Frage: Wie groß war bisher der finanzielle Aufwand im Zusammenhang mit der Behebung der Hardware-Sicherheitslücken Meltdown und Spectre (z. B. durch Neuanschaffungen zum Austausch von Hardware oder Hardwarekomponenten, Entwicklung und Einsatz von Lösungen zur Risikomitigierung und sonstige Maßnahmen wie beispielsweise externe Beratungsleistungen im Zuständigkeitsbereich des Bundes (bitte Eigenleistung als Personenstunden angeben)) und wie hoch ist der Anteil (absolut und prozentual) potenziell angreifbarer Rechner, bei denen wirksame Maßnahmen ergriffen wurden, um nicht mehr durch Spectre und Meltdown angreifbar zu sein (bitte nach Bundesministerien einschließlich nachgeordnete Behörden aufschlüsseln)?

Antwort des Staatssekretärs Klaus Vitt (BMI) vom 6. August 2019:

Grundsätzlich gilt: Sämtliche im Zusammenhang mit Spectre und Meltdown bekannten Schwachstellen auf allen potenziell gefährdeten IT-Systemen wurden durch die von den Herstellern kostenlos bereitgestellten Patches im Rahmen des regulären Patchmanagements mitigiert. Die konsequente Umsetzung der vom Bundesamt für Sicherheit in der Informationstechnik (BSI) empfohlenen IT-Sicherheitsbausteine und -Maßnahmen sowie eine vielschichtige/mehrstufige Sicherheitsarchitektur gewährleisten grundsätzlich schon standardmäßig ein sehr hohes Maß an IT-Sicherheit unabhängig von einzelnen konkreten Angriffsvektoren wie Spectre oder Meltdown.

Die Tätigkeit der Administratoren und des Personals der Informationssicherheitsorga¬ nisation in den Ressorts und deren Geschäftsbereichen umfasst regelmäßig als Dau¬ eraufgabe eine Bewertung von Sicherheitslücken und das Ergreifen von geeigneten organisatorischen und/oder technischen Maßnahmen. Der finanzielle oder personelle Aufwand im Zusammenhang mit der Behebung einzelner Schwachstellen wird nicht erfasst. Daher kann der Aufwand in Zusammenhang mit der Hardware-Sicherheitslücke Meltdown und Spectre nicht spezifisch nach Behörden aufgeschlüsselt beziffert werden.

Das BSI hatte im Rahmen seiner gesetzlichen Aufgaben zum Schutz der Informati¬ onssicherheit in diesem Zusammenhang Aufwände in technischer Hinsicht i. H. v. 114.787,50 Euro (externe Leistungen) und 2.876 Personenstunden (interner Aufwand). Der Anteil potenziell angreifbarer Rechner im BSI, bei denen wirksame Maßnahmen ergriffen wurden, um nicht mehr durch Spectre und Meltdown angreifbarzu sein, liegt aus Sicht des BSI daher bei 100 Prozent.

Im Januar 2018 veröffentlichten Forscher zwei Arten von Hardware-Sicherheitslücken in einer Vielzahl moderner Prozessoren, die es ermöglichen, Informationen auch ohne die nötigen Rechte auszulesen. Sie wurden unter dem Namen „Spectre“ und „Meltdown“ bekannt. Um gegen Angriffe, die diese Arten Sicherheitslücken ausnützen, geschützt zu sein, ist ein Zusammenspiel von Software- wie Hardwareherstellern nötig. Intel, deren nahezu komplette Prozessorenproduktpalette bis zurück in die späten 90er-Jahre betroffen ist, stellte Patches zumindest für neuere Prozessoren bereit, Microsoft zumindest für die Betriebssysteme, die noch aktiv gepflegt werden.
Besondere Aufmerksamkeit erhielten Spectre und Meltdown weniger wegen der besonderen Gefährlichkeit der Lücken, sondern weil sich die öffentliche Diskussion bisher besonders auf Schwachstellen in Software konzentrierte. Sicherheitslücken in Hardware können möglicherweise länger unentdeckt bleiben, ihre Behebung stellt sich schwieriger dar, als dies bei reinen Softwarefehlern der Fall ist.

