Online-Dienste: SPD drängt auf verpflichtende 2-Faktor-Authentifizierung

Inhaltsverzeichnis

Erste Lehren aus der massenhaften Veröffentlichung persönlicher Daten von Politikern und Promis hat die SPD-Bundestagsfraktion gezogen. Ihre Arbeitsgruppen für Inneres und für die digitale Agenda haben dazu ein Positionspapier für das geplante IT-Sicherheitsgesetz 2.0 beschlossen, das heise online vorliegt. Anbieter von Online- und Telekommunikationsdiensten sollen verpflichtet werden, für starke und sichere Passwörter zu sorgen sowie per Voreinstellung Schutz wie die 2-Faktor-Authentifizierung zu etablieren. Anonyme Nutzung dürfe nicht eingeschränkt werden.

Schwerpunkt: Sicher im Netz

• Passwörter und Internetsicherheit: Gegen die Angst im Netz
• Safer Internet Day 2019: Gemeinsam gegen Hate Speech im Netz
• Kommentar: Zieht endlich die Online-Anbieter zur Verantwortung!
• Kommentar: Warum der Ändere-Dein-Passwort-Tag gefährlicher Unsinn ist
• Gute Passwörter erzeugen und sicher verwenden
• Sechzehn Passwortmanager im Test
• Zwei-Faktor-Authentifizierung: Wer sie anbietet, wie sicher sie ist
• #TGIQF – das Quiz zum Internationalen "Ändere dein Passwort"-Tag

Klare Abstimmung gegen Cyber-Kriminalität gefordert

Für jede direkte Kommunikation sollen die Dienstleister "als Option sichere und vertrauenswürdige Ende-zu-Ende-Verschlüsselung" anbieten sowie ihre Technik vorab so konfigurieren, dass das "digitale Immunsystem" gestärkt werde. Den im Telekommunikationsgesetz vorgeschriebenen technischen Schutz wollen die Sozialdemokraten fortschreiben, um den "besonderen Sicherheitsanforderungen" des kommenden Mobilfunkstandards 5G "insbesondere mit Blick auf die neuen Architekturen Rechnung zu tragen".

Das Lagezentrum im Bundesamt für Sicherheit in der Informationstechnik (BSI) soll künftig rund um die Uhr erreichbar sein, fordert die SPD. Das bei der Behörde angesiedelte nationale Cyber-Abwehrzentrum müsse "als ständige Einrichtung weiterentwickelt und ausgebaut werden". Einbezogen werden sollen auch die Länder und die europäischen IT-Sicherheitsbehörden. Zu wahren sei dabei mit einer klaren Rechtsgrundlage das Trennungsgebot zwischen polizeilichen und geheimdienstlichen Befugnissen sowie zwischen ziviler und militärischer Sicherheit.

Die teils widersprüchlichen Erklärungen und Informationen der beteiligten Sicherheitsbehörden zum Umgang mit den gehackten Konten und den geleakten Daten haben laut SPD-Fraktion "erneut in erschreckender Weise deutlich gemacht", dass die Ämter in Fällen der Cyber-Kriminalität nicht klar definiert und abgestimmt vorgehen und kooperieren. Unerlässlich seien daher auch im Bereich der Cyberabwehr "endlich eine klare Koordination und klare Zuständigkeiten".

Opfer müssen geschützt werden

"Wer Opfer eines cyberkriminellen Vergehens wird, wer gehackt, geleakt oder im Internet betrogen wird, der erwartet vom Staat zu Recht, dass er Opferschutz erfährt", erklärte die SPD-Netzpolitikerin Saskia Esken gegenüber heise online. Hilfe sei auch nötig, um die Privatsphäre wiederherzustellen. Selbstverständlich dürfe jeder Betroffene erwarten, "dass das Vergehen auch ermittelt und strafverfolgt wird".

Die mit dem IT-Sicherheitsgesetz für kritische Infrastrukturen eingeführten Meldepflichten und Mindeststandards sollen auf weitere Bereiche der Wirtschaft ausgedehnt werden. Die Eckpunkte sehen etwa eine Pflicht für Anbieter von Cloud-Diensten vor, "ihre Kunden über erkannte besonders schwere Angriffe zu informieren, damit diese ihren Schutz und ihre Selbstschutzinstrumente entsprechend anpassen können". Das BSI soll öffentliche Warnungen "unter Nennung des Produktes und Herstellers sowie gegebenenfalls der Sicherheitslücke" aussprechen müssen, wenn nach Information an den Hersteller der Software und nach einem angemessenen Zeitablauf die Schwachstelle noch besteht.

Die SPD will eine "faire Produkthaftung für digitale Güter" mit einer "Umkehr der Beweislast" verankern. Dazu kommen soll eine "Kennzeichnungspflicht, wie lange Produkte mit sicherheitsrelevanten Updates versorgt werden" sowie die Auflage, nur Produkte zu verkaufen, die noch aktualisiert werden. Diese Vorgaben bezögen sich nicht auf die Dauer der Gewährleistung, sondern auf die vom Käufer "erwartbare Lebensdauer des Produktes".

Vorgaben aus Karlsruhe endlich erfüllen

Eine Zertifizierung von IT-Geräten wie Routern durch das BSI soll "in sicherheitsrelevanten Bereichen" vorgeschrieben werden. Generell wollen die Sozialdemokraten ein Zulassungs- und Prüfsystem für vertrauenswürdige und sichere Software und Hardware fördern.

Den Ruf von Bundesinnenminister Horst Seehofer (CSU) nach einem Frühwarnsystem gegen größere Hacks und Datenlecks unterstützt die SPD prinzipiell. Die Behörden müssten stärker kontrollieren, ob sich auf relevanten Plattformen ein Massen-Doxxing abzeichne. Das BSI sollte die Aufgaben bekommen, öffentlich verfügbare Informationen im Blick zu behalten und eine entsprechende Datenbank unter Aufsicht der Bundesdatenschutzbehörde zu erstellen.

Leider sei es der Politik bis heute nicht gelungen, das vom Bundesverfassungsgericht 2008 festgeschriebene Computer-Grundrecht mit Leben zu füllen, bedauern die Sozialdemokraten. Dieses verankere IT-Sicherheit "als verfassungsrechtliche Gewährleistungspflicht des Staates" und müsse gegebenenfalls "um den Schutz der digitalen Identität" erweitert werden. Um diesem Auftrag Rechnung zu tragen, müsse endlich eine umfassende, strikt defensiv ausgerichtete und verschiedene Ebenen übergreifende IT-Sicherheitsstrategie entwickelt und das Klein-Klein in diesem Bereich beendet werden. (mho)