- Anzeigen -


Sie sind hier: Home » Markt » Nachrichten

Warnungen vor IT-Sicherheitslücken


Einsatz von Schadsoftware (sog. Bundestrojaner) und Zurückhaltung und Ausnutzung von Sicherheitslücken durch Bundesbehörden
Bundesamt für Sicherheit in der Informationstechnik (BSI) regelmäßig Erkenntnisse zu Sicherheitslücken

- Anzeigen -





Öffentliche Warnungen vor Sicherheitslücken in informationstechnischen Systemen sind ein Thema der Antwort der Bundesregierung (18/13566) auf eine Kleine Anfrage der Fraktion Bündnis 90/Die Grünen (18/13413). Darin erkundigten sich die Abgeordneten unter anderem danach, ob die Bundesregierung die Auffassung teilt, "dass die Zurückhaltung beziehungsweise fehlende staatliche Meldung jeglicher Formen von Sicherheitslücken an Hersteller wie Bürgerinnen und Bürger im konkreten Fall nicht nur Gefahren für Einzelpersonen, sondern für die kritischen Infrastrukturen der Bundesrepublik Deutschland insgesamt nach sich ziehen können".

Wie die Bundesregierung dazu ausführt, können Schwachstellen beziehungsweise Sicherheitslücken in informationstechnischen Systemen Risiken für IT-Infrastrukturen und Bürger darstellen, sofern sie "Personen oder Stellen bekannt werden, die eine Ausnutzung der Schwachstellen zu rechtswidrigen Zwecken beabsichtigen".

Daher diskutiere das Bundesamt für Sicherheit in der Informationstechnik (BSI) regelmäßig Erkenntnisse zu Sicherheitslücken, die etwa öffentlich bekannt sind oder auf eigenen Analysen beruhen, mit den betroffenen Herstellern, damit diese die Sicherheitslücken kurzfristig schließen können. Falls sich aus Sicherheitslücken eine Gefährdung für Bürger, Unternehmen oder Verwaltungseinrichtungen ergibt, spricht das BSI darüber hinaus den Angaben zufolge zielgruppenspezifische oder öffentliche Warnungen aus.

Vorbemerkung der Fragesteller
Seit der Änderung des Bundeskriminalamtgesetzes (BKAG) im April 2017 hat das BKA in § 49 BKAG die Ermächtigung zum präventiv-polizeilichen Einsatz von sog. Staatstrojanern erhalten. Dabei wurde in § 49 BKAG u. a. verfahrensrechtlich nicht sichergestellt, "dass die vom BKA einzusetzende Überwachungs-Software Mindestanforderungen an die Datensicherheit erfüllen" (Buermeyer, Stellungnahme für die Öffentliche Anhörung zum Gesetzentwurf zur Neustrukturierung des BKAG, Ausschussdrucksache 18(4)806 E).

Die Rechtsgrundlage für den Einsatz der Staatstrojaner führt zu einem Interesse der Sicherheitsbehörden, Sicherheitslücken offen zu halten, um Systeme von Zielpersonen infiltrieren zu können und nicht im Sinne der Cybersicherheit und des Schutzes aller Bürgerinnen und Bürger an die zuständigen Behörden und die Betroffenen zu melden, damit diese geschlossen werden. Das Gesetz tritt am 25. Mai 2018 in Kraft. Bezüglich der Frage, ob die vom BKA entwickelten Trojaner sowie die zusätzlich erworbenen, kommerziellen Trojanerprodukte verfassungskonform eingesetzt werden können, bestehen aus Sicht der Fragesteller weiterhin erhebliche Zweifel. Die Rechtmäßigkeit des Einsatzes und die Verfassungskonformität des Programms wären u. a. nur über die vollständige Offenlegung des Quellcodes nachzuweisen.

Dass die Schadsoftware wie im Falle der sog. Quellen-Telekommunikationsüberwachung (Quellen-TKÜ) ausschließlich auf Kommunikationsvorgänge beschränkt werden kann, halten Experten jedoch für kaum möglich (vgl. https://netzpolitik.org/2017/staatstrojaner-bundestagbeschliesst-diese-woche-das-krasseste-ueberwachungsgesetz-der-legislaturperiode/). Durch die Schaffung neuer Rechtsgrundlagen in der Strafprozessordnung (StPO) zum Einsatz von Trojanern in der Strafverfolgung verschärft sich die Problematik der vom BKA entwickelten Software. Es besteht die Möglichkeit, dass die Software massenhaft in der Strafverfolgung eingesetzt werden wird und sich die Risiken sowohl für die Rechte der Bürgerinnen und Bürger als auch für die IT-Sicherheit dadurch potenzieren.

