[datensicherheit.de, 06.12.2022] Der eco Verband der Internetwirtschaft e.V. geht in seiner aktuellen Stellungnahme auf die für den 7. Dezember 2022 geplante Verabschiedung von Eckpunkten für einheitliche Schutzstandards in Unternehmen der Kritischen Infrastruktur (KRITIS) durch das Bundeskabinett auf Betreiben der Bundesinnenministerin, Nancy Faeser, ein. Diese sind demnach der erste Schritt hin zu einem im Koalitionsvertrag von SPD, Grünen und FDP vereinbarten „KRITIS-Dachgesetz“, in dem die Vorschriften gebündelt werden sollen. Der eco fordert nach eigenen Angaben hierzu eine sinnvolle Regulierung mit Augenmaß.

Deutscher Rechtsrahmen für KRITIS-Schutz soll in europäisches Gesamtsystem eingebettet werden

„Dass mit dem KRITIS-Dachgesetz ganzheitliche Schutzstandards Kritischer Infrastrukturen definiert werden sollen, die über den bereits bestehenden Schutz vor IT-Sicherheitsvorfällen hinausgehen, begrüßen wir als Verband der Internetwirtschaft nachdrücklich“, betont eco-Vorstand Klaus Landefeld. Auch die Absicht, den deutschen Rechtsrahmen für den KRITIS-Schutz in ein europäisches Gesamtsystem einzubetten, sei richtig und notwendig.

Bei der konkreten Ausgestaltung dieses Gesetzes sei jedoch unbedingt Augenmaß gefragt: „Betreiber von KRITIS dürfen nicht einfach einseitig und unverhältnismäßig stark in die Pflicht genommen und beispielsweise durch zahlreiche neue, parallele Meldeverpflichtungen belastet werden.“ Diese könnten zu einer Zielerreichung nur indirekt beitragen.

Auch Nicht-KRITIS-Bereiche sollten stärker in Planungen einbezogen werden

Für eine Stärkung der Handlungsfähigkeit und Resilienz von Wirtschaft, Staat und Gesellschaft gegen Bedrohungen müssten insbesondere auch die Nicht-KRITIS-Bereiche stärker in die Planungen mit einbezogen und auch mit in die Verantwortung genommen werden, fordert Landefeld. Aus eco-Sicht könnte die in den Eckpunkten vorgesehene Schaffung einer neuen Koordinierungsinstanz beim Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) im Bereich der IT-Sicherheit zu einem „erhöhten Bürokratie-Aufkommen für die Unternehmen“ führen. Da weiterhin das Bundesamt für Sicherheit in der Informationstechnik (BSI) primär zuständig sein solle, seien parallele Zuständigkeiten unvermeidbar.

Landefeld moniert abschließend: „Wie die Zusammenarbeit und Aufgabenteilung zwischen dem BBK und dem BSI künftig ganz konkret aussehen soll, lassen die Eckpunkte bislang völlig offen.“ Neue Berichtsverpflichtungen und Meldeauflagen für die Unternehmen dürften aber keinesfalls zu aufgeblähten Bürokratie-Abläufen und Mehrfachmeldungen führen, ohne dabei eine tatsächliche Verbesserung der Sicherheitslage und Verfügbarkeit durch verbesserte Vorkehrungen und Abläufe im Krisenfall zu erreichen.

[datensicherheit.de, 19.07.2022] Laut einer aktuellen Mitteilung des Bundesamts für Bevölkerungsschutz und Katastrophenhilfe (BBK) haben die Innenminister von Bund und Ländern beschlossen, dass der „Warntag 2022“ am 8. Dezember stattfinden soll. Ziel sei es, die Menschen in Deutschland über die unterschiedlichen Warnmittel in Gefahrensituationen zu informieren und damit auch stärker auf den Bevölkerungsschutz insgesamt aufmerksam zu machen.

