Beiträge

25.01.2023

Frage:

Wie viele IT-Sicherheitsstellen sind derzeit in den Bundesministerien und deren nachgeordneten Behörden besetzt und wie viele unbesetzt (bitte jeweils nach Bundesministerien inklusive der jeweils nachgeordneten Behörden analog zur Antwort der Bundesregierung auf meine Schriftliche Frage 45 in Drs. 20/833 aufschlüsseln, s. https://dserver.bundestag.de/btd/20/008/2000833.pdf)?

Weiterlesen

Drucksachennummer 20/4271

1. Wie bewertet das Bundesministerium für Gesundheit (BMG) – unter Berücksichtigung der Einschätzung des Bundesamtes für Sicherheit in der Informationstechnik
(BSI), das einen Betrieb der ersten Konnektoren-Generation mit den derzeitigen RSA-Sicherheitsschlüsseln bis Ende 2025 als vertretbar einstuft– den von der Gematik GmbH „als einzig sinnvolle Alternative“ (https://www.gematik.de/newsroom/news-detail/pressemitteilung-gematikreaktion-auf-ccc-veroeffentlichung-zu-konnektoren) bezeichneten Austausch der Konnektoren bis August 2023?

a) Wie bewertet das BMG die Aussage der Gematik GmbH, die Hardware sei veraltet und müsse ausgetauscht werden, um eine stabile TI aufrechtzuerhalten?

b) Liegen validierte Erkenntnisse über konkrete Hardwareprobleme der Konnektoren vor?

c) Welche Kriterien sind dem BMG bekannt, anhand derer die Gematik GmbH zu einem anderen Prüfergebnis als das BSI gelangte (bitte insbesondere darauf Bezug nehmen, aus welchen Gründen die Konnektoren, die über die Fähigkeit der Elliptische-Kurven-Kryptografie verfügen, nicht auch über das Jahr 2025 hinaus betrieben werden können)?

d) Gab es eine erneute Bewertung des Konnektoren-Tausches, nachdem der Chaos Computer Club das Software-Update für die erste Konnektoren-Generation entwickelt hatte, oder ist eine erneute Bewertung/ Überprüfung geplant (Wenn ja, bitte deren Ergebnisse und mögliche Konsequenzen/Alternativen beschreiben, wenn nein, bitte begründen, warum keine Neubewertung erfolgt)?

Antwort der Bundesregierung

Weiterlesen

10. Oktober 2022

Frage:

Gab es in den vergangenen drei Jahren Kontakte zwischen Vertreterinnen und Vertretern der Protelion GmbH mit Vertreterinnen und Vertretern der Bundesregierung oder hohen Beamtinnen und Beamten von Behörden/öffentlichen Stellen (bitte jeweils Datum, Teilnehmende und Gegenstand/Anlass des Gesprächs auflisten) und beabsichtigt das Bundesgesundheitsministerium, seine Mitgliedschaft im Cybersicherheitsrat Deutschland e.V. zu kündigen?

Antwort von Johann Saathoff:

Eine ressortweite Abfrage innerhalb der Bundesregierung hat ergeben, dass es in den vergangenen drei Jahren keine Kontakte zwischen Vertreterinnen und Vertretern der Protelion GmbH mit Vertreterinnen und Vertretern der Bundesregierung oder hohen Beamtinnen und Beamten von Behörden/öffentlichen Stellen gab.

In diesem Zusammenhang weist die Bundesregierung darauf hin, dass sie im Rahmen der Aufgabenwahrnehmung Kontakte mit einer Vielzahl von Wirtschaftsvertretern pflegt, insbesondere auch auf dem Gebiet sicherer IT-Lösungen. Unter diesen ständigen Austausch fallen Gespräche und auch Kommunikation in anderen Formen (schriftlich, elektronisch, telefonisch).

Es ist weder rechtlich geboten noch im Sinne einer effizienten und ressourcenschonenden öffentlichen Verwaltung leistbar, entsprechende Informationen und Daten
(z. B. sämtliche Veranstaltungen, Sitzungen und Termine nebst Teilnehmerinnen und Teilnehmern) vollständig zu erfassen oder entsprechende Dokumentationen darüber zu erstellen oder zu pflegen. Die Ermittlung der „Verbundenheit“ von Einzelpersonen zu entsprechenden Unternehmen ist darüber hinaus kein regelmäßiger Standardprozess.

