im Rahmen der Initialisierung genutzten Online-Ausweisfunktion kann von der Nutzerin oder vom Nutzer erwartet werden, dass sie oder er keinen potenziell gefälschten QR-Code einer gefälschten KBA-Webseite nutzt. Um zu unterstützen, dass Angriffsversuche eigenständig erkannt werden, wird der Endpunkt (URL) angezeigt, sodass – analog wie bei den vielen Bürgerinnen und Bürgern bekannten OnlineBanking-Verfahren durch massive Awareness-Kampagne inzwischen in der
    Breite bekannt – die Adresse als valider Indikator für die Authentizität der Gegenseite steht („grünes Schloss“ in der Adressleiste). Bezüglich der Deeplinks wird mit weiterem Ausbau des Ökosystems die Nachprüfbarkeit der Verifizierer über den Ledger evaluiert, so dass der Nutzerin oder dem Nutzer angezeigt werden kann, ob es sich um einen vertrauenswürdigen, registrierten Verifizierer handelt. Dazu werden Gespräche mit dem BSI geführt. Mit dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) gibt es regelmäßigen Austausch zum Ökosystem Digitaler Identitäten und der Funktionsweise aller Komponenten (einschließlich der ID Wallet). Dabei ist im Rahmen des übergeordneten Projekts „sichere digitale Identitäten der BfDI mit dem Ökosystem einschließlich der ID Wallet befasst. Der BfDI berät die Bundesregierung auf ihren Wunsch. Der BfDI bietet als oberste Bundesbehörde keine Prüfung oder Zertifizierung isolierter Apps an, insbesondere nicht von privaten Herausgebern. Wenngleich dem BfDI in der Konstellation der Akteure also kein formaler Prüfauftrag oblag, gab es mit BfDI nach einem Auftaktgespräch im September 2020 im Zeitraum Februar bis Juni 2021 einen regelmäßigen Jour Fixe. Zudem war BfDI im August und September 2021 an einem Workshop zur Zusammenführung von elektronischem Personalausweis und SSI-Ökosystem beteiligt. Der Fokus lag auf der Einbindung von Identifikationsdaten aus dem Personalausweis in die SSI-Infrastruktur. Auf Grundlage der Vorprüfung hatte der BfDI empfohlen, für Identifikationsdaten die bestehende Infrastruktur des elektronischen Personalausweises in Ergänzung zum SSI-Ökosystem zu nutzen. Dabei kann auch bei einer kombinierten Nutzung von Smart-eID und SSI Basis-ID je nach Anforderungen der jeweiligen Anwendungsfälle und konkreten Ausgestaltung der SSI-Infrastruktur ein hoher Grad an Nutzerschutz erreicht werden. Diese Vorprüfung hatte keinen Zusammenhang zum Führerschein-Nachweis. Eine Beratung zur Einbindung des Führerschein-Nachweises in das SSI-System durch den BfDI hat nicht stattgefunden.

Künstliche Intelligenz: Nutzen und Risiken

Seit Jahren steigt der Einsatz von Künstlicher Intelligenz (KI), längst ist sie im Alltag der Menschen angekommen und wird weiter zunehmen, nicht nur in der Wirtschaft und in unseren elektronischen Geräten, sondern auch in der öffentlichen Verwaltung.

Weiterlesen
Blaue und rote Kabel eines Rechenzentrums

Die Klimakrise verschärft sich und die Informationstechnik trägt wesentlich dazu bei. Schon jetzt ist ihr Beitrag zur Erhöhung des CO2 Ausstoßes größer, als durch die weltweite zivile Luftfahrt, deshalb habe ich gemeinsam mit meinem Kollegen Gösta Beutin, klimapolitischer Sprecher der Linksfraktion, die Bundesregierung in einer Kleinen Anfrage zum Thema Digitalisierung und Nachhaltigkeit befragt. In der Vergangenheit stellte die Bundesregierung verschiedene ambitionierte Projekte wie die „Umweltpolitische Digitalagenda“ vor. Wir haben nachgehakt, inwiefern die Umsetzung voranschreitet und welche weiteren Schritte die Bundesregierung unternimmt, um im Einklang mit den Pariser Klimazielen für den eigenen CO2-Fußabdruck Verantwortung zu übernehmen. Dabei habe ich mich vor allem nach der Klimawirkung und Nachhaltigkeit von IT-Infrastruktur wie Rechenzentren erkundigt, nach Status Quo und bestehenden Plänen, wie man die beschlossene Klimaneutralität der Bundesverwaltung bis 2030 auch in der Praxis erreichen will und welche Regulierungen man plant, um auch bundesweit die negative Klimawirkung von Rechenzentren zu verringern.  

