Themenkomplex IT-Sicherheit im Koalitionsvertragsentwurf

TeleTrusT sieht sowohl gute Ansätze als auch Widersprüche

[datensicherheit.de, 12.02.2018] Der Bundesverband IT-Sicherheit e.V. (TeleTrusT) begrüßt einzelne Inhalte des Koalitionsvertragsentwurfes, soweit sie sich auf den Themenkreis IT-Sicherheit beziehen. Insbesondere greife der Vertragsentwurf die TeleTrusT-Forderung nach Entwicklung einer übergreifenden Cybersicherheitsstrategie auf („Cyberpakt“). Gleichwohl blieben Inkonsistenzen.

TeleTrusT begrüßt ausdrücklich die Aussagen des Koalitionsvertrages zu Innovation, Digitaler Souveränität und Interdisziplinarität sowie zur Stärkung der IT-Sicherheitsforschung insbesondere auf den Gebieten Blockchain und Quantencomputing (Kapitel IV „Offensive für Bildung, Forschung und Digitalisierung“; Unterkapitel „Digitalisierung“).

Prinzip „Security by Design“ soll gefördert werden

Zustimmung findet auch die Absicht, das Produktsicherheitsrecht zu novellieren und für verbrauchernahe Produkte die IT-Sicherheit u.a. durch die Einführung einer „gewährleistungsähnlichen Herstellerhaftung“ zu erhöhen. Ferner wollen Union und SPD die Verbreitung sicherer Produkte und das Prinzip „Security by Design“ fördern. Letzteres bedeute, dass bei der Entwicklung von Hard- und Software schon von Beginn an darauf geachtet werde, dass Systeme frei von Schwachstellen und so gegen Cybertattacken geschützt sind und nicht erst am Ende der Entwicklungskette. Das entspreche früheren TeleTrusT-Forderungen. Zudem soll ein Gütesiegel für IT-Sicherheit auf Produkten mehr Transparenz für Verbraucher schaffen.

Positivbewertet der Verband das Vorhaben, die Rolle des Bundesamtes für die Sicherheit in der Informationstechnik im Verbraucherschutz zu stärken und Unternehmen zur Offenlegung und zur Beseitigung von Sicherheitslücken zu verpflichten. Zu begrüßen sei auch die Zielsetzung, „Ende-zu-Ende-Verschlüsselung für jedermann verfügbar“ zu machen und es Bürgerinnen und Bürgern zu ermöglichen, „verschlüsselt mit der Verwaltung über gängige Standards zu kommunizieren“. Dieser sinnvolle Ansatz werde allerdings nicht konsequent durchgehalten und teils konterkariert, denn weder sei ein Verbot für staatliche Stellen, Zero Day Exploits anzukaufen, noch eine ausdrückliche Verpflichtung dieser Stellen, derartige Sicherheitslücken bekanntzumachen, beabsichtigt. Stattdessen heiße es: „Es darf für die Befugnisse der Polizei zu Eingriffen in das Fernmeldegeheimnis zum Schutz der Bevölkerung keinen Unterschied machen, ob die Nutzer sich zur Kommunikation der klassischen Telefonie oder klassischer SMS bedienen oder ob sie auf internetbasierte Messenger-Dienste ausweichen.“ Dies könne nur so verstanden werden, dass die Sicherheitsbehörden entweder die Möglichkeit haben sollten, auch verschlüsselte Kommunikation mitzulesen oder diese Kommunikation unter Ausnutzung von Sicherheitslücken mit Hilfe der Quellen-TKÜ in unverschlüsselter Form mitzulesen. Mit der Zielsetzung, die IT-Sicherheit insgesamt zu verbessern, passe keine der beiden Varianten zusammen.

Weitere Informationen zum Thema:

datensicherheit.de, 31.01.2018
Koalitionsvertrag: Digitalisierung und Informationssicherheit müssen politische Zielsetzungen sein

datensicherheit.de, 08.08.2017
„Bundestrojaner“: TeleTrusT kündigt Verfassungsbeschwerde an