Stellungnahmen

Offener Brief an den IT-Planungsrat

Nehmen Sie den Beschluss zur Nicht-Umsetzung der NIS-2-Richtlinie zurück!

21.11.2023

Der Bundesverband IT-Sicherheit e. V. (TeleTrusT) fordert den IT-Planungsrat auf, den Beschluss 2023/39 zurückzunehmen.

Im Beschluss 2023/39 hat der IT-Planungsrat die Länder und den Bund gebeten, den Anwendungsbereich der NIS-2-Richtlinie nicht auf Einrichtungen der öffentlichen Verwaltung auf lokaler Ebene sowie Bildungseinrichtungen zu erstrecken. Das Gegenteil ist notwendig: zur Herstellung eines angemessenen IT-Sicherheitsniveaus in Deutschland ist es erforderlich und dringend geboten, insbesondere die Kommunen, aber auch die Bildungseinrichtungen gesetzlich auf IT-Sicherheit zu verpflichten und diese nicht pauschal aus dem Anwendungsbereich herauszulassen.

Zur Umsetzung der NIS-2-Richtlinie

An der Umsetzung der NIS-2-Richtlinie (Richtlinie (EU) 2022/2555 des Europäischen Parlaments und des Rates über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union, zur Änderung der Verordnung (EU) Nr. 910/2014 und der Richtlinie (EU) 2018/1972 sowie zur Aufhebung der Richtlinie (EU) 2016/1148) der EU wird derzeit intensiv gearbeitet. Der vom Bundesministerium des Innern und für Heimat federführend entwickelte Entwurf eines NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) befindet sich derzeit in der Ressortabstimmung. Nach zwei an die Öffentlichkeit gelangten Referentenentwürfen, einem nicht mit der Bundesregierung abgestimmten "Diskussionspapier" und dem anschließenden "Werkstattgespräch" des BMI mit den Verbänden ist deutlich geworden: die durch die NIS2-Richtlinie umzusetzenden Regelungen sind anspruchsvoll, aber für das Gemeinwohl, die Bürgerinnen und Bürger, die Unternehmen und auch Behörden und öffentlichen Stellen als wichtig und wesentlich erkannt. Die Anstrengungen, funktionierende Regeln auf Bundesebene zu definieren, wird von den unmittelbar und mittelbar Beteiligten mit großer Ernsthaftigkeit betrieben. Das tut auch nicht zuletzt Not, da die Umsetzungsfrist am 17.10.2024 endet.

Der Bund darf mit einem NIS2UmsuCG die Umsetzung der NIS-2-Richtlinie jedoch nur im Rahmen seiner Kompetenzen für den Bund regeln. Die europäischen Umsetzungsvorgaben gehen darüber allerdings hinaus und umfassen zum einen auch "Einrichtungen der öffentlichen Verwaltung auf regionaler Ebene". Die Bundesländer haben also eigene IT-Sicherheitsgesetze zu schaffen respektive anzupassen.

Zum anderen bestimmt die NIS-2-Richtlinie, dass die Mitgliedstaaten die Anwendbarkeit für "Einrichtungen der öffentlichen Verwaltung auf lokaler Ebene" sowie "Bildungseinrichtungen" vorsehen können. Die lokale Ebene sind in Deutschland die Kommunen. Ob die Kommunen und Bildungseinrichtungen gesetzlich auf IT-Sicherheit verpflichtet werden, liegt also im Ermessen der Mitgliedstaaten, hier der Bundesländer.

Der IT-Planungsrat veröffentlicht nun am 03.11.2023 den Beschluss 2023/39, in dem es unter anderem heißt:

"2. Er [der IT-Planungsrat] nimmt den Sachstandsbericht der AG Informationssicherheit zur Kenntnis und bittet die Länder und den Bund, von der Option, den Anwendungsbereich der NIS-2-Richtlinie auf Einrichtungen der öffentlichen Verwaltung auf lokaler Ebene und Bildungseinrichtungen zu erstrecken, keinen Gebrauch zu machen."

Diese ausdrückliche Bitte an Bund und Länder beinhaltet, die Kommunen und Bildungseinrichtungen vom Anwendungsbereich der NIS2-Richtlinie kategorisch auszunehmen. Würde dieser Bitte Folge geleistet, gäbe es auch in Zukunft keinen gesetzlichen Mindestanforderungen an die IT-Sicherheit für die genannten Bereiche. Und dies bei einer IT-Sicherheitslage, die noch zu keiner Zeit schlechter war als sie dieser Tage ist.

Deshalb fordert TeleTrusT den IT-Planungsrat auf, den Beschluss zurückzunehmen und zu Ziff. 2 des Beschlusses das Gegenteil zu beschließen. Das gemeinsame Ziel muss eine IT-Sicherheit auf bestmöglichem Niveau sein. Dazu leisten IT-Sicherheitsgesetze einen wichtigen Beitrag. Der Anspruch muss sein, auf jeder staatlichen Ebene alles dafür zu tun, IT-Sicherheit bestmöglich zu planen und umzusetzen.

IT-Sicherheit lässt sich nur flächendeckend verbessern.

Ohne eine funktionierende IT-Sicherheit kann der Staat bei Erfüllung seiner Aufgaben seinen Schutzpflichten nicht nachkommen und gefährdet das notwendige Vertrauen für eine Digitalisierung aller Lebensbereiche nachhaltig. Der "Weg für eine effiziente, sicherere und gut vernetzte digitale Verwaltung in Deutschland" (gem. Selbstbeschreibung des IT-Planungsrats) wird so nicht geebnet.

Der Ausschluss aus dem Regelungsregime ignoriert auch die Signalwirkung auf Unternehmen und Gesellschaft. Wie vermieden werden soll, dass die vom künftigen Recht erfassten Unternehmen keine sachlich ungerechtfertigte Ungleichbehandlung erkennen, bleibt offen. Zumal sich die fatalen Folgen unzureichender digitaler Infrastruktur und fehlender IT-Sicherheitsmaßnahmen in den Kommunen aktuell besonders bemerkbar machen: eine Vielzahl von Cyberattacken führt gegenwärtig zu einem flächendeckenden Ausfall zahlreicher Bürgerämter, wodurch Bürger und Bürgerinnen über einen längeren Zeitraum Verwaltungsleistungen nicht in Anspruch nehmen können. Prognosen zeigen, dass Angriffe auf informationstechnische Systeme kommunaler Behörden in Zukunft weiter ansteigen werden. Auch Bildungseinrichtungen, wie Schulen oder Universitäten, sind vermehrt betroffen.

Im Bericht "Die Lage der IT-Sicherheit in Deutschland 2023" des BSI wird dazu festgestellt: "Kleine und mittlere Unternehmen (KMU) sowie besonders Kommunalverwaltungen und kommunale Betriebe wurden überproportional häufig angegriffen". "Im Berichtszeitraum wurden insgesamt 27 kommunale Verwaltungen und Betriebe als Opfer von Ransomware-Angriffen bekannt." Die betroffenen Kommunen hatten dabei knapp sechs Millionen Einwohnerinnen und Einwohner.

Die Gefahr eines weitreichenden Zusammenbruchs von Verwaltungs- und Bildungseinrichtungen ist evident, ebenso das damit einhergehende datenschutzrechtliche Risiko.

Der Beschluss des IT-Planungsrats ist kontraproduktiv.

Denn er negiert eine konstruktive Beteiligung an den Aufgaben und enthält zudem auch keinerlei Vorschläge, wie auf anderem Weg für IT-Sicherheit gesorgt werden solle.

Es ist wichtig, die offensichtlichen Handlungsnotwendigkeiten für eine gute IT-Sicherheit allseits zu erkennen und konsequent zu handeln. Wer eine Regulierung ablehnt, womöglich auch aus Gründen praktischer Umsetzungsschwierigkeiten, dem wird man schwerlich zutrauen, die IT-Sicherheit auch ohne eine solche Regulierung freiwillig umzusetzen.

Der Möglichkeit, Kommunen und Bildungseinrichtungen auf nationaler Ebene von den europarechtlichen Vorgaben freizuhalten, sollten Bund und Länder verantwortlich entgegentreten. Der IT-Planungsrat sollte hier als politisches Steuerungsgremium von Bund und Ländern in Fragen der Informationstechnik und der Digitalisierung von Verwaltungsleistungen seiner Aufgabe gerecht werden.

Der Bundesverband IT-Sicherheit bietet seine Mitwirkung auf dem Weg zu mehr IT-Sicherheit auf allen Ebenen an und ist für Gespräche jederzeit offen.

Unterzeichner:

Vorstand und Geschäftsführung Bundesverband IT-Sicherheit e. V. (TeleTrusT)

- RA Karsten U. Bartels LL.M.
- Prof. Dr. Norbert Pohlmann
- Dr. André Kudra
- Dr. Holger Mühlbauer

Erstzeichner:

- CISO Alliance e.V., Ron Kneffel, Vorstandsvorsitzender

Mitzeichner:

- Tomasz Lawicki, Leiter TeleTrusT-AK "Stand der Technik"
- RA Stephan Schmidt, TCI Rechtsanwälte Mainz
- Dr. Frank Schemmel
- G DATA CyberDefense AG
- Christian Schröder, DSK360 GmbH
- Yvonne Aurich
- Jürgen Mayershofer
- Patrick Schnell
- Ives Laaf
- Carsten Reffgen, Enterprise Open Systems GmbH
- Shieldmaiden Cybersecurity UG
- Tatjana Kiefer
- Stefan Sander, SDS Rechtsanwälte Sander Schöning PartG mbB
- HK2 Rechtsanwälte
- HK2 Comtection GmbH
- Patrick Schnell
- Dr. Mohamad Sbeiti, Ruhr Security GmbH
- Tobias Hess, DSGVO-Service
- Dr.-Ing. Stefan Pokorny, IT-Sicherheitsberater
- David Goebel, DaGo Consulting GmbH
- Hermes Könnecke
- Thomas Scholz
- Wolfgang Pinner
- Alexander Fuchs, NEXT GENERATION IT SOLUTIONS
- Max Imbiel, ahead Security
- Tilmann Dietrich
- Christian Leipold
- Steffen Hellinger
- Stefan Bergmann
- Robin Stieber
- Carsten Vossel
- networker NRW
- Florian Kaiser
- Patrick Grihn, nextindex GmbH & Co. KG
- Susanne Kersten
- Steffen Müller, Infosec.de
- Marc Lindike, 222 Degree Consulting GmbH
- Thomas Fauser, DMARC24
- Claus Hofmann
- Tobias Bergmann, Bergmann IT
- Christian Meyer
- Christian Kohl
- Regina Mühlich
- Tilo Schneider
- Gesellschaft für Datenschutz und Datensicherheit (GDD) e.V.
- Katarina della Peruta, Informationssicherheitsbeauftragte Landratsamt Ebersberg
- Hermann Oehrle
- Christian Grimm
- Manfred vom Sondern
- Yannick Gries
- Mathis Greve
- Ari Albertini, FTAPI Software GmbH
- Dietmar Wyhs, SSH Germany
- Martin Pasch
- Carsten Pinnow, Herausgeber datensicherheit.de
- Dirk C. Pinnow, Herausgeber datensicherheit.de
- Pierre Gronau, Informationssicherheitsberater
- Dr. Johannes Loxen, SerNet GmbH
- Alexander Rabe, eco - Verband der Internetwirtschaft e.V.
- Philipp Trouillier
- Marc Dauenhauer, IT Management Consulting
- Dr. Robin Pohl, Organisations- und Prozessberatung
- Richard Peddi, CISO, SIGNATA Group
- Werner Spielhaupter
- Carsten Dingendahl, ndaal GmbH & Co. KG
- Stefan Depping, digit solutions GmbH
- Matthias Kirchhoff, digitronic computersysteme gmbh
- Stefan Cink, NoSpamProxy
- Oliver Pietsch, Staatlich geprüfter Techniker
- Claudia Stecken
- RA Kristian Borkert
- Stefanie Wachter
- Der Mittelstand. BVMW e.V.
- Ralf Kowalewski
- Sandra Wiesbeck, IT-Sicherheitscluster e.V. - im Namen aller Vorstände -
- Oliver Dehning

Stellungnahme und Kommentierung des Bundesverbandes IT-Sicherheit e.V. (TeleTrusT) zur Nichtannahme der Verfassungsbeschwerde gegen das "Gesetz zur effektiveren und praxistauglicheren Ausgestaltung des Strafverfahrens"

17.07.2023

Gemäß Beschluss der Mitgliederversammlung 2017 legte der Bundesverband IT-Sicherheit e.V. (TeleTrusT), hier vertreten durch Prof. Dr. Norbert Pohlmann, RA Karsten U. Bartels LL.M. und Dr. Holger Mühlbauer als formelle Beschwerdeführer, am 19.04.2018 Verfassungsbeschwerde gegen das vom Deutschen Bundestag beschlossene und in Kraft getretene "Gesetz zur effektiveren und praxistauglicheren Ausgestaltung des Strafverfahrens" ein, insoweit der Gesetzgeber darin die Rechtsgrundlagen für die Quellen-Telekommunikationsüberwachung (Quellen-TKÜ) und die Online-Durchsuchung erweitert und Grundrechte in Bezug auf das Fernmeldegeheimnis einschränkt, bzw. gegen den mit dem Gesetz legalisierten Einsatz von sog. "Staatstrojanern".

Nach mehrjähriger Bearbeitungsdauer nahm das Bundesverfassungsgericht per Beschluss vom 17.04.2023 die Verfassungsbeschwerde nicht zur Entscheidung an (AZ 176/23 bzw. 178/23).

Der Bundesverband IT-Sicherheit kommentiert und kritisiert die Nichtannahme wie folgt:

Problem erkannt, Lösung verweigert

I. Hintergrund

Im August 2017 hat der Gesetzgeber die hoch umstrittene Online-Durchsuchung und Quellen-Kommunikationsüberwachung erstmals auch zu strafprozessualen Zwecken erlaubt. Die Vorschriften gestatten die heimliche Infiltration von informationstechnischen Systemen wie Mobiltelefonen, Tablets und Computern zum Aufspielen von Überwachungssoftware (den sogenannten "Staatstrojanern"). Damit soll es Ermittlern ermöglicht werden, Kommunikation und Daten an den Endgeräten auszulesen, bevor sie verschlüsselt werden. Um eine solche Infiltration zu ermöglichen und die Software unbemerkt zu platzieren, muss zunächst ein Zugang zum Zielsystem eröffnet werden. Hierzu sind die Ermittler in der Regel (nicht anders als die Anwender herkömmlicher Schadsoftware) auf bestehende Sicherheitslücken in den IT-Systemen angewiesen, die sie entdecken oder ankaufen und ausnutzen müssen, bevor sie geschlossen werden. Mit der Einführung solcher Maßnahmen, die sich neben der Strafprozessordnung auch in einer Vielzahl von Polizei- und Nachrichtendienstgesetzen finden, wurde ein grundsätzlicher Zielkonflikt eingeläutet zwischen dem staatlichen Interesse an der Offenhaltung dieser gefährlichen Sicherheitslücken und dem Interesse der Allgemeinheit an größtmöglicher IT-Sicherheit, zu deren Gewährleistung sich Regierung und staatliche Stellen vielfach verpflichtet haben. 

II. Verfassungsbeschwerde des Bundesverbandes IT-Sicherheit e. V. (TeleTrusT)

Die im Jahr 2018 erhobene Verfassungsbeschwerde des Bundesverbandes IT-Sicherheit e.V. (TeleTrusT) hat deshalb neben anderen Punkten insbesondere gerügt, dass die Einführung solcher Befugnisse mit einer unvertretbaren Schwächung der allgemeinen IT-Sicherheit einhergeht. Die Argumentation stützte sich vor allem auf das Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme ("IT-Grundrecht"), das das Bundesverfassungsgericht in seiner Entscheidung vom 27.02.2008 (BVerfGE 120, 274 - Verfassungswidrigkeit der Online-Durchsuchung im Verfassungsschutzgesetz NRW) in einer seiner ersten Auseinandersetzungen mit dem Thema Online-Durchsuchung entwickelt hatte. Die Verfassungsbeschwerde von TeleTrusT hat diesbezüglich zwei Kernaussagen getroffen:

Erstens erschöpft sich dieses Grundrecht nicht darin, einzelnen Betroffenen ein Abwehrschild gegenüber unverhältnismäßigen Eingriffen in ihre digitale Privatsphäre zu bieten, sondern beinhaltet darüber hinaus eine aktive Schutzpflicht des Staates, die IT-Sicherheit der Bevölkerung zu gewährleisten und sich schützend vor sie zu stellen. Diese Frage war damals Gegenstand juristischer Debatten und durch die Rechtsprechung noch nicht beantwortet.

