Ausschussreport zur Anhörung: IT-Sicherheitsgesetz 2.0 – besser “Anti-IT-Sicherheitsgesetz”

, ,
IT-Sicherheitsgesetz 2.0 oder “Anti-IT-Sicherheitsgesetz” - Ausschussreport zur Anhörung(01.03.2021)

Diese Woche gibt es einen Ausschussreport ausnahmsweise aus dem Innenausschuss, denn dort fand die Anhörung zum #ITSig20 bzw. zum ‘Entwurf eines Zweiten Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme’statt. Und sie war legendär. Das habe ich in 3,5 Jahren beim Bundestag noch nicht erlebt: Ein Gesetzentwurf, der von ALLEN Sachverständigen komplett verrissen wird. Es ist nämlich eher ein ‘Anti-Sicherheitsgesetz’, denn was es enthält, ist z.T. verfassungswidrig, nicht umsetzbar oder verringert potentiell die IT-Sicherheit für uns alle. Viele wichtige Aspekte fehlen dagegen, z.B. eine Mindestupdatepflicht oder eine Produkthaftung für IT-Produkte, die Unabhängigkeit des BSI vom BMI und die Streichung von Ausnahmen bei der Offenlegung von Sicherheitslücken. Und eine Evaluation des Vorgängergesetzes fehlt leider auch, obwohl sie gesetzlich vorgeschrieben war. Dieses Gesetz darf so einfach nicht verabschiedet werden. 

Weiterlesen
/von

Rede zu IT-Sicherheitsgesetz 2.0 der Bundesregierung ist eine einzige Sicherheitslücke

, , ,
Anke Domscheit-Berg, DIE LINKE: Neues IT Sicherheitsgesetz: ein Schuss in den Ofen

Das IT-Sicherheitsgesetz 2.0 trägt nicht wie versprochen zum Verbraucherschutz bei, verhöhnt demokratische Prozesse durch 24 Stunden Fristen für Stellungnahmen aus Zivilgesellschaft, Wissenschaft und Wirtschaft, entstand ohne die gesetzlich vorgeschriebene Evaluation des Vorgängergesetzes und erlaubt dem BSI nach wie vor, Sicherheitslücken an Geheimdienste weiterzugeben, statt für ihre schnelle Schließung und damit unser aller IT Sicherheit zu sorgen. Hier ist meine Plenarrede als Video verlinkt und kann als Text im Wortlaut gelesen werden. 

Weiterlesen
/von

Bundesregierung nimmt das Problem der IT-Sicherheit nicht ernst

,

Jeden Monat nutze ich die Möglichkeit, schriftliche Fragen an die Bundesregierung zu stellen. Neben den weitaus bekannteren Kleinen Anfragen, mit denen die Fraktionen viele Informationen auf einmal erfragen können, sind diese eine gute Möglichkeit, gezielt Informationen über spezifische oder aktuelle Themenkomplexen zu beschaffen. Wie gut man mit einer Antwort am Ende wirklich arbeiten kann, bleibt jedoch häufig dem Zufall überlassen. Im Januar habe ich mich mal wieder der IT-Sicherheit des Bundes gewidmet – und landete damit (leider) einen Volltreffer. Ein Viertel aller Stellen für IT-Sicherheit in den Bundesministerien ist nicht besetzt! Damit wird die Bundesregierung selbst zu einem Risiko für die öffentliche IT-Sicherheit.

Weiterlesen
/von

IT-Sicherheit muss endlich einen höheren Stellenwert bekommen

, , , ,

In den letzten Wochen häuften sich die Meldungen über lahmgelegte Stadtverwaltungen. In Städten wie Brandenburg an der Havel, Potsdam oder Stahnsdorf stehen Teile der IT still, weil die Kommunen Opfer eines Cyber-Angriffes geworden sind. Personalausweise und Reisepässe können in Potsdam beispielsweise nur eingeschränkt ausgestellt werden, Geburts- und Sterbeurkunden derzeit überhaupt nicht. In Brandenburg an der Havel sind dagegen Schulen und das Job-Center betroffen. Der Cyber-Angriff auf die Verwaltungen war möglich, weil es eine Sicherheitslücke in Programmen der Firma Citrix gibt. Citrix-Programme werden vor allem in Unternehmen und der Verwaltung dazu genutzt, Mitarbeiter:innen Heimarbeit zu ermöglichen.

