TeleTrusT engagiert sich

TeleTrusT - Bundesverband IT-Sicherheit e.V. ist Mitglied des European Telecommunications Standards Institute.

Für TeleTrusT-Infos

E-Mailadresse:

TeleTrusT-Video

TeleTrusT-Video

TeleTrusT-Kooperationen

IT-Security Management Conference 2019 Allianz für Cyber-Sicherheit Logo: Cryptocharta Logo: Cyber Security Challenge SecuPedia Logo: Sicherheits Expo München OMNISECURE Logo Mobile World Congress Logo: secIT RSA Conference Logo Logo: IT Security Insights Logo: Vietnam Security Summit InfoSecurity Logo: SDW 2018 D-A-CH Security Logo Innovation World qSkills Security Summit it-sa Logo Logo: it-sa India Logo: Internet Security Days 9. Österreichischer IT-Sicherheitstag 2012 Logo German Silicon Valley Accelerator Koordinierungsstelle IT-Sicherheit im DIN Deutsches Institut für Normung Logo: eab – European Association for Biometrics Verbraucher sicher online Open Signature Initiative SkIDentity Logo

Stellungnahmen

Erwägungen und Vorschläge in Bezug auf die Zusammenarbeit mit dem Bundesamt für Wirtschaft und Ausfuhrkontrolle (BAFA)

27.09.2019

Stärkung der Wettbewerbsfähigkeit deutscher Technologieunternehmen mit Produkten, die der Exportkontrolle unterliegen

I. Problem

Deutsche Hersteller von Soft- und Hardware sind durch die langwierigen Standardprozesse der BAFA-Voranfragen und Ausfuhrgenehmigungen sowie wechselnde Genehmigungsentscheidungen im internationalen Wettbewerb benachteiligt und werden daher von Endkunden teilweise gemieden. Europäische Mitbewerber werben zum Teil damit, dass Produkte "German-free" sind. Eine internationale Technologie- und Plattformführerschaft deutscher und europäischer Firmen wird dadurch verhindert. Zudem fehlt es deutschen Unternehmen an Planungssicherheit in Bezug auf Investition in den internationalen Geschäftsaufbau in diversen Zielländern und Kundensegmenten.

Vor der Entscheidung für Soft- und Hardwareakquisitionen wünschen internationale Kunden aus dem öffentlichen und privaten Sektor die Technologien in einem sogenannten Proof of Concept (POC) zu testen. Bei einem POC wird die Soft- oder Hardware in einem Zeitraum von einer Woche bis drei Monaten in Testsystemen oder durch eine begrenzte Anzahl an Endnutzern auf ihre Verwendbarkeit hin geprüft. Dies geschieht gegen ein Entgelt oder kostenlos.

Es entspricht nicht den Erwartungen der Kunden und den schnelllebigen Charakteristika von Soft- und Hardwaretechnologien (z.B. Entwicklungszyklen, Bedarfen), dass man sechs Monate und mehr auf diese Tests warten muss bzw. auf die Information, ob ein Erwerb bzw. Test überhaupt möglich ist. Darüber hinaus verhindert der Ausfuhrgenehmigungsprozess und seine Dauer, dass deutsche Firmen hoch skalierbare und profitable Geschäftsmodelle nutzen können (z.B. Cloud / Software as a Service). 

Darüber hinaus besteht für deutsche Soft- und Hardwarehersteller mit vergleichbaren genehmigungspflichtigen Produkten keine Transparenz über die Ausfuhrentscheidungen des BAFA. Dadurch entstehen sowohl in den Unternehmen, als auch beim BAFA Doppelaufwände durch die Bearbeitung von Anträgen für die gleichen Produkte und Endkunden (Stichwort: Bürokratiekosten).

II. Vorschläge

1. Etablieren eines verlässlichen und transparenten Prüfungsprozesses

Insbesondere der unklare Zeitrahmen der Prüfung verursacht die größten Schäden im Markt. Aus Sicht des Kunden wird die Notwendigkeit eines zu prüfenden Exportverfahrens durchaus verstanden. Geschickt kommuniziert wird dies sogar als Qualitätsmerkmal begriffen. Unsicherheit entsteht durch nicht eindeutige Zeitabläufe. Diese werden als Unzuverlässigkeit begriffen. Dies trifft insbesondere bei Anträgen zu, bei denen andere Ministerien beteiligt werden müssen. Ein angemessener Zeitrahmen sollte definiert werden (z.B. zwei Monate eines "Standardantrages" und vier Monate bei Beteiligung weiterer Bedarfsträger), - dies sollte im Zweifelsfall aber nicht zu negativen Bescheiden führen.

2. Etablieren eines verkürzten und verlässlichen Rahmens für Nachfolgeanträge

Verständlicherweise können sich politische Rahmenbedingungen tagesaktuell ändern. Dennoch wird es in den Kundenbeziehungen mit schon existenten Projekten als Unzuverlässigkeit wahrgenommen, wenn Nachfolgeanträge (gleiches Land, gleicher Kunde, teilweise gleiches Projekt) trotz vorheriger Prüfung wiederum in Unplanbarkeit und damit Projektunsicherheit resultieren. Eine Priorisierung oder verkürzte Prüfung auf Basis von bestehenden Projekten (innerhalb eines vernünftigen Zeitraums) wäre aus Sicht der Industrie notwendig.

3. Etablieren eines neuen Prozesses für POCs im Soft- und Hardwarebereich

Der deutsche Hersteller von Soft- und Hardware meldet den Start und das Ende des POC bei dem BAFA an und kann sofort damit beginnen. Der Hersteller verpflichtet sich nach dem Ende des POC die Produkte nach Deutschland zurückzuführen oder bis zum Erhalt einer Ausfuhrgenehmigung in einem nicht verwendbaren Zustand beim Kunden zu belassen. Parallel zum POC findet der Prozess der Voranfrage oder Ausfuhrgenehmigung statt. Sollte eine Ablehnung erfolgen, werden die Soft- und Hardware nach dem Ende des POCs zurückgenommen.

4. Etablieren einer jährlich überarbeiteten Positivliste deutscher Soft- und Hardware, Staaten und Endkunden außerhalb von EU und NATO, an die genehmigungspflichtige Soft- und Hardware ohne Ausfuhrgenehmigung verkauft werden können

Diese Positivliste könnte insbesondere für Dual-Use-Güter für eine Reihe nicht-militärischer Kunden und ganze Warengruppen definiert werden. Dadurch können die Unternehmen einen informierten Kundendialog führen und müssen das BAFA nicht mit Voranfragen belasten. Zudem kann die Bearbeitungszeit im BAFA für Ausfuhrgenehmigungen drastisch reduziert werden. Da eine derartige Liste niemals alle Länder und Endkunden abdecken kann, werden Kunden, die nicht genannt werden, über den regulären Prozess nach Bedarf geprüft. Die Ergebnisse der Prüfung werden in die Positivliste überführt.

5. Etablierung einer täglich einsehbaren Liste über die bestehenden Genehmigungen für Soft- und Hardwareprodukte ohne Nennung der beantragenden Firma zur Wahrung von Geschäftsgeheimnissen

Beispiel: E-Mailverschlüsselungssoftware / Indonesien / Verteidigungsministerium

Dadurch können die Unternehmen einen informierten Kundendialog führen und einen Antrag komplett vermeiden, wenn sie ebenfalls eine Soft- oder Hardware an das Verteidigungsministerium in Indonesien verkaufen wollen. Zudem kann die Bearbeitungszeit für Ausfuhrgenehmigungen drastisch reduziert werden.

