Piratenpartei Deutschland

Schlagwort: Datenschutz

  • Neue Digital-Staatsministerin erweist sich als Problem-Bär für Internetnutzer

    Neue Digital-Staatsministerin erweist sich als Problem-Bär für Internetnutzer

    Die designierte Staatsministerin im Kanzleramt für Digitales, Dorothee Bär (CSU), beklagt in der BILD-Zeitung einen „Datenschutz wie im 18. Jahrhundert“, fordert eine „smarte Datenkultur vor allem für Unternehmen“ und kritisiert die geplante ePrivacy-Verordnung der Europäischen Union.

    Dazu der Datenschutzexperte der Piratenpartei Patrick Breyer:

    „Wer nicht weiß, dass das Volkszählungsurteil des Bundesverfassungsgerichts von 1983 die Geburtsstunde des Grundrechts auf informationelle Selbstbestimmung ist, erweist sich als völlig ahnungslos und unfähig zur politischen Begleitung der Digitalen Revolution. Ohne Vertrauen und Kontrolle über die eigenen Daten kann eine Informationsgesellschaft nicht funktionieren.“

    Bär sagt den EU-Plänen, die personenbezogene Speicherung und Analyse des Surfverhaltens nur noch mit Einwilligung des Nutzers zuzulassen, den Kampf an. Dazu Breyer:

    „Statt die ePrivacy-Verordnung verwässern und US-Spionagekonzernen nacheifern zu wollen, sollte sich Frau Bär lieber dafür einsetzen, dass die Privatsphäre der Nutzer von Google, Facebook und Co. besser geschützt wird. Internetnutzer wollen selbst entscheiden, ob ihr Surfverhalten ausgeschnüffelt und analysiert werden darf. Respektieren Sie das! Zwangs-Einwilligungserklärungen ohne Wahlrecht gehören verboten, statt das Opt-In-Prinzip ganz aufzugeben.“

    Die Piratenpartei fordert: Frau Bär, machen Sie sich nicht wie Herr De Maizière zur Copy&Paste-Lobbyistin der Werbewirtschaft in Brüssel, sondern stellen Sie sich auf die Seite der Nutzer und Verbraucher. Konzentrieren Sie sich auf die Abschaffung der Vorratsdatenspeicherung und die Einführung des Rechtsanspruchs auf einen schnellen Internetzugang!

    Hintergrund: Das Fraunhofer-Institut für sichere Informationstechnologie SIT warnt seit Jahren, durch Tracking entstünden „echte Bedrohungen und Risiken für Werte von Einzelnen und der ganzen Gesellschaft“. Es fordert eine freie Entscheidung der Verbraucher über die Verfolgung des Surfverhaltens, wogegen die deutsche Wirtschaft Sturm läuft.
    Die vom Europaparlament verabschiedete Fassung der ePrivacy-Verordnung wird aktuell mit Vertretern der europäischen Regierungen weiterverhandelt. Eine finale Fassung wird nicht vor Herbst 2018 erwartet.

  • Benachrichtigungsaktion zu Handy-Ortungen: Einwände der Staatsanwaltschaften widerlegt

    Benachrichtigungsaktion zu Handy-Ortungen: Einwände der Staatsanwaltschaften widerlegt

    Durch Handy-Ortungen („nicht-individualisierte Funkzellenabfragen“) geraten jährlich Millionen Bürger ins Visier der Ermittler, nur weil sie zur falschen Zeit am falschen Ort waren. Die Verhältnismäßigkeit dieses massenhaften Grundrechtseingriffs wird sehr kontrovers diskutiert. Doch viele reden nicht mit, weil ihnen nicht klar ist, wie häufig sie selbst geortet werden.

    Mit der bundesweiten Aktion „Handy-Ortung: Wir wollen’s wissen!“ der Piratenpartei können Bürger seit einigen Monaten eine Benachrichtigung von Ortungen ihres Handys fordern. Bisher unterstellen die Staatsanwaltschaften vielfach, die Bürger hätten kein Interesse daran, von einer Ortung ihres Handys benachrichtigt zu werden (§ 101 Abs. 4 S. 4 StPO). Deshalb stellt die Piratenpartei Formulare bereit, mit denen man das Gegenteil bekunden kann. Die Staatsanwaltschaften übergehen diesen Wunsch in ihren Antworten jedoch immer wieder mit einigen Standardargumenten, wie sich gezeigt hat (GStA Schleswig, GStA Köln, GStA Hamm, GStA Düsseldorf).

