INHALTLICHER ÜBERBAU

Aktueller Anlass

National / International: Sicherheits-Angriffe auf kritische Infrastrukturen & Datendiebstähle (auch durch Geheimdienste)

• Immer wieder Nachrichten von Angriffen aus dem Netz auf kritische Infrastrukturen & Datendiebstählen, z.B.:

• • Wahrscheinlicher "Gemalto-Hack" und Klau von Kryptoschlüsseln für SIM-Karten durch NSA und GCHQ: Laut NSA-Dokumenten aus dem Snowden-Fundus haben NSA & GCHQ (in gemeinsamer Einheit namens Mobile Handset Exploitation Team (MHET)) beim Hersteller von SIM-Cards und Smart Cards Gemalto (Sitz: Amsterdam, Niederlande) Kryptoschlüssel für SIM-Karten gestohlen. SIM-Karten und Schlüssel sind Fundament der mobilen Kommunikation. Vgl. Bericht auf "The Intercept" vom Februar 2015 (https://firstlook.org/theintercept/2015/02/19/great-sim-heist/)en.

• • Stuxnet / iranisches Atomkraftwerk: Stuxnet ist ein Computerwurm, der ein Siemenssystem angreift, das unter anderem zu Steuerung von Frequenzumrichtern eingesetzt wird. Frequenzumrichter dienen beispielsweise dazu, die Geschwindigkeit von Motoren zu steuern. Solche Steuerungen werden vielfach in Industrieanlagen wie Wasserwerken, Klimatechnik, Pipelines usw. eingesetzt. Da bis Ende September 2010 der Iran den größten Anteil der infizierten Computer stellte und es zu außerplanmäßigen Störungen im iranischen Atomprogramm kam, wird vermutet, dass Stuxnet entstand, um die Leittechnik der Urananreicherungsanlage in Natanz oder des Kernkraftwerks Buschehr zu stören. Die Autoren und Auftraggeber sind bisher unbekannt. (vgl. https://de.wikipedia.org/wiki/Stuxnet)

Europa: EU-Richtlinie Strategie Cyberkriminalität

• EU-Richtlinie Strategie Cyberkriminalität: Am 7. Februar 2013 hat Neelie Kroes einen Entwurf für eine "EU Richtlinie Strategie Cyberkriminalität" vorgelegt (EU Cyber Security - Strategy of the European Commission; http://europa.eu/rapid/press-release_IP-13-94_de.htm; vgl. https://netzpolitik.org/2013/cyberstrategie-der-eu-gemeinsame-cyberverteidigungspolitik-und-meldepflicht-fur-grose-sicherheitsvorfalle/). Weiterin involviert: EU-Kommissarin für Innenpolitik Cecilia Malmström und Hohe Vertreterin der EU für Außen- und Sicherheitspolitik Catherine Ashton. Ziele: Bekämpfung von Cyberkriminalität, Entwicklung einer Cyberverteidigungspolitik in Zusammenhang mit der Gemeinsamen Sicherheits- und Verteidigungspolitik

• NIS-Richtlinie: 2013 wurde weiterhin auf EU-Ebene die NIS-Richtlinie (EU-Richtlinie über Maßnahmen zur Gewährleistung einer hohen gemeinsamen Netz- und Informationssicherheit in der Union) bekannt gegeben http://eeas.europa.eu/policies/eu-cyber-security/cybsec_directive_de.pdf. Darin geht es primär um die Einrichtung "Nationaler Sicherheitszentren" (Malmström -> vgl. Deutsches Cyber-Abwehrzentrum) und die Meldepflicht über Sicherheitsvorfälle für Betreiber kritischer Infrastrukturen (“zentrale Dienste der Informationsgesellschaft”; App-Stores, eCommerce-Plattformen, Zahlungssysteme, Cloud-Computing, Suchmaschinen und soziale Netzwerke)

Deutschland: IT-Sicherheitsgesetz, Cyber-Abwehrzentrum, IT-Sicherheitsforschung

• IT-Sicherheitsgesetz: Am 17. Dezember 2014 vom Bundeskabinett beschlossen. Überblick zur aktuellen politischen Diskussion über das IT-Sicherheitsgesetz siehe FAQ Digitale Agenda

