{"id":742,"date":"2014-05-23T12:07:03","date_gmt":"2014-05-23T12:07:03","guid":{"rendered":"http:\/\/skrobotz.de\/de-mail\/?p=742"},"modified":"2014-05-24T07:07:33","modified_gmt":"2014-05-24T07:07:33","slug":"it-sicherheit-im-bundestagsausschuss-digitale-agenda","status":"publish","type":"post","link":"https:\/\/skrobotz.de\/de-mail\/?p=742","title":{"rendered":"IT-Sicherheit im Bundestagsausschuss Digitale Agenda"},"content":{"rendered":"<p>Der erstmals in der 18. Legislaturperiode eingerichtete <a title=\"zeit.de (Patrick Beuth) | Ausschuss Digitale Agenda \u2013 Wo Netzpolitiker von Augenh\u00f6he tr\u00e4umen (13. Februar 2014)\" href=\"http:\/\/www.zeit.de\/digital\/internet\/2014-02\/ada-ausschuss-digitale-agenda-ausblick\">Bundestagsausschuss Digitale Agenda<\/a> befasste sich am 7. Mai 2014 in einer Expertenanh\u00f6rung mit dem Thema &#8222;IT-Sicherheit&#8220; (<a title=\"Golem.de | IT-Anh\u00f6rung im Bundestag: &quot;Sichere Kommunikation gegen starke Angreifer unm\u00f6glich&quot; (8. Mai 2014)\" href=\"http:\/\/www.golem.de\/news\/it-anhoerung-im-bundestag-sichere-kommunikation-gegen-starke-angreifer-unmoeglich-1405-106321.html\">Bericht bei Golem<\/a>.) Geladen waren neben<\/p>\n<ul>\n<li>dem <a title=\"Bundesamt f\u00fcr Sicherheit in der informationstechnik \u2013 Das BSI\" href=\"https:\/\/www.bsi.bund.de\/DE\/DasBSI\/dasbsi_node.html\">Pr\u00e4sidenten des BSI Michael Hange <\/a><\/li>\n<\/ul>\n<p>f\u00fcnf Sachverst\u00e4ndige, namentlich<\/p>\n<ul>\n<li><a title=\"FAZ.net | Sandro Gaycken zur IT-Hochsicherheit (14. November 2013)\" href=\"http:\/\/www.faz.net\/aktuell\/feuilleton\/debatten\/ueberwachung\/sandro-gaycken-zur-it-hochsicherheit-werft-eure-computer-weg-12662971.html\">Sandro Gaycken<\/a>, Mitglied der <a title=\"Freie Universit\u00e4t Berlin | Secure Identity Research Group  \u2013 Sandro Gaycken\" href=\"http:\/\/www.inf.fu-berlin.de\/groups\/ag-si\/Sandro.html\">Computersicherheits-Forschungsgruppe der FU Berlin<\/a>,<\/li>\n<li>Rechtsanwalt Prof. <a title=\"H\u00e4rting Rechtsanw\u00e4lte | Prof. Niko H\u00e4rting\" href=\"http:\/\/www.haerting.de\/de\/team\/niko-harting\">Niko H\u00e4rting<\/a>,<\/li>\n<li>Sicherheitsberater <a title=\"IT-Sicherheitsberatung Pascal Kurschildgen\" href=\"http:\/\/kurschildgen.com\/\">Pascal Kurschildgen<\/a>,<\/li>\n<li><a title=\"linus-neumann.de\" href=\"http:\/\/www.linus-neumann.de\/\">Linus Neumann<\/a> f\u00fcr den <a title=\"Chaos Computer Club | Stellungnahme des CCC zu Fragen der IT-Sicherheit in der Post-Snowden-\u00c4ra (6. Mai 2014)\" href=\"http:\/\/www.ccc.de\/de\/updates\/2014\/digitaleagenda\">CCC<\/a> und<\/li>\n<li>IT-Sicherheitsexperte <a title=\"Modzero AG | about (Thorsten Schr\u00f6der)\" href=\"http:\/\/www.modzero.ch\/de\/about.html\">Thorsten Schr\u00f6der der Fa. modzero<\/a>.<\/li>\n<\/ul>\n<p>Mit insgesamt elf Fragen suchte der Ausschuss den Stand der IT-Sicherheit in der \u00c4ra nach Snowden zu bestimmen. Ihm ist &#8222;die Verletzlichkeit der digitalen Infrastrukturen&#8220; bewusst und die M\u00f6glichkeit einer\u00a0&#8222;sicheren Kommunikation \u00fcber die bestehenden Infrastrukturen&#8220; wichtig. Er <a title=\"Deutscher Bundestag | Ausschuss Digitale Agenda \u2013 Anh\u00f6rung am 7. Mai 2014\" href=\"http:\/\/www.bundestag.de\/bundestag\/ausschuesse18\/a23\/anhoerungen\/fachgespraech_07052014_ordner\">fragt<\/a> nach den\u00a0&#8222;Angriffsm\u00f6glichkeiten und