{"id":1645458,"date":"2022-08-21T11:59:41","date_gmt":"2022-08-21T10:59:41","guid":{"rendered":"https:\/\/www.pressenza.com\/?p=1645458"},"modified":"2022-08-21T12:00:27","modified_gmt":"2022-08-21T11:00:27","slug":"cyberagenda-ohne-sicherheit-offensive-eingriffe-in-it-systeme-gefaehrden-immer-die-allgemeine-it-sicherheit","status":"publish","type":"post","link":"https:\/\/www.pressenza.com\/de\/2022\/08\/cyberagenda-ohne-sicherheit-offensive-eingriffe-in-it-systeme-gefaehrden-immer-die-allgemeine-it-sicherheit\/","title":{"rendered":"Cyberagenda ohne Sicherheit: Offensive Eingriffe in IT-Systeme gef\u00e4hrden immer die allgemeine IT-Sicherheit."},"content":{"rendered":"

Ein vertrauensvoller Diskurs erfordert begriffliche Klarheit, stattdessen wird mit unscharfen Begriffen eine sinnvolle Debatte verhindert. \u201eHackbacks\u201d, \u201eaktive Cyberabwehr\u201d, \u201eCyberverteidigung\u201d oder \u201eGefahrenabwehr\u201d, alles l\u00e4uft hinaus auf offensive Eingriffe in IT-Systeme: Diese Eingriffe operieren grunds\u00e4tzlich auf offenen Sicherheitsl\u00fccken und f\u00fchren somit zu struktureller Unsicherheit. Denn notwendigerweise werden daf\u00fcr staatliche Ressourcen darauf verwendet Sicherheitsl\u00fccken zu pflegen, anstatt diese zu schlie\u00dfen.<\/strong><\/p>\n

Damit schadet jegliche offensive Ausrichtung sogenannter Sicherheitsma\u00dfnahmen der Allgemeinheit. Gute Sicherheitsma\u00dfnahmen hingegen sind defensiv und m\u00fcssen darauf ausgerichtet sein, allgemein die technische Integrit\u00e4t aller IT-Systeme zu sch\u00fctzen.<\/p>\n

Bereits die Cybersicherheitsstrategie 2021 [1] wurde wegen einiger Vorst\u00f6\u00dfe hinsichtlich der Ausweitung der Kompetenzen der Sicherheitsbeh\u00f6rden stark kritisiert [2]. In einem von ca. 60 Verb\u00e4nden und Unternehmen und 80 Einzelpersonenen getragenen offenen Briefs wurde angemahnt die \u201eB\u00fcchse der Pandora“ offensiver IT-Eingriffe (\u201eeffektive Cyberabwehr“) geschlossen zu halten:<\/p>\n

\u201eWeiterhin fordert die Cybersicherheitsstrategie unter anderem Befugnisse zur Aktiven Cyberabwehr; eine Ma\u00dfnahme die so umstritten ist, dass sich sogar die aktuelle Bundesregierung selbst dagegen entschieden hat sie voranzutreiben<\/a> [3]. Es handelt sich hierbei nicht etwa um eine minimale Befugniserweiterung, sondern um ein Legislativvorhaben, welches sehr wahrscheinlich in einer Grundgesetz\u00e4nderung m\u00fcnden wird. Es ist damit definitiv ein Vorhaben, \u00fcber dessen Platz in einer Strategie eine neue Bundesregierung entscheiden sollte.“<\/p>\n

In der zuletzt vorgestellten Cybersicherheitsagenda schl\u00e4gt die neue Bundesregierung offenbar in die selbe alte Kerbe. In der Pressemitteilung vom 12.7.2022 wird Bundesinnenministerin Faeser zitiert mit den Worten: \u201eWir werden neue Befugnisse zur Gefahrenabwehr f\u00fcr die Sicherheitsbeh\u00f6rden schaffen. Dabei geht es auch um Ma\u00dfnahmen, die \u00fcber eine blo\u00dfe Aufkl\u00e4rung eines Angriffs hinausgehen. Wir m\u00fcssen auf IT-Infrastrukturen einwirken k\u00f6nnen, die f\u00fcr einen Angriff genutzt werden. So k\u00f6nnen die Sicherheitsbeh\u00f6rden schwerwiegende Cyberangriffe verhindern, stoppen oder zumindest abschw\u00e4chen“. Der beschriebene Eingriff in das System impliziert einen invasiven Eingriff, der ohne die Ausnutzung von Sicherheitsl\u00fccken schwer vorstellbar ist. Zugleich distanziert sich die Regierung durch die Zur\u00fcckweisung des Begriff Hackbacks als \u201ekonzeptionell grunds\u00e4tzlich nicht verwendet“ [4] von ihrem Koalitionsversprechen eines Verzichts auf Hackbacks. Dort hies es noch: \u201eHackbacks lehnen wir als Mittel der Cyberabwehr grunds\u00e4tzlich ab.\u201c [5]<\/p>\n

