Beiträge

Zur heutigen Pressekonferenz von Bundesinnenminister Seehofer, BSI, BfV und Bundeswahlleiter zur Sicherheit rund um die Bundestagswahl erklärt die netzpolitische Sprecherin der Fraktion DIE LINKE im Bundestag, Anke Domscheit-Berg:

„Die Bundesregierung hat diese Legislatur nicht genutzt, um die bestehenden und wachsenden Risiken für die Bundestagswahlen zu minimieren. Sie hat kein Demokratiefördergesetz verabschiedet, um Kenntnis und Vertrauen in demokratische Institutionen und Prozesse zu erhöhen und um Initiativen, Vereine und Organisationen strukturell und nachhaltig zu fördern, die Desinformationskampagnen den Humus entziehen, z.B. in dem sie sich in der Fläche für Antirassismus, interkulturellen Austausch und die politische Debattenkultur ganz allgemein engagieren.

Vor allem im Bereich der IT-Sicherheit hat Bundesinnenminister Seehofer versagt, und so die gesamte Gesellschaft erhöhten Risiken ausgesetzt, die rund um die Wahlen insbesondere auch Kandidat:innen und Parteien treffen können. Sein IT-Sicherheitsgesetz 2.0 wurde zu Recht von Sachverständigen als Anti-IT-Sicherheitsgesetz bezeichnet, die neu vorgelegte Cybersicherheitsstrategie verschlimmert die Situation weiter, denn während BSI Chef Schönbohm vor täglich Tausenden neuen Schadprogrammen warnt, möchte Seehofer weiterhin Sicherheitslücken nicht konsequent schließen, sondern geheim halten, um sie für Überwachungsaktivitäten ausnutzen zu können. Mit dem neuen Verfassungsschutzgesetz erhielten nun sogar alle 19 Geheimdienste in Bund und Ländern die Befugnis, Staatstrojaner einzusetzen, die unter Ausnutzung von Sicherheitslücken in IT-Systeme eingeschleust werden. Sicherheitslücken kennen jedoch kein Gut und kein Böse, wenn Schwachstellen offen sind, können sie auch Kriminelle, politische Gegner:innen oder Akteure ausnutzen, die ein Interesse daran haben, die Integrität der Bundestagswahlen zu verletzen und das Vertrauen in die Demokratie zu untergraben.

Maßnahmen, die unser aller IT-Sicherheit merklich erhöht hätten, hat Innenminister Seehofer versäumt: es gibt keine Mindestupdatepflicht für Software, es gibt keine Produkthaftung für IT-Produkte, es gibt keine vollständige Unabhängigkeit des BSI, und es gibt weiterhin zu wenig Förderung für frei verfügbare Open Source IT-Sicherheitsprodukte. Stattdessen bedauert Seehofer in der Pressekonferenz sogar, dass es weiterhin keine gesetzliche Grundlage für einen „Hackback“ gibt, einen staatlichen Gegenangriff bei sogenannten Cyberattacken. Dass er Angriff für die beste Verteidigung hält, zeigt, wie schlecht es um Seehofers IT-Kompetenz bestellt ist. Dass über 80 Prozent aller in 2020 neu besetzten IT-Sicherheitsstellen auf Bundesebene im Bereich des Verteidigungsministeriums angesiedelt waren, zeigt ebenfalls das merkwürdige Verständnis der Bundesregierung zur Rolle der IT-Sicherheit. Im Bereich der Abwehr von Angriffen auf die IT-Sicherheit haben weder Bundeswehr noch Geheimdienste etwas zu suchen.“

Frage

Welche konkreten Handlungsempfehlungen zu „strategischen Themen“ (wie in Cyber-Sicherheitsstrategie 2016, S.45, beschrieben) wurden seit 2016 im Nationalen Cyber-Sicherheitsrat erarbeitet bzw. vorbereitet und welche dieser Handlungsempfehlungen wurden durch die Bundesregierung bis heute umgesetzt? (Drs. 19/29166)