Insbesondere bei größeren Veranstaltungen (z. B. Festakten, Vorträgen etc.) lässt sich vielfach nicht mehr rekonstruieren, welche Personen konkret teilgenommen haben und welche Gespräche anlässlich dieser Veranstaltungen im Einzelnen geführt worden sind. Eine vollständige und umfassende Aufstellung über all diese Kontakte existiert nicht, weil derartige Teilnahmen, Termine und Gespräche nicht festgehalten werden.

Das Bundesgesundheitsministerium hat seine Mitgliedschaft im Cybersicherheitsrat Deutschland e.V. gekündigt.

Mein Interview zur Cybersicherheitsagenda des BMI fand noch vor der Pressekonferenz von Ministerin Faeser statt (Quelle: zdf.de).

Mehr dazu gibt es in diesem Twitter Thread und meinem Pressestatement:

Weiterlesen

Frage:

Inwiefern teilt die Bundesregierung die Definition von Sven Herpig (https://twitter.com/z_edian/status/1534505092820393985), dass es sich bei sog. Hackbacks um “technische, intrusive (i. S. v. Einwirkung auf Vertraulichkeit, Integrität und Verfügbarkeit), Maßnahmen im Rahmen von defensiven (i. S. d. Reactio, nicht der Actio) Operationen im In- und/oder Ausland zum Neutralisieren, Abschwächen und/oder Zurechnen von kriminellen, nachrichtendienstlichen und/oder militärischen Aktivitäten gegen staatliche oder KRITIS-IT-Infrastrukturen handelt und falls die Bundesregierung diese Definition nicht teilt, wie definiert sie sog. Hackbacks?

Weiterlesen

In einem Spiegelinterview vom 18.03.2022 sprach sich Bundesinnenministerin Faeser dafür aus, über das im Koalitionsvertrag verankerte Verbot von Hackbacks neu zu diskutieren, da man nach dem Krieg Russlands gegen die Ukraine „Fragen unserer Sicherheit nicht ideologisch, sondern realistisch betrachten“ müsse. 

Davor warnt die digitalpolitische Sprecherin der Linksfraktion im Bundestag, Anke Domscheit-Berg und erklärt:

Weiterlesen

In einer digitalen Gesellschaft wird IT-Sicherheit immer wichtiger und die Abhängigkeit von funktionierender IT immer größer. Jedes Jahr steigen die Zahlen der Cyberangriffe. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt in seinem Lagebericht und weist darauf hin, dass täglich über 300.000 neue Schadsoftwarevarianten entdeckt werden. Die größte Gefahr sieht das BSI in sogenannten Ransomeware-Attacken, bei denen Schadsoftware die Daten verschlüsselt und Geld in Form von Kryptowährungen erpresst und/oder Daten geleakt werden sollen. Auch in Deutschland waren bereits ganze Landkreise, Kommunen, sogar Krankenhäuser und Universitäten betroffen.

Weiterlesen

Frage

Wie viele IT-Sicherheitsstellen sind derzeit in den Bundesministerien und deren nachgeordneten
Behörden besetzt und wie viele unbesetzt (bitte jeweils nach Bundesministerien
inklusive der jeweils nachgeordneten Behörden analog zur Antwort der Bundesregierung
auf meine Schriftliche Frage 23 auf Bundestagsdrucksache 19/26785
aufschlüsseln)? (BT-Drucksache 20/833, Nr. 45)

