IT-Sicherheit im Bundestagsausschuss Digitale Agenda

Veröffentlicht am von

Der erstmals in der 18. Legislaturperiode eingerichtete Bundestagsausschuss Digitale Agenda befasste sich am 7. Mai 2014 in einer Expertenanhörung mit dem Thema „IT-Sicherheit“ (Bericht bei Golem.) Geladen waren neben

fünf Sachverständige, namentlich

Mit insgesamt elf Fragen suchte der Ausschuss den Stand der IT-Sicherheit in der Ära nach Snowden zu bestimmen. Ihm ist „die Verletzlichkeit der digitalen Infrastrukturen“ bewusst und die Möglichkeit einer „sicheren Kommunikation über die bestehenden Infrastrukturen“ wichtig. Er fragt nach den „Angriffsmöglichkeiten und Kompromittierungen“ der Technik wie nach den „Maßnahmen (auch gesetzgeberische)“, die ergriffen werden müssten, „um den Grundrechtsschutz und die Vertraulichkeit der Kommunikation wieder sicherzustellen“. Ebenfalls wichtig sind ihm die „Abwehrmöglichkeiten (Hard- und Software)“, die „privaten Nutzerinnen und Nutzern, Unternehmen, Behörden und Verfassungsorganen“ zur Verfügung stehen, und danach, wie sie verpflichtend werden können. In dem etwas zu breiten Themenfeld kommen noch der Heartbleed-Bug und der Datenschutz bei WhatsApp zur Sprache.

Ebenso aber auch De-Mail und die „Deutschland-Mail“. Frage Nr. 4 lautete:

4. Inwieweit kann die Sicherheit bei der Nutzung von Kommunikationsdiensten wie De-Mail, E-Mail und anderen Messaging-Diensten weiter erhöht werden? Wie werden die bisherigen gesetzlichen Grundlagen hierzu eingeschätzt? Welchen Beitrag können öffentliche Stellen (z. B. Bundesdruckerei, Bundesamt für die Sicherheit in der Informationstechnik) leisten, wenn diese Zertifikate zur Verschlüsselung zur Verfügung stellen würden?

Und Frage Nr. 7:

7. Welchen Beitrag können Vorschläge wie Deutschland-Mail oder Schengen-Routing tatsächlich leisten und müsste nicht die zentrale Maßnahme sein, schnell vertrauenswürdige und wirksame Ende-zu-Ende-Verschlüsselungen durchzusetzen? Welche Maßnahmen müssen ergriffen werden, um hierfür die jeweiligen Systemumgebungen abzusichern und zugleich die Handhabbarkeit zu erleichtern? Inwieweit sollten Telekommunikationsanbieter zu einer Transportverschlüsselung verpflichtet werden?

Das BSI antwortet vorhersagbar. Es hat seinem Präsidenten wiederum das aufgeschrieben, was augenscheinlich schon der Antwort der Bundesregierung auf die Forderungen des Bundesrates nach einer verpflichtenden Ende-zu-Ende-Verschlüsselung zugrundelag: Wer wolle, könne durchgehend verschlüsseln und zum Verteilen seiner Schlüsel den Verzeichnisdienst nutzen. Im Übrigen würden die nicht verschlüsselten E-Mails auch bei „E-Mail made in Germany“ nur „kurzzeitig“ entschlüsselt und lediglich auf Schadsoftware untersucht; das diene dem Schutz auch des einzelnen Nutzers.

In die gleiche Richtung zielen insoweit letztlich die Ausführungen von Sandro Gaycken. Er beginnt seinen insgesamt lesenswerten Beitrag mit der zutreffenden Feststellung „Sicherheit ist relativ“ und analysiert dann die Risikoeinschätzungen gestern und heute mitsamt ihren Grundlagen. Er stellt nachvollziehbar unsere Abhängigkeit von hoch komplexen, kaum noch sinnvoll zu sichernden Computersystemen dar. Diese seien professionellen Angriffen wie denen von Geheimdiensten bei weitem nicht mehr gewachsen. Gegen die relativ simple Massenüberwachung des Großteils unserer Kommunikation genügten dagegen ebenso simple Methoden wie der Einsatz beispielsweise von Transportverschlüsselung und das „Schengen-Routing„.

Niko Härting zeigt sich verhalten skeptisch. Angesichts des Scheiterns der elektronischen Signatur sollte

die Entwicklung und Verbreitung der De-Mail […] abgewartet werden, bevor neue Systeme der Verschlüsselung und Zertifizierung entwickelt und regulatorisch verankert werden.

Stattdessen sollten die Behörden mit gutem Beispiel vorangehen und E-Mails verschlüsseln. Die „Deutschland-Mail“ und das „Schengen-Routing“ („Schlandnetz“) seien geschlossene Systeme, die einerseits „ausländischen Behörden einen Zugriff erschweren könnten“, andererseits aber „den Zugriff durch inländische Stellen zugleich erleichtern, sofern keine Ende-zu-Ende-Verschlüsselung erfolgt.“ Eine gewünschte wirtschaftspolitische Förderung inländischer Anbieter sollte dagegen offen kommuniziert werden.

Pascal Kurschildgen betont die Notwendigkeit einer verbindlichen Ende zu Ende verschlüselten Kommunikation. Die geltenden Gesetze unterstützen dies nicht genügend. Eine dahingehende Initiative der Datenschützer sei daher zu begrüßen, weniger die dahinter zurückbleibenden Initiativen „Deutschland-Mail“ und „Schengen-Routing“. Es bestünden ausreichende technische Mittel.

Linus Neumann wiederholte in seiner Stellungnahme für den CCC seine deutliche Kritik an der De-Mail, und vertieft diese. Anstelle einer zentralen, unverschlüsselten Lösung, die zu einem Angriff auf diese verletzlichen Punkte gerader zu einlädt, sei ein dezentrales Sicherheitssystem mit Ende-zu-Ende-Verschlüsselung zu fordern. Genau deshalb seien auch die „Deutschland-Mail“ und das „Schengen-Routing“ abzulehnen, die statt auf dezentrale, offene Standards auf eine zentrale Lösung mit für Angreifer attraktive „Datensilos“ bauen. Die Technik sei vorhanden, würde nur nicht standardmäßig eingeschaltet. Erforderlich und möglich sei eine „Null-Klick-Lösung“, die keine Interaktion des Nutzers fordere.

Gerade dieser letzten Einschätzung widersprach dagegen Thorsten Schröder. Für ihn bedeutet die Nutzung der gegebenen Verschlüsselungs-Systeme „größere Umstände, einen geringeren Komfort“. Sie fordere „vor allem viel technisches Wissen“. Nicht zuletzt müssten die Warnungen des Systems verstanden und befolgt werden, was nicht selbstverständlich sei. Ein wesentlicher Sicherheitsgewinn sei im Übrigen dadurch zu erreichen, dass der Staat auf die massenhafte anlasslose Datensammlung mittels Voratsdatenspeicherung verzichtet. Die „Deutschland-Mail“ dagegen könne „keinen sinnvollen Beitrag zur Erhöhung der IT-Sicherheit bieten“.

Deutscher Bundestag, Ausschuss Digitale Agenda, Öffentliches Fachgespräch zur IT-Sicherheit, 7. Mai 2014.