Warntag als gemeinsamer Aktionstag des Bundes und der Länder

„Der ,Warntag‘ ist ein gemeinsamer Aktionstag bei dem Bund und Länder, sowie teilnehmende Kreise, Städte und Gemeinden in einer Übung ihre Warnmittel erproben.“ Um 11.00 Uhr werden demnach die beteiligten Behörden und Einsatzkräfte zeitgleich unterschiedliche Warnmittel aktivieren.

„Wir müssen uns für die Zukunft besser für Krisenlagen wie Wetterextreme, Waldbrände oder Hochwasser wappnen. Dazu gehören vor allem moderne Systeme, um die Bevölkerung bei Gefahren schnell und zielgerichtet zu warnen“, so Bundesinnenministerin Nancy Faeser. Neue Systeme müssten getestet werden, um sie später präzise einsetzen zu können.

Am Warntag 2022 geht erstmals Test-Warnmeldung der höchsten Warnstufe bundesweit an Mobiltelefone

Am 8. Dezember 2022 werde es deshalb einen bundesweiten „Warntag“ geben, bei dem auch erstmals eine Test-Warnmeldung der höchsten Warnstufe bundesweit an Mobiltelefone versandt werden soll. Dies sei der erste Test für die Warnung per „Cell Broadcast“.

BMin. Faeser: „Wir brauchen für eine effektive und verlässliche Warninfrastruktur verschiedene Warnsysteme. Dazu gehören auch Sirenen und unsere Warn-App ,NINA‘. Beim bundesweiten Warntag werden wir alle in Deutschland genutzten Warnmittel erproben.“

Mit bundesweitem Warntag 2022 Start einer intensiven Testphase für Cell Broadcast

Der BBK-Präsident, Ralph Tiesler, ergänzt: „Mit dem bundesweiten ,Warntag 2022‘ wird auch eine intensive Testphase für ,Cell Broadcast‘ eingeleitet. Diese bedeutet einen neuen Stellenwert in der Zusammenarbeit mit der Bevölkerung: Während die Menschen die Testphase nutzen können, um sich mit dem neuen Warnkanal vertraut zu machen, werden wir mit dem Feedback und den Live-Rückschlüssen daraus die beteiligten Schnittstellen weiter bestmöglich aufeinander abstimmen.“

Dadurch werde es möglich, technische Anpassungen und Optimierungen so vorzunehmen, dass zum angestrebten Wirkbetrieb ab 2023 „Cell Broadcast“ optimal genutzt und in den Warnmix integriert werde.

Mobilfunknutzer sollen bis zum Warntag 2022 über Empfangsmöglichkeiten informiert werden

Aktuell werde gemeinsam mit den Mobilfunk-Netzbetreibern mit Hochdruck an der Einführung des neuen Warnkanals „Cell Broadcast“ gearbeitet. Im Rahmen des „Warntags 2022“ solle der Warnkanal „Cell Broadcast“ erstmalig getestet werden. Dazu soll eine Test-Warnmeldung bundesweit versendet werden. Diese erscheine dann auf allen Endgeräten, „die in einer Mobilfunkzelle eingebucht sind und über die Empfangsfähigkeit von ,Cell Broadcast‘-Nachrichten verfügen“.

Mobilfunknutzer sollen bis zum „Warntag“ über diese Möglichkeiten informiert werden. Ende Februar 2023 werde dann „Cell Broadcast“ den Wirkbetrieb aufnehmen und die bisherigen Warnmittel wie die Warn-App „NINA“, Radio, Fernsehen oder digitale Werbetafeln ergänzen.

Weitere Informationen zum Thema:

Bundesamt für Bevölkerungsschutz und Katastrophenhilfe
Warnmittel

[datensicherheit.de, 18.07.2022] Am 12. Juli 2022 hatte Bundesinnenministerin Nancy Faeser die „Cybersicherheitsagenda“ vorgestellt. Dazu erklärt Auch Sascha Plathen, „Director Enterprise Sales EMEA“ bei Trellix, begrüßt in seinem Kommentar prinzipiell diesen Schritt – er sieht sogar die Regierungen in der Pflicht, insbesondere wenn es um die Koordination von Cyber-Abwehrmaßnahmen, der Weitergabe von Bedrohungsdaten und der Integrität der Software-Lieferkette geht.

