Bundesverband IT-Sicherheit e.V.

TeleTrusT engagiert sich

Logo des European Telecommunications Standards Institute (ETSI)

Stellungnahmen

TeleTrusT warnt vor Absenkung des IT-Sicherheitsniveaus durch TTIP

09.03.2015

Das Transatlantische Handels- und Investitionspartnerschaftsabkommen (TTIP) wird in der öffentlichen Diskussion zu Recht einer kritischen Betrachtung unterzogen. TeleTrusT warnt davor, dass TTIP zu einer Absenkung der deutschen bzw. europäischen Datenschutz- und IT-Sicherheitsstandards führen könnte.

In Verbindung mit TTIP befürchtet TeleTrusT einen Verlust hoher europäischer Qualitätsstandards. Dies betrifft die Gebiete Datenschutz und IT-Sicherheit sowie die aus TTIP abzuleitende IT-Standardisierung. TTIP beinhaltet den Ansatz, dass sich die Verhandlungsparteien auf Standards einigen werden, nach denen ein Marktzugang für Produkte und Dienstleistungen auch im IT-Bereich sichergestellt sein wird. Hieraus ergeben sich wichtige Impulse für die nationalen Vorgaben an IT-Sicherheitsprodukte.

Das Thema IT-Sicherheit und im Besonderen das zentrale Element Kryptoalgorithmen sind in Bezug auf TTIP aufmerksam zu beobachten. Dies unter dem Aspekt, dass nationale Institutionen - wie z.B. in Deutschland das BSI - als Sachwalter hoher Standards nicht direkt in die Verhandlungen involviert ist, sondern ihre Vorstellung den Verhandlungsführern der EU-Kommission erst nahebringen müssen, um zu vermeiden, dass TTIP in diesem Zusammenhang durch amerikanische NIST-Standards geprägt wird. Wenn dies nicht mehr zu verhandeln wäre, würde es die gesamte deutsche IT-Sicherheitsindustrie betreffen.

TeleTrusT geht von folgenden Prämissen aus und versteht sie als Handlungsaufforderung an die politischen Entscheidungs- und TTIP-Verhandlungsträger:

  1. Die ITK-Industrie profitiert von globalen Standards und globalen technischen Spezifikationen, aber die TTIP-Verhandlungen dürfen nicht im Wege politischer Zugeständnisse in eine Abwärtsspirale für IT-Sicherheitsstandards münden.
  2. TTIP darf in Bezug auf IT-Sicherheit nicht zu einem geringeren Sicherheitsniveau für kommerzielle IT-Produkte führen, insbesondere nicht zu schwächeren Kryptoalgorithmen.
  3. Grundsätzlich ist ein Handelsabkommen zwischen den USA und der EU zu begrüßen. Die Snowden-Affäre hat aber deutlich werden lassen, dass Europa sich nicht auf das grundsätzliche andere 'Privacy'-Verständnis der USA einlassen sollte.
  4. Bei Schaffung eines gemeinsamen Wirtschaftsraums ist zu erwarten, dass deutlich mehr Daten, insbesondere personenbezogene Daten, zwischen der EU und den USA hin- und herfließen werden. Dies darf nicht ohne abgestimmtes Datenschutzverständnis geschehen. Das Fehlen einheitlicher Standards würde ansonsten zu unterschiedlichen, wettbewerbsverzerrenden Anforderungen an Unternehmen dies- und jenseits des Atlantiks führen.
  5. Der liberalisierte Zugang zu öffentlichen Aufträgen darf die nationale digitale Souveränität nicht gefährden.  

