LNP296 IT-Sicherheit per Gesetz

Frank Rieger und Linus Neumann diskutieren das IT-Sicherheitsgesetz "2.0"

Der Chaos Computer Club begleitet seit jeher das Handeln der Bundesregierung im Bereich der IT-Sicherheit mal wohlwollend, meist aber kritisch. CCC-Sprecher Frank Rieger und Linus Neumann blicken zurück auf relevante Gesetzesvorschläge der vergangenen Jahre, grenzen das Themenfeld ein, und bewerten den kürzlich von netzpolitik.org veröffentlichten Entwurf für ein IT-Sicherheitsgesetz "2.0"

Dauer: 2:14:01

On Air
avatar Linus Neumann Paypal Icon Bitcoin Icon Amazon Wishlist Icon
avatar Frank Rieger

Was bisher geschah

Hackertool-Paragraphen

Gang zum BVerfG, Ablehnung mit Begründung

Huawei

Stellungnahme BTDADA

  1. Qualität von Open-Source-Sofware sicherstellen
  2. Dezentrale Sicherheitssysteme mit Ende-zu-Ende-Verschlüsselung ausbauen
  3. Unabhängige und evidenzbasierte Sicherheits- und Geheimdienstpolitik sicherstellen

Links:

Grundrecht auf Vertraulichkeit und Integrität informationstechnischer Systeme

Stellungnahme ITSG 1.0

  1. Fehlende Ansätze zum Endnutzerschutz
  2. Steigerung der Bürokratie statt aktiver Erhöhung der Sicherheit
  3. Vorschlagsrecht der Betreiber führt gewünschten Effekt der Sicherheitsstandards ad absurdum
  4. Geschwächter Datenschutz führt zu höheren Risiken
  5. Das Vertrauensproblem des BSI wird nicht gelöst

Links:

Anhörung ITSG 2.0 – Anträge der Oppostion / Referentenentwurf

Themen:

  1. Passwort-Paragraph
  2. Staatstrojanern gegen Hacker
  3. Darknet-Kriminalisierung
  4. Verschärfung Strafen §202
  5. Digitaler Hausfriedensbruch
  6. BSI aktives Scannen / Fernzugriff auf Geräte im „Internet der Dinge“
  7. Installation lückenschließender Software
  8. Hack-Back / “aktive Cyberverteidigung”, Diskussion um Rolle des BSI
  9. Rechtswidrig erlangte Daten sperren und löschen

Links:

Standortbestimmtung – worum geht es hier überhaupt

Woran hapert es?

15 Gedanken zu „LNP296 IT-Sicherheit per Gesetz

  1. Danke für die Folge! Ein MdB/BMI/CDU schrieb mir explizit, auch Platformen im Internet sollten von P.126a erfasst werden.

    “Wer Dritten eine internetbasierte Leistung zugänglich macht, deren Zweck oder Tätigkeit darauf ausgerichtet ist, die Begehung von rechtswidrigen Taten zu ermmöglichen […] wird mit Freiheitsstrafe bis zu fünf Jahren oder mit Geldstrafe bestraft”.

    Bezogen auf das Offline-Leben ist das doch, als würde jede Kneipe mit Türsteher, in der dann jemand Drogen aus der Tasche kramt und drin vertickt, dafür haftbar gemacht werden. Oder ein U-Bahn-Betreiber für jede Straftat, die hinter der Ticket-Kontrolle begangen wird, in den Knast wandern. Denn die Kneipe und der U-Bahnhof sind ja nur (hier sogar alleinig) durch den Betreiber zugänglich gemacht worden. Völliger Irrsinn.

    Wenn Tor in Deutschland dadurch zusammenbricht, sind auch die “autokratischen Regime” davon betroffen, für die sogar Hr. Krings einen legitimen Nutzen von Tor sieht, dann hier steht nunmal jeder fünfte Knoten. Dann können sich die verfolgten Gruppen, und seien sie so harmlos wie bspw. Homosexuelle, auf schwierige Zeiten einstellen, wenn sie vertraulich kommunizieren möchten.

  2. Gibt es denn noch grundsätzlich VPN Anbieter, welche empfehlenswert sind? Ich glaube Linus hatte vor längerer Zeit mal was empfohlen. Finde es aber leider nicht mehr.

  3. Schade Linus, dass Du den Betrieb eines IT-Sicherheitsmanagements wohl als bürokratisches Übel einzustufen scheinst. In einem mittelgroßen Unternehmen liegt der Umfang an IT assets im Bereich einiger zehntausend Komponenten. Eine systematische und schutzbedarfsgerechte Pflege geht in diesen Dimensionen nicht ohne effiziente und stringente Prozesse. Ziel ist natürlich die Technik und die Sicherstellung einer bestmöglichen Security, das geht aber nicht auf dem Wege, dass Admins im frei schwebenden Raum herumwursteln. Somit ist ein wirkungsvolles Management der Weg zum Ziel. Alles in allem aber eine tolle Folge. Bitte mehr von Frank Rieger!

    • „Schade Linus, dass Du den Betrieb eines IT-Sicherheitsmanagements wohl als bürokratisches Übel einzustufen scheinst.“

      Hier hast du mich offenbar falsch verstanden. Mein Job ist es, bei genau so etwas in mittelständischen, großen und sehr großen Unternehmen zu beraten.
      Die Probleme, die sich dabei ergeben, haben wir im Podcast ausführlich geschildert.

