IT-Sicherheitsdialog im Bundestag: "Die Hütte brennt"

Im Bundestagsausschuss Digitale Agenda waren sich die Experten einig, dass in Sachen Netzsicherheit dringend Handlungsbedarf besteht. Nicht alle wollen dabei aber den Staat stärker in die Pflicht nehmen.

In Pocket speichern vorlesen Druckansicht 60 Kommentare lesen
Lesezeit: 3 Min.

In der Diagnose waren sich die Fachleute bei einer Anhörung zur IT-Sicherheit (PDF-Datei) im neuen Bundestagsausschuss Digitale Agenda am Mittwoch überwiegend einig. "Das Scheunentor ist offen, die Hütte brennt", warnte zum Beispiel der Sicherheitsexperte Linus Neumann vom Chaos Computer Club (CCC).

Bei Therapievorschlägen lagen die Experten hingegen weiter auseinander. Ende-zu-Ende Verschlüsselung hält der CCC-Mann für einen Ansatz: "Lösungen sind da", betonte Neumann unter Verweis etwa auf technisch durchgehend geschützte Apps für Kurznachrichten oder Sprachdienste auf Smartphones. Am besten wäre es, wenn diese auf dem Mobiltelefon schon vorinstalliert seien und so eine "Null-Klick-Ende-zu-Ende-Verschlüsselung" gewährleisteten.

"Wir bauen uns riesige Angriffsflächen", kritisierte Neumann und erwähnte etwa De-Mail mit zentralen Servern, die bei einer bloßen Transportverschlüsselung der E-Post begehrte Ziele für Cyberkriminelle bildeten. Besser sei es, nicht alles an eine Sicherheitsmaßnahme zu hängen und auf dezentrale Infrastrukturen zu setzen.

Der IT-Sicherheitsberater Pascal Kurschildgen zeigte sich skeptischer, was die von der Politik geforderten einfachen Verschlüsselungslösungen betrifft. Zumindest bei E-Mail müssten die Nutzer "ihr komplettes Verhalten ändern". Eine Transportverschlüsselung, wie sie große hiesige Provider mittlerweile standardmäßig durchführen, sei "mindestens genauso wichtig" wie eine Ende-zu-Ende-Verschlüsselung von Mails einschließlich der Systemebene des Nutzers.

Beide Formen hätten ihren Stellenwert, befand auch der Präsident des Bundesamts für Sicherheit in der Informationstechnik (BSI), Michael Hange. Eine durchgehende Verschlüsselung könne zu einer Konkurrenzsituation zwischen Kommunikations- und Cybersicherheit führen, gab er zu bedenken. Er plädierte dafür, Dienstleister und Provider "stärker in die Pflicht zu nehmen". Der Heartbleed-Fehler bei OpenSSL habe zudem gezeigt, dass regelmäßige Audits auch bei Open-Source-Software von unabhängigen Prüfern durchgeführt werden müssten.

Gerade Mobiltelefone wiesen sehr viele bekannte Schwachstellen auf Protokollebene auf, ergänzte Thorsten Schröder von der Sicherheitsfirma modzero. Diese würden nicht behoben, weil es zu teuer wäre, all die Geräte im Markt auszutauschen. Hier müsse der Staat Auflagen machen. Generell gebe es ganze Wettbewerbe mit dem Ziel, in quelloffene Systeme und Bibliotheken Hintertüren so einzubauen, dass sie einem Audit standhielten oder wie ein Programmierfehler aussähen.

Derlei Methoden der Geheimdienste stellten eine "kardinale Bedrohung für die Sicherheit der digitalen Kommunikation dar", beklagte der Rechtsanwalt Niko Härting. Er sei aber ein großer Skeptiker, was staatliche Regeln angehe. So sei das Signaturgesetz etwa praktisch bedeutungslos. (vbr)