Weiterlesen

Frage: Welche wissenschaftlichen Analysen und Ausarbeiten hat die Bundesregierung in den letzten sieben Jahren zur Folgenabschätzung von Hackbacks angefertigt oder durch Dritte anfertigen lassen? (BT-Drucksache 19/11515)

Antwort des Staatssekretärs Klaus Vitt vom 8. Juli 2019:

Der von der Fragestellerin verwendete Begriff „Hackback“ wird von der Bundesregierung konzeptionell weder für Aktivitäten der Cyber-Abwehr noch der Cyber-Verteidigung verwendet. Der Beantwortung dieser Frage legt die Bundesregierung das Verständnis zugrunde, dass unter dem Begriff „Hackback“ Maßnahmen der aktiven Cyber-Abwehr oder der Cyber-Verteidigung zu verstehen sind, die im Ausland angewendet werden.

Die Bundesregierung hat in den letzten sieben Jahren keine wissenschaftlichen Analysen und Ausarbeiten zur Folgenabschätzung von Maßnahmen im Sinne der Fragestellung angefertigt oder in Auftrag gegeben.

In einem Antrag der AfD-Fraktion gibt sie vor, die Meinungsfreiheit im Internet schützen zu wollen. Doch was die AfD aber unter Meinungs- und Pressefreiheit versteht, weicht sehr stark davon ab, was Konsens in der Gesellschaft ist. Sie will praktisch einen Freifahrtschein für die eigene rassistische Hetze. Für mehr Freiheit im Internet fordern wir in der Linksfraktion z.B. verbindliche Sicherheitsstandards, Verschlüsselung, ein modernes Urheberrecht, eine Meldepflicht für Sicherheitslücken und ein Verbot von Staatstrojanern. Weiterlesen
Bild: Im Ausschuss Digitale Agenda, CC-BY 4.0 Anke Domscheit-Berg

Oft werde ich gefragt, wieso ich an manchen Debatten im Bundestag nicht teilnehmen kann oder wieso nicht alle Abgeordneten auf ihren Plätzen sitzen, wenn im Plenum über bestimmte Themen geredet wird. Aber das liegt oft daran, dass der Deutsche Bundestag ein Arbeitsparlament ist und viel Arbeit in den Ausschüssen stattfindet, die teilweise parallel zum Plenum stattfinden.
Wir Abgeordnete nehmen vorrangig an Ausschüssen, Anhörungen oder Fachgesprächen teil, die mit unseren Themenfeldern zu tun haben. In meinem Fall sind das natürlich alle Themen, die sich mit Netzpolitik beschäftigen. Das reicht von digitaler Bildung im Bildungsausschuss über Breitbandausbau oder 5G-Lizenzversteigerung im Verkehrsausschuss bis hin zu allen Themen des Ausschuss Digitale Agenda.

Das BSI muss unabhängig vom Innenministerium werden

In dieser Sitzungswoche nahm ich gleich an zwei öffentliche Anhörungen aus meinem Themengebiet teil. Weil ich im Februar gemeinsam mit anderen MdB der Linksfraktion einen Antrag zum Thema IT-Sicherheit in den Bundestag eingebracht hatte, fand am Montag die dazugehörige Anhörung im federführenden Innenausschuss statt. Sachverständige waren eingeladen, um in kurzen Eingangsvorträgen und anschließenden Frage-Antwortrunden ihre Positionen, Forderungen und Handlungsempfehlung für mehr digitale Sicherheit vorzustellen.
Es sprachen zwei Wirtschaftsvertreter*innen, Dr. Rainer Baumgart und Dr. Aleksandra Sowa sowie Dr. Sven Herpig von der Stiftung Neue Verantwortung, Klaus Landefeld vom eco – Verband der Internetwirtschaft, Frank Rieger vom Chaos Computer Club und der Präsident des Bundesamtes für Sicherheit in der Informationstechnik (BSI), Arne Schönbohm. Diskutiert wurde z. B. über eine Meldepflicht für Sicherheitslücken, die ich schon seit langem fordere.
Sven Herpig schlug außerdem vor, dass die Regierung eine umfassende Cybersicherheitsstrategie vorlegen sollte, Klaus Landefeld wiederum betonte, dass es wichtig sei, auch die Hersteller von IT-Produkten in den Gesetzgebungsprozess mit einzubeziehen. Digitale Bildung war Frank Rieger besonders wichtig, denn wer Programmieren lernt, sollte immer auch lernen, wie man sichere Software schreibt.
Aleksandra Sowa verteidigte das Recht auf Anonymität im Netz und forderte, dass Verschlüsselung auf keinen Fall ausgehöhlt werden darf, sondern vielmehr gestärkt werden müsse. Dazu muss auch der Staat selbst beitragen, es ist z. B. immer noch nicht möglich, mit allen deutschen Behörden verschlüsselt zu kommunizieren. Arne Schönbohm hatte jedoch kaum Ideen, er spulte einen Werbeblock für das BSI ab.

