Netzpolitik der GroKo auf dem Prüfstand
Die große Koalition hat hehre Ziele: Ein Völkerrecht des Netzes hat der Koalitionsvertrag versprochen. Auf einem Workshop des Competence Center for Applied Security Technology wurde eine erste Bilanz versucht.
Noch ist nicht viel passiert, auch wenn die Ansätze vielsprechend sind – so lautet ein erstes Fazit der Arbeit der Großen Koalition aus der Perspektive von Sicherheitsspezialisten. Auf dem Workshop Datenschutz und Datensicherheit in der neuen Legislatur-Periode des Competence Center for Applied Security Technology (CAST) in Darmstadt wurden die Absichtserklärungen des Koalitionsvertrages von den Teilnehmern unter die Lupe genommen.
(Bild: dpa, Jochen Lübke)
Im Koalitionsvertrag Deutschlands Zukunft gestalten (PDF-Datei) verspricht die Bundesregierung, in der 18. Legislaturperiode die Kapazitäten des Bundesamtes für Sicherheit in der Informationstechnik (BSI) auszubauen. Stefanie Fischer-Dieskau vom BSI gab erste Hinweise, wie die Lösungsansätze ihres Amtes aussehen können. Oberste Priorität hat demnach die durchgängige Anwendung von vertrauenswürdigen Kryptoanwendungen auf allen Ebenen, von der standardmäßigen Verschlüsselung von E-Mail und Telefonie bis hin zur Verschlüsselung aller ruhenden Daten.
Neben der 2011 vom Bundeskabinett verabschiedeten Cyber-Sicherheitsstrategie für Deutschland (PDF-Datei) und dem Acht Punkte-Programm zum besseren Schutz der Privatsphäre ist die im Koalitionsvertrag festgeschriebene "Verpflichtung zur Meldung erheblicher Sicherheitsvorfälle" ein wichtiger Hebel. So wird beim BSI diskutiert, wie die Pflicht zum Handeln bei "mittelbar Verantwortlichen (Provider) und bei den "Gefahrenschleudern" (Eigner verseuchter Websites) aussehen kann.
Strategien für Post-NSA-Arä
Das Lösungsspektrum reiche bis zur Einführung von Haftungsregelungen für solche Gefährder. Angesichts der von Fischer-Dieskau dargestellten Sicherheits-Lage, nach der 3 Prozent aller Webseiten Gefahrenschleudern sind und 1 Million Bots in Deutschland existieren, könnte ein Haftungsregelung dazu führen, dass IT-Sicherheit ernster genommen wird. Persönlich hoffe sie, dass auf diese Weise ein gesetzlicher Rahmen geschaffen werde, in dem der Markt das Problem selbst reguliert, erklärte Fischer-Dieskau.
Hartmut Pohl von der Firma Softscheck beschäftigte sich mit der Frage, wie eine wirksame IT-Sicherheitsstrategie in der Post-NSA-Ära aussehen könnte. Dabei machte er auf einen kardinalen Denkfehler aufmerksam: Die Annahme, das Software nicht sicher hergestellt werden könne, sei fatal. Mit sicherer Software und einem internationalen Code of Conduct befreundeter Länder könne es keine Sicherheitslücken geben, die die NSA ausnützen kann.
Als hilfreiches Kraut gegen die Überwachung durch Nachrichtendienste und organisierte Kriminalität empfahl Pohl die durchgängige Verschlüsselung aller Daten. An der im Koalitionsvertrag angesprochenen Meldepflicht kritisierte der Informatiker, dass Unternehmen häufig nicht wüssten wer wo wie genau angegriffen hat. Dementprechend seien Meldungen wie die von Fischer-Dieskau erwähnten 1200 DDoS-Angriffe in Deutschland im Jahre 2013 kaum brauchbar. Ansätze zur Besserung und Wahrung der technologischen Souveränitat sah Pohl in der De-Mail und der Kryptografie in Verbindung mit Chipkartenlesegeräten.
Lob für De-Mail
Ähnlich argumentierte Michael Herfert vom Fraunhofer SIT. Er stellte Ergebnisse des SIT-Trend- und Strategieberichtes über Privatsphärenschutz und Vertraulichkeit im Internet (PDF-Datei) und das neue Projekt ProPrivacy vor. Sowohl die Verschlüsselung mit S/MIME und einer intakten PKI wie die Verschlüsselung mit PGP seien zu kompliziert und nicht vom Markt akzeptiert worden. Herfert lobte Ansätze wie De-Mail und E-Mail made in Germany, wo nach neuesten Angaben der Telekom bereits ein Nutzungsgrad von 90 Prozent erreicht wurden.
Kritisch sei aber, dass bei beiden Systemen die Nachrichten bei den beteiligten Providern kurzfristig entschlüsselt werden. Herfert regte an, die Rolle des neuen Personalausweises (nPA) ins Spiel zu bringen, der einen sicheren Kommunikationskanal aufbauen, aber leider nur ein Schlüsselpaar speichern könne. "Hier ist etwas vorhanden, das mit anderen Technologien verbunden werden muss."
Ein interessanter Hinweis, zumal der nPA im Koalitionsvertrag keine Rolle spielt. Hier heißt es nur: "Die Weiterentwicklung und Verbreitung von Chipkartenlesegeräten, Kryptographie, De-Mail und sicheren Ende-zu-Ende Verschlüsselungen sowie vertrauenswürdiger Hard- und Software gilt es auszubauen." (axk)