Antwort des Staatssekretärs Dr. Markus Richter (BMI)
Zu 1. Der Nationale Cyber-Sicherheitsrat diskutiert und identifiziert fortlaufend langfristige Handlungsnotwendigkeiten und Trends zur Stärkung der Cybersicherheit in Deutschland. Zu den hierunter behandelten Themen gehörten seit 2016:

  • Technologische Souveränität
  • Gefährdung demokratischer Willensbildung durch Desinformation
  • Digitale Souveränität
  • Sicherheit im Internet der Dinge
  • Sicherheit durch Maschinelles Lernen
  • Digitaler Verbraucherschutz
  • Aus- und Weiterbildung im Bereich Cybersicherheit
  • Cyber-Sicherheit in der Bundestagswahl
  • Vertrauenswürdige Elektronik
    Zu diesen Themen schriftlich oder in den Sitzungen des Nationalen Cyber-Sicherheitsrats mündlich eingebrachte Handlungsempfehlungen finden regelmäßig Eingang
    in die Arbeit der Bundesregierung.
Selbstgemachtes Demo-Schild mit der Aufschrift: Lieber ständig übermüdet als ständig überwacht.
Überwachung zerstört Freiheit – Fotocredit: CC-BY Karola Riegler (Bearbeitung Team ADB)

Zahlreiche Befugniserweiterungen für die Sicherheitsbehörden trugen in den vergangenen Jahren zu einer starken Ausweitung der Überwachungstätigkeit bei. Dabei zeigen mehrere Urteile (Änderungen Verfassungsschutzgesetz, BND-Gesetz und Änderung zur Bestandsdatenauskunft) aus Karlsruhe eindeutig: das Ausmaß des Reformbedarfs im Bereich der Sicherheitsbehörden ist dramatisch – die Vorhaben der Bundesregierung entsprechen keineswegs den hohen verfassungsrechtlichen Vorgaben.

In meiner Schriftlichen Frage wollte ich von der Bundesregierung wissen, was ihre Pläne sind, eine “Überwachungsgesamtrechnung”, die sowohl vom BVerfG als auch vom Bundesdatenschutzbeauftragter für den Datenschutz und die Informationsfreiheit Kelber selbst mehrfach gefordert wurden, zukünftig durchzuführen und sie dann auch zu veröffentlichen. Die Antwort aus dem Bundesinnenministerium ist ein Schlag ins Gesicht der Demokratie.

Weiterlesen

Berlin, 24.02.2021 – Nach einer ersten Abfrage unbesetzter IT-Sicherheitsstellen in Bundesministerien und nachgeordneten Behörden vor einem Jahr, habe ich erneut nachgefragt. Die Antwort der Bundesregierung zeigt, dass sich seit einem Jahr wenig verbessert hat, immer noch sind große Teile der Bundesregierung weder in der Theorie noch in der Praxis in Sachen IT-Sicherheit gut aufgestellt und stellen damit weiterhin selbst ein IT-Sicherheitsrisiko dar. Bei jedem 3. Ministerium existieren nicht einmal 5 Stellen dafür, über alle Bundesministerien hinweg ist darüber hinaus jede 4. Stelle unbesetzt. Beim BMI sind mit knapp 500 Stellen sogar fast doppelt so viele Posten unbesetzt, wie bei allen anderen Ministerien zusammengenommen, dem BMI ist auch das Bundesamt für Sicherheit in der Informationstechnik nachgeordnet. 

Weiterlesen

Frage: Inwieweit werden Informationen von Bundesbehörden im Verantwortungsbereich der Bundesregierung (z.B. Ministerien, ihnen nachgeordnetenBehörden oder Gremien) an die von der israelischen Firma Windward betriebene – sowie von Frontex vertraglich genutzte – Plattform zur „maritimen Analyse“ (Quelle: https://netzpoli-tik.org/2021/kuenstliche-intelligenz-frontex-baut-systeme-zur-meeresueberwachung-aus/) weitergeleitet (bitte aufschlüsseln nach Art der Information/Daten sowie beteiligte Behörden) und welche Bundesbehörden (s.o.) erhalten Zugriff auf die durch diese Plattform gewonnenen Erkenntnisse (bitte aufschlüsseln nach Art der Informationen/Daten sowie beteiligte Behörden)? (Drucksache 19/26785)

