Meine Schriftliche Frage zu Sicherheitslücken beim BSI

Frage: Welche Sicherheitslücken hat das Bundesamt für Sicherheit in der Informationstechnik seit 2014 durch eigenen Analysen entdeckt und mit den jeweiligen
betroffenen Herstellern diskutiert, damit diese die Sicherheitslücken kurzfristig schließen konnten (bitte aufschlüsseln nach betroffenem Produkt und der zugewiesenen CVE-Nummer)? (BT-Drucksache 19/6212)

Antwort des Parlamentarischen Staatssekretärs Dr. Günter Krings vom 26. November 2018

Das Bundesamt für Sicherheit in der Informationstechnik hat seit 2014 in der Software ILIAS insgesamt 6 Sicherheitslücken aufgedeckt. Den Sicherheitslücken wurden folgende CVE-Nummern zugeordnet:

Sicherheitslücken in Version 5.1. und für alle jeweiligen Unterversionen:
CVE-2018-10306
CVE-2018-11117
CVE-2018-11118
CVE-2018-11119
CVE-2018-11120

Sicherheitslücke in Version 5.2. und für alle jeweiligen Unterversionen:
CVE-2018-10307

Die Sicherheitslücken mit o. g. CVE-Nummern wurden veröffentlicht.

/von

Digitale Gewalt gegen Frauen: Kleine Anfrage an die Bundesregierung

, , ,

Foto: Jeanette Tittel, https://creativecommons.org/licenses/by/4.0/legalcode

Seit fast 20 Jahren finden immer am 25. November Aktionen statt, um auf Gewalt gegen Frauen aufmerksam zu machen. Seinen Ursprung hat dieser „Internationale Tag zur Beseitigung von Gewalt gegen Frauen“ in der Dominikanischen Republik. Am 25. November 1960 wurden die drei Schwestern Mirabal wegen ihrer politischen Aktivitäten gegen die Diktatur nach monatelanger Folter getötet.

Auch heute kämpfen wir gegen Gewalt, die Frauen in allen gesellschaftlichen Bereichen begegnet, im privaten Raum, bei der Arbeit oder auch im Internet. Im vergangenen Jahr wurden 147 Frauen von ihrem (Ex-)Partner getötet, 224 Frauen überlebten solche Tötungsversuche. Jeden Tag versucht also ein Mann, seine (Ex-)Partnerin zu töten, alle zweieinhalb Tage erreicht er sein tödliches Ziel. In den Medien werden diese Morde dann meist Tatsachen verdrehend als Beziehungsdrama bezeichnet.

Im Land Brandenburg lag die Zahl der gemeldeten Fälle von häuslicher Gewalt im Jahr 2017 bei 4254, bundesweit wurden 140.000 Menschen Opfer häuslicher Gewalt, 82 Prozent waren Frauen. Es gibt in Deutschland zu wenig Plätze in Frauenhäusern, auch das Frauenhaus in Brandenburg an der Havel, kann kaum noch Frauen (und Kinder) aufnehmen. Über die Ausfinanzierung müssen sich dringend alle politischen Ebenen einigen.

Auch wenn Gewalt gegen Frauen am häufigsten im privaten Raum stattfindet und nicht, wie oft angenommen, auf dunkler Straße und durch Fremde, gibt es sichere Räume praktisch nicht, was die Bewegungsfreiheit von Frauen einschränkt, denn fast jede meidet bestimmte Orte, weil sie sie für Frauen gefährlich findet. Angesichts vielfältiger Kleidungs- und Verhaltenstipps für Frauen muss jedoch deutlich gesagt werden: verantwortlich für Gewalt sind Täter, nicht Opfer.