    Vorab ist zu hinterfragen, ob der Benachrichtigungswunsch überhaupt Voraussetzung einer Benachrichtigung ist. Nach Meinung des Sächsischen Datenschutzbeauftragten richtet sich eine Funkzellenabfrage ohnehin gegen alle Betroffenen, die mithilfe einer Bestandsdatenauskunft identifiziert wurden, weshalb es nur zufällig Mitbetroffene nicht gebe (S. 48, 32). Nach dieser Sichtweise ist für ein Absehen von einer Benachrichtigung gemäß § 101 Abs. 4 S. 4 StPO von vornherein kein Raum.

    Sieht man die Georteten nicht als Betroffene (Zielpersonen) der Maßnahme an, kommen die Gegenargumente der Staatsanwaltschaften ins Spiel:
    Standardargument 1: „Es gibt keine Rechtsgrundlage für die Speicherung und Verarbeitung Ihres Benachrichtigungswunsches.“
    Mit dem Benachrichtigungswunsch willigt der Betroffene in die Speicherung und Verarbeitung seiner Daten für Benachrichtigungen ein. Deshalb braucht es entgegen der Argumentation der Staatsanwaltschaften keine Rechtsgrundlage (§ 4 Abs. 1 BDSG).

    Standardargument 2: „Wir sind zur Speicherung Ihres Benachrichtigungswunsches nicht verpflichtet.“
    § 101 StPO regelt, unter welchen Umständen eine Pflicht zur Benachrichtigung besteht. Die Staatsanwaltschaft kann dieser Pflicht nur durch Speicherung des Benachrichtigungswunsches nachkommen. Denn wenn „unerheblich Betroffene“ ein Interesse an einer Benachrichtigung anmelden, sind sie zu benachrichtigen. Deswegen folgt aus § 101 StPO die Verpflichtung der Staatsanwaltschaften zur Speicherung von Benachrichtigungswünschen.

    Standardargument 3: „Wir wissen nicht, ob Sie Ihr Handy zum Zeitpunkt der Ortung bei sich trugen oder jemand anders.“
    Diese Frage ist unerheblich. Der Anschlussinhaber ist von einer Ortung immer betroffen, weil sich daraus die Kenntnis ableiten lässt, dass die von ihm registrierte SIM-Karte an einem bestimmten Ort genutzt wurde (Personenbezug). Der Gesetzgeber kann kein generelles Leerlaufen der ausdrücklichen Benachrichtigungspflicht für Verkehrsabfragen gewollt haben, nur weil sich aus einer Verkehrsdatenabfrage der tatsächliche Nutzer nicht erkennen lässt.

    Standardargument 4: „Nachforschungen zur Feststellung der Identität Betroffener sind nur vorzunehmen, wenn dies unter Berücksichtigung der Eingriffsintensität der Maßnahme gegenüber dieser Person, des Aufwands für die Feststellung ihrer Identität sowie der daraus für diese oder andere Personen folgenden Beeinträchtigungen geboten ist.“
    Nach der Identität von Personen, die eine Benachrichtigung verlangt haben, muss nicht mehr geforscht werden. Sie steht bereits fest.

    Gerichtlich geklärt ist die Frage, ob die Betroffenen von Funkzellenabfragen ein Recht auf Benachrichtigung haben, bisher ersichtlich nicht. Dabei dürfte jeder, der von einer Funkzellenabfrage betroffen war (z.B. Teilnehmer an den G20-Gipfelprotesten in Hamburg), die gerichtliche Überprüfung des Absehens von einer Benachrichtigung verlangen können (§§ 101a Abs. 6, 101 Abs. 7 StPO; vgl. OLG Celle, Beschluss vom 24.02.2012, 2 Ws 43/12, 2 Ws 44/12; OLG Stuttgart, Beschluss vom 13. Juli 2016 – 6 – 2 StE 1/14 – m.w.N.). Dies sollte klug, mit guter Vertretung und mit guten Argumenten in Angriff genommen werden.
    Unterdessen kann der Druck auf eine politische Lösung erhöht werden, wenn möglichst viele Bürger an der Aktion „Wir wollen’s wissen!“ teilnehmen und eine Benachrichtigung einfordern.