Die übrigen Expert*innen waren sich auch darüber einig, dass das BSI unabhängig vom Innenministerium sein müsse, um seinem Auftrag nach Stärkung der Sicherheit in der Informations- und Kommunikationstechnik nachkommen zu können. Schönbohm sah das leider anders, er sieht keinen Interessenskonflikt darin, dass das BSI genauso wie Geheimdienste dem BMI unterstellt ist, obwohl unsere Geheimdienste ein Interesse an offenen Sicherheitslücken in IT-Produkten haben, das BSI jedoch Sicherheit in der Informations- und Kommunikationstechnik nur erreichen kann, wenn bekannt gewordene Sicherheitslücken sofort geschlossen werden. Aleksandra Sowa war sehr deutlich: „Wer IT-Sicherheit für vermeintlich mehr Sicherheit opfert, erhält nicht weniger Kriminalität, sondern mehr.“

Schönbohm vertrat auch beim Thema Hackback eine Einzelmeinung

Das staatliche Zurück-Hacken ist für ihn genauso eine Option zur Verteidigung wie für seinen Vorgesetzten, Bundesinnenminister Horst Seehofer. Für die anderen geladenen Sachverständigen war allerdings klar, dass der Staat niemals aktive Cyberabwehr betreiben sollte, denn dafür gibt es keine Rechtsgrundlage, sie sind hochgefährlich und können zu hohen zivilen Kollateralschäden und Eskalation auf internationaler Ebene führen – zu mehr Sicherheit führen sie nicht. Statt Nachrichtendienste mit immer mehr Kompetenzen auszustatten, sollten Sicherheitslücken konsequent geschlossen, verbindliche IT-Sicherheits-Mindeststandards und eine IT-Produkthaftpflicht eingeführt werden, vor allem aber auch die Schwachstelle Mensch besser im Umgang mit digitalen Technologien geschult werden. Das sehe ich ganz genauso.
Umso erschreckender, dass die Bundesregierung da den falschen Fokus setzt.

Gemeinwohlorientierte Soziale Netzwerke als Werkzeug gegen gezielte Desinformation?

Meine zweite öffentliche Anhörung fand am Mittwoch im Digitalausschuss zum Thema „Resilienz von Demokratien im digitalen Zeitalter im Kontext der Europawahl“ statt. Wir sprachen mit den sechs geladenen Sachverständigen über Desinformation und Wahlmanipulation, Fakenews und Socialbots.
Weil aber, wie eingangs erwähnt, im Bundestag viele Gremien gleichzeitig tagen, wurde die Anhörung schon nach einer halben Stunde unterbrochen, weil im Plenum ein Hammelsprung beantragt wurde, da bei einer Abstimmung die Mehrheitsverhältnisse unklar waren. Wir Abgeordneten mussten also schnell zum Plenum eilen und durch eine „Ja“, „Nein“ oder „Enthalten“ Tür in den Plenarsaal gehen, wobei wir gezählt wurden, danach ging es zurück in den Ausschuss, der dafür abends einfach etwas länger ging.

Die Sachverständigen berichteten von ihren Erkenntnissen zum Thema Desinformationskampagnen. Prof. Dr. Simon Hegelich von der Hochschule für Politik München erzählte, dass auch während der letzten Bundestagswahl solche Kampagnen stattfanden, sogar in größerem Maßstab als man zunächst dachte, dass sie meistens aus dem rechten Spektrum kamen, aber dass ihre Wirkung sehr schwer zu beurteilen sei.
Alle anwesenden Wissenschaftler*innen beklagten, dass sie ihre Forschung zum Thema leider nur unzureichend betreiben könnten, weil die sozialen Medien keine brauchbaren Daten rausrücken und auch politische Akteure ihre Wahlwerbung dort nicht ausreichend transparent machten.
Gäbe es mehr Daten, so Prof. Dr. Martin Emmer vom Weizenbaum-Institut für die vernetzte Gesellschaft, könnte man z. B. mit künstlicher Intelligenz erforschen, wie genau diese Kampagnen funktionieren und welche Wirkung sie auf die Meinungsbildung haben.

Mehr Kompetenzen für Nachrichtendienste?