• IT-Sicherheitsforschung: 2013 Neue Forschungsprojekte zu IT-Sicherheit in eingebetteten Systemen gestartet". Hintergrund: "Internet der Dinge" und "Industrie 4.0"; vernetzte intelligente Systeme, die in Maschinen und Geräte eingebettet sind, dass diese autonom miteinander kommunizieren. Können Angriffspunkte sein. 3 Forschungsprojekte im Rahmen des Programms "IT-Sicherheitsforschung"; Laufzeit bis 31.8.2015; Gesamtvolumen des Programms (seit 2008): 20 Forschungsvorhaben, Förderung 30 Mio. Euro (http://www.bmi.bund.de/SharedDocs/Pressemitteilungen/DE/2013/mitMarginalspalte/03/cebit_itsicherheit.html)

Kommunikations-Ziel für Piratenpartei

• Unsere Positionen zum Thema IT-Sicherheit in die politischen Debatte einbringen
• Piraten als Partei mit netzpolitischer Expertise nach vorn bringen

Unsere Positionierung im Thema

• Die Piraten lehnen offene und verdeckte Aktionen von staatlichen, privaten und öffentlichen Organisationen ab, die den Cyberraum als Konfliktdomäne nutzen und die Zivilbevölkerung gefährden. Schadsoftware, die in der Lage ist, Menschenleben durch Angriffe auf gesellschaftliche Versorgungsnetzwerke zu gefährden, betrachten wir als inakzeptables Sicherheitsrisiko

• Die Piraten fordern auf zwischenstaatlicher Ebene ein internationalen Abkommens zur Gewährleistung der Freiheit des Internets und zur digitalen Abrüstung mit folgenden Punkten:
  • Abrüstungsvereinbarung und Verpflichtung zum gemeinsamen Schutz der globalen Informations- und Kommunikationsnetze und der Grundrechte ihrer Nutzer
  • Schutz der Vertraulichkeit von Kommunikation, der Redefreiheit, des freien Zugangs zur Kommunikation
  • Gewährleistung der Netzneutralität
  • Ablehnung aller Systeme, die verdachtsunabhängig persönliche Daten erheben
  • Zustimmung zu dem Grundsatz, dass sich bei Software, die zur Ausforschung informationstechnischer Systeme geeignet und im öffentlichen Einsatz ist, die technischen Möglichkeiten den Grundrechten unterzuordnen haben

• Unsere Kritik am Entwurf der Bundesregierung für ein IT-Sicherheitsgesetz: Die Piraten warnen vor blindem Aktionismus beim Schutz kritischer Infrastrukturen. Politik muss einen Handlungsrahmen zum Schutz kritischer Infrastrukturen für Unternehmen definieren, der wirksam ist. Ein IT-Sicherheitsgesetz halten wir im Grundsatz für richtig und sinnvoll, in der konkret vorgeschlagenen Ausgestaltung allerdings für falsch. Wir fordern einen Dialog mit Unternehmen UND der Hacker-Community, worin die größten Sicherheitslücken bestehen und wie sich kritische Infrastrukturen wirksam schützen lassen.

Unser Programm

• Grundsatzprogramm - Infrastruktur
• BTW2013 - Programm (Piraten gegen Cyberwar)
• BTW2013 - Infrastruktur
• Europawahl 2014 - Programm (Abkommen zur Freiheit des Internets)

Insights

TBD

Wer sind unsere Sprecher im Thema

TBD

Thema & Subthemen

• Gegenseitige Angriffe von Staaten und deren Institutionen auf kritische Infrastrukturen
• Schadangriffe von Privatpersonen auf kritische Infrastrukturen
• Ziviler Ungehorsam, der von staatlicher Seite als Schadangriff diffamiert wird

Argumente

TBD

Einwandbehandlung

TBD/ Bei Bedarf

KOMMUNIKATIVER ÜBERBAU

Leitidee / Leitmotto

TBD

Zielgruppe(n)

• Bürger in ihrer Rolle als Nutzer von wichtigen Versorgungsstrukturen
• Unternehmen, die kritische Infrastrukturen betreiben
• Hacker-Community

