vom 10. Februar 2023

Meine Frage:

Welche der (s. Antwort der Bundesregierung auf meine Schriftliche Frage 48 auf Bundestagsdrucksache 20/5426) angegebenen Ressort-Stellen für CISO oder vergleichbaren Stellen (also ohne nachgeordnete Behörden und nicht für Stellvertreter-Stellen) erfüllen die folgenden Empfehlungen der IT-Grundschutz-Methodik des BSI:

·Die Stelle ist direkt der obersten Leitung zugeordnet (Kriterium 1)

·Die Stelle ist nicht in die IT-Abteilung integriert, um Rollenkonflikte zu vermeiden (Kriterium 2) (bitte tabellarisch je Ressort mit Angabe ja/nein in je einer Spalte für die beiden Kriterien angeben)?

Antwort des Staatssekretärs Johann Saathoff:

Das Ergebnis der Abfrage in den Ressorts kann der Tabelle in der Anlage entnommen werden.

Zum 4. Mal seit 2020 hat Anke Domscheit-Berg, digitalpolitische Sprecherin im Bundestag, die Bundesregierung nach der Anzahl und Besetzung ihrer IT-Sicherheitsstellen befragt. Vor dem Kontext einer stetig steigenden Bedrohungslage bei wachsender Abhängigkeit von funktionierenden digitalen Diensten beunruhigt das Ergebnis der aktuellen Befragung, denn zwar gab es einen erheblichen Zuwachs an IT-Sicherheitsstellen seit 2020, aber jede 5. Stelle ist zur Zeit unbesetzt, im BMDV sogar jede zweite Stelle und im BMG sind es seit Jahren sogar knapp 80 Prozent der IT-Sicherheitsstellen.

Dazu erklärt Anke Domscheit-Berg:

„Als Digitalpolitikerin treibt es mir Tränen in die Augen, Jahr für Jahr den Zahlen der Bundesregierung entnehmen zu müssen, dass es immer noch keine erkennbare IT-Sicherheitsstrategie für den Bund gibt. Anders ist nicht erklärbar, dass IT-Sicherheit so extrem unterschiedlich in den Ministerien behandelt wird.

Wie kann es mit dem BMUV ein Ministerium geben, dass heute weniger IT-Sicherheitsstellen hat, als vor vier Jahren, obwohl die Bedrohungslage für alle Einrichtungen des Bundes gleichermaßen stark anstieg? Wie kann es sein, dass das BMDV ständig zwischen massivem Stellenaufbau und –abbau hin- und herpendelt und dem BMG offenbar die IT-Sicherheit so egal ist, wie der sprichwörtliche Sack Reis in China? Wie kann es sein, dass immer noch jedes dritte Ministerium (einschließlich nachgeordneter Behörden) im Bund nicht einmal 10 Planstellen für IT-Sicherheit hat?

Es fehlt einfach ein gemeinsames Bewusstsein, eine gemeinsame Linie für mehr IT-Sicherheitskompetenz im Bund. Da überrascht dann auch nicht die Kritik des Normenkontrollrates an ungesicherten Netzen, veralteten Informationssicherheitskonzepten und gegen Cyberangriffe ungenügend geschützte Datenbanken und Server bei Einrichtungen des Bundes. Ich mache mir große Sorgen darum, dass diese Schwächen von böswilligen Dritten erfolgreich ausgenutzt werden und fordere die Bundesregierung dazu auf, diese strukturellen Missstände endlich zu beheben.

Mehr IT-Sicherheitskompetenz braucht es dafür auch auf der Ebene der Minister:innen, das zeigen aktuell die Richtungsdebatten der Ampel-Koalition zur sogenannten Chatkontrolle-Verordnung der EU, deren Ergebnis aufgrund von Inkompetenz zu einer gefährlichen Regulierung führen kann, die nicht nur die größte Überwachungsinfrastruktur in der Geschichte des Internets schaffen würde, sondern gleichzeitig auch die IT-Sicherheit für alle gefährdet.“

Zum Schlusslicht BMG ergänzt die Obfrau im Digitalausschuss:

„Das BMG kann man inzwischen selbst als Sicherheitslücke bezeichnen, denn seit vier Jahren fristet die IT-Sicherheit im Gesundheitsministerium ein Schattendasein. Egal, ob eHealth Großprojekte negative Schlagzeilen schreiben, ein Krieg ausbricht, Ransomware Attacken zur größten Bedrohung werden, oder die Hausspitze wechselt, es bleiben seit Jahren fast 80% der IT-Sicherheitsstellen unbesetzt. Mit nicht einmal drei besetzten Stellen kann man im Hause Lauterbach unmöglich den enormen Anforderungen gerecht werden, die gerade durch digitale Projekte entstehen, die mit sensiblen Gesundheitsdaten zu tun haben. Es darf nicht die Regel sein, dass IT-Sicherheitsrisiken oder ihre effektivste Beseitigung von Freiwilligen des Chaos Computer Clubs beschrieben werden, was leider gerade erst beim Thema Konnektorentausch für 130.000 Arztpraxen wieder der Fall war. Das BMG trägt als Mehrheitsgesellschafter der gematik GmbH selbst die Verantwortung für die Fehlentscheidungen, die zur Verschwendung von vielen Millionen Euro Krankenkassenbeiträge führen und die offensichtlich auf mangelhafte Kompetenz in IT-Sicherheitsfragen zurückzuführen sind.“

Zur erratischen Personalpolitik des Digitalministeriums ergänzt Domscheit-Berg:„Ausgerechnet das Digitalministerium scheint jährlich seine Anzahl von IT-Sicherheitsstellen zu würfeln. Noch 2021 wurden knapp 50 Stellen neu geschaffen, 2022 wurden 20 Stellen abgebaut, in diesem Jahr wurden wieder 47 Stellen plus gemeldet, unbesetzt sind allerdings sogar 56 Stellen, geändert haben sich im BMDV bisher also nur Zahlen auf dem Papier. Mit einer derart erratischen Fachkräftepolitik macht man sich auf dem Arbeitsmarkt natürlich nicht besonders beliebt, wer will schon einen Posten auf einem Schleudersitz bekleiden, in einem Ressort, dass nicht weiß, was es will, insbesondere wenn es um IT-Jobs in einem Digitalministerium geht?“

Kontakt:

Anke Domscheit-Berg

mailto: anke.domscheit-berg@bundestag.de

Tel.: (030) 227 73107

Weiterführende Informationen:

Daten und Datenauswertung IT-Sicherheitsstellen Bund:

25.01.2023

Frage:

Wie viele IT-Sicherheitsstellen sind derzeit in den Bundesministerien und deren nachgeordneten Behörden besetzt und wie viele unbesetzt (bitte jeweils nach Bundesministerien inklusive der jeweils nachgeordneten Behörden analog zur Antwort der Bundesregierung auf meine Schriftliche Frage 45 in Drs. 20/833 aufschlüsseln, s. https://dserver.bundestag.de/btd/20/008/2000833.pdf)?

Weiterlesen

Mein im Tagesspiegel Backround erschienener Artikel, vom 21.11.2022

Die Vorratsdatenspeicherung ist zwar weitgehend vom Tisch, aber nun droht ihre jüngste Schwester, bekannt als „Chatkontrolle“, per Europäischer Regulierung eine gefährliche Zensur-Infrastruktur zu schaffen, die von undemokratischen Regierungen, aber auch in der EU selbst missbraucht werden kann, ohne wirksame Kontrollmöglichkeiten durch Wissenschaft, Zivilgesellschaft, Journalismus oder Politik.

Die EU-Verordnung soll Kinder vor sexualisierter Gewalt schützen, in dem Bilder davon oder Cybergrooming eher entdeckt werden. Weitreichende
Eingriffe in Grundrechte werden immer mit Zielen durchgesetzt, bei denen der gesellschaftliche Widerstand klein ist, wer will schon als jemand da stehen, der Kindervergewaltiger vor Strafverfolgung schützt? Nach 9/11 war es der Kampf gegen den Terrorismus, davor war die Angst groß und deshalb der Widerstand klein gegen Überwachung im Netz.

