IT-Sicherheit - Anke Domscheit-Berg

Der ADB Podcast #25 – IoT Daten teilen mit Data Act, digitale Brieftasche per eIDAS-VO, OFFLINE-Zugangsgesetz, Linke im Bundestag

Aktuelles, Ausschuss Digitale Agenda, IT-Sicherheit, Podcast, Überwachung und Privatsphäre, Verbraucherschutz

Kurz-Zusammenfassung:
Aus einer Haushaltswoche ohne Digitalausschuss wurde durch ein Verfassungsgerichtsurteil adhoc eine Sitzungswoche mit Digitalausschuss und das waren unsere Themen: 1) warum es ein Offlinezugangsgesetz (kein Schreibfehler!) braucht, 2) Neues zum Data-Act der EU, der den Zugang zu IoT Daten regelt, und seine Schwächen, 3) Stand der eIDAS Verordnung der EU (mit ID-Wallet) – wann und wie sie kommt und in welchen Details sich die Teufel verbergen, 4) diverse Anträge der Linken zu: staatl. Ausnutzung von Sicherheitslücken, Gefahren durch Privatadressen im Impressum und Netzsperren ohne Richterbeschluss. Als Bonus auch diesmal ein Update zur Zukunft der Linken im Bundestag – der Weg vom Fraktions- zum Gruppenstatus.

Transkript_Podcast25 Herunterladen

Kapitelmarken:
00:00:07 Intro
00:02:22 Offlinezugangsgesetz für mehr Teilhabe
00:13:20 Data-Act – Zugang zu IoT Daten
00:19:49 Data-Act – Schutz für Verbraucher:innen u Privatsphäre
00:29:00 eIDAS-Verordnung – dig. Brieftasche (EU-Id-Wallet)
00:32:45 eIDAS: Sicherheit, Open Source, Überidentifikation, ID-Diebstahl
00:37:17 eIDAS: Umsetzung in DE, Blockchain, Smart eID, ePerso, QWACS
00:45:21 Linke-Antrag: keine staatl. Ausnutzung von IT-Sicherheitslücken
00:46:58 Linke-Antrag: Keine Privatadressen im Impressum
00:48:32 Linke-Antrag: Keine Netzsperren unter Umgehung der Gerichte
00:49:54 Update: Zukunft der LINKEN im Bundestag
00:51:55 Outro u Hinweise

Weiterführende Links:

Allgemein

Offlinezugangsgesetz:

Data Act:

eIDAS:

Aktuelle Linke-Anträge im Digitalausschuss

Sonstige Empfehlungen:

Transkript_Podcast25 Herunterladen

01. Dezember 2023/von Melissa Meyer

Meine Schriftliche Frage zur Rolle von Künstlicher Intelligenz (KI) beim Forschungsvorhaben Sicherheitsbahnhof

Aktuelles, Digitalisierung und Staat, IT-Sicherheit, Künstliche Intelligenz, Parlamentarische Initiativen, Schriftliche Frage, Überwachung und Privatsphäre

Meine Fragen:

1. Welche Rolle spielt Künstliche Intelligenz (KI) beim Forschungsvorhaben Sicherheitsbahnhof (siehe Bundestagsdrucksache 20/6862; bitte KI-Projektanteile ausführlich beschreiben, so dass ein guter Eindruck davon vermittelt wird, welche Zwecke KI wie erreichen soll), und was ist der Stand des Vorhabens mit Bezug auf seine KI-Anteile (bitte den Stand im Projekt-Zeitplan und in Bezug auf er-reichte und noch geplante Meilensteine verorten)?

2. Auf Grundlage welcher Daten wurde oder wird die im Rahmen des Forschungs-vorhaben Sicherheitsbahnhof (siehe Bundestagsdrucksache 20/6862) eingesetzte KI-gestützte Software zur Erkennung kritischer Situationen trainiert, und mit welchen standardisierten oder alternativen Methoden wurde oder wird vor Beginn eines Einsatzes auf einem Bahnhof auch als Test- oder Pilotbetrieb eine nachvollziehbare Risikoklassifizierung/-bewertung vorgenommen (bei standardisierter und alternativer Methode bitte präzisieren, welche Methode; und wenn keine derartige Risikoklassifizierung vorgenommen wurde, bitte begründen, warum nicht)?

