Beiträge

Pegasus-Affäre: Spyware weltweit als digitale Waffen ächten

, , , ,

Die investigative Recherche zur NSO Group Technologies und ihrem Überwachungsprodukt Pegasus schockiert, denn sie weist nach, wovor Aktivist:innen seit Jahren warnten: dass Sicherheitslücken auf elektronischen Geräten in vielen Ländern zur umfassenden Überwachung auch von Journalist:innen, Rechtsanwält:innen und Oppositionellen ausgenutzt werden. Weltweit werden durch die Einschleusung von Schadsoftware in Smartphones Grund- und Menschenrechte verletzt.

Bisher heißt es zwar, dass deutsche Behörden keine Geschäftspartner der NSO Group sind und auch keine Deutschen als Opfer der grenzenlosen Überwachung bekannt wurden , aber auch ohne direkte Beteiligung trägt die Bundesregierung dazu bei, dass solche Menschenrechtsverletzungen möglich sind und auch bei uns Überwachung auf Kosten der IT-Sicherheit aller immer stärker zunimmt. So erhielten gerade erst im Juni alle 19 Geheimdienste in Bund und Ländern die Befugnis, Staatstrojaner einzusetzen, die unter Ausnutzung von Sicherheitslücken in IT-Systeme eingeschleust werden. Sicherheitslücken unterscheiden jedoch nicht zwischen Gut oder Böse, Demokratie oder Schurkenstaat, legitimer Behörde oder krimineller Ransomware-Erpresserbande. Wenn Schwachstellen einmal offen sind, kann sie jeder ausnutzen, auch die NSO Group Technologies. Die Folgen sind nicht nur für die IT-Sicherheit gravierend, sondern bedeuten eine grundsätzliche Ausweitung der Überwachungsinfrastruktur weltweit, solange nicht alle bekannten Sicherheitslücken den Herstellern mitgeteilt und geschlossen werden.

Weiterlesen
/von

Schriftliche Frage zur Sicherheitseinschätzung der Luca-App

, ,

Frage

Zu welcher Bewertung kam das Bundesamt für Sicherheit in der Informationstechnik in dem (nicht eingestuften) Bericht zu einer Sicherheitseinschätzung der Luca-App, der dem Bundesministerium für Gesundheit (BMG) und/oder dem Bundeskanzleramt seit einigen Wochen vorliegt (bitte Auflistung aller wesentlichen Erkenntnisse und Empfehlungen)? (BT Drucksache 19/31438, Frage 24)

Antwort des Staatssekretärs Dr. Markus Richter vom 8. Juli 2021
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat im April d. J. einen internen Bericht erstellt und diesen dem Bundeskanzleramt, dem Bundesministerium für Gesundheit und dem Bundesministerium des Innern, für Bau und Heimat übersandt. Der BSI-Bericht kam zu dem Schluss, dass es bei der Luca-App und der zugehörigen IT-Infrastruktur noch Verbesserungsbedarf gab.
Das BSI hatte zuvor die iOS- und Android-Version der Luca-App im Rahmen seines App-Testing-Portals durch einen IT-Sicherheitsdienstleister prüfen lassen. Diese Tests haben eine begrenzte Prüftiefe und beziehen sich explizit ausschließlich nur auf die mobile Anwendung. Sie dienen der Prüfung für den Einsatz auf mobilen Endgeräten der Bundesverwaltung. Das Ergebnis der Prüfung wurde dem Betreiber übermittelt. Da der Einsatz der Luca-App in der Verantwortung der Länder erfolgt, ist eine Gesamtbeurteilung der Sicherheit der Luca-App und der zugehörigen IT-Infrastruktur mangels gesetzlicher Zuständigkeit nicht erfolgt.