Immun gegen Desinformationskampagnen im Internet: Kater Tigger (Bild: Catherine Heath, gemeinfrei-ähnlich freigegeben auf unsplash.com)

Lisa-Marie Neudert vom Oxford Internet Institute beschrieb, dass ca. 20 % der geteilten Informationen zur Bundestagswahl 2017 Desinformationen waren, aber auch sie wies darauf hin, dass konkrete Auswirkungen bisher nicht nachgewiesen werden konnten. In Hinblick auf die anstehende Europawahl sagte sie, dass bisher eher moderate Level an Desinformation festzustellen sind, sie finden vor allem zu den Themen Migration und EU-Ausstieg einzelner EU-Staaten statt.

Überrascht haben mich die Aussagen des Sachverständigen Sandro Gaycken, der der Meinung war, dass die Nachrichtendienste mehr Kompetenzen bräuchten, um Desinformationskampagnen in den sozialen Medien enttarnen und ausschalten zu können. Einen Ausbau der Nachrichtendienste lehne ich kategorisch ab.

Alexander Sängerlaub von der Stiftung Neue Verantwortung setzte seinen Fokus zur Bekämpfung von Desinformation auf Reformationen im Medienbereich. Er schlägt u. a. die Abschaffung der Depublikationspflicht für öffentlich-rechtliche Medienangebote, eine europäische Mediathek und die Aufwertung von Lokaljournalismus vor.
Ich freue mich, dass er auch vorgeschlagen hat, über ein europäisches soziales Netzwerk nachzudenken, das sich nicht über Werbeeinnahmen finanziert, sondern auf gemeinnützigen Grundsätzen basiert. Ein solches gemeinwohlorientiertes Netzwerk gehört auch zu meinen Forderungen für digitale, soziale Innovationen.

Alle Anwesenden waren sich einig, dass ein wirksames Mittel gegen den Erfolg von Desinformationskampagnen im Netz Medienbildung für alle Menschen ist – junge, aber auch ältere. Nur wenn wir alle lernen, Meldungen im Netz richtig zu bewerten, Quellen zu prüfen und die Mechanismen, die im Internet wirken, zu verstehen, werden es Desinformationskampagnen schwerer haben.

Die ganzen Anhörungen können auf der Webseite des Bundestages angesehen werden.
Alle schriftlichen Stellungnahmen der Sachverständigen gibt es dort auch zum Download. Ein kurzes Video zur Anhörung im Ausschuss Digitale Agenda habe ich auf meinem YouTube-Kanal veröffentlicht:

Parlamentarische Initiativen von Andrej Hunko, Heike Hänsel, Anke Domscheit-Berg, André Hahn, Ulla Jelpke, Thomas Nord, Petra Pau, Tobias Pflüger, Alexander Ulrich, 11. April 2019

11.04.19 – Kleine Anfrage – Drucksache Nr. 19/9086

Die EU hat beschlossen, eine „Cyber Diplomacy Toolbox“ für eine gemeinsame Reaktion der EU auf „böswillige Cyberaktivitäten“ zu entwickeln. Dabei geht es auch um die Attribuierung von Störungen oder Angriffen im Cyberraum. Hierzu soll unter anderem das geheimdienstliche EU-Lagezentrum INTCEN Erkenntnisse beisteuern, sammeln und bewerten. Das Zentrum soll außerdem bei der Entscheidungsfindung für eine mögliche Reaktion mitarbeiten. Dies ist jedoch mit den EU-Verträgen unvereinbar.

Herunterladen als PDF

Hierzu liegt eine Antwort der Bundesregierung als Drucksache Nr. 19/10273 vor. Antwort als PDF herunterladen

Parlamentarische Initiativen von Thomas Lutze, Ingrid Remmers, Jörg Cezanne, Fabio De Masi, Anke Domscheit-Berg, Klaus Ernst, Brigitte Freihold, Kerstin Kassner, Michael Leutert, Pascal Meiser, Bernd Riexinger, Petra Sitte, Alexander Ulrich, Andreas Wagner, Hubertus Zdebel, 25. März 2019

25.03.19 – Kleine Anfrage – Drucksache Nr. 19/8525

Kraftfahrzeuge mit hoch- oder vollautomatisierter Fahrfunktion übernehmen im alltäglichen Betrieb Fahrmanöver für Autofahrende. Die Anfrage verfolgt das Ziel, einen Überblick über die aktuelle Lage bei der Datenverarbeitung dieser Fahrzeuge zu gewinnen. Dabei interessiert uns vor allem, wer wie auf welche Daten Zugriff hat sowie ob und wie die Datenverarbeitung dieser Fahrzeuge überprüft wird. Hintergrund dieser Fragen sind mögliche Transparenz- und Sicherheitsdefizite in der aktuellen Situation.