3. Wofür wurden und werden Haushaltmittel im Rahmen des Forschungsvorhabens Sicherheitsbahnhof für KI-Aspekte (siehe Bundestagsdrucksache 20/6862) verausgabt (bitte tabellarisch Höhe und Verwendungszweck für alle KI-bezogenen Ausgaben angeben), und wie wird öffentliche Transparenz über das Projekt her-gestellt, z. B. zu Zwischenergebnissen, Risikobewertung, Evaluationprozessen und -ergebnissen, Diskriminierungsfreiheit etc., da es sich um ein Vorhaben handelt, das nach meiner Einschätzung ein hohes Risiko für Grundrechtsverletzungen birgt und nach EU KI-Verordnung vermutlich als Hochrisiko-KI-Anwendung eingestuft würde?

Antwort der Parlamentarischen Staatssekretärin Rita Schwarzelühr-Sutter (BMI):

Die Deutsche Bahn und die Bundespolizei identifizieren ordnungspartnerschaftlich sicherheitsrelevante Naht- und Schnittstellen im Eisenbahnverkehr und entwickeln
partnerschaftlich bauliche, technische und übergreifende Maßnahmen, um einen sicheren und störungsfreien Bahnverkehr auch in Zukunft zu gewährleisten. Gemein-sam mit Wissenschaft und Wirtschaft konzipieren sie interdisziplinär erste innovative Lösungen unter Labor- und Realbedingungen. Das Ziel des Forschungsvorhabens Sicherheitsbahnhof ist es, Gefahrensituationen zu reduzieren beziehungsweise früh-zeitig zu erkennen, um diese rechtzeitig bewältigen zu können. Die Optimierung der Fahrgastsicherheit, insbesondere in Bahnhöfen, stehen im Vordergrund dieser Forschung. Nachfolgende Teilprojekte des Forschungsvorhabens Sicherheitsbahnhof haben einen KI-Bezug: Erprobung intelligenter Videoanalyse: Zusammen mit dem „KI-Campus der Polizei“ des Bundesministeriums des Innern
und für Heimat (BMI) erforschen die Deutsche Bahn und die Bundespolizei, auf welche Weise KI-gestützte Software bei der Analyse von Videobildern zum Einsatz kommen könnte. Für die Bewertung und Erprobung polizeilicher KI-Lösungen kommen hierbei Wissenschaft, Behörden und ausgewählte Unternehmen zusammen. Die zu entwickelnde Software soll helfen, potenzielle Gefahrensituationen zu erkennen, wie
beispielsweise das unbefugte Betreten von Gleisanlagen oder das Fallen oder Stoßen in diese. Gemeinsam wird sowohl unter Labor- als auch unter realitätsnahen Bedingungen erforscht, wie eine Software für solche speziellen Situationen trainiert und in der Folge das Sicherheitspersonal der Deutsche Bahn oder die Bundespolizei auf diese hinweisen könnte. Zur bestmöglichen Erprobung erfolgt ein stufenweises Vor-gehen, welches die Einhaltung der rechtlichen, datenschutzrechtlichen und ethischen Anforderungen sicherstellt.

Wenn ein Anwendungsfall interdisziplinär als machbar und nützlich bewertet wird, erfolgt seine Erprobung unter Laborbedingungen. Diese soll nachweisen, ob das System technisch grundsätzlich in der Lage ist, das sich aus dem Anwendungsfall ergebende Problem zu lösen. Die anschließende technische Erprobung unter realitätsnahen Bedingungen stellt das System in Bezug auf die
Komplexität realistischer Betriebseinflüsse auf die Probe. Um das Zusammenspiel zwischen Technik und Mensch zu prüfen (Wirksamkeit und Nutzen), erfolgt schließlich eine soziotechnische Erprobung. Sämtliche Stufen der Erprobung werden fortlau-fend unter den Gesichtspunkten der interdisziplinären Bewertung betrachtet, sodass eine verantwortungsbewusste Entwicklung sichergestellt ist. Deshalb sind „Quality
Gates“ zwischen diesen stufenweisen Erprobungsphasen installiert. Nur wenn das System nach jeder Phase die an sie gestellten, stufenspezifischen Anforderungen er-füllt, wird die Erprobung fortgesetzt.