Die Antwort der Bundesregierung deckte eklatante Mängel auf, denn sie scheint nicht nur völlig ehrgeizlos zu sein, sondern auch buchstäblich ahnungslos. Beides ist ein gleichermaßen großes Problem, denn wer einen Missstand ändern will, muss zuerst die Ausgangslage verstehen. Die Bundesregierung scheitert bereits daran. Das Ausmaß der Unkenntnis des Status Quo in Sachen Klimabilanz der Bundes-IT ist erschreckend. Nach fünf Wochen Bearbeitungszeit lieferte sie nicht einmal eine rudimentäre Ökobilanzierung ihrer Rechenzentren.

Eine Gesamtkoordination der umweltpolitischen Digitalagenda ist nicht erkennbar, es gibt offenbar nicht einmal grundlegende Monitoringprozesse zur Klimawirkung der Bundesrechenzentren.

Weiterlesen

Nur durch ein standardisiertes Internet Protokoll, das jedem Internetknotenpunkt von Computer bis Webseite eine eindeutige IP Adresse zuordnet, können Datenpakete im Internet ihren richtigen Weg von A nach B finden. Verbreitet ist noch das alte Internet Protokoll Version 4 (IPv4), dessen Adressraum jedoch beschränkt ist. 2011 vergab die IANA die letzten IPv4 Adressblöcke an die regionalen Adressverwaltungsorganisationen. Im November 2019 wurden für die Region Europa die letzten IPv4 Adressen vergeben. Seit diesem Datum gibt es nur noch recycelte IP Adressen für IPv4. Da das Internet weiter exponentiell wächst, ist daher eine Umstellung auf das neue Internet Protokoll IPv6 unabdingbar und zeitnah umzusetzen und das gilt auch für die IT der Bundesverwaltung und alle ihre Internetdienste, also sowohl für ihre Websiten, die von außen zugänglich sind, als auch für die interne IT.

Weiterlesen

Kleine Anfrage

der Abgeordneten Anke Domscheit-Berg, Niema Movassat, Petra Pau, Petra Sitte, Katrin Werner und der Fraktion DIE LINKE.

Durch ein Internet-Protokoll ist festgelegt, wie im Internet Datenpakete verschickt werden. Damit die Pakete an der richtigen Stelle ankommen, braucht jeder Knotenpunkt des Netzwerks eine global eindeutige Adresse, so die Theorie. Knotenpunkte können zum Beispiel Computer sein, Server, welche Webseiten, e-Mail und andere Dienste zur Verfügung stellen oder Router. IPv4 (Internet Protocol Version 4) war die erste weltweit verbreitete Version des Internet Protokolls. Die Anzahl möglicher Adressen ist bei diesem Protokoll auf 4,3 Milliarden begrenzt und kann nicht nachträglich erhöht werden. Bereits seit den 1990er Jahren wird diskutiert, dass der IPv4 Adressraum mit einer zunehmenden Verbreitung des Personal Computers eines Tages zu klein werden würde. Deshalb wurde 1998 von der Internet Engineering Task Force ein Nachfolgeprotokoll entwickelt, das dieses Problem beheben sollte. Deutschland hat mit 120 Millionen vergleichsweise viele IPv4 Adressen. Indien hat beispielsweise, obwohl die Bevölkerung 16 Mal größer ist als die deutsche, nur 40 Millionen Adressen (http://resources.potaroo.net/iso3166/v4cc.html). Wenn jedoch, wie das Protokoll vorsieht, jeder PC, jedes internetfähige Mobiltelefon, jeder Server, Router, Netzwerkdrucker und mittlerweile auch immer mehr Haushaltsgeräte mindestens eine eigene Adresse bekommen sollen, sind 1,5 Adressen pro Person bei weitem nicht ausreichend.

Spätestens seit die IANA (Internet Assigned Numbers Authority) im Februar 2011 den letzten freien Block des IPv4 Adressraums dem RIPE NCC (Réseaux IP Européens Network Coordination Centre), einem der fünf regionalen Internet Registries, zugewiesen hat, wird die Brisanz der Adressknappheit immer deutlicher. Das RIPE Network Coordination Center, welches den europäischen IP-Adressbereich verwaltet, begrenzte im September 2012 die Menge an Adressen, die Mitglieder beziehen können. Am 25. November 2019 wurde der letzte Adressblock verteilt. Folge dieser Entwicklung ist die Entstehung eines sekundären Marktes für IP-Adressen, und eine Wiederverwendung “gebrauchter” IP-Blöcke und damit eine Fragmentierung des globalen Adressraums. Beim weit verbreiteten NAT-Verfahren werden mehrere Knotenpunkte mit einer geteilten IP-Adresse an das Internet angebunden. Sowohl in Haushalten als auch auf Ebene der ISPs (Internet Service Provider) wird diese Technik heute eingesetzt. Dadurch wird ein zentrales Prinzip des Internets, die direkte Kommunikation von Ende zu Ende,  verletzt. All diese Strategien die endgültige Ausschöpfung des IPv4-Adressraums hinauszuzögern bringen vielfältige Probleme der Sicherheit, Verfügbarkeit und Nachhaltigkeit mit sich. Dennoch verläuft die Umstellung nach wie vor schleppend. Aktuelle Statistiken zeigen, dass weltweit rund ein Viertel der Zugriffe auf Websites wie Google über IPv6 erfolgen.