    Ein erster Erfolg hat sich bereits eingestellt: Berlin will in Kürze ein Internetportal freischalten, über das man Benachrichtigungen beantragen kann. Das ist der richtige Weg. Auch anderswo haben es die Staatsanwaltschaften in der Hand, ein automatisiertes Informationsverfahren ohne viel Aufwand einzuführen. Nach einem Gutachten des Unabhängigen Landesdatenschutzzentrums kommt eine Information per SMS, die öffentliche Bekanntmachung von Funkzellenabfragen oder die Einbindung von Treuhändern in Frage. Insbesondere ein Opt-In-Verfahren, in dem man eine Information per SMS an die geortete Handynummer beantragen kann, ist datenschutzfreundlich umzusetzen.

    Die individuelle Betroffenheit von Massenüberwachung offenzulegen, ist ein wichtiger, Bewusstsein bildender Schritt auf dem Weg zum digital mündigen und wehrhaften Bürger.

  • Internationale Sicherheitskonferenz der Piratenpartei

    Internationale Sicherheitskonferenz der Piratenpartei

    Vertreter der Piratenparteien aus ganz Europa als Experten zu den jeweiligen Themen treffen sich in München am 17. und 18. Februar 2018 zur Piraten-Sicherheitskonferenz (Pirate Security Conference). Aktuelle Entwicklungen in der Welt – beispielsweise im Iran und in Kurdistan – als auch besonders die Frage der Resilienz, also der Widerstandsfähigkeit von Infrastruktur und Gesellschaft gegen neuartige Angriffe in den verschiedensten Bereichen, werden beleuchtet.

    Die Konferenz dient auch zur weltweiten Identifizierung neuer technischer Trends. Parlamentarier und Aktivisten aus Tschechien und Island, ebenso wie Fachreferenten werden für ein hohes fachliches Niveau sorgen. Besonders freuen wir uns auf Birgitta Jónsdóttir, Wikileaks-Aktivistin und Gründerin der Piratenpartei Island, Frank Umbach, Professor am King’s College London und Spezialist für Rohstoffsicherheitsfragen, sowie weitere Experten für das Hauptthema der Konferenz „Resilienz“, die dieses aus verschiedenen Perspektiven heraus betrachten werden.

    Die Anmeldung zur Teilnahme erfolgt über die Website der PSC.
    Schirmherr der Konferenz ist Pirate Parties International, Genf. Konferenzsprache ist Englisch.

  • Safer Internet Day: Melde- und Beseitigungspflicht für IT-Sicherheitslücken einführen!

    Safer Internet Day: Melde- und Beseitigungspflicht für IT-Sicherheitslücken einführen!

    Immer mehr Aspekte des täglichen Lebens sind von vernetzten Systemen abhängig. Eine Vielzahl von Geräten, die mit dem Internet verbunden sind, umgibt uns – teilweise ohne, dass uns dies direkt bewusst ist. Mit der steigenden Zahl der vernetzten Geräte wächst aber auch die Menge der Angriffsmöglichkeiten. In den letzten Jahren haben Vorfälle wie der teilweise Ausfall des Telekom-Netzes durch das Mirai-Botnet und der Wannacry-Trojaner gezeigt, welchen Umfang Angriffe annehmen können. Dabei sind die Folgen noch relativ glimpflich gewesen, da nicht gezielt Schaden angerichtet werden sollte.

    Viele Geräte kommen mit Sicherheitslücken auf den Markt. Die Anwender wissen oft nicht einmal, dass ihr Gerät übernommen wurde und ohne ihr Wissen Dinge tut. Softwareupdates um Sicherheitslücken zu schließen, werden oft nach kurzer Produktlebensdauer nicht mehr zur Verfügung gestellt. Der Kunde wird dann mit dem Problem alleine gelassen und die Allgemeinheit der Gefahr ausgesetzt, dass immer mehr Geräte gekapert werden.