Herunterladen als PDF

Hierzu liegt eine Antwort der Bundesregierung als Drucksache Nr. 19/9544 vor. Antwort als PDF herunterladen

Frage: Wie viele der von Bundesministerin von der Leyen angekündigten 100 Stellen der neugegründeten Cyberagentur (Pressemitteilung BMVg vom 31. Januar 2019) werden tatsächlich in ostdeutschen Bundesländern angesiedelt sein, da die Zahl der Beschäftigten am Hauptstandort im Raum Halle/Leipzig laut Aussage des Staatssekretärs Klaus Vitt zu TOP 4 im Ausschuss Digitale Agenda des Deutschen Bundestages am 30. Januar 2019 lediglich zwölf betragen wird? (BT-Drucksache 19/8082)

Antwort des Parlamentarischen Staatssekretärs Dr. Peter Tauber vom 26. Februar 2019

Die Agentur für Innovation in der Cybersicherheit (Cyberagentur) soll im Frühjahr 2019 in der Wirtschaftsregion Leipzig/Halle als GmbH gegründet werden. Dort werden bis zum Jahre 2022 bis zu 100 neue Arbeitsplätze entstehen. Diese werden in diesem Zeitraum sukzessive aufwachsen, beginnend in der frühen Aufbauphase mit etwa 15 Beschäftigten. Die Region Mitteldeutschland bietet neben der lebendigen Hochschul und Forschungslandschaft eine günstige Verkehrsanbindung mit Flughafen und eine attraktive IT-Szene. Mit der Entscheidung, die Agentur für Innovation in der Cybersicherheit in der Region Leipzig/Halle anzusiedeln, wird die bundesdeutsche Forschungslandschaft insgesamt gestärkt. Neben dem Hauptsitz der Agentur werden mit Beauftragung der Projekte – je nach Erfordernis im Einzelfall – ggf. am jeweiligen Standort der Auftragnehmer Projektbüros mit einzelnen Mitarbeitern der Agentur gegründet. Die Auftragnehmer können Forschungseinrichtungen, Industrie und Einzelpersonen sein, die Innovationen versprechen, welche für die gesamtstaatliche Sicherheitsvorsorge einen strategischen Vorteil in der Technologiesouveränität bieten können.

Parlamentarische Initiativen von Anke Domscheit-Berg, Petra Sitte, Doris Achelwilm, Gökay Akbulut, Simone Barrientos, Birke Bull-Bischoff, Brigitte Freihold, Nicole Gohlke, André Hahn, Ulla Jelpke, Jan Korte, Amira Mohamed Ali, Niema Movassat, Norbert Müller, Petra Pau, Friedrich Straetmanns, Katrin Werner, Sabine Zimmermann, 14. Februar 2019

14.02.19 – Antrag – Drucksache Nr. 19/7705

Digitale Sicherheit ist ein Grundrecht. Bisher spielt die Bundesregierung ein doppeltes Spiel zwischen scheinbarem Interesse für digitale Sicherheit einerseits und der Nutzung von Sicherheitslücken für eigene Spionage. DIE LINKE schlägt effektive Maßnahmen für mehr digitale Sicherheit vor.

Herunterladen als PDF

Parlamentarische Initiativen von Anke Domscheit-Berg, Petra Sitte, Doris Achelwilm, Gökay Akbulut, Simone Barrientos, Birke Bull-Bischoff, Brigitte Freihold, Nicole Gohlke, André Hahn, Ulla Jelpke, Jan Korte, Amira Mohamed Ali, Niema Movassat, Norbert Müller, Petra Pau, Friedrich Straetmanns, Katrin Werner, Sabine Zimmermann, 14. Februar 2019

14.02.19 – Antrag – Drucksache Nr. 19/7705

Digitale Sicherheit ist ein Grundrecht. Bisher spielt die Bundesregierung ein doppeltes Spiel zwischen scheinbarem Interesse für digitale Sicherheit einerseits und der Nutzung von Sicherheitslücken für eigene Spionage. DIE LINKE schlägt effektive Maßnahmen für mehr digitale Sicherheit vor.

Herunterladen als PDF