Der damalige Staatssekretär des BMI, Hans Bernhard Beus, bezeichnete die Umstellung auf IPv6 schon im Mai 2009 als wichtige infrastrukturelle Grundsatzentscheidung. Doch 10 Jahre später, im Juni 2019, scheint nur ein Bruchteil der Dienste des Bundes via IPv6 erreichbar zu sein, wie eine Schriftliche Frage an die Bundesregierung ergab (Drucksachennummer 19/10897).  In der ebenfalls im Juni 2019 erschienenen Architekturrichtlinie für die IT des Bundes wird gefordert, dass alle Neubeschaffungen mit IPv6 funktionsfähig sein, sowie alle bestehenden Systeme IPv6 fähig gemacht werden müssen.

Wir fragen die Bundesregierung:

  1. Wie definiert die Bundesregierung IPv6-Fähigkeit?
    1. Werden verschiedene Formen der abstrakten IPv6-Fähigkeit oder der tatsächlichen Eignung zum Einsatz mit IPv6 unterschieden?
  2. Wie stellen die Behörden des Bundes fest, dass sämtliche IT-Systeme, Verfahren, Infrastrukturen mit IPv6 und auch ohne IPv4 vollständig funktionsfähig gemäß Architekturvorgabe TNAV-02 für Netze (https://www.cio.bund.de/SharedDocs/Publikationen/DE/Architekturen-und-Standards/architekturrichtlinie_it_bund_2019.pdf?__blob=publicationFile) sind? [bitte aufschlüsseln nach Behörde]
  3. Wie hoch war der finanzielle und personelle Aufwand, die Funktionsfähigkeit von IT-Systemen, Verfahren und Infrastrukturen des Bundes mit IPv6 zu überprüfen?
  4. Welche Software in der Bundesverwaltung ist bereits jetzt in der Lage, mit IPv6 umzugehen und auf welche Weise wurde jeweils sichergestellt, dass die IPv6-Fähigkeit gegeben ist? [bitte aufschlüsseln nach Software und Fachverfahren und Einsatzort]
  5. Welche durch den Bund oder im Auftrag des Bundes betriebenen Dienste im Internet (Webseiten, Apps, Services, APIs etc.) sind bereits via IPv6 erreichbar, welche nicht? [bitte aufschlüsseln nach Behörde und IP-Adressen]
    1. Welche liegen davon im Adressbereich der LIR (local Internet Registry) des Bundes, welche davon sind andere Anbieter, z.B. CDNs.
  6. Welche Software in der Bundesverwaltung ist zum gegenwärtigen Zeitpunkt nicht in der Lage, mit IPv6 umzugehen? [bitte aufschlüsseln nach Software und Fachverfahren und Einsatzort]
  7. Welche Hardware im Besitz oder Eigentum des Bundes ist derzeit noch nicht IPv6-fähig? [bitte aufschlüsseln nach Behörde]
  8. Welche Systeme in Behörden des Bundes sind derzeit noch nicht IPv6-fähig? [bitte aufschlüsseln nach Behörde und Einsatzort]
  9. Welche Infrastrukturen, die durch den Bund oder im Auftrage des Bundes betrieben werden, sind derzeit noch nicht IPv6-fähig?
  10. Für welche IT-Systeme wurde festgestellt, dass eine Fortführung mit IPv4 aus Bestandsschutzgründen nötig ist? [Bitte aufschlüsseln nach System und Behörde]
  11. Kann die Bundesregierung ein Datum benennen, an dem flächendeckend oder mit Ausnahme von bestandsgeschützten IT-Systemen kein IPv4 mehr in der Bundesverwaltung zum Einsatz kommen soll?
    1. Welche Methoden wie beispielsweise Lifecycle Management setzt die Bundesregierung ein, um dieses Ziel von IPv6-only zu einem konkreten Zeitpunkt zu erreichen?
    2. Bezieht sich das Ziel IPv6-only lediglich auf Perimeter?
  12. Für welche IT-Systeme existiert ein Migrationskonzept auf IPv6? [Bitte aufschlüsseln nach IT-System und Behörde]
  13. Gibt es derzeit Bereiche in der Verwaltung, die Probleme haben, weil es an IPv4-Adressen mangelt?
  14. Wer ist für die Durchsetzung der IT-Architekturrichtlinie und die darin enthaltene TNAV-02 zu IPv6 zuständig?
  15. Welche Vorteile – neben dem größeren Adressbereich – gibt es aus Sicht der Bundesregierung, die eine IPv6-Einführung in der öffentlichen Verwaltung sowie den Umstieg auf IPv6 only begründen?
  16. Bei welchen Anlässen und in welchen Gremien hat die Bundesregierung mit Regierungen anderer Staaten über die Einführung und Nutzung von IPv6 gesprochen, mit welchem Ergebnis?
  17. Bei welchen Anlässen und in welchen Gremien hat die Bundesregierung mit Vertreter*innen der Bundesländer über die Einführung und Nutzung von IPv6 gesprochen, mit welchem Ergebnis?
  18. Welche Erkenntnisse hat die Bundesregierung über die Einführung von IPv6 in der Verwaltung und den Behörden anderer EU-Mitgliedsstaaten und in der Europäischen Kommission?
  19. Welche Erkenntnisse hat die Bundesregierung über die Einführung von IPv6 in der Verwaltung und den Behörden der Länder?
  20. Welche Erkenntnisse hat die Bundesregierung über die Einführung von IPv6 in der deutschen Privatwirtschaft, bei Nichtregierungsorganisationen, in Privathaushalten und in Homeoffices?