Kompromittierungen&#8220; der Technik wie nach den &#8222;Ma\u00dfnahmen (auch gesetzgeberische)&#8220;, die ergriffen werden m\u00fcssten, &#8222;um den Grundrechtsschutz und die Vertraulichkeit der Kommunikation wieder sicherzustellen&#8220;. Ebenfalls wichtig sind ihm die &#8222;Abwehrm\u00f6glichkeiten (Hard- und Software)&#8220;, die &#8222;privaten Nutzerinnen und Nutzern, Unternehmen, Beh\u00f6rden und Verfassungsorganen&#8220; zur Verf\u00fcgung stehen, und danach, wie sie verpflichtend werden k\u00f6nnen. In dem etwas zu breiten Themenfeld kommen noch der <a title=\"xkcd | Heartbleed\" href=\"http:\/\/www.xkcd.com\/1354\/\">Heartbleed-Bug<\/a> und der <a title=\"heise.de | WhatsApp und Facebook: Oh, der Datenschutz (20. Februar 2014)\" href=\"http:\/\/heise.de\/-2119431\">Datenschutz bei WhatsApp<\/a> zur Sprache.<\/p>\n<p><!--more--><\/p>\n<p><span style=\"font-size: medium;\">Ebenso aber auch De-Mail und die &#8222;Deutschland-Mail&#8220;. Frage Nr. 4 lautete:<\/span><\/p>\n<blockquote>\n<p align=\"LEFT\">4. Inwieweit kann die Sicherheit bei der Nutzung von Kommunikationsdiensten wie De-Mail, E-Mail und anderen Messaging-Diensten weiter erh\u00f6ht werden? Wie werden die bisherigen gesetzlichen Grundlagen hierzu eingesch\u00e4tzt? Welchen Beitrag k\u00f6nnen \u00f6ffentliche Stellen (z. B. Bundesdruckerei, Bundesamt f\u00fcr die Sicherheit in der Informationstechnik) leisten, wenn diese Zertifikate zur Verschl\u00fcsselung zur Verf\u00fcgung stellen w\u00fcrden?<\/p>\n<\/blockquote>\n<p><span style=\"font-size: medium;\">Und Frage Nr. 7:<\/span><\/p>\n<blockquote>\n<p align=\"LEFT\">7. Welchen Beitrag k\u00f6nnen Vorschl\u00e4ge wie Deutschland-Mail oder Schengen-Routing tats\u00e4chlich leisten und m\u00fcsste nicht die zentrale Ma\u00dfnahme sein, schnell vertrauensw\u00fcrdige und wirksame Ende-zu-Ende-Verschl\u00fcsselungen durchzusetzen? Welche Ma\u00dfnahmen m\u00fcssen ergriffen werden, um hierf\u00fcr die jeweiligen Systemumgebungen abzusichern und zugleich die Handhabbarkeit zu erleichtern? Inwieweit sollten Telekommunikationsanbieter zu einer Transportverschl\u00fcsselung verpflichtet werden?<\/p>\n<\/blockquote>\n<p align=\"LEFT\">Das <strong>BSI<\/strong> antwortet vorhersagbar. Es hat seinem Pr\u00e4sidenten wiederum das aufgeschrieben, was augenscheinlich schon der <a title=\"Bundestags-Drucksache 17\/4145 vom 8. Dezember 2010, S. 9\" href=\"http:\/\/dipbt.bundestag.de\/dip21\/btd\/17\/041\/1704145.pdf\">Antwort der Bundesregierung<\/a> auf die Forderungen des Bundesrates nach einer verpflichtenden Ende-zu-Ende-Verschl\u00fcsselung zugrundelag: Wer wolle, k\u00f6nne durchgehend verschl\u00fcsseln und zum Verteilen seiner Schl\u00fcsel den Verzeichnisdienst nutzen. Im \u00dcbrigen w\u00fcrden die nicht verschl\u00fcsselten E-Mails auch bei &#8222;<a title=\"De-Mail-News | \u201cE-Mail made in Germany\u201d Teil III (20. Mai 2014)\" href=\"http:\/\/skrobotz.de\/de-mail\/?p=738\">E-Mail made in Germany<\/a>&#8220; nur <a title=\"De-Mail-News | Definierte \u201cSicherheit\u201d: Netz verlacht Gesetzgeber (19. M\u00e4rz 2013)\" href=\"http:\/\/skrobotz.de\/de-mail\/?p=390\">&#8222;kurzzeitig&#8220;<\/a> entschl\u00fcsselt und <a title=\"De-Mail-News | Security Theater (3. Juni 2013)\" href=\"http:\/\/skrobotz.de\/de-mail\/?p=464\">lediglich<\/a> auf <a title=\"Bundestags-Drucksache 17\/3630 vom 8. November 2010 S. 27 und 33\" href=\"http:\/\/dipbt.bundestag.de\/dip21\/btd\/17\/036\/1703630.pdf\">Schadsoftware<\/a> untersucht; das diene dem Schutz auch des einzelnen Nutzers.