Netzpolitik

12 06, 2015

Die Details des IT-Sicherheitsgesetzes

von |12. Juni 2015|Netzpolitik|1 Kommentar|

Der Bundestag verabschiedet das IT-Sicherheitsgesetz. Das Thema ist spannend genug, um die 66-Seiten-PDF selbst zu lesen. Interessant sind die Details, die nicht im einfachen Newsticker stehen:

  • Das Gesetz gilt nur für Betreiber Kritischer Infrastrukturen, z.B. Atomkraftwerke, Energieversorgern, Betreiber von Telekommunikationsnetzen, aber auch bestimmten Diensteanbietern im Sinne des Telemediengesetz
  • Die Betreiber werden verpflichtet, alle kritischen Komponenten angemessen zu schützen. Wie? Nach dem Stand der Technik natürlich.
  • Die Betreiber müssen dies regelmäßig durch Audits nachweisen. Dabei können sie selbst Standards vorschlagen, die aber genehmigungspflichtig sind. In der Praxis wird das bedeuten: Alle Betreiber Kritischer Infrastrukturen, die noch nicht nach ISO 27001 zertifiziert sind (oder den ISO 27001 Umweg über das BSI-Zertifikat gehen), werden demnächst eine ISO 27001 Zertifizierung anstreben müssen.
  • Die Betreiber müssen melden, wenn erhebliche Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit bei Ihnen auftreten oder aufgetreten sind.
  • Die öffentliche Kritik bzgl. der erlaubten Vorratsdatenspeicherung halte ich für total übertrieben. Der Gesetzeswortlaut: „Soweit erforderlich, darf der Diensteanbieter die Bestandsdaten und Verkehrsdaten der Teilnehmer und Nutzer erheben und verwenden, um Störungen oder Fehler an Telekommunikationsanlagen zu erkennen, einzugrenzen oder zu beseitigen.“ Die meisten Admins werden sagen, dass sie das ohnehin schon machen: Ohne Logs würde nur noch die Glaskugel helfen. Eigentlich gibt es da eher nun etwas mehr Rechtssicherheit.
  • Das BSI erhält deutlich mehr Kompetenzen, Rechte und wird zur deutschen Zentralstelle für IT-Sicherheit ausgebaut. Von der Behörden-Sicherheits-Behörde geht es weg und das BSI darf ernster genommen werden.

Für die großen Unternehmen dürfte das jetzt nicht so die Besonderheit sein, ein ISMS zu betreiben und dies nach ISO 27001 zertifizieren zu lassen. Von einem Betreiber Kritischer Infrastruktur kann man das schon erwarten. Die Meldepflicht finde ich auch in Ordnung, die Meldung von erheblichen Störungen könnte zentral verwaltet von Vorteil sein, wenn das in der Praxis gut umgesetzt wird. Dafür erscheinen mir die Auswirkungen der Änderungen vom Telemediengesetz eher von großer Bedeutung zu sein:

„(7) Diensteanbieter haben, soweit dies technisch möglich und wirtschaftlich zumutbar ist, im Rahmen ihrer jeweiligen Verantwortlichkeit für geschäftsmäßig angebotene Telemedien durch technische und organisatorische Vorkehrungen sicherzustellen, dass
1. kein unerlaubter Zugriff auf die für ihre Telemedienangebote genutzten technischen Einrichtungen möglich ist und
2. diese
a) gegen Verletzungen des Schutzes personenbezogener Daten und
b) gegen Störungen, auch soweit sie durch äußere Angriffe bedingt sind,
gesichert sind. Vorkehrungen nach Satz 1 müssen den Stand der Technik berücksichtigen. Eine Maßnahme nach Satz 1 ist insbesondere die Anwendung eines als sicher anerkannten Verschlüsselungsverfahrens.“

In der Erläuterung dazu steht:

„Wegen der zunehmenden Verbreitung von Schadsoftware über Telemediendienste werden die bestehenden Pflichten für Telemediendiensteanbieter, die ihre Telemedien geschäftsmäßig anbieten, um technische und organisatorische Maßnahmen zum Schutz vor unerlaubten Zugriffen, der personenbezogenen Daten und vor Störungen ergänzt. Geschäftsmäßig ist ein Angebot dann, wenn es auf einer nachhaltigen Tätigkeit beruht, es sich also um eine planmäßige und dauerhafte Tätigkeit handelt. Bei einem entgeltlichen Dienst liegt dies regelmäßig vor, so z.B. bei werbefinanzierten Webseiten. Das nicht-kommerzielle Angebot von Telemedien durch Private und Idealvereine wird demgegenüber nicht erfasst.“

An Bußgeld wurde auch gedacht:

„Die Aufnahme eines Verstoßes gegen die in § 13 Absatz 7 Satz 1 Nummer 1 oder Nummer 2 Buchstabe a des Telemediengesetzes geregelte Pflicht des Diensteanbieters zum Einsatz technischer und organisatorischer Schutzmaßnahmen zur Gewährleistung von IT-Sicherheit der für Dritte angebotenen Inhalte in die Bußgeldvorschriften des § 16 Absatz 2 Nummer 3 entspricht der Bußgeldbewehrung eines Verstoßes gegen die weiteren in § 13 Absatz 4 geregelten Pflichten des Diensteanbieters. Bußgeldbewehrt ist damit auch der Einsatz technischer und organisatorischer Maßnahmen durch den Diensteanbieter, die nicht den Stand der Technik berücksichtigen“

Das ist ein Hammer, das gab es vorher nicht. Demnächst könnten selbst Mini-Kommerziellen-Onlinediensten oder -Webseiten ein Bußgeld bis zu 50.000€ (§16 TMG) aufgedrückt bekommen, wenn Sie ihre Dienste nicht angemessen nach dem Stand der Technik schützen. Sicherlich wird nicht jeder gleich das maximale Bußgeld zahlen müssen. Aber: Diensteanbieter müssen sich um ihr Sicherheitsnievau kümmern, unabhängig vom BDSG.

Die PDF:
https://www.bmi.bund.de/SharedDocs/Downloads/DE/Nachrichten/Kurzmeldungen/entwurf-it-sicherheitsgesetz.pdf?__blob=publicationFile

21 07, 2014

Deutschland entdeckt die Spionageabwehr

von |21. Juli 2014|Netzpolitik|0 Kommentare|

Wir schreiben das Jahr 1999. Die deutsche Regierung möchte ihre nachrichtendienstliche Abwehr aufrüsten: Jetzt soll in IT-Sicherheit investiert werden. Unser Außenministerium, unser Verteidigungsministerium und unser Justizministerium sollen ihre interne Kommunikation auf Sicherheitsmängel prüfen lassen. Und als besondere Maßnahme will der NSA-Ausschuss eine Schreibmaschine zur Spionageabwehr nutzen.

Moment. NSA-Ausschuss? Wir sind ja schon in 2014. Macht nix. Die technologische Entwicklung kann ein deutscher Nachrichtendienst auch einmal verschlafen. Die anderen Behörden sind ja auch nicht besser. Wir prüfen im Jahr 2014 einmal grundsätzlich, wie sicher die IT unserer Volksvertretung ist. Derweil wird in Untersuchungsausschüssen wieder die Schreibmaschine benutzt. Tolle Leistung.

Unsere Regierung sollte über einen „Beauftragter der Bundesregierung für Informationssicherheit“ nachdenken. Wir haben welche für die IT und für den Datenschutz. Aber einen CISO in oder unterhalb der Bundesregierung haben wir keinen.

14 05, 2014

Ping Flood gegen Quizduell in der ARD

von |14. Mai 2014|Netzpolitik|0 Kommentare|

Eigentlich hat es mich nicht interessiert: Quizduell in der ARD mit Jörg Pilawa. In der Show sollte versucht werden, die Zuschauer über eine eigene App interaktiv mit raten zu lassen. In der ersten Sendung brach die IT zusammen. Danach wurden noch Berichte von einem Datenleck mit 50.000 Nutzern laut. Jetzt stoß ich zufällig im Zappen darauf.

Am Anfang der dritten Sendung wurde nun veröffentlicht, dass man einer DoS-Attacke ausgesetzt war, die über viele SSH-Agents mittels ping requests ausgelöst wurde Die Aussage hat sich Herr Pilawa von der eigenen IT geben lassen. Mich würde interessieren, woher die das mit dem SSH haben und welche Rolle das bei einem Ping Flood spielen soll. Also zumindest soll die Leitung dicht gemacht worden sein.

Dann entschuldigte sich Pilawa noch, dass auch sie einen Fehler gemacht haben. Durch die Verknüpfung von Daten wie Wohnort oder Geschlecht sollten Auswertungen vollzogen werden, ob sich statistische Merkmale in der Beantwortung von richtigen oder falschen Fragen ableiten lassen. Das habe die Server überlastet.

Also wir lassen uns lahmlegen durch einen relativ unspektakulären Ping Flood und sorgen durch falsch dimensionierte Hardware noch dafür, dass auch ohne den DoS nichts funktionieren würde. Weil das aber noch nicht genug ist, bauen wir noch ein Datenleck ein, sodass Unbefugte Zugriff auf personenbezogene Daten erhalten können.

Die gesamte Leistung wurde von unseren Rundfunkbeiträgen bezahlt. Anscheinend ist der Rundfunkbeitrag noch nicht hoch genug, sodass man sich keinen vernünftigen Dienstleister hat leisten können.