Und zweitens: der Gesetzgeber verstößt gegen diese Schutzpflicht, wenn er seine Behörden mit Überwachungsbefugnissen ausstattet, die es erforderlich machen, Schutzlücken auszunutzen, offenzuhalten und möglicherweise sogar auf dem schwarzen oder grauen Markt anzukaufen, anstatt sie möglichst schnell den Herstellern bekannt zu machen, damit diese die Lücken schließen. So werden Bestrebungen für die IT-Sicherheit konterkariert. Denn eine Sicherheitslücke kann, solange sie offen ist, nicht nur von den staatlichen Stellen, sondern von jedermann zu beliebigen Zwecken genutzt werden. Unter Ausnutzung solcher Vulnerabilitäten werden bekanntlich Jahr für Jahr Milliardenschäden angerichtet, Daten gestohlen und Kritische Infrastrukturen gefährdet.

Staatliche Behörden dürfen solche Gefahren schon nicht setzen. Im Gegenteil muss der Staat diesen einen Mindestumfang gesetzlicher Regulierung gegenüberstellen, der die IT-Sicherheit hinreichend schützt. Dabei geht es konkret um ein geeignetes "Schwachstellen-Management“, also um klare gesetzliche Regeln, wie Ermittlungsbehörden mit Sicherheitslücken umgehen sollen - also die Feststellung, dass nicht nach Belieben Lücken ausgenutzt, offengehalten oder gar angekauft werden dürfen, und die Festlegung, welche Faktoren in die Abwägung darüber einzufließen haben (beispielsweise Ausmaß und Gewicht der Lücke, Nutzen für Ermittlungszwecke und ähnliches). Solche hinreichenden gesetzlichen Regelungen gab es weder bei Erhebung der Verfassungsbeschwerde noch gibt es sie heute.

III. Teilerfolge zu IT-Sicherheitslücken und Schwachstellen-Management seit 2018

Seit Erhebung der Verfassungsbeschwerde im Jahr 2018 sind mehr als fünf Jahre vergangen. Das ist für Entscheidungen des Bundesverfassungsgerichts über Verfassungsbeschwerden, die Gesetze angreifen, nicht ganz außergewöhnlich, aber hat doch dazu geführt, dass sich sowohl die politische als auch juristische Debatte weiterentwickelt haben.

Am 08.06.2021 hat das Bundesverfassungsgericht eine Beschwerde gegen das Polizeigesetz Baden-Württemberg zurückgewiesen (BVerfGE 158, 170 - IT-Sicherheitslücken), aber zugleich die auch von der Verfassungsbeschwerde von TeleTrusT ins Feld geführte aktive Schutzpflicht zum Schutz informationstechnischer Systeme anerkannt:

"Die grundrechtliche Schutzpflicht des Staates verlangt auch eine Regelung zur grundrechtskonformen Auflösung des Zielkonflikts zwischen dem Schutz informationstechnischer Systeme vor Angriffen Dritter mittels unbekannter Sicherheitslücken einerseits und der Offenhaltung solcher Lücken zur Ermöglichung einer der Gefahrenabwehr dienenden Quellen-Telekommunikationsüberwachung andererseits." (BVerfGE 158, 170 [Tenor zu 2. b)])

Das Anerkennen dieser Schutzpflicht wurde aus datenschutzrechtlicher Sicht als wesentlicher Erfolg angesehen. Damit war ein Kernpunkt bereits im Sinne der Verfassungsbeschwerde von TeleTrusT entschieden. Zugleich war die Entscheidung problematisch, da das Bundesverfassungsgericht einerseits sogar die Ausnutzung von Zero-Day-Lücken für grundsätzlich gangbar gehalten hatte und andererseits bewusst davon abgesehen hatte, die Frage, ob der Staat ohne Schwachstellen-Management dieser Schutzpflicht derzeit gerecht wird oder nicht, zu beantworten. Es bestünden "unterschiedliche gesetzliche Regelungen zum Schutz informationstechnischer Systeme, denen - ohne dass dies hier abschließend verfassungsrechtlich bewertet werden kann - auch im vorliegenden Kontext Bedeutung zukommen könnte" (BVerfGE 158, 170 [192]). So sei es beispielsweise zweifelhaft, aber doch denkbar, dass beim Offenhalten einer Zero-Day-Sicherheitslücke eine Datenschutz-Folgenabschätzung erstellt werden müsse, die zur Erfüllung der staatlichen Schutzpflicht beitragen könne. Es sei nicht Aufgabe des Bundesverfassungsgerichts, das Fachrecht eigenständig daraufhin auszuleuchten, inwiefern als Schutznormen in Betracht kommende Regelungen dem grundrechtlichen Schutzauftrag gerecht werden oder diesen aber verfehlen. Die Beschwerde sei deshalb in diesem Punkt unzulässig.

Dieser Rückzug aus der entscheidenden inhaltlichen Diskussion auf das Argument unzureichenden Beschwerdevortrags sollte sich in ähnlichen Entscheidungen fortsetzen, etwa in der Entscheidung über eine Verfassungsbeschwerde gegen das Gesetz über die öffentliche Sicherheit und Ordnung in Mecklenburg-Vorpommern vom 9. Dezember 2022 (1 BvR 1345/21), in der es ebenfalls heißt, die Beschwerdeführer hätten näher darauf eingehen müssen, dass möglicherweise auch beim Offenhalten einer Sicherheitslücke eine Datenschutz-Folgenabschätzung vorzunehmen sei (a.a.O., Rn. 67). 

Dass der gegenwärtige, also nahezu nicht existente Regelungsrahmen nicht als offensichtlich ungenügend erkannt wird, ist schwer nachzuvollziehen. Denn dass die Ausnutzung von Schwachstellen durch Strafverfolgungs- und Sicherheitsbehörden derzeit nicht hinreichend geregelt ist und der Staat deshalb für seine damit befassten Behörden dringend ein Schwachstellen-Management etablieren und hierzu verbindliche Regeln einführen muss, ist in Politik und Wissenschaft heute weitgehend anerkannt. So stellt der aktuelle Koalitionsvertrag zwischen SPD, Bündnis 90/Die Grünen und FDP fest: 

"Die Ausnutzung von Schwachstellen von IT-Systemen steht in einem hochproblematischen Spannungsverhältnis zur IT-Sicherheit und den Bürgerrechten. Der Staat wird daher keine Sicherheitslücken ankaufen oder offenhalten, sondern sich in einem Schwachstellenmanagement unter Federführung eines unabhängigeren Bundesamtes für Sicherheit in der Informationstechnik immer um die schnellstmögliche Schließung bemühen." (Koalitionsvertrag 2021 - 2025, S. 109)

Das Bundesministerium des Innern und für Heimat hat auf seine Liste der "Zentralen Vorhaben des BMI 2022/2023“ notiert, es stehe die "Einführung eines wirksamen Schwachstellenmanagements“ an (Zentrale Vorhaben des BMI 2022/2023, S. 2). Und das Bundesamtes für Sicherheit in der Informationstechnik (BSI), das laut Koalitionsvertrag die Federführung für das noch einzuführende Schwachstellen-Management übernehmen soll, sieht dies sogar noch in erheblicher Ferne, da noch nicht einmal die fundamentalen Rahmenbedingungen feststünden und das BSI dabei in einen ungelösten Konflikt mit den Sicherheitsbehörden gerate:

"Bevor überhaupt gesetzliche Regelungen zum staatlichen Umgang mit Schwachstellen geschaffen werden können, ist es hiesigen Erachtens notwendig, die Ziele, Definitionen und Rahmenbedingungen eines geplanten Schwachstellenmanagements festzulegen. So ist, rein auf Basis der Aussagen des Koalitionsvertrages, nicht klar, ob es sich bei dem Konzept um eine Art Coordinated Vulnerability Disclosure (CVD-Prozess), eine Art Vulnerabilities Equities Process (VEP), oder um beides inklusive darüberhinausgehender Maßnahmen handelt. […] Die Pflichten des Staates zum Schutz der unter-schiedlichen Grundrechte führen im Kontext der IT-Sicherheit und öffentlichen Sicherheit, wie am staatlichen Umgang mit Zero-Days deutlich wird, in einen Zielkonflikt staatlicher Sicherheitspolitik und damit innerhalb der Cybersicherheitsarchitektur Deutschlands, qua unterschiedlicher gesetzlicher Auf-träge, auch zu einem Interessenkonflikt zwischen dem BSI und den Sicherheitsbehörden.“ (Antworten des Bundesamtes für Sicherheit in der Informationstechnik - BSI - auf den Fragenkatalog zur Öffentlichen Anhörung des Ausschusses für Digitales am 25.01.2023 "Cybersicherheit - Zuständigkeiten und Instrumente in der Bundesrepublik Deutschland", Ausschuss-Drucksache 20(23)125, S. 11 f.)

In dieser Entwicklung zeigt sich zudem, dass sich die Forderung nach einem Schwachstellen-Management, die TeleTrusT in seiner Verfassungsbeschwerde bereits 2018 erhoben hat, inzwischen in aller gesellschaftlicher Breite etabliert hat - wenngleich dies noch nicht zu einer praktischen Umsetzung geführt hat. Dabei ist stets darauf hinzuweisen, dass ein irgendwie geartetes Schwachstellen-Management nicht dazu führt, dass die staatliche Ausnutzung von Sicherheitslücken ungefährlich würde. Umgekehrt weist der staatliche Umgang damit ohne Schwachstellen-Management aber jedenfalls nicht einmal die Minimalstandards auf.

IV. Entscheidung des Bundesverfassungsgerichts über die Verfassungsbeschwerde von TeleTrusT

Mit Beschluss vom 17.04.2023 hat das Bundesverfassungsgericht durch die 2. Kammer des Ersten Senats die 2018 von TeleTrusT erhobene Verfassungsbeschwerde nicht zur Entscheidung angenommen. Angesichts der oben beschriebenen Entwicklungen kann dies nicht völlig überraschen, ist aber doch aus mehreren Gründen enttäuschend. Der Beschluss macht in seiner knappen Begründung Anmerkungen zu zwei Punkten, die bei der Ablehnung von Beschwerden gegen Überwachungsbefugnisse häufig zu finden sind:

Erstens könnten die Beschwerdeführer nicht geltend machen, durch die Gesetze selbst in ihren Grundrechten betroffen zu sein. Dies betrifft eine grundsätzliche Problematik zum Rechtsschutz gegen Überwachungsbefugnisse. Die Bürger sind zunächst gehalten, sich gegen den konkreten Eingriff zu wehren, also hier beispielsweise eine sie betreffende Online-Durchsuchung. Da die Maßnahme aber heimlich stattfindet, wissen die Betroffenen zunächst nichts von ihrer tatsächlichen Betroffenheit. Dafür muss aber gezeigt werden, dass man zukünftig mit einiger Wahrscheinlichkeit von einer solchen Maßnahme betroffen sein wird. Hier muss der Beschwerdeführer argumentieren, warum er glaubt, in den Zielbereich der Maßnahme geraten zu können, obwohl diese Entscheidung einzig bei den dazu befugten Behörden (und in der Zukunft) liegt. Das macht es grundsätzlich schwierig, solche Überwachungsbefugnisse erfolgreich anzugreifen. Vorliegend spricht bereits die hohe Streubreite der Maßnahme, die immerhin auch all diejenigen betreffen kann, die mit einer überwachten Person kommunizieren und sich sogar gegen Dritte richten darf, deren Systeme durch einen Beschuldigten genutzt werden, für die Wahrscheinlichkeit einer Betroffenheit spricht. Zudem haben die Beschwerdeführer dargelegt, dass sie aufgrund ihrer professionellen Tätigkeit mit Verschlüsselungstechnologien, IT-Sicherheit und Datenschutz im Hochrisikobereich beruflich mit Personen in Kontakt kommen, gegen welche die hier gegenständlichen Maßnahmen eingesetzt werden können (wie etwa bei den Themenkreisen Schutz von Whistleblowern, Entwicklung von Sicherheitslösungen im Angesicht des Zugriffs internationaler Nachrichtendienste oder Cyber-War und -Spionage oder bei der Tätigkeit als Rechtsanwalt, der berufsbedingt regelmäßig in Kontakt mit möglicherweise strafrechtlich relevanten Sachverhalten im Sinne der Eingriffsbefugnis kommt).

Hinzu tritt, dass die mit den Überwachungsbefugnissen einhergehende Verletzung der IT-Schutzpflicht gerade nicht nur die von einer konkreten Maßnahme betroffenen berührt, sondern die gesamte IT-Sicherheit. Insbesondere die geschaffenen Anreize zum Offenhalten von Sicherheitslücken schwächt die Sicherheitsmechanismen, die die Beschwerdeführer betreuen, entwickeln und einsetzen, und das darin gesetzte Vertrauen. Gleichwohl hat das Bundesverfassungsgericht keine Selbstbetroffenheit der Beschwerdeführer erkennen wollen, ohne dies weiter zu begründen oder auf den Vortrag einzugehen. Auch diese Argumentation ist für solche Beschwerdeverfahren typisch. So verweist der vorliegende Beschluss etwa auf die bereits zitierte Entscheidung zur Online-Durchsuchung im Sicherheits- und Ordnungsgesetz Mecklenburg-Vorpommern, in der eben-falls mehrere Beschwerdeführer mit dieser Begründung auf formeller Ebene abgewiesen wurden (1 BvR 1345/21, Rn. 54 ff.). Diese Art der Abarbeitung ist einerseits deshalb bedenklich, weil dies den Rechtsschutz der Bürger gegen heimliche Überwachungsbefugnisse sehr eng auslegt. Zudem wird die (ohnehin unausweichliche) verfassungsrechtliche Auseinandersetzung mit der strafprozessualen Online-Durchsuchung und Quellen-Telekommunikationsüberwachung aus formellen, nicht näher ausgeführten Gründen abgeschnitten, obwohl es auf der Hand liegt, dass die Verfassungsbeschwerde inhaltlich gewichtige Argumente vorbringt, die auch von anderen Verfassungsbeschwerden, von Politik und Rechtswissenschaft und wie gezeigt sogar durch das Bundesverfassungsgericht selbst geteilt werden.

Zweitens verweist der Beschluss auf die genannten Entscheidungen aus den letzten beiden Jahren, wonach zwar eine aktive Schutzpflicht bestehe, die Aufarbeitung, inwieweit der bisherige gesetzliche Rahmen dem genügt, aber nicht Sache des Gerichts sei - ebenfalls unter Verweis auf die Frage, ob der staatlichen Schutzpflicht möglicherweise im Rahmen einer Datenschutz-Folgenabschätzung genüge getan werden könnte. Dieser Verweis zeugt, wie auch schon in den vorangegangenen Entscheidungen, von einer unsachgemäßen Vermengung von Rechtspflichten und deren Anwendungsbereichen. Eine Datenschutz-Folgenabschätzung stellt keinen hinreichenden Schutzmechanismus im Sinne von IT-Schutzpflicht gegenüber der Ausnutzung von Sicherheitslücken dar. Eine Datenschutz-Folgenabschätzung ist eine Risikobewertung zur Sicherstellung allein datenschutzrechtlicher Pflichten. Die grundsätzlichen Risiken, die insbesondere mit der Offenhaltung von Zero-Day-Schwachstellen einhergeht, werden nicht gewürdigt. Nicht zuletzt angesichts des Umstandes, dass heute von breiten Teilen von Wissenschaft, Politik und Bevölkerung konkrete, transparente und vor allem gesetzlich verbindliche Regelungen zum Umgang der Ermittlungs- und Sicherheitsbehörden mit IT-Sicherheitslücken für unerlässlich gehalten werden, senden Entscheidungen wie diese ein falsches Signal.

Zwar ist die jetzige Entscheidung teilweise auch eine Konsequenz der Entwicklungen seit 2018 bzw. des diskursiven und juristischen Erfolgs der vorgetragenen Argumentation. Zugleich bleibt festzuhalten: Die Auseinandersetzung mit dem offensichtlich ungenügenden staatlichen Schwachstellen-Management und dem Umstand, dass Befugnisse zur Nutzung von "Staatstrojanern" eingeführt wurden, ohne die damit geschaffenen Gefahren für die allgemeine IT-Sicherheit mitzudenken, darf nicht länger aufgeschoben werden. 

Stellungnahme zur Neufassung des regulatorischen Frameworks eIDAS (electronic IDentification, Authentication and trust Services)

02.09.2021

Der Bundesverband IT-Sicherheit e.V. (TeleTrusT) begrüßt den Vorschlag der Europäischen Kommission, auf Basis einer novellierten Fassung des regulatorischen Frameworks eIDAS (electronic IDentification, Authentication and trust Services) - hier subsumiert unter eIDAS 2.0 - vertrauenswürdige und sichere Digitale Identitäten für alle Europäer zu etablieren. TeleTrusT-Mitglieder aus der Arbeitsgruppe "Blockchain" und dem Arbeitskreis "Forum elektronische Vertrauensdienste" haben die am 03.06.2021 publizierten Entwürfe einer detaillierten Analyse unterzogen und die entstandenen Ergebnisse und Forderungen zusammengefasst.

