IT-Sicherheit - Anke Domscheit-Berg

Assetmanagement für Hard- und Software in Bundeseinrichtungen

Digitalisierung und Staat, IT-Sicherheit, Parlamentarische Initiativen, Schriftliche Frage

Frage

Welche Einrichtungen des Bundes (Bundesministerien und Bundeskanzleramt, inkl. nachgeordneter Behörden) haben kein regelmäßig gepflegtes Assetmanagement für Hardware und Software,
und welche der Stellen, die über ein solches verfügen, erfüllen nach eigener Einschätzung die Anforderungen des Bundesamtes für Sicherheit in der Informationstechnik (BSI) an ein solches Assetmanagement?

Wird die Strategie zur Implementierung von Building Information Modeling bei der Deutschen Bahn (hier insbesondere bei DB Netz) vor allem kostendeckend/kommerziell (Monetarisierung) oder auch unter Berücksichtigung des Aspekts der Daseinsfürsorge (Open by default) vorangetrieben, und in welcher Art und Weise werden die gesammelten Daten (z. B. in Form eines Katalogs, eines Datenraums, einer Datendrehscheibe oder offener Schnittstellen) zur Verfügung gestellt? (BT-Drucksache 20/534 Frage 36)

Antwort des Parlamentarischen Staatssekretärs Johann Saathoff vom 25. Januar 2022

Unter Einrichtungen des Bundes i. S. der Abfrage werden das Bundeskanzleramt (BKAmt), alle Bundesministerien sowie ihre unmittelbaren Geschäftsbereichsbehörden verstanden. Dem Bundesministerium für Bildung und Forschung (BMBF) und dem Bundesministerium für wirtschaftliche Zusammenarbeit und Entwicklung (BMZ) ist kein entsprechender Geschäftsbereich zugeordnet.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat keine Definitionen für ein „Assetmanagement für Hardware und Software“ veröffentlicht, fordert jedoch im Rahmen des BSI Standards 200-2 IT Grundschutz eine Strukturanalyse (s. www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/BSI_Standards/standard_200_2.pdf, Kapitel 8.1) und die Umsetzung entsprechender Maßnahmen zum Schutz der in der Strukturanalyse identifizierten Geschäftsprozesse, Informationen, Anwendungen, IT- und ICS-Systeme, Räume und Kommunikationsnetze. Der Umsetzungsplan Bund 2017, Leitlinie für Informationssicherheit in der Bundesverwaltung (UP Bund, www.bmi.bund.de/SharedDocs/downloads/DE/publikationen/themen/it-digitalpolitik/up-bund-2017.html;jsessionid=634452FC169506E453C281F37876A1CE.1_cid295), verpflichtet alle Ressorts und Bundesbehörden zur Umsetzung des IT-Grundschutzes. In der als Anlage beigefügten Übersicht sind die Einrichtungen des Bundes genannt, die über ein regelmäßig gepflegtes Assetmanagement für Hardware und Software verfügen bzw. nicht verfügen. Die Übersicht gibt die im Rahmen der geltenden Fristen ermittelbaren Ergebnisse wieder und ist insoweit sowohl qualitativ wie quantitativ mit Unsicherheiten behaftet.

Antwortschreiben im Original (PDF)Herunterladen

Anlage Herunterladen

28. Januar 2022/von

Schriftliche Frage zur Zertifikatprüfung bei Ticketbuchungen über die CWA

Digitalisierung und Staat, eGovernment, IT-Sicherheit, Parlamentarische Initiativen, Schriftliche Frage

Frage

Welche Prüfprovider sind für die Zertifikatprüfung bei Ticketbuchungen über die Corona-WarnApp (seit Version 2.15, siehe genauere Beschreibungen: www.coronawarn.app/de/blog/2021-12-20-cwa-2-15/) bisher in Deutschland zugelassen, und wird das Impfzertifikat einem User/einer Userin so zum Prüfprovider übertragen, dass es dort zur Prüfung in vollständiger Form vorliegt? (BT-Drucksache: 20/428, Frage 44)