/von

Schlechte Noten für die Digitalpolitik der GroKo

, , , , ,

Die deprimierende Bilanz der Bundesregierung: Deutschland bleibt das Land der Funklöcher, in der Pandemie schicken sich Gesundheitsämter Faxe, während armen Kindern Laptops für den Zugang zu digitaler Bildung fehlen. Die Verwaltungsdigitalisierung kommt kaum voran und statt mehr IT-Sicherheit brachte uns die GroKo mehr Risiken durch geheimgehaltene Sicherheitslücken und mehr staatliche Überwachung.

Weiterlesen
/von

Schriftliche Frage zu der Kostenübernahme der Luca-App

, ,

Frage

Für welche Kostenpositionen schließt der Bund eine Übernahme von Kosten im Zusammenhang mit der Luca-App aus, und warum (bitte ausführlich begründen, da widersprüchliche Informationen im Umlauf sind; siehe z. B. https://fragdenstaat.de/anfrage/kosten-fur-die-luca-app/#nachricht601467 und Vorbemerkung der Bundesregierung in ihrer Antwort auf die Kleine Anfrage der Fraktion der FDP auf Bundestagsdrucksache 19/29333)? (BT Drucksache 19/30613, Frage 137)

Antwort des Parlamentarischen Staatssekretärs Dr. Thomas Gebhart vom 10. Juni 2021
Die Grundlage für die Übernahme von Kosten der Länder für ein System der digitalen Kontaktdatenerfassung durch den Bund ist der Beschluss der Bundeskanzlerin mit den Regierungschefinnen und Regierungschefs der Länder vom 3. März 2021. Derzeit werden die Rahmenbedingungen zwischen Bund und Ländern, die die Finanzierung eines Systems zur digitalen Kontaktdatenerfassung betreffen, ausgearbeitet. Die Ausgestaltung des konkreten Finanzierungsmodells, u. a. die Höhe und die Art der Kostenübernahme, sowie die daran geknüpften notwendigen Anforderungen und Voraussetzungen, insbesondere auch an Datenschutz und Datensicherheit, sind Gegenstand laufender Verhandlungen. Ergebnis der noch abzuschließenden Verhandlungen wird eine entsprechende Verwaltungsvereinbarung sein, in der auch die Höhe der Kostenbeteiligungen des Bundes festgelegt wird.

/von

Schriftliche Frage zu der Finanzierung der Luca-App

, ,

Frage

Auf welcher Rechtsgrundlage und in welcher Höhe werden durch den Bund Aufwände im Zusammenhang mit der Nutzung der Luca-App übernommen (siehe Beschluss der Ministerpräsidentenkonferenz – MPK – vom 3. März 2021 „Die Finanzierung des Backends sowie der Anschaffung und des Betriebes des ausgewählten und beauftragten Systems erfolgt für die kommenden 18 Monate durch den Bund.“ www.bundesregierung.de/resource/blob/997532/1872054/66dba48b5b63dB817615d11edaaed849/2021-03-03-mpk-data.pdf?download=1, bitte Rechtsgrundlage und Höhe der Kosten getrennt für alle potentiellen Kostenpositionen, wie Lizenzen, Backend, Schnittstellen, SMS-Kosten, Anschaffung und Betrieb von Hardware usw. angeben)? (BT Drucksache 19/30613, Frage 136)

Antwort des Parlamentarischen Staatssekretärs Dr. Thomas Gebhart vom 9. Juni 2021
In der Videoschaltkonferenz der Bundeskanzlerin mit den Regierungschefinnen und Regierungschefs der Länder am 3. März 2021 wurde beschlossen, dass sich die Länder verpflichten, sicherzustellen dass die verpflichtende Dokumentation zur Kontaktnachverfolgung auch in elektronischer Form, zum Beispiel über Apps, erfolgen kann. Die Bundesregierung hat zum Ausdruck gebracht, dass sie ein bundesweit einheitliches Vorgehen der Länder bei der Wahl eines Systems befürwortet. Unter dieser Voraussetzung hat der Bund seine Unterstützung hinsichtlich der Finanzierung des Backends, der Anschaffung und des Betriebs des ausgewählten und beauftragten Systems zugesagt. Rechtsgrundlage für eine finanzielle Förderung des Bundes ist die Möglichkeit, den Ländern auf der Grundlage von Artikel 104b Absatz 1 Satz 1 Nummer 3 des Grundgesetzes Finanzhilfen für Investitionen zu gewähren.