  21. Wie sieht die Strategie der Bundesregierung zur Migration der Bundesbehörden auf IPv6 aus?
    1. Wann wurde eine solche Strategie erstellt?
    2. Welche zeitlichen Meilensteine gibt es?
    3. Wurden diese Meilensteine in der Vergangenheit verschoben und wenn ja warum?
  22. Mit wem arbeitet die Bundesregierung an einer solchen Strategie?
    1. Gibt es eine externe technische Beratung, und wenn ja, durch wen?
    2. Gibt es eine interne Gruppe die sich mit diesem Thema befasst?
    3. Wie groß ist diese Gruppe und welche Qualifizierungen bringt sie zu diesem Thema ein?
  23. Wie wird die Kompatibilität zwischen einem neuen auf IPv6 basierenden System und Legacy-Systemen von z.B. Landesbehörden sichergestellt?
  24. Wie koordiniert sich die Bundesebene mit den Landesebenen sowie anderen relevanten Ebenen?
  25. Wie viele IT-Systeme wurden seit der Ankündigung von Staatssekretär Bernhard Beus am 14. Mai 2009 über die Unterstützung und den Einsatz von IPv6 in der Bundesverwaltung mit welchen Mitteln beschafft, die kein IPv6 unterstützten?
  26. Wird IPv6 als Anforderung an externe Dienstleister mitgegeben die Angebote für Behörden und andere Institutionen betreiben?
    Welche nicht privaten (RFC1918) IPv4-Adressen und Adressbereiche sind derzeit im Besitz oder in der Verfügungsgewalt welcher Bundesbehörden [bitte aufschlüsseln]?
  27. Welche IPv4-Adressen und Adressbereiche wurden in den letzten 10 Jahren zu welchen Kosten durch den Bund oder auf Veranlassung des Bundes von wem erworben [bitte aufschlüsseln]?
  28. Welche IPv4-Adressen und Adressbereiche wurden in den letzten 10 Jahren durch den Bund zu welchen Kosten an wen abgegeben [bitte aufschlüsseln]?
  29. Welche IPv4-Adressen und Adressbereiche sind für den Bund zur Nutzung überlassen worden oder werden von ihm im Rahmen von ISP-Dienstleistungen zur Nutzung bereitgestellt?
  30. Welche Bemühungen hat der Bund unternommen, sich Zugriff oder Nutzungsrechte für IPv4-Adressen zu verschaffen und welche Aufwendungen sind dabei entstanden [bitte aufschlüsseln nach Erfolg und Vorgang]?
  31. Welche rechtlichen, haushalterischen, technischen, organisatorischen oder sonstigen Vorgaben existieren bei dem Kauf oder Verkauf von IPv4 oder IPv6-Adressen oder Adressbereichen, an denen der Bund beteiligt ist?
  32. Welche IPv4-Adressen oder Adressbereiche wurden in den letzten 10 Jahren innerhalb des Bundes oder zwischen Bund und Ländern abgegeben, getauscht oder sonstwie neu verteilt?
  33. Beim Zugriff via IPv6 können sich bereits in der Adresse des Absenders personenbezogene Daten befinden, z.B. die Hardwarekennung (MAC-Adresse) eines Mobiltelefons. Welche Pläne bestehen, insbesondere im Fall der Speicherung und Auswertung dieser Daten, über die technische Umstellung auf neue Adressen hinaus, um den damit einhergehenden höheren Datenschutzanforderungen von Anfang an Sorge zu tragen?
  34. Welche IT-Systeme und Anwendungen werden durch den Bund oder im Auftrage des Bundes und seiner Behörden derzeit entwickelt oder geplant und wie findet hier jeweils die Sicherstellung der IPv6-Fähigkeit dieser Systeme und Anwendungen statt?
  35. Welche Sicherheitsmaßnahmen werden getroffen zum Schutz der IPv6 Infrastruktur an Netzübergängen?
  36. Gibt es innerhalb des Bundes mit seinen Behörden interne Netze die RFC1918 äquivalente Adressen verwenden werden damit diese nicht global routbare Adressen verwenden (http://tools.ietf.org/html/rfc4193)?
  37. Gibt es einen Mechanismus zur Überprüfung der tatsächlichen Erreichbarkeit und dauerhaften Verfügbarkeit von IPv6-Adressen innerhalb der Bundesverwaltung?
  38. Wird der Prozess der Umstellung auf IPv6 in den Bundesbehörden durch interne oder externe Arbeitsstellen oder Dienstleister begleitet oder unterstützt?
    1. Wie hoch sind die jeweiligen Kosten dieser Arbeit?
    2. In welcher Form findet die Unterstützung statt?
    3. Welcher Aufwand ist dem Bund bei der Unterstützung und Beratung der Einrichtung der SubLIRs innerhalb von de.government entstanden?
    4. Welcher Aufwand ist dem Bund nach der Einrichtung für die Beratung und Unterstützung der Wartung und Aufrechterhaltung des Betriebs der SubLIRs entstanden?
  39. Welche Erfahrungen hat die Bundesregierung beim Einsatz von IPv6 im Hinblick auf die Fähigkeit von externen Dienstleistern und insbesondere ISPs gemacht, mit IPv6 umzugehen? [Bitte aufschlüsseln nach Dienstleistern]

