Stellungnahmen 2018

Kommentierung zu Regelungen aus der BNetzA-Mitteilung Nr. 208-201 (Amtsblatt) betreffend die Nutzung von Videoident-Verfahren für die Ausstellung von QES

12.07.2018

TeleTrusT-Stellungnahme

TeleTrusT hat im Namen der konsultierten Fachkreise die Regelungen aus der BNetzA-Mitteilung Nr. 208-2018 (Amtsblatt) kommentiert. Hauptpunkt der Kommentierung seitens TeleTrusT ist die Fragestellung, inwieweit die Verfügung konform zum Erwägungsgrund 54 der EU-Verordnung Nr. 910/2014 ist. Es werden in dieser Verfügung Festlegungen für Qualifizierte Zertifikate getroffen, die über die EU-Verordnung hinausgehen. Dadurch würden für in Deutschland ansässige Vertrauensdiensteanbieter (VDA) strengere Anforderungen als für die VDA in anderen EU-Staaten gelten, was die Entwicklung des Europäischen Binnenmarktes behindern könnte.

1. TeleTrusT schlägt vor, den Abschnitt 10 zu streichen.

2. TeleTrusT schlägt vor, den Abschnitt 7 zu ändern (siehe entsprechender beigefügter Kommentar).

Anlage: Anmerkungen im Detail, die Unternehmen im Rahmen der von TeleTrusT koordinierten AG "Forum elektronische Vertrauensdienste AK A" übermittelt haben (Auszug)

Bewertung der Stellungnahme des IMCO-Ausschusses des EP zum Entwurf einer EU-Cybersecurity-Verordnung

06.07.2018

(Dr. Dennis-Kenji Kipker, Universität Bremen)

Am 22.05.2018 hat der Ausschuss für den Binnenmarkt und Verbraucherschutz (IMCO) des Europaparlaments seine Stellungnahme zu dem "Vorschlag für eine Verordnung des Europäischen Parlaments und des Rates über die "EU-Cybersicherheitsagentur" (ENISA) und zur Aufhebung der Verordnung (EU) Nr. 526/2013 sowie über die Zertifizierung der Cybersicherheit von Informations- und Kommunikationstechnik ("Rechtsakt zur Cybersicherheit")" - bekannt auch als "Cybersecurity-Verordnung" - veröffentlicht. Der neue europäische Rechtsakt zur Cybersicherheit basiert auf zwei Grundpfeilern: Einem ständigen und stärkeren Mandat der ENISA, sowie der Einführung eines EU-Rahmens zur Cybersicherheitszertifizierung, um sicherzustellen, dass Produkte der Informations- und Kommunikationstechnologie sowie entsprechende Dienste die dafür relevanten Cybersicherheitskriterien auf einheitliche Weise erfüllen. Einer der Hauptbestandteile des Entwurfes der EU Cybersecurity-Verordnung ist die so genannte "Konformitätsbewertung", innerhalb derer festzustellen ist, ob IKT-Produkte oder -Dienste die an die Cybersicherheitsmerkmale anzulegenden Anforderungen erfüllen. Da eine Zertifizierung von IKT-Produkten und -Diensten nicht zwingend aussagt, dass diese tatsächlich und in jedem Falle sämtliche an die Cybersicherheit anzulegenden Kriterien erfüllen, fordert das IMCO-Committee explizit und weitergehend als der Verordnungsentwurf, dass Verbraucher über die Restrisiken der Zertifizierung aufzuklären sind, indem unter anderem darauf hingewiesen wird, dass die entsprechenden Produkte und Dienste nur auf die Übereinstimmung mit beispielsweise in technischen Normen und Standards festgelegten Anforderungen an die Cybersicherheit hin überprüft wurden. Transparenz, Beteiligung und angemessene Verfahrensvorgaben sind von hoher Bedeutung für die Einrichtung und das Funktionieren eines vertrauenswürdigen und effektiven europäischen Cyber-Sicherheitsrahmens. Eng verbunden mit der Definition von Mindestsicherheitsstandards für IT-Produkte ist das Ziel, die Prinzipien von "Security by Design" sowie von "Privacy by Design" konsequent umzusetzen und umfassend in Produkte und Dienste zu integrieren. Hierzu soll das europäische Zertifizierungssystem für Cybersicherheit laut der Auffassung des IMCO-Ausschusses so ausgestaltet werden, dass alle hierdurch betroffenen Akteure die IT-Sicherheitsanforderungen in allen Phasen des Produkt- oder Dienstlebenszyklus umsetzen. Eine umfassende Auseinandersetzung mit europaweiten Fragen der Cybersicherheit setzt darüber hinaus die Bestimmung von Anforderungen im Umgang mit Backdoors in IKT-Produkten und -Diensten voraus. Der IMCO-Ausschuss hat im Vergleich zum ursprünglichen Kommissionsentwurf zahlreiche Änderungsvorschläge der EU Cybersecurity-Verordnung hervorgebracht, worunter sich auch verschiedene interessante und neuartige Ansätze finden. Auf Bitten von TeleTrusT hat Dr. Dennis Kipker die IMCO-Stellungnahme einer Betrachtung unterzogen.