Antwort des Parlamentarischen Staatssekretärs Dr. Edgar Franke vom 10. Januar 2022

Eine vorläufige Zulassung für den Testbetrieb eines Onlineverifikationsdienstes hat der Anbieter T-Systems International GmbH erhalten. Im Rahmen des Testbetriebs kann die Corona-Warn-App noch nicht von der Öffentlichkeit zur Validierung genutzt werden. Die endgültige Zulassung ist von der abschließenden Bewertung des Testbetriebs und von der abschließenden Prüfung durch den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit abhängig. Die vollständige Spezifikation eines Onlineverifikationsdienstes wurde in Form einer EU-Guideline erstellt. Diese ist im Internet veröffentlicht: https://ec.europa.eu/health/sites/health/files/ehealth/docs/covid-certificate_traveller-onlinebooking_en.pdf. Diese Guideline sieht vor, dass das vollständige Impfzertifikat durch die Corona-Warn-App bzw. die CovPass-App ausschließlich zum Onlineverifikationsdienst übertragen wird. Der Ticketanbieter hingegen erhält nur das Ergebnis der Prüfung. Nach der Prüfung werden die Zertifikate beim Onlineverifikationsdienst wieder gelöscht.

Antwortschreiben im Original Herunterladen

14. Januar 2022/von

Antwort der Bundesregierung zum Flop der ID-Wallet zeigt: BSI und BfDI zu wenig einbezogen, Vergabe intransparent

Aktuelles, Digitalisierung und Staat, eGovernment, IT-Sicherheit, Parlamentarische Initiativen, Schriftliche Frage, Verbraucherschutz

Bild: „Führerschein in Hosentasche“ by Tim Reckmann | a59.de is licensed under CC BY 2.0

Das digitale Totalversagen rund um den digitalen Führerscheinnachweis machte viele Schlagzeilen und ich hatte viele Fragen. Diese Fragen habe ich der Bundesregierung gestellt und deren Antworten werden Euch verunsichern… aber der Reihe nach.

Wer es nicht mitbekommen hatte: Kurz vor der diesjährigen Bundestagswahl sollte es endlich soweit sein, Bundesverkehrsminister Andreas Scheuer (CSU) gab den Startschuss für den digitalen Führerschein-Nachweis in Deutschland bekannt. Dieser solle ab sofort in der Smartphone-App “ID Wallet” für alle bereitstehen und in bestimmten Situationen das analoge Papier ersetzen können – z.B. bei der Nutzung von Carsharing, bei Autovermietungen oder bei Ausweiskontrollen. Die Umsetzung übernahm der Dienstleister Digital Enabling GmbH, ein bis dato völlig unbekanntes Unternehmen.

28. Oktober 2021/von

Pegasus-Affäre: Spyware weltweit als digitale Waffen ächten

Aktuelles, Bundestag, IT-Sicherheit, Parlamentarische Initiativen, Überwachung und Privatsphäre

Die investigative Recherche zur NSO Group Technologies und ihrem Überwachungsprodukt Pegasus schockiert, denn sie weist nach, wovor Aktivist:innen seit Jahren warnten: dass Sicherheitslücken auf elektronischen Geräten in vielen Ländern zur umfassenden Überwachung auch von Journalist:innen, Rechtsanwält:innen und Oppositionellen ausgenutzt werden. Weltweit werden durch die Einschleusung von Schadsoftware in Smartphones Grund- und Menschenrechte verletzt.

Bisher heißt es zwar, dass deutsche Behörden keine Geschäftspartner der NSO Group sind und auch keine Deutschen als Opfer der grenzenlosen Überwachung bekannt wurden , aber auch ohne direkte Beteiligung trägt die Bundesregierung dazu bei, dass solche Menschenrechtsverletzungen möglich sind und auch bei uns Überwachung auf Kosten der IT-Sicherheit aller immer stärker zunimmt. So erhielten gerade erst im Juni alle 19 Geheimdienste in Bund und Ländern die Befugnis, Staatstrojaner einzusetzen, die unter Ausnutzung von Sicherheitslücken in IT-Systeme eingeschleust werden. Sicherheitslücken unterscheiden jedoch nicht zwischen Gut oder Böse, Demokratie oder Schurkenstaat, legitimer Behörde oder krimineller Ransomware-Erpresserbande. Wenn Schwachstellen einmal offen sind, kann sie jeder ausnutzen, auch die NSO Group Technologies. Die Folgen sind nicht nur für die IT-Sicherheit gravierend, sondern bedeuten eine grundsätzliche Ausweitung der Überwachungsinfrastruktur weltweit, solange nicht alle bekannten Sicherheitslücken den Herstellern mitgeteilt und geschlossen werden.