6. Etablierung eines jährlichen Review-Prozesses für Soft- und Hardware, die überprüft, ob sie weiterhin der Exportkontrolle unterliegen müssen

Durch Technologiesprünge oder höherwertige, frei im Markt verfügbare Produkte (z.B. Krypto) kann das Argument Exportkontrolle nicht mehr haltbar sein.

Bundesverband IT-Sicherheit e.V. (TeleTrusT) kritisiert geplante Schwächung der Verschlüsselung von Messenger-Kommunikation

12.06.2019

Sichere und vertrauenswürdige Digitalisierung kann nur mit starker und verlässlicher IT-Sicherheit gelingen / TeleTrusT bietet fachlichen Diskurs an

Das Bundesministerium des Innern, für Bau und Heimat plant laut Medienberichten eine Gesetzesänderung, die deutschen Sicherheitsbehörden künftig Zugriff auf die digitale Kommunikation von Verdächtigen gewähren soll. Hierfür sollen Anbieter von Messenger-Diensten gesetzlich verpflichtet werden, ihre Verschlüsselungstechnik so zu präparieren, dass Behörden bei Verdachtsfällen die Kommunikation mitlesen können. Der Bundesverband IT-Sicherheit e.V. (TeleTrusT) bewertet wie bereits in der Vergangenheit solche Bestrebungen kritisch. Eine gesetzlich erzwungene Installation von Hintertüren stünde diametral gegen die "No backdoor"-Zusicherung der deutschen IT-Sicherheitsindustrie, die das Vertrauenszeichen "IT Security made in Germany" trägt.

Würden die Messenger-Betreiber die vorgesehenen Maßnahmen nicht umsetzen, könnten ihre Dienste in Deutschland gesperrt werden. Berufsgeheimnisträger wie Ärzte, Rechtsanwälte, Journalisten, Steuerberater und Geistliche wären in ihrer schützenswerten Kommunikation in besonderer Weise betroffen. Eine Verpflichtung der Messenger-Betreiber zum Einbau von Schwachstellen würde einen tiefen Eingriff in komplexe Softwaresysteme bedeuten. Solche Schwachstellen könnten von unbefugten Dritten ausgenutzt werden, um illegal schutzwürdige Informationen zu erlangen.

TeleTrusT hat großes Verständnis dafür, dass deutsche Strafbehörden mit modernen Fähigkeiten ausgestattet werden müssen. Die vom Gesetzgeber dem Vernehmen nach geplanten Maßnahmen würden aber dazu führen, das Vertrauen in moderne IT-Systeme im Allgemeinen und in die angebotenen vertrauenswürdigen IT-Lösungen im Speziellen zu erschüttern. Die Eignung zur Verbrechensaufklärung ist fragwürdig, weil Straftäter beispielsweise auf andere Kommunikationsmöglichkeiten ausweichen werden. Die Beeinträchtigung des Grundvertrauens der Öffentlichkeit in den Schutz der kommunikativen Privatsphäre steht in keinem angemessenen Verhältnis zur möglichen Ausbeute bei Strafverfolgungsmaßnahmen. Die geplanten Maßnahmen sind damit industriepolitisch kontraproduktiv, schädigend für den weiteren notwendigen Digitalisierungsprozess und stehen im Widerspruch zur politischen Zielsetzung, "Deutschland zum Verschlüsselungsstandort Nr. 1" zu entwickeln. 

Der Staat hat die Pflicht, Bürgerinnen und Bürger sowie unsere Wirtschaft zu schützen. Durch die Aushebelung der Verschlüsselung wird diese Schutzpflicht missachtet und das Vertrauen in moderne IT-Systeme staatlich untergraben. Wir bieten daher den Vertretern der Gesetzgebungsverfahren einen offenen Dialog an, gemeinsam und mit der technischen Expertise der TeleTrusT-Mitgliedsunternehmen geeignete Lösungen zu erarbeiten.

Der Bundesverband IT-Sicherheit e.V. plant einen fachlichen Diskurs, um einen gesellschaftlichen Ansatz dafür zu finden, den Digitalisierungsprozess sicher und vertrauenswürdig zu gestalten und Strafverfolgung ohne Schwächung der IT zu ermöglichen.  

Kommentierung zu EU Delegated Regulation "Internet-connected radio equipment and wearable radio equipment"

28.02.2019

TeleTrusT-Kommentar an EU-Kommission

Regarding your planned implication analysis "Commission delegated regulation on Internet-connected radio equipment and wearable radio equipment" please enhance your consideration by the following: As digital developments and industry will play an increasing part in daily and economic life we recommend to look into possible implication for cyber security actors as well. In chapter C on page 5 it is stated that "Radio equipment and technologies" are a "key part of the forthcoming deployment of new technological developments“. However, if you take a look at "Likely economic impacts" only players within the manufacturing industry are mentioned to be considered. Implications for the cyber security industry like new business opportunities, an increased customer base, impulses for new innovations and businessmodels etc. are missing. Looking further, the EU-GDPR already puts Europe at the forefront of data protection. As awareness for data protection rises globally, new laws and regulation concerning the protection of private data and data transfer could set another valuable impulse for the development of new techological solutions not only (to be used) within the European single market but also to be exported internationally. So, it is not only about a Single Digital European Market, it also is about the cyber security as an economic actor and about arising global opportunities.

Lastly, we want to put social issues into focus. It might be worth considering the potential for increased awareness and possible understanding of IT security issues by new laws and regulations concerning the protection of private data and data transfer. The more politics, industry and press discuss these issues, the more they are put into focus of a broad public base. This increased interest might lead to a better understanding and, eventually, get people to make sound decisions when purchasing smart devices.

Summarizing we recommend to enhance your analysis by the following:

- Likely economic impacts concering the cyber security industry as economic actors
- Likely social impacts: investigations regarding increased awareness for IT security issues within the public

Kommentierung zu Regelungen aus der BNetzA-Mitteilung Nr. 208-201 (Amtsblatt) betreffend die Nutzung von Videoident-Verfahren für die Ausstellung von QES

12.07.2018

TeleTrusT-Stellungnahme

TeleTrusT hat im Namen der konsultierten Fachkreise die Regelungen aus der BNetzA-Mitteilung Nr. 208-2018 (Amtsblatt) kommentiert. Hauptpunkt der Kommentierung seitens TeleTrusT ist die Fragestellung, inwieweit die Verfügung konform zum Erwägungsgrund 54 der EU-Verordnung Nr. 910/2014 ist. Es werden in dieser Verfügung Festlegungen für Qualifizierte Zertifikate getroffen, die über die EU-Verordnung hinausgehen. Dadurch würden für in Deutschland ansässige Vertrauensdiensteanbieter (VDA) strengere Anforderungen als für die VDA in anderen EU-Staaten gelten, was die Entwicklung des Europäischen Binnenmarktes behindern könnte.