Self-Sovereign Identity (SSI) wird berücksichtigt und ermöglicht - ein Vertrauensmodell für SSI wird geschaffen

Eine "digitale Identität" ist ein Hilfsmittel für den Menschen, mit einem Computersystem zu interagieren. Für den Computer müssen Menschen, besonders in der vernetzten Welt, erreichbar und wiedererkennbar sein. Die eIDAS schafft dafür die notwendigen gesetzlichen Rahmenbedingungen.

Mit Self-Sovereign Identity, kurz SSI, wurde das digitale Identitätsmanagement neu erfunden. SSI liefert ein gänzliches neues Paradigma: Der Nutzer verwaltet und kontrolliert seine digitale Identität selbst, Fakten über den Nutzer stellen weiterhin Drittparteien aus, vertrauensstiftende Datenpunkte werden auf einer öffentlich zugänglichen, verteilten Datenbank (Distributed Ledger Technology, DLT) verankert und publiziert. Durch SSI entstand eine Situation, die durch die aktuelle eIDAS-Fassung nur unzureichend erfasst wurde und daher nicht adäquat abgedeckt werden konnte.

In einem öffentlichen Konsultationsverfahren zur eIDAS-Novellierung im Jahr 2020 wurde abgefragt, welche Verbesserungen und Optimierungen in die eIDAS-Verordnung - auch und insbesondere im Hinblick auf SSI - aufgenommen werden sollen. Diese Vorgehensweise wurde durch die zahlreichen SSI-Stakeholder und -Interessenvertreter intensiv genutzt. In der SSI-Gemeinschaft wird überaus positiv aufgenommen, dass der Vorschlag für eIDAS 2.0 eindeutig "SSI-freundlich" ist. Die eingereichten Vorschläge und Anmerkungen haben in weiten Teilen Anklang gefunden, sodass sie durch die Europäische Kommission berücksichtigt wurden.

Die eIDAS kennt nun explizit den Begriff "Self-Sovereign Identity" und dessen inhärenten Systematiken, d. h. ein dezentralisiertes Identitätssystem als elementaren Bestandteil, die Ausgestaltung mit Electronic Ledgers sowie die Digitale Wallet ("elektronische Brieftasche"). Tatsächlich werden eine "harmonised European Digital Identity Wallet" sowie eine "Toolbox for a European Digital Identity Framework" in Aussicht gestellt. Dies wird von TeleTrusT außerordentlich begrüßt.

SSI hat im Jahr 2021 ein enormes Momentum und hohe Sichtbarkeit erreicht. In vielfältigen hochkarätigen Initiativen in Deutschland und Europa wird darauf hingearbeitet, SSI in der Privatwirtschaft und der öffentlichen Verwaltung gleichermaßen in breiten Einsatz zu bringen. Die eIDAS-Novellierung liefert dazu flankierend Schub und die unabdingbare gesetzliche Grundlage.

Implementing Acts sind zu harmonisieren und möglichst viele sind zu implementieren, um ein "Level Playing Field" zu erreichen

TeleTrusT begrüßt die umfangreiche Anzahl verpflichtender Implementing Acts für die Europäische Kommission, wie sie derzeit im Proposal der neuen eIDAS enthalten sind. Im Sinne einheitlicher Vorgaben für den europäischen Binnenmarkt wird empfohlen, diese Anzahl nicht zu kürzen. Zudem sollten die Implementing Acts, wie im aktuellen Entwurf vorgesehen, auch auf europäische Standards und Normen verweisen. Nur so können gemeinsame technische Rahmenbedingungen, eine breite Umsetzung und vor allem Interoperabilität digitaler Identitäten und Vertrauensdienste gewährleistet werden.

Neben den aktuell vorgesehenen verpflichtenden Implementing Acts sollten diese auch bei Art. 20 und 24 eIDAS vorgesehen werden. Diese sollten auf europäische Standards hinsichtlich der grundlegenden Anforderungen an die Konformitätsbewertungsstelle im Allgemeinen (z.B. ETSI EN 319 403) sowie die grundsätzliche Konformitätsbewertung (qualifizierter) Vertrauensdienste im Besonderen verweisen (z.B. EN 319 401), um eine Vergleichbarkeit der Konformitätsbewertung in den Mitgliedsstaaten zu gewährleisten.

Darüber hinaus sollte auch Art. 45i um die Verpflichtung an die Europäische Kommission zum Erlass von Implementing Acts ergänzt werden. Electronic Ledger, im Kern DLT, bilden zum einen vielfach die technische Infrastruktur selbstsouveräner digitaler Identitäten (SSI), zum anderen schafft die European Blockchain Service Infrastructure die technische Basis verteilter digitaler Ökosysteme in Europa auf Grundlage von DLT. Geprüfte wie vor allem vergleichbare und interoperable Vertrauenswürdigkeit elektronischer Ledger ist zur breiten Umsetzung und Anwendung von EBSI ebenso essentiell wie für das European Self-Sovereign Identity Framework (ESSIF). Umso mehr sollte mit verpflichtenden Implementing Acts, die wiederum auf europäische Standards und Normen verweisen (z.B. ETSI ESI, ETSI PDL, CEN JTC 19), ein gemeinsamer regulatorischer wie technischer Rahmen geschaffen werden, um eIDAS 2.0 im EWR erfolgreich umzusetzen.

Eine Umsetzungsförderung - auch der Kommunen - für Implementierung und Kommunikation sollte erfolgen

Der Erfolg der eIDAS 2.0 steht und fällt mit der Anwendung sicherer digitaler Identitäten und (qualifizierter) Vertrauensdienste. Der öffentlichen Verwaltung kommt hierbei eine Schlüsselrolle zu. Einerseits obliegt ihr die nationale Aufsicht und Verantwortung zur Informationssicherheit sowie die verpflichtende Akzeptanz bspw. des EU Digital Wallet oder aller mindestens fortgeschrittenen elektronischen Signaturen jedes qualifizierten Vertrauensdiensteanbieters. Andererseits umfassen G2B/G2C-Transaktionen einen wesentlichen Teil der Anwendungsfälle von eIDAS 2.0. In der ersten Fassung der eIDAS zeigte sich, dass Behörden zwar die Annahmepflichten umsetzten, nicht jedoch digitale Identitäten oder Vertrauensdienste selbst anwendeten. Ergebnis ist eine weiterhin begrenzte Digitalisierung der öffentlichen Verwaltung, was sich insbesondere in der Pandemie als nachteilig erwies. Um eine breite Anwendung der eIDAS 2.0 sicherzustellen, sollten öffentliche Stellen in Art. 6 und 27 eIDAS 2.0, neben den bestehenden Anerkennungsvorgaben, ebenso verpflichtet werden, digitale Identitäten und (qualifizierte) Vertrauensdienste verbindlich für die eigenen Anwendungsfälle einzusetzen. Unternehmen wie Bürger müssen die Möglichkeit erhalten jede digitale Identität, nur abhängig vom notwendigen Vertrauensniveau (LoA), jeden (qualifizierten) Vertrauensdienst bei einer Behörde einsetzen zu können und gleichzeitig darauf vertrauen zu können, dass öffentliche Stellen digitale Identitäten und (qualifizierte) Vertrauensdienste selbst einsetzen.

Zur Umsetzungsunterstützung sollten die Mitgliedsstaaten verpflichtet werden entsprechende Finanzmittel für die öffentlichen Stellen bereitzustellen und die Umsetzung digitaler Identitäten und (qualifizierter) Vertrauensdienste in öffentlichen Stellen gezielt zu fördern. Ebenso sollte eine verbindliche Umsetzungsfrist in eIDAS 2.0 definiert werden, um die zeitnahe Realisierung sicherzustellen.

EU Trusted List ist der Vertrauensanker für die Datenautobahn - sie ist eine Stärke der eIDAS und sollte der zentrale Vertrauensanker bleiben

Das übergeordnete Ziel der EU-Verordnung ist die Schaffung eines digitalen Binnenmarkts. Entsprechend sollen digitale Vertragsabschlüsse, Online-Dienstleistungen und elektronische Identitäten durch eIDAS gefördert und sicherer werden. Zu diesem Zweck definierte die Verordnung einen einheitlichen, europäischen Rechtsrahmen und vereinfachte bestehende Verfahren und Vorschriften, beispielsweise für die elektronische Unterschrift. Dabei verfolgt eIDAS einen für Innovationen offenen Ansatz und ist technologieneutral.

Ein wesentlicher Punkt ist die Schaffung der EU Trusted List auf der alle Vertrauensdienste in Europa mit ihren Vertrauensankern (beispielsweise CA-Zertifikate) gelistet sind. Die Liste ist sowohl menschenlesbar als auch maschinenlesbar. Somit wird auch technisch ermöglicht, alle Produkte die qualifizierte Vertrauensdiensteanbieter herausgeben, maschinell und kostenlos kryptographisch auf ihre Vertrauenswürdigkeit zu überprüfen. Ein praktisches Beispiel ist die Überprüfung der qualifizierten Signaturen durch den Adobe Reader, der die EU Trusted List unterstützt. Durch die offizielle Auflistung aller zugelassenen Vertrauensdienste mit ihren Vertrauensankern und der Möglichkeit diese zu jedem Zeitpunkt maschinell und kostenlos zu überprüfen, schuf die EU Kommission einen Vertrauensraum, in dem fast alle digitalen Dienste abgebildet werden können, wie z. B. DE-Mail, als sicherer E-Mail-Dienst, qualifizierte Signaturen und qualifizierte Siegel zur vertrauensvollen Sicherung von Dokumenten, natürlichen und rechtlichen Personen, nur um einige Beispiele zu nennen.

TeleTrusT fordert eine Aufnahme der Vertrauensanker der neuen Dienste wie qualified eletronic attestations of attributes (Artikel 3 (i) (45) oder qualified eletronic ledgers (Artikel 45 (i)) auf die EU Trusted List. Dies würde den bewährten Vertrauensraum auch auf die neuen Technologien erweitern und ein kostenloses öffentliches Vertrauen für neuen Technologien schaffen.

Die Verpflichtung, in Browsern Qualified Website Authentication Certificates (QWACs) anzuzeigen, wird unterstützt

Mit den eIDAS-Vertrauensdiensten ist ein Vertrauensraum entstanden, in dem Bürger, Behörden und Unternehmen sicher elektronisch kommunizieren können. Dazu gehört auch die Sicherheit, dass hinter einer Webseite eine echte und rechtmäßige Organisation steht. Zu diesem Zweck entwickelte die eIDAS-Verordnung sogenannte qualifizierte Webseiten-Zertifikate (QWAC). Technisch entsprechen sie den marktgängigen SSL-/TLS-Zertifikaten im Sicherheitsniveau und werden durch einen besonders sicheren Identifizierungsprozess von einem qualifizierten Vertrauensdiensteanbieter (qVDA) herausgegeben. Der Einsatz von QWACs wird jedoch leider bisher von den großen Browserherstellern nicht unterstützt, indem die Zertifikate weder als sicher akzeptiert oder im Browser angezeigt werden. Dies soll sich mit der eIDAS 2.0 ändern.

TeleTrusT begrüßt die Pflicht zur Anzeige der qualifizierten Webseiten-Zertifikate in Artikel 45.2. Dies fördert insbesondere den Verbraucherschutz, da es dem Verbraucher ermöglicht zu überprüfen, wem die Webseite gehört und beugt somit Phishing Attacken vor, wie eine Aachener Studie zeigt. So werden 99,6 Prozent der Phishing-Angriffe über Webseiten durchgeführt, die nicht mit EV-Zertifikaten gesichert sind. (EV-Zertifikate, sind SSL Zertifikate mit einem höheren Identifizierungsniveau, die jedoch auch nicht mehr seit 2018 von den Browsern angezeigt werden.)

Auch wäre der Missbrauch, der im April 2020 durch "Fake Corona Hilfen Antragsseiten" durchgeführt worden ist, nicht so einfach möglich gewesen, denn die Antragsteller hätten durch Verwendung von QWAC und ihrer Darstellung im Browser schneller feststellen können, dass sie sich auf einer betrügerischen Webseite befinden.

Eine Anzeige der QWAC-Zertifikate durch die Browser-Hersteller und eine Validierung dieser Zertifikate gegen die EU Trusted List, wie dies seit Jahren beim Adobe Reader üblich ist, würde die Digitalisierung ein ganzes Stück sicherer machen und Europa ein Stück digitale Souveränität zurückgeben, da nun die Rahmenbedingung der Identifizierung nicht mehr von den willkürlichen Änderungen der Bedingungen durch die Browser-Hersteller abhängen würden.

Europa hat positive Erfahrungen mit der Verwendung der QWAC-Zertifikate im Umfeld der Online-Zahlungsdienste (Payment Services Directive 2 - PSD2) gemacht. Hier wurde die Unterstützung durch QWAC ebenfalls vorgeschrieben und dies ermöglichte neue Geschäftsmodelle für FinTechs. Mit dem eIDAS Proposal und dem Artikel 45 (2) wird die vertrauensvolle Digitalisierung in einem neuen Marktsegment ermöglicht.

TeleTrusT empfiehlt die Strafbewehrung zur Durchsetzung der gesetzlichen Verpflichtungen aus der eIDAS-Verordnung.

Stellungnahme zum Referentenentwurf der "Rechtsverordnung zum IT-Sicherheitskennzeichen des Bundesamtes für Sicherheit in der Informationstechnik"

13.08.2021

Wir begrüßen die weitere Ausgestaltung und Konkretisierung des IT-Sicherheitskennzeichens, welches es Verbraucherinnen und Verbrauchern ermöglicht, die IT-Sicherheit des jeweiligen IT-Produkts zu beurteilen. Nur mit transparenten Informationen zum IT-Sicherheitskennzeichen kann Vertrauen geschaffen und damit – aus Sicht des Verbrauchers – eine gut informierte Kaufentscheidung getroffen werden. Um diese Ziele zu erreichen, möchten wir Anregungen geben, die den Erfolg des IT-Sicherheitskennzeichen unterstützen sollen. 

Zu § 5 Antragsprüfung 

Die Entscheidung über die Vergabe des IT-Sicherheitskennzeichens wird maßgeblich auf Basis von Dokumenten getroffen, die vom Hersteller der Produkte eingereicht werden. In Verbindung mit § 9c Abs. 8 BSIG, der lediglich eine optionale Prüfung des Produkts vorsieht, ist eine ergänzende Prüfung der Produkte – so wie sie dem Verbraucher zum Kauf angeboten werden – empfehlenswert. Im Sinne der Durchführbarkeit der Produktprüfungen sollten automatisierte Testmethoden zum Einsatz kommen, die durch manuelle Tests begleitet werden. Ist die angeregte Produktprüfung zum gegenwärtigen Zeitpunkt nicht durchgängig möglich, so ist der Verbraucher im Sinne der Transparenz des Siegels darüber zu informieren. Dies kann beispielsweise durch Farbgestaltung, kleine Symbolbilder oder Verwendung von Kennzahlen innerhalb des Siegels erfolgen. 

Zu § 6 Vereinfachtes Verfahren 

Vereinfachte Verfahren haben grundsätzlich das Potential, die Effizienz der Vergabe des IT-Sicherheitskennzeichens zu steigern. Werden die übergeordneten Sicherheitsziele Vertraulichkeit, Verfügbarkeit und Integrität jedoch detaillierter betrachtet, so wird ersichtlich, dass unter Berücksichtigung der jeweils geltenden Gesetzgebung die Anwendung des vereinfachten Verfahrens begrenzt ist. So verlangt die Erfüllung des Sicherheitsziels der "Vertraulichkeit“ vielfach die Anwendung von Verschlüsselungsalgorithmen, deren Anwendung im globalen Kontext unterschiedlich geregelt ist. Am konkreten Beispiel der Verschlüsselung bedeutet das vereinfachte Verfahren, dass mindestens Änderungen der Gesetzgebung, Änderungen der Vergabekriterien des originären Kennzeichens, sowie Änderungen am Produkt bzw. dessen Unterlagen fortwährend zu begutachten sind. Inwieweit damit langfristig Effizienzsteigerungen möglich sind, ist fraglich. In Summe birgt der Einsatz des vereinfachten Verfahrens viele Potentiale zur Effizienzsteigerung. Gerade im Bereich der "Vertraulichkeit“ und vor dem Hintergrund einer langfristigen Anwendung einheitlicher Kriterien zur Vergabe des Sicherheitskennzeichens sollte jedoch über dessen Anwendung selektiv entschieden werden. 