Antwort des Parlamentarischen Staatssekretärs Saathoff am 25. Februar 2022

Zu den sehr heterogenen Antworten der Ressorts und der besonderen Bedeutung
des Bundesministeriums des Innern und für Heimat mit seiner Abteilung für Cyberund
Informationssicherheit (CI) sowie dem Bundesamt für Sicherheit in der Informationstechnik
(BSI) als nachgeordnete Fachbehörde für Informationssicherheit wird erneut
auf die Beantwortung Ihrer Schriftlichen Frage mit der Arbeits-Nr. 1/391 aus Januar
2020 verwiesen. Die Bundesregierung ist nach sorgfältiger Abwägung erneut der Auffassung, dass
eine Beantwortung der Frage für das Bundesamt für Verfassungsschutz (BfV) aus
Gründen des Staatswohls nicht erfolgen kann. Angaben zur Stellenverteilung, die
über die im Verfassungsschutzbericht gem. § 16 Abs. 2 Bundesverfassungsschutzgesetz
genannten Strukturdaten hinausgehen, sind – aus Gründen der operativen Sicherheit
– nicht angezeigt. Die erbetenen Auskünfte sind geheimhaltungsbedürftig, weil sie Informationen enthalten,
die im Zusammenhang mit der Arbeitsweise und Methodik des BfV und insbesondere
dessen Analysemethoden stehen. Die erbetenen Auskünfte betreffen wesentliche
Strukturelemente des BfV. Aus ihrem Bekanntwerden könnten sowohl
staatliche als auch nichtstaatliche Akteure Rückschlüsse auf Personalentwicklung im
Bereich IT-Sicherheit, Modus Operandi, die Fähigkeiten und Methoden des BfV ziehen.
Dadurch wird die Aufgabenerfüllung der Nachrichtendienste beeinträchtigt, was
wiederum für die Sicherheit und die Interessen der Bundesrepublik nachteilig wäre.
Dieses, wenn auch geringfügige, Risiko des Bekanntwerdens im Falle einer eingestuften
Beantwortung der Frage kann – auch unter Berücksichtigung des hohen Stellenwerts
des parlamentarischen Fragerechts – nicht hingenommen werden. Die in den Bundesministerien inklusive der ihnen nachgeordneten Behörden besetzten und unbesetzten Stellen im Bereich IT-Sicherheit können der nachstehenden Übersicht (s. pdf am Ende) entnommen werden.

Antwortschreiben im Original (pdf)

Fußnoten:

1) Eine Stelle wird zum 1.4.2022 besetzt
2) Drei weitere Stellen sind beantragt
3) Hiervon werden zwei demnächst besetzt, zwei sind im Bewerbungsverfahren, eine ist ausgeschrieben
und bei drei weiteren wird die Ausschreibung vorbereitet.
4) Es wurde nur das IT-Sicherheitsmanagement betrachtet. Stellenanteile für die operative IT-Sicherheit
und fachliche Aufgaben zur IT-Sicherheit (z.B. IT-Sicherheit bei der Energieregulierung & Telekommunikation) wurden für das Ressort BMWK nicht erfasst.
5) Zahlen nur für die nachgeordnete Behörde BBR. Das BMWSB wurde erst mit Organisationserlass
des Bundeskanzlers vom 8. Dezember 2021 im Dezember 2021 gegründet.
Das BMWSB befindet sich daher noch im Aufbau. Erst im weiteren Verlauf der Aufbauarbeiten werden
daher belastbare Aussagen zur Stellenbesetzung bzw. zu deren Nichtbesetzung möglich sein.

Frage

Welche Erkenntnisse liegen der Bundesregierung gegebenenfalls zu Aktivitäten von „KAX17“ in dem Anonymisierungsnetzwerk Tor (s. dazu
https://nusenu.medium.com/is-kax17-performingde-anonymization-attacksagainst-tor-users-42e566defce8) vor, und planen bzw. führen Institutionen im Geschäftsbereich der Bundesregierung und ihrer nachgeordneten Behörden (z. B. BND, BfV, MAD, ZITiS, BKA) ähnliche Aktivitäten im Tor-Netzwerk durch (z. B. indem eigene sog. Relays betrieben werden)? (BT-Drucksache: 20/311, Frage 28)