Aber die Hürde für Grundrechtseinschränkungen liegt hoch, drei Anforderungen müssen erfüllt sein, unabhängig davon, wie edel die erklärten Ziele sind. Genau diese Prüfung nahm der unabhängige Wissenschaftliche Dienst des Bundestages in meinem Auftrag vor, denn jede Grundrechtseinschränkung muss sowohl geeignet, als auch angemessen und verhältnismäßig sein. Nach aktuellem Stand würde die Verordnung Diensteanbieter dazu verpflichten, eine Risikobewertung ihres Dienstes hinsichtlich der Verbreitung dieser speziellen Inhalte vorzunehmen. Dazu muss ein Diensteanbieter aber wissen, ob sein Dienst dafür genutzt wird, wozu er alle Inhalte kontrollieren muss. Das erfordert wiederum algorithmische Filter, da Milliarden von Inhalten zu prüfen wären.

Das ginge in zwei Varianten: entweder man baut Löcher in verschlüsselte Kommunikation ein, was ein klarer Verstoß gegen den Koalitionsvertrag wäre, der ein Bekenntnis zur Unantastbarkeit sicherer Verschlüsselungen enthält. Oder man nutzt Client Side Scanning (CSS), bei dem noch vor dem Verschlüsseln die Inhalte überprüft werden. Laut Wissenschaftlichem Dienst des Bundestages erfordert das CSS den Einbau „kodifizierter, werkseitiger Hintertüren“ in den genutzten Geräten, also absichtliche Schwachstellen, die auch Dritte für Cyberangriffe nutzen können. Das reduziert die IT-Sicherheit in Zeiten hoher Angriffswahrscheinlichkeiten.

Auf meine Fragen nach ihrer Haltung zum CSS antwortete die Bundesregierung stets ausweichend. Hält Innenministerin Nancy Faeser
eine Überwachung privater Kommunikationen per CSS etwa für vereinbar mit dem Koalitionsvertrag? Auch CSS macht verschlüsselte Kommunikation kaputt, denn ihr Zweck, vertrauliche und private Kommunikationen vor Kenntnisnahme Dritter zu schützen, ist nicht mehr erreichbar. Der Wissenschaftliche Dienst des Bundestages kommt daher zu der klaren Einschätzung, dass die verpflichtende Risikobewertung sichere Kommunikationswege faktisch abschafft.


Wäre die Chatkontrolle eine geeignete Maßnahme?

Schon bei der Prüfung der Eignung der Maßnahme dafür, ob sie Kinder vor sexualisierter Gewalt schützt, hat der Wissenschaftliche Dienst des Bundestages Bedenken und verweist u.a. auf den Kinderschutzbund, der die Verordnung für überzogen und in der Sache für nicht hilfreich hält. Das Hauptproblem sei nicht, dass es an Anzeigen fehlte, sondern dass es an Ressourcen fehlt, bei Anzeigen schnell und effektiv zu ermitteln. Es braucht schlicht mehr Personal. Die steigenden Fallzahlen der vergangenen Jahre liegen vor allem an der bereits stattfindenden Erhellung des Dunkelfeldes.

So arbeiteten in der zuständigen Stelle in NRW noch vor vier Jahren nur zwölf Fachkräfte, inzwischen sind es 90. Mit der Chatkontrolle bekämen diese bereits überlasteten Fachkräfte eine Welle Tausender falscher Meldungen zusätzlich, weil die Algorithmen auch bisher unbekannte Bilder flaggen und legales Sexting unterscheiden sollen von
Cybergrooming, was hohe Fehlerraten unvermeidbar macht. Das bindet Ressourcen, die bei echten Fällen fehlen werden – das wirkt sogar gegen
das erklärte Ziel.

Wäre die Chatkontrolle angemessen?

