Linus Neumann
Position der Finanzwirtschaft, äh die ebenfalls auch schon so hart reguliert ist, sagt,Ja, komm, wir haben, wir müssen eh jeden Furz, den wir lassen, irgendwie mit der BaFin abstimmen.Ähm es es ist für uns aber als ärgerlich zu betrachten, dass wir da jetzt nochmal weitere Berichtspflichten gegenüber demdem BSI bekommen sollen. Wir haben eigentlich schon genug ähm genug mit der BaFin zu tun, ja? Das ist so,kurz gefasst und über äh überschwitzt die die Position der Finanzwirtschaft, dass eben beides Bereiche, die ähm eh schon bis zum Erbrechen ähm.Reguliert sind. Und da ähm zwei unterschiedliche Herangehensweisen jetzt im Umgang mit diesen IT-Sicherheitsgesetz für sich äh entdeckt haben.Jetzt würde ich nur gerne noch kurzdie Gelegenheit nutzen, eben also meine Position auf dieses äh auf dieses IT-Sicherheitsgesetz äh zusammenzufassen. Wie gesagt, die Stellungnahmedie ich da verfasst habe, findet sich in den Shownots. Ich hab's äh auf ganze vierzehn Seiten gebracht. Das äh beziehungsweise wahrscheinlich sind so äh wenn man da ein bisschen White Space nochmal raus sind, ungefähr dreizehn, zwölf Seiten.Und mich mich ärgert daran vor allem, dass es also nicht wirklich Ansätze zum Endnutzerschutz gibt, sondern dass man sich da irgendwie um um kritische Infrastruktur und Wirtschaft und Hasse nicht gesehen, Gedanken macht.Was ich mal äh was ich mir da mal betrachtet habe, ist.Was das BSI als Bedrohungslage für Deutschland zweitausendvierzehn,formuliert hat oder ähm zusammengefasst hat in ihrem Lagebericht äh IT-Sicherheit. Ähm.Deckt sich also vom vom Risikoszenario her überhaupt nicht mit dem, was dieses Gesetz adressieren soll, ja? Sie sagen also zweitausendvierzehn, gab es diese beiden Passwortdiebstähle von einmal sechzehn Millionen und einmal achtzehn Millionen Passwörtern,riesiges Bedrohungsszenario für die äh privaten Anwender hier.Und das ist halt ein Risiko, dem sie sich äh oder eine eine Personengruppe, der sie sich in diesem Gesetz überhaupt nicht widmen, ja, überhaupt nicht.Gleichzeitig sein, dann sagen sie, ja, Wirtschaft, Wirtschaft, fürchterlich, fürchterlich, ne? Und dann äh sagen sie, da wurde ja sogar jetzt ein ein Stahlwerk einmal äh,beschädigt durch Hacker.Und interessanterweise war der war der der initiale Angriffsvektor auf dieses Stahlwerk war, Social Engineering, ja, das heißt, die man könnte also überspitzt sagen, das Stahlwerk war aus technischer Perspektive sicher genug,Sie haben nur die Angreifer haben sich halt rein Social Engineers um.Um dann eben nachher tatsächlich an an kritische auf kritische Systeme Zugang zu erlangen.Und ähm dann dort äh Schaden anzurichten.Und dann das große Thema, um das sie sich hier die ganze Zeit äh, auf das sie sich die ganze Zeit konzentrieren, ist eben kritische Infrastruktur. Alle Berichtspflichten und Alamierungskontakte und was nicht alles, ist ausschließlich im Bereich der kritischen Infrastruktur.Und zu denen schrieb das ja das BSI schon im Jahr zweitausendneun bei den Betreibern der sogenannten kritischen Infrastrukturen können IT-Sicherheitsbewusstsein und Kompetenz sowohl auf Managementebene als auch in der Umsetzung durchweg,hoch eingeschätzt werden, ja? Zitat BSI äh Lagebericht, IT-Sicherheit zweitausendneun. Im Bericht zweitausendvierzehn schreiben sie dann,unter Angriffe auf kritische Infrastrukturen beschreiben sie einen Angriff, es gab also im Jahr zweitausendvierzehn einen dokumentierten erfolgreichen Angriff auf kritische Infrastrukturen in der Bundesrepublik Deutschland und der,Folgendermaßen ab, es gab Social Engineering auf die Mitarbeiter.Und der Ziel dieses Social Engineering Angriffs war, dass Übermitteln einer Kopie eines amtlichen Lichtbildausweises und der