1. TeleTrusT schlägt vor, den Abschnitt 10 zu streichen.

2. TeleTrusT schlägt vor, den Abschnitt 7 zu ändern (siehe entsprechender beigefügter Kommentar).

Anlage: Anmerkungen im Detail, die Unternehmen im Rahmen der von TeleTrusT koordinierten AG "Forum elektronische Vertrauensdienste AK A" übermittelt haben (Auszug)

Bewertung der Stellungnahme des IMCO-Ausschusses des EP zum Entwurf einer EU-Cybersecurity-Verordnung

06.07.2018

(Dr. Dennis-Kenji Kipker, Universität Bremen)

Am 22.05.2018 hat der Ausschuss für den Binnenmarkt und Verbraucherschutz (IMCO) des Europaparlaments seine Stellungnahme zu dem "Vorschlag für eine Verordnung des Europäischen Parlaments und des Rates über die "EU-Cybersicherheitsagentur" (ENISA) und zur Aufhebung der Verordnung (EU) Nr. 526/2013 sowie über die Zertifizierung der Cybersicherheit von Informations- und Kommunikationstechnik ("Rechtsakt zur Cybersicherheit")" - bekannt auch als "Cybersecurity-Verordnung" - veröffentlicht. Der neue europäische Rechtsakt zur Cybersicherheit basiert auf zwei Grundpfeilern: Einem ständigen und stärkeren Mandat der ENISA, sowie der Einführung eines EU-Rahmens zur Cybersicherheitszertifizierung, um sicherzustellen, dass Produkte der Informations- und Kommunikationstechnologie sowie entsprechende Dienste die dafür relevanten Cybersicherheitskriterien auf einheitliche Weise erfüllen. Einer der Hauptbestandteile des Entwurfes der EU Cybersecurity-Verordnung ist die so genannte "Konformitätsbewertung", innerhalb derer festzustellen ist, ob IKT-Produkte oder -Dienste die an die Cybersicherheitsmerkmale anzulegenden Anforderungen erfüllen. Da eine Zertifizierung von IKT-Produkten und -Diensten nicht zwingend aussagt, dass diese tatsächlich und in jedem Falle sämtliche an die Cybersicherheit anzulegenden Kriterien erfüllen, fordert das IMCO-Committee explizit und weitergehend als der Verordnungsentwurf, dass Verbraucher über die Restrisiken der Zertifizierung aufzuklären sind, indem unter anderem darauf hingewiesen wird, dass die entsprechenden Produkte und Dienste nur auf die Übereinstimmung mit beispielsweise in technischen Normen und Standards festgelegten Anforderungen an die Cybersicherheit hin überprüft wurden. Transparenz, Beteiligung und angemessene Verfahrensvorgaben sind von hoher Bedeutung für die Einrichtung und das Funktionieren eines vertrauenswürdigen und effektiven europäischen Cyber-Sicherheitsrahmens. Eng verbunden mit der Definition von Mindestsicherheitsstandards für IT-Produkte ist das Ziel, die Prinzipien von "Security by Design" sowie von "Privacy by Design" konsequent umzusetzen und umfassend in Produkte und Dienste zu integrieren. Hierzu soll das europäische Zertifizierungssystem für Cybersicherheit laut der Auffassung des IMCO-Ausschusses so ausgestaltet werden, dass alle hierdurch betroffenen Akteure die IT-Sicherheitsanforderungen in allen Phasen des Produkt- oder Dienstlebenszyklus umsetzen. Eine umfassende Auseinandersetzung mit europaweiten Fragen der Cybersicherheit setzt darüber hinaus die Bestimmung von Anforderungen im Umgang mit Backdoors in IKT-Produkten und -Diensten voraus. Der IMCO-Ausschuss hat im Vergleich zum ursprünglichen Kommissionsentwurf zahlreiche Änderungsvorschläge der EU Cybersecurity-Verordnung hervorgebracht, worunter sich auch verschiedene interessante und neuartige Ansätze finden. Auf Bitten von TeleTrusT hat Dr. Dennis Kipker die IMCO-Stellungnahme einer Betrachtung unterzogen.

Thema IT-Sicherheit im Koalitionsvertrag 2018: TeleTrusT - Bundesverband IT-Sicherheit e.V. sieht gute Ansätze, aber auch Widersprüche

12.02.2018

TeleTrusT-Stellungnahme

Der Bundesverband IT-Sicherheit e.V. (TeleTrusT) begrüßt einzelne Inhalte des Koalitionsvertrages 2018, soweit sie sich auf den Themenkreis IT-Sicherheit beziehen. Insbesondere greift der Vertragsentwurf die TeleTrusT-Forderung nach Entwicklung einer übergreifenden Cybersicherheitsstrategie auf ("Cyberpakt"). Gleichwohl bleiben Inkonsistenzen.

TeleTrusT begrüßt ausdrücklich die Aussagen des Koalitionsvertrages zu Innovation, digitaler Souveränität und Interdisziplinarität sowie zur Stärkung der IT-Sicherheitsforschung insbesondere auf den Gebieten Blockchain und Quantencomputing (Kapitel IV "Offensive für Bildung, Forschung und Digitalisierung"; Unterkapitel "Digitalisierung").

Begrüßenswert ist ebenso die Absicht, das Produktsicherheitsrecht zu novellieren und für verbrauchernahe Produkte die IT-Sicherheit u.a. durch die Einführung einer "gewährleistungsähnlichen Herstellerhaftung" zu erhöhen. Ferner wollen Union und SPD die Verbreitung sicherer Produkte und das Prinzip "Security by Design" fördern. Letzteres bedeutet, dass bei der Entwicklung von Hard- und Software schon von Beginn an darauf geachtet wird, dass Systeme frei von Schwachstellen und so gegen Cybertattacken geschützt sind und nicht erst am Ende der Entwicklungskette. Das entspricht früheren TeleTrusT-Forderungen. Zudem soll ein Gütesiegel für IT-Sicherheit auf Produkten mehr Transparenz für Verbraucher schaffen.

Positiv zu bewerten ist das Vorhaben, die Rolle des Bundesamtes für die Sicherheit in der Informationstechnik im Verbraucherschutz zu stärken und Unternehmen zur Offenlegung und zur Beseitigung von Sicherheitslücken zu verpflichten. Zu begrüßen ist auch die Zielsetzung, "Ende-zu-Ende-Verschlüsselung für jedermann verfügbar" zu machen und es Bürgerinnen und Bürgern zu ermöglichen, "verschlüsselt mit der Verwaltung über gängige Standards zu kommunizieren". Dieser sinnvolle Ansatz wird allerdings nicht konsequent durchgehalten und teils konterkariert, denn weder ist ein Verbot für staatliche Stellen, Zero Day Exploits anzukaufen, noch eine ausdrückliche Verpflichtung dieser Stellen, derartige Sicherheitslücken bekanntzumachen, beabsichtigt. Stattdessen heißt es: "Es darf für die Befugnisse der Polizei zu Eingriffen in das Fernmeldegeheimnis zum Schutz der Bevölkerung keinen Unterschied machen, ob die Nutzer sich zur Kommunikation der klassischen Telefonie oder klassischer SMS bedienen oder ob sie auf internetbasierte Messenger-Dienste ausweichen." Dies kann nur so verstanden werden, dass die Sicherheitsbehörden entweder die Möglichkeit haben sollen, auch verschlüsselte Kommunikation mitzulesen oder diese Kommunikation unter Ausnutzung von Sicherheitslücken mit Hilfe der Quellen-TKÜ in unverschlüsselter Form mitzulesen. Mit der Zielsetzung, die IT-Sicherheit insgesamt zu verbessern, passt keine der beiden Varianten zusammen.


Akkreditierungsanforderungen für Konformitätsbewertungsstellen im Bereich der Informationssicherheit / Cyber-Security für industrielle Automatisierungssysteme gemäß IEC 62443 (DAkkS-Entwurf)

22.12.2017

TeleTrusT-Stellungnahme

TeleTrusT begrüßt, dass sich die DAkkS mit dem Thema "Cybersecurity für industrielle Automatisierungssysteme“ beschäftigt und hierzu auch ein Akkreditierungsschema einfordert. Dies ist im Zuge der Entwicklung des Industrial Internet of Things (IIoT) oder des deutschen Ansatzes "Industrie 4.0“ dringend nötig und hilft, "Security by Design" in diesem Umfeld zu forcieren und hinsichtlich der Wirksamkeit in der Umsetzung zu prüfen.

