Beiträge

Im BSI-Jahresbericht zur IT-Sicherheit in Deutschland 2021, der heute von Bundesinnenminister Seehofer und BSI Präsident Arne Schönbohm in einer Pressekonferenz vorgestellt wurde, wird die Sicherheitslage als „angespannt bis kritisch“ bezeichnet, werden Ransomware Attacken als größte Bedrohung sowie Sicherheitslücken in Software und Hardware als größte Herausforderung beschrieben und die neue Bundesregierung dazu aufgefordert, der IT-Sicherheit eine höhere Priorität einzuräumen, da sonst die Digitalisierung in Deutschland gefährdet sei. Die netzpolitische Sprecherin der Linksfraktion im Bundestag, Anke Domscheit-Berg stellt dazu eine Reihe konkreter Forderungen an die neue Bundesregierung:

Weiterlesen

Zur heutigen Pressekonferenz von Bundesinnenminister Seehofer, BSI, BfV und Bundeswahlleiter zur Sicherheit rund um die Bundestagswahl erklärt die netzpolitische Sprecherin der Fraktion DIE LINKE im Bundestag, Anke Domscheit-Berg:

„Die Bundesregierung hat diese Legislatur nicht genutzt, um die bestehenden und wachsenden Risiken für die Bundestagswahlen zu minimieren. Sie hat kein Demokratiefördergesetz verabschiedet, um Kenntnis und Vertrauen in demokratische Institutionen und Prozesse zu erhöhen und um Initiativen, Vereine und Organisationen strukturell und nachhaltig zu fördern, die Desinformationskampagnen den Humus entziehen, z.B. in dem sie sich in der Fläche für Antirassismus, interkulturellen Austausch und die politische Debattenkultur ganz allgemein engagieren.

Vor allem im Bereich der IT-Sicherheit hat Bundesinnenminister Seehofer versagt, und so die gesamte Gesellschaft erhöhten Risiken ausgesetzt, die rund um die Wahlen insbesondere auch Kandidat:innen und Parteien treffen können. Sein IT-Sicherheitsgesetz 2.0 wurde zu Recht von Sachverständigen als Anti-IT-Sicherheitsgesetz bezeichnet, die neu vorgelegte Cybersicherheitsstrategie verschlimmert die Situation weiter, denn während BSI Chef Schönbohm vor täglich Tausenden neuen Schadprogrammen warnt, möchte Seehofer weiterhin Sicherheitslücken nicht konsequent schließen, sondern geheim halten, um sie für Überwachungsaktivitäten ausnutzen zu können. Mit dem neuen Verfassungsschutzgesetz erhielten nun sogar alle 19 Geheimdienste in Bund und Ländern die Befugnis, Staatstrojaner einzusetzen, die unter Ausnutzung von Sicherheitslücken in IT-Systeme eingeschleust werden. Sicherheitslücken kennen jedoch kein Gut und kein Böse, wenn Schwachstellen offen sind, können sie auch Kriminelle, politische Gegner:innen oder Akteure ausnutzen, die ein Interesse daran haben, die Integrität der Bundestagswahlen zu verletzen und das Vertrauen in die Demokratie zu untergraben.

Maßnahmen, die unser aller IT-Sicherheit merklich erhöht hätten, hat Innenminister Seehofer versäumt: es gibt keine Mindestupdatepflicht für Software, es gibt keine Produkthaftung für IT-Produkte, es gibt keine vollständige Unabhängigkeit des BSI, und es gibt weiterhin zu wenig Förderung für frei verfügbare Open Source IT-Sicherheitsprodukte. Stattdessen bedauert Seehofer in der Pressekonferenz sogar, dass es weiterhin keine gesetzliche Grundlage für einen „Hackback“ gibt, einen staatlichen Gegenangriff bei sogenannten Cyberattacken. Dass er Angriff für die beste Verteidigung hält, zeigt, wie schlecht es um Seehofers IT-Kompetenz bestellt ist. Dass über 80 Prozent aller in 2020 neu besetzten IT-Sicherheitsstellen auf Bundesebene im Bereich des Verteidigungsministeriums angesiedelt waren, zeigt ebenfalls das merkwürdige Verständnis der Bundesregierung zur Rolle der IT-Sicherheit. Im Bereich der Abwehr von Angriffen auf die IT-Sicherheit haben weder Bundeswehr noch Geheimdienste etwas zu suchen.“