Infolge der Corona-Pandemie kam es zu außerordentlichen Belastungen für die Wirtschaft, insbesondere für Einzelhandel und Gastronomie. Die Bereitstellung eines kostenlosen Systems zur digitalen Kontaktdatenerfassung stellt einen wesentlichen Baustein dar, um Öffnungsstrategien zu ermöglichen und damit das Wirtschaftswachstum zu stimulieren. Die Rahmenbedingungen der Finanzierung eines Systems zur digitalen Kontaktdatenerfassung werden über eine Verwaltungsvereinbarung zwischen Bund und Ländern geregelt. Hierzu und zur Frage der Höhe sowie der näheren Ausgestaltung der Finanzhilfen steht die Bundesregierung mit den betroffenen Ländern im Austausch. Ergebnis der noch abzuschließenden Verhandlungen wird eine entsprechende Verwaltungsvereinbarung sein, in der auch die Höhe der Kostenbeteiligungen des Bundes festgelegt wird.

/von

Schriftliche Fragen zu Personalstellen im Bereich IT-Sicherheit

, ,

Frage 1

In welche Laufbahngruppen (aufgeschlüsselt in mittlerer, gehobener und höherer Dienst) sind die Personalstellen im Bereich IT-Sicherheit im Verantwortungsbereich der Bundesregierung (Bundesministerien inkl. ihnen nachgeordnete Behörden) eingestuft (bitte aufschlüsseln für Bundesministerien Auswärtiges Amt, Bundesministerium für Arbeit und Soziales, Bundesministerium für Bildung und Forschung, Bundesministerium für Ernährung und Landwirtschaft, Bundesministerium der Finanzen, Bundesministerium für Familie, Senioren, Frauen und Jugend, Bundesministerium für Gesundheit sowie Stellenzahl je Laufbahngruppe – bezogen auf die in der Antwort der Bundesregierung auf meine Schriftliche Frage 23 auf Bundestagsdrucksache 19/26785 genannten Stellen), und wie viele Personen wurden im gleichen Zeitraum (bezogen auf Frage 23 auf Bundestagsdrucksache 19/26785) für den gleichen Aufgabenbereich (breit interpretiert) aus externen Unternehmen beschäftigt? (Drs.Nr. 19/26785, Frage 20)

Frage 2

In welche Laufbahngruppen (aufgeschlüsselt in mittlerer, gehobener und höherer Dienst) sind die Personalstellen im Bereich IT-Sicherheit im Verantwortungsbereich der Bundesregierung (Bundesministerien inkl. ihnen nachgeordnete Behörden) eingestuft (bitte aufschlüsseln für Bundesministerien Bundesministerium der Justiz und für Verbraucherschutz, Bundesministerium für Verkehr und digitale Infrastruktur, Bundesministerium für Umwelt, Naturschutz und nukleare Sicherheit, Bundesministerium der Verteidigung, Bundesministerium für Wirtschaft und Energie, Bundesministerium für wirtschaftliche Zusammenarbeit und Entwicklung, Bundesministerium des Innern, für Bau und Heimat, sowie Stellenzahl je Laufbahngruppe – bezogen auf die in der Antwort der Bundesregierung auf meine Schriftliche Frage 23 auf Bundestagsdrucksache 19/26785, genannten Stellen), und wie viele Personen wurden im gleichen Zeitraum (bezogen auf Frage 23 auf Bundestagsdrucksache 19/26785) für den gleichen Aufgabenbereich (breit interpretiert) aus externen Unternehmen beschäftigt? (BT Drucksache 19/29651, Fragen 19 + 20)

