Stellungnahmen 2014

TeleTrusT-Empfehlung an das Bundesministerium des Innern zur eID-Funktion des 'Neuen Personalausweises'

18.11.2014

Vor dem Hintergrund der fortdauernden Bemühungen, die Anwendungsmöglichkeiten des neuen Personalausweises bei gleichzeitiger höchstmöglicher Sicherheit zu verbessern, unterstützt TeleTrusT den Ansatz, die eID-Funktion des nPA - die ein wichtiges IT-Sicherheitsfeature darstellt - als nicht-abschaltbar auszugestalten. Der nPA verkörpert in bester Weise eine IT-Sicherheitstechnologie, die weltweit ihresgleichen sucht, mit ausgereiften und pragmatischen IT-Sicherheitsmerkmalen, die im modernen Internet für eine höhere Sicherheit der Anbieter und Bürger sorgen. Das Problem der Passwörter, die als Authentifikationsverfahren genutzt werden, ist bekannt und die daraus resultierenden Schäden sind deutlich zu hoch. Mit zunehmender Wichtigkeit des Nutzungskontextes steigt das Risiko. Würde die eID-Funktion des nPA nicht-abschaltbar konfiguriert, würde das "Henne-Ei-Problem" reduziert und eine breitere Nutzung wahrscheinlicher. Aktuelle Forschungen, z.B. in Zusammenhang mit Onlinebanking und eMobility, betrachten den nPA bereits als in zukünftige IT-Sicherheitskonzepte eingebunden. Ebenso haben internationale Bestrebungen in diesem Bereich, wie z.B. die FIDO Alliance, die Vorteile der Nutzung für die verlässliche Identitätsverifikation erkannt und bemühen sich um deren Integration. TeleTrusT hat auf diesem Gebiet mit einigen Unternehmensmitgliedern einschlägige Aktivitäten erfolgreich umgesetzt und wird dies auch in Zukunft verfolgen. Aus Sicht von TeleTrusT könnte die nicht-abschaltbare eID-Funktion des nPA, verbunden mit einer Motivationskampagne für die nPA-Nutzung, das IT-Sicherheitsschadensrisiko für die Gesellschaft, für Unternehmen und Bürger, bedeutend reduzieren.


Stellungnahme zum Entwurf eines Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme - IT-Sicherheitsgesetz - (Referentenentwurf des Bundesministeriums des Innern) vom 04.11.2014 im Rahmen der Beteiligung von Verbänden und Fachkreisen

12.11.2014

1) Zu § 8a Absatz 2 des Entwurfes regen wir folgende Änderungen an:

(…)

"Betreiber Kritischer Infrastrukturen und (Streichung: ihre) Branchenverbände können branchenspezifische (Ergänzung: oder branchenübergreifende) Sicherheitsstandards zur Gewährleistung der Anforderungen nach Absatz 1 vorschlagen. Das Bundesamt stellt im Benehmen mit dem Bundesamt für Bevölkerungsschutz und Katastrophenhilfe sowie im Einvernehmen mit der zuständigen Aufsichtsbehörde des Bundes oder im Benehmen mit der sonst zuständigen Aufsichtsbehörde auf Antrag fest, ob diese geeignet sind, die Anforderungen nach Absatz 1 zu gewährleisten."

Als Begründung verweisen wir auf mögliche Synergieeffekte mit anderweitigen Standardisierungsaktivitäten auch außerhalb Kritischer Infrastrukturen.

2) Komplementär verweisen wir im Besonderen auf die von TeleTrusT vorgeschlagenen "Wirkungsklassen" (siehe TeleTrusT-Strategiedokument vom 01.09.2014, das dem BMI und BMWi vorliegt):

https://www.teletrust.de/it-sicherheitsstrategie/ bzw. https://www.teletrust.de/uploads/media/IT-Sicherheitsstrategie_f%C3%BCr_Deutschland_TeleTrusT-Konzept.pdf

Zur Ausgestaltung einer IT-Sicherheitsstrategie für Deutschland werden darin pragmatische Wirkungsklassen von IT-Sicherheitsmaßnahmen für unterschiedliche Schutzbedarfe definiert und in Bezug zu den Nutzerkreisen gesetzt. Die Wirkungsklassen erlauben eine strukturierte Analyse und zweckorientierte Umsetzung der erforderlichen Maßnahmen.


TeleTrusT hat der Bundesregierung bzw. dem Bundesministerium des Innern und dem Bundesministerium für Wirtschaft und Energie Vorschläge für eine Konkretisierung der IT-Sicherheitsstrategie für Deutschland unterbreitet.

01.07.2014


Positionspapier zu "Big Data"

24.06.2014