      Oder hast du etwa den Eindruck, dass es besonders gut läuft?

      • Danke für Dein Feedback. Ich habe den Eindruck, dass sich im KRITIS-Bereich schon einiges positives tut. Klar ist aber, dass dort wo bisher wenig oder gar nichts gemacht wurde, locker mal 1-2 Jahre ins Land gehen können, um Securityziele zu definieren, Schwerpunkte zu setzen, erst mal Überblicke über das Inventar zu schaffen und dann die Systeme der Reihe nach zu analysieren. Ganz zu schweigen, dass dann meist auch noch “ein paar” ToDos am Ende des Prozesses herauskommen. Da werden locker mal Mannjahre gebraucht, aber ohne ein Prozessmanagement und das Durchhalten einer Systematik dürfte das Chaos vorprogrammiert sein. Dort wo das IT-SIG 1.0 ISO 27000 Zertifizierungen vorgeschrieben hat, ist sicherlich einiges im guten Sinne in Bewegung gekommen. Ob es unbedingt ein solches Zertifikat gebraucht hat oder ob es auch andere Wege gegeben hätte ist freilich ein anderes Thema. Gut ist aber allemal, dass es unabhängige Blicke auf das Vorgehen durch externe und neutrale Stellen gibt. IT-Sicherheitsmanagement in Unternehmen ist leider mal nun sehr komplex, aufwändig und stößt auch immer wieder auf Widerstände (wie immer, wenn Sicherheit und Produktivität aufeinander treffen). Ich meine aber, dass es schon einen Ruck in die richtige Richtung gegeben hat. Wichtig scheint mir noch, dass das IT-SIG 2.0 auch die Hersteller in die Pflicht nehmen wird, das war ja der größte Kritikpunkt am ersten Wurf.

  4. Ich glaube, die Betreiber von Anonymisierungsdiensten sind von dem Referentenentwurf nicht erfasst. Aber es ist schon haarscharf:

    § 126a – Zugänglichmachen von Leistungen zur Begehung von Straftaten

    (1) Wer Dritten eine internetbasierte Leistung zugänglich macht, deren Zweck oder Tätigkeit darauf ausgerichtet ist, die Begehung von rechtswidrigen Taten zu ermöglichen, zu fördern oder zu erleichtern, wird […] bestraft, […].

    Ich denke diese Formulierung nimmt sie heraus. Zweck und Tätigkeit der Leistung dienen dazu Anonymität zu verschaffen. Anonymität kann rechtswidrige Taten begünstigen, ist aber keinesfalls eine Bedingung für diese und vorallem ist das nicht ihr einziger Nutzen. Also ist eine Ausrichtung darauf Anonymität zu verschaffen nicht gleichbedeutend mit einer Ausrichtung darauf rechtswidrige Taten zu begünstigen.

    Allerdings, wenn das so wäre, dann

    § 126a – Zugänglichmachen von Leistungen zur Begehung von Straftaten

    (1) Wer Dritten eine internetbasierte Leistung zugänglich macht, deren Zweck oder Tätigkeit darauf ausgerichtet ist, die Begehung von rechtswidrigen Taten zu ermöglichen, zu fördern oder zu erleichtern, […]

    […]

    (4) Absatz 1 gilt nicht für Handlungen

    1. wenn die Begehung von Straftaten nur einen Zweck oder eine Tätigkeit von untergeordneter Bedeutung darstellt, oder
    […]

    ist diese Konstruktion logisch inkonsistent: Wer bietet eine Leistung an, die so ausgerichtet ist, dass es zu Straftaten kommen soll, aber dann wird diese Leistung kaum für Straftaten genutzt?

    Insofern hat jemand eine juristische Einschätzung dazu?

  5. Ihr habt zwischendurch eine Überlegung in der Richtung gehabt, dass die politische Führung von der Wahrnehmung bestimmter Statistiken beeinflusst ist.

    Ich finde, das ist ein interessanter Ansatz: Die Modellierung der Rezeption von statistischer Information in der Führungsebene von Organisationen. (Wie seriös man das betreiben kann, ist freilich eine andere Frage.) Ich sehe hier erstmal zwei relevante Phänomene. 1) Die Sachkenntnis ist auf der Führungsebene häufig geringer. 2) Statistiken werden von Nichtfachleuten oft über Erzählungen erschlossen, aber die Güte der Erzählung wird nicht an der Statistik geprüft, sondern diese fungiert als symbolische Rechtfertigung.


    Damit möchte ich mich einer wilden Spekulation hingeben, welches Datum vielleicht bei der Genese des Leistungsschutzrecht eine Rolle gespielt haben könnte. Ich denke es ist möglich, dass die Führung des Springer-Verlags von der Zugriffsrate des Googlebots beeindruckt war und das sie diese verstanden hat als so oft werden unsere Inhalte genommen, während sie natürlich eher verstanden werden sollte als so oft nimmt Google ein Update seiner Infrastruktur vor. Na? Oder?

    Also könnte man seriös solche Verbindungen herstellen, wäre das sehr nützlich, weil man so gezielt Fehlannahmen addressieren kann.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Ich akzeptiere

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.