TeleTrusT: Staatlicher Zugriff auf Verschlüsselung ist kein zielführender Ansatz

26.01.2015

Die aktuelle Diskussion bezüglich staatlicher Einflussnahme auf Verschlüsselung mag angesichts der aktuellen Bedrohungslage von der grundsätzlichen Motivation her zwar nachvollziehbar erscheinen, gleichwohl bedarf das Thema "Verschlüsselung" der sorgfältigen Güter- und Interessenabwägung. Der Ansatz, bei Nutzung von Verschlüsselung dem Staat Schlüsselzugang gewähren, beachtet unzureichend die politische, rechtliche und technische Dimension. Derartige Erwägungen sind nicht zielführend. Die Politik sollte Konsultationsangebote der Fachleute nutzen.

Aus Sicht von TeleTrusT stehen die politischen Forderungen im Gegensatz zur Absicht der "Digitalen Agenda" der Bundesregierung, Deutschland zum Verschlüsselungsstandort Nr. 1 zu entwickeln. Sicherheitsbehörden haben durch das G10-Gesetz - nach richterlichem Beschluss - ohnehin schon weitreichende Zugriffsmöglichkeiten auf Providerdaten. Regelungen zur Schlüsselhinterlegung oder zur verpflichtenden Implementierung von Zugangsmöglichkeiten für Sicherheitsbehörden würden das sowieso schon angeschlagene Vertrauen in die IT-Wirtschaft und den Schutz durch staatliche Stellen weiter erschüttern. Ohnehin würden dadurch lediglich bestehende, bislang vertrauenswürdige IT-Technologien und -Standards geschwächt, und es ist davon auszugehen, dass kriminelle oder terroristische Organisationen auf andere Möglichkeiten der Kommunikation ausweichen. Folge wäre dann lediglich eine flächendeckende Schwächung der Kryptolandschaft und der IT-Sicherheit unserer Gesellschaft.

TeleTrusT hält eine Einschränkung von Verschlüsselung bzw. ein Verbot starker Verschlüsselung in der Praxis nicht durchführbar, nicht zweckmäßig und verfassungsrechtlich bedenklich. Ein solches Verbot bedingte eine Reihe von Ausnahmen und Abgrenzungsschwierigkeiten, z.B. hinsichtlich Gesundheitsdaten, Mandantenschutz bei Rechtsanwälten oder Quellenschutz bei Journalisten. Wie soll aber in der Praxis zwischen rechtmäßiger und rechtswidriger Hinterlegung der Schlüssel bzw. Nutzung der Schlüssel durch staatliche Stellen im Einzelfall unterschieden werden, wenn die Daten doch verschlüsselt sind? Wie soll ein Unterlaufen des Verbots, z.B. durch Steganografie, verhindert werden? Insbesondere wäre völlig unklar, wie eine Schlüsselhinterlegung technisch und rechtlich im Rahmen des grenzüberschreitenden Datenverkehrs greifen soll, insbesondere, wenn er durch "unsichere" Länder erfolgt?

Ein universeller Zugriff auf verschlüsselte Kommunikation könnte - wenn überhaupt - nur über eine Fülle von nachhaltigen Eingriffen in die Internet-Infrastruktur sichergestellt werden. Im Internet werden ca. 15 % aller IP-Pakete verschlüsselt; der größte Teil mit SSL, z.B. die Verbindung zwischen Browsern und Web-Servern und ein kleinerer Teil mit IPSec für die Sicherung der Kommunikation zwischen Unternehmen oder Unternehmensteilen. Dies ist bei Weitem zu wenig. Es ist an der Zeit zu erörtern, wie das Risiko eines Schadens für Bürger und Unternehmen im immer wichtiger werdenden Internet auf ein akzeptables Maß reduziert werden kann, z.B. durch stärkere Verbreitung und Nutzung von Verschlüsselungsanwendungen.

Eine Gesellschaft, die durch ihre freiheitliche, demokratische Verfassung auf die Eigenverantwortung des Einzelnen setzt, benötigt die Gewissheit, dass der Einzelne seine Privatsphäre wirksam schützen kann. Ungeachtet dessen muss sie darauf vertrauen können, dass auch die staatlichen Stellen ihrem verfassungsrechtlichen Auftrag zum Schutz der Grundrechte der Bürger hinreichend nachkommen.


