Pressemitteilung

GI kritisiert BSI-Gesetzentwurf: Tiefgreifende Schwachstellen müssen beseitigt werden

Das Bundeskabinett hat den Entwurf des Bundesministers des Innern eines Ersten Gesetzes zur Änderung des BSI-Errichtungsgesetzes und anderer Gesetze am 14. Januar 2009 verabschiedet. Die GI sieht gegenüber den im Jahre 2008 mehrfach überarbeiteten Entwürfen erhebliche Fortschritte und erkennt auch die Umsetzung einiger - im Rahmen des Gesetzgebungsprozesses bereits vorgetragener - Hinweise an; allerdings existieren noch die beiden folgenden erheblichen Sicherheitslücken, die aus der Sicht der Gesellschaft für Informatik e.V. (GI) im Gesetzgebungsverfahren beseitigt werden müssen:

1. Überwachung der gesamten Sprach- und Datenkommunikation und Verletzung des Fernemeldegeheimnisses 

Der Gesetzentwurf sieht in § 5 die ständige verdachtslose und sogar anlasslose (!) vollständige Überwachung (Verbindungsdaten und Inhalte) der gesamten Sprach- und Datenkommunikation aller Unternehmen und Bürger vor, die mit Bundesbehörden kommunizieren! Begründet wird dies mit der Inhomogenität der IT-Systeme der Bundesverwaltung; offensichtlich ist es in den vergangenen Jahren nicht gelungen, die IT-Systeme der Bundesverwaltung einheitlich zu gestalten. Nun soll dies mit dem völlig untauglichen Mittel der vollständigen Überwachung erreicht werden. Die vollständige Überwachung jeglicher Kommunikation mit der Bundesverwaltung ist eine untaugliche Sicherheitsmaßnahme. Die hier vorgesehene Überwachung schafft den Überwachungsstaat. 

-> Die GI fordert die grundgesetzlich gewährleistete freie und unkontrollierte Kommunikation aller Bürger mit der Bundesverwaltung.

§ 11 des Entwurfs verweist auf Eingriffe in das Fernmeldegeheimnis, die durch Maßnahmen nach § 5 erfolgen können. § 5 enthält zwar eine Stufenregelung hinsichtlich der Verarbeitung personenbezogener Daten, die am Verhältnismäßigkeitsprinzip orientiert ist und berücksichtigt auch einen nachträglichen Kernbereichsschutz. Hinsichtlich der Kontrolle des Grundrechtseingriffs besteht jedoch nur eine nachträgliche Kontrolle durch den Bundesbeauftragten für Datenschutz und Informationsfreiheit nach § 24 BDSG. Dies entspricht nicht den der grundgesetzlichen präventiven Kontrolle von Eingriffen in die Fernmeldefreiheit durch einen Richtervorbehalt oder eine Überprüfung durch ein Kontrollgremium . 

-> Wenn der Gesetzgeber gleichwohl der Meinung sein sollte, eine vollständige Überwachung der Bürger bei der Kommunikation mit ihrer Bundesverwaltung ist notwendig, so ist mindestens eine Kontrolle aller personenbezogener Überwachungsmaßnahmen durch einen Richtervorbehalt unverzichtbar. 

2. Geheimhaltung von Sicherheitslücken in IT-Programmen und -Systemen
In § 7 wird es in das nicht näher spezifizierte Ermessen des BSI gestellt ("kann"), Erkenntnisse über Schadprogramme und Sicherheitslücken an die Betroffenen weiterzugeben und die Öffentlichkeit zu warnen. Da durch neue Schadprogramme und unveröffentlichte Sicherheitslücken - nachweislich und der Bundesregierung bekannt - sehr große Schäden entstehen (können), muss vor dem Hintergrund der durch die im BKA-Gesetz vorgesehene Online-Durchsuchung induzierte Interessenkollision im Dienstbereich des Innenministeriums, dem BSI und BKA unterstehen,eine Pflicht zur Benachrichtigung und Warnung formuliert werden. Anderenfalls ist die Sicherheit der Bundesrepublik Deutschland gefährdet

-> Die Bundesregierung muss alle ihr bekannt gewordene Sicherheitslücken und diese ausnutzende Schadprogramme unverzüglich veröffentlichen. 

Die Gesellschaft für Informatik fordert eine ausführliche gesellschaftliche Diskussion mit Verbänden und Bürgern sowie eine öffentliche Anhörung im Gesetzgebungsverfahren über die geplanten Überwachungsmaßnahmen und die (bisher fehlenden) Informationspflichten des Gesetzes. 

Weitere Anmerkungen zum Gesetzentwurf 

§ 2 b) (5) Schadprogramme
Den formulierten Zweck erfüllen (fast) alle Programme wie z.B. Betriebssysteme, Datenbanksoftware, Anwendungssoftware wie Bürosoftware etc. etc. Schadprogramme können nur an Sicherheitslücken ansetzen und Schaden anrichten - ohne Sicherheitslücken sind sog. Schadprogramme wirkungslos. 

