Wahlprüfsteine 2021 zur Cybersicherheit

Aus den Reihen des GI-Fachbereichs Sicherheit wurden folgende Wahlprüfsteine für die bevorstehende Bundestagswahl 2021 formuliert:

Wahlprüfsteine der GI-FG PET

1) Datenschutzkonforme Digitalisierung
In der Digitalisierung verschiedener Dienste (Überwachung der Einhaltung der Pandemie-Regeln, Schulen, Bürgerdienste) gibt es Nachholbedarf. Außerdem wird oft der Anschein erweckt, dass Datenschutz vieler der Vorhaben im Weg steht. Datenschutz ist eine Notwendigkeit und darf nicht als Ausrede vorgeschoben werden. Wir fordern daher eine zügige datenschutzfreundliche Digitalisierung und dazu insbesondere die Unterstützung der Entwicklung von Open Source, Forschung und entsprechender Regulierung mit dem Ziel einer digitalen, datenschutzfreundlichen Souveränität.

2) Ernsthafte Einbeziehung von Fachexperten in die Gesetzgebung
Gerade am jüngsten Beispiel des IT-Sicherheitsgesetzes hat es sich gezeigt, dass eine Einbindung der Zivilgesellschaft nur pro forma erfolgt und es entstand der Eindruck, dass es den beteiligten eher lästig ist, dies tun zu "müssen". Politiker*innen sind keine Fachexpert*innen und Expertise von Lobbyist*innen und Industrieverbänden verfolgt oft Interessen und Klientelpolitik. Wir forder daher die Stärkung der Zivilgemeinschaft und eine ernstgemeinte Bürgerbeteiligung bei der Gesetzgebung. Deutschland kann es sich nicht leisten, auf das Potential seiner Expert*innen zu verzichten.

3) Zügige datenschutzfreundliche ePrivacy Verordnung
Die Vorgänger-Verordnung der ePrivacy-Verordnung (ePVO) ist nun fast 20 Jahre alt. Obwohl es bereits 2017 die ersten Vorschläge gab, ist die ePVO immer noch nicht umgesetzt worden und wird gleichzeitig von Lobbyist*innen immer weiter zugunsten verschiedener Industrien aufgeweicht. Wir fordern daher die Bundesregierung auf, sich mit Nachdruck für eine zügige Verabschiedung einer datenschutzfreundlichen ePVO im Sinne der Anwender und Verbraucher einzusetzen und daran aktiv mitzuwirken.

Wahlprüfstein der GI-FG SECMGT

1) Konsistenz in der Förderung der IT-Sicherheit in der Wirtschaft

Aktuell wird die IT-Sicherheit von politischen Entscheidungsträgern einerseits unterstützt, andererseits unterlaufen durch Sicherheitsdienste, die Zero-Day-Exploits für eigene Zwecke nutzen, statt die Behebung der zugrunde liegenden Schwachstellen zu forcieren. Wie beispielsweise Heartbreak gezeigt hat, können die Exploits dann aber auch von anderen zum Schaden unserer Wirtschaft genutzt werden.

Ähnliches gilt für die Forderung danach, Hintertüren in verschlüsselte Kommunikationssysteme einzubauen, um eigenen Sicherheitsdiensten zu ermöglichen, die Verschlüsselung zu brechen. Auch hier ist es eine Illusion zu glauben, dass solche Hintertüren vor Angreifern (Kriminelle, fremde Sicherheitsdienste) dauerhaft geschützt werden könnten. Gleichzeitig ist davon auszugehen, dass diejenigen, deren Kommunikation in erster Linie abgehört werden soll, dieser Überwachung ausweichen und auf bestehende und weiterhin verfügbare Verschlüsselungssysteme wie PGP zurückgreifen würden.

Wahlprüfsteine der GI-FG Ada

1) Security der vernetzten Geräte, Systeme und Anlagen

Das ist erforderlich, damit unsere vernetzte Gesellschaft und Industrie überhaupt in Zukunft funktioniert.

2) Safety und Reliability intelligenter, autonomer und in Teilen vernetzter Systeme

Das ist lebensnotwendig, sonst können wir uns auf intelligente Systeme und autonome Unterstützung nicht verlassen.

