Beiträge

Presseberichte: Lage der IT-Sicherheit in Deutschland 2021

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat den jährlichen Lagebericht zur Bedrohungslage im Cyber-Raum herausgegeben. Deutlich zeigt der Bericht, dass die Gefahrenlage, auch durch die steigende Digitalisierung der Gesellschaft, Wirtschaft, Politik etc., zunimmt. Viele Cyberangriffe richten sich auch gegen Einrichtungen der sensiblen Kritischen Infrastruktur (KRITIS).

Der Tagesspiegel thematisiert besonders den Zielkonflikt zwischen IT-Sicherheit und dem Überwachungswünschen vieler Sicherheitsbehörden. Für mich wurde in den letzten Jahren noch klarer, dass:

„die Große Koalition dem komplexen und wichtigen Thema IT-Sicherheit nicht gewachsen war“, sagte am Donnerstag auch Mario Brandenburg“

Der Tagesspiegel

EURACTIV.de hat besonders die Gründe für die gestiegenen IT-Angriffe hinterleuchtet und danach gefragt, wie die Politik auf den Anstieg reagieren muss. Meine Position bleibt gleich:

„sollte das BSI zu einer unabhängigen Behörde ausgebaut werden und befähigt werden, agiler auf Gefahrensituationen reagieren zu können.“

EURACTIV.de

Pressestatement: BSI-Lagebericht zeigt dringenden Handlungsbedarf für mehr IT-Sicherheit!

In einer modernen digital vernetzten Gesellschaft werden die Folgen von Cyberangriffen für Bürger:innen, die Wirtschaft und die Politik zunehmend wahrnehmbarer. So haben zuletzt die aufgedeckten Sicherheitslücken im ID-Wallet aufgezeigt, dass die IT-Sicherheit die Achillessehne einer digitalen Gesellschaft ist. Beide Vorfälle zeigen auch, dass die Große Koalition dem komplexen und wichtigen Thema IT-Sicherheit nicht gewachsen war. 

Auch die unverändert hohe Gefahrenlage in Deutschland macht klar, dass es endlich eine stringent gedachte IT-Sicherheitsstrategie benötigt. Um zukünftig agiler auf Gefahrensituationen reagieren zu können, braucht stattdessen es eine Meldepflicht für entdeckte Sicherheitslücken. Dazu benötigt es zudem ein wirklich unabhängig beratendes Bundesamt für Sicherheit in der Informationstechnik (BSI). Darüber hinaus hat beispielsweise das Aufdecken der Schwachstellen in der CDU-Connect-App gezeigt, dass es einen neuen Umgang mit sog. ethischen Hacker:innen braucht. Deshalb muss das Strafgesetzbuch (StGB) so angepasst werden, dass ethisches Hacken nicht strafbar ist.

Presseberichte: Cybersicherheitsstrategie der Bundesregierung fällt komplett durch!

Das Fazit vieler Medien zu der beschlossenen Cybersicherheitsstrategie der Bundesregierung ist vernichtend. Im Wesentlichen werden die inflationäre Ausweitung der Online-Überwachung durch staatliche Einrichtungen, die geplanten Hackbacks und die Zero-Day-Schwachstellen kritisiert. Deutlich wird, dass die Bundesregierung mit diesem undurchdachten und so kurz vor der Bundestagswahl beschlossenen Programm dem wichtigen Thema Cybersicherheit nicht gerecht wird

Die Süddeutsche Zeitung kritisiert vor allem, dass mit der Strategie viele Punkte vom Wunschzettel der Union kurz vor der Wahl umgesetzt wurden.

Der FDP-Technologiepolitiker Mario Brandenburg kritisierte, die Bundesregierung habe das Thema lange schleifen lassen

Süddeutsche Zeitung

t-online.de kritisiert in seinem Artikel vor allem, dass die Bundesregierung Lücken in Sicherheitssystemen offen hält. Als Folge wird der erfolgreiche Angriff durch Cyberkriminelle erleichtert

Laut Brandenburg werden durch die offen gehaltenen Backdoors „Einfallstore für Cyberkriminelle gefördert“

t-online.de

EURACTIV beleuchtet besonders den späten Beschluss zu einer Cybersicherheitsstratege und fragt, ob diese überhaupt noch aufgrund der Bundestagswahl eine Wirkung haben wird.

Mario Brandenburg (FDP), Obmann des Bundestagsausschusses Digitale Agenda, bezeichnete einige der in der Strategie anvisierten Maßnahmen sogar als „pseudo-hilfreiche Digitalpolemik.“

EURACTIV.de

heise online fasst die vernichtende Kritik von Verbänden und aus der Politik zur Bundesregierung und der Cybersicherheitsstrategie zusammen

Die geplante Cyberabwehr, die auch digitale Gegenangriffe alias Hackbacks ausführen solle, „wird ihrem Namen nicht gerecht“, ergänzte der technologiepolitische Sprecher der FDP, Mario Brandenburg.

heise.de

Pressestatement: Cybersicherheitsstrategie darf keine ziellosen Hackbacks fördern!