Zu § 7 Gegenstand der Herstellererklärung in Verbindung mit § 8 Laufzeit des IT-Sicherheitskennzeichens und Erlöschen 

Die gegenwärtige Soft- und Hardwareentwicklung ist durch agile Vorgehensweisen geprägt. Dies hat Entwicklungszyklen zur Folge, die zum Teil kürzer als 2 Wochen sind. Diese Rahmenbedingungen verdeutlichen einerseits, dass Laufzeiten von mehr als 2 Jahren aus Perspektive der IT-Sicherheit wenig sinnvoll erscheinen. Diese Frist sollte daher als maximale Gültigkeitsdauer angegeben und durch Zertifizierungen der Entwicklungs- bzw. Herstellprozesse begleitet werden. Hieraus lässt sich eine Verstetigung der Sicherheit der resultierenden Produkte erwarten. 

Darüber hinaus werden in § 7 Hersteller lediglich verpflichtet, die erklärten Eigenschaften des Produktes zu aktualisieren, "sobald sie [beispielsweise Sicherheitslücken] ihm bekannt werden“. Im Sinne der Erhöhung der Sicherheit sollte hier stattdessen die aktive und kontinuierliche Gewährleistung der IT-Sicherheit bei den Herstellern eingefordert werden. Als Beleg hierfür eignen sich dabei nicht nur Dokumente, sondern auch die erneute und kontinuierliche Durchführung von (automatisierten) Prüfroutinen. Ferner sollten stichprobenartige Kontrollen der Prüfbehörden verankert werden.

Zu § 9 Verwendung des Sicherheitskennzeichens 

Der Widerruf des Sicherheitskennzeichens für nicht physische Produkte ist unproblematisch durch Entfernung von Links, Grafiken etc. möglich. Herausfordernder hingegen ist die Handhabung von physischen Produkten (beispielsweise Retail-Versionen von Software). Diesbezüglich wird in § 9 Abs. 4 geregelt, dass der Hersteller "keine nach dem Erlöschen hergestellten Produkte mehr mit Etikett auf den Markt [bringen darf]“. Da der Zeitpunkt der Herstellung vielfach nur schwierig nachzuvollziehen sein wird, sollten auch hier Maximalfristen, die sich nicht am Herstellungsdatum, sondern am Zeitpunkt des Entzugs des Kennzeichens orientieren, vorgegeben werden. Dies gilt insbesondere, da eine Orientierung am Herstelldatum kontraproduktiv wirken kann, da nach der Erteilung des IT-Sicherheitskennzeichens ein Anreiz zur schnellen und umfangreichen Produktion geschaffen wird. Ggf. anschließend erkannte Sicherheitslücken würden in diesem Fall erst nach dem Abverkauf der vorproduzierten Produkte geschlossen.

Zur Fälschungssicherheit des IT-Sicherheitskennzeichens 

Aus dem Referentenentwurf sind keine Informationen zur Fälschungssicherheit des IT-Sicherheitskennzeichens ersichtlich. Gerade wenn es das Ziel ist, ein Kennzeichen zu entwickeln, welches durch erhöhtes Verbrauchervertrauen verkaufsfördernd wirkt, erscheint das Risiko zur unautorisierten Nutzung hoch. Daher sind Maßnahmen zu definieren, die die Echtheit des Kennzeichens bestätigen und Kopien sowie nicht legitimierte Nutzung ausschließen oder zumindest begrenzen. 

Allgemein

Das IT-Sicherheitskennzeichen zielt auf Produkte für Endverbraucherinnen und -verbraucher ab. Es sollte nochmals klar definiert werden, dass höherwertige Prüfungen bzw. Zertifizierungen nicht geschwächt oder vom Markt verdrängt werden dürfen. Für diese höherwertigen Prüfungen bzw. Zertifizierungen ist das IT-Sicherheitskennzeichen nicht geeignet. Dies gilt insbesondere auch für die im IT-Sicherheitsgesetz adressierten Betreiber von kritischen Infrastrukturen.

Zusammenfassung

Ein Sicherheitskennzeichen, das das Vertrauen der Verbraucher genießen soll, setzt strenge Anforderungen an Hersteller. Wie den Ausführungen zu § 5 entnommen werden kann, sind diese möglicherweise nicht immer wirtschaftlich abbildbar, so dass über mögliche Abstufungen des IT-Sicherheitskennzeichens entschieden werden sollte. Eine einzig auf Dokumenten basierte Vergabe des IT-Sicherheitskennzeichens ist jedoch kritisch zu betrachten. Ferner ist die konkrete Handhabung des IT-Sicherheitskennzeichens – gerade im Kontext sehr kurzer Entwicklungszyklen – festzulegen. Neben stichprobenartigen Prüfungen der Produkte, wurden in den Ausführungen zu § 7 und § 8 automatisierte Prüfroutinen angeregt sowie die aktive und kontinuierliche Prüfung durch die Hersteller eingefordert. Zusätzliche und dauerhafte Sicherheit kann durch zertifizierte Entwicklungs- und Herstellprozesse gefördert werden. Letztlich sollten auch Maßnahmen zur Fälschungssicherheit des IT-Sicherheitskennzeichens festgelegt werden, da mit dessen Erfolg die Attraktivität für Fälschungen und unberechtigte Verwendung steigt. 

Stellungnahme und Handlungsempfehlungen zum Eckpunktepapier "Fortschreibung der Cyber-Sicherheitsstrategie für Deutschland (CSS)"

13.04.2021

Zu Handlungsfeld 1 - Sicheres und selbstbestimmtes Handeln in einer digitalisierten Umgebung

("Sichere "elektronische Identitäten" sind als elementarer Grundstein der Cyber-Sicherheit Voraussetzung für das hoheitliche Handeln des Staates im digitalen Zeitalter. Die Festlegung von Anforderungen an eID-Verfahren, sowie deren Absicherung sollten daher durch den Staat erfolgen.")

Kommentar TeleTrusT: Dies sollte auf solche Bereiche beschränkt bleiben, wo hoheitliches Handeln des Staates wirklich erforderlich ist. Nicht jeder Log-in oder Account erfordert eine Regulierung durch den Staat.


Zu Handlungsfeld 2 - Gemeinsamer Auftrag von Staat und Wirtschaft

Kommentar TeleTrusT: Die Wirtschaft erscheint in diesem Handlungsfeld als Objekt dargestellt, nicht als souveränes Subjekt - d.h. der Staat bestimmt und die Wirtschaft führt aus. Gemeinsames Handeln sollte dagegen auf Augenhöhe erfolgen. Es geht um die gemeinsame Umsetzung gemeinsamer Ziele. Das setzt gegenseitiges Vertrauen und gegenseitigen Respekt voraus.

Zu Handlungsfeld 3 - Leistungsfähige und nachhaltige gesamtstaatliche Cyber-Sicherheitsarchitektur

("Es soll eine ausgewogene, behördenübergreifende Strategie zum Umgang mit Schwachstellen nach den jeweils geltenden gesetzlichen Vorgaben bei den Strafverfolgungs- und Sicherheitsbehörden, geschaffen werden. Damit sollen auch in Zukunft über bereits vorhandene interne Behördenvorgaben hinaus die Interessen der Cyber- und Informationssicherheit sowie der Strafverfolgungs- und Sicherheitsbehörden in einen angemessenen Ausgleich gebracht werden.")

Kommentar TeleTrusT: Sofern das bedeutet, dass auch zukünftig die Möglichkeit besteht, erkannte Schwachstellen nicht öffentlich zu machen, sondern für Zwecke der Strafverfolgungs- und Sicherheitsbehörden geheim zu halten, konterkariert dies die Bemühungen für mehr IT-Sicherheit und ist nicht akzeptabel.

("Um die Verwundbarkeit des zunehmend digitalisierten Wahlumfelds und der Wahlinfrastruktur zu reduzieren, soll die Cyber-Sicherheit im Umfeld von Wahlen erhöht werden.")

Kommentar TeleTrusT: Der Schutz der Wahlen hat sicherlich hohe Bedeutung. Dennoch ist das zu kurz gesprungen. Beeinflussung von Stimmungen und Meinung durch gezielte Manipulation und Falschinformation über Online-Foren und soziale Netze, auch aus dem Ausland, finden auch ganz unabhängig von Wahlen statt und sollte unabhängig von Wahlen bekämpft werden. Das ist keine eigentliche Aufgabe von IT-Sicherheit, da die Bedrohung aber aus dem Cyberraum kommt, gehören Gegenmaßnahmen in die Cyber-Sicherheitsstrategie. 

("Der Einsatz quantentechnologischer Systeme zur Gewährleistung eines hohen IT-Sicherheitsniveaus soll vorangetrieben werden.")

Kommentar TeleTrusT: Auch der Einsatz von Post-Quantum Cryptography ist ein wichtiges zukünftiges Element zur Sicherstellung der digitalen Souveränität an und sollte mit aufgenommen werden.


Zu Steuerung der CSS 2021

Kommentar TeleTrusT: Es wird unterschieden zwischen Strategischem Controlling (Aufgabe des BMI) und der operativen Umsetzung, die "eigenständig in der Verantwortung der zuständigen Stellen" erfolgen soll. Wer verantwortet die Umsetzung von ressortübergreifenden Strategischen Zielen? Das BMI koordiniert nur. Falls ressortbezogen, bedeutet dies geteilte Verantwortung, was in aller Regel nicht gut funktioniert. Hier wäre eine zentrale Aufgabe für ein Digitalministerium.

Stellungnahme und Handlungsempfehlungen zum Entwurf des zweiten Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme ("IT-Sicherheitsgesetz" / IT-SiG 2.0)

09.12.2020

Im Folgenden nimmt der Bundesverband IT-Sicherheit e.V. (TeleTrusT) Stellung zu dem vom Bundesministerium des Innern, für Bau und Heimat am 02.12.2020 vorgelegten Entwurf des zweiten Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-SiG 2.0-ENT) in der Fassung vom 01.12.2020, 19:55 Uhr.

Die Stellungnahme betrachtet bestimmte Regelungsbereiche des IT-Sicherheitsgesetzes (IT-SiG) und seiner geplanten Änderung. Dem Umstand, Regelungen nicht zu kommentieren, kommt keine ablehnende oder zustimmende Bedeutung zu.

Das Gesetz soll das IT-SiG aus dem Jahr 2015 ändern und somit an neue digitale Herausforderungen anpassen. Das IT-SiG hat erfolgreich mit dazu beigetragen, dass Unternehmen ihre IT-Sicherheit erhöht haben und stellt insgesamt inzwischen einen wichtigen Maßstab für IT-Sicherheit dar. Das Bestreben des Gesetzgebers, den nunmehr gewachsenen Anforderungen an die Sicherheit von IT-Infrastruktur gerecht zu werden, ist zu begrüßen.

Gleichwohl bestehen im Hinblick auf einzelne Regelungen des IT-SiG 2.0-ENT erhebliche Zweifel an der sachgemäßen Umsetzung hinsichtlich vor allem

  • des überlimitierten Adressatenkreises des Gesetzes
  • der perspektivischen Umsetzung, die allein Deutschland in Bezug nimmt
  • der Aufgabenzuordnung zum BSI
  • des systematischen Aufbaus von Regelungen
    und
  • der tatsächlichen Wirkung der geplanten Regelungen.

Stellungnahme/Kommentierung zur Evaluierung der Cyber-Sicherheitsstrategie für Deutschland

05.08.2020

(Grundlage: Fragebogen des BMI zur Evaluierung der "Cyber-Sicherheitsstrategie für Deutschland" im Rahmen der Verbändeanhörung)

Stellungnahme und Handlungsempfehlungen zum Urteil des EuGH betreffend "Privacy Shield" (C-311/18, "Schrems II")

20.07.2020

1. Das Urteil in Kürze

Mit seinem Urteil vom 16.07.2020 hat der EuGH das Privacy-Shield-Abkommen zwischen der EU und den USA für Datenübermittlungen in die USA für unwirksam erklärt, da es kein Schutzniveau auf dem Level der DSGVO sicherstellt. Insbesondere stehe Betroffenen in den USA kein Rechtsweg zur Durchsetzung der im Unionsrecht verankerten Rechtsgarantien offen. So sei die eingerichtete Ombudsperson für Datenschutzbeschwerden nicht befugt, für US-Behörden verbindliche Entscheidungen zu treffen, also letztlich nicht in der Lage, die Rechte der Betroffenen auch durchzusetzen.

Die Standardvertragsklauseln (SCC) für die Übermittlung an Auftragsverarbeiter hat der EuGH dagegen nicht als unwirksam angesehen. Einem Transfer von Daten in Nicht-DSGVO-Staaten kann die Entscheidung dennoch entgegenstehen. Der EuGH betonte nämlich, dass auch bei vereinbarten SCC sicherzustellen ist, dass dem Betroffenen wirksame Mittel zur Durchsetzung der Rechte im Zielland offenstehen. 

Nachdem betroffenen EU-Bürgern hinsichtlich der weitreichenden Zugriffsbefugnis von US-Behörden, insbesondere der Geheimdienste, keinerlei wirksamer Rechtsschutz möglich ist, scheint das nach der Entscheidung in den USA nicht der Fall.

2. Die rechtlichen Konsequenzen

Datentransfers in die USA sind ab sofort datenschutzwidrig, wenn sie (ausschließlich) auf Grundlage einer Privacy-Shield-Zertifizierung erfolgen. Erfasst sind nicht nur Übermittlungen an Auftragsverarbeiter, sondern auch solche innerhalb eines Konzerns oder an Geschäftspartner. 

Sowohl der Einsatz von Software-Tools, bei denen zumindest ein Teil der Datenverarbeitung in den USA erbracht wird, als auch die konzerninternen Datenflüsse an US-Konzernunternehmen müssen überprüft werden. 

Auf den Sitz der beteiligten Unternehmen kommt es nicht an. Entscheidend ist allein, ob die Daten in die USA verbracht werden sollen. Auf Basis des Privacy Shields ist das nicht mehr zulässig.

Ob Transfers in die USA oder andere Rechtsordnungen unter den SCC zulässig sind, dürfte davon abhängen, ob dem Betroffenen auch tatsächliche wirksame Mittel der Ausübung zentraler Rechte nach der DSGVO im Zielland bereitstehen. 

Der EuGH deutet an, dass dies in den USA aufgrund der unkontrollierten Überwachungsbefugnisse der Sicherheitsbehörden nicht der Fall sein dürfte. Die Berliner Datenschutzbeauftragte fordert Unternehmen in ihrem Zuständigkeitsbereich bereits auf, umgehend zu Dienstleistern in der Europäischen Union oder in einem Land mit angemessenem Datenschutzniveau zu wechseln.

Entsprechend schutzlos ist ein europäischer Betroffener aber auch in vielen anderen Jurisdiktionen in denen heute Verarbeitungen von Daten in den globalen Outsourcing-Ketten unter SCC erfolgen. Es erscheint nur eine Frage der Zeit, bis auch andere Verarbeitungs-Länder in den Fokus geraten. 

Was nicht betroffen ist:

Umgekehrt ist nicht jede Datenübermittlung in die USA von dem EuGH-Urteil betroffen. Zulässig bleibt eine Übermittlung, die zur Erfüllung eines Vertrages (oder Durchführung vorvertraglicher Maßnahmen) mit dem Betroffenen erforderlich ist. Die Kommunikation mit amerikanischen Kunden oder Hotelbuchungen in den USA sind weiter zulässig. Genauso können Mitarbeiterdaten im Konzern im erforderlichen Umfange geteilt werden, wenn der internationale Bezug des Arbeitsverhältnisses bei Abschluss des Arbeitsvertrages bekannt war.

Ebenso nicht unmittelbar betroffen ist die Nutzung von US-Dienstleistern, wenn die Leistungserbringung vollständig in europäischen Rechenzentren erfolgt. So bieten die großen Hosting- und Cloud-Anbieter aus den USA mittlerweile Serverstandorte in Europa an. Das Hosting in Deutschland wird teilweise auch als Sonderleistung von deutschen Anbietern wie der Telekom übernommen. Hier ist aber zu beachten, dass alle US-amerikanischen Anbieter den Regelungen des Cloud Act unterliegen und daher auch in Europa gespeicherte Daten an Behörden der USA unter bestimmten Bedingungen herauszugeben haben. Auch diese Vorgänge unterliegen keiner angemessenen Kontrollbefugnis des Betroffenen.

3. Was nun zu tun ist

Unternehmen, die Daten unter dem Privacy Shield in die USA transferieren, haben akuten Handlungsbedarf:

(i) Identifizieren der betroffenen Datenflüsse

Zuerst müssen die von der Entscheidung betroffenen Übermittlungsvorgänge identifiziert werden. Dies sind alle Übermittlungen in die USA, die sich auf das Privacy Shield stützten: Einen Überblick bietet das Verzeichnis der Verarbeitungstätigkeiten. Ist die Grundlage des Transfers unklar, macht ein Abgleich mit der Liste der zertifizierten Unternehmen unter Sinn. Ein besonderer Blick sollte auf den unmittelbaren Einsatz von US-Anbietern, bspw. bei Tracking- und Marketing-Cookies, Newsletter-Diensten sowie Videokonferenz- und Kollaborations-Tools geworfen werden.