Antwort des Staatssekretärs Dr. Markus Richter vom 23. Dezember 2021

Hinsichtlich der ersten Teilfrage liegen der Bundesregierung keine Erkenntnisse vor. Hinsichtlich der zweiten Teilfrage wird mitgeteilt, dass die Zentrale Stelle für Informationstechnik im Sicherheitsbereich (ZITiS) nicht über operative Befugnisse verfügt. Soweit parlamentarische Anfragen Umstände betreffen, die aus Gründen des Staatswohls geheimhaltungsbedürftig sind, hat die Bundesregierung zu prüfen, ob und auf welche Weise die Geheimhaltungsbedürftigkeit mit dem parlamentarischen Informationsanspruch in Einklang gebracht werden kann. Im vorliegenden Fall ist die Bundesregierung zu der Einschätzung gelangt, dass eine Beantwortung der zweiten Teilfrage für die Strafverfolgungs-, Ermittlungs- und Gefahrenabwehrbehörden des Bundes, einschließlich der Nachrichtendienste des Bundes, nicht erfolgen kann. Bezüglich der erbetenen Informationen hinsichtlich der inzident angefragten Methoden der Sicherheitsbehörden im Bereich der Informationstechnischen Überwachung stehen überwiegende Belange des Staatswohls einer Beantwortung entgegen. Mit Auskünften zu den zur Verfügung stehenden kriminaltaktischen und nachrichtendienstlichen Vorgehensweisen und damit zu konkreten Strategien und Maßnahmen würde die Bundesregierung polizeiliche und nachrichtendienstliche Vorgehensweisen zur Gefahrenabwehr oder zur Verhinderung und Aufklärung von Straftaten offenlegen oder Rückschlüsse darauf ermöglichen. Hierdurch würden die Arbeitsfähigkeit und Aufgabenerfüllung der Sicherheits- und Strafverfolgungsbehörden sowie der Nachrichtendienste gefährdet werden, weil Täter oder potentielle Zielpersonen ihr Verhalten anpassen und künftige Maßnahmen dadurch erschweren oder gar vereiteln könnten. Somit würde eine Preisgabe dieser sensiblen Informationen sich auf die staatliche Aufgabenwahrnehmung im Gefahrenabwehrbereich wie auch auf die Durchsetzung des Strafverfolgungsanspruchs und die nachrichtendienstliche Informationsbeschaffung außerordentlich nachteilig auswirken. Eine VS-Einstufung und Weiterleitung der angefragten Informationen an die Geheimschutzstelle des Deutschen Bundestages kommt angesichts ihrer erheblichen Brisanz im Hinblick auf die Bedeutung der technischen Aufklärung für die Aufgabenerfüllung der Sicherheitsbehörden des Bundes nicht in Betracht. Auch ein geringfügiges Risiko des Bekanntwerdens derart sensibler Informationen kann unter keinen Umständen hingenommen werden. Die angefragten Inhalte beschreiben die technischen Fähigkeiten der Sicherheitsbehörden des Bundes in einem durch den Bezug auf eine bestimmte Vorgehensweise derartigen Detaillierungsgrad, dass eine Bekanntgabe auch gegenüber einem begrenzten Kreis von Empfängern ihrem Schutzbedürfnis nicht Rechnung tragen kann. Bei einem Bekanntwerden der schutzbedürftigen Information wäre kein Ersatz durch andere Instrumente möglich. Daraus folgt, dass die erbetenen Informationen derartig schutzbedürftige evidente Geheimhaltungsinteressen berühren, dass auch das geringfügige Risiko eines Bekanntwerdens, wie es auch bei einer Übermittlung dieser Informationen an die Geheimschutzstelle des Deutschen Bundestages nicht ausgeschlossen werden kann, aus Staatswohlgründen vermie den werden muss. In der Abwägung des parlamentarischen Informationsrechts der Abgeordneten einerseits und der staatswohlbegründeten Geheimhaltungsinteressen andererseits muss das parlamentarische Informationsrecht daher ausnahmsweise zurückstehen.

Frage

War die Vorabveröffentlichung der Schnittstelle und ihrer Dokumentation auf bund.dev (siehe Berichterstattung unter https://netzpolitik.org/2021/open-data-arbeitsagentur-kaempft-gegen-offene-schnittstelle/) ein wesentlicher Grund für die Anfang November erfolgte Überarbeitung der Schnittstelle der Job-Suche-App durch die Bundesagentur für Arbeit (wenn nein, bitte andere wesentliche Gründe detailliert ausführen), und welche Ressourcen wurden für die Schnittstellenänderung aufgewendet (bei externer Beauftragung bitte Kosten angeben, bei interner Erledigung Aufwand in Personentagen)? (BT-Drucksache 20/235, Frage 52)

Antwort der Parlamentarischen Staatssekretärin Anette Kramme vom 8. Dezember 2021