Trellix sieht entscheidenden Schritt in die richtige Richtung

„Wir begrüßen die Entscheidung der Bundesregierung und der Innenministerin, den Schutz vor Cyber-Attacken massiv auszubauen. Denn die weltweiten Spannungen und die vermehrten Cyber-Angriffe auf staatliche Einrichtungen und Kritische Infrastrukturen zeigen deutlich, dass ohne eine zukunftsgerichtete Cyber-Sicherheit die enormen Potenziale der Digitalisierung nicht realisiert werden können“, so Plathen.

Deutschland mache mit der sogenannten Cybersicherheitsagenda einen entscheidenden Schritt in die richtige Richtung, um sich besser gegen Cyber-Angriffe zu schützen und sich optimal gegen Angreifer zu wappnen.

Trellix habe kürzlich die „Cyber Readiness“ öffentlicher Einrichtungen und Kritischer Infrastrukturen untersucht. „In dem Bericht konnten wir feststellen, dass es deutliche Defizite bei Softwarelieferketten und Cyber-Kompetenz gibt. Dabei gaben auch 87 Prozent der Befragten an, dass staatliche Initiativen eine wichtige Rolle in Bezug auf die Stärkung der nationalen Cyber-Abwehr spielen.“, berichtet Plathen.

Trellix fordert Umsetzung entsprechender Lösungen

Sie sähen sogar die Regierungen in der Pflicht, „insbesondere wenn es um die Koordination von Cyber-Abwehrmaßnahmen, der Weitergabe von Bedrohungsdaten und der Integrität der Softwarelieferkette geht“.

Daher sei das Vorhaben der Bundesregierung über eine neue Kooperationsplattform beim Bundesamt für Sicherheit in der Informationstechnik (BSI) den Schutz von Wirtschaft und Gesellschaft zu verbessern ein „wichtiger und vor allem auch gewollter Ansatz“.

Indes führt er abschließend aus: „Vor dem Mangel an Cyber-Fachkräften darf sich auch die Bundesregierung nicht verstecken, denn dies führt dazu, dass die Implementierung wichtiger, innovativer Technologien verlangsamt oder sogar verhindert wird.“ Das Vorhaben der Bundesregierung in Bezug auf Cyber-Sicherheit sei irrelevant, „wenn die entsprechenden Lösungen nicht umgesetzt werden können und die Offenheit gegenüber neuen Technologien wie XDR (Extended Detection and Response) fehlt“.

Weitere Informationen zum Thema:

Trellix, 14.04.2022
Cyber Readiness in Europe: France, Germany & the United Kingdom

Bundesministerium des Innern und für Heimat
Cybersicherheitsagenda des Bundesministeriums des Innern und für Heimat / Ziele und Maßnahmen für die 20. Legislaturperiode

datensicherheit.de, 14.07.2022
Cybersicherheitsagenda droht ins Leere zu laufen / Roger Scheer hebt Erfolgsfaktor der Cyber-Hygiene hervor

datensicherheit.de, 13.07.2022
Cybersicherheitsagenda: Berücksichtigung der Bürger und technische Modernisierung gefordert / Christian Borst kommentiert nationale Cyber-Schutzstrategie gegen Hacker-Angriffe

datensicherheit.de, 13.07.2022
Cybersicherheitsagenda: eco bezieht Position zur Cyber-Sicherheit für alle / eco-Vorstandsmitglied Prof. Dr. Norbert Pohlmann kommentiert vorgestelltes Papier des Bundesinnenministeriums

[datensicherheit.de, 13.07.2022] Der eco – Verband der Internetwirtschaft e.V. hat die am 12. Juli 2022 von Bundesinnenministerin Nancy Faeser vorgestellte „Cybersicherheitsagenda“ von seinem Vorstand „IT Sicherheit“, Prof. Dr. Norbert Pohlmann, kommentieren lassen:

Foto: eco e.V.

