Beiträge

Pressebericht: EURACTIV: „Deutsche Wirtschaft zu wenig auf Ransomware-Angriffe vorbereitet“

Ein neuer Hackerangriff mit globalea Auswirkung hatte die US-Firma Kaseya und Ihre Kunden im Fokus. EURACTIV hat dies als Anlass genommen, um die Gefahren durch Hackerangriffe auf die deutsche Wirtschaft zu skizzieren. Deutlich wurde aus dem Hackerangriff für mich u. a., dass

„die IT-Sicherheit die Achillessehne der digitalen Gesellschaft ist.“

EURACTIV

Pressemeldung: Kaseya-Hack zeigt: Bundesregierung muss mehr für IT-Sicherheit tun!

IT-Unternehmen stehen regelmäßig im Fokus von Hackerangriffen, dieses Mal hat es die US-Firma Kaseya getroffen. Weltweit sind wohl um die 1.000 Kunden von Kaseya, aber auch Kunden von Kunden, wie z.B. eine schwedische Lebensmittelkette, betroffen. Die Cyberkriminellen haben eine Sicherheitslücke ausgenutzt und damit Produkte des IT-Unternehmens als Trojanisches Pferd zur Weiterverbreitung von Ransomware-Software genutzt. Dieser Hackerangriff verdeutlicht noch einmal eindringlich, dass die IT-Sicherheit die Achillessehne der digitalen Gesellschaft ist, welche eine besondere Aufmerksamkeit benötigt. Denn das Vertrauen in IT-Systeme und Datensicherheit sind die Grundsäulen von Vertrauen und Verlässlichkeit in digitale Systeme. Die Bundesregierung hat jedoch diesen besonders sensiblen Bereich sträflich vernachlässigt. 

Besonders das unionsgeführte Bundesministerium des Innern, für Bau und Heimat (BMI) möchte weiterhin, dass Sicherheitslücken nicht geschlossen werden, sondern unter dem Deckmantel der Verbrechensbekämpfung offen bleiben. Diese Lücken werden so zum Einfallstor für schnüffelnde Sicherheitsbehörden und Hackergruppen – dadurch gefährdet die Bundesregierung nachhaltig IT-Sicherheit!  

Als Freie Demokraten setzen wir uns schon lange dafür ein, dass die IT-Sicherheit bei Hard- und Software kontinuierlich gestärkt wird. Deshalb fordern wir eine verbindliche Definition von IT-Mindestsicherheitsstandards in Deutschland und der EU. Darüber hinaus müssen Hersteller von Hard- und Software für Schäden haftbar gemacht werden, die fahrlässig durch IT-Sicherheitslücken verursacht werden.

Pressemeldung: EU-Cyber-Einheit nur ohne Hackbacks voll begrüßenswert!

Die geplante Cyber-Einheit ist ein wichtiger Baustein in der EU-Cybersicherheitsstrategie der Europäischen Kommission, die im vergangenen Jahr vorgestellt wurde. IT-Sicherheit ist dabei eine der komplexesten Herausforderungen der digitalen Transformation. Denn durch die immer stärkere Digitalisierung diverser Lebensbereiche spielt die Resilienz gegen Cyberangriffen auf staatliche Institutionen oder auch auf die Kritische Infrastruktur eine immer größere Rolle. Ich begrüße deshalb die Gründung einer nationalstaatsübergreifenden Cyber-Einheit ganz ausdrücklich als richtigen Schritt auf dem Weg einer vernetzten EU-IT-Sicherheit. 

Mit einer EU-übergreifenden Koordination der vielen nationalen IT-Sicherheitsbehörden und –Strukturen wird die gemeinsame Schlagkraft deutlich erhöht und gebündelt. Eine klare Absage muss hingegen den bisherigen Äußerungen rund um die Europäische Kommission erteilt werden, die fordern, dass die geplante Cyber-Einheit auch digitale Gegenangriffe (sog. “Hackbacks”) steuern soll. 

Denn als Freie Demokraten lehnen wir diese Hackbacks entschieden ab. Selten können Cyberangriffe konkreten Staaten oder kriminellen Gruppierungen zugeordnet werden, dementsprechend kann nie sicher ausgeschlossen werden, dass durch Hackbacks zivile Infrastrukturen getroffen werden.

Presseberichte über die Entscheidung Staatstrojaner zu erlauben.

Der SPIEGEL, t-online und der Tagesspiegel-Background Digitalisierung & KI haben darüber berichtet, dass CDU/CSU und SPD nun auch die Bundespolizei ermächtigen Staatstrojaner einzusetzen. Mit der Modernisierung des Bundespolizeigesetzes wird nun sogar die Überwachung präventiv möglich sein. Das ist ein massiver Eingriff in die digitalen Bürgerrechte und nicht hinnehmbar!