Erprobung sensorgestützter Tunnelmundüberwachung: In einer Machbarkeitsstudie untersuchen die Ordnungspartner, ob mit Hilfe eines Dynamic Vision Sensor (DVS) eine sichere und zuverlässige Erfassung sich bewegen-der Objekte im Zugangsbereich von Tunneln zur teilautomatisierten Gefahrenerkennung erreicht werden kann. Ziel ist es, die Sicherheit im öffentlichen Verkehr zu verbessern und die Anzahl von Sperrzeiten zu reduzieren. Der DVS unterscheidet sich gegenüber herkömmlichen Kameras, da hier keine Videobilder aufgezeichnet werden; der hier erzeugte Datenstrom besteht lediglich aus Pixeln, die sich über die Zeit
in der Helligkeit ändern. Diese Sensoren sind wesentlich lichtempfindlicher, so dass sie auch in Bereichen mit wechselnder Beleuchtung oder in sehr dunklen Umgebungen arbeiten. Zum Erreichen der Witterungsunabhängigkeit soll ein maßgeschneiderter Erkennungsalgorithmus entwickelt werden, der mit Hilfe von Methoden der künstlichen Intelligenz eine sichere Klassifikation zwischen Personen und anderen sich
bewegenden Objekten im Tunneleingangsbereich ermöglicht. Durch die zuverlässige Erkennung und die teilautomatisierte Alarmierung kann das Sicherheitspersonal
ohne Zeitverzug gefahrenabwehrende Maßnahmen, auch zum Schutz der kritischen Infrastruktur und des störungsfreien Bahnverkehrs, einleiten. Im Teilprojekt TUNUKI hat die Hochschule Niederrhein die Feldphase zur Aufnahme der Sensordaten abge-schlossen, die Auswertung dieser Daten dauert noch an. Es wurden Daten vom Tunneleingang des BER-Eisenbahntunnels (nicht öffentlicher Bereich) über eine Dauer
von sechs Monaten aufgezeichnet. Ziel ist es, auf Grundlage dieser Datenbasis ein KI-Modell zu trainieren, welches Anwesenheit von Personen im Tunnel erkennen und
diese zuverlässig bei allen Licht- und Wetterverhältnissen von Tieren, Zügen und an-deren Objekten unterscheiden kann. Personenbezogene Daten werden nicht erhoben.

Zu 3.

Der KI-Campus sowie die derzeit in Anspruch genommenen Entwicklungsleistungen der PD-Berater der öffentlichen Hand GmbH werden durch das BMI finanziert. Die
Finanzierung des Teilprojekts TUNUKI erfolgte aus den Fördermitteln mFUND des Bundesministeriums für Digitales und Verkehr. Das Forschungsvorhaben Sicherheitsbahnhof wird anteilig über Eigenmittel der DB Station&Service AG finanziert. Die Bundespolizei hat keine eigenen Haushaltsmittel für das Forschungsprojekt Sicherheitsbahnhof bereitgestellt. Die notwendige Transparenz während des Projekts wird durch die Informationen auf der Webseite https://sicherheitsbahnhof.bahnhof.de/ gewährleistet. Zur Erprobung sensorgestützter Tunnelmundüberwachung wurden vom Projektpartner Hochschule Niederrhein ferner folgende Beiträge veröffentlicht: https://www.hs-niederrhein.de/aktuelles/news-detail/tunnelmuendungen-mithilfe-ku-enstlicher-intelligenz-sicherer-machen/, https://www.hs-niederrhein.de/ipattern/nach-richten-detailseite/ki-zur-ueberwachung-von-tunnelmuendungen/.

Antwortschreiben im Original (pdf): https://mdb.anke.domscheit-berg.de/wp-content/uploads/231103_3-SFs-zu-KI-Projekten-Antwort-BuReg_Geschwaerzt.pdf

10. November 2023/von Birgit

Meine Schriftliche Frage zum Umsetzungsstand der Maßnahmen und Ziele in der Cybersicherheitsagenda für die 20. Legislaturperiode

Diverses, IT-Sicherheit, Schriftliche Frage, Überwachung und Privatsphäre

„Wie lautet der aktuelle Umsetzungsstand der in der Cybersicherheitsagenda formulierten Maßnahmen und Ziele für die 20. Legislaturperiode (bitte je Maßnahme und Ziel den aktuellen Stand anführen) und wann plant die Bundesregierung die von ihr weiterentwickelte, sowie im Einklang mit der Nationalen Sicherheitsstrategie stehende, Cybersicherheitsstrategie zu veröffentlichen?“

Antwort des Parlamentarischen Staatssekretärs Johann Saathof:

„Hinsichtlich des aktuellen Umsetzungsstands der Cybersicherheitsagenda wird auf die Anlage verwiesen. Im Koalitionsvertrag wurde vereinbart, dass die Cybersicherheitsstrategie für Deutschland 2021 weiterentwickelt wird. Der Prozess dauert an.“