(ii) Umstellen auf alternative Garantien

Um eine Übermittlung nach Wegfall des Privacy Shields weiterführen zu können, muss diese auf eine alternative Garantie umgestellt werden bzw. unter eine der Ausnahmetatbestände zu fassen sein. Praktisch verbleiben damit nur zwei Alternativen: 

Standardvertragsklauseln (SCC)

Die Übermittlung der personenbezogenen Daten kann nach wie vor auf die sog. Standardvertragsklauseln der EU-Kommission gestützt werden. Diese stellen grundsätzlich ein angemessenes Datenschutzniveau beim Empfänger her, sofern sie unverändert vereinbart werden. Der EuGH hat die SCC in seinem Urteil ausdrücklich als solche nicht beanstandet. 

Allerdings hat er zugleich auch darauf hingewiesen, dass der Verantwortliche auch bei Verwendung der SCC prüfen muss, ob das Recht des Ziellandes einen angemessenen Schutz personenbezogener Daten bietet. Die zuständigen Aufsichtsbehörden sind außerdem verpflichtet, eine Übermittlung trotz Verwendung der SCC zu verbieten, wenn die Standardvertragsklauseln in einem bestimmten Land nicht durchsetzbar sind. Der EuGH macht in seinem Urteil sehr deutlich, dass er nicht davon ausgeht, dass die SCC in den USA für ein angemessenes Schutzniveau sorgen können. Dem werden sich die nationalen Aufsichtsbehörden wohl anschließen. Eine Umstellung der Übermittlung auf die SCC dürfte damit allenfalls eine vorübergehende Zwischenlösung darstellen.

Immerhin setzen sämtliche großen US-IT-Anbieter neben dem Privacy Shield bereits jetzt auf die SCC. Diese werden bereits oft in die Auftragsverarbeitungsvereinbarungen einbezogen. Dies gilt beispielsweise für Facebook, Google, Microsoft, Amazon, Salesforce, Zoom und MailChimp. Eine Umstellung ist hier dann grundsätzlich nicht nötig. Zu beachten ist allerdings, dass die Anbieter die Standardvertragsklauseln häufig modifizieren. Da die Klauseln ihre Garantenfunktion nur erfüllen können, wenn sie uneingeschränkt vereinbart werden, kann dies doch dazu führen, dass sie wirkungslos werden. Die Berliner Aufsichtsbehörde hat dies zuletzt bezüglich Microsoft und Zoom so vertreten. Es sollte daher geprüft sein, ob die Standardvertragsklauseln unverändert sind.

Viele US-Anbieter haben für die Leistungsverträge mit europäischen Kunden eigene Tochterunternehmen mit Sitz im europäischen Datenschutzraum gegründet. Die Datenübermittlung in die USA findet dann erst im Rahmen einer Unterbeauftragung statt. Hier ist zu beachten, dass Aufsichtsbehörden in diesen Fällen fordern, dass die Standardvertragsklauseln vom Verantwortlichen unmittelbar mit dem US-Unternehmen abgeschlossen werden. Die Problematik der unkontrollierbaren Transfers nach dem Cloud Act ist damit aber nicht gelöst. Diesbezüglich existieren aber noch keine Entscheidungen.

Ausdrückliche Einwilligung des Betroffenen

Besteht keine Garantie für ein angemessenes Datenschutzniveau kann die Übermittlung ins Drittland auch auf eine Einwilligung des Betroffenen gestützt werden, Art. 49 Abs. 1 Satz 1 a) DSGVO. Die Einwilligung muss aber ausdrücklich erfolgen und erfordert, dass der Betroffene auf die Risiken eines fehlenden Angemessenheitsbeschlusses oder der Garantie eines Datenschutzniveaus hingewiesen wurde. 

Die Einwilligungslösung ist nicht sehr verbreitet, insbesondere weil hier vieles unklar ist. Gilt Art. 7 DSGVO auch für diese Einwilligung, also insbesondere die freie Widerruflichkeit und die Anforderungen an die Erklärung selbst?

Zumindest der BGH stellt sehr hohe Anforderungen an Freiwilligkeit und Informiertheit von Einwilligungen (zu Cookie-Bannern: I ZR 7/16).

Vor einer Einwilligung sollte dem Betroffenen verdeutlicht werden, welches Risiko für seine Rechte und Freiheiten und welche Einschränkungen des Rechtsschutzes gegenüber dem gewohnten Rahmen in der EU bestehen. Dafür genügt eine Cookie-Einwilligung oder Newsletter-Anmeldung auch dann nicht, wenn ausdrücklich darauf hingewiesen wurde, dass Dienstleister in den USA eingesetzt werden.

(iii) Hinweise der Aufsichtsbehörden beachten

Das Urteil schafft für die betroffenen Unternehmen eine große Rechtsunsicherheit: Eine langfristige und verlässliche Absicherung des Datentransfers in die USA fehlt. In dieser Lage ist zu erwarten, dass sich die Aufsichtsbehörden auf nationaler und europäischer Ebene zeitnah äußern und eigene Hinweise und Handlungsempfehlungen veröffentlichen werden. Die Berliner Behörde ist bereits vorgeprescht, obwohl hier eine Abstimmung der Datenschutzbehörden aller EU-Länder angezeigt wäre.

4. Welche Umsetzungsfristen gelten?

Das Urteil des EuGH entfaltet unmittelbar Gültigkeit. Damit sind die betroffenen Datenübermittlungen ab sofort rechtswidrig. Entsprechend sollten die Maßnahmen unverzüglich ergriffen werden. Gleichzeitig ist nicht zu erwarten, dass Aufsichtsbehörden unmittelbar Bußgelder verhängen werden. Als vor gut 5 Jahren das Safe Harbor-Agreement gekippt wurde, setzten die europäischen Datenschutzbehörden die Umsetzung des Urteils zunächst für 3 Monate aus. Nach Ablauf dieser Frist wurden aber durchaus Bußgelder für Datenübermittlungen verhängt. 

5. Ausblick

Das Urteil betrifft in erster Linie den Datentransfer in die USA. Bereits hier sind die Auswirkungen für Unternehmen gravierend, da derzeit keine langfristige Möglichkeit der Übermittlung von Daten in die USA ersichtlich ist. Die Auswirkungen sind aber noch weitreichender. Für viele typische Verarbeitungsländer bestehen die gleichen erheblichen Zweifel an entsprechendem Rechtsschutz, insbesondere nachdem der EuGH diesen ausdrücklich auch für den Arbeitsbereich der Sicherheitsbehörden fordert. 

Wer alle Risiken vermeiden möchte, wird daher auf einer Verarbeitung in Europa unter ausschließlicher Kontrolle europäischer Unternehmen bestehen müssen. Nachdem das häufig technisch oder wirtschaftlich nicht als Option erscheint, kann auch abgewartet werden, wie die Aufsichtsbehörden die Risiken einschätzen werden. 

Praktisch ist derzeit ein Stopp aller Verarbeitungen in Rechtsordnungen, die keinen wirksamen Datenschutz haben, nicht umsetzbar. Entgegen mehrfacher Bekundungen ist die DSGVO nämlich kein Exportschlager. Wie schon bei der Aufhebung von Safe Harbor wird der europäische Gesetzgeber eine Lösung für den Transfer von Daten in Drittländer präsentieren. Vorbereitungen laufen dazu bereits, denn die Unwirksamkeit des Privacy Shields war allgemein angenommen worden. 

Es gibt mehrere Gestaltungsmöglichkeiten - von Angemessenheitsbeschlüssen bis hin zu einem neuen Abkommen mit den USA.

Ansprechpartner für Rückfragen:

RA Karsten U. Bartels LL.M.
Stellvertretender TeleTrusT-Vorsitzender
Leiter der TeleTrusT-AG "Recht"
bartels(at)hk2.eu 

RA Matthias Hartmann
hartmann(at)hk2.eu

RA Michael Schramm LL.M. (Minnesota)
schramm(at)hk2.eu 

Erwägungen und Vorschläge in Bezug auf die Zusammenarbeit mit dem Bundesamt für Wirtschaft und Ausfuhrkontrolle (BAFA)

27.09.2019

Stärkung der Wettbewerbsfähigkeit deutscher Technologieunternehmen mit Produkten, die der Exportkontrolle unterliegen

I. Problem

Deutsche Hersteller von Soft- und Hardware sind durch die langwierigen Standardprozesse der BAFA-Voranfragen und Ausfuhrgenehmigungen sowie wechselnde Genehmigungsentscheidungen im internationalen Wettbewerb benachteiligt und werden daher von Endkunden teilweise gemieden. Europäische Mitbewerber werben zum Teil damit, dass Produkte "German-free" sind. Eine internationale Technologie- und Plattformführerschaft deutscher und europäischer Firmen wird dadurch verhindert. Zudem fehlt es deutschen Unternehmen an Planungssicherheit in Bezug auf Investition in den internationalen Geschäftsaufbau in diversen Zielländern und Kundensegmenten.

Vor der Entscheidung für Soft- und Hardwareakquisitionen wünschen internationale Kunden aus dem öffentlichen und privaten Sektor die Technologien in einem sogenannten Proof of Concept (POC) zu testen. Bei einem POC wird die Soft- oder Hardware in einem Zeitraum von einer Woche bis drei Monaten in Testsystemen oder durch eine begrenzte Anzahl an Endnutzern auf ihre Verwendbarkeit hin geprüft. Dies geschieht gegen ein Entgelt oder kostenlos.

Es entspricht nicht den Erwartungen der Kunden und den schnelllebigen Charakteristika von Soft- und Hardwaretechnologien (z.B. Entwicklungszyklen, Bedarfen), dass man sechs Monate und mehr auf diese Tests warten muss bzw. auf die Information, ob ein Erwerb bzw. Test überhaupt möglich ist. Darüber hinaus verhindert der Ausfuhrgenehmigungsprozess und seine Dauer, dass deutsche Firmen hoch skalierbare und profitable Geschäftsmodelle nutzen können (z.B. Cloud / Software as a Service). 

Darüber hinaus besteht für deutsche Soft- und Hardwarehersteller mit vergleichbaren genehmigungspflichtigen Produkten keine Transparenz über die Ausfuhrentscheidungen des BAFA. Dadurch entstehen sowohl in den Unternehmen, als auch beim BAFA Doppelaufwände durch die Bearbeitung von Anträgen für die gleichen Produkte und Endkunden (Stichwort: Bürokratiekosten).

II. Vorschläge

1. Etablieren eines verlässlichen und transparenten Prüfungsprozesses

Insbesondere der unklare Zeitrahmen der Prüfung verursacht die größten Schäden im Markt. Aus Sicht des Kunden wird die Notwendigkeit eines zu prüfenden Exportverfahrens durchaus verstanden. Geschickt kommuniziert wird dies sogar als Qualitätsmerkmal begriffen. Unsicherheit entsteht durch nicht eindeutige Zeitabläufe. Diese werden als Unzuverlässigkeit begriffen. Dies trifft insbesondere bei Anträgen zu, bei denen andere Ministerien beteiligt werden müssen. Ein angemessener Zeitrahmen sollte definiert werden (z.B. zwei Monate eines "Standardantrages" und vier Monate bei Beteiligung weiterer Bedarfsträger), - dies sollte im Zweifelsfall aber nicht zu negativen Bescheiden führen.

2. Etablieren eines verkürzten und verlässlichen Rahmens für Nachfolgeanträge

Verständlicherweise können sich politische Rahmenbedingungen tagesaktuell ändern. Dennoch wird es in den Kundenbeziehungen mit schon existenten Projekten als Unzuverlässigkeit wahrgenommen, wenn Nachfolgeanträge (gleiches Land, gleicher Kunde, teilweise gleiches Projekt) trotz vorheriger Prüfung wiederum in Unplanbarkeit und damit Projektunsicherheit resultieren. Eine Priorisierung oder verkürzte Prüfung auf Basis von bestehenden Projekten (innerhalb eines vernünftigen Zeitraums) wäre aus Sicht der Industrie notwendig.

3. Etablieren eines neuen Prozesses für POCs im Soft- und Hardwarebereich

Der deutsche Hersteller von Soft- und Hardware meldet den Start und das Ende des POC bei dem BAFA an und kann sofort damit beginnen. Der Hersteller verpflichtet sich nach dem Ende des POC die Produkte nach Deutschland zurückzuführen oder bis zum Erhalt einer Ausfuhrgenehmigung in einem nicht verwendbaren Zustand beim Kunden zu belassen. Parallel zum POC findet der Prozess der Voranfrage oder Ausfuhrgenehmigung statt. Sollte eine Ablehnung erfolgen, werden die Soft- und Hardware nach dem Ende des POCs zurückgenommen.

4. Etablieren einer jährlich überarbeiteten Positivliste deutscher Soft- und Hardware, Staaten und Endkunden außerhalb von EU und NATO, an die genehmigungspflichtige Soft- und Hardware ohne Ausfuhrgenehmigung verkauft werden können

Diese Positivliste könnte insbesondere für Dual-Use-Güter für eine Reihe nicht-militärischer Kunden und ganze Warengruppen definiert werden. Dadurch können die Unternehmen einen informierten Kundendialog führen und müssen das BAFA nicht mit Voranfragen belasten. Zudem kann die Bearbeitungszeit im BAFA für Ausfuhrgenehmigungen drastisch reduziert werden. Da eine derartige Liste niemals alle Länder und Endkunden abdecken kann, werden Kunden, die nicht genannt werden, über den regulären Prozess nach Bedarf geprüft. Die Ergebnisse der Prüfung werden in die Positivliste überführt.

5. Etablierung einer täglich einsehbaren Liste über die bestehenden Genehmigungen für Soft- und Hardwareprodukte ohne Nennung der beantragenden Firma zur Wahrung von Geschäftsgeheimnissen

Beispiel: E-Mailverschlüsselungssoftware / Indonesien / Verteidigungsministerium

Dadurch können die Unternehmen einen informierten Kundendialog führen und einen Antrag komplett vermeiden, wenn sie ebenfalls eine Soft- oder Hardware an das Verteidigungsministerium in Indonesien verkaufen wollen. Zudem kann die Bearbeitungszeit für Ausfuhrgenehmigungen drastisch reduziert werden.

6. Etablierung eines jährlichen Review-Prozesses für Soft- und Hardware, die überprüft, ob sie weiterhin der Exportkontrolle unterliegen müssen

Durch Technologiesprünge oder höherwertige, frei im Markt verfügbare Produkte (z.B. Krypto) kann das Argument Exportkontrolle nicht mehr haltbar sein.

Bundesverband IT-Sicherheit e.V. (TeleTrusT) kritisiert geplante Schwächung der Verschlüsselung von Messenger-Kommunikation

12.06.2019

Sichere und vertrauenswürdige Digitalisierung kann nur mit starker und verlässlicher IT-Sicherheit gelingen / TeleTrusT bietet fachlichen Diskurs an

Das Bundesministerium des Innern, für Bau und Heimat plant laut Medienberichten eine Gesetzesänderung, die deutschen Sicherheitsbehörden künftig Zugriff auf die digitale Kommunikation von Verdächtigen gewähren soll. Hierfür sollen Anbieter von Messenger-Diensten gesetzlich verpflichtet werden, ihre Verschlüsselungstechnik so zu präparieren, dass Behörden bei Verdachtsfällen die Kommunikation mitlesen können. Der Bundesverband IT-Sicherheit e.V. (TeleTrusT) bewertet wie bereits in der Vergangenheit solche Bestrebungen kritisch. Eine gesetzlich erzwungene Installation von Hintertüren stünde diametral gegen die "No backdoor"-Zusicherung der deutschen IT-Sicherheitsindustrie, die das Vertrauenszeichen "IT Security made in Germany" trägt.

Würden die Messenger-Betreiber die vorgesehenen Maßnahmen nicht umsetzen, könnten ihre Dienste in Deutschland gesperrt werden. Berufsgeheimnisträger wie Ärzte, Rechtsanwälte, Journalisten, Steuerberater und Geistliche wären in ihrer schützenswerten Kommunikation in besonderer Weise betroffen. Eine Verpflichtung der Messenger-Betreiber zum Einbau von Schwachstellen würde einen tiefen Eingriff in komplexe Softwaresysteme bedeuten. Solche Schwachstellen könnten von unbefugten Dritten ausgenutzt werden, um illegal schutzwürdige Informationen zu erlangen.