Mich schockiert auch, wie wenig ernst Gewalt gegen Frauen im Internet genommen wird. Die Polizei kennt sich z. B. nur äußerst selten mit den Möglichkeiten für digitales Stalking durch unsichtbare Apps auf dem Handy aus. Wenn Frauen aber dadurch jederzeit geortet werden können, steigt ihr Risiko, Opfer physischer Gewalt zu werden. Auch mit Beleidigungen bis hin zur Androhung von Vergewaltigung, Misshandlungen und Mord  werden Frauen zunehmend im Netz konfrontiert. Auch ich habe Hassnachrichten erhalten, wurde beleidigt und bedroht. Ich habe manches bei der Polizei angezeigt, aber noch nie endete ein Fall vor Gericht. Polizei und Justiz fehlen die fachliche Kompetenz und die personellen Kapazitäten, um sich angemessen um diese Rechtsbrüche zu kümmern. Vielen fehlt selbst das grundlegendste Verständnis. Das voriges Jahr in Kraft getretene Netzwerkdurchsetzungsgesetz (NetzDG) bringt hier nur wenig Abhilfe. Es führt bestenfalls zur Löschung von Hassnachrichten, aber nicht zur Strafverfolgung. Und die Entscheidung, ob überhaupt gelöscht wird, liegt im Ermessen von Großkonzernen wie Facebook oder Twitter. Hassnachrichten über Messengerdienste sind überhaupt nicht vom NetzDG erfasst.

Digitale Gewalt ist jedoch mehr als Hassnachrichten, dazu zählt auch das Veröffentlichen persönlicher Informationen im Netz, wie Adresse oder Telefonnummer, Identitätsmissbrauch z. B. durch Anlegen gefälschter Profile auf Pornoseiten, oder der Versand intimer Fotos an den Arbeitgeber. Solche Taten wirken in das Leben der Betroffenen hinein. Die Bundesregierung bleibt jedoch weitgehend untätig, was die Untersuchung dieser Problematik und vor allem ihre Bekämpfung angeht, sie lässt die Opfer allein.

In einer Kleinen Anfrage zum Thema „Digitale Gewalt gegen Frauen“ (Drucksache 19/5743) fordere ich daher von der Bundesregierung Fakten und Informationen zu konkreten Maßnahmen, wie sie das Ausmaß digitaler Gewalt erfasst und wie sie gegen digitale Gewalt vorgeht. Zu beidem hat sie sich mit Ratifizierung der Istanbul Konvention verpflichtet.  Das Internet muss ein Raum sein, in dem sich Menschen frei bewegen können, ohne Angst vor jedweder Form von Gewalt. Staatliche Behörden müssen das Thema endlich ernst nehmen, Polizist*innen und Strafverfolgungsbeamte weiterbilden und eine zeitgemäße IT-Ausstattung erhalten. Es wird Zeit, dass die Polizei bei Fällen digitaler Gewalt konsequent Ermittlungen aufnimmt und die Justiz Recht auch durchsetzt. Online-Aktionen wie #metoo oder #keinemehr bleiben wichtig, um Aufmerksamkeit auf das Ausmaß digitaler Gewalt zu lenken. Als Feministin, Netzaktivistin und als persönlich Betroffene, ist mir das Thema besonders wichtig, ich bin deshalb sehr gespannt auf die Antworten der Regierung.

Update:

/von

Meine Schriftliche Frage zu Verstößen gegen das NetzDG

Frage: Wie viele Mitteilungen bezüglich Verstoßes gegen die Pflichten zum Umgang mit Beschwerden über rechtswidrige Inhalte gemäß § 3 des Gesetzes zur Verbesserung der Rechtsdurchsetzung in sozialen Netzwerken (NetzDG) hat das Bundesamt für Justiz seit Inkrafttreten dieses Gesetzes erhalten (bitte aufschlüsseln nach Quartal des Empfangs, Zeitraum zwischen Empfang der Mitteilung bis zu ihrer  Empfangsbestätigung in Monaten und Stand der Bearbeitung (laufend oder abgeschlossen))? (BT-Drucksache 19/5440)

Antwort der Parlamentarischen Staatssekretärin Rita Hagl-Kehl vom 26. Oktober 2018