Bankverbindung des Gehaltskontos der Opfer,Und die Angreifer hatten Erfolg bei einigen.Und so wurden mittels gefälschten Unterschriften die Bankkonten der Betroffenen aufgelöst und oder neue EC-Karten samt PIN an eine neue Adresse in China angefordert.Das war der Angriff auf kritische Infrastruktur in Deutschland zweitausendvierzehn, mit dem jetzt dieses gesamte Gesetz gerechtfertigt wird. Ja, das heißt, selbst wenn die Hacker kritische Infrastruktur angreifen, haben sie.Laut,Bedrohungslage des BSI ein größeres äh äh einen größeren Anreiz, ähm einfach die Konten der Leute, die dort arbeiten zu lehren, als wirklich diese kritische Infrastruktur platt zu machen, ja? Alsoda ist die da ist die Bedarfslage an einem solchen Gesetz, die das BSI in seinen eigenen Berichten benennt, dann doch eher sehr gering.Grundsätzlich teilt der Chaos-Computer-Club natürlich nicht die Einschätzung, dass kritische Infrastruktur in Deutschland ausreichend gesichert wäre, aber ähm,zumindest nicht nachvollziehbar, dass ausrechnet darauf jetzt dieses Augenmerk gelegt wird. In diesem Gesetz, während äh wenn Millionen,von von Endnutzern in Deutschland von von Passwortdiebstahl und und Onlinebanking Betrug und so weiter betroffen sind, dass in der Hinsicht halt überhaupt nichts passieren soll, ne?Dann kommen wir zum nächsten, zum zweiten Punkt. Die Steigerung der Bürokratie statt aktiver Erhöhung der Sicherheit. Da geht's mir also darum, dass.Diese Auflagen, die da jetzt sind, in der Regel melde und Berichtspflichten sind,ähm und dann gibt's natürlich noch diese Sicherheitskonzepte, die dem BSI vorgelegt werden und die dann alle zwei Jahre kontrolliert werden sollen.Und die die Pflicht, eben alle möglichen Sicherheits Auditberichte und ähm und irgendwie Sicherheitsschwankungen dem BSI zu melden. Das ist ja alles schön und gut. Das ist aber ein riesiger Overhead in der Verwaltung und,der geht natürlich mit einem riesigen Aufwand auf Seiten der Unternehmen einher und dem Aufwand steht eben nichts gegenüber. Dem dem Aufwand steht gegenüber, dass sie irgendeinen Scheißbericht an das BSI geschickt hast, um irgendeiner Meldepflicht äh zu entsprechen?Ja? Aber da hast du ja noch keine einzige Sicherheitslücke, die du im Moment hast, äh geschlossen und deshalb eine weniger.Und das heißt natürlich auch, dass diese Ressourcen, die du aufwenden musst, um diese ganzen Auflagen zu erfüllen, die fehlen dir, um irgendwie mal ernst zu nehmende Sicherheitskonzepte ähm zu zu formulieren, die dich irgendwie weiterbringen.Ähm dann hatte ich gerade schon äh genannt, dass das eben.Sicherheitskonzepte eingereicht werden müssen, das ist also jetzt mein dritter Kritikpunkt. Und zwar ist das so, dass das äh dass das Gesetz erstmal vorschreibt.Maßnahmen müssen dem Stand der Technik entsprechen.Und dann stellt sich natürlich die Frage, was ist denn Stand der Technik? Ja und,Dass es in diesem Gesetz gezielt nicht ausformuliert, sodass du dich dann eben als Betreiber in so einer rechtlichen Unsicherheit befindest, dass dir natürlich einfach jederzeit ähm quasi das BSI daher kommen könnte und sagt, das hier ist nicht Stand der Technik.Und um diese Rechtsunsicherheit aus deinem,aus deiner Risikolandschaft rauszubekommen, musst du oder bist kannst du als Branchenverband ein Sicherheitskonzept dem BSI vorlegen und das vom BSI absegnen lassen.Und dann hast du eben, dann hast du vom BSI verbrieft den Stand der Technik implementiert.Ja? Und.Und das äh ist eben, das soll, da sind sie natürlich angehalten, das als Verband zu tun. Ja, das heißt, der Branchenverband, der äh Telekommunikationsanbieter, Branchenverband, der äh Atomkraftwerkbetreiber oder was auch immer, setzen sich dann zusammen.Und ähm reichen quasi