Antwortschreiben im Original (pdf, geschwärzt)

21. Juli 2023/von Birgit

Meine Schriftliche Frage zu Einsatzzeiten & Stellenanforderungen in der Umstellung auf IPv6

Aktuelles, IT-Sicherheit, Parlamentarische Initiativen, Schriftliche Frage

30. Juni 2023

Meine Frage:
Bis wann wird flächendeckend, mit Ausnahme von bestandsgeschützten IT-Systemen, kein IPv4 mehr in der Bundesverwaltung zum Einsatz kommen und wie viele besetzte Stellen (und ggf. externen Diestleistungsstellen-Äquivalente) befassen sich mit der Umstellung auf IPv6 (bitte jeweils aufschlüsseln nach Ressort bzw. externem Diestleister)?

Antwort des Parlamentarischen Staatssekretärs Johann Saathoff:
Die Bundesregierung beantwortet die im Rahmen des parlamentarischen Fragerechts erfragten Sachverhalte gegenüber dem Deutschen Bundestag transparent und grundsätzlich vollständig, um dem verfassungsrechtlich verbrieften Aufklärungs- und Informationsanspruch des Deutschen Bundestages zu entsprechen.

Soweit parlamentarische Anfragen Umstände betreffen, die aus Gründen des Staatswohls geheimhaltungsbedürftig sind, hat die Bundesregierung aber zu prüfen, ob und auf welche Weise die Geheimhaltungsbedürftigkeit mit dem parlamentarischen Informationsanspruch in Einklang gebracht werden kann (BVerfGE 124, Seite 161, 189). Die Bundesregierung ist nach sorgfältiger Abwägung zu der Auffassung gelangt, dass die Frage aus Geheimhaltungsgründen nicht in dem für die Öffentlichkeit einsehbaren Teil beantwortet werden kann.

Das hier erfragte spezifische Wissen über Zeit- und Ressourcenplanungen im Zusammenhang mit der Umstellung von IPv4 auf IPv6 in der Bundesverwaltung ist in der Gesamtheit potentiell geeignet, Cyberangriffe auf die Regierungsnetze und -kommunikation der Bundesrepublik Deutschland zu erleichtern und diese gezielt angreifbar zu machen. Es wird daher auf die Anlage mit dem Einstufungsgrad „VS – Nur für den Dienstgebrauch“ verwiesen.

Antwortschreiben im Original:

Antwortschreiben (geschwärzt)Herunterladen

13. Juli 2023/von Melissa Meyer

Meine Schriftliche Frage zur Fortführung von IT-Systemen im Bund & zur Einführung von IPv6

Aktuelles, IT-Sicherheit, Parlamentarische Initiativen, Schriftliche Frage

30. Juni 2023

Meine Frage:
Für welche IT-Systeme des Bundes wurde festgestellt, dass eine Fortführung mit IPv4 aus Bestandsschutzgründen (bitte je Ressort, inkl. Bundeskanzleramt, auf- schlüsseln) nötig ist und bis wann ist mit der vollständigen Einführung von IPv6 bei den Bundesbehörden sowie dem Netz des Bundes zu rechnen (bitte jeweils nach Jahr und Ressort, inkl. Bundeskanzleramt, aufschlüsseln)?

Antwort des Parlamentarischen Staatssekretärs Johann Saathoff:
Die Bundesregierung beantwortet die im Rahmen des parlamentarischen Frage- rechts erfragten Sachverhalte gegenüber dem Deutschen Bundestag transparent und grundsätzlich vollständig, um dem verfassungsrechtlich verbrieften Aufklärungs- und Informationsanspruch des Deutschen Bundestages zu entsprechen.

Soweit parlamentarische Anfragen Umstände betreffen, die aus Gründen des Staatswohlsgeheimhaltungsbedürftig sind, hat die Bundesregierung aber zu prüfen, ob und auf welche Weise die Geheimhaltungsbedürftigkeit mit dem parlamentarischen Informationsanspruch in Einklang gebracht werden kann (BVerfGE 124, Seite 161, 189). Die Bundesregierung ist nach sorgfältiger Abwägung zu der Auffassung gelangt, dass die Frage aus Geheimhaltungsgründen nicht in dem für die Öffentlichkeit ein- sehbaren Teil beantwortet werden kann.