Nicht zuletzt der erste Cyber-Katastrophenfall eines Landkreises in Deutschland (Anhalt-Bitterfeld) hat in diesem Jahr gezeigt, dass Resilienzen gegen Cyberangriffe auf staatliche Institutionen eine immer größere Rolle spielen. In den letzten vier Jahren hat die GroKo jedoch eine zielführende und konsequente Strategie gegen Cybersicherheit vermissen lassen. So werden beispielsweise durch offen gehaltene Backdoors Einfallstore für Cyberkriminelle gefördert und auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) wurde leider nie als vom Bundesministerium des Innern (BMI) unabhängige und vertrauenswürdige Sicherheitsbehörde etabliert. Auch jetzt, kurz vor der Bundestagswahl, beschließt die Bundesregierung eine überhastete Cybersicherheitsstrategie, die diesem komplexen und wichtigen Digitalthema nicht gerecht wird.  

Die geplante Cyberabwehr, die auch digitale Gegenangriffe ausführen soll (sog. Hackbacks), wird ihrem Namen nicht gerecht. Denn der künftige Fokus liegt nicht mehr nur auf der Abwehr von Cyberangriffen, sondern auf dem wenig zielführenden Angriff auf Cyberkriminelle. Damit verrennt sich die Bundesregierung in pseudo-hilfreiche Digitalpolemik und riskiert Kollateralschäden. So können Cyberangriffe selten konkreten Staaten oder kriminellen Gruppierungen zugeordnet werden, dementsprechend kann nie sicher ausgeschlossen werden, dass durch Hackbacks zivile Infrastrukturen oder Unschuldige getroffen werden. Hingegen ist die geplante Evaluation von Cybervorhaben grundsätzlich zu begrüßen. Jedoch hat die GroKo dies bei beinahe allen digitalpolitischen Vorhaben verpasst – was bleibt, sind also leere Lippenbekenntnisse.

Pressebericht: t-online: „Bundestag verabschiedet verschärftes IT-Sicherheitsgesetz“

t-online hat über das im Bundestag verabschiedete IT-Sicherheitsgesetz (IT-SiG) 2.0 berichtet. Mit der Fortschreibung des ersten IT-SiG soll vor allem das Bundesamt für Sicherheit in der Informationstechnik (BSI) gestärkt werden. Die ist aus meiner Sicht ein richtiger und wichtiger Schritt, jedoch

„verbleibt das BSI noch immer an der kurzen Leine des BMI auf Kosten einer wirklich unabhängigen und vertrauenswürdigen Sicherheitsbehörde.“

t-online

Pressestatement: IT-Sicherheitsgesetz 2.0 ist handwerklich und fachlich ungenügend!

“Das Vorhaben der Bundesregierung mit dem IT-Sicherheitsgesetz 2.0 (IT-SiG) die Sicherheit von informationstechnischen Systemen zu erhöhen, ist zunächst zu begrüßen. Trotz der vorgenommenen Änderungen nach der vernichtenden Kritik vieler Expert:innen bleibt das Gesetz bis heute undurchdacht und ohne erkennbare Strategie. Es beinhaltet eklatante handwerkliche Fehler des Bundesministeriums des Innern, für Bau und Heimat (BMI). Die Bundesregierung ist dem Thema IT-Sicherheit noch immer nicht gewachsen! 

So fehlt es beispielsweise an der gesetzlich vorgeschriebenen Evaluation des ersten IT-Sicherheitsgesetzes. Dementsprechend beruhen die heute beschlossenen Vorhaben nicht auf einem Lernprozess, sondern entstanden viel mehr aus dem Stochern im digitalen Sicherheitsnebel gepaart mit einem Überwachungswunschzettel von Horst Seehofer. Ein richtiger Schritt ist, dass das Bundesamt für Sicherheit in der Informationstechnik (BSI) mit dem IT-SiG 2.0 gestärkt wird. Jedoch verbleibt das BSI noch immer an der kurzen Leine des BMI auf Kosten einer wirklich unabhängigen und vertrauenswürdigen Sicherheitsbehörde. Ein ähnliches Schrittchen, welches hingegen zu unnötigen Doppelstrukturen führt, ist das geplante IT-Sicherheitszertifikat. Im gleichen Atemzug wird im IT-SiG 2.0 sowohl ein freiwilliges deutsches, als auch ein europäisches Sicherheitskennzeichen eingeführt. Doppelstrukturen dieser Art erhöhen die Bürokratie, tragen aber nicht zu mehr IT-Sicherheit bei. 

Wir als Freie Demokraten und viele Expert:innen fordern schon lange ein unabhängiges BSI, welches nicht durch das BMI kontrolliert wird. Nur so kann eine schlagkräftige, vertrauenswürdige und sichere Behörde aufgebaut werden. Auch fordern wir ein verpflichtendes IT-Sicherheitszertifikat auf europäischer Ebene und lehnen den wenig durchdachten und bürokratiefördernden deutschen Alleingang ab.”