Bundesregierung muss IT-Sicherheit konsequenter umsetzen

Illustration: Absmeier, TheDigitalArtist

Für das Regierungsnetz muss es eine konsequentere Umsetzung der IT-Sicherheitsmaßnahmen geben. Dabei müssen die nachgeordneten Behörden gleichermaßen berücksichtigt werden. Zudem ist dem vertraulichen Umgang mit Informationen über laufende Angriffe erheblich höhere Bedeutung zu geben. VOICE verweist auf seine kürzlich veröffentlichten 14 Forderungen zur Digitalpolitik, die sich intensiv mit aktuellen Sicherheitsfragen befassen.

 

Die Bundesregierung ist Opfer eines offensichtlich detailliert geplanten Hackerangriffs geworden. Dabei wurde das Regierungsnetz infiltriert und der Abfluss von vertraulichen Informationen ist wahrscheinlich. Noch unklar sind Volumen und Art der gestohlenen Daten. »Der Angriff an sich überrascht nicht. Der Umgang mit den überaus brisanten Details zu dem Angriffsszenario muss aber unbedingt verändert werden.«, erklärt Dr. Hans-Joachim Popp, Sicherheitsbeauftragter des VOICE-Präsidiums.

 

Der Angriff zeigt, dass die zur Cyberabwehr des Regierungsnetzes ergriffenen Maßnahmen bei weitem nicht ausreichen. »Es ist bekannt, dass ein direkt auf das Internet zugreifender Computer nicht adäquat gegen solche Attacken geschützt werden kann. Vorgeschaltete Firewalls helfen bei Spionagesoftware nicht ausreichend. Erst wenn Betriebssystem und Browser voneinander isoliert sind, ist ein ausreichender Schutz gegeben. Offensichtlich ist dieses Prinzip in den nachgeordneten Behörden noch nicht flächendeckend umgesetzt!«, erklärt Dr. Popp. »Das schwächste Glied in der Kette entscheidet über die Wirksamkeit des Schutzes. Ein hohes Maß an Sicherheit ist nur zu erreichen, wenn es klare Regeln gibt, die für alle Verwaltungsstellen gleichermaßen gelten und die von einer zentralen Stelle mit umfassenden Kompetenzen durchgesetzt werden. Aber leider fehlt uns eine solche Stelle bislang.«

 

Neben der bereits seit geraumer Zeit von VOICE geforderten zentralen Koordinierungsstelle hat der Bundesverband der IT-Anwender erst vor zwei Wochen 14 Forderungen an die Bundesregierung formuliert. (hier zum Download). Davon betreffen vier Forderungen die Themen Sicherheit und Datenschutz. Sie reichen von der Forderung nach mehr Sicherheits-Know-how für Entscheider in Politik und Industrie über klare Verkehrsregeln und Kennzeichnungspflicht im Datenverkehr bis hin zu Security by Design.

 

»Im Koalitionsvertrag steht viel Richtiges über IT-Sicherheit, unter anderem, dass eine ›erfolgreiche Digitalisierungsstrategie Datensicherheit voraussetzt‹. Es ist jetzt dringend geboten, dass die Bundesregierung mit der Ausstattung der Ministerien eine Vorbildfunktion übernimmt und die erforderlichen Schutzmaßnahmen einheitlich umsetzt!«, rät Dr. Popp.

 

VOICE fordert außerdem, dass sowohl die beteiligten IT-Forensiker als auch die Mitglieder der Kontrollausschüsse auf ein erheblich höheres Maß an Vertraulichkeit verpflichtet werden, um die Aufklärung wie im vorliegenden Fall überhaupt zu ermöglichen. In der konventionellen Verbrechensbekämpfung ist die strategische Zurückhaltung von Ermittlungsdetails Gang und Gäbe. Dies muss gerade auch bei Cyberattacken genauso durchgesetzt werden. Die Kontrollgremien sind vollumfänglich zu informieren, aber deren Verschwiegenheit muss absolut gewährleistet sein.