Antwort: Eine Weiterleitung von Daten zur Plattform zur „maritimen Analyse“ durch Bundesbehörden im Verantwortungsbereich der Bundesregierung erfolgt nicht. Die von der Fragestellerin genannte Plattform fragt nur offen zugängliche Informationen ab. Die von Frontex genutzte Plattform zur „maritimen Analyse“ ist Bestandteil des EUROSUR Fusion Services und trägt zum europäischen Lagebild im Grenzvorbereich gem. Artikel 26 und 28 der Verordnung (EU) 2019/1896 über die Europäische Grenz-und Küstenwache bei. Für das Lagebild werden sowohl offen zugängliche Informationenalsauch nicht öffentlich zugängliche Seeverkehrs- und Umweltdaten verschiedener europäischer Agenturen verwendet. Zugriff auf das Lagebild hat das Nationale Koordinierungszentrum im Bundespolizeipräsidium gem. Artikel 20 Absatz3 der Verordnung (EU) 2019/1896 über die Europäische Grenz- und Küstenwache.

Frage: Kamen bei der Zerschlagung und Übernahme der Emotet zugeordneten IT-Infrastruktur (s. www.zei t.de/digital/datenschutz/2021-01/bka-emotet-scha dstoffware-unschaedlich-europol) auch offensive Methoden und Werkzeuge (zum Beispiel sogenannte Hackbacks – breit interpretiert) zum Einsatz, und wie viele Ermittlerinnen und Ermittler weiterer deutscher Behörden waren am Einsatz beteiligt (bitte nach Behörde aufschlüsseln)? (Drucksache 19/26440)

Antwort des Staatssekretärs Dr. Markus Richter vom 3. Februar 2021

Die schriftliche Frage betrifft ein Ermittlungsverfahren, das unter Sachleitung der Generalstaatsanwaltschaft Frankfurt/Main – Zentralstelle zur Bekämpfung der Internetkriminalität (ZIT) – geführt wird. Das Ermittlungsverfahren ist noch nicht beendet. Es wird um Verständnis gebeten, dass sich die Bundesregierung aufgrund der Kompetenzverteilung zwischen Bund und Ländern nicht weitergehend zu den Einzelheiten des laufenden Ermittlungsverfahrens äußert. Für weitere öffentlich verfügbare Informationen wird auf die auf die Pressemitteilung von ZIT und Bundeskriminalamt (BKA) (www.bka.de/ DE/Presse/Listenseite_Pressemitteilungen/2021/Presse2021/210127_pm Emotet.html) sowie auf ein Pressestatement von BKA-Präsident Holger Münch (www.bka.de/SharedDocs/Videos/Informationsvideos/PR_Emot et/PR_Emotet_imagevideo.html?nn=27934) verwiesen. Die wichtigsten Fragen und Antworten rund um die Schadsoftware „Emotet“ hat das BKA auf der Website zusammengetragen (www.bk a.de/DE/IhreSicherheit/RichtigesVerhalten/StraftatenImInternet/FAQ/F AQ_node.html); auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) informiert unter www.bsi.bund.de/DE/Service-Navi/Press e/Pressemitteilungen/Presse2021/210127_Emotet-Statement.html.

Frage: Welche LeiKa-Leistungen haben laut dem Online- zugangsgesetz-Reifegradmodel (siehe https://leitfaden.ozg-umsetzung.de/display/OZG/2.2+Digital e+Services+im+Sinne+des+OZG) die Stufe 3 oder die Stufe 4, und welche dieser LeiKa-Leis- tungen sind derzeit deutschlandweit verfügbar (bitte zur Antwort nicht allein auf Monitoring- Webseiten wie onlinezugangsgetz.de oder ozg.ver drusssache.de verweisen, sondern mit dem derzei- tigen Zwischenstand antworten)? (Drucksache 19/26311)