TeleTrusT hat großes Verständnis dafür, dass deutsche Strafbehörden mit modernen Fähigkeiten ausgestattet werden müssen. Die vom Gesetzgeber dem Vernehmen nach geplanten Maßnahmen würden aber dazu führen, das Vertrauen in moderne IT-Systeme im Allgemeinen und in die angebotenen vertrauenswürdigen IT-Lösungen im Speziellen zu erschüttern. Die Eignung zur Verbrechensaufklärung ist fragwürdig, weil Straftäter beispielsweise auf andere Kommunikationsmöglichkeiten ausweichen werden. Die Beeinträchtigung des Grundvertrauens der Öffentlichkeit in den Schutz der kommunikativen Privatsphäre steht in keinem angemessenen Verhältnis zur möglichen Ausbeute bei Strafverfolgungsmaßnahmen. Die geplanten Maßnahmen sind damit industriepolitisch kontraproduktiv, schädigend für den weiteren notwendigen Digitalisierungsprozess und stehen im Widerspruch zur politischen Zielsetzung, "Deutschland zum Verschlüsselungsstandort Nr. 1" zu entwickeln. 

Der Staat hat die Pflicht, Bürgerinnen und Bürger sowie unsere Wirtschaft zu schützen. Durch die Aushebelung der Verschlüsselung wird diese Schutzpflicht missachtet und das Vertrauen in moderne IT-Systeme staatlich untergraben. Wir bieten daher den Vertretern der Gesetzgebungsverfahren einen offenen Dialog an, gemeinsam und mit der technischen Expertise der TeleTrusT-Mitgliedsunternehmen geeignete Lösungen zu erarbeiten.

Der Bundesverband IT-Sicherheit e.V. plant einen fachlichen Diskurs, um einen gesellschaftlichen Ansatz dafür zu finden, den Digitalisierungsprozess sicher und vertrauenswürdig zu gestalten und Strafverfolgung ohne Schwächung der IT zu ermöglichen.  

Kommentierung zu EU Delegated Regulation "Internet-connected radio equipment and wearable radio equipment"

28.02.2019

TeleTrusT-Kommentar an EU-Kommission

Regarding your planned implication analysis "Commission delegated regulation on Internet-connected radio equipment and wearable radio equipment" please enhance your consideration by the following: As digital developments and industry will play an increasing part in daily and economic life we recommend to look into possible implication for cyber security actors as well. In chapter C on page 5 it is stated that "Radio equipment and technologies" are a "key part of the forthcoming deployment of new technological developments“. However, if you take a look at "Likely economic impacts" only players within the manufacturing industry are mentioned to be considered. Implications for the cyber security industry like new business opportunities, an increased customer base, impulses for new innovations and businessmodels etc. are missing. Looking further, the EU-GDPR already puts Europe at the forefront of data protection. As awareness for data protection rises globally, new laws and regulation concerning the protection of private data and data transfer could set another valuable impulse for the development of new techological solutions not only (to be used) within the European single market but also to be exported internationally. So, it is not only about a Single Digital European Market, it also is about the cyber security as an economic actor and about arising global opportunities.

Lastly, we want to put social issues into focus. It might be worth considering the potential for increased awareness and possible understanding of IT security issues by new laws and regulations concerning the protection of private data and data transfer. The more politics, industry and press discuss these issues, the more they are put into focus of a broad public base. This increased interest might lead to a better understanding and, eventually, get people to make sound decisions when purchasing smart devices.

Summarizing we recommend to enhance your analysis by the following:

- Likely economic impacts concering the cyber security industry as economic actors
- Likely social impacts: investigations regarding increased awareness for IT security issues within the public

Kommentierung zu Regelungen aus der BNetzA-Mitteilung Nr. 208-201 (Amtsblatt) betreffend die Nutzung von Videoident-Verfahren für die Ausstellung von QES

12.07.2018

TeleTrusT-Stellungnahme

TeleTrusT hat im Namen der konsultierten Fachkreise die Regelungen aus der BNetzA-Mitteilung Nr. 208-2018 (Amtsblatt) kommentiert. Hauptpunkt der Kommentierung seitens TeleTrusT ist die Fragestellung, inwieweit die Verfügung konform zum Erwägungsgrund 54 der EU-Verordnung Nr. 910/2014 ist. Es werden in dieser Verfügung Festlegungen für Qualifizierte Zertifikate getroffen, die über die EU-Verordnung hinausgehen. Dadurch würden für in Deutschland ansässige Vertrauensdiensteanbieter (VDA) strengere Anforderungen als für die VDA in anderen EU-Staaten gelten, was die Entwicklung des Europäischen Binnenmarktes behindern könnte.

1. TeleTrusT schlägt vor, den Abschnitt 10 zu streichen.

2. TeleTrusT schlägt vor, den Abschnitt 7 zu ändern (siehe entsprechender beigefügter Kommentar).

Anlage: Anmerkungen im Detail, die Unternehmen im Rahmen der von TeleTrusT koordinierten AG "Forum elektronische Vertrauensdienste AK A" übermittelt haben (Auszug)

Bewertung der Stellungnahme des IMCO-Ausschusses des EP zum Entwurf einer EU-Cybersecurity-Verordnung

06.07.2018

(Dr. Dennis-Kenji Kipker, Universität Bremen)

Am 22.05.2018 hat der Ausschuss für den Binnenmarkt und Verbraucherschutz (IMCO) des Europaparlaments seine Stellungnahme zu dem "Vorschlag für eine Verordnung des Europäischen Parlaments und des Rates über die "EU-Cybersicherheitsagentur" (ENISA) und zur Aufhebung der Verordnung (EU) Nr. 526/2013 sowie über die Zertifizierung der Cybersicherheit von Informations- und Kommunikationstechnik ("Rechtsakt zur Cybersicherheit")" - bekannt auch als "Cybersecurity-Verordnung" - veröffentlicht. Der neue europäische Rechtsakt zur Cybersicherheit basiert auf zwei Grundpfeilern: Einem ständigen und stärkeren Mandat der ENISA, sowie der Einführung eines EU-Rahmens zur Cybersicherheitszertifizierung, um sicherzustellen, dass Produkte der Informations- und Kommunikationstechnologie sowie entsprechende Dienste die dafür relevanten Cybersicherheitskriterien auf einheitliche Weise erfüllen. Einer der Hauptbestandteile des Entwurfes der EU Cybersecurity-Verordnung ist die so genannte "Konformitätsbewertung", innerhalb derer festzustellen ist, ob IKT-Produkte oder -Dienste die an die Cybersicherheitsmerkmale anzulegenden Anforderungen erfüllen. Da eine Zertifizierung von IKT-Produkten und -Diensten nicht zwingend aussagt, dass diese tatsächlich und in jedem Falle sämtliche an die Cybersicherheit anzulegenden Kriterien erfüllen, fordert das IMCO-Committee explizit und weitergehend als der Verordnungsentwurf, dass Verbraucher über die Restrisiken der Zertifizierung aufzuklären sind, indem unter anderem darauf hingewiesen wird, dass die entsprechenden Produkte und Dienste nur auf die Übereinstimmung mit beispielsweise in technischen Normen und Standards festgelegten Anforderungen an die Cybersicherheit hin überprüft wurden. Transparenz, Beteiligung und angemessene Verfahrensvorgaben sind von hoher Bedeutung für die Einrichtung und das Funktionieren eines vertrauenswürdigen und effektiven europäischen Cyber-Sicherheitsrahmens. Eng verbunden mit der Definition von Mindestsicherheitsstandards für IT-Produkte ist das Ziel, die Prinzipien von "Security by Design" sowie von "Privacy by Design" konsequent umzusetzen und umfassend in Produkte und Dienste zu integrieren. Hierzu soll das europäische Zertifizierungssystem für Cybersicherheit laut der Auffassung des IMCO-Ausschusses so ausgestaltet werden, dass alle hierdurch betroffenen Akteure die IT-Sicherheitsanforderungen in allen Phasen des Produkt- oder Dienstlebenszyklus umsetzen. Eine umfassende Auseinandersetzung mit europaweiten Fragen der Cybersicherheit setzt darüber hinaus die Bestimmung von Anforderungen im Umgang mit Backdoors in IKT-Produkten und -Diensten voraus. Der IMCO-Ausschuss hat im Vergleich zum ursprünglichen Kommissionsentwurf zahlreiche Änderungsvorschläge der EU Cybersecurity-Verordnung hervorgebracht, worunter sich auch verschiedene interessante und neuartige Ansätze finden. Auf Bitten von TeleTrusT hat Dr. Dennis Kipker die IMCO-Stellungnahme einer Betrachtung unterzogen.

Thema IT-Sicherheit im Koalitionsvertrag 2018: TeleTrusT - Bundesverband IT-Sicherheit e.V. sieht gute Ansätze, aber auch Widersprüche

12.02.2018

TeleTrusT-Stellungnahme

Der Bundesverband IT-Sicherheit e.V. (TeleTrusT) begrüßt einzelne Inhalte des Koalitionsvertrages 2018, soweit sie sich auf den Themenkreis IT-Sicherheit beziehen. Insbesondere greift der Vertragsentwurf die TeleTrusT-Forderung nach Entwicklung einer übergreifenden Cybersicherheitsstrategie auf ("Cyberpakt"). Gleichwohl bleiben Inkonsistenzen.

TeleTrusT begrüßt ausdrücklich die Aussagen des Koalitionsvertrages zu Innovation, digitaler Souveränität und Interdisziplinarität sowie zur Stärkung der IT-Sicherheitsforschung insbesondere auf den Gebieten Blockchain und Quantencomputing (Kapitel IV "Offensive für Bildung, Forschung und Digitalisierung"; Unterkapitel "Digitalisierung").

Begrüßenswert ist ebenso die Absicht, das Produktsicherheitsrecht zu novellieren und für verbrauchernahe Produkte die IT-Sicherheit u.a. durch die Einführung einer "gewährleistungsähnlichen Herstellerhaftung" zu erhöhen. Ferner wollen Union und SPD die Verbreitung sicherer Produkte und das Prinzip "Security by Design" fördern. Letzteres bedeutet, dass bei der Entwicklung von Hard- und Software schon von Beginn an darauf geachtet wird, dass Systeme frei von Schwachstellen und so gegen Cybertattacken geschützt sind und nicht erst am Ende der Entwicklungskette. Das entspricht früheren TeleTrusT-Forderungen. Zudem soll ein Gütesiegel für IT-Sicherheit auf Produkten mehr Transparenz für Verbraucher schaffen.

Positiv zu bewerten ist das Vorhaben, die Rolle des Bundesamtes für die Sicherheit in der Informationstechnik im Verbraucherschutz zu stärken und Unternehmen zur Offenlegung und zur Beseitigung von Sicherheitslücken zu verpflichten. Zu begrüßen ist auch die Zielsetzung, "Ende-zu-Ende-Verschlüsselung für jedermann verfügbar" zu machen und es Bürgerinnen und Bürgern zu ermöglichen, "verschlüsselt mit der Verwaltung über gängige Standards zu kommunizieren". Dieser sinnvolle Ansatz wird allerdings nicht konsequent durchgehalten und teils konterkariert, denn weder ist ein Verbot für staatliche Stellen, Zero Day Exploits anzukaufen, noch eine ausdrückliche Verpflichtung dieser Stellen, derartige Sicherheitslücken bekanntzumachen, beabsichtigt. Stattdessen heißt es: "Es darf für die Befugnisse der Polizei zu Eingriffen in das Fernmeldegeheimnis zum Schutz der Bevölkerung keinen Unterschied machen, ob die Nutzer sich zur Kommunikation der klassischen Telefonie oder klassischer SMS bedienen oder ob sie auf internetbasierte Messenger-Dienste ausweichen." Dies kann nur so verstanden werden, dass die Sicherheitsbehörden entweder die Möglichkeit haben sollen, auch verschlüsselte Kommunikation mitzulesen oder diese Kommunikation unter Ausnutzung von Sicherheitslücken mit Hilfe der Quellen-TKÜ in unverschlüsselter Form mitzulesen. Mit der Zielsetzung, die IT-Sicherheit insgesamt zu verbessern, passt keine der beiden Varianten zusammen.


Akkreditierungsanforderungen für Konformitätsbewertungsstellen im Bereich der Informationssicherheit / Cyber-Security für industrielle Automatisierungssysteme gemäß IEC 62443 (DAkkS-Entwurf)

22.12.2017

TeleTrusT-Stellungnahme

TeleTrusT begrüßt, dass sich die DAkkS mit dem Thema "Cybersecurity für industrielle Automatisierungssysteme“ beschäftigt und hierzu auch ein Akkreditierungsschema einfordert. Dies ist im Zuge der Entwicklung des Industrial Internet of Things (IIoT) oder des deutschen Ansatzes "Industrie 4.0“ dringend nötig und hilft, "Security by Design" in diesem Umfeld zu forcieren und hinsichtlich der Wirksamkeit in der Umsetzung zu prüfen.

TeleTrusT hat aber Bedenken, ob die IEC 62443 in der aktuellen Version zu dem Thema "Cybersecurity für industrielle Automatisierungssysteme“ verwendet werden sollte. Hierfür werden folgende Gründe genannt:

  • Die aus der ISA99 abgeleitete IEC 62443 ist als Leitfaden für traditionelle Industriesysteme anwendbar, die bisher erstellten Konzepte sind jedoch aus Sicht von TeleTrusT nicht ausreichend für Fragestellungen, die sich aus IIoT bzw. "Industrie 4.0“ ergeben, spezifiziert. Eine Verlinkung zu der neuen Referenzarchitektur des BMWi (RAMI) fehlt gänzlich, ebenso mögliche Hinweise zu modernen Konzepten wie "Sensor-to-Cloud“ oder Ansätzen aus der deutschen Industrial Data Space Association.
  • Teile der IEC 62443 sind derzeit im Status Working Draft – auch die in der Beschlussfassung in der Tabelle 1 aufgeführten Dokumente  IEC 62443-3-2, IEC 62443-4-1, IEC 62443-4-2
  • Prüfkriterien, wie ein Prüfer speziell gemäß der Normenteile IEC 62443-3-x und IEC 62443-4-x zu prüfen hat, sind derzeit nicht existent und auch nicht ansatzweise vorhanden.

TeleTrusT regt folgende Änderungen an:

1. Motivation: Die Festlegung von Prüf- und Akkreditierungsschemata in Bezug auf "Cybersecurity für industrielle Automatisierungssysteme“ ist dringend geboten. Das Thema ist jedoch durch die unterschiedliche Prägung in verschiedenen Sektoren und Branchen sehr fragmentiert. In der Einleitung des Dokumentes fehlt die Würdigung der notwendigen unterschiedlichen Ausprägungen. Ein Bezug auf die Unterschiede zu Fertigungs- und Automatisierungstechnik sowie Verfahrenstechnik und deren unterschiedliche Security-Anforderungen sollte aufgenommen werden, so dass die Eignung der Norm IEC 62443 zur Bewertung dieser unterschiedlichen Security-Anforderungen aufgezeigt wird.

2. Bezug zur aktuellen Gesetzgebung: Kritische Infrastrukturbetreiber (KRITIS), die dem IT-Sicherheitsgesetz, dem EnWG (IT-Sicherheitskatalog), aber auch dem Gesetz zur Digitalisierung der Energiewende oder der Europäischen NIS Directive unterliegen, nutzen industrielle Automatisierungssysteme. Es wäre wünschenswert, wenn in den Akkreditierungsanforderungen ausführlich Bezug auf das Thema KRITIS genommen und ein Bezug zu den dort bereits genutzten Standards und Normen aufgeführt würde.

3. Abgrenzung und Bezug zu anderen IT-Sicherheitsnormen: Zu dem Thema "Cybersecurity für industrielle Automatisierungssysteme“ und die in diesen eingesetzten IT-Security-Komponenten gibt es neben sektorspezifischen Anforderungen der ISO/IEC 270xx-Familie bereits eine Vielzahl weiterer Normen und Standards, wie z.B.:

a.     IEC 62351
b.     VDI/VDE-Richtlinie 2182: Informationssicherheit in der industriellen Automatisierung
c.     NA 115: IT-Sicherheit für Systeme der Automatisierungstechnik
d.     VGB S175: IT-Sicherheit für Erzeugungsanlagen
e.     NIST SP 800-82: Guide to Industrial Control Systems Security
f.      IEEE 1686-2007 - IEEE Standard for Substation Intelligent Electronic Devices (IEDs) Cyber Security Capabilities
g.     BSI: Industrial Control System Security Compendium
h.     OWASP
i.      Common Criteria (ISO 15408)
j.      FIPS 140-2

Diese Normen und Standards sind bereits vollständig erarbeitet, etabliert und haben zum Großteil auch eigene Prüfverfahren festgelegt. Es wäre vorteilhaft, wenn die DAkkS darlegen würde, warum einer noch nicht fertiggestellten Norm ohne definiertem Prüfverfahren wie der IEC 62443 zur Bewertung der Cybersecurity Vorzug gegenüber den bereits vollständig erarbeiteten und anerkannten Normen gegeben wird.