Frage

Wie bewertet das Bundesamt für Sicherheit in der Informationstechnik angesichts zunehmender Kritik von Sicherheitsforschern und Sicherheitsforscherinnen (siehe https://digikoletter.github.io) und immer wieder neu aufgedeckter Sicherheitslücken (siehe z. B. www.zeit.de/digital/2021-05/luca-app-gesundheitsaemter-hackerangriff-risiko-kontaktverfolgung-coronavirus und https://lucatrack.de/LucaTrack%20Pressebeschreibung.pdf) die IT-Sicherheit der Luca App insbesondere mit Blick auf den Verbraucherschutz (z. B. Schutz vor. unberechtigten Zugriff auf Nutzerdaten und Schutz vor Manipulation von Nutzerdaten), und welche Schlussfolgerungen und Empfehlungen
mit Blick auf die Sicherheit von Gesundheitsämtern als kritischer öffentlicher Einrichtungen folgert das BSI daraus (bitte ausführlicher antworten als im Twitter-Thread vom 28. Mai 2021, siehe https://twitter.com/BSI_Bund/status/1398195272400920578)? (BT-Drucksache 19/30613, Frage 31)

Antwort des Parlamentarischen Staatssekretärs Dr. Günter Krings (BMI) vom 8. Juni 2021

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) schätzt das von IT-Sicherheitsforschern am 26. Mai 2021 veröffentlichte Angriffs-Szenario einer Code-Injection mittels Daten des Luca-Systems als plausibel ein. Nach Bekanntwerden der genannten Sicherheitslücke hat das BSI den konkreten Sachverhalt geprüft und unter Einbeziehung öffentlich verfügbarer Informationen plausibilisiert. Auch die Betreiber der Luca-App haben das beschriebene Problem grundsätzlich bestätigt und einen Missbrauch nach eigenen Angaben durch geeignete Maßnahmen unterbunden. Diese Maßnahmen sind aus Sicht des BSI jedoch noch nicht ausreichend.

Nach Auffassung des BSI ist der Betreiber einer App für die Integrität der übermittelten Daten verantwortlich. Schutzmaßnahmen Dritter, hier etwa das zusätzliche Unterbinden der Ausführung von Makros auf den IT-Systemen der Gesundheitsämter, stellen aus Sicht des BSI allein keine ausreichende Sicherheitsmaßnahme dar. Zudem sind offenkundige Schwachstellen durch die Betreiber einer digitalen Anwendung unverzüglich und konsequent zu beheben. IT-Sicherheit schafft Vertrauen und Akzeptanz auf Seiten der Anwenderinnen und Anwender. Die stringente Umsetzung von Informationssicherheitsmaßnahmen sind die Voraussetzung für erfolgreiche Digitalisierungsprojekte.

Das BSI hat die iOS- und Android-Version der Luca-App im Rahmen seines App-Testing-Portals durch einen IT-Sicherheitsdienstleister prüfen lassen. Diese Tests haben eine begrenzte Prüftiefe und beziehen sich ausschließlich auf die mobile Anwendung und nicht auf die Weiterverarbeitung der von der App erhobenen Daten auf Systemen Dritter. Das Ergebnis der Prüfung wurde dem Hersteller der Luca-App übermittelt.

Das App-Testing-Portal ist ein Angebot des BSI an die Bundesverwaltung, um für den Einsatz auf Dienst-IT in der Bundesverwaltung vorgesehene Apps zu überprüfen. Da die Luca-App für Verfahren nach Landesrecht genutzt wird, gibt es keine Zuständigkeit des BSI als nationale Cyber-Sicherheitsbehörde des Bundes, eine ganzheitliche Prüfung des Workflows der Luca-App vorzunehmen. Die Prüfung der Luca-App ist daher nicht vergleichbar mit der entwicklungsbegleitenden IT-Sicherheitsprüfung der Corona-Warn-App, wie sie durch das BSI durchgeführt wird.

Die Gesundheitsämter sind Einrichtungen der Länder. Hier liegt auch die Verantwortung, das IT-Sicherheitsniveau der jeweiligen Landeseinrichtungen zu prüfen.

Frage

Wie viele Betreiber sogenannter Kritischer Infrastrukturen gelten nach Kenntnis der Bundesregierung in Deutschland als Klein- und mittelständische Unternehmen (bitte aufschlüsseln nach KRITIS-Sektor), und auf welche KMU-Definition bezieht sich die Bundesregierung hierbei? (BT-Drs. 19/30613, Frage 32)

Antwort des Parlamentarischen Staatssekretärs Stephan Mayer (BMI) vom 7. Juni 2021

Nach der vom Bundeskabinett beschlossenen KRITIS-Strategie handelt es sich bei Kritischen Infrastrukturen um Organisationen und Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden.

Nach der Zuständigkeitsverteilung des Grundgesetzes obliegt die Zuständigkeit für den Katastrophenschutz den Ländern. Daher liegen Maßnahmen für den physischen Schutz Kritischer Infrastrukturen – z. B. die Identifizierung der unter die Definition fallenden Organisationen und Einrichtungen sowie eine etwaige Aufschlüsselung in verschiedene Kategorien (z. B. KMU) – in der Zuständigkeit der Länder. Welche KMU-Definition dabei ggf. zugrunde gelegt wird, ist dem Bund nicht bekannt.

Der Bund führt keine statistischen Erhebungen hierzu durch und führt auch keine aufgeschlüsselten Listen bestehender KRITIS-Einrichtungen.