Weiterlesen
/von

IT-Sicherheitsgesetz 2.0 & Jugendmedienschutzgesetz – Seehofer & Giffey im Ausschuss

, , ,
IT-Sicherheitsgesetz 2.0 & Jugendmedienschutzgesetz – Seehofer & Giffey im Ausschuss (18.12.2019)

Heute waren Horst Seehofer und Franziska Giffey zu Gast im Ausschuss Digitale Agenda. Und es gibt einiges zu berichten: unter anderem soll »Demokratie leben« weiterhin finanziert werden, das Familienministerium denkt wieder über eine Alterskennzeichnung von Websites nach und ein IT-Sicherheitsgesetz 2.0 liegt bereits in der Schublade. Mehr im Video.

/von

Rede: Digitaler Verbraucherschutz + transparenter Staat

, , ,

Was mit öffentlichem Geld finanziert wurde, muss auch der Allgemeinheit zur Verfügung stehen: Das gilt für Daten der Verwaltung genauso wie für Bildungsmaterialien, amtliche Werke und Forschungsergebnisse. In der IT-Sicherheit fordern wir eine konsequente Ausrichtung am Verbraucherschutz.

Meine Rede im Wortlaut:

Weiterlesen
/von

Meine Schriftliche Frage zu den Kosten für die Behebung der Hardware-Sicherheitslücken Meltdown und Spectre

,

Frage: Wie groß war bisher der finanzielle Aufwand im Zusammenhang mit der Behebung der Hardware-Sicherheitslücken Meltdown und Spectre (z. B. durch Neuanschaffungen zum Austausch von Hardware oder Hardwarekomponenten, Entwicklung und Einsatz von Lösungen zur Risikomitigierung und sonstige Maßnahmen wie beispielsweise externe Beratungsleistungen im Zuständigkeitsbereich des Bundes (bitte Eigenleistung als Personenstunden angeben)) und wie hoch ist der Anteil (absolut und prozentual) potenziell angreifbarer Rechner, bei denen wirksame Maßnahmen ergriffen wurden, um nicht mehr durch Spectre und Meltdown angreifbar zu sein (bitte nach Bundesministerien einschließlich nachgeordnete Behörden aufschlüsseln)?

Antwort des Staatssekretärs Klaus Vitt (BMI) vom 6. August 2019:

Grundsätzlich gilt: Sämtliche im Zusammenhang mit Spectre und Meltdown bekannten Schwachstellen auf allen potenziell gefährdeten IT-Systemen wurden durch die von den Herstellern kostenlos bereitgestellten Patches im Rahmen des regulären Patchmanagements mitigiert. Die konsequente Umsetzung der vom Bundesamt für Sicherheit in der Informationstechnik (BSI) empfohlenen IT-Sicherheitsbausteine und -Maßnahmen sowie eine vielschichtige/mehrstufige Sicherheitsarchitektur gewährleisten grundsätzlich schon standardmäßig ein sehr hohes Maß an IT-Sicherheit unabhängig von einzelnen konkreten Angriffsvektoren wie Spectre oder Meltdown.

Die Tätigkeit der Administratoren und des Personals der Informationssicherheitsorga¬ nisation in den Ressorts und deren Geschäftsbereichen umfasst regelmäßig als Dau¬ eraufgabe eine Bewertung von Sicherheitslücken und das Ergreifen von geeigneten organisatorischen und/oder technischen Maßnahmen. Der finanzielle oder personelle Aufwand im Zusammenhang mit der Behebung einzelner Schwachstellen wird nicht erfasst. Daher kann der Aufwand in Zusammenhang mit der Hardware-Sicherheitslücke Meltdown und Spectre nicht spezifisch nach Behörden aufgeschlüsselt beziffert werden.

