IT-Sicherheitsgesetz 2.0: Experten lassen kein gutes Haar daran

Und noch ein Kommentar zum IT-Sicherheitsgesetz 2.0. Dass man dem BSI erweiterte Befugnisse gibt ist sicherlich nachvollziehbar. netzpolitik hat schon 2019 darüber berichtet.

Der HIB, der Bundestags-eigene Informationsdienst, meldete am 2.3.2021:
„Kaum ein gutes Wort über das IT-Sicherheitsgesetz“

Die „Strategie- und Ziellosigkeit des gesamten Verfahrens“ geißelte Manuel Atug von der
unabhängigen „Arbeitsgemeinschaft Kritische Infrastruktur“ (AG KRITIS), einem Zusammenschluss von derzeit 42 unabhängigen Fachleuten. Er nahm insbesondere den Zielkonflikt aufs Korn zwischen dem Interesse der Gesellschaft an einer „robusten und widerstandsfähigen“ IT- Infrastruktur und dem Wunsch staatlicher Stellen, Zugänge zu verschlüsselter Kommunikation offen zu halten.

AG KRITIS über das neue Gesetz

Das BSI soll dazu ermächtigt werden, Sicherheitslücken aufzuspüren um die Infrastruktur sicherer zu machen. Das ist gut. Gleichzeitig erhält es die

… ausdrückliche Befugnis, erkannte Sicherheitslücken im Interesse der Strafverfolgung offen zu halten und zu verheimlichen, sei es vielmehr zum „Handlanger der Sicherheitsbehörden und Nachrichtendienste“ geworden.

AG KRITIS

In der analogen Welt heisst das: Die Polizei schaut bei Ihnen vorbei, weil bei Ihnen eingebrochen wurde. Sie stellt fest, dass Ihre Türen und Fenster unsicher sind, sagt es Ihnen aber nicht, weil Sie ein Drogendealer oder Kinderschänder sein könnten und da es ist immer gut, wenn man rein kommt.

Was das BMI geflissentlich ignoriert, seit Jahren, ist: Jede Sicherheitslücke kann nicht nur von der Deutschen Regierung genutzt werden, sondern auch von China, Russland, den USA, also allen „Schurkenstaaten“ und natürlich von Kriminellen. Selbst die NSA, die sicherlich den deutschen Sicherheitsbehörden weit überlegen ist, war nicht davor gefeit, selbst gebaute Tools zu verlieren, die dann für grossangelegte Angriffe missbraucht wurden.🇬🇧

Die am meisten eingesetzte Software in Deutschland, gerade auch in den Behörden, kommt von Microsoft: Office, Windows 10 und Exchange Server. Das heisst die Bundesregierung will ggf. Fehler suchen, diese dann aber nicht an Microsoft weiter geben und so ihre eigene Infrastruktur offen für Angriffe lassen. Das ist völlig pervers. Und es ist ja nicht, als sei der Bundestag nicht schon mal gehackt worden. Das bedeutet auch, dass Sie möglicherweise ein unsicheres System benutzen, dass Kriminelle ausnutzen können. Es wäre aus meiner Sicht interessant zu erfahren, wenn Sie über eine Schwachstelle gehackt werden, Geld verlieren, Daten verlieren, Job verlieren, die der Regierung schon lange bekannt war, ob Sie diese verklagen können. Ich träume, natürlich nicht.

Es gibt schon so genug Sicherheitslücken, die alle immer massiver und nicht immer schnell geschlossen werden. Jetzt wollen wir also die Sicherheitslücken möglichst lange offen halten, was die gesamte IT unsicherer macht. Prost Mahlzeit.

Davon abgesehen geht die Bundesregierung offensichtlich davon aus, dass wir in der IT viel besser als die anderen sind. Ich bezweifle, dass die Behörden in Deutschland die besten Hacker der Welt haben. Wir haben nicht mal genug schnelle Netze. Während wir noch die Daten für den Hack hochladen, haben andere die Daten des Hacks schon längst runtergeladen. Unsere beste Verteidigung gegen digitale Angriffe ist unsere IT Infrastruktur, 5G etc.

Naja. Weiter im Text!

Dadurch verlieren wir die einzige vertrauenswürdige Institution. Das ist ein herber Verlust für die Bürger,

Linus Neumann, Chaos Computer Club

Für die Unternehmen entstehe „wenig Mehrwert durch erweiterte Befugnisse des Staates“

Martin Schallbruch, Digital Society Institute, Europäische Hochschule für Management und Technologie

Mich wundert das die Industrie dabei so ruhig bleibt. Die Betreiber von kritischer Infrastruktur zum Beispiel müssten aufschreien.

Das eco, der Verband der Internetwirtschaft, hat in einer Umfrage herausgefunden, das 57% der IT-Experten in Deutschland der Meinung sind, das Deutschland unzureichend vor Cyberangriffen geschützt ist und 77% der Experten davon ausgehen, dass die Bedrohungslage durch Cyberangriffe wachse.

Klaus Landefeld, Stellv. Vorstandsvorsitzender, Vorstand Infrastruktur und Netze beim eco wird im Interview mit dem Deutschlandfunk🎤 (mp3) sehr deutlich (hörenswert):

eigentlich müsste der Staat alle Schwachstellen schliessen, die er irgendwo finden kann.

Wenn man ein Code-Einsichtsrecht hat um Schwachstellen aufdecken zu können und dann werden die nicht systematisch geschlossen,…, man muss abwägen, wann ist die IT-Sicherheit aller wichtiger als vielleicht die Möglichkeit von Strafverfolgungsbehörden oder Geheimdiensten…

Klaus Landefeld im Interview

In der Corona-Pandemie stellen wir die Gesundheit aller über Freiheit des Individuums. In der IT stellen wir die Suche nach einem potenziell kriminellen Individuum über die Freiheit aller. Komisch.

Stellungnahme des eco.

Artikel des eco

Unfassbar.