Das Bundesamt für Justiz (BfJ) hat mit Stand vom 22. Oktober 2018 insgesamt 714 Verfahren zu den sich für Anbieter sozialer Netzwerke aus dem Netzwerkdurchsetzungsgesetz (NetzDG) ergebenden Pflichten eingeleitet, schwerpunktmäßig zu § 3 NetzDG. Davon sind 342 Verfahren erledigt, die verbleibenden 372 Verfahren sind anhängig. Die Zahl der anhängigen Verfahren, die auf Meldungen beruhen, wird statistisch nicht gesondert erfasst.
Von den 714 eingeleiteten Verfahren wurden 49 von Amts wegen, 665 aufgrund entsprechender Meldungen eingeleitet. Der quartalsweise Eingang von Meldungen wird statistisch nicht gesondert erfasst.
Insgesamt 636 Verfahren betreffen oder betrafen die Pflichten nach § 3 NetzDG zum Umgang mit Beschwerden gegen rechtswidrige Inhalte. Wie viele von diesen Verfahren aufgrund von Meldungen eingeleitet wurden, wird statistisch nicht gesondert erfasst. Von den 665 Meldungen gingen 593 Fälle über das vom BfJ für Meldungen nach dem NetzDG beim Informationstechnikzentrum Bund bereit gestellte Online-Formular ein. Sofern in den Meldungen die zutreffende Email-Adresse des Absenders angegeben wurde, erhalten die Absender automatisiert eine Eingangsbestätigung; das war bisher in rund 90 Prozent der Fälle der Fall. In den Fällen in denen die Meldung nicht über das Online-Formular erfolgt, wird nur dann eine Eingangsbestätigung versandt, wenn nicht bereits nach Bearbeitung eine Rückmeldung in der Sache erfolgt. Dieser Zeitraum wird nicht gesondert statistisch erfasst.

/von

Meine Schriftliche Frage zur Beteiligung des BfV an der Bitkom-Studie zu Angriffen auf Industrieunternehmen

Frage: Welchen ideellen, finanziellen, personellen oder sonstigen Beitrag hat das Bundesamt für Verfassungsschutz zu der am 13. September 2018 vorgestellten Studie des Branchenverbandes Bitkom zu Angriffen auf Industrieunternehmen hinsichtlich der Erstellung, Durchführung, Auswertung oder sonstiger Aspekte geleistet (bitte  aufschlüsseln nach Art und Umfang der Leistung)? (BT-Drucksache 19/5440)

Antwort des Staatssekretärs Dr. Markus Kerber vom 24. Oktober 2018

Bei der Erstellung, Durchführung und Auswertung der genannten Studie hat das Bundesamt für Verfassungsschutz keine ideellen, finanziellen oder personellen Beiträge geleistet. Das Bundesamt für Verfassungsschutz hat sich mit einem Impulsstatement von Vizepräsident Haldenwang ausschließlich an der Vorstellung der Studienergebnisse beteiligt und ein Experten-Statement für den Studienbericht beigesteuert.

/von

Meine Schriftliche Frage zum Stand des Hochleistungsrechners für das ZITiS

Frage: Welche Beschaffungen im Rahmen des Aufbaus eines Hochleistungsrechners für die Zentrale Stelle für Informationstechnik im Sicherheitsbereich (ZITiS) befinden sich zum gegenwärtigen Zeitpunkt in welchem Zustand des Ausschreibungs- oder Beschaffungsverfahrens (bitte aufschlüsseln nach Gegenstand bzw. Leistung)? (BT-Drucksache 19/5440)

Antwort des Staatssekretärs Klaus Vitt vom 23. Oktober 2018

ZITiS plant den Aufbau und Betrieb eines Hochleistungsrechners, der vorrangig für Forschung und Entwicklung im Bereich der Kryptoanalyse genutzt werden soll. Zum gegenwärtigen Zeitpunkt wird eine Angebotsprüfung durch das Beschaffungsamt des Bundes durchgeführt. Aussagen über Dauer und Zeitpunkt der Beschaffung können daher noch nicht gemacht werden.