TeleTrusT hat aber Bedenken, ob die IEC 62443 in der aktuellen Version zu dem Thema "Cybersecurity für industrielle Automatisierungssysteme“ verwendet werden sollte. Hierfür werden folgende Gründe genannt:

  • Die aus der ISA99 abgeleitete IEC 62443 ist als Leitfaden für traditionelle Industriesysteme anwendbar, die bisher erstellten Konzepte sind jedoch aus Sicht von TeleTrusT nicht ausreichend für Fragestellungen, die sich aus IIoT bzw. "Industrie 4.0“ ergeben, spezifiziert. Eine Verlinkung zu der neuen Referenzarchitektur des BMWi (RAMI) fehlt gänzlich, ebenso mögliche Hinweise zu modernen Konzepten wie "Sensor-to-Cloud“ oder Ansätzen aus der deutschen Industrial Data Space Association.
  • Teile der IEC 62443 sind derzeit im Status Working Draft – auch die in der Beschlussfassung in der Tabelle 1 aufgeführten Dokumente  IEC 62443-3-2, IEC 62443-4-1, IEC 62443-4-2
  • Prüfkriterien, wie ein Prüfer speziell gemäß der Normenteile IEC 62443-3-x und IEC 62443-4-x zu prüfen hat, sind derzeit nicht existent und auch nicht ansatzweise vorhanden.

TeleTrusT regt folgende Änderungen an:

1. Motivation: Die Festlegung von Prüf- und Akkreditierungsschemata in Bezug auf "Cybersecurity für industrielle Automatisierungssysteme“ ist dringend geboten. Das Thema ist jedoch durch die unterschiedliche Prägung in verschiedenen Sektoren und Branchen sehr fragmentiert. In der Einleitung des Dokumentes fehlt die Würdigung der notwendigen unterschiedlichen Ausprägungen. Ein Bezug auf die Unterschiede zu Fertigungs- und Automatisierungstechnik sowie Verfahrenstechnik und deren unterschiedliche Security-Anforderungen sollte aufgenommen werden, so dass die Eignung der Norm IEC 62443 zur Bewertung dieser unterschiedlichen Security-Anforderungen aufgezeigt wird.

2. Bezug zur aktuellen Gesetzgebung: Kritische Infrastrukturbetreiber (KRITIS), die dem IT-Sicherheitsgesetz, dem EnWG (IT-Sicherheitskatalog), aber auch dem Gesetz zur Digitalisierung der Energiewende oder der Europäischen NIS Directive unterliegen, nutzen industrielle Automatisierungssysteme. Es wäre wünschenswert, wenn in den Akkreditierungsanforderungen ausführlich Bezug auf das Thema KRITIS genommen und ein Bezug zu den dort bereits genutzten Standards und Normen aufgeführt würde.

3. Abgrenzung und Bezug zu anderen IT-Sicherheitsnormen: Zu dem Thema "Cybersecurity für industrielle Automatisierungssysteme“ und die in diesen eingesetzten IT-Security-Komponenten gibt es neben sektorspezifischen Anforderungen der ISO/IEC 270xx-Familie bereits eine Vielzahl weiterer Normen und Standards, wie z.B.:

a.     IEC 62351
b.     VDI/VDE-Richtlinie 2182: Informationssicherheit in der industriellen Automatisierung
c.     NA 115: IT-Sicherheit für Systeme der Automatisierungstechnik
d.     VGB S175: IT-Sicherheit für Erzeugungsanlagen
e.     NIST SP 800-82: Guide to Industrial Control Systems Security
f.      IEEE 1686-2007 - IEEE Standard for Substation Intelligent Electronic Devices (IEDs) Cyber Security Capabilities
g.     BSI: Industrial Control System Security Compendium
h.     OWASP
i.      Common Criteria (ISO 15408)
j.      FIPS 140-2

Diese Normen und Standards sind bereits vollständig erarbeitet, etabliert und haben zum Großteil auch eigene Prüfverfahren festgelegt. Es wäre vorteilhaft, wenn die DAkkS darlegen würde, warum einer noch nicht fertiggestellten Norm ohne definiertem Prüfverfahren wie der IEC 62443 zur Bewertung der Cybersecurity Vorzug gegenüber den bereits vollständig erarbeiteten und anerkannten Normen gegeben wird.

4. Detaillierte Ausführung der Prüfverfahren oder Verweis auf bestehende Prüfverfahren: Es wird vorgeschlagen, dass bei Feststellung der besseren Eignung der bisher erstellten IEC 62443 die Detailtiefe der Prüfverfahren spezifiziert wird oder auf andere Prüfverfahren referenziert wird, um so dem Mangel der fehlenden bzw. unvollständigen Prüfverfahren in der IEC 62443 entgegenzuwirken. Ansonsten ist für ein Prüfunternehmen nicht ersichtlich, wie die anzusetzende Prüftiefe sein soll (speziell im Hinblick auf den in IEC 62443 aufgeführten Security Level –SL), welche konkreten Methoden und Tools für unterschiedliche Sicherheitsfunktionalitäten verwendet werden sollen und wie eine homogene Interpretation der Prüfergebnisse erfolgen soll. Im schlechtesten Fall wären die Prüfergebnisse beliebig und zueinander weder harmonisiert noch vergleichbar und somit wertlos.

Beispielsweise wäre es empfehlenswert, in der Objektklasse "Systeme“ genau festzulegen, wie Penetrationstests durchgeführt werden und wie die Qualifikation stattzufinden hat. Man sollte auch darauf verweisen, wie dies im Zuge von Konformitätstests in der Office IT bisher bei der DAkkS geregelt ist. Auch im ICS Security Compendium des BSI finden sich Hinweise auf adäquate Prüfmethoden für die Objektklasse "Systeme“. In der Objektklasse "Komponenten“ gäbe es die Möglichkeit, auf die vier in IEC 62443 definierten unterschiedlichen Komponenten (Host, embedded, Application, Network) bewährte Prüfverfahren aufzusetzen, wie z.B. die Common Criteria (CC, durch entsprechend spezifizierte Protection Profiles - PP). In diesem Fall würde man sowohl auf die IEC 62443-4-2 (durch das PP) als auch durch die CC-Methodik implizit die IEC 62443-4-1 hinreichend berücksichtigen.


Regulierungsvorschlag der EU-Kommission betreffend Anforderungen an einen künftigen Europäischen Zertifizierungs- und Kennzeichnungsrahmen für IKT-Sicherheit

04.10.2017

TeleTrusT-Stellungnahme

Die Europäische Kommission hat einen Regulierungsvorschlag veröffentlicht, der auch einen künftigen Europäischen Zertifizierungs- und Kennzeichnungsrahmen für IKT-Sicherheit betrifft. Er soll die Sicher-heitseigenschaften von Produkten, Systemen und Diensten, die bereits in der Entwurfsphase ("security by design") integriert sind, verbessern. Die gute Absicht ist erkennbar, zumal ein erhöhter Schutz der Bürger und Unternehmen durch bessere Cybersicherheits-Vorkehrungen erstrebenswert ist. Dennoch hat der Vorschlag erhebliche fachliche Mängel. Darüber hinaus fehlt es an Offenheit und Transparenz, wie man sie von Normensetzung erwarten kann, die der Unterstützung der EU-Gesetzgebung dienen soll.

https://ec.europa.eu/transparency/regdoc/rep/1/2017/EN/COM-2017-477-F1-EN-MAIN-PART-1.PDF

TeleTrusT-Positionen:

Der Vorschlag wird als notwendiger und grundlegender Beitrag zur Cyber-Sicherheit in digitalen Infrastrukturen angesehen. Die Entwicklung und der Einsatz der neuen Digitaltechnologien mit ihren erhöhten inhärenten Risiken bedürfen eines nachhaltigen Rahmenplans, der einschlägige technische Normen und Zertifizierungs-dienste im "Digitalen Binnenmarkt" bereitstellt. Dies führt zu sicheren Produkten, Systemen und Diensten bereits vor Markteintritt und während ihres gesamten Lebenszyklus. Der Vorschlag orientiert auf umfassende Befugnisse für die EU-Kommission, zu entscheiden, welche Cybersicherheits-Schemata innerhalb der EU erforderlich sind, welche Normen für ein Schema gelten und welche Produkt- oder Dienstetypen erfasst wer-den. Ein Schema kann Smart Meters, IoT-tragbare Geräte, Datenbanken, Cloud-Dienste, Smartphones etc. umfassen, in der Tat also jedes IKT-Produkt. Sollten keine anwendbaren Normen für ein Schema vorhanden sein, werden die Anforderungen, die zur Zertifizierung eines Schemas erfüllt werden müssen, ohne Konsultati-on in das Schema integriert.