Der Wissenschaftliche Dienst prüfte auch, ob die Chatkontrolle angemessen ist, der EuGH meint damit, dass es keine andere Maßnahme gibt, die mit weniger Grundrechtseinschränkung das gleiche Ziel erreicht. Auch diese Prüfung besteht die Chatkontrolle nicht. Mehr Ressourcen für Strafverfolgung und vor allem für Prävention im Bereich Kinder-und Jugendschutz bereitzustellen, wären zum Beispiel grundrechtsfreundlichere Maßnahmen. Ich kenne selbst Fälle aus meinem Umfeld, wo weder von Cybergrooming betroffene Jugendliche noch deren Eltern und Lehrkräfte wussten, was zu tun war, wie groß potenzielle Gefahren sind und wie oft Täter mit falschen Identitäten unterwegs sind. Als Teil der Prävention zum Thema Cybergrooming könnte zum Beispiel der hervorragende Film „Gefangen im Netz“ in allen Schulen gezeigt und sein Material bearbeitet werden.

Wäre die Chatkontrolle verhältnismäßig?

Bei einer Grundrechtseinschränkung muss weiterhin der mit ihr erzielbare Nutzen in einem sinnvollen Verhältnis zu den unerwünschten Nebenwirkungen stehen, um vereinbar zu sein mit der EUGrundrechtecharta (Art. 7, 8, 11 GRCh) und mit der EU Richtlinie 2002/58/EG, die die Vertraulichkeit der Kommunikation schützt. Der Wissenschaftliche Dienst des Bundestages kommt auch bei dieser Prüfung zu einer eindeutigen Einschätzung: die Verhältnismäßigkeit sei nicht gegeben, da bereits der Nutzen fraglich sei, die zu erwartenden negativen Effekte sowohl für die gesamte Gesellschaft (Stichworte Chilling Effect, geminderte IT-Sicherheit u.a.) aber auch für die eigentlich zu schützenden Jugendlichen gravierend sind.

So stammen nach einem Bericht der „Frankfurter Allgemeinen Zeitung“ von 5. Oktober 2022 inzwischen schon etwa 50 Prozent der illegalen Verbreitung pornografischer Inhalte von Jugendlichen selbst. Da das Strafrecht in Deutschland nicht unterscheidet, ob ein 50-Jähriger mit einer 15-Jährigen explizite Bilder austauscht oder zwei 15-Jährige untereinander, werden Heranwachsende schon heute kriminalisiert. Da Algorithmen der Chatkontrolle Cybergrooming von Sexting zwischen Minderjährigen nicht unterscheiden können, geraten Jugendliche künftig noch häufiger unter Verfolgungsdruck. Der Wissenschaftliche Dienst des Bundestages verweist daher explizit auf die zu erwartenden negativen Folgen für die Entwicklung Heranwachsender.

Last but not least möchte ich auf die mangelnden Kontrollmöglichkeiten der Chatkontrolle hinweisen, denn schon in seinem Urteil zur Vorratsdatenspeicherung lehnten sowohl der EuGH als auch das Bundesverfassungsgericht deren Verhältnismäßigkeit auch mit dem Argument ab, dass es an hinreichendem Schutz vor Missbrauchsrisiken der Überwachung fehle.

Bei der Chatkontrolle wird ein als illegal identifiziertes Bild mit einem Algorithmus in einen Hash-Wert umgerechnet, der nicht wieder rückwärtsgerechnet werden kann. Dieser Hash-Wert wandert in eine Datenbank aller dorthin gemeldeten Hash-Werte. Ab da kann niemand mehr feststellen, was für ein Bild hinter einem solchen Hash steckt, es sei denn, man hat das Bild bereits und rechnet damit selbst einen Hash-Wert aus und kann dann beide Hash-Werte miteinander vergleichen. Will jemand die Verbreitung eines legalen, aber missliebigen Bildes behindern, bräuchte man nur den Hash-Wert dieses Bildes in die Datenbank laden und der Filter-Algorithmus der Chatkontrolle verhindert die Verbreitung dieses Bildes selbst in privaten Chats. Diese Eigenschaften machen die Chatkontrolle zu einer potenziell mächtigen Zensurmaschine, die sich externer Kontrolle entzieht. Bereits 2019 beschrieb die Electronic Frontier Foundation diese Missbrauchsmöglichkeiten von Client Side Scanning.