4. Detaillierte Ausführung der Prüfverfahren oder Verweis auf bestehende Prüfverfahren: Es wird vorgeschlagen, dass bei Feststellung der besseren Eignung der bisher erstellten IEC 62443 die Detailtiefe der Prüfverfahren spezifiziert wird oder auf andere Prüfverfahren referenziert wird, um so dem Mangel der fehlenden bzw. unvollständigen Prüfverfahren in der IEC 62443 entgegenzuwirken. Ansonsten ist für ein Prüfunternehmen nicht ersichtlich, wie die anzusetzende Prüftiefe sein soll (speziell im Hinblick auf den in IEC 62443 aufgeführten Security Level –SL), welche konkreten Methoden und Tools für unterschiedliche Sicherheitsfunktionalitäten verwendet werden sollen und wie eine homogene Interpretation der Prüfergebnisse erfolgen soll. Im schlechtesten Fall wären die Prüfergebnisse beliebig und zueinander weder harmonisiert noch vergleichbar und somit wertlos.

Beispielsweise wäre es empfehlenswert, in der Objektklasse "Systeme“ genau festzulegen, wie Penetrationstests durchgeführt werden und wie die Qualifikation stattzufinden hat. Man sollte auch darauf verweisen, wie dies im Zuge von Konformitätstests in der Office IT bisher bei der DAkkS geregelt ist. Auch im ICS Security Compendium des BSI finden sich Hinweise auf adäquate Prüfmethoden für die Objektklasse "Systeme“. In der Objektklasse "Komponenten“ gäbe es die Möglichkeit, auf die vier in IEC 62443 definierten unterschiedlichen Komponenten (Host, embedded, Application, Network) bewährte Prüfverfahren aufzusetzen, wie z.B. die Common Criteria (CC, durch entsprechend spezifizierte Protection Profiles - PP). In diesem Fall würde man sowohl auf die IEC 62443-4-2 (durch das PP) als auch durch die CC-Methodik implizit die IEC 62443-4-1 hinreichend berücksichtigen.


Regulierungsvorschlag der EU-Kommission betreffend Anforderungen an einen künftigen Europäischen Zertifizierungs- und Kennzeichnungsrahmen für IKT-Sicherheit

04.10.2017

TeleTrusT-Stellungnahme

Die Europäische Kommission hat einen Regulierungsvorschlag veröffentlicht, der auch einen künftigen Europäischen Zertifizierungs- und Kennzeichnungsrahmen für IKT-Sicherheit betrifft. Er soll die Sicher-heitseigenschaften von Produkten, Systemen und Diensten, die bereits in der Entwurfsphase ("security by design") integriert sind, verbessern. Die gute Absicht ist erkennbar, zumal ein erhöhter Schutz der Bürger und Unternehmen durch bessere Cybersicherheits-Vorkehrungen erstrebenswert ist. Dennoch hat der Vorschlag erhebliche fachliche Mängel. Darüber hinaus fehlt es an Offenheit und Transparenz, wie man sie von Normensetzung erwarten kann, die der Unterstützung der EU-Gesetzgebung dienen soll.

https://ec.europa.eu/transparency/regdoc/rep/1/2017/EN/COM-2017-477-F1-EN-MAIN-PART-1.PDF

TeleTrusT-Positionen:

Der Vorschlag wird als notwendiger und grundlegender Beitrag zur Cyber-Sicherheit in digitalen Infrastrukturen angesehen. Die Entwicklung und der Einsatz der neuen Digitaltechnologien mit ihren erhöhten inhärenten Risiken bedürfen eines nachhaltigen Rahmenplans, der einschlägige technische Normen und Zertifizierungs-dienste im "Digitalen Binnenmarkt" bereitstellt. Dies führt zu sicheren Produkten, Systemen und Diensten bereits vor Markteintritt und während ihres gesamten Lebenszyklus. Der Vorschlag orientiert auf umfassende Befugnisse für die EU-Kommission, zu entscheiden, welche Cybersicherheits-Schemata innerhalb der EU erforderlich sind, welche Normen für ein Schema gelten und welche Produkt- oder Dienstetypen erfasst wer-den. Ein Schema kann Smart Meters, IoT-tragbare Geräte, Datenbanken, Cloud-Dienste, Smartphones etc. umfassen, in der Tat also jedes IKT-Produkt. Sollten keine anwendbaren Normen für ein Schema vorhanden sein, werden die Anforderungen, die zur Zertifizierung eines Schemas erfüllt werden müssen, ohne Konsultati-on in das Schema integriert.

Der EU-Agentur für Network and Information Security (ENISA) wird das Vorschlagsrecht für Schemata zuge-schrieben, aber die endgültige Entscheidung, wann ein neues EU-Schema erforderlich ist und welche Produk-te und Dienste erfasst werden, bleibt ausschließlich in der Hand der EU-Kommission. Es gibt keine Beteili-gung der Mitgliedstaaten, des Europäischen Rates, des Europäischen Parlaments, nationaler Normenorgani-sationen, gesellschaftlicher Interessengruppen oder der Industrie. Dass ein Schema zunächst freiwillig anzu-wenden ist, ist ein schwaches Argument zur Verteidigung einer Verordnung, die der EU-Kommission zu viel Macht verleiht.

Der neue Rahmenplan kann nur unter folgenden Voraussetzungen gelingen:

  1. Der Rahmenplan migriert vorhandene Zertifizierungsinfrastrukturen ohne Betriebsunterbrechung, besonders SOGIS-MRA ("Senior Officials Group Information Systems Security - Mutual Recognition Arrangement", aktuell mit 14 Mitgliedstaaten, kompetenten Schemata und privaten Prüfstellen; initiiert Anfang der neunzi-ger Jahre durch die EU-Kommission, große Industrieanerkennung und Weltmarktposition).
  2. Zertifizierung muss auf offene Normen setzen, die Wettbewerb zwischen Prüfstellen bzw. Schemata sowie zwischen den geeignetsten Sicherheitslösungen für ein festgelegtes Sicherheitsproblem ermöglichen. 
  3. Der Rahmenplan kann Ergebnisse analog zum rasanten Tempo technologischer Änderungen erzielen und die Marktbedürfnisse rechtzeitig und wirtschaftlich befriedigen.
  4. Eine leistungsstarke Beziehung zwischen dem Rahmenplan und den Europäischen Normungsorganisatio-nen (ESO) kann aufgebaut werden.
  5. Was die IKT-Sicherheitsaspekte betrifft, werden die Richtlinien und Verordnungen der EU-Kommission für jeden vertikalen Digitalmarkt die Anforderungen an geeignete technische Sicherheitsnormen und Zertifizie-rungen prüfen und das Certification Board entsprechend regelmäßig einbeziehen. Falls ein Vertikalsektor nicht harmonisiert werden kann, wird die Vereinheitlichung der technischen Normen und Zertifizierungen schwer erreichbar sein. IT-Sicherheit betrifft auch Netzwerksicherheit, die öffentliche bzw. nationale Sicher-heit sowie die digitale Souveränität. IT-Sicherheit ist nicht nur Anliegen des Digitalbinnenmarktes, sondern auch der Mitgliedsstaaten. Das gilt insbesondere für Kryptonormen und die Qualifikation der Prüfstellen.

Deshalb muss ein künftiges Europäisches IKT-Zertifizierungs- und Kennzeichnungsrahmenwerk

  • ein "European Cyber Security Certification Board" etablieren, besetzt mit Vertretern der Mitgliedsstaaten in Abstimmung mit den ESO und dem European Data Protection Board (EDPB), mit der Verantwortung, sei-ne Themenbereiche sowie Arbeitsgruppen aufzubauen,
  • die Generaldirektionen der EU-Kommission bei der Entwicklung der Kommunikationen, Richtlinien und Verordnungen für Vertikalsektoren unterstützen, so dass Standardisierung und Zertifizierung in einer sehr frühen Phase vorbereitet werden und Synergien zwischen den vertikalen Digitalisierungssektoren erzeugt werden können,
  • SOGIS-MRA von einer Aktivität einzelner Mitgliedsstaaten in eine gesamteuropäische Aktivität migrieren,
  • die Unabhängigkeit der Standardisierung und Auswertung gewährleisten, indem ein geeignetes Akkreditierungssystem für Prüfstellen bereitgestellt wird und die Akkreditierungsverordnung mit Hilfe einer zusätzlichen sektorspezifischen Ausnahmeregelung gemäß Erwägungsgrund Nr. 5 in 765/2008 verbessern,
  • eine Rolle für die ENISA etablieren, um die Sekretariats- und organisatorische Infrastruktur für das (neue) European Cyber Security Certification Board bereitzustellen,
  • Mitgliedsstaaten und Industrie unterstützen, um Innovationen für bessere IT-Sicherheit einzuleiten und Wettbewerbsgleichheit für die europäische Industrie im Weltmarkt zu schaffen.

TeleTrusT-Positionspapier zu "Blockchain"

01.03.2017

2017_TeleTrusT-Positionspapier_zu_Blockchain


"Referentenentwurf eines Gesetzes zur Umsetzung der Richtlinie (EU) 2016/1148 des Europäischen Parlaments und des Rates vom 06.07.2016 über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der Union" (NIS-RL-Umsetzungsgesetz)"

16.12.2016

Stellungnahme der TeleTrusT-AG "Recht"

Stellungnahme der TeleTrusT-AG Recht zum NIS-RiLi-Umsetzungsgesetz


"Referentenentwurf des 'eIDAS-Durchführungsgesetzes'" des Bundesministeriums für Wirtschaft und Energie

01.11.2016

Stellungnahme der TeleTrusT-AG "Forum elektronische Vertrauensdienste AK A"


BSI-"Diskussionspapier zur Absicherung von Telemediendiensten nach Stand der Technik"

13.08.2016

Stellungnahme der TeleTrusT-AG "Recht"


Entwurf einer Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz (BSI-Kritisverordnung – BSI-KritisV)

22.02.2016

TeleTrusT-Stellungnahme

Das Bundesministerium des Innern hat den Referenten-Entwurf einer "Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz" veröffentlicht und einschlägige Verbände zur Kommentierung aufgerufen. Im Vorfeld der für Anfang März angesetzten Anhörung äußern die Fachgremien des Bundesverbandes IT-Sicherheit e.V. (TeleTrusT) grundsätzliche Zustimmung, sehen aber Nachbesserungsbedarf.  Mit der "KRITIS"-Verordnung wird §10 des BSI-Gesetzes in einem ersten Schritt umgesetzt. Für die Bestimmung Kritischer Infrastrukturen in den Sektoren Energie, Wasser, Informationstechnik und Telekommunikation sowie Ernährung werden relevante Anlagekategorien definiert und mit Schwellenwerten, korrespondierend mit dem jeweiligen Versorgungsgrad, versehen. Im Rahmen der aktuellen Anhörung der Verbände und Fachkreise merkt TeleTrusT nach eingehender Erörterung des Entwurfes durch die internen Arbeitsgruppen insbesondere die folgenden Punkte an: 

  1. Die Zugrundelegung der "500.000er-Regel" für die Schwellenwerte wird als kritisch betrachtet. Die Regel basiert auf der Annahme, dass Ausfälle, bei denen weniger Haushalte betroffen sind, technisch und organisatorisch aufgefangen werden können. Sind im konkreten Fall also 500.000 Haushalte betroffen, kann ein weiterer, ernster Vorfall nicht einmal teilweise abgefangen werden. TeleTrusT regt an, die Schwellenwerte um einen geeigneten Sicherheitspuffer zu ergänzen.
  2. Die Benennung absoluter Zahlen für Schwellenwerte lässt eine qualitative Berücksichtigung möglicher "Domino-Effekte" außer Acht. Wie ein europaweiter Stromausfall von 2006 gezeigt hat, kann durch Abschalten einer einzigen, eher weniger wichtigen Leitung das Gesamtsystem massiv beeinträchtigt sein. Neuere Untersuchungen und Modellberechnungen zeigen, dass Angriffe auf kleine Bereiche einer komplexen Infrastruktur durch Kaskadeneffekte die Gesamtstruktur beeinflussen können. Daher regt TeleTrusT an, in der Rechtsverordnung auch die Kumulation von sicherheitskritischen Ereignissen zu berücksichtigen.
  3. Das für die Anlagenkategorie "Standortkopplung" zugrunde gelegte Datenvolumen auf Basis des wichtigsten, und - gemessen am Datendurchsatz - weltweit größten Internetknotenpunkts (DE-CIX), erscheint für die Betrachtung für ITK Unternehmen zu hoch. Da über den Internetknotenpunkt nicht nur der inländische, sondern auch der internationale Datenverkehr prozessiert wird, ist das Anwenden des Datenvolumens des DE-CIX auf industrielle und/oder unternehmensinterne Datenverbindungen nicht plausibel. TeleTrusT regt an, die Berechnungsgrundlage zur Festlegung der kritischen Betreiber zu revidieren.
  4. Im Referentenentwurf bleibt unklar, inwieweit moderne Telekommunikationsanwendungen wie IP-Telefonie eingeschlossen sind. Derzeit bringen alle Telekommunikationsdienstleister moderne IP-Telefonie als Basisprodukte auf den Markt. Auch über diese Dienste müssen Notrufe erreichbar sein. Daher sollten sie im Fokus der Betrachtung kritischer Infrastrukturen sein. TeleTrusT regt an, klarzustellen, inwieweit die IP-basierten Sprach- und Telefoniedienste in der Rechtsverordnung berücksichtigt werden.

EuGH-Urteil zu "Safe Harbor" ist positives Signal für Datenschutz europäischer Prägung/"Binding Corporate Rules" kein Ersatz auf angemessenem Schutzniveau

12.10.2015

Stellungnahme der TeleTrusT-AG "Cloud Security"

1. Gut zwei Jahre hat es gebraucht seit den ersten Enthüllungen von Edward Snowden, jetzt hat der Europäische Gerichtshof (EuGH) eine in ihren möglichen Auswirkungen weitreichende Feststellung getroffen: Die USA bieten aus europäischer Sicht "kein angemessenes Schutzniveau für personenbezogene Daten".

Das EuGH-Urteil schreibt ein Stück Rechtsgeschichte. Ausgangspunkt des Verfahrens war eine an die irische Datenschutzbehörde gerichtete Beschwerde des österreichischen Bürgers Maximilian Schrems gegen die Übermittlung seiner bei Facebook gespeicherten Daten in die USA, mit der Begründung, dass im Hinblick auf die von Edward Snowden enthüllten Tätigkeiten der Nachrichtendienste der USA, insbesondere der NSA, davon auszugehen sei, dass die Daten in den USA nicht hinreichend vor Überwachungstätigkeiten der dortigen Behörden geschützt seien. Die irische Behörde wies die Beschwerde seinerzeit mit dem Hinweis zurück, durch das "Safe Harbor"-Abkommen sei ein angemessenes Schutzniveau in den USA gegeben. Dieser Begründung hat der EuGH nun die Grundlage entzogen und die sog. "Safe Harbor"-Regelung gekippt. Der EuGH kassierte das bereits vor zwölf Jahren von der EU-Kommission installierte "Safe-Harbor"-Abkommen mit den USA.

2. Die Begründung der höchstrichterlichen Instanz der Europäischen Union ist beachtlich: In Bezug auf die Beschwerde stellt das Gericht fest, dass ab sofort die (zuständige) irische Behörde sorgfältig zu prüfen habe, ob die Übermittlung von personenbezogenen Daten aus dem EU-Raum auf amerikanische Server nicht auszusetzen sei, "weil dieses Land kein angemessenes Schutzniveau für personenbezogene Daten bietet."

Gleichzeitig greift das Gericht die Europäische Kommission an: "Die Kommission hatte keine Kompetenz, die Befugnisse der nationalen Datenschutzbehörden […] zu beschränken." Damit stärkt dieses Urteil die Befugnisse und die Unabhängigkeit europäischer Datenschutzbehörden, da sie nun nicht (mehr) an die "Safe-Harbor"-Regelung gebunden sind.

3. Das Urteil hat für den transatlantischen Datenaustausch und insbesondere für US-Internetunternehmen sowie US-Cloud Service Provider Konsequenzen. Mindestens dürfte die Übermittlung personenbezogener Daten in die USA auf Basis der "Safe Harbor"-Regelung ab sofort als unzulässig gelten. Mit Blick auf die Begründung des EuGH könnte das Urteil aber auch Auswirkungen auf die vor allem von großen Unternehmen, insbesondere multinationalen Konzernen und Organisationen, gern genutzten "Binding Corporate Rules" haben. Die "Binding Corporate Rules" sollen ein Rahmen für verbindliche Richtlinien zum Umgang mit personenbezogenen Daten sein. Wenn ein Unternehmen seine "Binding Corporate Rules" von europäischen Datenschutzbehörden verifizieren lässt, dann dürfen auf Grundlage dieser festgelegten Richtlinien Daten in Drittstaaten, z.B. in die USA, übermittelt werden.