Thema IT-Sicherheit im Koalitionsvertrag 2018: TeleTrusT - Bundesverband IT-Sicherheit e.V. sieht gute Ansätze, aber auch Widersprüche

12.02.2018

TeleTrusT-Stellungnahme

Der Bundesverband IT-Sicherheit e.V. (TeleTrusT) begrüßt einzelne Inhalte des Koalitionsvertrages 2018, soweit sie sich auf den Themenkreis IT-Sicherheit beziehen. Insbesondere greift der Vertragsentwurf die TeleTrusT-Forderung nach Entwicklung einer übergreifenden Cybersicherheitsstrategie auf ("Cyberpakt"). Gleichwohl bleiben Inkonsistenzen.

TeleTrusT begrüßt ausdrücklich die Aussagen des Koalitionsvertrages zu Innovation, digitaler Souveränität und Interdisziplinarität sowie zur Stärkung der IT-Sicherheitsforschung insbesondere auf den Gebieten Blockchain und Quantencomputing (Kapitel IV "Offensive für Bildung, Forschung und Digitalisierung"; Unterkapitel "Digitalisierung").

Begrüßenswert ist ebenso die Absicht, das Produktsicherheitsrecht zu novellieren und für verbrauchernahe Produkte die IT-Sicherheit u.a. durch die Einführung einer "gewährleistungsähnlichen Herstellerhaftung" zu erhöhen. Ferner wollen Union und SPD die Verbreitung sicherer Produkte und das Prinzip "Security by Design" fördern. Letzteres bedeutet, dass bei der Entwicklung von Hard- und Software schon von Beginn an darauf geachtet wird, dass Systeme frei von Schwachstellen und so gegen Cybertattacken geschützt sind und nicht erst am Ende der Entwicklungskette. Das entspricht früheren TeleTrusT-Forderungen. Zudem soll ein Gütesiegel für IT-Sicherheit auf Produkten mehr Transparenz für Verbraucher schaffen.

Positiv zu bewerten ist das Vorhaben, die Rolle des Bundesamtes für die Sicherheit in der Informationstechnik im Verbraucherschutz zu stärken und Unternehmen zur Offenlegung und zur Beseitigung von Sicherheitslücken zu verpflichten. Zu begrüßen ist auch die Zielsetzung, "Ende-zu-Ende-Verschlüsselung für jedermann verfügbar" zu machen und es Bürgerinnen und Bürgern zu ermöglichen, "verschlüsselt mit der Verwaltung über gängige Standards zu kommunizieren". Dieser sinnvolle Ansatz wird allerdings nicht konsequent durchgehalten und teils konterkariert, denn weder ist ein Verbot für staatliche Stellen, Zero Day Exploits anzukaufen, noch eine ausdrückliche Verpflichtung dieser Stellen, derartige Sicherheitslücken bekanntzumachen, beabsichtigt. Stattdessen heißt es: "Es darf für die Befugnisse der Polizei zu Eingriffen in das Fernmeldegeheimnis zum Schutz der Bevölkerung keinen Unterschied machen, ob die Nutzer sich zur Kommunikation der klassischen Telefonie oder klassischer SMS bedienen oder ob sie auf internetbasierte Messenger-Dienste ausweichen." Dies kann nur so verstanden werden, dass die Sicherheitsbehörden entweder die Möglichkeit haben sollen, auch verschlüsselte Kommunikation mitzulesen oder diese Kommunikation unter Ausnutzung von Sicherheitslücken mit Hilfe der Quellen-TKÜ in unverschlüsselter Form mitzulesen. Mit der Zielsetzung, die IT-Sicherheit insgesamt zu verbessern, passt keine der beiden Varianten zusammen.