Antwort des Staatssekretärs Dr. Markus Richter vom 12. Mai 2021
Die Fragen 19 und 20 werden wegen des Sachzusammenhangs gemeinsam beantwortet.
Zu den heterogenen Antworten der Ressorts und der besonderen Bedeutung des Bundesministeriums des Innern, für Bau und Heimat mit seiner
Abteilung für Cyber- und Informationssicherheit (CI) sowie dem Bundesamt für Sicherheit in der Informationstechnik (BSI) als nachgeordnete Fachbehörde für Informationssicherheit wird auf die Antwort der Bundesregierung auf Ihre Schriftliche Frage 27 auf Bundestagsdrucksache 19/17175 aus dem Jahr 2020 verwiesen.
Eine Beantwortung der zweiten Schriftlichen Frage kann für das Bundesamt für Verfassungsschutz (BfV) aus Gründen des Staatswohls nicht erfolgen. Angaben zur Stellenverteilung, die über die im Verfassungsschutzbericht gem. § 16 Abs. 2 des Bundesverfassungsschutzgesetzes genannten Strukturdaten hinausgehen, sowie Angaben zur Beschäftigung externer Personen im Bereich IT-Sicherheit, sind zum Schutz der operativen Sicherheit nicht möglich. Die erbetenen Auskünfte sind geheimhaltungsbedürftig, weil sie Informationen enthalten, die im Zusammenhang mit der Arbeitsweise und Methodik des BfV und insbesondere dessen Analysemethoden stehen. Die erbetenen Auskünfte betreffen wesentliche Strukturelemente des BfV. Aus ihrem Bekanntwerden könnten
sowohl staatliche als auch nichtstaatliche Akteure Rückschlüsse auf Personalentwicklung im Bereich IT- Sicherheit, Modus Operandi, die Fähigkeiten und Methoden des BfV ziehen. Dadurch wird die Aufgabenerfüllung der Nachrichtendienste beeinträchtigt, was wiederum für die Sicherheit und die Interessen der Bundesrepublik nachteilig wäre. Dieses, wenn auch geringfügige, Risiko des Bekanntwerdens im Falle einer eingestuften Beantwortung der Frage kann – auch unter Berücksichtigung des hohen Stellenwerts des parlamentarischen Fragerechts – nicht hingenommen werden.
Eine Aufschlüsselung nach Laufbahngruppen der in den Bundesministerien inklusive der ihnen nachgeordneten Behörden besetzten Stellen im
Bereich IT-Sicherheit sowie die Anzahl der für den gleichen Aufgabenbereich (breit interpretiert) aus externen Unternehmen beschäftigten Personen können der nachstehenden Übersicht entnommen werden.
Hierbei ist zu beachten, dass Externe teilweise bei mehreren Fachaufgaben unterstützen und nicht ausschließlich einem einzigen Themengebiet, wie beispielsweise der IT-Sicherheit, zugerechnet werden können. Die zur Beschäftigung aus externen Unternehmen genannten Zahlen stellen daher eine Schätzung dar.
Das Bundesministerium der Verteidigung (BMVg) führt keine zentrale Übersicht über die Zuordnung der Dienstposten im Bereich IT-Sicherheit zu Laufbahngruppen. Die Aufgaben der Informationssicherheitsbeauftragten in den einzelnen Dienststellen werden in Haupt- und Nebenfunktion wahrgenommen. Die Bestellung zum Informationssicherheitsbeauftragten der Dienststelle erfolgt durch den jeweiligen Dienststellenleiter. Der Nachweis verbleibt bei der Dienststelle.
Die zugrundeliegende ressortinterne Dienstvorschrift zur Informationssicherheit legt fest, dass als Informationssicherheitsbeauftragte grundsätzlich Offiziere oder vergleichbare Beamte bzw. Beamtinnen oder Tarifangestellte zu bestellen sind, was dem höheren bzw. dem gehobenen
Dienst zuzuordnen ist. Ebenso ist festgelegt, dass nur durch einen bestandenen Lehrgang qualifiziertes Personal die Aufgaben des Informationssicherheitsbeauftragten
wahrnehmen darf.
Eine Wahrnehmung der Aufgaben bei fehlendem bzw. noch nicht ausgebildetem Personal durch externe Firmen ist damit grundsätzlich ausgeschlossen.
Es wird darauf verwiesen, dass die zugrundeliegenden Angaben der Gesamtanzahl der IT-Sicherheitsbeauftragten im BMVg auf dem Zahlenwerk des „Berichtes zur Lage der Informationssicherheit der Bundeswehr (2019)“ vom April 2020 basieren.