Ausblick

Viel Zeit bleibt nicht, um diese gefährliche Verordnung zu verhindern, sie soll den Digital Services Act ergänzen und voraussichtlich Anfang 2024 in Kraft treten. Mit an Sicherheit grenzender Wahrscheinlichkeit wäre eine Klage dagegen vor dem EuGH erfolgreich, aber bis zu einem Urteil vergingen Jahre, in denen Grundrechte verletzt werden, Diktaturen einen Blueprint für Zensurinfrastrukturen erhalten und den Einsatz mit Verweis auf die EU rechtfertigen können und in denen sinnlos Ressourcen gebunden werden, die für den wirksamen Schutz von Kindern vor sexualisierter Gewalt fehlen.

Am 28. Juni habe ich beim Wissenschaftlichen Dienst des Bundestags um eine Bewertung des EU-Verordnungsentwurfs „Vorschriften zur Verhütung und Bekämpfung des sexuellen Missbrauchs von Kindern“, auch als „Chatkontrolle“ bekannt, gebeten. Der Fokus sollte dabei auf der Frage liegen, ob der eintretende Eingriff in die Grundrechte durch diesen Verordnungsentwurf verhältnismäßig ist. Die Ausarbeitung dazu ist inzwischen eingegangen und kann HIER aufgerufen werden.

Das Gutachten des Wissenschaftlichen Dienstes zum aktuellen Entwurf der EU Chatkontrolle zieht ein vernichtendes Fazit, und stützt alle meine Warnungen und die der Zivilgesellschaft vor dieser Verordnung, die offensichtlich weder dazu geeignet ist, Kinder besser vor sexualisierter Gewalt zu schützen, noch auch nur ansatzweise angemessen ist, denn das Gutachten bestätigt, dass die Chatkontrolle einen unverhältnismäßigen Eingriff in die Grundrechte bedeutet und negative Auswirkungen nicht nur allgemein für die Bevölkerung, sondern insbesondere auch für Minderjährige zu erwarten sind.

Ich hoffe sehr, dass man dieses Gutachten im Innenministerium genau zur Kenntnis nimmt, insbesondere die Ausführungen zur faktischen Abschaffung der vertraulichen Kommunikation, aber auch die deutliche Aussage, dass die Umsetzung der Chatkontrolle zwingend entweder die Schwächung verschlüsselter Übertragung oder aber das Auslesen von Messenger-Inhalten vor der Verschlüsselung auf dem Gerät der Nutzer:innen (“Client Side Scanning”) bedeutet. Vor diesem Hintergrund beunruhigt mich sehr, dass die Bundesregierung zwar immer wieder betont, dass sie die verschlüsselte Kommunikation schützen will, sich gleichzeitig aber vor einer klaren Aussage zum Client Side Scanning drückt. Ich habe bereits mehrfach vergeblich danach gefragt und habe den stärker werdenden Eindruck, dass man sich diesen Weg für eine Umsetzung der Chatkontrolle offenhält. Das Gutachten des wissenschaftlichen Dienstes des Bundestags macht allerdings sehr deutlich, dass mittels Client Side Scanning nicht nur die Vertraulichkeit der Kommunikation faktisch abgeschafft, sondern außerdem die IT-Sicherheit genutzter Geräte geschwächt wird, da dafür die Gerätehersteller Sicherheitlücken einbauen müssten, die natürlich auch von Dritten gefunden und ausgenutzt werden können.

Nach Kenntnis dieses Gutachtens muss endlich die gesamte Bundesregierung einschließlich der Innenministerin Nancy Faeser die Chatkontrolle als gefährlichen Holzweg erkennen und ihr ganzes Verhandlungsgewicht in Brüssel dafür einsetzen, dass diese Verordnung verhindert wird und sie Kinder stattdessen mit sowohl geeigneten als auch mit grundrechtsfreundlichen Maßnahmen künftig besser vor Gewalt schützt.

10. Oktober 2022

Frage:

Gab es in den vergangenen drei Jahren Kontakte zwischen Vertreterinnen und Vertretern der Protelion GmbH mit Vertreterinnen und Vertretern der Bundesregierung oder hohen Beamtinnen und Beamten von Behörden/öffentlichen Stellen (bitte jeweils Datum, Teilnehmende und Gegenstand/Anlass des Gesprächs auflisten) und beabsichtigt das Bundesgesundheitsministerium, seine Mitgliedschaft im Cybersicherheitsrat Deutschland e.V. zu kündigen?