    Zum diesjährigen Tag des sicheren Internets (Safer Internet Day) schlägt Patrick Breyer, Themenbeauftragter der Piratenpartei für Datenschutz, daher vor, das Übel unsicherer Informationstechnik an der Wurzel anzugehen:

    „Vom Schaden anderer zu profitieren, ist unanständig. Das muss auch für die IT-Industrie und den Staat gelten. Die Hersteller und Importeure von Informationstechnik müssen gesetzlich zur unentgeltlichen Beseitigung bekannter Sicherheitslücken binnen kürzester Frist verpflichtet werden – und zwar mindestens zehn Jahre lang ab dem Erstverkauf. Ist dies nicht möglich, so sind Hersteller zum kostenlosen Umtausch oder nach Wahl des Kunden zur Rücknahme inklusive Erstattung aller Kosten zu verpflichten. Mit Produkthaftungsgesetzen aus den 80er Jahren wird sich die Digitale Revolution nicht bestreiten lassen.
    Darüber hinaus müssen staatliche Stellen verpflichtet werden, bekannt gewordene Sicherheitslücken unverzüglich den Herstellern zu melden, statt sie womöglich – z. B. für „Staatstrojaner“ – selbst zu Spionagezwecken auszubeuten.“

    Zum Weiterlesen:

    Internet of …

  • Neuland braucht Datenschutz-Sammelklagen!

    Die EU-Kommission soll den Weg für Datenschutz-Sammelklagen frei machen. Das fordert der Themenbeauftragte für Datenschutz der Piratenpartei Deutschland, Patrick Breyer, anlässlich des aktuellen EuGH-Urteils im Fall Max Schrems gegen Facebook (Az. C-498/16).

    Breyer dazu: „Mächtige Konzerne wie Facebook treten die Persönlichkeitsrechte und den Datenschutz ihrer Nutzer mit Füßen und scheren sich nicht um ihre Pflichten. Der Datenschutz ist wertlos, solange er nicht durchgesetzt wird – und dazu braucht es im Kampf gegen Internetgiganten europaweite Sammelklagen.“

    Die Piraten fordern: Die EU-Kommission muss jetzt den Weg für Datenschutz- und Verbraucherschutz-Sammelklagen frei machen. Nach dem Dieselskandal zeigen nun die unzähligen Datenschutzverstöße von Facebook den dringenden Handlungsbedarf.

    Breyer weiter: „Ich rufe jeden Internetnutzer auf, Schrems‘ Initiative zur Gründung eines Datenschutzklagen-Vereins zum Durchbruch zu verhelfen. Und natürlich braucht auch die Piratenpartei neue Mitstreiter. Nur gemeinsam können wir Neuland-Bewohner es mit den übermächtigen IT-Riesen aufnehmen.“

  • Das „besondere elektronische Anwaltspostfach“ – gut gemeint, nicht gut gemacht

    Das „besondere elektronische Anwaltspostfach“ – gut gemeint, nicht gut gemacht

    Zum Jahreswechsel soll es so weit sein: Das besondere elektronische Anwaltspostfach (kurz beA) soll verpflichtend für alle Rechtsanwälte in Deutschland werden. Darüber soll künftig der E-Mail-Verkehr mit Gerichten, Behörden und anderen Rechtsanwälten laufen.

    Wie muss man sich das technisch vorstellen?
    Um das beA zu nutzen, muss der Anwalt neben der Installation des beA-Client – also dem Programm auf dem eigenen Rechner – auch eine beA-Smartcard bestellen, mit der er sich dem System gegenüber ausweisen kann. Der Datenaustausch innerhalb des Rechners zum Auslesen der Smartcard wird verschlüsselt. Für diese Verschlüsselung wird ein Zertifikat mit privatem Schlüssel auf dem Rechner abgelegt. So weit ist das auch alles in Ordnung.