Positionspapier zu "Big Data"

24.06.2014


Stellungnahme zum Vorschlag für eine Verordnung des Europäischen Parlaments und des Rates über die elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen im Binnenmarkt

19.07.2013


Kommentar zur Position von Bündnis 90/Die Grünen zu "QES + De-Mail" (Beratung der Gesetzentwürfe zur Förderung des elektronischen Rechtsverkehrs)

25.03.2013


Stellungnahme zum Referentenentwurf des Bundesministeriums des Innern für ein "Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme"

09.03.2013

Ergänzend hierzu hat TeleTrusT im November 2014 anlässlich der Verbändeanhörung zum fortentwickelten Entwurf des IT-Sicherheitsgesetzes kommentiert:

Stellungnahme zum Entwurf eines Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme - IT-Sicherheitsgesetz - (Referentenentwurf des Bundesministeriums des Innern) vom 04.11.2014 im Rahmen der Beteiligung von Verbänden und Fachkreisen

1) Zu § 8a Absatz 2 des Entwurfes regen wir folgende Änderungen an:

(…)

"Betreiber Kritischer Infrastrukturen und (Streichung: ihre) Branchenverbände können branchenspezifische (Ergänzung: oder branchenübergreifende) Sicherheitsstandards zur Gewährleistung der Anforderungen nach Absatz 1 vorschlagen. Das Bundesamt stellt im Benehmen mit dem Bundesamt für Bevölkerungsschutz und Katastrophenhilfe sowie im Einvernehmen mit der zuständigen Aufsichtsbehörde des Bundes oder im Benehmen mit der sonst zuständigen Aufsichtsbehörde auf Antrag fest, ob diese geeignet sind, die Anforderungen nach Absatz 1 zu gewährleisten."

Als Begründung verweisen wir auf mögliche Synergieeffekte mit anderweitigen Standardisierungsaktivitäten auch außerhalb Kritischer Infrastrukturen.

2) Komplementär verweisen wir im Besonderen auf die von TeleTrusT vorgeschlagenen "Wirkungsklassen" (siehe TeleTrusT-Strategiedokument vom 01.09.2014, das dem BMI und BMWi vorliegt):

https://www.teletrust.de/it-sicherheitsstrategie/ bzw. https://www.teletrust.de/uploads/media/IT-Sicherheitsstrategie_f%C3%BCr_Deutschland_TeleTrusT-Konzept.pdf

Zur Ausgestaltung einer IT-Sicherheitsstrategie für Deutschland werden darin pragmatische Wirkungsklassen von IT-Sicherheitsmaßnahmen für unterschiedliche Schutzbedarfe definiert und in Bezug zu den Nutzerkreisen gesetzt. Die Wirkungsklassen erlauben eine strukturierte Analyse und zweckorientierte Umsetzung der erforderlichen Maßnahmen.


Positionspapier der TeleTrusT-AG "Biometrie" zu Biometrie-Einsatz in der Arbeitswelt

05.09.2012


Stellungnahme des TeleTrusT-Koordinierungskreises "Signaturanwendungs-Hersteller" zum Vorschlag EU-Verordnung über die elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen im Binnenmarkt

16.07.2012


Positionspapier zur IT-Sicherheit im Smart Grid

30.05.2011


Positionspapier der TeleTrusT-AG "Biometrie" zu Körperscannern

23.03.2011


Stellungnahme des TeleTrusT-Koordinierungskreises "Signaturanwendungs-Hersteller" zum Steuervereinfachungsgesetz

09.03.2011


Stellungnahme zur Qualifizierten Elektronischen Signatur (QES)

27.01.2011


Stellungnahme zum De-Mail Gesetzentwurf

27.07.2010


Stellungnahme zu den Plänen der EU-Kommission betreffend die europäische Normung

05.05.2010


Stellungnahme gegen Abschottung des chinesischen Marktes für Kryptografie-Produkte

08.02.2010


Stellungnahme zum EU-Expertenbericht zu "Elektronischer Rechnungslegung"

11.01.2010


Stellungnahme zu Gefahren im Internet

15.06.2009


Stellungnahmen zu diversen Vorhaben externer Gremien

27.07.2007

Kontroverse Diskussion zur Online-Durchsuchung

TTT-Positionspapier zur Förderung von vertrauenswürdigen Informations- und Kommunikationstechniken.

