Hadmut Danisch

Ansichten eines Informatikers

Tatütata: Feuerwehr statt Brandschutz

Hadmut
10.7.2016 22:49

Ahh, wieder mal die Bundesregierung und das Internet.

Da sind schon wieder Experten am Werk. Thomas de Mazière und sein Bundesinnenministerium planen jetzt, was sie gegen böse Angreifer im Netz machen können.

“Cybersicherheitsstrategie für Deutschland 2016”

Na, da kann ja nichts mehr schief gehen.

Entstehen soll eine größere und fast militärische Struktur aus verschiedenen Behörden, die nicht nur beraten, sondern zum ersten Mal auch schnell handeln können. Das Bundesamt für Sicherheit in der Informationstechnik, das bislang nahezu alleine kämpft, wenn es um digitale Sicherheit geht, wäre nach diesen Plänen nur noch eine von mehreren Säulen der staatlichen Cybersicherheit. Gleich drei Eingreiftruppen sollen entstehen, verschiedene Gremien und Behörden ausgebaut, Polizei, Bundeswehr, Regierung und Wirtschaft stärker miteinander vernetzt werden.

Den Pfarrer, den Veterinär und die Avon-Beraterin haben sie noch vergessen.

Auf 33 Seiten beschreibt der Plan die neue Cyberstrategie. Ihr Kern: Das BSI und das Cyberabwehrzentrum des Bundes in Bonn werden stark ausgebaut. Außerdem soll eine weitere Institution gegründet werden, um sofort auf eventuelle Angriffe reagieren zu können: ein Computer Emergency Response Team (CERT) – Fachleute, die möglichst schnell Probleme analysieren und bei der Lösung helfen können.

Ja, wär nicht schlecht. Aber die Feuerwher und das CERT kommen halt auch immer erst dann, wenn es schon brennt. Und dann ist es zu spät, dann ist nämlich der Angreifer schon drin und das CERT muss erst verstehen, was vorgeht.

Der Plan des Innenministeriums sieht außerdem vor, dass drei Behörden jeweils eine digitale Eingreiftruppe aufbauen, die jederzeit ausrücken kann. Wie der Angriff auf den Bundestag gezeigt hat, ist das die bisher größte Schwäche: Keine Sicherheitsbehörde hat Mitarbeiter, die sie schnell irgendwohin schicken kann, um Rechner zu analysieren und Hacker zu jagen.

Alles so „schnelle Eingreiftruppen”. Irgendwie sind die sich über das Timing nicht im klaren, dass im digitalen Bereich der Angreifer längst die Bude ausgeräumt hat, bis die da sind. Irgendwie hängen die da alle noch in so einer militärischen Vorstellung fest.

Im BSI soll dieses Team Mobile Incident Response Team (MIRT) heißen. Seine Aufgabe soll es sein, kritische Infrastrukturen zu reparieren. Die Eingreiftruppe des Verfassungsschutzes firmiert bislang unter “Cyber-Team”. Sie soll anrücken, wenn Geheimdienste oder Terroristen angreifen. Die Einheit des BKA, Quick Reaction Force genannt, soll Strafverfolger unterstützen und als digitale Polizei bei kriminellen Angriffen Daten sicherstellen.

Jo. Fehlen noch IP-Pakete mit Blaulicht oben drauf.

Auch bei anderen Punkten bleibt das Konzept im Ungefähren. So wird gefordert, das Strafrecht auszubauen. Neue Taten bräuchten neue Gesetze und neue Befugnisse für die Sicherheitsbehörden, schreibt das Innenministerium. Der Katalog der Straftaten, bei denen der Paragraf 100 a der Strafprozessordnung greife, müsse erweitert werden. Paragraf 100 a regelt, wann die Telekommunikation überwacht, wann Telefone abgehört, wann E-Mails mitgelesen werden dürfen. Die Cyberstrategie sagt dazu lediglich, es müssten jene Straftaten berücksichtigt werden, “die online und konspirativ verübt werden”.

Was genau damit gemeint ist, wissen nicht einmal Strafrechtsexperten. “Angesichts der vagen Formulierungen ist schwer zu bestimmen, welche konkreten Ziele die Bundesregierung verfolgt”, sagt Tobias Singelnstein, Professor für Strafrecht und Strafverfahrensrecht an der Freien Universität Berlin. Er warnt, dass der Paragraf 100 a nur bei schweren Straftaten zum Einsatz kommen dürfe. Im Übrigen sei Cyberkriminalität gut durch bestehende Gesetze erfasst.

Ja, wenn der Angreifer zufällig in Deutschland sitzt…

Im Innenministerium soll außerdem eine zentrale Stelle entstehen, die Cyberwaffen beschafft und entwickelt. So zumindest kann die unscharfe Formulierung verstanden werden, nach der diese Stelle “technische Unterstützung für nationale Sicherheitsbehörden im Hinblick auf deren operative Cyberfähigkeiten” leisten soll.

Dafür würde sprechen, dass die staatliche Abwehr die gleichen Werkzeuge nutzen muss, die auch Angreifer verwenden.

Jo, einfach zurückhacken. Hahaha.

Wisst Ihr, was mir da fehlt? Eine Sicherheitsstrategie. Sowas wie Brandschutz. Vorbeugung. Ordentliche Betriebssyteme. Ordentliche Protokolle. Nicht jeden Scheiß ins Internet hängen. Nur gerade das wollen sie wohl nicht so:

Gleichzeitig plant das Ministerium jedoch abseits der hier formulierten Strategie, eine weitere Behörde aufzubauen. Deren einziges Ziel: Verschlüsselte Daten zu knacken, damit Dienste und Behörden sie trotzdem lesen können. Bis 2020 sollen 400 Mitarbeiter bei dieser Zentralen Stelle für Informationstechnik im Sicherheitsbereich (Zitis) arbeiten.

Die Cybersicherheitsstrategie erwähnt den Zitis-Plan nirgendwo, aber sie fasst diese beiden, sich widersprechenden Forderungen in einem Satz zusammen: “Die deutsche Kryptostrategie umfasst Sicherheit durch Verschlüsselung und Sicherheit trotz Verschlüsselung.”

Sicherheit durch Verschlüsselung und Sicherheit trotz Verschlüsselung.

Jo, das is ja mal ein Ansatz. Wasch mich, aber mach mich nicht nass. Gleichzeitig Männlein und Weiblein.

“Kryptierung von Kommunikation ist eine der Grundvoraussetzungen für die Digitalisierung”, sagt Martin Schallbruch. Er war viele Jahre lang IT-Direktor im Innenministerium und dort zuständig für digitale Sicherheit. Verschlüsselung dürfe weder durch Hintertüren noch durch unsichere Algorithmen angebohrt werden. Natürlich müssten Sicherheitsbehörden auch im digitalen Raum ermitteln und dazu technisch aufrüsten, sagt Schallbruch. “Es ist jedoch nicht ratsam, Verschlüsselung abzuschwächen. Das würde unserer gesamten digitalen Gesellschaft auf die Füße fallen.”

Ja. Genau an dem Punkt waren wir 1997 schon mal.

Wie überhaupt der ganze Plan an einem Problem krankt: Es gibt in Deutschland gar nicht genug Fachleute, um all die gewünschten Gremien zu besetzen. Sie auszubilden, wird Jahre dauern. Vielleicht steht in dem Cyberkonzept deshalb auch keine Jahreszahl, bis wann eines der genannten Ziele erreicht sein soll.

Na, wunderbar.

Erst macht man die Kryptologen kaputt und besetzt die Professoren mit ahnungslosen Quotentussis, und jetzt suchen sie sie…

Das wird nichts.