„SPD und Union haben ein Überwachungsgesetz in Stein gemeißelt, welches vielmehr Ausdruck der Überwachungsphantasien des Bundesministeriums des Innern, für Bau und Heimat (BMI) ist.“

t-online.de

Pressemeldung: Bundespolizeigesetz darf keine Staatstrojaner fördern und Bürgerrechte beschneiden!

Mit der Modernisierung des aus dem Jahr 1994 stammenden Bundespolizeigesetzes sollen die Fähigkeiten der Bundespolizei an die technische Entwicklung und an aktuelle sicherheitspolitische Herausforderungen angepasst werden. Jedoch stärkt das nun beschlossene Gesetz diese “Sonderpolizei” mit begrenzten Aufgabengebiet nicht sach- und fachgerecht, sondern schießt über dieses Ziel maßlos hinaus. SPD und Union haben ein Überwachsungsgesetz in Stein gemeißelt, welches vielmehr Ausdruck der Überwachungsphantasien des Bundesministeriums des Innern, für Bau und Heimat (BMI) ist. 

Mit den stark ausgebauten Befugnissen darf die Bundespolizei nun präventiv Personen überwachen, die bisher noch nicht vorbestraft waren. Mithilfe der Anbieter von Internetdiensten, die nun beim einschleusen staatlicher Malware helfen müssen, soll zudem die verschlüsselte und unverschlüsselte Kommunikation überwacht werden können. Die Bundesregierung greift damit massiv und nicht hinnehmbar in die Privatsphäre und das IT-Grundrecht auf Integrität und Vertraulichkeit von IT-Systemen der Bürger:innen ein. Zudem wird die Bundespolizei ermächtigt Staatstrojaner einsetzen zu dürfen, deren Einsatz gefährlich weit ausgeweitet wird – das ist verfassungsrechtlich mehr als bedenklich! Die Freie Demokraten fordern seit langem ein Recht auf Verschlüsselung, welches Bürgerrechte stärkt und den Einsatz von Staatstrojanern unterbindet.

Pressebericht: t-online: „Bundestag verabschiedet verschärftes IT-Sicherheitsgesetz“

t-online hat über das im Bundestag verabschiedete IT-Sicherheitsgesetz (IT-SiG) 2.0 berichtet. Mit der Fortschreibung des ersten IT-SiG soll vor allem das Bundesamt für Sicherheit in der Informationstechnik (BSI) gestärkt werden. Die ist aus meiner Sicht ein richtiger und wichtiger Schritt, jedoch

„verbleibt das BSI noch immer an der kurzen Leine des BMI auf Kosten einer wirklich unabhängigen und vertrauenswürdigen Sicherheitsbehörde.“

t-online

Pressemeldung: IT-Sicherheitsgesetz 2.0 ist handwerklich und fachlich ungenügend!

“Das Vorhaben der Bundesregierung mit dem IT-Sicherheitsgesetz 2.0 (IT-SiG) die Sicherheit von informationstechnischen Systemen zu erhöhen, ist zunächst zu begrüßen. Trotz der vorgenommenen Änderungen nach der vernichtenden Kritik vieler Expert:innen bleibt das Gesetz bis heute undurchdacht und ohne erkennbare Strategie. Es beinhaltet eklatante handwerkliche Fehler des Bundesministeriums des Innern, für Bau und Heimat (BMI). Die Bundesregierung ist dem Thema IT-Sicherheit noch immer nicht gewachsen! 

So fehlt es beispielsweise an der gesetzlich vorgeschriebenen Evaluation des ersten IT-Sicherheitsgesetzes. Dementsprechend beruhen die heute beschlossenen Vorhaben nicht auf einem Lernprozess, sondern entstanden viel mehr aus dem Stochern im digitalen Sicherheitsnebel gepaart mit einem Überwachungswunschzettel von Horst Seehofer. Ein richtiger Schritt ist, dass das Bundesamt für Sicherheit in der Informationstechnik (BSI) mit dem IT-SiG 2.0 gestärkt wird. Jedoch verbleibt das BSI noch immer an der kurzen Leine des BMI auf Kosten einer wirklich unabhängigen und vertrauenswürdigen Sicherheitsbehörde. Ein ähnliches Schrittchen, welches hingegen zu unnötigen Doppelstrukturen führt, ist das geplante IT-Sicherheitszertifikat. Im gleichen Atemzug wird im IT-SiG 2.0 sowohl ein freiwilliges deutsches, als auch ein europäisches Sicherheitskennzeichen eingeführt. Doppelstrukturen dieser Art erhöhen die Bürokratie, tragen aber nicht zu mehr IT-Sicherheit bei. 

Wir als Freie Demokraten und viele Expert:innen fordern schon lange ein unabhängiges BSI, welches nicht durch das BMI kontrolliert wird. Nur so kann eine schlagkräftige, vertrauenswürdige und sichere Behörde aufgebaut werden. Auch fordern wir ein verpflichtendes IT-Sicherheitszertifikat auf europäischer Ebene und lehnen den wenig durchdachten und bürokratiefördernden deutschen Alleingang ab.”