Antwort des Staatssekretärs Dr. Markus Richter vom 28. Januar 2021

Dem Bund liegen keine gesicherten Informationen zu den Reifegraden aller 7.000 Leistungskatalog der öffentlichen Verwaltung (LeiKa)-Ein- träge (Anzahl der LeiKa im Onlinezugangsgesetz [OZG]-Katalog) vor. Hintergrund ist, dass für den Vollzug von etwa 4.800 (Anzahl davon LeiKa-Typ 2-5) der LeiKa-Einträge bzw. dahinterliegenden Leistungen die Länder und Kommunen zuständig sind, sodass teilweise mehrere tausend Behörden für einen einzigen LeiKa-Eintrag in ihrer jeweiligen Zuständigkeit die Vollzugsverantwortung tragen. Hinzu kommt, dass zu- meist nicht für jede einzelne LeiKa-Leistung eine eigenständige Online- Umsetzung sinnvoll und notwendig ist, sondern die LeiKa-Leistungen vielfach gebündelt umgesetzt werden (sollen). Dazu zählen beispiels- weise das Bundesausbildungsförderungsgesetz (BAföG) digital, das allein bereits 19 LeiKa-Einträge abdeckt oder Elster/KONSENS, das so- gar mehrere OZG-Leistungen abdeckt (u. a. Umsatzsteuer, Einkommen- steuer, Körperschaftsteuer, Kapitalertragsteuer, Gewerbesteuer). Ent- sprechend dieser gebündelten Umsetzung werden einzelne LeiKa-Leis- tungen im OZG-Umsetzungskatalog zu OZG-Leistungen zusammenge- fasst.

Darüber hinaus gibt es für zahlreiche Leistungen punktuell in einzelnen Ländern oder Kommunen Angebote, aber die Leistung ist nicht flächen- deckend überall online verfügbar.

Die systematische Datengrundlage für die Erfassung von Online-Diens- ten auf der Ebene von LeiKa-Einträgen wird aktuell mit dem Online Gateway des Portalverbunds geschaffen. Aktuell sind 12 von 16 Bun- desländern und der Bund an das Online Gateway angeschlossen. Im zweiten Quartal 2021 sollen alle noch ausstehenden Länder angebunden werden. Dementsprechend bietet das Online Gateway aktuell noch kei- nen vollständigen Überblick. Auf Basis der aktuellen (unvollständigen) Daten lassen sich momentan zu etwa 200 OZG-Leistungen bzw. ca. 1.100 LeiKa Online-Dienste finden. Davon sind lediglich 35 LeiKa flä- chendeckend online verfügbar, wobei selbst etablierte flächendeckende Online-Dienste, wie beispielsweise Elster oder Handelsregisterauszüge aus dem Registerportal der Justiz, auf Basis der Daten des Online Gate- way nicht als flächendeckend verfügbar ausgewertet werden können. Aktuell werden von Bund und Ländern Maßnahmen vorbereitet, um die Vollständigkeit und Aussagekraft der Daten zu erhöhen.

Die Daten des Online Gateway erlauben aktuell keine Aussagen zum Reifegrad 3 und 4 der darin geführten Online-Dienste. Eine solche Be- wertung kann nur durch die Verfahrensverantwortlichen selbst vorge- nommen werden. Aktuell wird geprüft, inwieweit der Reifegrad als zu- sätzliches Merkmal im Datenbestand des Online Gateway aufgenommen werden kann, sodass eine solche Auswertung möglich ist.

Frage: Hat das Bundesministerium des Innern für Bau und Heimat eine Arbeitsgruppe zur Ermöglichung eines Zugriffs auf verschlüsselte Messenger-Kommunikation eingerichtet, und fass ja, was ist ihr Aufgabenbereich?

Antwort des Staatssekretärs Klaus Vitt vom 01. Oktober 2019:

Das Bundesministerium des Innern für Bau und Heimat hat keine Arbeitsgruppe zur Ermöglichung eines Zugriffs auf verschlüsselte Messenger-Kommunikation eingerichtet.