ein gemeinsames Sicherheitskonzept beim beim BSI ein.Das BSI hat ja überhaupt nicht die Kapazität oder die Expertise um so ein Sicherheitskonzept selber zu schreiben.Und jetzt kannst du dir das natürlich so vorstellen, die sitzen da in ihrem Verband und die haben ja alle schon Sicherheitskonzepte. Es ist ja nicht so, als hätten die nicht genug Checklisten, wo sie Häkchen dran machen.Und dann sitzen die also in ihrem Verband zusammen und jetzt kannst du dir natürlich vorstellen.Bleibe jetzt mal zum Beispiel beim Mobilfunk, dann könnte man sich jetzt vorstellen, dann ist da die Deutsche Telekom, die vielleicht ein ähm ein höheres äh Sicherheitsniveau bei sich äh erreicht als als andere Anbieter.Und das in entsprechenden Sicherheitskonzepten eben auch äh vorgeschrieben verbrieft und dokumentiert hat. Und jetzt sitzen die also alle in einem Raum,und dann hast du halt einen Teil der Anbieter, die sagen, ja, aber so dieses Maß an sich, also sieht so unser Sicherheitskonzept aus. Und dann sagen die anderen, Umsätze ist ein bisschen höher und jetzt entsteht natürlich ein ein Konflikt zwischen denen, weil die, die das höhere Konzept haben,eigentlich diejenigen sind, die sagen können, nö, wir wollen, dass unser Konzept festgeschrieben wird und ihr erstmal die fetten Investitionen habt, euch auf dieses Konzept auch hochzubringen.Wir könnten aber natürlich auch sagen, nee, nee, komm, schreibt mal euren kleinen Mist dahinden haben wir eh schon vollständig implementiert. Und dann haben wir sind wir die Sorge los, äh, dass uns das BSI irgendwie auf den Sack geht, ne? Ich halte die zweite, den zweiten Weg für den wahrscheinlichern, das heißt, es wird dann einfach,das niedrigste existierende Sicherheitskonzept der Branche als,Sicherheitskonzept und Stand der Technik verbrieft, festgelegt und das ist dann eben für alle verbindlich. Das heißt, auch da hast du keinen ähm.Kein Anhaltspunkt, dass sich IT-Sicherheit wirklich erhöht.Wie du eben auch schon mit der Definition Stand der Technik nicht die Chance hast den Stand der Technik zu vergrößern. Sinnvoll wäre es gewesen, wenn Sie sagen, so pass auf, jede Kommunikationsdienstleistung bis zweitausendachtzehn endet zu Ende verschlüsselt, fertig.Ne? Ähm und,irgendwie jedes Kraftwerk so und so hier folgende Sicherheitsmaßnahme ist uns scheißegal ob ihr das was euch das kostet ja? Da wäre die Gelegenheit gewesen durch durch regulatorische Verpflichtung oder eben auch Anreize.Wirklich mal einen Effekt herbeizuführen, den ich als ähm,Angreifer auch sehe, ja, wo ich sage, hier hat stattgefunden, hier ähm sind wurde in die in den Abbau von von Risikoszenarien investiert. Das sehe ich da einfach nicht.Der vierte Punkt betrifft dann diesen Paragraph einhundert TKG, wo man jetzt sagt OK.Das ist der, das ist der Paragraph unter dem heute schon ähm Daten gesammelt werden bei Telekommunikationsanbietern.Und zwar äh wird dort einfach gesagt, du darfst Verkehrs und Bestandsdaten zum Zwecke der Erkennung und Behebung von Störungen speichern.Und da wird jetzt noch ein wird jetzt noch ein Satz dabeigefügt. Das gilt auch für Hackerangriffe. Wobei Hackerangriff natürlich das Ergebnis eines Hackerangriffs ist natürlich eine Störung. Ähm und da stellt sich natürlich die Frage.Also und das ist da formuliert übrigens ohne irgendwelche äh Grenzen des Anwendungszweckes,und ohne irgendwelche Grenzen der der zeitlichen Aufbewahrung dieser Daten. Und es ist natürlich totaler Unsinn zu sagen, du speicherst irgendwie Sachen für fürfür mehrere Wochen oder sogar Monate laut AK Vorrat eben da ist keine feste Vorschrift gibt beträgt diese Vorhaltedauer von den Daten zwischen sieben,einhundertachtzig Tagen in Deutschland, je nachdem bei wem du schaust.