<\/p>\n<p align=\"LEFT\">In die gleiche Richtung zielen insoweit letztlich die Ausf\u00fchrungen von <strong>Sandro Gaycken<\/strong>. Er beginnt seinen insgesamt lesenswerten Beitrag mit der <a title=\"De-Mail-News | Definierte \u201cSicherheit\u201d: Netz verlacht Gesetzgeber (19. M\u00e4rz 2013)\" href=\"http:\/\/skrobotz.de\/de-mail\/?p=390\">zutreffenden<\/a> Feststellung &#8222;Sicherheit ist relativ&#8220; und analysiert dann die Risikoeinsch\u00e4tzungen\u00a0gestern und heute mitsamt ihren Grundlagen. Er stellt nachvollziehbar unsere Abh\u00e4ngigkeit von hoch komplexen, kaum noch sinnvoll zu sichernden Computersystemen dar. Diese seien professionellen Angriffen wie denen von Geheimdiensten bei weitem nicht mehr gewachsen. Gegen die relativ simple Massen\u00fcberwachung des Gro\u00dfteils unserer Kommunikation gen\u00fcgten dagegen ebenso simple Methoden wie der Einsatz beispielsweise von <a title=\"De-Mail-News | \u201cE-Mail made in Germany\u201d Teil III (20. Mai 2014)\" href=\"http:\/\/skrobotz.de\/de-mail\/?p=738\">Transportverschl\u00fcsselung<\/a> und das &#8222;<a title=\"De-Mail-News | \u201cE-Mail Made in Germany\u201d Teil II: #schlandnetz (12. November 2013)\" href=\"http:\/\/skrobotz.de\/de-mail\/?p=630\">Schengen-Routing<\/a>&#8222;.<\/p>\n<p align=\"LEFT\"><strong>Niko H\u00e4rting<\/strong> zeigt sich verhalten skeptisch. Angesichts des Scheiterns der elektronischen Signatur sollte<\/p>\n<blockquote><p>die Entwicklung und Verbreitung der De-Mail [&#8230;] abgewartet werden, bevor neue Systeme der Verschl\u00fcsselung und Zertifizierung entwickelt und regulatorisch verankert werden.<\/p><\/blockquote>\n<p>Stattdessen sollten die Beh\u00f6rden mit gutem Beispiel vorangehen und E-Mails verschl\u00fcsseln. Die &#8222;Deutschland-Mail&#8220; und das &#8222;Schengen-Routing&#8220;  (<a href=\"http:\/\/skrobotz.de\/de-mail\/?p=630\">&#8222;Schlandnetz&#8220;<\/a>) seien geschlossene Systeme, die einerseits &#8222;ausl\u00e4ndischen Beh\u00f6rden einen Zugriff erschweren k\u00f6nnten&#8220;, andererseits aber &#8222;den Zugriff durch inl\u00e4ndische Stellen zugleich erleichtern, sofern keine Ende-zu-Ende-Verschl\u00fcsselung erfolgt.&#8220; Eine gew\u00fcnschte wirtschaftspolitische F\u00f6rderung inl\u00e4ndischer Anbieter sollte dagegen offen kommuniziert werden.<\/p>\n<p><strong>Pascal Kurschildgen<\/strong> betont die Notwendigkeit einer verbindlichen Ende zu Ende verschl\u00fcselten Kommunikation. Die geltenden Gesetze unterst\u00fctzen dies nicht gen\u00fcgend. Eine dahingehende Initiative der Datensch\u00fctzer sei daher zu begr\u00fc\u00dfen, weniger die dahinter zur\u00fcckbleibenden\u00a0Initiativen &#8222;Deutschland-Mail&#8220; und &#8222;Schengen-Routing&#8220;. Es best\u00fcnden ausreichende technische Mittel.<\/p>\n<p><strong>Linus Neumann<\/strong> wiederholte in seiner <a title=\"Chaos Computer Club | Effektive IT-Sicherheit f\u00f6rdern (6. Mai 2014)\" href=\"http:\/\/ccc.de\/system\/uploads\/149\/original\/StellungnahmeDigitaleAgenda.pdf\">Stellungnahme f\u00fcr den CCC<\/a> seine <a title=\"De-Mail-News | \u201cBullshit made in Germany\u201d (2. Januar 2014)\" href=\"http:\/\/skrobotz.de\/de-mail\/?p=678\">deutliche Kritik<\/a> an der De-Mail, und vertieft diese. Anstelle einer zentralen, unverschl\u00fcsselten L\u00f6sung, die zu einem Angriff