Kleine Anfrage: Zustand der IT-Sicherheit der Energieversorgung

Zur Antwort der Bundesregierung (Drucksache 19/21674) auf die kleine Anfrage zum „Zustand der IT-Sicherheit der Energieversorgung“ erklärt Mario Brandenburg, technologiepolitischer Sprecher der FDP-Fraktion im Deutschen Bundestag:

Die geringe Zahl erfolgreicher Angriffe auf unsere Energieversorger führt vor dem Hintergrund der zunehmenden Menge und Komplexität der Cyberangriffe zu falscher Ruhe. Anders ist nicht zu erklären, dass Energieversorger zwar seit 2018 ein Informationssicherheitsmanagementsystem (ISMS) eingeführt haben sollen, aber erst 2021 die Zertifizierung auf Grundlage der Anforderungen der Bundesnetzagentur (BNetzA) erfolgen muss. Hier hätten alle Beteiligten Kosten und Aufwand gespart können.

Die Bundesregierung hat auch sonst keine echte Strategie zur Cybersicherheit der Energieversorgungsnetze. Die einzelnen Maßnahmen zur Steigerung der Sicherheit vor Angriffen sind keinen Handlungsfeldern der Cybersicherheitsstrategie zugeordnet. So kann weder die Opposition, noch die Zivilgesellschaft die Erreichung der richtigen und wichtigen Ziele der Strategie prüfen und dann, falls notwendig, den Finger in die Wunde legen. Strategien brauchen Erfolgskriterien, sonst sind sie nur gut gemeinte Absichtserklärungen. Es muss klar sein, welche Maßnahmen aufeinander aufbauend welchem Ziel dienen soll.“

Pressemeldung: IT-Sicherheit durch Trainings erhöhen

Über den Hackerangriff auf Krankenhäuser, Tageskliniken und mehrere medizinische Versorgungszentren mit angeschlossenen Arztpraxen in Rheinland-Pfalz und im Saarland, erklärt der technologiepolitische Sprecher der Freien Demokraten Mario Brandenburg:

„Der jüngste Hackerangriff macht deutlich, dass IT-Sicherheit und Datenschutz ein Dauerlauf ist und die Kompetenzen im Umgang mit digitalen Medien immer noch lückenhaft sind. Diesem Zustand muss mit konstanten Medientrainings umgehend abgeholfen werden.
Gerade in Hinblick auf die Einführung der elektronischen Gesundheitsakte muss daher aus gemachten Fehlern gelernt werden, statt neue technische Möglichkeiten zu verteufeln. Denn die Erfassung und Speicherung  von Gesundheitsdaten öffnet neue Türen zur Behandlung von Patienten. Auf der einen Seite können Patienten unter Berücksichtigung der individuellen Gegebenheiten ganz speziell therapiert werden. Auf der anderen Seite ermöglicht die Analyse von Massendaten, neue Krankheitsmuster zu identifizieren. Das Zusammenspiel von personalisierter Medizin und Big Data wird somit die Chancen auf individuelle Heilungen nachhaltig verbessern. Daher ist es schlicht lebenswichtig, diese neuen technologischen Möglichkeiten weiterhin und verstärkt zu nutzen.
Weitere Hackerangriffe können natürlich nicht 100-prozentig ausgeschlossen werden. Die Erfolgschancen solcher Angriffe können jedoch mit konstanten Trainings im Umgang mit digitalen Medien und IT-Sicherheit massiv reduziert werden.“

Video: IT-Sicherheit – Rede, 19.04.2018

Ähnlich wie bei dem Thema Digitalisierung wirkt auch die Cybersicherheitslandschaft, sowohl auf Bundes- als auch auf Landesebene unübersichtlich. Es sind weder eindeutige Zuständigkeiten zu erkennen noch existiert transparente Koordination und Kompetenz. Bürgerrechte müssen im Internet gewahrt werden. Gesetzliche Beschränkungen, wie Verbote, kryptografsche Sicherheitsverfahren und der Einsatz von Backdoors in Software, sollten niemals in der Gesellschaft etabliert werden. Aber auch Hackback ist nicht der richtige Weg, um zukünftige Cyberangriffe zu vermeiden. In diesem Zusammenhang muss jedoch gesagt werden, dass der Bundestag im Allgemeinen als auch speziell die Bundesregierung veraltet wirkt. Start-Ups trauen der Regierung keine zentrale Datenhaltung, beispielsweise bei elektronischen Gesundheitskarten oder bei Personalausweisen, zu. Selbst die deutsche Bevölkerung überlässt freiwillig Internetkonzernen ihre Daten. Hierbei wird es nicht ausreichend sein, die IT-Sicherheitsprobleme unserer Regierung nur durch Gesetze beseitigen zu wollen. Es muss der flächendeckende Einsatz und der Umgang mit zeitgemäßen Medien selbst praktiziert werden.