Der EuGH hebt jedoch kritisch hervor, dass "amerikanische Unternehmen ohne jede Einschränkung verpflichtet sind, die […] vorgesehenen Schutzregeln unangewendet zu lassen, wenn sie in Widerstreit zu Erfordernissen [der nationalen Sicherheit, des öffentlichen Interesses und der Durchführung von Gesetzen der Vereinigten Staaten] stehen". Damit sind die "Binding Corporate Rules" eben nicht "Binding", wenn es um den Schutz der Daten gegenüber amerikanischen Behörden geht, sondern nicht viel mehr als ein Papiertiger.

Zudem stellt der EuGH fest, dass die in den USA möglichen Zugriffe von Behörden auf diese Daten nicht auf das in der EU geforderte "absolut Notwendige" beschränkt seien, "wenn sie generell die Speicherung aller personenbezogenen Daten sämtlicher Personen, deren Daten aus der Union in die Vereinigten Staaten übermittelt werden, gestattet, ohne irgendeine Differenzierung, Einschränkung oder Ausnahme anhand des verfolgten Ziels vorzunehmen." Gemeint ist die anlasslose Massenspeicherung von Daten durch die NSA.

Mit anderen Worten: Wenn Daten in die USA übermittelt werden, dann unterliegen diese Daten uneingeschränkt dem Recht der USA, ganz gleich, ob es "Binding Corporate Rules" gibt oder nicht. Da das diesbezüglich geltende Recht der USA nach Ansicht des EuGH kein ausreichendes Datenschutzniveau gewährleistet, wäre nach EU-Recht damit die Übermittlung personenbezogener Daten in die USA generell unzulässig.

Wenn die "Safe-Harbor"-Regelung amerikanischen Gesetzen entgegensteht oder im Widerspruch zur nationalen Sicherheit oder zum öffentlichen Interesse steht, sind dortige Unternehmen ohne jede Einschränkung verpflichtet, die in der Regelung vorgesehenen Schutzmaßnahmen unangewendet zu lassen." Eine Regelung verletzt den "Wesensgehalt des Grundrechts auf Achtung des Privatlebens", wenn sie es Behörden gestattet, generell auf den Inhalt elektronischer Kommunikation zuzugreifen.

4. Europäischen Firmen, die auch weiterhin ihre personenbezogenen Daten ausschließlich in Deutschland oder der europäischen Union verarbeiten, wird mit dem Urteil der Rücken gestärkt. Und auch Initiativen wie das TeleTrusT-Qualitätszeichen "IT Security made in Germany" erhalten die Bestätigung, dass der Datenschutz ein hohes Gut ist, das nicht ausgehöhlt werden darf.

5. Das EuGH-Urteil ist eine Chance auf Verbesserung der aktuellen Situation. Insgesamt gesehen bringt der EuGH neuen Schwung in die seit etwa zwei Jahren laufenden Verhandlungen um eine neue Safe-Harbor-Regelung, aber auch in den TTIP-Verhandlungen dürften Datenschutzaspekte nun eine stärkere Gewichtung erhalten, vermutlich oder hoffentlich zugunsten europäischer Standards.


TeleTrusT warnt vor Absenkung des IT-Sicherheitsniveaus durch TTIP

09.03.2015

Das Transatlantische Handels- und Investitionspartnerschaftsabkommen (TTIP) wird in der öffentlichen Diskussion zu Recht einer kritischen Betrachtung unterzogen. TeleTrusT warnt davor, dass TTIP zu einer Absenkung der deutschen bzw. europäischen Datenschutz- und IT-Sicherheitsstandards führen könnte.

In Verbindung mit TTIP befürchtet TeleTrusT einen Verlust hoher europäischer Qualitätsstandards. Dies betrifft die Gebiete Datenschutz und IT-Sicherheit sowie die aus TTIP abzuleitende IT-Standardisierung. TTIP beinhaltet den Ansatz, dass sich die Verhandlungsparteien auf Standards einigen werden, nach denen ein Marktzugang für Produkte und Dienstleistungen auch im IT-Bereich sichergestellt sein wird. Hieraus ergeben sich wichtige Impulse für die nationalen Vorgaben an IT-Sicherheitsprodukte.

Das Thema IT-Sicherheit und im Besonderen das zentrale Element Kryptoalgorithmen sind in Bezug auf TTIP aufmerksam zu beobachten. Dies unter dem Aspekt, dass nationale Institutionen - wie z.B. in Deutschland das BSI - als Sachwalter hoher Standards nicht direkt in die Verhandlungen involviert ist, sondern ihre Vorstellung den Verhandlungsführern der EU-Kommission erst nahebringen müssen, um zu vermeiden, dass TTIP in diesem Zusammenhang durch amerikanische NIST-Standards geprägt wird. Wenn dies nicht mehr zu verhandeln wäre, würde es die gesamte deutsche IT-Sicherheitsindustrie betreffen.

TeleTrusT geht von folgenden Prämissen aus und versteht sie als Handlungsaufforderung an die politischen Entscheidungs- und TTIP-Verhandlungsträger:

  1. Die ITK-Industrie profitiert von globalen Standards und globalen technischen Spezifikationen, aber die TTIP-Verhandlungen dürfen nicht im Wege politischer Zugeständnisse in eine Abwärtsspirale für IT-Sicherheitsstandards münden.
  2. TTIP darf in Bezug auf IT-Sicherheit nicht zu einem geringeren Sicherheitsniveau für kommerzielle IT-Produkte führen, insbesondere nicht zu schwächeren Kryptoalgorithmen.
  3. Grundsätzlich ist ein Handelsabkommen zwischen den USA und der EU zu begrüßen. Die Snowden-Affäre hat aber deutlich werden lassen, dass Europa sich nicht auf das grundsätzliche andere 'Privacy'-Verständnis der USA einlassen sollte.
  4. Bei Schaffung eines gemeinsamen Wirtschaftsraums ist zu erwarten, dass deutlich mehr Daten, insbesondere personenbezogene Daten, zwischen der EU und den USA hin- und herfließen werden. Dies darf nicht ohne abgestimmtes Datenschutzverständnis geschehen. Das Fehlen einheitlicher Standards würde ansonsten zu unterschiedlichen, wettbewerbsverzerrenden Anforderungen an Unternehmen dies- und jenseits des Atlantiks führen.
  5. Der liberalisierte Zugang zu öffentlichen Aufträgen darf die nationale digitale Souveränität nicht gefährden.  

TeleTrusT: Staatlicher Zugriff auf Verschlüsselung ist kein zielführender Ansatz

26.01.2015

Die aktuelle Diskussion bezüglich staatlicher Einflussnahme auf Verschlüsselung mag angesichts der aktuellen Bedrohungslage von der grundsätzlichen Motivation her zwar nachvollziehbar erscheinen, gleichwohl bedarf das Thema "Verschlüsselung" der sorgfältigen Güter- und Interessenabwägung. Der Ansatz, bei Nutzung von Verschlüsselung dem Staat Schlüsselzugang gewähren, beachtet unzureichend die politische, rechtliche und technische Dimension. Derartige Erwägungen sind nicht zielführend. Die Politik sollte Konsultationsangebote der Fachleute nutzen.

Aus Sicht von TeleTrusT stehen die politischen Forderungen im Gegensatz zur Absicht der "Digitalen Agenda" der Bundesregierung, Deutschland zum Verschlüsselungsstandort Nr. 1 zu entwickeln. Sicherheitsbehörden haben durch das G10-Gesetz - nach richterlichem Beschluss - ohnehin schon weitreichende Zugriffsmöglichkeiten auf Providerdaten. Regelungen zur Schlüsselhinterlegung oder zur verpflichtenden Implementierung von Zugangsmöglichkeiten für Sicherheitsbehörden würden das sowieso schon angeschlagene Vertrauen in die IT-Wirtschaft und den Schutz durch staatliche Stellen weiter erschüttern. Ohnehin würden dadurch lediglich bestehende, bislang vertrauenswürdige IT-Technologien und -Standards geschwächt, und es ist davon auszugehen, dass kriminelle oder terroristische Organisationen auf andere Möglichkeiten der Kommunikation ausweichen. Folge wäre dann lediglich eine flächendeckende Schwächung der Kryptolandschaft und der IT-Sicherheit unserer Gesellschaft.

TeleTrusT hält eine Einschränkung von Verschlüsselung bzw. ein Verbot starker Verschlüsselung in der Praxis nicht durchführbar, nicht zweckmäßig und verfassungsrechtlich bedenklich. Ein solches Verbot bedingte eine Reihe von Ausnahmen und Abgrenzungsschwierigkeiten, z.B. hinsichtlich Gesundheitsdaten, Mandantenschutz bei Rechtsanwälten oder Quellenschutz bei Journalisten. Wie soll aber in der Praxis zwischen rechtmäßiger und rechtswidriger Hinterlegung der Schlüssel bzw. Nutzung der Schlüssel durch staatliche Stellen im Einzelfall unterschieden werden, wenn die Daten doch verschlüsselt sind? Wie soll ein Unterlaufen des Verbots, z.B. durch Steganografie, verhindert werden? Insbesondere wäre völlig unklar, wie eine Schlüsselhinterlegung technisch und rechtlich im Rahmen des grenzüberschreitenden Datenverkehrs greifen soll, insbesondere, wenn er durch "unsichere" Länder erfolgt?

Ein universeller Zugriff auf verschlüsselte Kommunikation könnte - wenn überhaupt - nur über eine Fülle von nachhaltigen Eingriffen in die Internet-Infrastruktur sichergestellt werden. Im Internet werden ca. 15 % aller IP-Pakete verschlüsselt; der größte Teil mit SSL, z.B. die Verbindung zwischen Browsern und Web-Servern und ein kleinerer Teil mit IPSec für die Sicherung der Kommunikation zwischen Unternehmen oder Unternehmensteilen. Dies ist bei Weitem zu wenig. Es ist an der Zeit zu erörtern, wie das Risiko eines Schadens für Bürger und Unternehmen im immer wichtiger werdenden Internet auf ein akzeptables Maß reduziert werden kann, z.B. durch stärkere Verbreitung und Nutzung von Verschlüsselungsanwendungen.

Eine Gesellschaft, die durch ihre freiheitliche, demokratische Verfassung auf die Eigenverantwortung des Einzelnen setzt, benötigt die Gewissheit, dass der Einzelne seine Privatsphäre wirksam schützen kann. Ungeachtet dessen muss sie darauf vertrauen können, dass auch die staatlichen Stellen ihrem verfassungsrechtlichen Auftrag zum Schutz der Grundrechte der Bürger hinreichend nachkommen.


Positionspapier zu "Big Data"

24.06.2014


Stellungnahme zum Vorschlag für eine Verordnung des Europäischen Parlaments und des Rates über die elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen im Binnenmarkt

19.07.2013


Kommentar zur Position von Bündnis 90/Die Grünen zu "QES + De-Mail" (Beratung der Gesetzentwürfe zur Förderung des elektronischen Rechtsverkehrs)

25.03.2013


Stellungnahme zum Referentenentwurf des Bundesministeriums des Innern für ein "Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme"

09.03.2013

Ergänzend hierzu hat TeleTrusT im November 2014 anlässlich der Verbändeanhörung zum fortentwickelten Entwurf des IT-Sicherheitsgesetzes kommentiert:

Stellungnahme zum Entwurf eines Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme - IT-Sicherheitsgesetz - (Referentenentwurf des Bundesministeriums des Innern) vom 04.11.2014 im Rahmen der Beteiligung von Verbänden und Fachkreisen

1) Zu § 8a Absatz 2 des Entwurfes regen wir folgende Änderungen an:

(…)

"Betreiber Kritischer Infrastrukturen und (Streichung: ihre) Branchenverbände können branchenspezifische (Ergänzung: oder branchenübergreifende) Sicherheitsstandards zur Gewährleistung der Anforderungen nach Absatz 1 vorschlagen. Das Bundesamt stellt im Benehmen mit dem Bundesamt für Bevölkerungsschutz und Katastrophenhilfe sowie im Einvernehmen mit der zuständigen Aufsichtsbehörde des Bundes oder im Benehmen mit der sonst zuständigen Aufsichtsbehörde auf Antrag fest, ob diese geeignet sind, die Anforderungen nach Absatz 1 zu gewährleisten."

Als Begründung verweisen wir auf mögliche Synergieeffekte mit anderweitigen Standardisierungsaktivitäten auch außerhalb Kritischer Infrastrukturen.

2) Komplementär verweisen wir im Besonderen auf die von TeleTrusT vorgeschlagenen "Wirkungsklassen" (siehe TeleTrusT-Strategiedokument vom 01.09.2014, das dem BMI und BMWi vorliegt):

https://www.teletrust.de/it-sicherheitsstrategie/ bzw. https://www.teletrust.de/uploads/media/IT-Sicherheitsstrategie_f%C3%BCr_Deutschland_TeleTrusT-Konzept.pdf

Zur Ausgestaltung einer IT-Sicherheitsstrategie für Deutschland werden darin pragmatische Wirkungsklassen von IT-Sicherheitsmaßnahmen für unterschiedliche Schutzbedarfe definiert und in Bezug zu den Nutzerkreisen gesetzt. Die Wirkungsklassen erlauben eine strukturierte Analyse und zweckorientierte Umsetzung der erforderlichen Maßnahmen.


Positionspapier der TeleTrusT-AG "Biometrie" zu Biometrie-Einsatz in der Arbeitswelt

05.09.2012


Stellungnahme des TeleTrusT-Koordinierungskreises "Signaturanwendungs-Hersteller" zum Vorschlag EU-Verordnung über die elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen im Binnenmarkt

16.07.2012

Stellungnahme des TeleTrust


Positionspapier zur IT-Sicherheit im Smart Grid

30.05.2011

Stellungnahme zur Qualifizierten


Positionspapier der TeleTrusT-AG "Biometrie" zu Körperscannern

23.03.2011

Positionspapier der Teletrust AG Biometrie


Stellungnahme des TeleTrusT-Koordinierungskreises "Signaturanwendungs-Hersteller" zum Steuervereinfachungsgesetz

09.03.2011


Stellungnahme zur Qualifizierten Elektronischen Signatur (QES)

27.01.2011

Stellungnahme zur Qualifizierten


Stellungnahme zum De-Mail Gesetzentwurf

27.07.2010


Stellungnahme zu den Plänen der EU-Kommission betreffend die europäische Normung

05.05.2010

Stellungnahme zu den Plänen der Eu-Kommission


Stellungnahme gegen Abschottung des chinesischen Marktes für Kryptografie-Produkte

08.02.2010

Stellungnahme gegen Abschottung des chinesischen


Stellungnahme zum EU-Expertenbericht zu "Elektronischer Rechnungslegung"

11.01.2010

Stellungnahme zum EU-Expertenbericht


Stellungnahme zu Gefahren im Internet

15.06.2009

Stellungnahmen zu Gefahren im Internet 15.06.2009


Stellungnahmen zu diversen Vorhaben externer Gremien

27.07.2007

Kontroverse Diskussion zur Online-Durchsuchung

TTT-Positionspapier zur Förderung von vertrauenswürdigen Informations- und Kommunikationstechniken.

27.10.2006

TTT-Stellungnahme zum Entwurf eines Strafrechtsänderungsgesetzes zur Bekämpfung der Computerkriminalität (StrÄndG).

08.05.2006

TTT-Vorschläge zum weiteren Vorgehen nach dem Bericht der Kommission an das europäische Parlament und den Rat "Bericht über die Anwendung der Richtlinie 1999/93/EG über gemeinschaftliche Rahmenbedingungen für elektronische Signaturen" vom 15.03.2006.

05.04.2005

TTT-Stellungnahme zur eCard-Initiative der Bundesregierung und zugehörige Pressemitteilung von BMI, BMWA, BMF und BMGS vom 09.03.2005.

05.07.2004

TTT-Stellungnahme zum 1. SigÄndG vom 01.04.2004 (Begründung zum 1. SigÄndG).

31.07.2003

TTT-Stellungnahme für die Erarbeitung einer deutschen Position zur Evaluierung der EG-Signaturrichtlinie 1999/93/EG.

31.05.2003

Gemeinsame Stellungnahme von BITKOM und TTT zum Vorhaben der Europäischen Kommission, eine "Europäische Agentur für Netzwerk- und Informationssicherheit - ENISA" zu gründen.

Bezug: Diskussionspapier der Europäischen Kommission vom Februar 2003.

16.05.2003

TTT-Stellungnahme zur strategischen Neuausrichtung des BSI bei der Produktzertifizierung auf Grundlage des Protokolls der 2. Sitzung des Runden Tisches Kryptowirtschaft am 27. März 2003.

23.09.2002

TTT-Thesen zum Signaturbündnis der Bundesregierung.