/von

Stellenbesetzung im Bereich IT-Sicherheit in Ministerien und Behörden (Februar 2021)

Wie viele Stellen im Bereich IT-Sicherheit in Bundesministerien und nachgeordneten Behörden sind derzeit besetzt und wie viele unbesetzt (bitte jeweils nach Bundesministerien inklusive der da- zu nachgeordneten Behörden aufschlüsseln wie in Bundestagsdrucksache 19/17175, Frage 27)? (Drucksache 19/26785)

Antwort des Staatssekretärs Dr. Markus Richter vom 18. Februar 2021

Zu den sehr heterogenen Antworten der Ressorts und der besonderen Bedeutung des Bundesministeriums des Innern, für Bau und Heimat mit seiner Abteilung für Cyber- und Informationssicherheit (CI) sowie dem Bundesamt für Sicherheit in der Informationstechnik (BSI) als nachgeordnete Fachbehörde für Informationssicherheit wird auf die Beantwortung Ihrer Schriftlichen Frage 27 auf Bundestagsdrucksache 19/17175 vom 14. Februar 2020 verwiesen.

Das Bundesamt für Verfassungsschutz (BfV) ist nach sorgfältiger Abwä- gung erneut der Auffassung, dass eine Beantwortung der Frage aus Gründen des Staatswohls nicht erfolgen kann. Angaben zur Stellenverteilung, die über die im Verfassungsschutzbericht gem. § 16 Absatz 2 des Bundesverfassungsschutzgesetzes genannten Strukturdaten hinausgehen, sind – aus Gründen der operativen Sicherheit – nicht angezeigt. Die erbetenen Auskünfte sind geheimhaltungsbedürftig, weil sie Infor- mationen enthalten, die im Zusammenhang mit der Arbeitsweise und Methodik des BfV und insbesondere dessen Analysemethoden stehen. Die erbetenen Auskünfte betreffen wesentliche Strukturelemente des BfV. Aus ihrem Bekanntwerden könnten sowohl staatliche als auch nichtstaatliche Akteure Rückschlüsse auf Personalentwicklung im Bereich IT-Sicherheit, Modus Operandi, die Fähigkeiten und Methoden des BfV ziehen. Dadurch wird die Aufgabenerfüllung der Nachrichtendienste beeinträchtigt, was wiederum für die Sicherheit und die Interessen der Bundesrepublik nachteilig wäre. Dieses, wenn auch geringfügige, Risiko des Bekanntwerdens im Falle einer eingestuften Beantwortung der Frage kann – auch unter Berücksichtigung des hohen Stellenwerts des parlamentarischen Fragerechts – nicht hingenommen werden.

Die in den Bundesministerien inklusive der ihnen nachgeordneten Behörden besetzten und unbesetzten Stellen im Bereich IT-Sicherheit können der nachstehenden Übersicht entnommen werden.

geschwärzt_Domscheit-Berg_SF_Jan21Herunterladen

Siehe dazu auch meine Pressemitteilung vom 24.02.2021.