Der EU-Agentur für Network and Information Security (ENISA) wird das Vorschlagsrecht für Schemata zuge-schrieben, aber die endgültige Entscheidung, wann ein neues EU-Schema erforderlich ist und welche Produk-te und Dienste erfasst werden, bleibt ausschließlich in der Hand der EU-Kommission. Es gibt keine Beteili-gung der Mitgliedstaaten, des Europäischen Rates, des Europäischen Parlaments, nationaler Normenorgani-sationen, gesellschaftlicher Interessengruppen oder der Industrie. Dass ein Schema zunächst freiwillig anzu-wenden ist, ist ein schwaches Argument zur Verteidigung einer Verordnung, die der EU-Kommission zu viel Macht verleiht.

Der neue Rahmenplan kann nur unter folgenden Voraussetzungen gelingen:

  1. Der Rahmenplan migriert vorhandene Zertifizierungsinfrastrukturen ohne Betriebsunterbrechung, besonders SOGIS-MRA ("Senior Officials Group Information Systems Security - Mutual Recognition Arrangement", aktuell mit 14 Mitgliedstaaten, kompetenten Schemata und privaten Prüfstellen; initiiert Anfang der neunzi-ger Jahre durch die EU-Kommission, große Industrieanerkennung und Weltmarktposition).
  2. Zertifizierung muss auf offene Normen setzen, die Wettbewerb zwischen Prüfstellen bzw. Schemata sowie zwischen den geeignetsten Sicherheitslösungen für ein festgelegtes Sicherheitsproblem ermöglichen. 
  3. Der Rahmenplan kann Ergebnisse analog zum rasanten Tempo technologischer Änderungen erzielen und die Marktbedürfnisse rechtzeitig und wirtschaftlich befriedigen.
  4. Eine leistungsstarke Beziehung zwischen dem Rahmenplan und den Europäischen Normungsorganisatio-nen (ESO) kann aufgebaut werden.
  5. Was die IKT-Sicherheitsaspekte betrifft, werden die Richtlinien und Verordnungen der EU-Kommission für jeden vertikalen Digitalmarkt die Anforderungen an geeignete technische Sicherheitsnormen und Zertifizie-rungen prüfen und das Certification Board entsprechend regelmäßig einbeziehen. Falls ein Vertikalsektor nicht harmonisiert werden kann, wird die Vereinheitlichung der technischen Normen und Zertifizierungen schwer erreichbar sein. IT-Sicherheit betrifft auch Netzwerksicherheit, die öffentliche bzw. nationale Sicher-heit sowie die digitale Souveränität. IT-Sicherheit ist nicht nur Anliegen des Digitalbinnenmarktes, sondern auch der Mitgliedsstaaten. Das gilt insbesondere für Kryptonormen und die Qualifikation der Prüfstellen.

Deshalb muss ein künftiges Europäisches IKT-Zertifizierungs- und Kennzeichnungsrahmenwerk

  • ein "European Cyber Security Certification Board" etablieren, besetzt mit Vertretern der Mitgliedsstaaten in Abstimmung mit den ESO und dem European Data Protection Board (EDPB), mit der Verantwortung, sei-ne Themenbereiche sowie Arbeitsgruppen aufzubauen,
  • die Generaldirektionen der EU-Kommission bei der Entwicklung der Kommunikationen, Richtlinien und Verordnungen für Vertikalsektoren unterstützen, so dass Standardisierung und Zertifizierung in einer sehr frühen Phase vorbereitet werden und Synergien zwischen den vertikalen Digitalisierungssektoren erzeugt werden können,
  • SOGIS-MRA von einer Aktivität einzelner Mitgliedsstaaten in eine gesamteuropäische Aktivität migrieren,
  • die Unabhängigkeit der Standardisierung und Auswertung gewährleisten, indem ein geeignetes Akkreditierungssystem für Prüfstellen bereitgestellt wird und die Akkreditierungsverordnung mit Hilfe einer zusätzlichen sektorspezifischen Ausnahmeregelung gemäß Erwägungsgrund Nr. 5 in 765/2008 verbessern,
  • eine Rolle für die ENISA etablieren, um die Sekretariats- und organisatorische Infrastruktur für das (neue) European Cyber Security Certification Board bereitzustellen,
  • Mitgliedsstaaten und Industrie unterstützen, um Innovationen für bessere IT-Sicherheit einzuleiten und Wettbewerbsgleichheit für die europäische Industrie im Weltmarkt zu schaffen.

TeleTrusT-Positionspapier zu "Blockchain"

01.03.2017

2017_TeleTrusT-Positionspapier_zu_Blockchain


"Referentenentwurf eines Gesetzes zur Umsetzung der Richtlinie (EU) 2016/1148 des Europäischen Parlaments und des Rates vom 06.07.2016 über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der Union" (NIS-RL-Umsetzungsgesetz)"

16.12.2016

Stellungnahme der TeleTrusT-AG "Recht"

Stellungnahme der TeleTrusT-AG Recht zum NIS-RiLi-Umsetzungsgesetz


"Referentenentwurf des 'eIDAS-Durchführungsgesetzes'" des Bundesministeriums für Wirtschaft und Energie

01.11.2016

Stellungnahme der TeleTrusT-AG "Forum elektronische Vertrauensdienste AK A"


BSI-"Diskussionspapier zur Absicherung von Telemediendiensten nach Stand der Technik"

13.08.2016

Stellungnahme der TeleTrusT-AG "Recht"


Entwurf einer Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz (BSI-Kritisverordnung – BSI-KritisV)

22.02.2016

TeleTrusT-Stellungnahme

Das Bundesministerium des Innern hat den Referenten-Entwurf einer "Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz" veröffentlicht und einschlägige Verbände zur Kommentierung aufgerufen. Im Vorfeld der für Anfang März angesetzten Anhörung äußern die Fachgremien des Bundesverbandes IT-Sicherheit e.V. (TeleTrusT) grundsätzliche Zustimmung, sehen aber Nachbesserungsbedarf.  Mit der "KRITIS"-Verordnung wird §10 des BSI-Gesetzes in einem ersten Schritt umgesetzt. Für die Bestimmung Kritischer Infrastrukturen in den Sektoren Energie, Wasser, Informationstechnik und Telekommunikation sowie Ernährung werden relevante Anlagekategorien definiert und mit Schwellenwerten, korrespondierend mit dem jeweiligen Versorgungsgrad, versehen. Im Rahmen der aktuellen Anhörung der Verbände und Fachkreise merkt TeleTrusT nach eingehender Erörterung des Entwurfes durch die internen Arbeitsgruppen insbesondere die folgenden Punkte an: 