 

VOICE – der Bundesverband der IT-Anwender e.V. – ist Interessenvertretung und Netzwerk in einem. Als Verband vertritt VOICE e.V. die Interessen der CIOs und IT-Verantwortlichen. Er gibt ihnen gegenüber Politik, IT-Lösungsanbietern und Öffentlichkeit eine starke Stimme. VOICE versteht sich als Sprachrohr der Anwenderinteressen. Der Bundesverband entwickelt und vertritt daher Positionen und Einschätzungen zu aktuellen Trends, politischen Initiativen und Vorhaben der IT-Anbieter. Als Netzwerk bringt VOICE CIOs und IT-Verantwortliche führender Unternehmen aus unterschiedlichsten Branchen zusammen. Das Netzwerk bietet seinen Mitgliedern Plattformen für den vertraulichen Austausch und für Meetings mit Entscheidungsträgern im Markt – in Formaten wie Roundtables und Fachworkshops, aber auch virtuell auf einer Online-Plattform. In beiden Funktionen, Verband und Netzwerk, stellt VOICE die Interessen der Anwenderunternehmen in den Mittelpunkt seiner Arbeit.

 

VOICE -Forderungen an die Digitalpolitik im Überblick

VOICE – Bundesverband der IT-Anwender stellt insgesamt 14 Forderungen zur künftigen Digitalpolitik der Bundesregierung. Sie betreffen die Bereiche IT-Sicherheit, Daten- und Verbraucherschutz, Infrastruktur sowie Aus- und Weiterbildung und Organisations- und Rechtsfragen. Außerdem skizziert VOICE verschiedene Finanzierungsvorschläge.

Zunächst möchten wir einen kurzen Überblick über die einzelnen Forderungen geben. Danach finden Sie eine ausführliche Darstellung der einzelnen Forderungen inklusive Beschreibung der Ausgangslage, der zu verfolgenden Grundsätze und Prinzipien, um diese zu verbessern sowie eine Beschreibung der vorgeschlagenen Maßnahmen selbst.

 

  1. Versorgungsinfrastruktur ausbauen beziehungsweise vorhandene Systeme besser nutzen

▪ Breitbandziele deutlich nach oben korrigieren und an 5G orientieren,

▪ Infrastrukturen müssen als Open-Access-Netzwerk ausgeführt werden,

▪ Unterstützung von kommunalen und regionalen Breitbandinitiativen,

▪ Behörden müssen auf Bandbreitensparsamkeit verpflichtet werden.

 

  1. Stärkung der Verbraucherrechte gegenüber Dienstanbietern und Entlastung der Anwender durch konsequente AGB-Steuerung

▪ Höhere Hürden gegen Datenmissbrauch,

▪ Produkt sorgt für Einhaltung der Lizenzbestimmungen,

▪ leichtere Wartbarkeit und Reparatur von Software-Produkten.

 

  1. Bekämpfung der fortgeschrittenen Oligopolisierung des IT-Marktes durch Neugestaltung des Kartellrechts und Rückführung auf einen funktionierenden Wettbewerb

▪ Wettbewerbsverhindernde Eigenschaften von Software-Plattformen werden untersagt,

▪ Kommunikationsmedien müssen plattformübergreifend funktionieren.

 

  1. IT-Sicherheits- und Datenschutz-Know-how bei Politikern und Justizorganen massiv erhöhen

▪ Mehr Fachpersonal in den technischen Disziplinen gewinnen,

▪ Wissensniveau von Politikern und Juristen deutlich erhöhen,

▪ Gesetzgebungsverfahren digital beschleunigen.

 

  1. Sicherheit im Datenverkehr: »Verkehrsregeln« und »Kennzeichnungspflicht« müssen Selbstschutz ergänzen beziehungsweise vereinfachen

▪ Kontrolle und Validierung von Domain-Anmeldungen auf Bankniveau heben,

▪ Domainbetreiber haften stärker für ausgelieferte Inhalte,

▪ Nutzungsvereinbarungen für Ports und Kommunikationsprotokolle müssen strikt eingehalten werden. Abweichungen sind zu bestrafen.