    Wo liegt jetzt das Problem?
    Hersteller Atos hat es sich sehr einfach gemacht und bei allen Installationen das gleiche Zertifikat verwendet, das von T-Systems für die IP-Adresse des eigenen Rechners 127.0.0.1 (localhost) ausgestellt wurde. Da so etwas regulär überhaupt nicht möglich ist, hat Atos zu einem Trick gegriffen: es wurde die Domain bealocalhost.de registriert, zu dieser das Zertifikat beantragt, und dann diese Domain auf die localhost-Adresse umgestellt. Dieses Zertifikat inklusive des privaten Schlüssels wurde dann an die Rechtsanwälte verteilt.

    [maincolor_box] Politische Arbeit kostet Geld.
    Spende uns auf https://spenden.piratenpartei.de
    Jeder Euro hilft.
    Vielen Dank 🙂 [/maincolor_box]

    Dies trägt zum einen ein gewisses Angriffsrisiko in sich, zum anderen widerspricht es vor allem den Regeln der meisten Zertifizierungsstellen, inklusive denen von T-Systems. Jemand könnte sich durch einen „Man in the Middle“-Angriff in die Kommunikation eines Anwaltes einklinken und die Adressauflösung von bealocalhost.de manipulieren, um diese auf ein eigenes System umzuleiten. So könnte er mit dem bekannten privaten Schlüssel eine vertrauenswürdige Seite vortäuschen und unbemerkt die Daten zwischen den Komponenten des beA mitlesen und manipulieren.

    Wird da jetzt was unternommen?
    Den Verstoß gegen die Regeln der Zertifizierungsstelle hat der CCC Darmstadt aufgegriffen und bei T-Systems gemeldet. Diese hatten damit keine andere Wahl, als das Zertifikat zu widerrufen. Daraufhin war das beA am 22.12.2017 funktionsunfähig.

    Der Hersteller musste nun schnell reagieren, um die Pflichtnutzung zum 01.01.2018 abbilden zu können. Als schnelle Lösung hätte Atos zum Beispiel eine eigene Zertifizierungsstelle starten und bei jedem Client ein eigenes Zertifikat erzeugen lassen können. Bei jeder Installation wäre ein eigener privater Schlüssel vorhanden, es gäbe eine zentrale Stelle, die die Echtheit dieser Zertifikate bestätigt. Bei der Installation müsste nur einmal eine Warnung bestätigt werden, dass diesem Zertifikat vertraut wird, und alles würde funktionieren.

    Wurde das so umgesetzt?
    Leider nein. Statt dessen wurde ein selbst-signiertes Zertifikat als Ersatz für das von T-Systems generiert und wieder auf jedem Rechner das gleiche Zertifikat mit dem dazugehörigen privaten Schlüssel installiert. Um zu vermeiden, dass beim Aufruf einer solchen Seite der Browser eine Warnung ausgibt, wurde eine Anleitung verteilt, dieses Zertifikat als Root-Zertifikat auf dem Rechner zu installieren. Nach Befolgen dieser Anleitung wird der Rechner jedem Zertifikat vertrauen, welches durch das unsichere Zertifikat bestätigt wurde. Während beim ersten Fehler „nur“ die Kommunikation zwischen beA-Komponenten potentiell unsicher war, kann nun keiner HTTPS-Verbindung dieses Rechners mehr vertraut werden. Es betrifft also jetzt auch Datenaustausch, der überhaupt nichts mehr mit beA zu tun hat.

    Inzwischen ist diese Anleitung zurückgezogen, eine Warnung an diejenigen, die dieser eventuell bereits gefolgt sind, wurde aber vom Hersteller nicht ausgesprochen. Diese Warnung wird anderen überlassen.

    Wie hätte es einfacher gehen können?
    Man hätte eine Lösung „von der Stange“ nehmen können. Eine sichere Kommunikation per E-Mail ist ja nun nicht wirklich neu. So gibt es das bei privaten Nutzern immer mehr verwendete PGP (Pretty Good Privacy) oder das eher im geschäftlichen Bereich genutzte S/MIME. Letzteres wird z.B. von der DATEV beim Austausch sensibler Buchhaltungsdaten seit Jahren erfolgreich verwendet.