Wahlprüfstein des FB-Sprechers

1) Förderung umfassender Universaldienste für die Informationsgesellschaft im Rahmen der Digitalisierung

Die Informationsgesellschaft lebt von Partizipation und Information. Das fängt beim flächendeckenden Breitbandausbau an, um ein umfassendes Recht auf digitaler Partizipation umzusetzen, beinhaltet ferner die für Bürger*innen kostenfreie Bereitstellung zahlreicher Informationsdienste, die der Pluralität der individuellen Informationsaufnahme Rechnung tragen (dazu gehört ausdrücklich eine redaktionelle Aufbereitung ohne zeitliche Befristung abrufbarer Beiträge über aktuelle Fragen und lessons learnt aus derzeitigen Entwicklungen), und bedarf schließlich der Gewährleistung einer uneingeschränkt vertraulichen Kommunikation durch wirksame Verschlüsselung ohne jegliche Hintertüren und eingebauten Sicherheitslücken. Zur digitalen Souveränität gehört, die Vertrauenswürdigkeit der virtualisierten Lebenswirklichkeit sicherzustellen. Damit verbunden ist ein zentrales Infrastrukturprojekt, welches durch ein eigenes Digitalisierungsministerium gesteuert werden sollte. Auf Bundesebene sollte diesem neu einzurichtenden Ministerium das BSI unterstellt werden.

Der GI-Präsidiumsarbeitskreis Datenschutz und IT-Sicherheit hat unabhängig vom GI-Fachbereich Sicherheit ergänzend folgende Wahlprüfsteine formuliert:

1) Bürokratie bei der Regulierung von IT auf das notwendige Mindestmaß zu begrenzen

Digitale Souveränität ist keine juristische Frage: Mehr und mehr reguliert der deutsche Gesetzgeber technische Fragen durch Rechtsvorschriften. Für verschiedene Gesetze mag dies angemessen sein, sei es, um den Verbraucherschutz zu stärken, oder aber um mehr Datenschutz zu schaffen. Gerade bei der Regulierung der IT-Sicherheit zeigt sich aber, dass die Bundesregierung versucht, primär technische Sachverhalte rechtspolitisch zu erfassen, was bestenfalls zu einer in der Praxis neutralen Lösung, schlimmstenfalls aber zu erheblichen Mehraufwänden für Unternehmen ohne Sinn und Zweck führen kann. Die Politik und der Gesetzgeber sind daher aufgefordert, die Bürokratie bei der Regulierung von IT auf das notwendige Mindestmaß zu begrenzen, um die Praxistauglichkeit des Rechts auch für die Zukunft zu gewährleisten.

2) Sicherheitslücken identifizieren und veröffentlichen

Völlig unerklärlich ist, dass dem BSI bekannte Sicherheitslücken nicht veröffentlicht werden müssen. Unverzichtbar für das Sicherheitsniveau von Unternehmen und Bürgern ist vielmehr die unverzügliche Veröffentlichung dem BSI bekannt gewordener Angriffspunkte (Sicherheitslücken). Diese Notwendigkeit wird bei fast jedem nationalen und internationalen IT-Angriff  auf Produktionsunternehmen, Banken, Einrichtungen des Gesundheitswesens, Behörden und Parlamente erneut deutlich. Meist wird unter Ausnutzung dieser Sicherheitslücken mindestens seit 6 Monaten bis hin zu 18 Monaten angegriffen, ohne dass es Betroffene erkennen. Die Bekanntgabe der Sicherheitslücken kann die Dauer der Angriffe nur verkürzen. Es muss davon ausgegangen werden, dass solche Informationen längst an gegnerische Nachrichtendienste und auch an die organisierte Kriminalität durchgesickert sind oder von denen gestohlen wurden – alles zu Lasten deutscher Unternehmen, die sich bisher nicht gegen solche Angriffe schützen können.

3) Technologische Souveränität für Europa

Die aktuell geplante Übernahme von ARM, siltronic etc. sollte abgewendet und die europäische Chipentwicklung und -produktion unterstützt werden. Die gesamt Branche Chip-Herstellung ist bisher weit überwiegend in den USA, China, Taiwan und Südkorea angesiedelt. Deutsche und europäische Unternehmen werden aktuell aufgekauft. Chips sind für die gesamte Digitalisierung unverzichtbar. Deutschland und Europa benötigen daher eine eigenständige Chip-Entwicklung und –Herstellung.

4) Digitales Gesundheitswesen muss sicher sein

Gesundheitsdaten werden weltweit gehackt. Gesundheitsdaten müssen aber gegen Ausspionieren und Manipulieren durch Staaten und Organisierte Kriminalität gesichert werden. In der Bundesrepublik werden diese Daten bisher viel zu wenig geschützt durch zentrale Speicherung für (fast) alle Bürger, Zugriffsrechte von Ärzten auf alle Gesundheitsdaten der Patienten ohne Einschränkung etc.

Mögen diese Anregungen eine hilfreiche Orientierung liefern, was aus fachlicher Sicht spätestens nach der Bundestagswahl auf die Agenda gesetzt werden sollte.