Parlamentarische Initiativen von Anke Domscheit-Berg, Petra Sitte, Birke Bull-Bischoff, Doris Achelwilm, Katrin Werner, Norbert Müller, Nicole Gohlke, Petra Pau, Simone Barrientos, Ulla Jelpke, 21. August 2019

21.08.19 – Kleine Anfrage – Drucksache Nr. 19/12456

Anfang Januar wurde bekannt, dass die Daten von knapp 1000 Prominenten, darunter viele Politiker*innen, im Netz veröffentlich worden waren. Kurz darauf kündigte BMI Seehofer als Reaktion das IT-Sicherheitsgesetz 2.0 mit konkreten Maßnahmen an. Wir wollen wissen, was über das Vorgehen der Täter*innen inzwischen bekannt ist, ob weitere Fälle bekannt sind und wie die Bundesregierung Betroffene schützt oder in Zukunft schützen will.

Inhalt

Vorbemerkung der Fragesteller:
Vom 1. bis zum 28. Dezember 2018 wurden über die Platform Twiter persönliche Daten von knapp 1.000 Politiker*innen und weiteren Prominenten veröfentlicht. Dieses Vorgehen wurde als ,Adventskalender‘ bekannt, da jeden Tag neue Informationen veröfentlicht wurden (https:/www.heise.de/newsticker/meldung/Politiker-und- Promi-Hack-Ehemaliges-Twitter-Konto-eines-YouTubers-missbraucht-4265608.html). Die Daten wurden darüber hinaus auf zahlreichen Spiegelservern abgelegt, was die Löschung erheblich erschwerte (https://twitter.com/thegrugq/status/1081191019993915392).
Durch einen Tweet des selbst betrofenen YouTubers Unge und einen Bericht des Senders RBB am 4. Januar 2019 wurden die auch als ,Doxing‘ bezeichneten Veröffentlichungen von persönlichen Daten einer breiten Öffentlichkeit bekannt. Zwei Tage später wurde ein Verdächtiger ermittelt und festgenommen.
In vielen Fälen waren öfentlich bereits verfügbare Informationen wie Büro-Adressen, Telefonnummern oder Mailadressen zusammengetragen worden, in anderen wurden aber auch tatsächlich private Informationen wie Wohnadressen, Fotos oder Inhalte von Chats veröfentlicht.
Bereits vor Dezember 2018, nämlich mindestens seit dem Juli 2017, wurden über den Twiter-Account des Täters persönliche Daten veröfentlicht, u. a. die des Satirikers Jan Böhmermann (https://www.donaukurier.de/nachrichten/topnews/inland/art388865,4037598).
Der Bundesregierung und den Sicherheitsbehörden waren die Doxingfäle nach eigener Aussage vor Januar 2019 nicht bekannt.

