Skip to main content
Meldung

Cyber-Sicherheitsstrategie: GI fordert Stärkung des Schutzes der Nutzerinnen und Nutzer

Die 2016 verabschiedete Cyber-Sicherheitsstrategie (CSS) der Bundesregierung soll modernisiert werden. Auch die Gesellschaft für Informatik e.V. (GI) wurde in die Verbände-Konsultation zur Neuauflage eingebunden und setzt sich für eine konsequente Weiterentwicklung und eine systematische Stärkung der Nutzerinnen und Nutzer ein.

Die Cyber-Sicherheitsstrategie 2016 bildet den ressortübergreifenden strategischen Rahmen für die Aktivitäten der Bundesregierung im Bereich der Cyber-und IT-Sicherheit. Ihr Ziel ist es, dass Bürgerinnen und Bürger sicher, frei und selbstbestimmt mit digitalen Technologien interagieren können. In diesem Jahr steht das Strategie-Papier vor einer Neuauflage. Im Rahmen der Verbände-Konsultation hat auch die Gesellschaft für Informatik ihre Anregungen in einer Stellungnahme zusammengefasst und fordert ein konsequentes Update der Cyber-Sicherheitsstrategie beispielsweise durch den Verzicht auf Zero Day Exploits oder einen stärkeren Fokus auf den Verbraucherschutz und das konsequente Schließen von Sicherheitslücken.

Alexander von Gernler, Vizepräsident der Gesellschaft für Informatik: „Wir beobachten ein immer stärkeres Ausgeliefertsein der Anwenderinnen und Anwender gegenüber großen Digitalkonzernen, mehr oder weniger abstrakten Bedrohungszenarien sowie der wachsenden technischen Komplexität von IT-Systemen. Gerade deswegen ist die konsequente Fortentwicklung der Cyber-Sicherheitsstrategie zentral. Denn sie liefert eine Orientierung für die strategische Ausrichtung der Bundesrepublik in einer zunehmend digitalisierten Welt und einer immer komplexer werdenden Bedrohungslage im Cyberraum.“

Wesentliche Anregungen seitens der Gesellschaft für Informatik sind unter anderem:

  • Der Ansatz „Sicherheit trotz Verschlüsselung“, der meint, dass Sicherheitsbehörden existierende Sicherheitslücken ("Zero Day Exploits“) ausnutzen, um Verdächtige zu überwachen, sollte auf keinen Fall weiterverfolgt werden. Da eben diese Sicherheitslücken auch von Kriminellen und außerstaatlichen Akteuren ausgenutzt werden können stellen sie eine enorme Bedrohung für die Sicherheit und Privatsphäre von Bürgerinnen und Bürgern dar.
  • Zukünftig sollte nicht mehr die Anzahl erfolgter Cyber-Angriffe als Orientierung für eine Cyber-Bedrohungslage dienen. Da weiterhin Unklarheit darüber herrscht, ab welchen Anzeichen überhaupt von einem erfolgten Cyber-Angriff gesprochen werden kann, kommen, je nach Zählweise, sehr unterschiedliche Zahlen zu Stande, die in Konsequenz nicht mehr miteinander vergleichbar sind. Stattdessen sollte der Fokus der Bemühungen auf das Schließen von Sicherheitslücken in Software und Hardware gesetzt werden. Denn Cyber-Angriffe können generell nur erfolgreich sein, wenn sie einen Angriffspunkt, also eine Sicherheitslücke, ausnutzen. Das Schließen von Sicherheitslücken sollte daher oberste Priorität in der CSS erhalten. Methoden zu ihrer Identifizierung sind in der etablierten Norm ISO 27034 genannt.
  • Die Strategie sollte stärker als bisher das Thema Verbraucherschutz adressieren, insbesondere in Bezug auf das Internet der Dinge (Internet of Things, IoT). Die Frage fehlender Update-Fähigkeit von IoT-Produkten stellt ein wachsendes Problem der IT-Sicherheit und des Datenschutzes dar. Darüber hinaus resultiert die fehlende Update-Fähigkeit von IoT-Geräten auch in einem Nachhaltigkeits- und Umweltproblem, da Geräte häufiger als nötig ausgetauscht und weggeworfen werden müssen.
  • Die Verbreitung von Falschmeldungen wird in der Cybersicherheitsstrategie von 2016 noch primär gekaperten IT-Systemen zugeschrieben. Die Berichterstattung der jüngeren Zeit legt aber sehr deutlich nahe, dass zur Verbreitung von Propaganda und Desinformation viel weniger gekaperte IT-Systeme benutzt werden, sondern eine gezielte Nutzung von Social-Media-Kanäle vorliegt. Das Problem ist also inzwischen auf einer höheren Abstraktionsniveau zu bearbeiten. Diesem Umstand sollte bei einer Neufassung der Strategie Rechnung getragen werden.