Das BSI hatte im Rahmen seiner gesetzlichen Aufgaben zum Schutz der Informati¬ onssicherheit in diesem Zusammenhang Aufwände in technischer Hinsicht i. H. v. 114.787,50 Euro (externe Leistungen) und 2.876 Personenstunden (interner Aufwand). Der Anteil potenziell angreifbarer Rechner im BSI, bei denen wirksame Maßnahmen ergriffen wurden, um nicht mehr durch Spectre und Meltdown angreifbarzu sein, liegt aus Sicht des BSI daher bei 100 Prozent.

/von

IT-Sicherheit geht anders: Bundesregierung erschütternd naiv im Umgang mit Hardware-Sicherheitslücken

, , ,

Im Januar 2018 veröffentlichten Forscher zwei Arten von Hardware-Sicherheitslücken in einer Vielzahl moderner Prozessoren, die es ermöglichen, Informationen auch ohne die nötigen Rechte auszulesen. Sie wurden unter dem Namen „Spectre“ und „Meltdown“ bekannt. Um gegen Angriffe, die diese Arten Sicherheitslücken ausnützen, geschützt zu sein, ist ein Zusammenspiel von Software- wie Hardwareherstellern nötig. Intel, deren nahezu komplette Prozessorenproduktpalette bis zurück in die späten 90er-Jahre betroffen ist, stellte Patches zumindest für neuere Prozessoren bereit, Microsoft zumindest für die Betriebssysteme, die noch aktiv gepflegt werden.
Besondere Aufmerksamkeit erhielten Spectre und Meltdown weniger wegen der besonderen Gefährlichkeit der Lücken, sondern weil sich die öffentliche Diskussion bisher besonders auf Schwachstellen in Software konzentrierte. Sicherheitslücken in Hardware können möglicherweise länger unentdeckt bleiben, ihre Behebung stellt sich schwieriger dar, als dies bei reinen Softwarefehlern der Fall ist.

Weiterlesen
/von

Meine Schriftliche Frage zur Folgenabschätzung von Hackbacks

,

Frage: Welche wissenschaftlichen Analysen und Ausarbeiten hat die Bundesregierung in den letzten sieben Jahren zur Folgenabschätzung von Hackbacks angefertigt oder durch Dritte anfertigen lassen? (BT-Drucksache 19/11515)

Antwort des Staatssekretärs Klaus Vitt vom 8. Juli 2019:

Der von der Fragestellerin verwendete Begriff „Hackback“ wird von der Bundesregierung konzeptionell weder für Aktivitäten der Cyber-Abwehr noch der Cyber-Verteidigung verwendet. Der Beantwortung dieser Frage legt die Bundesregierung das Verständnis zugrunde, dass unter dem Begriff „Hackback“ Maßnahmen der aktiven Cyber-Abwehr oder der Cyber-Verteidigung zu verstehen sind, die im Ausland angewendet werden.

Die Bundesregierung hat in den letzten sieben Jahren keine wissenschaftlichen Analysen und Ausarbeiten zur Folgenabschätzung von Maßnahmen im Sinne der Fragestellung angefertigt oder in Auftrag gegeben.

/von

Rede zu: AfD will Freiheit im Netz schützen, um ihre Hetze besser verbreiten zu können

, ,
Anke Domscheit-Berg: AfD will Freiheit im Netz schützen, um ihre Hetze besser verbreiten zu können
In einem Antrag der AfD-Fraktion gibt sie vor, die Meinungsfreiheit im Internet schützen zu wollen. Doch was die AfD aber unter Meinungs- und Pressefreiheit versteht, weicht sehr stark davon ab, was Konsens in der Gesellschaft ist. Sie will praktisch einen Freifahrtschein für die eigene rassistische Hetze. Für mehr Freiheit im Internet fordern wir in der Linksfraktion z.B. verbindliche Sicherheitsstandards, Verschlüsselung, ein modernes Urheberrecht, eine Meldepflicht für Sicherheitslücken und ein Verbot von Staatstrojanern. Weiterlesen
/von