    Während bei PGP die Echtheit der Schlüssel durch ein Web of Trust bestätigt wird (also: ich kenne jemanden, der jemanden kennt, der den Schlüssel bestätigt hat), wird bei S/MIME auf Zertifizierungsstellen zurückgegriffen. Die Zertifikate können auch auf einer Smartcard abgelegt werden, wodurch eine erhöhte Sicherheit hergestellt wird. Wenig aufwändig und sehr sicher wäre also einfach die Ernennung einer oder mehrerer Zertifizierungsstellen für den Rechtsverkehr, die Zertifikate mit hinreichend sicherer Identifizierung des Inhabers herausgeben und die Vorgabe für Rechtsanwälte, eine E-Mailadresse mit Verschlüsselung und qualifizierter elektronischer Signatur mittels eines solchen Zertifikates vorzuhalten. Eine solche Lösung muss auch nicht über 10 Millionen Euro im Jahr kosten wie beA.

  • Privatsphäre wahren, Datenschutz und informationelle Selbstbestimmung stärken

    Privatsphäre wahren, Datenschutz und informationelle Selbstbestimmung stärken

    PIRATEN setzen sich für einen starken Datenschutz und das Prinzip der informationellen Selbstbestimmung ein. „Dies umfasst nicht nur die sparsame Erhebung, zweckgebundene Verarbeitung und Nutzung sowie die eingeschränkte Weitergabe von personenbezogenen Daten, sondern ebenso die Stärkung der Rechte des Einzelnen, grundsätzlich selbst über die Preisgabe und Verwendung personenbezogener Daten zu bestimmen“, betont Patrick Schiffer, Bundesvorsitzender der Piratenpartei Deutschland. Im Sinne des Prinzips der Informationssicherheit muss die Vertraulichkeit bei Übertragung und Zugriff sowie die Integrität der gespeicherten Daten gewährleistet sein.

    Piratenpartei lehnt verdachtsunabhängige Durchleuchtung ab

    „Wir lehnen die verdachtsunabhängige Durchleuchtung der Bürgerinnen und Bürger und die gläsernen Kundinnen und Kunden ab. Im digitalen Zeitalter liegen immer mehr personenbezogene Informationen in elektronischer Form vor, werden automatisiert verarbeitet und verknüpft oder weitergegeben – auch über Ländergrenzen hinweg und zwischen den öffentlichen und nichtöffentlichen Bereichen“, ergänzt Anja Hirschel, Sprecherin für Digitalisierung und Spitzenkandidatin zur Bundestagswahl der Piratenpartei Deutschland, mit einem Zitat aus dem Bundestagswahlprogramm.

    Ohne Wissen der Betroffenen kann die wachsende Datenflut automatisiert zu Persönlichkeitsprofilen zusammengefügt und im schlimmsten Fall gegen sie verwendet werden – z. B. durch das sogenannte Kreditscoring oder die Erstellung von Surf- und Bewegungsprofilen.

    Datenschutz und informationelle Selbstbestimmung sind zentrale Themen der PIRATEN und ihrer Wahlkampfkampagne ‚Piraten. Freu Dich aufs Neuland.‘ Der passende Hastag der #PIRATEN dazu lautet: #FreuDichAufsNeuland.

     

  • Cyber-Feuerwehr: Ein Realitätsabgleich

    Cyber-Feuerwehr: Ein Realitätsabgleich

    Es ist Wahlkampf und Sommerloch! Die Zeit für markige Sprüche, wilde Ideen, blinden Aktionismus, haarsträubende Vergleiche und einfach klingende Lösungen für komplexe Probleme. Thomas de Maizière (CDU), der sich als Bundesinnenminister auch schon mal eine Statistik einfach ausdenkt statt sich an Fakten zu orientieren, hat nun die Einrichtung einer Art ehrenamtlicher „Cyber-Feuerwehr“ angeregt.

    Beim Begriff „Cyber“ bekommen viele IT-Sicherheits Experten bereits eine Gänsehaut. Spätestens bei der Vorstellung, „junge Menschen […], die man nicht mehr für die klassische Feuerwehr gewinnen könne“ im Falle eines IT-Sicherheitsvorfalls auch nur in die Nähe ihrer IT zu lassen, müssen sich jedem professionellen Administrator die Nackenhaare sträuben. Die Reihe an möglichen Verletzungen der Sorgfaltspflichten im Rahmen der Datenschutzgrundverordnung (und der daraus resultierenden Haftung!) möchte ich mir hier nicht ausmalen.