Das hier erfragte spezifische Wissen über Zeit- und Ressourcenplanungen im Zusammenhang mit der Umstellung von IPv4 auf IPv6 in der Bundesverwaltung ist in der Gesamtheit potentiell geeignet Cyberangriffe auf die Regierungsnetze und -kommunikation der Bundesrepublik Deutschland zu erleichtern und diese gezielt angreif- bar zu machen. Es wird daher auf die Anlage mit dem Einstufungsgrad „VS – Nur für den Dienstgebrauch“ verwiesen.

Antwortschreiben im Original:

Antwortschreiben (geschwärzt)Herunterladen

12. Juli 2023/von Melissa Meyer

Der ADB Podcast #11 – Lauterbach im Digitalausschuss (ePA, Gematik etc), chin. Technik in dt. Mobilnetzen und Breitbandförderung

Aktuelles, Ausschuss Digitale Agenda, Bundestag, IT-Sicherheit, Podcast

Hauptakt im Digitalausschuss am 15.03.2023 war der Bericht und die Befragung von Minister Karl Lauterbach. Dabei ging es vor allem um die nagelneue Digitalstrategie des Gesundheitsministeriums, um elektronische Patientenakte, Verstaatlichung der Gematik, IT-Sicherheit und Datenschutz, und noch viel mehr. Außerdem Thema: der mögliche Ausschluss chinesischer Komponenten aus dem deutschen Mobilfunknetz, und nebenbei das KRITIS Dachgesetz, sowie die weiterhin ausstehende Breitbandförderrichtlinie.
Bonus: Eine Nachreichung des Verteidigungsministeriums zum Projekt Propaganda Awareness des Zentrums für Operative Kommunikation der Bundeswehr, da gab es Fragen zur Beobachtung des Zentrums für Politische Schönheit. Enjoy!

Ich freue mich wenn ihr wieder reinhört, den Podcast weiterempfehlt und wie immer über Feedback an anke.domscheit-berg@bundestag.de oder gern auch auf Social Media mit Hashtag #DerADBPodcast

Dafür bin ich hier zu finden:

Kapitelmarken:

00:00:07 Intro

00:01:01 Nachreichungen: Zentrum operative Kommunikation der Bundeswehr, ZPS

00:05:50 Thema 1: K. Lauterbach, Intro Digitalstrategie BMG

00:20:44 IT-Sicherheit im BMG, elektronische Patientenakte

00:33:24 Gematik, Interoperabilität u Standards im Ges.Wesen

00:36:43 Forschungszugang zu Gesundheitsdaten, eAU

00:39:54 Thema 2: möglicher Ausschluss chin. Hersteller aus dt. Mobilfunknetzen

00:48:40 Huawei im DB-Netz und KRITIS-Dachgesetz

00:51:40 Thema 3: Breitbandförderrichtlinie

00:59:54 Outro

Weiterführende Links:

Thema: Projekt Propaganda Awareness beim Zentrum Operative Kommunikation der Bundeswehr:

Link zu Podcastfolge #007: https://mdb.anke.domscheit-berg.de/2023/01/der-adb-podcast-007-umsetzung-digital-services-act-neue-mobilfunkfrequenzvergabe-und-jede-menge-breitbandausbau/

Kleine Anfrage von Martina Renner “Propaganda Awareness” (Überwachung ZPS durch Bundeswehr): https://dserver.bundestag.de/btd/20/058/2005854.pdf