Die Bundesagentur für Arbeit bietet in ihrem Online-Portal www.arbeitsagentur.de für Arbeit- und Ausbildungssuchende mit der „Jobsuche“ eine digitale Stellenbörse zur Stellensuche an. Die Jobsuche steht ebenfalls als App zur Verfügung. Bei der veröffentlichten Schnittstelle handelt es sich um eine rein interne Kommunikationsschnittstelle, die dem Datenaustausch zwischen der Jobsuche-App auf mobilen Endgeräten und dem IT-System der Bundesagentur für Arbeit dient. Über die Schnittstelle ist weder ein Zugriff auf nicht-veröffentlichte Daten noch ein Zugriff auf Datenbanken möglich. Darüber hinaus ist diese Schnittstelle nicht für eine massenhafte Auswertung mit technischen Mitteln konzipiert. Da die Bundesagentur für Arbeit das sogenannte „Crawlen“, also das Durchsuchen von Dokumenten im Internet, unterbinden möchte, um insbesondere Kontaktdaten von Arbeitgebern und Arbeitgeberinnen zu schützen, wurde ein sogenannter Anti Automatisierungsservice in der Jobsuche eingeführt. Um Kontaktdaten von Arbeitgebern und Arbeitgeberinnen anzeigen zu lassen, muss manuell, also durch den Nutzer der Jobbörse, ein sog. „CAPTCHA“ gelöst werden. Damit wird sichergestellt, dass es sich nicht um eine automatisierte Abfrage handelt, sondern die Abfrage durch eine reale Person erfolgt ist. In der Webanwendung „Jobsuche“ ist der Anti-Automatisierungsservice bereits seit Jahren integriert. In der Jobsuche-App war dies zunächst nicht der Fall, da die Stellenangebote in der Regel auf einem mobilen Endgerät von einer realen Person aufgerufen und nicht „gecrawlt“ werden. Durch die Veröffentlichung der Schnittstelle auf bund.dev im Juli 2021 musste mit gezielten Zugriffen über diese Schnittstelle zum Abgreifen von Daten gerechnet werden. Vorsorglich wurde daher im August 2021 auch in der App der Anti-Automatisierungsservice eingeführt. Die notwendigen Änderungen an der Schnittstelle zur Unterstützung der CAPTCHA-Funktionalität beanspruchten geschätzt maximal einen Personentag.

Episoden

Dieser Podcast ist eine Doppelfolge, denn am 25.01.2023 gab es zuerst eine Anhörung zu Cybersicherheit, in der wir Hackbacks, Sicherheitslücken, die unübersichtliche Cybersicherheitsarchitektur und Regulierungsbedarfe debattierten. Anschließend gab es den Digitalausschuss mit folgenden Themen: 1) die Nicht-Öffentlichkeit als Standard für den Digitalausschuss (wurde leider ohne Debatte so beschlossen), 2) digitalpolitische Projekte des BMVg, inkl. Cyber Innovation Hub, Cyber-Agentur und Kommando Cyber- und Informationsraum 3) geplante EU-Verordnung zur Regulierung politischer Werbung, 4) Aktuelle Entwicklungen bei der EU-Verordnung zu KI (AI Act).

Ich freue mich wenn ihr wieder reinhört, den Podcast weiterempfehlt und wie immer über Feedback an anke.domscheit-berg@bundestag.de oder gern auch auf Social Media mit Hashtag #DerADBPodcast

Dafür findet ihr mich hier:

Twitter

Instagram

Mastodon

Youtube

Facebook

Kapitelmarken
00:00:07 Intro

00:01:05 Öffentlichkeit von Ausschüssen im Bundestag

00:06:01 (Nicht-)zulassung der Öffentlichkeit im DigitalA

00:09:15 Anhörung Cybersicherheit: Intro, Cybersicherheitsarchitektur

00:18:58 Forts.: Hackback & Schwachstellen

00:32:08 ADi: Digitalpolitik des BMVg – CyberInnovationHub & Cyberagentur

00:37:22 Kommando Cyber- und Informationsraum der Bundeswehr

00:44:10 EU-Verordnung zu politischer Werbung

00:51:21 EU-Verordnung zu Künstlicher Intelligenz

00:54:49 Hinweise: Chatkontrolle (Antrag Linke) u IT Sicherheitsstellen

00:56:36 Outro und Termine

Weiterführende Links

Ausschussöffentlichkeit:

Aktuelle Regelung Öffentlichkeit von Ausschüssen Bundestag, §69: https://www.bundestag.de/parlament/aufgaben/rechtsgrundlagen/go_btg/go07-245166

Antrag der Linksfraktion: https://dserver.bundestag.de/btd/20/002/2000286.pdf

Anhörung Cybersicherheit:

Übersicht zur Anhörung: https://www.bundestag.de/ausschuesse/a23_digitales/Anhoerungen/928388-928388

Stellungnahme Dr. Martina Angela Sasse: https://www.bundestag.de/resource/blob/930264/1bb7776af72e8c3b1cecd59e18bc3551/Stellungnahme-Sasse-data.pdf

Stellungnahme Dr. Sven Herpig: https://www.bundestag.de/resource/blob/929844/6a44c7873556d39c82c150b1b8251841/Stellungnahme-Herpig-data.pdf

Wimmelbild Sven Herpig zur staatlichen Cypersicherheitsarchitektur: https://www.stiftung-nv.de/sites/default/files/cybersicherheitsarchitektur_visualisierung_neunteauflage_0.pdf

Stellungnahme Manuel Atug „HonkHase“ https://www.bundestag.de/resource/blob/929948/d607e3604be4c777cd8186265a912386/Stellungnahme-Atug-data.pdf

Meine Schriftliche Frage zur Definition von Hackbacks: https://mdb.anke.domscheit-berg.de/wp-content/uploads/2022/09/Hackback_Geschwaerzt.pdf

Digitalpolische Projekte des BMVg:

Buisness Insider zu Künstler- und Kritiker-Überwachung mittels KI durch Bundeswehr: https://www.businessinsider.de/politik/spionageaffaere-wie-die-bundeswehr-mit-hilfe-von-kuenstlicher-intelligenz-kuenstler-und-kritiker-im-inland-ueberwacht-c/

KI-Verordnung:

KI-Verordnung Einführung: https://www.youtube.com/watch?v=r2FP5bzBuk8

Antrag gegen Chatkontrolle:

Meine Rede im Plenum: https://www.youtube.com/watch?v=gslqzkeV7Fc

Antrag Linksfraktion gegen Chatkontrolle: https://mdb.anke.domscheit-berg.de/wp-content/uploads/2002336.pdf

Übersicht zur Debatte im Plenum: https://www.bundestag.de/dokumente/textarchiv/2023/kw03-de-praevention-kindesmissbrauch-927034

Alles zu Chatkontrolle auf meiner Homepage: https://mdb.anke.domscheit-berg.de/2023/01/chatkontrolle-eine-uebersicht/

IT Sicherheitsstellen:

Schriftliche Frage und Antwort: https://mdb.anke.domscheit-berg.de/2023/01/meine-schriftliche-frage-zur-besetzung-von-it-sicherheitsstellen-in-bundesministerien-2023/

Pressemitteilung: https://mdb.anke.domscheit-berg.de/2023/01/der-bund-als-sicherheitsluecke-jede-5-it-sicherheitsstelle-im-bund-ist-unbesetzt/

In der 3. Folge von DerADBPodcast berichte ich Euch wieder aus dem Maschinenraum des Bundestages, genauer vom Digitalausschuss am 19.10.2022. Wir debattierten drei Themen: 1) Das Drama rund um Arne Schönbohm (wieder einmal), 2) Green-IT und digitaler Verbraucherschutz beim Bundesministerium für Umwelt und Verbraucherschutz und 3) ging es um das Haushaltsbudget 2023 für ebendieses Ministerium, sowie um den Haushalt 2023 des Bundesministeriums für Bildung und Forschung

Kapitel

00:07 min: Intro

01:19 min: Nachreichungen vom letzten Digitalausschuss:

01:45 min: Causa Arne Schönbohm

12:55 min: Green-IT

21:59 min: digitaler Verbraucherschutz

23:45 min: Haushalt 2023 BMUV

33:48 min: Haushalt 2023 BMBF

38:56 min: Ausblick

Feedback

Ich freue mich wie immer über Feedback an anke.domscheit-berg@bundestag.de, oder gern auch auf social media (#DerADBPodcast)

Medienecho