  1. Die Zugrundelegung der "500.000er-Regel" für die Schwellenwerte wird als kritisch betrachtet. Die Regel basiert auf der Annahme, dass Ausfälle, bei denen weniger Haushalte betroffen sind, technisch und organisatorisch aufgefangen werden können. Sind im konkreten Fall also 500.000 Haushalte betroffen, kann ein weiterer, ernster Vorfall nicht einmal teilweise abgefangen werden. TeleTrusT regt an, die Schwellenwerte um einen geeigneten Sicherheitspuffer zu ergänzen.
  2. Die Benennung absoluter Zahlen für Schwellenwerte lässt eine qualitative Berücksichtigung möglicher "Domino-Effekte" außer Acht. Wie ein europaweiter Stromausfall von 2006 gezeigt hat, kann durch Abschalten einer einzigen, eher weniger wichtigen Leitung das Gesamtsystem massiv beeinträchtigt sein. Neuere Untersuchungen und Modellberechnungen zeigen, dass Angriffe auf kleine Bereiche einer komplexen Infrastruktur durch Kaskadeneffekte die Gesamtstruktur beeinflussen können. Daher regt TeleTrusT an, in der Rechtsverordnung auch die Kumulation von sicherheitskritischen Ereignissen zu berücksichtigen.
  3. Das für die Anlagenkategorie "Standortkopplung" zugrunde gelegte Datenvolumen auf Basis des wichtigsten, und - gemessen am Datendurchsatz - weltweit größten Internetknotenpunkts (DE-CIX), erscheint für die Betrachtung für ITK Unternehmen zu hoch. Da über den Internetknotenpunkt nicht nur der inländische, sondern auch der internationale Datenverkehr prozessiert wird, ist das Anwenden des Datenvolumens des DE-CIX auf industrielle und/oder unternehmensinterne Datenverbindungen nicht plausibel. TeleTrusT regt an, die Berechnungsgrundlage zur Festlegung der kritischen Betreiber zu revidieren.
  4. Im Referentenentwurf bleibt unklar, inwieweit moderne Telekommunikationsanwendungen wie IP-Telefonie eingeschlossen sind. Derzeit bringen alle Telekommunikationsdienstleister moderne IP-Telefonie als Basisprodukte auf den Markt. Auch über diese Dienste müssen Notrufe erreichbar sein. Daher sollten sie im Fokus der Betrachtung kritischer Infrastrukturen sein. TeleTrusT regt an, klarzustellen, inwieweit die IP-basierten Sprach- und Telefoniedienste in der Rechtsverordnung berücksichtigt werden.

EuGH-Urteil zu "Safe Harbor" ist positives Signal für Datenschutz europäischer Prägung/"Binding Corporate Rules" kein Ersatz auf angemessenem Schutzniveau

12.10.2015

Stellungnahme der TeleTrusT-AG "Cloud Security"

1. Gut zwei Jahre hat es gebraucht seit den ersten Enthüllungen von Edward Snowden, jetzt hat der Europäische Gerichtshof (EuGH) eine in ihren möglichen Auswirkungen weitreichende Feststellung getroffen: Die USA bieten aus europäischer Sicht "kein angemessenes Schutzniveau für personenbezogene Daten".

Das EuGH-Urteil schreibt ein Stück Rechtsgeschichte. Ausgangspunkt des Verfahrens war eine an die irische Datenschutzbehörde gerichtete Beschwerde des österreichischen Bürgers Maximilian Schrems gegen die Übermittlung seiner bei Facebook gespeicherten Daten in die USA, mit der Begründung, dass im Hinblick auf die von Edward Snowden enthüllten Tätigkeiten der Nachrichtendienste der USA, insbesondere der NSA, davon auszugehen sei, dass die Daten in den USA nicht hinreichend vor Überwachungstätigkeiten der dortigen Behörden geschützt seien. Die irische Behörde wies die Beschwerde seinerzeit mit dem Hinweis zurück, durch das "Safe Harbor"-Abkommen sei ein angemessenes Schutzniveau in den USA gegeben. Dieser Begründung hat der EuGH nun die Grundlage entzogen und die sog. "Safe Harbor"-Regelung gekippt. Der EuGH kassierte das bereits vor zwölf Jahren von der EU-Kommission installierte "Safe-Harbor"-Abkommen mit den USA.

2. Die Begründung der höchstrichterlichen Instanz der Europäischen Union ist beachtlich: In Bezug auf die Beschwerde stellt das Gericht fest, dass ab sofort die (zuständige) irische Behörde sorgfältig zu prüfen habe, ob die Übermittlung von personenbezogenen Daten aus dem EU-Raum auf amerikanische Server nicht auszusetzen sei, "weil dieses Land kein angemessenes Schutzniveau für personenbezogene Daten bietet."

Gleichzeitig greift das Gericht die Europäische Kommission an: "Die Kommission hatte keine Kompetenz, die Befugnisse der nationalen Datenschutzbehörden […] zu beschränken." Damit stärkt dieses Urteil die Befugnisse und die Unabhängigkeit europäischer Datenschutzbehörden, da sie nun nicht (mehr) an die "Safe-Harbor"-Regelung gebunden sind.

3. Das Urteil hat für den transatlantischen Datenaustausch und insbesondere für US-Internetunternehmen sowie US-Cloud Service Provider Konsequenzen. Mindestens dürfte die Übermittlung personenbezogener Daten in die USA auf Basis der "Safe Harbor"-Regelung ab sofort als unzulässig gelten. Mit Blick auf die Begründung des EuGH könnte das Urteil aber auch Auswirkungen auf die vor allem von großen Unternehmen, insbesondere multinationalen Konzernen und Organisationen, gern genutzten "Binding Corporate Rules" haben. Die "Binding Corporate Rules" sollen ein Rahmen für verbindliche Richtlinien zum Umgang mit personenbezogenen Daten sein. Wenn ein Unternehmen seine "Binding Corporate Rules" von europäischen Datenschutzbehörden verifizieren lässt, dann dürfen auf Grundlage dieser festgelegten Richtlinien Daten in Drittstaaten, z.B. in die USA, übermittelt werden.

Der EuGH hebt jedoch kritisch hervor, dass "amerikanische Unternehmen ohne jede Einschränkung verpflichtet sind, die […] vorgesehenen Schutzregeln unangewendet zu lassen, wenn sie in Widerstreit zu Erfordernissen [der nationalen Sicherheit, des öffentlichen Interesses und der Durchführung von Gesetzen der Vereinigten Staaten] stehen". Damit sind die "Binding Corporate Rules" eben nicht "Binding", wenn es um den Schutz der Daten gegenüber amerikanischen Behörden geht, sondern nicht viel mehr als ein Papiertiger.

Zudem stellt der EuGH fest, dass die in den USA möglichen Zugriffe von Behörden auf diese Daten nicht auf das in der EU geforderte "absolut Notwendige" beschränkt seien, "wenn sie generell die Speicherung aller personenbezogenen Daten sämtlicher Personen, deren Daten aus der Union in die Vereinigten Staaten übermittelt werden, gestattet, ohne irgendeine Differenzierung, Einschränkung oder Ausnahme anhand des verfolgten Ziels vorzunehmen." Gemeint ist die anlasslose Massenspeicherung von Daten durch die NSA.

Mit anderen Worten: Wenn Daten in die USA übermittelt werden, dann unterliegen diese Daten uneingeschränkt dem Recht der USA, ganz gleich, ob es "Binding Corporate Rules" gibt oder nicht. Da das diesbezüglich geltende Recht der USA nach Ansicht des EuGH kein ausreichendes Datenschutzniveau gewährleistet, wäre nach EU-Recht damit die Übermittlung personenbezogener Daten in die USA generell unzulässig.