Die Verschleierung durch wechselnde Begrifflichkeiten erscheint wenig hilfreich f\u00fcr einen sinnvollen und vertrauensvollen politischen Diskurs. Vielmehr wirkt die Zur\u00fcckweisung des zuvor negierten Begriff \u201eHackbacks\u201d vor dem Hintergrund der Forderung invasiver Eingriffsbefugnisse irref\u00fchrend und schleierhaft. Hierbei m\u00f6chten wir verweisen auf die Stellungnahmen des LOAD e.V.<\/a> und der AG KRITIS<\/a> die dies ebenfalls kritisieren.<\/p>\n

Die Fokussierung von Ressourcen auf Gegenangriffe ist immanent verbunden mit einer strukturellen IT-Unsicherheit, da Angriffe auf IT-Systeme immer darauf angewiesen sind Sicherheitsl\u00fccken zu pflegen, die f\u00fcr die offensiven Zugriffe genutzt werden. Ressourcen flie\u00dfen schlimmstenfalls zu Beschaffung von Sicherheitsl\u00fccken auf illegalen Umschlagpl\u00e4tzen und somit der Finanzierung organisierter Kriminalit\u00e4t, bestenfalls werden gefundene Sicherheitsl\u00fccken lediglich nicht geschlossen. In jedem Fall werden dadurch Angriffspunkte f\u00fcr alle geschaffen und somit Kriminalit\u00e4t gef\u00f6rdert.<\/p>\n

Die Verwendung wechselnder unklarer Begrifflichkeiten steht einer vertrauensvollen Zusammenarbeit zwischen Staat, Wissenschaft, Wirtschaft und Zivilgesellschaft im Weg, die aber erkl\u00e4rtes Ziel der Cybersicherheitsstrategie (7.2 und 8.2.2) ist. Die Abw\u00e4gungen zwischen Interessen und Risiken sollten im Sinne einer vertrauensvollen Zusammenarbeit gesellschaftlich diskutiert und verhandelt werden.<\/p>\n

Wir rufen die Bundesregierung auf, die progressiven Punkte im Koalitionsvertrag, die auf eine kompromisslose vertrauensw\u00fcrdige IT hinarbeiten (Verschl\u00fcsselung, Bek\u00e4mpfung von Sicherheitsl\u00fccken) ernst zu nehmen, statt durch nebul\u00f6se Terminologien zu verw\u00e4ssern und hinter die Programme vorausgehender Regierungen zur\u00fcck zu fallen.<\/p>\n

\n

\u00dcber das FIfF<\/h3>\n

Das Forum InformatikerInnen f\u00fcr Frieden und gesellschaftliche Verantwortung (FIfF) e. V. ist ein deutschlandweiter Zusammenschluss von Menschen, die sich kritisch mit Auswirkungen des Einsatzes der Informatik und Informationstechnik auf die Gesellschaft auseinandersetzen. Unsere Mitglieder arbeiten \u00fcberwiegend in informatiknahen Berufen, vom IT-Systemelektroniker bis hin zur Professorin f\u00fcr Theoretische Informatik. Das FIfF wirkt in vielen technischen und nichttechnischen Bereichen der Gesellschaft auf einen gesellschaftlich reflektierten Einsatz von informationstechnischen Systemen zum Wohle der Gesellschaft hin. Zu unseren Aufgaben z\u00e4hlen wir \u00d6ffentlichkeitsarbeit sowie Beratung und das Erarbeiten fachlicher Studien. Zudem gibt das FIfF viertelj\u00e4hrlich die \u201eFifF-Kommunikation \u2013 Zeitschrift f\u00fcr Informatik und Gesellschaft\u201c heraus und arbeitet mit anderen Friedens- sowie B\u00fcrgerrechtsorganisationen zusammen. Hier finden sich unsere 10 Werte.<\/a><\/p>\n<\/div>\n

\n

Quellen<\/strong><\/em><\/p>\n