Antwort von Johann Saathoff:

Eine ressortweite Abfrage innerhalb der Bundesregierung hat ergeben, dass es in den vergangenen drei Jahren keine Kontakte zwischen Vertreterinnen und Vertretern der Protelion GmbH mit Vertreterinnen und Vertretern der Bundesregierung oder hohen Beamtinnen und Beamten von Behörden/öffentlichen Stellen gab.

In diesem Zusammenhang weist die Bundesregierung darauf hin, dass sie im Rahmen der Aufgabenwahrnehmung Kontakte mit einer Vielzahl von Wirtschaftsvertretern pflegt, insbesondere auch auf dem Gebiet sicherer IT-Lösungen. Unter diesen ständigen Austausch fallen Gespräche und auch Kommunikation in anderen Formen (schriftlich, elektronisch, telefonisch).

Es ist weder rechtlich geboten noch im Sinne einer effizienten und ressourcenschonenden öffentlichen Verwaltung leistbar, entsprechende Informationen und Daten
(z. B. sämtliche Veranstaltungen, Sitzungen und Termine nebst Teilnehmerinnen und Teilnehmern) vollständig zu erfassen oder entsprechende Dokumentationen darüber zu erstellen oder zu pflegen. Die Ermittlung der „Verbundenheit“ von Einzelpersonen zu entsprechenden Unternehmen ist darüber hinaus kein regelmäßiger Standardprozess.

Insbesondere bei größeren Veranstaltungen (z. B. Festakten, Vorträgen etc.) lässt sich vielfach nicht mehr rekonstruieren, welche Personen konkret teilgenommen haben und welche Gespräche anlässlich dieser Veranstaltungen im Einzelnen geführt worden sind. Eine vollständige und umfassende Aufstellung über all diese Kontakte existiert nicht, weil derartige Teilnahmen, Termine und Gespräche nicht festgehalten werden.

Das Bundesgesundheitsministerium hat seine Mitgliedschaft im Cybersicherheitsrat Deutschland e.V. gekündigt.

Frage:

Wie viele Ermittlungsverfahren sind nach Kenntnis der Bundesregierung vor dem Hintergrund, dass es seit Anfang des Jahres 2022 einen Gesprächskanal zwischen dem Bundesinnenministerium und dem Messenger Telegram FZ LLC, mit Sitz in Dubai gibt, durch die Weitergabe von Nutzerdaten vom Messenger Telegram an das Bundeskriminalamt – im Zuge der neuen Kooperation seit Anfang Februar 2022 – eröffnet worden, und wie verteilen sich nach Kenntnis der Bundesregierung diese Ermittlungsverfahren nach Straftatbestand bzw. Tatvorwurf (Drucksachennummer 203225 Frage 41)?

Weiterlesen

Mein Interview zur Cybersicherheitsagenda des BMI fand noch vor der Pressekonferenz von Ministerin Faeser statt (Quelle: zdf.de).

Mehr dazu gibt es in diesem Twitter Thread und meinem Pressestatement:

Weiterlesen
Weiterlesen

Drei Themenblöcke beschäftigen den Digitalausschuss am 22.06.2022. Das BMI war zu Gast, um (auf meine Anregung hin) die Position der Bundesregierung zum Thema Chatkontrolle zu berichten. Was man da so hört aus der Bundesregierung ist mindestens verwirrend. Nachdem „Digitalminister“ Volker Wissing sich klar gegen diesen Entwurf einer grundrechtswidrigen EU Verordnung aussprach, gab es von Seiten BMI leider weniger Klarheit. Ob das Recht auf Verschlüsselung (steht im KoaV!) bestehen bleibt, hängt für das BMI wohl auch davon ab, wie man den Verschlüsselungsprozess definiert. Das macht mir Sorgen. Meine Kritik und welche Präventionsmaßnahmen zum Kinderschutz sinnvoller wären – aber null im Entwurf vorkommen – gibts im Video.

Weiterlesen