Thema: Lauterbach u Digitalisierung im Gesundheitswesen

Digitalisierungsstrategie des Bundesministeriums für Gesundheit für das Gesundheitswesen & die Pflege: https://www.bundesgesundheitsministerium.de/fileadmin/Dateien/3_Downloads/D/Digitalisierungsstrategie/BMG_Broschuere_Digitalisierungsstrategie_bf.pdf
Mein Twitterthread zur Pressekonferenz der Digitalisierungsstrategie des Gesundheitsministeriums: https://twitter.com/anked/status/1633800609479421952?s=46&t=ql6f2Eu4px79CZm6clAEeA
31. Tätigkeitsbericht für den Datenschutz und die Informationsfreiheit: https://www.bfdi.bund.de/SharedDocs/Downloads/DE/Taetigkeitsberichte/31TB_22.pdf
Interview zu Scheuklappenmentalität bei BMG der gematik mit dem Bundesbeauftragten für Datenschutz in der Informationstechnik, Ulrich Kelber: https://background.tagesspiegel.de/gesundheit/bmg-und-gematik-mit-ihrer-scheuklappenmentalitaet
Unterschied zwischen einer halbwegs sicheren & sehr schlechten ePA, Lilith Wittmann: https://twitter.com/lilithwittmann/status/1634485716221677570?s=46&t=ql6f2Eu4px79CZm6clAEeA
TI-Atlas der gematik 2022 („nur 24% der Arztpraxen vertrauen der TI“): https://www.gematik.de/telematikinfrastruktur/ti-atlas
ADB-Podcast Vol.5 zu Konnektoren: https://mdb.anke.domscheit-berg.de/2022/12/der-adb-podcast-005/
Meine Kleine Anfrage: „Konnektoren im Gesundheitswesen – Software-Update statt Hardware-Tausch“: https://mdb.anke.domscheit-berg.de/2022/12/konnektoren-im-gesundheitswesen-software-update-statt-hardware-tausch/
Schriftliche Frage – Der Bund als Sicherheitslücke: Jede 5. IT-Sicherheitsstelle im Bund ist unbesetzt: https://mdb.anke.domscheit-berg.de/2023/01/der-bund-als-sicherheitsluecke-jede-5-it-sicherheitsstelle-im-bund-ist-unbesetzt/
Aufzeichnung des öffentlichen Teils des Ausschusses: „Bericht der Bundesregierung zu den digitalpolitischen Projekten und Plänen des Bundesministeriums für Gesundheit“: https://www.bundestag.de/mediathek/ausschusssitzungen?videoid=7551596#url=L21lZGlhdGhla292ZXJsYXk/dmlkZW9pZD03NTUxNTk2&mod=mediathek

Thema: möglicher Ausschluss chin. Hersteller aus dt. Mobilfunknetzen

Kanzler Scholz bei Präsident Biden: https://www.golem.de/news/telekom-vodafone-telefonica-mit-allen-juristischen-mitteln-huawei-rip-out-verhindern-2303-172570.html
Zeit-Artikel zur Huawei-Prüfung: https://www.zeit.de/politik/deutschland/2023-03/5g-ausbau-bundesregierung-verbot-huawei
Spiegelartikel von 2019 zu Huawei und das Kommunikationsnetz der Bahn: https://www.spiegel.de/wirtschaft/soziales/huawei-soll-kritisches-netz-der-deutschen-bahn-ausruesten-a-1257963.html

Thema Breitbandförderrichtlinie

Der ADB-Podcast #007 ab Min 34: https://mdb.anke.domscheit-berg.de/2023/01/der-adb-podcast-007-umsetzung-digital-services-act-neue-mobilfunkfrequenzvergabe-und-jede-menge-breitbandausbau/
Tagesspiegel Background Digitalisierung vom 13.03.2023: https://background.tagesspiegel.de/digitalisierung/so-gibt-es-schnell-geld-fuer-gigabit-netze
Ost-West-Unterschiede beim Gigabit-Ausbau (ZEIT-Artikel): https://www.zeit.de/2023/10/ostdeutschland-internet-versorgung-digitale-infrastruktur
Studie des IW zum Ost-West-Unterschied: https://www.iwkoeln.de/studien/jan-buechel-klaus-heiner-roehl-die-gigabit-luecke.html

Sonstige Empfehlungen:

Anhörung smart meter: https://www.bundestag.de/dokumente/textarchiv/2023/kw11-pa-energie-digitalisierung-937246
Meine Rede im Bundestag zur Vorratsdatenspeicherung von IP-Adressen (17.3.2023): https://www.youtube.com/watch?v=_k_EfcNR-Lk
Meine Rede im Bundestag zum Überbau bestehender Glasfasernetze (17.3.2023): youtube.com/watch?v=oOSEuJT8H78&t=1s

17. März 2023/von Melissa Meyer

Meine Schriftliche Frage zu Overclock Sicherheitslücken

Aktuelles, IT-Sicherheit, Parlamentarische Initiativen, Pressemitteilung, Schriftliche Frage

Meine Frage:
Wurden im Rahmen des Projekts „OVERCLOCK“ (s. Antwort der EU-Kommissarin Ylva Johansson auf eine Parlamentarische Anfrage unter https://www.europarl.eu-ropa.eu/doceo/document/E-9-2022-003492-ASW_DE.html), an dem auch deutsche Behörden beteiligt sind und das sich mit der Entwicklung forensischer Instrumente beschäftigt sowie einen rechtmäßigen Zugang zu Daten auf Geräte untersucht, sog. Zero-Day-Exploits entdeckt (u.a. von öffentlich bekannten Herstellern), und wurden besagte Zero-Day-Exploits – auch im Rahmen weiterer Forschungsvorhaben des „EU Innovation Hub for Internal Security“ – den betroffenen Unternehmen gemeldet (bitte separat je Projekt beantworten, und falls eine Meldungunterlassen wurde, bitte begründe)?