Wenn die "Safe-Harbor"-Regelung amerikanischen Gesetzen entgegensteht oder im Widerspruch zur nationalen Sicherheit oder zum öffentlichen Interesse steht, sind dortige Unternehmen ohne jede Einschränkung verpflichtet, die in der Regelung vorgesehenen Schutzmaßnahmen unangewendet zu lassen." Eine Regelung verletzt den "Wesensgehalt des Grundrechts auf Achtung des Privatlebens", wenn sie es Behörden gestattet, generell auf den Inhalt elektronischer Kommunikation zuzugreifen.

4. Europäischen Firmen, die auch weiterhin ihre personenbezogenen Daten ausschließlich in Deutschland oder der europäischen Union verarbeiten, wird mit dem Urteil der Rücken gestärkt. Und auch Initiativen wie das TeleTrusT-Qualitätszeichen "IT Security made in Germany" erhalten die Bestätigung, dass der Datenschutz ein hohes Gut ist, das nicht ausgehöhlt werden darf.

5. Das EuGH-Urteil ist eine Chance auf Verbesserung der aktuellen Situation. Insgesamt gesehen bringt der EuGH neuen Schwung in die seit etwa zwei Jahren laufenden Verhandlungen um eine neue Safe-Harbor-Regelung, aber auch in den TTIP-Verhandlungen dürften Datenschutzaspekte nun eine stärkere Gewichtung erhalten, vermutlich oder hoffentlich zugunsten europäischer Standards.


TeleTrusT warnt vor Absenkung des IT-Sicherheitsniveaus durch TTIP

09.03.2015

Das Transatlantische Handels- und Investitionspartnerschaftsabkommen (TTIP) wird in der öffentlichen Diskussion zu Recht einer kritischen Betrachtung unterzogen. TeleTrusT warnt davor, dass TTIP zu einer Absenkung der deutschen bzw. europäischen Datenschutz- und IT-Sicherheitsstandards führen könnte.

In Verbindung mit TTIP befürchtet TeleTrusT einen Verlust hoher europäischer Qualitätsstandards. Dies betrifft die Gebiete Datenschutz und IT-Sicherheit sowie die aus TTIP abzuleitende IT-Standardisierung. TTIP beinhaltet den Ansatz, dass sich die Verhandlungsparteien auf Standards einigen werden, nach denen ein Marktzugang für Produkte und Dienstleistungen auch im IT-Bereich sichergestellt sein wird. Hieraus ergeben sich wichtige Impulse für die nationalen Vorgaben an IT-Sicherheitsprodukte.

Das Thema IT-Sicherheit und im Besonderen das zentrale Element Kryptoalgorithmen sind in Bezug auf TTIP aufmerksam zu beobachten. Dies unter dem Aspekt, dass nationale Institutionen - wie z.B. in Deutschland das BSI - als Sachwalter hoher Standards nicht direkt in die Verhandlungen involviert ist, sondern ihre Vorstellung den Verhandlungsführern der EU-Kommission erst nahebringen müssen, um zu vermeiden, dass TTIP in diesem Zusammenhang durch amerikanische NIST-Standards geprägt wird. Wenn dies nicht mehr zu verhandeln wäre, würde es die gesamte deutsche IT-Sicherheitsindustrie betreffen.

TeleTrusT geht von folgenden Prämissen aus und versteht sie als Handlungsaufforderung an die politischen Entscheidungs- und TTIP-Verhandlungsträger:

  1. Die ITK-Industrie profitiert von globalen Standards und globalen technischen Spezifikationen, aber die TTIP-Verhandlungen dürfen nicht im Wege politischer Zugeständnisse in eine Abwärtsspirale für IT-Sicherheitsstandards münden.
  2. TTIP darf in Bezug auf IT-Sicherheit nicht zu einem geringeren Sicherheitsniveau für kommerzielle IT-Produkte führen, insbesondere nicht zu schwächeren Kryptoalgorithmen.
  3. Grundsätzlich ist ein Handelsabkommen zwischen den USA und der EU zu begrüßen. Die Snowden-Affäre hat aber deutlich werden lassen, dass Europa sich nicht auf das grundsätzliche andere 'Privacy'-Verständnis der USA einlassen sollte.
  4. Bei Schaffung eines gemeinsamen Wirtschaftsraums ist zu erwarten, dass deutlich mehr Daten, insbesondere personenbezogene Daten, zwischen der EU und den USA hin- und herfließen werden. Dies darf nicht ohne abgestimmtes Datenschutzverständnis geschehen. Das Fehlen einheitlicher Standards würde ansonsten zu unterschiedlichen, wettbewerbsverzerrenden Anforderungen an Unternehmen dies- und jenseits des Atlantiks führen.
  5. Der liberalisierte Zugang zu öffentlichen Aufträgen darf die nationale digitale Souveränität nicht gefährden.  

TeleTrusT: Staatlicher Zugriff auf Verschlüsselung ist kein zielführender Ansatz

26.01.2015

Die aktuelle Diskussion bezüglich staatlicher Einflussnahme auf Verschlüsselung mag angesichts der aktuellen Bedrohungslage von der grundsätzlichen Motivation her zwar nachvollziehbar erscheinen, gleichwohl bedarf das Thema "Verschlüsselung" der sorgfältigen Güter- und Interessenabwägung. Der Ansatz, bei Nutzung von Verschlüsselung dem Staat Schlüsselzugang gewähren, beachtet unzureichend die politische, rechtliche und technische Dimension. Derartige Erwägungen sind nicht zielführend. Die Politik sollte Konsultationsangebote der Fachleute nutzen.

Aus Sicht von TeleTrusT stehen die politischen Forderungen im Gegensatz zur Absicht der "Digitalen Agenda" der Bundesregierung, Deutschland zum Verschlüsselungsstandort Nr. 1 zu entwickeln. Sicherheitsbehörden haben durch das G10-Gesetz - nach richterlichem Beschluss - ohnehin schon weitreichende Zugriffsmöglichkeiten auf Providerdaten. Regelungen zur Schlüsselhinterlegung oder zur verpflichtenden Implementierung von Zugangsmöglichkeiten für Sicherheitsbehörden würden das sowieso schon angeschlagene Vertrauen in die IT-Wirtschaft und den Schutz durch staatliche Stellen weiter erschüttern. Ohnehin würden dadurch lediglich bestehende, bislang vertrauenswürdige IT-Technologien und -Standards geschwächt, und es ist davon auszugehen, dass kriminelle oder terroristische Organisationen auf andere Möglichkeiten der Kommunikation ausweichen. Folge wäre dann lediglich eine flächendeckende Schwächung der Kryptolandschaft und der IT-Sicherheit unserer Gesellschaft.

TeleTrusT hält eine Einschränkung von Verschlüsselung bzw. ein Verbot starker Verschlüsselung in der Praxis nicht durchführbar, nicht zweckmäßig und verfassungsrechtlich bedenklich. Ein solches Verbot bedingte eine Reihe von Ausnahmen und Abgrenzungsschwierigkeiten, z.B. hinsichtlich Gesundheitsdaten, Mandantenschutz bei Rechtsanwälten oder Quellenschutz bei Journalisten. Wie soll aber in der Praxis zwischen rechtmäßiger und rechtswidriger Hinterlegung der Schlüssel bzw. Nutzung der Schlüssel durch staatliche Stellen im Einzelfall unterschieden werden, wenn die Daten doch verschlüsselt sind? Wie soll ein Unterlaufen des Verbots, z.B. durch Steganografie, verhindert werden? Insbesondere wäre völlig unklar, wie eine Schlüsselhinterlegung technisch und rechtlich im Rahmen des grenzüberschreitenden Datenverkehrs greifen soll, insbesondere, wenn er durch "unsichere" Länder erfolgt?