20. Juli 2021/von

Ausschussreport: TKModG und IT-SiG 2.0

Digitale Infrastruktur, IT-Sicherheit, Videoausschussreport

Telekommunikationsmodernisierungsgesetz und IT-Sicherheitsgesetz 2.0 (Ausschussreport, 21.04.2021)

Dieses Video auf YouTube ansehen

Zum Thema #Telekommunikationsmodernisierungsgesetz kurz #TKModG gab es für mich am 21.4.21 Ausschuss-hopping 🏃‍♀️ , denn die Novellierung betrifft auch den Ausschuss für Verkehr und digitale Infrastruktur, in dem ich stellvertretendes Mitglied bin. Im Digitalausschuss haben wir die Debatte fortgeführt und außerdem über die überarbeitete, neue Version des umstrittenen IT-Sicherheitsgesetzes 2.0 diskutiert.

21. April 2021/von

Bundesregierung will Überwachungsgesetze nicht überprüfen

Diverses, IT-Sicherheit, Parlamentarische Initiativen, Schriftliche Frage, Überwachung und Privatsphäre

Selbstgemachtes Demo-Schild mit der Aufschrift: Lieber ständig übermüdet als ständig überwacht. — ^{Überwachung zerstört Freiheit – Fotocredit: CC-BY Karola Riegler (Bearbeitung Team ADB)}

Zahlreiche Befugniserweiterungen für die Sicherheitsbehörden trugen in den vergangenen Jahren zu einer starken Ausweitung der Überwachungstätigkeit bei. Dabei zeigen mehrere Urteile (Änderungen Verfassungsschutzgesetz, BND-Gesetz und Änderung zur Bestandsdatenauskunft) aus Karlsruhe eindeutig: das Ausmaß des Reformbedarfs im Bereich der Sicherheitsbehörden ist dramatisch – die Vorhaben der Bundesregierung entsprechen keineswegs den hohen verfassungsrechtlichen Vorgaben.

In meiner Schriftlichen Frage wollte ich von der Bundesregierung wissen, was ihre Pläne sind, eine “Überwachungsgesamtrechnung”, die sowohl vom BVerfG als auch vom Bundesdatenschutzbeauftragter für den Datenschutz und die Informationsfreiheit Kelber selbst mehrfach gefordert wurden, zukünftig durchzuführen und sie dann auch zu veröffentlichen. Die Antwort aus dem Bundesinnenministerium ist ein Schlag ins Gesicht der Demokratie.

05. April 2021/von

SCHRIFTLICHE FRAGE IN DER WOCHE VOM 29. MÄRZ 2021

IT-Sicherheit, Schriftliche Frage

Frage
Wie bewertet die Bundesregierung die Forderung nach einer (auch zu veröffentlichenden) „Überwachungsgesamtrechnung“ (breit interpretiert) zur Evaluierung der Zugriffsmöglichkeiten von Sicherheitsbehörden auf personenbezogene Daten, wie sie unter anderem (sinngemäß) das Bundesverfassungsgericht 2010 in seinem Urteil zur Vorratsdatenspeicherung (https://digitalcourage.de/uberwachungsgesamtrechnung/sammlung) und sogar wörtlich und wiederholt der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (https://www.bfdi.bund.de/DE/Infothek/Pressemitteilungen/2020/09/Neuer-Termin-Übergabe-Tätigkeitsbericht.html) äußerten und ist konkret geplant, eine solche Überwachungsgesamtrechnung künftig durchzuführen und ihre Ergebnisse zu veröffentlichen (bitte begründen)? (Drucksache 19/28193, Frage 17)