Benefit für Zielgruppen (Elevator-Pitch)

• Bürger als Nutzer von Versorgungsstrukturen: Für alle Menschen, die auf das Funktionieren wichtiger Versorgungsinfrastrukturen angewiesen sind und bei den Anbietern auch sensible persönliche Daten gespeichert haben, ist ein gutes IT-Sicherheitskonzept wichtig, da dieses vor über das Internet ausgeübte Versorgungsunterbrechungen und Datendiebstählen schützt. Im Gegensatz zu dem von der Bundesregierung geplanten IT-Sicherheitsgesetz, dass neben kaum wirksamen Meldepflichten hauptsächlich BKA und BND mit noch mehr Geld ausstattet und zudem eine Vorratsdatenspeicherung durch die Hintertür einführt, ist es in dieser Frage aber besser, noch mal einen Schritt zurückzumachen und sich erst einmal mit Unternehmen und vor allem auch der Hacker-Community darüber zu unterhalten, wie sich kritische Systeme wirksam schützen lassen.

• Unternehmen, die kritische Infrastrukturen betreiben: Für Unternehmen, die kritische Infrastrukturen betreiben und/oder mit vielen sensiblen Kundendaten arbeiten, ist ein gutes IT-Sicherheitskonzept wichtig, da über das Internet ausgeübte Versorgungsunterbrechungen und Datendiebstähle das Vertrauen der Kunden in das Unternehmen und damit auch die Zukunft des Unternehmens selbst gefährden. Im Gegensatz zum dem von der Bundesregierung geplanten IT-Sicherheitsgesetz, dass neben kaum wirksamen Meldepflichten hauptsächlich BKA und BND mit noch mehr Geld ausstattet und zudem eine Vorratsdatenspeicherung durch die Hintertür einführt, ist es in dieser Frage aber besser, noch mal einen Schritt zurückzumachen und sich erst einmal mit Unternehmen und vor allem auch der Hacker-Community darüber zu unterhalten, wie sich kritische Systeme wirksam schützen lassen.

• Hacker-Community: Für die Hacker-Community, der es im Kern um das kreative Tüfteln und Experimentieren mit Technik geht ( „Ein Hacker ist jemand, der versucht einen Weg zu finden, wie man mit einer Kaffeemaschine Toast zubereiten kann“, Wau Holland), ist ein Dialog über IT-Sicherheit wichtig, um das Hacking aus der "Schmuddel-Ecke" der bösen Internetkriminellen herauszuholen. Im Gegensatz zum dem von der Bundesregierung geplanten IT-Sicherheitsgesetz, dass neben kaum wirksamen Meldepflichten hauptsächlich BKA und BND mit noch mehr Geld ausstattet und zudem eine Vorratsdatenspeicherung durch die Hintertür einführt, ist es in dieser Frage aber besser, noch mal einen Schritt zurückzumachen und sich gemeinsam mit Unternehmen und der Zivilgesellschaft darüber zu unterhalten, wie sich kritische Systeme wirksam schützen lassen.

Storyline

• Unsere wichtigsten Versorgungsstrukturen - Energie, Telekommunikation, Wasser, Verkehr, aber auch Finanzinstitute, öffentliche Verwaltung und Einrichtungen zur medizinischen Versorgung - werden heute in ihren technischen Strukturen digital gesteuert, wodurch sie auch über das Internet angreifbar werden. Das gern bemühte Horrorbild von der Stadt, die auf einen Mausklick hin komplett lahmgelegt wird, ist grundsätzlich tatsächlich keine Science Fiction mehr.

• Fakt ist auch, dass viele Betreiber solcher kritischen Sicherheitsinfrastrukturen nicht oder schlecht auf Angriffe aus dem Netz vorbereitet sind. Investitionen in die Sicherheit werden regelmäßig gerne zurückgestellt.