 

  1. Herstellerhaftung für IT-Sicherheitseigenschaften konsequent etablieren

▪ Reparaturen an fehlerhafter Software müssen ohne Betriebsunterbrechung funktionieren,

▪ der dafür nötige Distributionsmechanismus ist Teil des Kernprodukts und unterliegt dem gleichen Haftungsanspruch,

▪ Haftung für Reparatur-Folgeschäden liegt beim Hersteller.

 

  1. Klare Regelungen zu Security by Design

▪ Sicherheitsrelevante Teile von Systemen sollen nicht reprogrammierbar sein,

▪ Hintergrund-Updates ohne Einbindung des Anwenders sind zu vermeiden,

▪ Kommunikationssetups von Systemen beschränken.

 

  1. Vereinfachte Grundprinzipien im Datenschutz und ihre konsequente Durchsetzung

▪ Transparentes Regelwerk für defensiven Umgang mit Nutzerdaten,

▪ Forschung im Bereich Anonymisierung gezielt fördern,

▪ Entwicklung eines rechtlichen Status für personenbezogene Daten.

 

  1. Datenschutz: Mindeststandards zum Schutz gegen Datenabfluss an Dritte

▪ Diebstahlrisiko begrenzen,

▪ höhere Strafen für Diebstahl personenbeziehbarer Strafen,

▪ Nachweisbarkeit von Datendiebstahl deutlich verbessern.

 

  1. E-Government und digitale Projekte in Kommunen und Regionen vorantreiben

▪ Digitalisierung der Verwaltungsprozesse muss die Sichtweise der Bürger viel stärker berücksichtigen,

▪ Keine konkurrierenden oder doppelten Systeme mehr auf den verschiedenen Verwaltungsebenen,

▪ Leuchtturm-Projekte etablieren.

 

  1. Finanzierung der vorgeschlagenen Maßnahmen

▪ Solidaritätszuschlag oder Teile davon zweckgebunden für Digitalisierungskosten aufwenden,

▪ Mehrwertsteuererhöhung um ein Prozentpunkt auf 20 Prozent,

▪ Bei gleichbleibender Mehrwertsteuer die konjunkturbedingten Mehreinnahmen für die Digitalisierung einsetzen.

 

  1. Stärkung des Digitalisierungwissens

▪ ITK-Ausbildungsberufe stärker fördern,

▪ mehr IKT-Wissen von schulischem und akademischen Lehrpersonal fördern und fordern.

 

  1. Schaffung einer Koordinierungsstelle (»Digitalisierungsministerium«) auf Bundes- und EU-Ebene

▪ Koordination der Aktivitäten zwischen Bundesministerien und Ländern,

▪ Vertretung der deutschen Interessen in den Europäischen IT-Gremien.

 

  1. Agilität der Unternehmen unterstützen

▪ Lockerung des Arbeitszeitgesetzes,

▪ Ausnahme im Arbeitnehmerüberlassungsgesetz für IT-Berater und IT-Freiberufler.

 

https://voice-ev.org/sites/default/files/Forderungskatalog_Broschuere.pdf

 


 

Tag der Computersicherheit: Vier Tipps, um Hacker auszuschließen

Vom Hacker zum Einbrecher: Sicherheitslücke in Überwachungssystem für das Smart Home

IT-Sicherheit – Das Hacker-Risiko senken

Fünf wichtige Maßnahmen für bessere Cybersicherheit – denken wie ein Hacker

IT-Sicherheitsexperten können sich nicht immer auf ihre Lösungen verlassen – Hacker schlafen nicht

Zypries: Neuer Kompass zur IT-Verschlüsselung sorgt für mehr Sicherheit für Unternehmen

Weitere Artikel zu