/von

Meine Schriftliche Frage zu Maßnahmen bei böswilligen Cyberaktivitäten

Frage: Wie häufig erfolgte nach Kenntnis der Bundesregierung bislang eine Maßnahme aus den Kategorien eins bis fünf der Umsetzungsrichtlinien des Diplomatischen Reaktionsrahmens (Ratsdokument 13007/17) bei böswilligen Cyberaktivitäten (bitte aufschlüsseln nach Kategorie)? (BT-Drucksache 19/4946)

Antwort des Staatssekretärs Andreas Michaelis vom 5. Oktober 2018

Der Bundesregierung ist ein Fall bekannt in dem eine Maßnahme nach Kategorie eins bis fünf der Umsetzungsrichtlinien des Diplomatischen Reaktionsrahmens (Ratsdokument 13007/17) bei böswilligen Cyberaktivitäten erfolgte. Die diesbezüglich vom Rat der Europäischen Union angenommenen Schlussfolgerungen vom 16. April 2018 fallen unter die Kategorie Stabilitätsmaßnahmen, also Kategorie 3 der Umsetzungsrichtlinien.

/von

Meine Schriftliche Frage zur Veröffentlichung von Gerichtsentscheidungen im Internet in Deutschland

,

Frage: Welche Maßnahmen hat die Bundesregierung durchgeführt, um die auf der Drucksache 5306/18 des Rates der Europäischen Union erwähnten bewährten
Verfahren in Bezug auf die Veröffentlichung von Gerichtsentscheidungen im Internet
auch in Deutschland umzusetzen? (BT-Drucksache 19/4734)

Antwort des Parlamentarischen Staatssekretärs Christian Lange vom 1. Oktober 2018

Das Bundesministerium der Justiz und für Verbraucherschutz und das Bundesamt für Justiz stellen auf www.rechtsprechung-im-internet.de für interessierte Bürgerinnen und Bürger ausgewählte Entscheidungen des Bundesverfassungsgerichts, der obersten Gerichtshöfe des Bundes sowie des Bundespatentgerichts ab dem Jahr 2010 kostenlos im Internet bereit. Die Entscheidungen sind anonymisiert und werden grundsätzlich ungekürzt sowie mit Metadaten veröffentlicht, die von Dokumentationsstellen des Bundes erzeugt werden. Der Datenbestand wird täglich aktualisiert. Zu Recherchezwecken gibt es eine „einfache“ und eine „erweiterte“ Suche. Die Entscheidungen stehen in verschiedenen Formaten (u. a. auch im XML-Format) zu Anzeige, Ausdruck und Download zur Verfügung. Sie sind in allen angebotenen Formaten zur freien Nutzung und Weiterverwendung zugänglich. Das Angebot www.rechtsprechungiminternet.de ist an die ECLI-Suchmaschine des Europäischen Justizportals angeschlossen und enthält auch einen Link zum Justizportal des Bundes und der Länder mit Verweisen auf Internetangebote der Bundesgerichte und Landesjustizverwaltungen.

/von

Meine Schriftliche Frage zur Löschung von Daten, die nach Cyber-Angriffen auf Informationsdiensten Dritter abgelegt wurden

Frage: Bei welchen Vorfällen im Bereich der Cybersicherheit und bei Angriffen auf informationstechnische Systeme im Zuständigkeitsbereich des Bundes wurden durch die angreifende Seite erlangte Daten auf Informationsdiensten Dritter abgelegt, für die dem Bund entweder technische, rechtliche oder sonstige Instrumente fehlten, um
eine zeitnahe Löschung dieser Daten zu bewirken (bitte aufschlüsseln nach Vorfall und jeweiligem Hinderungsgrund)?