/von

Rede zu IT-Sicherheitsgesetz 2.0 der Bundesregierung ist eine einzige Sicherheitslücke

, , ,
Anke Domscheit-Berg, DIE LINKE: Neues IT Sicherheitsgesetz: ein Schuss in den Ofen

Das IT-Sicherheitsgesetz 2.0 trägt nicht wie versprochen zum Verbraucherschutz bei, verhöhnt demokratische Prozesse durch 24 Stunden Fristen für Stellungnahmen aus Zivilgesellschaft, Wissenschaft und Wirtschaft, entstand ohne die gesetzlich vorgeschriebene Evaluation des Vorgängergesetzes und erlaubt dem BSI nach wie vor, Sicherheitslücken an Geheimdienste weiterzugeben, statt für ihre schnelle Schließung und damit unser aller IT Sicherheit zu sorgen. Hier ist meine Plenarrede als Video verlinkt und kann als Text im Wortlaut gelesen werden. 

Weiterlesen
/von

Schriftliche Frage in der Woche vom 25. Januar 2021

Frage: Welches Datum ist oder war nach Auffassung der Bundesregierung der korrekte Zeitpunkt für die vom Gesetzgeber ausdrücklich gewünschte Evaluation des IT-Sicherheitsgesetzes (siehe Bundestagsdrucksache 18/5121, S. 17), und welche konkreten Schritte hat die Bundesregierung bislang unternommen, um Artikel 1 Nummern 2, 7 und 8 des IT-Sicherheitsgesetzes vom 17. Juli 2015 „unter Einbeziehung eines wissenschaftlichen Sachverständigen, der im Einvernehmen mit dem Deutschen Bundestag bestellt wird, zu evaluieren“ (Zitat aus Artikel 10 des. Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme vom 17. Juli 2015; Volltext: https://offenegesetze.de/veroeffentlichung/bgbl1/2015/31#page=10)? (Drucksache 19/26311)

Antwort des Parlamentarischen Staatssekretärs Dr. Günter Krings vom 27. Januar 2021

Gemäß Artikel 10 des IT-Sicherheitsgesetzes vom 17. Juli 2015 (Bundesgesetzblatt (BGBl. I S. 1324) sind § 2 Absatz 10, §§ 8a bis 8d sowie § 10 des Bundesamtes für Sicherheit in der Informationstechnik (BSI)- Gesetz vier Jahre nach Inkrafttreten der Rechtsverordnung nach Artikel 1 Nummer 8 des IT-Sicherheitsgesetzes (Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz (BSI-Kritisverordnung)) zu evaluieren. Die BSI-Kritisverordnung ist zunächst am 22. April 2016 (BGBl. I S. 958) noch nicht vollständig, sondern nur für die Sektoren Energie, Informationstechnik und Telekommunikation sowie Wasser und Ernährung in Kraft getreten. Erstmals vollständig mit allen Sektoren (vgl. Artikel 1 Nummer 2 des IT-Sicherheitsgesetzes) ist die BSI-Kritisverordnung am 30. Juni 2017 (BGBl. I S. 1903) durch die Ergänzung der Sektoren Finanzen, Transport und Verkehr sowie Gesundheit in Kraft getreten.

Der korrekte Zeitpunkt für die Evaluierung nach Artikel 10 des IT-Sicherheitsgesetzes ist nach Auffassung der Bundesregierung mithin der 29. Juni 2021.

Die Evaluierung hat dementsprechend noch nicht stattgefunden.

/von

EU-Ministerrat mangelt es an Kenntnis zu Mechanismen der digitalen Gesellschaft

Der EU-Ministerrat plant, noch in diesem Jahr einen Beschluss zu verabschieden, der Messaging-Dienste zwingt, eine Hintertür einzubauen. Damit soll die Ende-zu-Ende-Verschlüsselung verboten werden. Dazu erklärt Anke Domscheit-Berg: „Wer sichere Kommunikation durch Verschlüsselung verspricht, aber gleichzeitig sichere Ende-zu-Ende Verschlüsselung unmöglich machen will, zeigt vor allem eins: dass es an Kenntnis zu grundlegenden Mechanismen der digitalen Gesellschaft mangelt.“

Weiterlesen
/von

Medienecho

BSI sieht teilweise ‚Alarmstufe Rot‘

/von

Das Ohr am Netz: Der eco Podcast

/von

Regierung fürchtet Cyber-Attacken

/von