auf diese verletzlichen Punkte gerader zu einl\u00e4dt, sei ein dezentrales Sicherheitssystem mit Ende-zu-Ende-Verschl\u00fcsselung zu fordern. Genau deshalb seien auch die &#8222;Deutschland-Mail&#8220; und das &#8222;Schengen-Routing&#8220; abzulehnen, die statt auf dezentrale, offene Standards auf eine zentrale L\u00f6sung mit f\u00fcr Angreifer attraktive &#8222;Datensilos&#8220; bauen. Die Technik sei vorhanden, w\u00fcrde nur nicht standardm\u00e4\u00dfig eingeschaltet. Erforderlich und m\u00f6glich sei eine &#8222;Null-Klick-L\u00f6sung&#8220;, die keine Interaktion des Nutzers fordere.<\/p>\n<p>Gerade dieser letzten Einsch\u00e4tzung widersprach dagegen <strong>Thorsten Schr\u00f6der<\/strong>. F\u00fcr ihn bedeutet die Nutzung der gegebenen Verschl\u00fcsselungs-Systeme &#8222;gr\u00f6\u00dfere Umst\u00e4nde, einen geringeren Komfort&#8220;. Sie fordere &#8222;vor allem viel technisches Wissen&#8220;. Nicht zuletzt m\u00fcssten die Warnungen des Systems verstanden und befolgt werden, was nicht selbstverst\u00e4ndlich sei. Ein wesentlicher Sicherheitsgewinn sei im \u00dcbrigen dadurch zu erreichen, dass der Staat auf die massenhafte anlasslose Datensammlung mittels Voratsdatenspeicherung verzichtet. Die &#8222;Deutschland-Mail&#8220; dagegen k\u00f6nne &#8222;keinen sinnvollen Beitrag zur Erh\u00f6hung der IT-Sicherheit bieten&#8220;.<\/p>\n<p><strong>Deutscher Bundestag<\/strong>, Ausschuss Digitale Agenda,\u00a0\u00d6ffentliches Fachgespr\u00e4ch zur IT-Sicherheit, <a title=\"Bundestagsausschuss Digitale Agenda, Anh\u00f6rung vom 7. Mai 104\" href=\"http:\/\/bundestag.de\/bundestag\/ausschuesse18\/a23\/anhoerungen\/fachgespraech_07052014_ordner\">7. Mai 2014<\/a>.<\/p>\n<p>&nbsp;<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Der erstmals in der 18. Legislaturperiode eingerichtete Bundestagsausschuss Digitale Agenda befasste sich am 7. Mai 2014 in einer Expertenanh\u00f6rung mit dem Thema &#8222;IT-Sicherheit&#8220; (Bericht bei Golem.) Geladen waren neben dem Pr\u00e4sidenten des BSI Michael Hange f\u00fcnf Sachverst\u00e4ndige, namentlich Sandro Gaycken, &hellip; <a href=\"https:\/\/skrobotz.de\/de-mail\/?p=742\">Weiterlesen <span class=\"meta-nav\">&rarr;<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1],"tags":[],"_links":{"self":[{"href":"https:\/\/skrobotz.de\/de-mail\/index.php?rest_route=\/wp\/v2\/posts\/742"}],"collection":[{"href":"https:\/\/skrobotz.de\/de-mail\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/skrobotz.de\/de-mail\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/skrobotz.de\/de-mail\/index.php?rest_route=\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/skrobotz.de\/de-mail\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=742"}],"version-history":[{"count":6,"href":"https:\/\/skrobotz.de\/de-mail\/index.php?rest_route=\/wp\/v2\/posts\/742\/revisions"}],"predecessor-version":[{"id":755,"href":"https:\/\/skrobotz.de\/de-mail\/index.php?rest_route=\/wp\/v2\/posts\/742\/revisions\/755"}],"wp:attachment":[{"href":"https:\/\/skrobotz.de\/de-mail\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=742"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/skrobotz.de\/de-mail\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=742"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/skrobotz.de\/de-mail\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=742"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}