27.10.2006

TTT-Stellungnahme zum Entwurf eines Strafrechtsänderungsgesetzes zur Bekämpfung der Computerkriminalität (StrÄndG).

08.05.2006

TTT-Vorschläge zum weiteren Vorgehen nach dem Bericht der Kommission an das europäische Parlament und den Rat "Bericht über die Anwendung der Richtlinie 1999/93/EG über gemeinschaftliche Rahmenbedingungen für elektronische Signaturen" vom 15.03.2006.

05.04.2005

TTT-Stellungnahme zur eCard-Initiative der Bundesregierung und zugehörige Pressemitteilung von BMI, BMWA, BMF und BMGS vom 09.03.2005.

05.07.2004

TTT-Stellungnahme zum 1. SigÄndG vom 01.04.2004 (Begründung zum 1. SigÄndG).

31.07.2003

TTT-Stellungnahme für die Erarbeitung einer deutschen Position zur Evaluierung der EG-Signaturrichtlinie 1999/93/EG.

31.05.2003

Gemeinsame Stellungnahme von BITKOM und TTT zum Vorhaben der Europäischen Kommission, eine "Europäische Agentur für Netzwerk- und Informationssicherheit - ENISA" zu gründen.

Bezug: Diskussionspapier der Europäischen Kommission vom Februar 2003.

16.05.2003

TTT-Stellungnahme zur strategischen Neuausrichtung des BSI bei der Produktzertifizierung auf Grundlage des Protokolls der 2. Sitzung des Runden Tisches Kryptowirtschaft am 27. März 2003.

23.09.2002

TTT-Thesen zum Signaturbündnis der Bundesregierung.

TeleTrusT-Mitgliedschaft

TeleTrusT-Kalender

Mai - 2015
Mo Di Mi Do Fr Sa So
  01 02 03
04 05
06
07
08 09 10
11 12 13 14 15 16 17
18
19
20
21
22 23 24
25 26 27 28 29 31
Mittwoch, 06.05.2015
- TeleTrusT-AG "Smart Grids"
Die nächste Sitzung der TeleTrusT-AG "Smart Grids / Industrial Security" findet am 06.05.2015 in Berlin statt.
Donnerstag, 07.05.2015
- TeleTrusT-Regionalstelle Stuttgart
Das nächste Treffen der TeleTrusT-Regionalstelle Stuttgart findet am 07.05.2015 in Ludwigsburg statt.
Dienstag, 19.05.2015
- 14. Deutscher IT-Sicherheitskongress
19.05. - 21.05.2015, Bad Godesberg (TeleTrusT-Partnerveranstaltung)
Mittwoch, 20.05.2015
- 14. Deutscher IT-Sicherheitskongress
19.05. - 21.05.2015, Bad Godesberg (TeleTrusT-Partnerveranstaltung)
Donnerstag, 21.05.2015
- 14. Deutscher IT-Sicherheitskongress
19.05. - 21.05.2015, Bad Godesberg (TeleTrusT-Partnerveranstaltung)

TeleTrusT-Anbieterverzeichnis

Service: securityNews


Quelle: www.it-sicherheit.de

TeleTrusT-Mitglieder

  • Link zur Mitgliederliste
  • Link zur Mitgliederliste
  • Link zur Mitgliederliste
  • Link zur Mitgliederliste
  • Link zur Mitgliederliste

Verbandsbeziehungen