Ein universeller Zugriff auf verschlüsselte Kommunikation könnte - wenn überhaupt - nur über eine Fülle von nachhaltigen Eingriffen in die Internet-Infrastruktur sichergestellt werden. Im Internet werden ca. 15 % aller IP-Pakete verschlüsselt; der größte Teil mit SSL, z.B. die Verbindung zwischen Browsern und Web-Servern und ein kleinerer Teil mit IPSec für die Sicherung der Kommunikation zwischen Unternehmen oder Unternehmensteilen. Dies ist bei Weitem zu wenig. Es ist an der Zeit zu erörtern, wie das Risiko eines Schadens für Bürger und Unternehmen im immer wichtiger werdenden Internet auf ein akzeptables Maß reduziert werden kann, z.B. durch stärkere Verbreitung und Nutzung von Verschlüsselungsanwendungen.

Eine Gesellschaft, die durch ihre freiheitliche, demokratische Verfassung auf die Eigenverantwortung des Einzelnen setzt, benötigt die Gewissheit, dass der Einzelne seine Privatsphäre wirksam schützen kann. Ungeachtet dessen muss sie darauf vertrauen können, dass auch die staatlichen Stellen ihrem verfassungsrechtlichen Auftrag zum Schutz der Grundrechte der Bürger hinreichend nachkommen.


Positionspapier zu "Big Data"

24.06.2014


Stellungnahme zum Vorschlag für eine Verordnung des Europäischen Parlaments und des Rates über die elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen im Binnenmarkt

19.07.2013


Kommentar zur Position von Bündnis 90/Die Grünen zu "QES + De-Mail" (Beratung der Gesetzentwürfe zur Förderung des elektronischen Rechtsverkehrs)

25.03.2013


Stellungnahme zum Referentenentwurf des Bundesministeriums des Innern für ein "Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme"

09.03.2013

Ergänzend hierzu hat TeleTrusT im November 2014 anlässlich der Verbändeanhörung zum fortentwickelten Entwurf des IT-Sicherheitsgesetzes kommentiert:

Stellungnahme zum Entwurf eines Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme - IT-Sicherheitsgesetz - (Referentenentwurf des Bundesministeriums des Innern) vom 04.11.2014 im Rahmen der Beteiligung von Verbänden und Fachkreisen

1) Zu § 8a Absatz 2 des Entwurfes regen wir folgende Änderungen an:

(…)

"Betreiber Kritischer Infrastrukturen und (Streichung: ihre) Branchenverbände können branchenspezifische (Ergänzung: oder branchenübergreifende) Sicherheitsstandards zur Gewährleistung der Anforderungen nach Absatz 1 vorschlagen. Das Bundesamt stellt im Benehmen mit dem Bundesamt für Bevölkerungsschutz und Katastrophenhilfe sowie im Einvernehmen mit der zuständigen Aufsichtsbehörde des Bundes oder im Benehmen mit der sonst zuständigen Aufsichtsbehörde auf Antrag fest, ob diese geeignet sind, die Anforderungen nach Absatz 1 zu gewährleisten."

Als Begründung verweisen wir auf mögliche Synergieeffekte mit anderweitigen Standardisierungsaktivitäten auch außerhalb Kritischer Infrastrukturen.

2) Komplementär verweisen wir im Besonderen auf die von TeleTrusT vorgeschlagenen "Wirkungsklassen" (siehe TeleTrusT-Strategiedokument vom 01.09.2014, das dem BMI und BMWi vorliegt):

https://www.teletrust.de/it-sicherheitsstrategie/ bzw. https://www.teletrust.de/uploads/media/IT-Sicherheitsstrategie_f%C3%BCr_Deutschland_TeleTrusT-Konzept.pdf

Zur Ausgestaltung einer IT-Sicherheitsstrategie für Deutschland werden darin pragmatische Wirkungsklassen von IT-Sicherheitsmaßnahmen für unterschiedliche Schutzbedarfe definiert und in Bezug zu den Nutzerkreisen gesetzt. Die Wirkungsklassen erlauben eine strukturierte Analyse und zweckorientierte Umsetzung der erforderlichen Maßnahmen.


Positionspapier der TeleTrusT-AG "Biometrie" zu Biometrie-Einsatz in der Arbeitswelt

05.09.2012


Stellungnahme des TeleTrusT-Koordinierungskreises "Signaturanwendungs-Hersteller" zum Vorschlag EU-Verordnung über die elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen im Binnenmarkt

16.07.2012


Positionspapier zur IT-Sicherheit im Smart Grid

30.05.2011


Positionspapier der TeleTrusT-AG "Biometrie" zu Körperscannern

23.03.2011

Positionspapier der Teletrust AG Biometrie


Stellungnahme des TeleTrusT-Koordinierungskreises "Signaturanwendungs-Hersteller" zum Steuervereinfachungsgesetz

09.03.2011


Stellungnahme zur Qualifizierten Elektronischen Signatur (QES)

27.01.2011


Stellungnahme zum De-Mail Gesetzentwurf

27.07.2010


Stellungnahme zu den Plänen der EU-Kommission betreffend die europäische Normung

05.05.2010

Stellungnahme zu den Plänen der Eu-Kommission


Stellungnahme gegen Abschottung des chinesischen Marktes für Kryptografie-Produkte

08.02.2010

Stellungnahme gegen Abschottung des chinesischen


Stellungnahme zum EU-Expertenbericht zu "Elektronischer Rechnungslegung"

11.01.2010


Stellungnahme zu Gefahren im Internet

15.06.2009

Stellungnahmen zu Gefahren im Internet 15.06.2009


Stellungnahmen zu diversen Vorhaben externer Gremien

27.07.2007

Kontroverse Diskussion zur Online-Durchsuchung

TTT-Positionspapier zur Förderung von vertrauenswürdigen Informations- und Kommunikationstechniken.

27.10.2006

TTT-Stellungnahme zum Entwurf eines Strafrechtsänderungsgesetzes zur Bekämpfung der Computerkriminalität (StrÄndG).

08.05.2006

TTT-Vorschläge zum weiteren Vorgehen nach dem Bericht der Kommission an das europäische Parlament und den Rat "Bericht über die Anwendung der Richtlinie 1999/93/EG über gemeinschaftliche Rahmenbedingungen für elektronische Signaturen" vom 15.03.2006.

05.04.2005

TTT-Stellungnahme zur eCard-Initiative der Bundesregierung und zugehörige Pressemitteilung von BMI, BMWA, BMF und BMGS vom 09.03.2005.

05.07.2004

TTT-Stellungnahme zum 1. SigÄndG vom 01.04.2004 (Begründung zum 1. SigÄndG).

31.07.2003

TTT-Stellungnahme für die Erarbeitung einer deutschen Position zur Evaluierung der EG-Signaturrichtlinie 1999/93/EG.

31.05.2003

Gemeinsame Stellungnahme von BITKOM und TTT zum Vorhaben der Europäischen Kommission, eine "Europäische Agentur für Netzwerk- und Informationssicherheit - ENISA" zu gründen.

Bezug: Diskussionspapier der Europäischen Kommission vom Februar 2003.

16.05.2003

TTT-Stellungnahme zur strategischen Neuausrichtung des BSI bei der Produktzertifizierung auf Grundlage des Protokolls der 2. Sitzung des Runden Tisches Kryptowirtschaft am 27. März 2003.

23.09.2002

TTT-Thesen zum Signaturbündnis der Bundesregierung.

TeleTrusT-Mitgliedschaft

TeleTrusT-Anbieterverzeichnis

Service: securityNews


Quelle: www.it-sicherheit.de