Prof. Dr. Norbert Pohlmann: BMI sollte Pläne noch einmal kritisch prüfen!

eco-Forderung nach Verbesserung des Informationsaustauschs zwischen Wirtschaft und Verwaltung

„eco begrüßt, dass die Bundesregierung die Erhöhung der Cyber-Sicherheit entschlossen vorantreibt“, unterstreicht Professor Pohlmann. Die Stärkung der Resilienz digitaler Infrastrukturen und die Stärkung einer unabhängigen Rolle des BSI sehe der eco als wichtige Faktoren für mehr Vertrauen in den Staat als Akteur in der Cyber-Sicherheitspolitik.

Er fordert indes: „Der Informationsaustausch zwischen Wirtschaft und Verwaltung muss dringend verbessert werden, so dass bestehende Sicherheitslücken möglichst schnell geschlossen werden können.“

Eine engere und gezielte Zusammenarbeit zwischen allen Stakeholdern wie Staat, Anwender- sowie Anbieterwirtschaft und Forschung im Bereich Cyber-Sicherheitstechnologien werde helfen, die Mammut-Aufgabe „Cyber-Sicherheit für alle“ gemeinsam zu bewältigen.

eco moniert gegenwärtige Regelungen zum Schwachstellen-Management

„Gleichzeitig weisen wir aber auch darauf hin, dass Teile der vorgelegten Agenda aktuell noch zu unbestimmt formuliert sind und daher kritisch hinterfragt werden müssen“, moniert Professor Pohlmann. Dies betreffe zum Beispiel die Regelungen zum Schwachstellen-Management, aber auch die geplante Ausweitung der staatlichen Befugnisse zur Aufklärung technischer Sachverhalte, welche unter Umständen auch aus eco-Sicht problematische Mittel wie Staatstrojaner oder „Hackbacks“ einschließen könnten.

Es müsse klar sein, dass eine Erhöhung der IT-Sicherheit nicht auf Kosten bürgerlicher Freiheiten im Netz gehen dürfe. Massive Eingriffe in die Vertraulichkeit elektronischer Kommunikation könnten das Vertrauen der Bürger in digitale Technologien untergraben und gleichzeitig selbst zum Sicherheitsrisiko im Netz werden.

Professor Pohlmanns abschließender Aufruf: „Die Internetwirtschaft appelliert daher an das BMI, seine Pläne unter diesen Gesichtspunkten noch einmal kritisch zu prüfen und hofft auf einen konstruktiven Dialog bei der Umsetzung der Agenda.“

Weitere Informationen zum Thema:

Bundesministerium des Innern und für Heimat
Cybersicherheitsagenda des Bundesministeriums des Innern und für Heimat / Ziele und Maßnahmen für die 20. Legislaturperiode

datensicherheit.de, 13.07.2022
Cybersicherheitsagenda: Berücksichtigung der Bürger und technische Modernisierung gefordert / Christian Borst kommentiert nationale Cyber-Schutzstrategie gegen Hacker-Angriffe

datensicherheit.de, 06.07.2022
eco-Stellungnahme zum Entwurf der Digitalstrategie der Bundesregierung / Für den eco zentrale Faktoren insgesamt zu vage und sollten weiter konkretisiert werden

[datensicherheit.de, 18.05.2022] Der Digitalcourage e.V. fordert in seiner aktuellen Stellungnahme, dass Bundesinnenministerin Nancy Faeser die drohende Massenüberwachung auf EU-Ebene verhindern müsse – mehr als 113.000 Menschen unterstützten bereits den Appell „Chat-Überwachung stoppen“.

Abbildung: Digitalcourage e.V.

Die EU-Kommission schlägt vor, dass Diensteanbieter die Kommunikation umfassend und ohne Anlass durchleuchten…

Liebesnachrichten, Urlaubsfotos, Familien-Chats usw. droht Überwachung

Liebesnachrichten, Urlaubsfotos, Familien-Chats – bislang seien solche Messenger-Nachrichten oft durch Ende-zu-Ende-Verschlüsselung vor dem Zugriff Dritter geschützt – doch das könnte sich bald ändern, warnt der Digitalcourage e.V.