Antwort des Parlamentarischen Staatssekretärs Johann Saathoff:
Der Bundesregierung liegen zu Zero-Day Schwachstellen im Rahmen des Projektes „OVERCLOCK“ keine Erkenntnisse vor. Über den Umgang von Zero-Day Exploits in weiteren Forschungsvorhaben des „EU Innovation Hub for Internal Security“ liegen der Bundesregierung keine Informationen vor.

Antwortschreiben im Original:

Antwortschreiben (geschwärzt)Herunterladen

07. März 2023/von Melissa Meyer

Meine Schriftliche Frage zu IT-Grundschutz-Kriterien von CISO-Stellen

Aktuelles, Digitalisierung und Staat, IT-Sicherheit, Parlamentarische Initiativen, Pressemitteilung, Schriftliche Frage

vom 10. Februar 2023

Meine Frage:

Welche der (s. Antwort der Bundesregierung auf meine Schriftliche Frage 48 auf Bundestagsdrucksache 20/5426) angegebenen Ressort-Stellen für CISO oder vergleichbaren Stellen (also ohne nachgeordnete Behörden und nicht für Stellvertreter-Stellen) erfüllen die folgenden Empfehlungen der IT-Grundschutz-Methodik des BSI:

·Die Stelle ist direkt der obersten Leitung zugeordnet (Kriterium 1)

·Die Stelle ist nicht in die IT-Abteilung integriert, um Rollenkonflikte zu vermeiden (Kriterium 2) (bitte tabellarisch je Ressort mit Angabe ja/nein in je einer Spalte für die beiden Kriterien angeben)?

Antwort des Staatssekretärs Johann Saathoff:

Das Ergebnis der Abfrage in den Ressorts kann der Tabelle in der Anlage entnommen werden.

SF183_Geschwärzt Herunterladen

230216_SF183_CISO-ISB-Kriterien_Anlage Herunterladen

16. Februar 2023/von Melissa Meyer

Der Bund als Sicherheitslücke: Jede 5. IT-Sicherheitsstelle im Bund ist unbesetzt

Aktuelles, Chatkontrolle, Chatkontrolle, IT-Sicherheit, Pressemitteilung, Themen, Verbraucherschutz

Zum 4. Mal seit 2020 hat Anke Domscheit-Berg, digitalpolitische Sprecherin im Bundestag, die Bundesregierung nach der Anzahl und Besetzung ihrer IT-Sicherheitsstellen befragt. Vor dem Kontext einer stetig steigenden Bedrohungslage bei wachsender Abhängigkeit von funktionierenden digitalen Diensten beunruhigt das Ergebnis der aktuellen Befragung, denn zwar gab es einen erheblichen Zuwachs an IT-Sicherheitsstellen seit 2020, aber jede 5. Stelle ist zur Zeit unbesetzt, im BMDV sogar jede zweite Stelle und im BMG sind es seit Jahren sogar knapp 80 Prozent der IT-Sicherheitsstellen.

Dazu erklärt Anke Domscheit-Berg:

„Als Digitalpolitikerin treibt es mir Tränen in die Augen, Jahr für Jahr den Zahlen der Bundesregierung entnehmen zu müssen, dass es immer noch keine erkennbare IT-Sicherheitsstrategie für den Bund gibt. Anders ist nicht erklärbar, dass IT-Sicherheit so extrem unterschiedlich in den Ministerien behandelt wird.

Wie kann es mit dem BMUV ein Ministerium geben, dass heute weniger IT-Sicherheitsstellen hat, als vor vier Jahren, obwohl die Bedrohungslage für alle Einrichtungen des Bundes gleichermaßen stark anstieg? Wie kann es sein, dass das BMDV ständig zwischen massivem Stellenaufbau und –abbau hin- und herpendelt und dem BMG offenbar die IT-Sicherheit so egal ist, wie der sprichwörtliche Sack Reis in China? Wie kann es sein, dass immer noch jedes dritte Ministerium (einschließlich nachgeordneter Behörden) im Bund nicht einmal 10 Planstellen für IT-Sicherheit hat?