Zudem wurden jüngst Berichte darüber öffentlich, dass das BKA jedoch nicht einmal die passende Überwachungssoftware besitze, um die als geringfügigerer Eingriff geltende, sog. Quellen-TKÜ durchführen zu können. So funktioniere der neue Bundestrojaner nach Informationen der "taz" nur auf Computern mit den Betriebssystemen Windows 7 und Windows 8. An einer Version für Windows 10 werde gearbeitet. Noch gar keine Lösung gibt es angeblich für die gängigen Betriebssysteme von Smartphones – wo eigentlich der Hauptbedarf bestehe (taz vom 20. Januar 2017, www.taz.de/!5373564/).
Deutsche Bundesregierung: ra)

eingetragen: 06.09.17
Home & Newsletterlauf: 17.10.17


- Anzeigen -





Kostenloser IT SecCity-Newsletter
Ihr IT SecCity-Newsletter hier >>>>>>

- Anzeigen -


Meldungen: Nachrichten

  • Pro und Contra Staatstrojaner

    Die Koalitionsfraktionen wollen einen Gesetzentwurf der Bundesregierung "zur Änderung des Strafgesetzbuches, des Jugendgerichtsgesetzes, der Strafprozessordnung und weiterer Gesetze" (18/11272), in dem es unter anderem um die Zulassung von Fahrverboten als Ergänzungsstrafe geht, um ein brisantes Kapitel erweitern. Es sollen nämlich sogenannte Staatstrojaner zugelassen werden, Programme, die unbemerkt Computer und Mobiltelefone von Verdächtigen ausspähen können. Der Änderungsantrag, den die Koalitionsfraktionen zu diesem Zweck eingebracht haben, war nun Gegenstand einer öffentlichen Anhörung des Rechtsausschusses, nachdem am 22. März bereits eine Anhörung zum ursprünglichen Gesetzentwurf stattgefunden hatte.

  • Bericht der Datenschutzbeauftragten

    Die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI), Andrea Voßhoff, wirbt für spezifische nationale Regelungen zum Beschäftigtendatenschutz. In ihrem als Unterrichtung (18/12500) vorliegenden Tätigkeitsbericht 2015 und 2016 empfiehlt sie, ,,zeitnah" von der in der europäischen Datenschutzgrundverordnung (DSGVO) eingeräumten Möglichkeit Gebrauch zu machen, solche Regelungen zu erlassen. Zugleich appelliert Voßhoff an den Gesetzgeber, die nach der DSGVO von Mitgliedsstaaten mit mehr als einer Datenschutzaufsicht einzurichtende zentrale Anlaufstelle so auszustatten, "dass eine Koordinierung der nationalen Mitwirkungsmöglichkeiten im künftigen europäischen Datenschutzausschuss effizient und wirkungsvoll möglich ist". Daneben regt sie eine Prüfung an, bei Regelungen zur Datenverarbeitung besondere Vorschriften zum Schutz von Kindern zu ergreifen.

  • Schadsoftware über Online-Werbung

    Die "Verbreitung von Schadsoftware über Online-Werbung (Malvertising)" ist Thema der Antwort der Bundesregierung (18/12677) auf eine Kleine Anfrage der Fraktion Die Linke (18/12392). Darin verwies die Fraktion darauf, dass für den Markt für Onlinewerbung die zentrale Rolle von Agenturen charakteristisch sei, "die zwischen den Werbenden und den Webangeboten, auf denen Werbung geschaltet wird, vermitteln und dafür eigene Infrastruktur einsetzen". In Folge dessen sei es im Regelfall für die Betreiber einer Webseite "nicht mehr im Einzelnen nachvollziehbar oder steuerbar, wer dort Werbung betreibt". Dieser Umstand werde bereits seit einiger Zeit zur Verbreitung von Schadsoftware ("Malware") ausgenutzt. Diese Methode werde auch als "Malvertising" bezeichnet.

  • Erarbeitung von Sicherheitskonzepten

    Im Rahmen des 15. Deutschen IT-Sicherheitskongresses hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) den neuen Leitfaden zur IT-Grundschutz-Vorgehensweise "Basis-Absicherung" vorgestellt. Der "Leitfaden zur Basis-Absicherung nach IT-Grundschutz: In 3 Schritten zur Informationssicherheit" richtet sich an kleine und mittlere Unternehmen (KMU) sowie kleinere Behörden und liefert einen kompakten und übersichtlichen Einstieg zum Aufbau eines Informationssicherheitsmanagementsystems (ISMS). Der Leitfaden basiert auf dem BSI-Standard 200-2 zur IT-Grundschutz-Methodik und erläutert elementare Schritte zur Überprüfung und Steigerung des Informationssicherheitsniveaus.

  • Neustrukturierung des BKA-Gesetzes

    Der Innenausschuss hat den Weg für die Verabschiedung der von der Regierungskoalition angestrebten "Neustrukturierung des Bundeskriminalamtgesetzes" (18/11163, 18/11326) frei gemacht. Gegen die Stimmen der Oppositionsfraktionen Die Linke und Bündnis 90/Die Grünen verabschiedete das Parlament die Gesetzesvorlage. Mit der Neuregelung, die auch die Einführung der "elektronischen Fußfessel" für sogenannte Gefährder vorsieht, soll zugleich ein Urteil des Bundesverfassungsgerichts (Az. 1 BvR 966/09 und 1 BvR 1140/09) sowie eine EU-Richtlinie zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten vom April vergangenen Jahres umgesetzt werden.