Antwort

Das Bundesverfassungsgericht hat in der genannten Entscheidung ausgeführt, dass die Einführung der Telekommunikationsverkehrsdatenspeicherung nicht als Vorbild für die Schaffung weiterer vorsorglich anlassloser Datensammlungen dienen könne, sondern den Gesetzgeber bei der Erwägung neuer Speicherungspflichten in Blick auf die Gesamtheit der verschiedenen schon vorhandenen Datensammlungen zu größerer Zurückhaltung zwinge. Es gehöre zur verfassungsrechtlichen Identität der Bundesrepublik Deutschland, dass die Freiheitswahrnehmung der Bürger nicht total erfasst und registriert werden darf (BVerfGE 125, 260 Rdnr. 218 juris).

Die Bundesregierung trägt den Anforderungen des Gerichts an die Verhältnismäßigkeit von Grundrechtseingriffen insgesamt Rechnung. Dazu wird insbesondere die grundrechtsbeschränkende Wirkung von staatlichen Eingriffsbefugnissen in den Blick genommen. So wird schon jetzt bei der Prüfung neuer rechtlicher Befugnisse auch berücksichtigt, über welche Befugnisse die jeweilige Sicherheitsbehörde bereits verfügt und ob die Anpassungen oder Erweiterungen von Datenerhebungsbefugnissen tatsächlich erforderlich und verhältnismäßig sind. Eine Analyse der Regelungserfordernisse erfolgt daher bereits im Rahmen der Arbeiten an neuen Gesetzgebungsvorhaben. Grundrechtseinschränkende Gesetze dürfen nur erlassen werden, wenn sie zur Erreichung eines legitimen Regelungszwecks geeignet, erforderlich und angemessen sind.

Wenn eine „Überwachungsgesamtrechnung“ als eigenständiges Konzept sich von dieser bisherigen Dogmatik und Methodik der Verhältnismäßigkeitsprüfung lösen wollte, stellte sich die Frage, wie dies im Rahmen einer Grundrechtsprüfung operationalisiert werden sollte.

In Hinblick auf die Frage der Veröffentlichung der Nutzung bestehender Befugnisse der Sicherheitsbehörden sehen eine Vielzahl von Regelungen spezielle periodische Berichtspflichten vor, die auch der laufenden Evaluierung dienen. Über durchgeführte Wohnraumüberwachungsmaßnahmen berichtet die Bundesregierung dem Gremium des Deutschen Bundestages nach Artikel 13 Absatz 6 des Grundgesetzes jährlich. Im Übrigen sind Berichtspflichten über die Durchführung eingriffsintensiver bzw. verdeckter Maßnahmen beispielsweise in § 88 des Bundeskriminalamtgesetzes oder in § 101b der Strafprozessordnung vorgesehen. Die parlamentarische Kontrolle der Nachrichtendienste erfolgt durch das Parlamentarische Kontrollgremium, dies auch auf Grundlage diverser Berichtspflichten wie etwa nach § 14 Absatz 1 des Artikel 10-Gesetzes oder § 8b Absatz 3 des Bundesverfassungsschutzgesetzes. Abgesehen davon ist eine Evaluierung bei wesentlichen Regelungsvorhaben ohnehin vorgeschrieben. Im Rahmen der Evaluierung kann der Frage nach unbeabsichtigten Nebenwirkungen sowie der Akzeptanz der Regelungen nachgegangen werden.