Vorbemerkung der Bundesregierung:
Dem Ermitlungsverfahren der Generalstaatsanwaltschaft Frankfurt a. M., Zentralstelle zur Bekämpfung der Internetkriminalität (ZIT), Az. 60 Js 17/19, gegen den Beschuldigten wegen des Verdachts des Ausspähens von Daten, Verstoßes gegen das Bundesdatenschutzgesetz und andere Delikte, liegt die im Rahmen eines sogenannten „Adventskalenders“ im Dezember 2018 erfolgte Veröffentlichung persönlicher Daten von Personen des öffentlichen Lebens (Prominente, Politikerinnen und Politiker) zugrunde. Das Ermittlungsverfahren ist noch nicht beendet.
Trotz der grundsätzlichen verfassungsrechtlichen Pflicht der Bundesregierung, Informationsansprüche des Deutschen Bundestages zu erfüllen, tritt hier nach konkreter Abwägung der betroffenen Belange das Informationsinteresse des Parlaments hinter den berechtigten Geheimhaltungsinteressen zurück. Das Interesse der Allgemeinheit an der Gewährleistung einer funktionstüchtigen Strafrechtspflege leitet sich aus dem Rechtsstaatsprinzip ab und hat damit ebenfalls Verfassungsrang. Die gewünschte Auskunft würde weitergehende Ermittlungsmaßnahmen erschweren oder gar vereiteln, weshalb aus dem Prinzip der Rechtsstaatlichkeit folgt, dass vorliegend das betroffene Interesse der Allgemeinheit an der Gewährleistung einer funktionstüchtigen Strafrechtspflege und Strafverfolgung (vgl. dazu BVerfGE 51, 324 (343 f.) Vorang vor dem Informationsinteresse hat.
Im Übrigen wird auf die gemeinsame Pressekonferenz von ZIT und BKA vom 8. Januar 2019 verwiesen.

1.
Wie viele Personen waren nach Kenntnis der Bundesregierung insgesamt von diesen Doxing-Fällen betroffen?

2.
Wie viele Personen waren direkt und wie viele waren mittelbar betroffen?

3.
Fanden im Rahmen der Ermittlungen nach Kenntnis der Bundesregierung Durchsuchungen statt? (Bitte unter Nennung von Daten, beteiligter Behörden und ggf. sichergestellten Asservaten beantworten.)

4.
Wurden nach Kenntnis der Bundesregierung im Rahmen der Ermittlungen nachrichtendienstliche Mittel angewandt und wenn ja, welche, in welchem Zeitraum und von welchen Behörden? (Bite jeweils detailiert ausführen.)

5.
Verfügt die Bundesregierung über Erkenntnisse über politische Neigungen oder politische Motive des Täters oder der Täter*innen? (Bite jeweils detailiert ausführen.)

6.
Wie ist der Täter oder sind die Täter*innen nach Kenntnis der Bundesregierung vorgegangen, um die dann veröffentlichten Daten zu erhalten? (Bitte Methoden und Häufigkeit je einzeln aufschlüsseln.)

7.
Sind dabei nach Kenntnis der Bundesregierung Methoden des Social Engineering angewandt worden und wenn ja, welche und wie häufig? (Bitte einzeln aufschlüsseln.)

8.
In wie viele Accounts von wie vielen Personen wurde nach Kenntnis der Bundesregierung von den Täter*innen eingebrochen, also in wie vielen Fällen wurden Accounts tatsächlich gehackt?

9.
Wie viele Ermittlungsverfahren gegen wie viele Personen wurden nach Kenntnis der Bundesregierung in der Folge eingeleitet? (Bite nach Straftatbeständen und ermittelnder Behörde aufschlüsseln.)

10.
Wurde das Bundesamt für Verfassungsschutz zu irgendeinem Zeitpunkt in die Ermittlungen einbezogen oder spielte sonst irgendeine Role in der Bewertung oder Ermittlung? Wenn ja, welche?

Zu 1 bis 10:
Die Fragen 1 bis 10 werden gemeinsam beantwortet.
Es wird auf die Vorbemerkung der Bundesregierung verwiesen.

11.
Welche weiteren Fälle von Doxing sind der Bundesregierung bekannt?
a) Wie viele Fälle von Politiker*innen oder anderen in der Öffentlichkeit stehenden Personen sind darunter?
b) Wie viele Fälle sind der Bundesregierung bekannt, in denen Gruppen von Menschen oder sonst jeweils größere Zahlen von Menschen betroffen waren?

Zu 11:
Die Bundesregierung hält keine Daten vor, die eine Beantwortung im Sinne der Fragestellung ermöglichen.