Im vermeintlichen Kampf gegen Kindesmissbrauch schlägt die EU-Kommission nun u.a. vor, dass Diensteanbieter die Kommunikation umfassend und ohne Anlass durchleuchten und problematische Inhalte direkt an eine zentrale Stelle weiterleiten sollen.

In einem Appell fordert nun ein zivilgesellschaftliches Bündnis, bestehend aus Digitalcourage, Digitale Freiheit, Digitale Gesellschaft und Campact, Innenministerin Faeser auf, „diese anlasslose Massenüberwachung im EU-Ministerrat zu verhindern und stattdessen für echten Schutz von Kindern zu sorgen“.

EU-Kommission hat mit Chat-Kontrolle jegliches Maß verloren – Kommentare von Bürgerrechts-Organisationen:

Konstantin Macher, Sprecher für Digitalcourage:
„Die EU-Kommission hat mit der Chat-Kontrolle jegliches Maß verloren. Der Vorschlag der EU-Innenkommissarin macht aus dem Recht auf Privatsphäre eine Pflicht zur Überwachung. Jeder Beruf, der auf vertrauliche Kommunikation angewiesen ist, wird dadurch gefährdet, seien es Journalistinnen, Anwälte oder Ärztinnen. Autokraten auf der ganzen Welt werden sich diese Pläne abschauen und bei Kritik auf die EU verweisen.“ Dieser Vorschlag der EU-Kommission müsse daher umgehend zurückgewiesen werden!

Jakob Rieger, 2. Vorsitzender von Digitale Freiheit:
„Wir haben es hier mit dem umfassendsten Überwachungsgesetz der letzten zehn Jahre zu tun. Unter dem Deckmantel des Kinderschutzes soll das Recht auf Verschlüsselung und Chat-Geheimnis untergraben werden. Während Sicherheitsbehörden es weiterhin nicht als ihre Aufgabe sehen, Kindesmissbrauchsdarstellungen zuverlässig und schnell zu löschen, nutzen Kriminelle bereits heute Verbreitungswege, die nicht von den Scans betroffen wären.“ Notwendig seien gezielt helfende Maßnahmen, um Opfer von Missbrauch zu schützen und Täter zu verfolgen: „Mit Symbolpolitik die digitalen Freiheitsrechte der Zivilgesellschaft weiter auszuhöhlen, ist der falsche Weg!”

Tom Jennissen, Leitung Digitale Gesellschaft:
„Die Pläne der EU-Kommission sind erschreckend. Der Versuch, Kriminalität mit massenhafter Überwachung und automatisierter Kontrolle zu bekämpfen, untergräbt nicht nur die Sicherheit unserer Kommunikation, sondern die Grundpfeiler einer freien Gesellschaft.“ Würden in der analogen Kommunikation nicht nur Brief- und Fernmeldegeheimnis abgeschafft, sondern müssten die Post- und Telefonanbieter die gesamten Kommunikation auch überprüfen und entscheiden, „ob sie versendet werden darf oder an die Sicherheitsbehörden weiterzuleiten ist“, wäre die Empörung zurecht riesig!

Danny Schmidt, Campaigner bei Campact:
„Tritt die Regelung in Kraft, können Internetdienstanbieter wie ,Telegram‘ oder ,WhatsApp‘ dazu verpflichtet werden, jede Nachricht, die wir versenden automatisch zu scannen. Allerdings wäre absolut unklar, was genau gescannt wird und nach welchen Kriterien Bilder und Nachrichten eingestuft werden.“ Innenministerin Faeser müssr sich bei ihren EU-Kollegen dafür einsetzen, dass diese Tür zur anlasslosen Massenüberwachung verschlossen bleibt!

Weitere Informationen zum Thema:

digitalcourage, Konstantin Macher, 16.05.2022
Unser gemeinsamer Appell / Unterschreiben gegen Chatkontrolle