§ 2 b) (6) Sicherheitslücken
Sicherheitslücken stellen (naturgemäß) keine Eigenschaft von Programmen dar, Sicherheitslücken sind vielmehr Fehler in Programmen.
Sicherheitslücken ermöglichen nicht nur den Zugriff auf "fremde" IT-Systeme, sondern auch auf behördeneigene Systeme.
An dieser Stelle fehlt ein Hinweis auf mögliche Fehlkonfigurationen von IT-Systemen, die - ähnlich wie Sicherheitslücken - unberechtigte Zugriffe auf IT-Systeme des Bundes erlauben.

§ 2 b) (8) Protokolldaten
Protokolldaten können nicht nur auf Servern gespeichert werden sondern auch auf Clients.

§  3 (1) 15. Kritische Infrastrukturen
Im Gesetz wird nicht ausgeführt, wie Krisen früh erkannt werden sollen und wie reagiert werden soll. Es muss daher davon ausgegangen werden, dass das BSI - wie zur Erkennung von Schadprogrammen und Sicherheitslücken auch - zur Früherkennung jegliche Kommunikation in der Bundesrepublik vollständig überwachen soll; der Gesetzestext lässt dies zu. In der Begründung wird dagegen ausschließlich von Aufbau- und Koordinierungsaufgaben des BSI gesprochen. 

§ 5 (1)
Die hier geforderte "sofortige und spurenlose Löschung" ist bekanntlich technisch nicht möglich.
Zum Löschen stellt sich weiterhin die Frage, worin sich diese Forderung vom "unverzüglichen Löschen" in § 5 Ziff. 6 und § 6 unterscheidet.

§ 5 (3)
Ein Löschen personenbezogener Daten ist dann nicht erforderlich, wenn sich aus ihnen Hinweise auf ein Schadprogramm ergeben können. Daraus folgt das Recht auf jahrelange Speicherung personenbezogener Daten, weil z.B. in den Nutzungsdaten enthaltenen Less-Than-Zero-Day-Exploits erst nach Jahren bekannt werden können.
Diese Ziffer lässt auch die nicht-automatisierte Auswertung von Protokoll- und Nutzungsdaten zu. Daraus dürfte ein erheblicher Personalbedarf erwachsen.
Hinsichtlich der Erkennbarkeit von Schadprogrammen wird (unbegründet!) "von einem zeitlichen Verzug von mehreren Tagen oder Wochen (abhängig von deren Verbreitung)" ausgegangen sowie ausgeführt "Derzeit liegen zwischen dem Auftreten eines neuen Schadprogramms und deren Erkennbarkeit im Rahmen der Maßnahmen nach Absatz 1 in der Regel etwa 3 Monate." Offensichtlich sind hier andere Schadprogramme als Viren, Würmer und Trojanische Pferde gemeint, die binnen weniger Stunden mit einschlägigen kommerziell erhältlichen Produkten erkannt werden. Gemeint sein könnten hier nur die sog. Less-Than-Zero-Day Exploits. 
In der Begründung wird darauf hingewiesen, dass bei einem konkreten Verdacht auf das Vorliegen eines Schadprogramms auf eine Weiterleitung (der Nachricht) an den ursprünglichen Adressaten verzichtet werden kann.

§ 6 (7)
Begrüßenswert erscheint die gesetzliche Forderung nach einem Datenschutzkonzept für die o.g. Verarbeitung personenbezogener Daten - allerdings muss hier gefordert werden, es nicht nur "bereit zu halten", sondern es vor Verarbeitung personenbezogener Daten vom Bundesbeauftragten für den Datenschutz und die Informationsfreiheit genehmigen zu lassen.

3. Artikel 3: Änderung des Telemediengesetzes
Angesichts der aktuellen und auch zukünftig zu erwartenden Unsicherheit des Internet stellt der Text ein vorbehaltsloses Recht zur Überwachung von Nutzungsdaten der Sprach- und Datenkommunikation aller Kunden/Benutzer wie Unternehmen und Bürger dar. 

4. Zur Begründung
In B. Besonderer Teil, zu Artikel 1, Absatz 3 werden Geräte angesprochen, bei denen "Sicherheitslücken in der Regel keine Auswirkungen auf die Sicherheit der übrigen Informationstechnik" haben. Derartige Geräte dürften kaum existieren.
Der missverständliche Begriff "Bypass-Anschluss" sollte durch den Begriff 'Direktanschluss' ersetzt werden.
Ein Unterscheidung zwischen beabsichtigten und "unbeabsichtigten" Sicherheitslücken dürfte auch dem BMI technisch, organisatorisch und personell nicht möglich sein - genauso wie die zwischen "normalen" und anderen Programmen. 

Bei Veröffentlichung Beleg erbeten. Vielen Dank!

20. Januar 2009, Cornelia Winter, Tel. 0228/302-147 

Gesellschaft für Informatik e.V. (GI)
Ahrstr. 45
53175 Bonn
Tel 0228/302-145 (Geschäftsstelle)
Fax 0228/302-167

Für weitere Fragen stehen wir Ihnen gerne unter Kontakt zur Verfügung.

Wenn Sie unsere Pressemeldungen regelmäßig erhalten möchten, tragen Sie sich bitte in den GI-Presseverteiler ein: E-Mail

Bitte geben Sie Ihren Namen und Redaktion an.