12.
Ist der Bundesregierung der Fall von 200 Namen und Adressen bekannt, die Anfang Januar 2019 bei Indymedia veröfentlicht wurden, darunter Journalisten, Politiker und Künstler und hat es hierzu nach Kenntnis der Bundesregierung insbesondere strafrechtliche Ermitlungen gegeben, wenn ja, mit welchem Ergebnis? (https:/www.neues-deutschland.delartike1/1109331.indymedia-rechte-drohliste-auf- linkes-portal-geschmuggelt.html)

Zu 12:
Der Bundesregierung ist die im Januar 2019 bei Indymedia unter dem Begriff „#WirKriegenEuchAllee“ (Fehler im Original) veröffentlichte Datensammlung bekannt. Inzwischen sind die Beiträge nicht mehr abrufbar.
Das BKA führt diesbezüglich keine Ermitlungen. Über Ermitlungen der Länder liegen der Bundesregierung keine Informationen vor.

13.
Welche konkreten Maßnahmen zum Schutz von betrofenen Politiker*innen, Prominenten und anderen Nutzer*innen hat die Bundesregierung seit dem Bekanntwerden der Vorfälle im Januar ergriffen?

Zu 13:
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) ist für die Abwehr von Gefahren für die Sicherheit der Informationstechnik des Bundes zuständig (§ 3 Absatz 1 Satz 2 Nummer 1 des BSI-Gesetzes – BSIG). Im genannten „Doxing“-Vorfall waren Informationstechnik und Daten außerhalb der Regierungsnetze betroffen.

Das BSI kann in solchen Fällen Anwender in Fragen der Sicherheit in der Informationstechnik unter Berücksichtigung der möglichen Folgen fehlender oder unzureichender Sicherheitsvorkehrungen beraten (§ 3 Absatz 1 Satz 2 Nummer 14 BSIG).

Entsprechende Beratungen hat das BSI mit großem personellen Einsatz durchgeführt.
Über das Informations- und Beratungsangebot BSI für Bürger“ (www.bsi-fuer-buerger.de), das als Zielgruppe Privatanwenderinnen und -anwender hat, richtete das BSI nach dem „Doxing“-Vorfall ein Angebot zur Kontaktaufnahme an alle Betroffenen des Vorfalls, sodass die Inanspruchnahme einer Beratung durch das BSI für alle betroffenen Personen möglich war. Zudem wurden auf dieser Webseite Handlungsempfehlungen für Betroffene veröffentlicht, die unter anderem eine Anleitung zum Vorgehen beim Zurücksetzen von Passwörtern und Hinweise zu weiteren Maßnahmen zum Schutz persönlicher Daten enthielten (htps:/www.bsi-fuer-buer- ger.de/BSIFB/DE/Risiken/ID-Diebstahl/Hilfe/Hilfe Betrofene node.html). In den folgenden Wochen und Monaten nach Bekanntwerden des „Doxing“-Vorfalls wurden weitere Sensibilisierungsmaßnahmen für Bürgerinnen und Bürger ergriffen, wie z. B. der Versand eines themenbezogenen Sonder-Newsletetrs, Sensibilisierungsmaßnahmen in sozialen Medien (u. a. Bereitstellung von Videos, Grafiken und Hinweise zu den Themen „Passwort“ und „Zwei-Faktor-Authentisierung“) und eine Beilage in einer überregionalen Zeitung. Weitere Sensibilisierungsmaßnahmen sind geplant. So wird das BSI z.B. den europäischen Aktionsmonat zur Cyber-Sicherheit (European Cyber Security Month – ECSM) im Oktober 2019 zur Bürgersensibilisierung nutzen.

Im Mittelpunkt wird dabei das Thema „Hilfe zur Selbsthilfe“ stehen, wobei sich die vorgestellten Maßnahmen unter anderem auf das Thema „Doxing“ beziehen werden. Für betrofene Mitglieder des Deutschen Bundestages fanden unter anderem Einzelberatungen vor Ort gemeinsam mit BSI und BKA statt. Auch für diese Zielgruppe hat das BSI Handlungsempfehlungen erarbeitet und zur Verfügung gestellt. Seit Anfang Mai 2019 versendet das BSI auch Warnmeldungen an die Fraktionen des Deutschen Bundestags.

Um die Situation Betroffener besser nachvollziehen zu können und möglichen weiteren Handlungsbedarf zu eruieren, fanden losgelöst vom konkreten Vorfall im Dezember 2018 im Bundesministerium der Justiz und für Verbraucherschutz Gespräche mit Personen statt, die Opfer von „Doxing“ wurden oder über Erfahrungen mit „Doxing-Fällen“ berichten können.
Maßnahmen der allgemeinen Gefahrenabwehr zum Schutz von Politikerinnen und Politikern, Prominenten und anderen Nutzerinnen und Nutzern fallen nach der Kompetenzordnung des Grundgesetzes grundsätzlich in die Zuständigkeit der Bundesländer und richten sich nach den jeweiligen Polizeigesetzen.