• Um den Druck auf Unternehmen zu erhöhen, in Sicherheit zu investieren, muss Politik tätig werden. Hier gesetzgeberisch mit einem IT-Sicherheitsgesetz einen Rahmen zu definieren, ist deshalb grundsätzlich ein richtiger Schritt. Doch sollte mit Augenmaß vorgegangen werden. Politischer Aktivismus sowie zu starke, aber wirkungslose Regularien sind fehl am Platz. Es gibt durchaus auch ein Eigeninteresse der Unternehmen, in Sicherheit zu investieren.

• Die derzeit von der Bundesregierung vorgeschlagene Ausgestaltung des IT-Sicherheitsgesetzes halten wir für falsch. Sie geht in einigen Punkten zu weit, in anderen nicht weit genug. Wir kritisieren hier insbesondere eine im Entwurfstext vorhandene Vorratsdatenspeicherung, fehlende Transparenz bei den geplanten Melde, Informations- und Veröffentlichungspflichten, einen fehlenden Whistleblowerschutz sowie die ungerechtfertigte weitere Ausstattung von BKA & Co.

• Es wäre besser, hier insgesamt einen Schritt zurückzumachen, und mit Unternehmen und vor allem auch mit der Hacker-Community in Dialog zu treten, worin die größten Sicherheitslücken bestehen und wie sich kritische Infrastrukturen wirksam schützen lassen

• Unsere ersten Vorschläge und Forderungen für ein IT-Sicherheitsgesetz im Überblick:
  • Security by Design analog zu Privacy by Design
  • Keine Vorratsdatenspeicherungen
  • Einrichtung einer zentralen Meldestelle zur anonymen Veröffentlichung von Sicherheitslücken
  • Konsequente Meldepflicht, auch für öffentliche Institutionen
  • Verpflichtende Information über kritische Sicherheitsvorfälle an Kunden und Datenbrief
  • Klare Definition von sicherheitskritischen Angriffen zum Schutz zivilgesellschaftlichem Ungehorsams
  • Whistleblower-Schutz für Personen, die IT-Angriffe auf Unternehmen melden
  • Mehr Geld für BSI, aber nicht für ›Sicherheitsberatung‹ von Unternehmen
  • Kein Ausbau des BKAs zum jetzigen Zeitpunkt

Wording

TBD/Offen

Do's and Don'ts

TBD/Offen

Erste Kampagnenideen

TBD / offen

HINTERGRUND / WISSENSWERTES

Historie IT-Sicherheitsgesetz

• 1997: Bestandsaufnahme der USA zu IT-Sicherheit, BMI sah damals keinen Handlungsbedarf für eine vergleichbare Analyse deutscher Infrastrukturen (Antwort der BR auf Anfrage des MdB Grüne, Manuel Kiper)

• 1997: Dann schnelles Umdenken des BMI. Einsatz der AG KRITIS durch BSI. Gespräche mit Betreibern kritischer Infrastrukturen, die damals schon sehr zurückhaltend hinsichtlich Auflagen waren. Betrieb von Kernkraftwerken wurde ausgeklammert, um Verhandlungen nicht zu erschweren

• 2000 Öffentlichwerden eines ersten unautorsierten Ergebnispapiers der AG KRITIS

• 2005 AG KRITIS legt dem Bundeskabinett offiziell den "Nationalen Plan zum Schutz der Informationsinfrastrukturen" (NPSI)

• 2007: Kabinettsbeschluss zur "Umsetzungsplan für die Gewährleistung der IT-Sicherheit in der Bundesverwaltung (UP Bund)". Unternehmen machen bereits nach Freiwilligkeitsprinzip mit

• 2012: Urteil BVerfG: IP-Adresse sind personenbeziehbare Daten und dürfen nicht gespeichert werden

• Am 7.3. 2013 hat das Innenministerium einen Entwurf für ein IT-Sicherheitsgesetz an die einschlägigen Branchenverbände geschickt. BMWi hat Einleitung der Ressortkoordination mit dem BMI zugestimmt - Wirtschaftsministerium (FDP, Rösler) und BMI (Friedrich, CSU)

Blick über Tellerrand: Debatte über Cyber-Security in USA

• Mandiant-Bericht von Februar 2013: http://www.spiegel.de/netzwelt/netzpolitik/reaktion-auf-mandiant-studie-china-streitet-hackerangriffe-ab-a-884247.html