    IT-Sicherheit ist kein Kinderspielplatz

    Umso mehr gilt dies in professionellen IT-Umgebungen und kritischen Infrastrukturen. IT-Sicherheit ist ein komplexes Feld für Experten, kein Kinderspielplatz. Gerne werden bei diesem Thema auch in die Tausende gehende Zahlen von wöchentlichen Angriffen auf Bundeswehr oder einzelne deutsche DAX Unternehmen genannt. Bei näherer Betrachtung sind diese Zahlen jedoch irrelevant, weil der überwältigende Teil solcher Angriffe nicht individuell sondern mit IT-Technologie selbst abgewehrt wird.

    Natürlich gibt es Bedrohungen und immer wieder verschaffen spektakuläre Fälle wie WannaCry dem Thema öffentliche Aufmerksamkeit. Wer mit der Materie vertraut ist, bemerkt jedoch schnell, wie fachfremd und erschreckend naiv Politiker in Talkshows mit dem Thema umgehen: Dem Bundesinnenminister untersteht das Bundesamt für Sicherheit in der Informationstechnik (BSI). Statt von „Cyber-Feuerwehr“ sprechen Experten dort von Computer Emergency Response Teams (CERT). Das BSI unterhält seit 2001 ein eigenes CERT. Mit dem „Bürger-CERT“ wendet sich das BSI auch für technische Laien verständlich bereits seit über 10 Jahren an interessierte Bürger und kleine Unternehmen. Große Unternehmen wie IBM, Siemens, oder die Deutsche Telekom haben schon längst eigene Teams. Diese sind das Gegenteil einer „ehrenamtlicher Cyber-Feuerwehr“: Für die Aufgabe werden hoch spezialisierte IT Sicherheitsfachleute eingesetzt.

    Mehr Aufklärung – auch für Bundesinnenminister!

    Es ist wichtig, dass durch Aufklärung ein größeres Bewusstsein für die Risiken beim Einsatz von IT-Systemen geschaffen werden muss. Dies gilt für jeden Einzelnen, besonders für den Bundesinnenminister. „Mehr Bildung“ ist schon immer eine zentrale Forderung der Piratenpartei gewesen. Ein Pflichtfach Informatik könnte einen Anfang machen, um zumindest die heranwachsende Generation besser auf die Digitalisierung vorzubereiten. Damit würde das Bewusstsein für die vielfältigen Herausforderungen direkt gefördert. Die Bereiche sind vielfältig: Es fängt bei der täglichen Benutzung des Smartphones an und reicht bis zum Einsatz veralteter, risikobehafteter oder ungewarteter Software in hochkritischen Systemen.

    Erschreckenderweise fehlt dieses Bewusstsein sogar auf mit Nuklearwaffen bestückten U-Booten in Großbritannien. Die Probleme sind tatsächlich deutlich vielschichtiger und tiefergehender, als es unsere Bundesregierung, die verzweifelt mit dem „Cyber“-Begriff um sich wirft, öffentlich zugeben möchte. Bezwecken die Forderungen, fachpolitische Kompetenz zu suggerieren, gleichzeitig schrittweise die Datensicherheit in die Hände einer „zentralen staatlichen IT“ hin zu verschieben? Hacking als Service, Staatstrojaner inklusive? Das Prägen von Phantasiebegriffen und Aktionismus sind einer sinnvollen Debatte abträglich. Woran es mangelt ist ein umfassender IT-Sicherheitsplan und die direkte Zusammenarbeit zwischen IT-Sicherheitswirtschaft, dem Handwerk und der Politik.

    Es braucht offensichtlich frischen Wind in der Politik, der auch endlich IT-technisches Know-How direkt in die Entscheidungsetagen weht. Sonst bleibt uns nur, das Ganze mit Humor, eher wohl Galgenhumor, zu ertragen.

    33c3: Security Nightmares 0x11 mit Frank und Ron

    Was hat sich im letzten Jahr im Bereich IT-Sicherheit getan? Welche neuen Entwicklungen haben sich ergeben? Welche neuen Buzzwords und Trends waren zu sehen?