Antwort des Parlamentarischen Staatssekretärs Marco Wanderwitz vom 19. Oktober 2018

Grundsätzlich werden in nahezu allen schwerwiegenden Cyber-Angriffen auf IT-Systeme mit der Absicht des Informationsdiebstahls durch die angreifende Seite erlangte Daten auf IT-Systemen Dritter abgelegt. Vorabfassung – wird durch die lektorierte Version ersetzt. Deutscher Bundestag – 19. Wahlperiode – 11 – Drucksache 19/5282 Dies ist dadurch begründet, dass direkte Verbindungen zwischen ITSystemen der Täter und denen des Opfers vermieden werden sollen, um die Zurückverfolgung des Angriffs zu erschweren. Zu diesem Zweck werden entweder IT-Systeme Dritter kompromittiert, unter Angabe falscher Identitäten IT-Systeme bei einem Hoster angemietet oder Accounts bei Webdiensten mit Datenhaltung angelegt. Eine zeitnahe Löschung von Daten aus Vorfällen, bei denen nach Erkenntnissen der Bundesregierung Daten auf Informationsdiensten Dritter abgelegt wurden, konnte nicht bewirkt werden, da entsprechende Eingriffsbefugnisse fehlen. Eine Aufschlüsselung aller Vorfälle würde in besonders hohem Maße das Staatswohl berühren und kann daher selbst in eingestufter Form nicht beantwortet werden. Erkenntnisse im Sinne der Fragestellung liegen beim Bundesamt für Verfassungsschutz (BfV) vor. Eine Offenlegung der angefragten Informationen birgt die Gefahr, dass Einzelheiten bekannt würden, die Rückschlüsse auf die Arbeitsweise des BfV zulassen. Dadurch könnten bereits ergriffene oder geplante Abwehrmaßnahmen erschwert oder gar vereitelt werden. Dies würde erhebliche nachteilige Auswirkungen auf die Arbeit des BfV und damit für die Sicherheit der Bundesrepublik Deutschland haben. Eine VS-Einstufung und Hinterlegung der angefragten Informationen in der Geheimschutzstelle des Deutschen Bundestages würde ihrer erheblichen Brisanz im Hinblick auf die Bedeutung für die Aufgabenerfüllung des BfV nicht ausreichend Rechnung tragen. Eine Offenlegung der angefragten Informationen zu den Vorfällen birgt die Gefahr, dass Einzelheiten bekannt würden, die unter dem Aspekt des Schutzes der nachrichtendienstlichen Zusammenarbeit mit ausländischen Partnern besonders schutzbedürftig sind. Eine öffentliche Bekanntgabe von Informationen zum Kenntnisstand, zur Leistungsfähigkeit, zur Ausrichtung und zu technischen Fähigkeiten von ausländischen Partnerdiensten und damit einhergehend die Kenntnisnahme durch Unbefugte würde erhebliche nachteilige Auswirkungen auf die vertrauensvolle Zusammenarbeit haben. Würden als Konsequenz eines Vertrauensverlustes Informationen von ausländischen Stellen entfallen oder wesentlich zurückgehen, entstünden signifikante Informationslücken mit negativen Folgewirkungen für die Sicherheitslage in der Bundesrepublik Deutschland. Bei Missachtung der von ausländischen Stellen erbetenen Vertraulichkeit würde die Handlungsfähigkeit des BfV zur Erfüllung seines gesetzlichen Auftrags (§ 3 Absatz 1 Nummer 2 des Bundesverfassungsschutzgesetzes) erheblich eingeschränkt, da eine solche Störung der wechselseitigen Vertrauensgrundlage eine schwere Beeinträchtigung der Teilhabe des BfV am internationalen Erkenntnisaustausch zwischen Nachrichtendiensten zur Folge hätte. Und deswegen können die erbetenen Detailinformationen – unter Berücksichtigung des Informationsinteresses der Abgeordneten – auch in eingestufter Form nicht an die Geheimschutzstelle des Deutschen Bundestages zur Einsichtnahme übermittelt werden. Vorabfassung – wird durch die lektorierte Version ersetzt. Drucksache 19/5282 – 12 – Deutscher Bundestag – 19. Wahlperiode Somit besteht hier ein legitimes Interesse, den Kreis der Geheimnisträger auf das notwendige Minimum zu beschränken. Denn je größer dieser Kreis ist, umso höher ist die Wahrscheinlichkeit, dass Geheimnisse – sei es absichtlich oder versehentlich – weitergegeben oder ausgespäht werden (vgl. BVerfGE 70, 324 <364>).

/von