29. März 2021/von

Ausschussreport zur Anhörung: IT-Sicherheitsgesetz 2.0 – besser “Anti-IT-Sicherheitsgesetz”

Featured, IT-Sicherheit, Videoausschussreport

IT-Sicherheitsgesetz 2.0 oder “Anti-IT-Sicherheitsgesetz” - Ausschussreport zur Anhörung(01.03.2021)

Dieses Video auf YouTube ansehen

Diese Woche gibt es einen Ausschussreport ausnahmsweise aus dem Innenausschuss, denn dort fand die Anhörung zum #ITSig20 bzw. zum ‘Entwurf eines Zweiten Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme’statt. Und sie war legendär. Das habe ich in 3,5 Jahren beim Bundestag noch nicht erlebt: Ein Gesetzentwurf, der von ALLEN Sachverständigen komplett verrissen wird. Es ist nämlich eher ein ‘Anti-Sicherheitsgesetz’, denn was es enthält, ist z.T. verfassungswidrig, nicht umsetzbar oder verringert potentiell die IT-Sicherheit für uns alle. Viele wichtige Aspekte fehlen dagegen, z.B. eine Mindestupdatepflicht oder eine Produkthaftung für IT-Produkte, die Unabhängigkeit des BSI vom BMI und die Streichung von Ausnahmen bei der Offenlegung von Sicherheitslücken. Und eine Evaluation des Vorgängergesetzes fehlt leider auch, obwohl sie gesetzlich vorgeschrieben war. Dieses Gesetz darf so einfach nicht verabschiedet werden.

08. März 2021/von

Rede zu IT-Sicherheitsgesetz 2.0 der Bundesregierung ist eine einzige Sicherheitslücke

Bundestag, IT-Sicherheit, Rede, Verbraucherschutz

Anke Domscheit-Berg, DIE LINKE: Neues IT Sicherheitsgesetz: ein Schuss in den Ofen

Dieses Video auf YouTube ansehen

Das IT-Sicherheitsgesetz 2.0 trägt nicht wie versprochen zum Verbraucherschutz bei, verhöhnt demokratische Prozesse durch 24 Stunden Fristen für Stellungnahmen aus Zivilgesellschaft, Wissenschaft und Wirtschaft, entstand ohne die gesetzlich vorgeschriebene Evaluation des Vorgängergesetzes und erlaubt dem BSI nach wie vor, Sicherheitslücken an Geheimdienste weiterzugeben, statt für ihre schnelle Schließung und damit unser aller IT Sicherheit zu sorgen. Hier ist meine Plenarrede als Video verlinkt und kann als Text im Wortlaut gelesen werden.

28. Januar 2021/von

Bundesregierung nimmt das Problem der IT-Sicherheit nicht ernst

Diverses, IT-Sicherheit

Jeden Monat nutze ich die Möglichkeit, schriftliche Fragen an die Bundesregierung zu stellen. Neben den weitaus bekannteren Kleinen Anfragen, mit denen die Fraktionen viele Informationen auf einmal erfragen können, sind diese eine gute Möglichkeit, gezielt Informationen über spezifische oder aktuelle Themenkomplexen zu beschaffen. Wie gut man mit einer Antwort am Ende wirklich arbeiten kann, bleibt jedoch häufig dem Zufall überlassen. Im Januar habe ich mich mal wieder der IT-Sicherheit des Bundes gewidmet – und landete damit (leider) einen Volltreffer. Ein Viertel aller Stellen für IT-Sicherheit in den Bundesministerien ist nicht besetzt! Damit wird die Bundesregierung selbst zu einem Risiko für die öffentliche IT-Sicherheit.

13. Februar 2020/von

Assetmanagement für Hard- und Software in Bundeseinrichtungen

Schriftliche Frage zur Zertifikatprüfung bei Ticketbuchungen über die CWA

Antwort der Bundesregierung zum Flop der ID-Wallet zeigt: BSI und BfDI zu wenig einbezogen, Vergabe intransparent

Pegasus-Affäre: Spyware weltweit als digitale Waffen ächten

Ausschussreport: TKModG und IT-SiG 2.0

Bundesregierung will Überwachungsgesetze nicht überprüfen

SCHRIFTLICHE FRAGE IN DER WOCHE VOM 29. MÄRZ 2021

Ausschussreport zur Anhörung: IT-Sicherheitsgesetz 2.0 – besser “Anti-IT-Sicherheitsgesetz”

Rede zu IT-Sicherheitsgesetz 2.0 der Bundesregierung ist eine einzige Sicherheitslücke

Bundesregierung nimmt das Problem der IT-Sicherheit nicht ernst

Bundestagsbüro

Social Media

Links