27 02, 2014

Britischer Geheimdienst GCHQ überwacht privaten Webcam-Porn

von |27. Februar 2014|Netzpolitik|0 Kommentare|

Der britische Geheimdienst GCHQ überwacht private Webcam-Chats, die über Yahoo geführt werden: TheGuardian meldet aufgrund von weiteren Erkenntnissen aus Dokumenten von Edward Snowden, dass der GCHQ über angezapfte Unterseekabel massenhaft Bilddaten von privaten Webcams mitschneidet, speichert analysiert und auswertet.

Zwischen drei und elf Prozent der Billdaten sollen hierbei pornographisch sein. Die Verbreitung von privaten Pornos, die zumindest nach deutschem Recht illegal mitgeschnitten werden, ist den Mitarbeitern vom GCHQ immerhin über die Androhung eins Disziplinarverfahrens verboten. Zumindest kann nicht ausgeschlossen werden, dass Bilddaten auch an die amerikanische NSA übermittelt werden. So hat am Ende auch der große Bruder etwas von der Aktion.

Der massenhaften und unverschämten Überwachung europäischer Bürger von einem Mitglied der europäischen Union kann man nur noch mit Galgenhumor begegnen. In letzter Zeit könnte man meinen, man sitze in einem billigen Spionage-Thriller. Leider handelt es sich hierbei um die Realität.

26 02, 2014

Der Bitcoin-Hype fällt in die Realität zurück

von |26. Februar 2014|Netzpolitik|2 Kommentare|

Der Hype um die Internet-Währung Bitcoin fällt in die Realität zurück. Nachdem China bereits den Handel mit Bitcoin praktisch untersagt, denken weitere Länder über ein Verbot nach. Da sich Zahlungen mit Bitcoin nicht nachvollziehen und somit auch nicht kontrollieren lassen, kann man eigentlich davon ausgehen, dass auch die Industrieländer langfristig nicht eine digitale Schattenwährung neben der eigenen offiziellen Währung akzeptieren werden.

Zudem wird das Vertrauen der Menschen in Bitcoin durch den sich anbahnenden Skandal um die Bitcoin-Börse Mt. Gox erschüttert. Die Börse hat nach einem vermuteten riesigen Diebstahl von Bitcoins den Betrieb eingestellt. Bitcoins sind für Kriminelle ein attraktives Ziel. Sie sind anonym und einfach zu stehlen, wenn nicht ein umfangreiches Sicherheitskonzept vorhanden und umgesetzt wurde. Gestohlene Bitcoins lassen sich im  Gegensatz zu gestohlenen Kreditkartendaten einfach gegen echtes Geld eintauschen. Wer heute noch Kreditkartendaten anstatt Bitcoins stiehlt, verpasst gerade einen bessere illegale Einnahmequelle.

Ich halte es zudem für unwahrscheinlich, dass der Preis eines Bitcoins noch weiter steigen wird. Jeder Hype an einer Börse erreicht immer dann den Höhepunkt, wenn die allgemeinen Medien darüber berichten und jeder Bitcoins hat, der sich welche zulegen würde. Das Frühwarnsystem Bildzeitung zeigt ein klares Verkaufssignal: Wenn selbst die BILD darüber berichtet, ist der Höhepunkt erreicht.

Insgesamt denke ich, dass die Internet-Währung Bitcoin zwar nicht untergehen, aber deutlich weiter an Bedeutung verlieren wird. Die Möglichkeiten, die das anonyme Geld bietet, sind leider optimal für Geldwäsche und die Bezahlung von illegalen Waren und Dienstleistungen geeignet. Sobald die illegalen Transaktionen eine gewisse Relevanz vorweisen können, werden die Staaten gegen Bitcoin vorgehen. Spätestens dann wird Bitcoin in der harten Realität angekommen sein.

15 09, 2013

Die Piratenpartei während dem NSA-Skandal: Wo sind die Piraten?

von |15. September 2013|Netzpolitik|0 Kommentare|

Die Bundestagswahl steht an. Die Piratenpartei liegt in den Umfragen bei unter 5 Prozent und das während dem immer noch diskutierten NSA/PRISM-Skandal. Da kommt der größte Datenskandal überhaupt und die Partei schafft es nicht dieses Thema erfolgreich aufzugreifen. Klar, es gibt ein paar Plakate zu diesem Thema. Aber sie machen in den Medien weder mit Fachkenntnis noch mit Lösungen auf sich aufmerksam. Eine bessere Vorlage hätte es gar nicht geben können! Das sagt meiner Meinung nach sehr viel über die Erfolgschancen in der Zukunft aus: Nahe null. Schade.