Es fehlt einfach ein gemeinsames Bewusstsein, eine gemeinsame Linie für mehr IT-Sicherheitskompetenz im Bund. Da überrascht dann auch nicht die Kritik des Normenkontrollrates an ungesicherten Netzen, veralteten Informationssicherheitskonzepten und gegen Cyberangriffe ungenügend geschützte Datenbanken und Server bei Einrichtungen des Bundes. Ich mache mir große Sorgen darum, dass diese Schwächen von böswilligen Dritten erfolgreich ausgenutzt werden und fordere die Bundesregierung dazu auf, diese strukturellen Missstände endlich zu beheben.

Mehr IT-Sicherheitskompetenz braucht es dafür auch auf der Ebene der Minister:innen, das zeigen aktuell die Richtungsdebatten der Ampel-Koalition zur sogenannten Chatkontrolle-Verordnung der EU, deren Ergebnis aufgrund von Inkompetenz zu einer gefährlichen Regulierung führen kann, die nicht nur die größte Überwachungsinfrastruktur in der Geschichte des Internets schaffen würde, sondern gleichzeitig auch die IT-Sicherheit für alle gefährdet.“

Zum Schlusslicht BMG ergänzt die Obfrau im Digitalausschuss:

„Das BMG kann man inzwischen selbst als Sicherheitslücke bezeichnen, denn seit vier Jahren fristet die IT-Sicherheit im Gesundheitsministerium ein Schattendasein. Egal, ob eHealth Großprojekte negative Schlagzeilen schreiben, ein Krieg ausbricht, Ransomware Attacken zur größten Bedrohung werden, oder die Hausspitze wechselt, es bleiben seit Jahren fast 80% der IT-Sicherheitsstellen unbesetzt. Mit nicht einmal drei besetzten Stellen kann man im Hause Lauterbach unmöglich den enormen Anforderungen gerecht werden, die gerade durch digitale Projekte entstehen, die mit sensiblen Gesundheitsdaten zu tun haben. Es darf nicht die Regel sein, dass IT-Sicherheitsrisiken oder ihre effektivste Beseitigung von Freiwilligen des Chaos Computer Clubs beschrieben werden, was leider gerade erst beim Thema Konnektorentausch für 130.000 Arztpraxen wieder der Fall war. Das BMG trägt als Mehrheitsgesellschafter der gematik GmbH selbst die Verantwortung für die Fehlentscheidungen, die zur Verschwendung von vielen Millionen Euro Krankenkassenbeiträge führen und die offensichtlich auf mangelhafte Kompetenz in IT-Sicherheitsfragen zurückzuführen sind.“

Zur erratischen Personalpolitik des Digitalministeriums ergänzt Domscheit-Berg:„Ausgerechnet das Digitalministerium scheint jährlich seine Anzahl von IT-Sicherheitsstellen zu würfeln. Noch 2021 wurden knapp 50 Stellen neu geschaffen, 2022 wurden 20 Stellen abgebaut, in diesem Jahr wurden wieder 47 Stellen plus gemeldet, unbesetzt sind allerdings sogar 56 Stellen, geändert haben sich im BMDV bisher also nur Zahlen auf dem Papier. Mit einer derart erratischen Fachkräftepolitik macht man sich auf dem Arbeitsmarkt natürlich nicht besonders beliebt, wer will schon einen Posten auf einem Schleudersitz bekleiden, in einem Ressort, dass nicht weiß, was es will, insbesondere wenn es um IT-Jobs in einem Digitalministerium geht?“

Kontakt:

Anke Domscheit-Berg

mailto: anke.domscheit-berg@bundestag.de

Tel.: (030) 227 73107

Weiterführende Informationen:

Antwort der Bundesregierung auf die Schriftliche Frage vom 23.01.2023

Daten und Datenauswertung IT-Sicherheitsstellen Bund:

25. Januar 2023/von Max Blum

Meine Schriftliche Frage zur Besetzung von IT-Sicherheitsstellen in Bundesministerien – 2023

Aktuelles, Bundestag, Digitalisierung und Staat, IT-Sicherheit, Parlamentarische Initiativen, Schriftliche Frage, Überwachung und Privatsphäre

25.01.2023

Frage:

Wie viele IT-Sicherheitsstellen sind derzeit in den Bundesministerien und deren nachgeordneten Behörden besetzt und wie viele unbesetzt (bitte jeweils nach Bundesministerien inklusive der jeweils nachgeordneten Behörden analog zur Antwort der Bundesregierung auf meine Schriftliche Frage 45 in Drs. 20/833 aufschlüsseln, s. https://dserver.bundestag.de/btd/20/008/2000833.pdf)?

25. Januar 2023/von Birgit

Bundestagsbüro

Social Media

Links