Durch die Abteilung Sicherungsgruppe des BKA wurden alle von der Adventskalender-Veröffentlichung betroffenen „§ 6-BKAG-Personen“ (Mitglieder der Verfassungsorgane des Bundes) über die Tatsache der Nennung ihrer Namen und den Umfang der zu ihrer Person veröffentlichten Daten in Kenntnis gesetzt. Darüber hinaus erfolgten eine individuelle Gefährdungsanalyse sowie das Angebot eines Sicherheitsgespräches (insbesondere in Bezug auf Gefahren in Zusammenhang mit der Nutzung informationstechnischer Systeme) an diesen Personenkreis.

14.
In welcher Weise beschäftigt sich das BSI mit dem Thema „Doxing“ und wurden seit den Vorfällen im Januar neue oder ergänzende Maßnahmen festgelegt oder geplant, gegebenenfalls welche? (Bite jeweils detailiert ausführen.)

Zu 14:
Das BSI beschäftigt sich mit dem Thema Doxing im Rahmen seiner Zuständigkeit für Beratungen und Warnungen in Fragen der Sicherheit in der Informationstechnik unter Berücksichtigung der möglichen Folgen fehlender oder unzureichender Sicherheitsvorkehrungen. In diesem Zusammenhang werden fortlaufend umfangreiche Handlungsempfehlungen und Informationen für Anwenderinnen und Anwender u. a. zur sicheren Nutzung von Social-Media- und E-Mail-Accounts erarbeitet und der Öffentlichkeit zur Verfügung gestellt.
Zudem wird von BSI und BMI gemeinsam eine nationale Informations- und Sensibilisierungskampagne geplant und beginnend ab 2020 umgesetzt.

Im Übrigen wird auf die Antwort zu Frage 13 verwiesen.

15:
Fokussieren sich die genannten Maßnahmen zum „Doxing“ auf im weitesten Sinne Personen des öffentlichen Lebens, und wie wird der Schutz weniger prominenter Nutzer*innen dabei berücksichtigt?

Zu 15:
Die Maßnahmen des BSI im Zusammenhang mit dem Phänomen Doxing richten sich grundsätzlich an alle Betroffenen. Das Informations- und Beratungsangebot „BSI für Bürger“ hat dabei insbesondere Privatanwenderinnen und -anwender als Zielgruppe definiert.

16:
Definiert die Bundesregierung Doxing als Cybercrime bzw. unter welchen Umständen definiert sie Doxing als Cybercrime?

Zu 16:
Nach der auch vom Bundeskriminalamt verwendeten Definition handelt es sich bei Cybercrime um Straftaten, die sich gegen das Internet, Datennetze, informationstechnische Systeme oder deren Daten richten (Cybercrime im engeren Sinne) oder die mittels dieser Informationstechnik begangen werden.
Unter Cybercrime im engeren Sinne fällt „Doxing“, wenn die unberechtigt öffentlich zugänglich gemachten Daten durch Taten erlangt werden, welche sich gegen das Internet, Datennetze, informationstechnische Systeme oder deren Daten richten, wie beispielsweise durch das Ausspähen von Daten nach §202a des Strafgesetzbuchs (StGB), durch Datenhehlerei (§ 202d StGB), durch Datenveränderung (§ 303a StGB) oder durch Computersabotage (§ 303b StGB).

Anfrage mit Antwort als PDF herunterladen

Im Januar 2018 veröffentlichten Forscher zwei Arten von Hardware-Sicherheitslücken in einer Vielzahl moderner Prozessoren, die es ermöglichen, Informationen auch ohne die nötigen Rechte auszulesen. Sie wurden unter dem Namen „Spectre“ und „Meltdown“ bekannt. Um gegen Angriffe, die diese Arten Sicherheitslücken ausnützen, geschützt zu sein, ist ein Zusammenspiel von Software- wie Hardwareherstellern nötig. Intel, deren nahezu komplette Prozessorenproduktpalette bis zurück in die späten 90er-Jahre betroffen ist, stellte Patches zumindest für neuere Prozessoren bereit, Microsoft zumindest für die Betriebssysteme, die noch aktiv gepflegt werden.
Besondere Aufmerksamkeit erhielten Spectre und Meltdown weniger wegen der besonderen Gefährlichkeit der Lücken, sondern weil sich die öffentliche Diskussion bisher besonders auf Schwachstellen in Software konzentrierte. Sicherheitslücken in Hardware können möglicherweise länger unentdeckt bleiben, ihre Behebung stellt sich schwieriger dar, als dies bei reinen Softwarefehlern der Fall ist.

Weiterlesen