verification Schloss Sicherheit Hände Data Security system Shield Protection
© Rawpixel.com / shutterstock.com
SERIE: Sicherheit 4.0

„Zur Mithilfe verpflichtet“

Maßnahmen für eine schlagkräftigere Cyber-Abwehr, Teil 2: Gesetzliche Rahmenbedingungen für IT- und Plattform-Anbieter

Durch „einen der größten Hackerangriffe der deutschen Geschichte“ Anfang 2019 hat die Frage nach Maßnahmen für eine schlagkräftigere Cyber-Abwehr neue Bedeutung bekommen. Neben Aufgabenspektrum und Struktur der Sicherheitsbehörden einerseits sowie Strafrechtslücken und Strafmaßverschärfungen andererseits wurden auch hinsichtlich der gesetzlichen Rahmenbedingungen für IT- und Plattform-Anbieter Konsequenzen diskutiert und angekündigt.

Gesetzesvorgaben für Anbieter

»

Internetkonzerne müssen im Fall von Hacker-angriffen klar zur Mithilfe verpflichtet werden

«

Betreiber sozialer Plattformen müssten sich „stärker ihrer Verantwortung bewusst werden und sich dieser stellen“, lautete eine der zentralen Forderung nach der Hackerattacke. Damit ging die Auffassung einher, dass man den Digitalkonzernen mehr zumuten könne, weil es schon lange technische Möglichkeiten gebe, viele der angewandten Leaking-Instrumente einzuschränken. Dorothee Bär, Staatsministerin im Bundeskanzleramt und Beauftragte der Bundesregierung für Digitalisierung, betonte die Notwendigkeit zu prüfen, ob „Software-Hersteller und Plattformen stärker in die Pflicht genommen werden müssen, um zu mehr Datensicherheit beizutragen“. Der Bundesdatenschutzbeauftragte Ulrich Kelber ging noch einen Schritt weiter: „Internetkonzerne müssen im Fall von Hackerangriffen klar zur Mithilfe verpflichtet werden“.

Erreichbarkeit der Anbieter

»

Betroffene brauchen schnell direkte Ansprechpartner

«

Dies beginnt bei einer schnellen und direkten Erreichbarkeit der Anbieter. Der Bundesdatenschutzbeauftragte Ulrich Kelber wurde zitiert, dass es auch für die Verantwortlichen keine Kontakttelefonnummer von Twitter in Deutschland gebe, sondern man immer über Irland gehen müsse – und dass Twitter nach dem Hackerangriff nicht schnell genug zu erreichen war. Auch Bürger fänden keinen Kontakt – doch Betroffene, erst recht, wenn sie große Accounts betreiben, brauchen schnell direkte Ansprechpartner für den Fall, dass ihre Konten gekapert wurden.

Kontosperrung und Datenlöschung

»

Würden Internet-Plattformen schneller reagieren, könnte das Ausmaß von Doxxing-Fällen zumindest begrenzt werden

«

Das seit 1. Januar geltende Netzwerkdurchsetzungsgesetz verlangt von Online-Plattformen wie Twitter, dass sie klar erkennbar strafbare Inhalte nach einem Hinweis binnen 24 Stunden löschen müssen; in weniger eindeutigen Fällen haben Sie dafür eine Woche Zeit. Würden Internet-Plattformen schneller reagieren, könnte das Ausmaß von Doxxing-Fällen zumindest begrenzt werden, wenn die entsprechenden Konten umgehend gesperrt würden. Dem Bundesdatenschutzbeauftragten Ulrich Kelber zufolge wäre es wichtig gewesen, sofort die betroffenen Links abzuschalten: „Dann wäre die Verbreitung der Daten extrem verlangsamt worden.“ Bundesjustizministerin Katharina Barley forderte: „Die Plattformen müssen die Accounts, über die Hacks verbreitet werden, sofort sperren“ und kündigte eine Prüfung an, wie die Plattformen stärker in die Pflicht genommen werden könnten. Weitere Forderungen aus der Politik zielten darauf ab, die Durchsetzbarkeit von Persönlichkeitsrechten im Netz auf den Prüfstand zu stellen – denn bisher könnten die Ermittler die Betreiber von Plattformen nur bitten, Daten zu löschen, es müsse aber eine Verpflichtung geben.

Rückgabe gekaperter Accounts

»

vier Wochen, bis er die Kontrolle über sein E-Mail-Konto wiedererlangt hatte

«

Auch die schnellere Rückgabe gekaperter Accounts wurde angesichts der Tatsache zum Thema, dass ein Bundestagsabgeordneter, der schon im März 2018 Opfer einer Attacke auf sein Facebook-, Twitter-, Amazon- und privates E-Mail-Konto wurde, vier Wochen gebraucht hat, bis er die Kontrolle darüber wiedererlangt hatte. Bundesjustizministerin Katharina Barley machte deutlich: „Wenn Accounts von Hackern gekapert werden, müssen ihre Inhaber sie schnellstens zurückerlangen können.“

Verpflichtende Sicherheitsstandards

»

wenn Anbieter sich weigern, auf freiwilliger Basis Sicherheits- mechanismen zu schaffen, müssen entsprechende Verpflichtungen nachhelfen

«

Bundesjustizministerin Katharina Barley machte weiterhin deutlich, dass Softwarehersteller und Plattformbetreiber hohe Sicherheitsstandards und regelmäßige Updates gewährleisten müssten. Konkreter war aus der Politik zu hören, dass die Anbieter ihre Sicherheitsvorgaben drastisch hochschrauben müssten, dass die Zwei-Faktor-Authentifizierung ebenso zum verpflichtenden Standard werden müsse wie Mindeststandards für sichere Passwörter, dass eine verschlüsselte E-Mail-Kommunikation auch mit sozialen Medien wie Facebook und Twitter möglich sein sollte, um Schwächen bei der Re-Identifizierung und Passwort-Rücksetzung zu beheben. Und dass dann, wenn Anbieter sich weigern würden, auf freiwilliger Basis solche Sicherheitsmechanismen zu schaffen, entsprechende Verpflichtungen nachhelfen müssten.

Musterklage gegen Twitter und Facebook

»

Internetanbieter bei Hackerangriffen auf ihre Nutzer haftbar machen

«

Daran schließt sich die Frage nach den Konsequenzen an, wenn nach einer Hackerattacke der Eindruck entsteht, dass ein Anbieter nicht alles in seiner Macht Stehende getan hat, um die entstandenen Schäden zu verhindern. Bundesjustizministerin Katarina Barley hat das erst im November 2018 geschaffene Instrument der Musterklage gegen Twitter und Facebook ins Gespräch gebracht, um dies überprüfen zu lassen: „Sollten im Zusammenhang mit dem Datenleak Haftungsansprüche gegen Unternehmen bestehen, könnten betroffene Verbraucher sie gemeinsam im Rahmen einer Musterfeststellungsklage geltend machen“. Auf diese Weise könnten Internetanbieter bei Hackerangriffen auf ihre Nutzer bzw. für Schäden, die durch Inhalte auf ihren Plattformen entstanden sind, haftbar gemacht werden.

Gütesiegel für IT-Sicherheit

»

IT-Sicherheit für Bürger sichtbar machen

«

Bereits im Koalitionsvertrag hieß es: „Zusammen mit der Wirtschaft sollen IT-Sicherheitsstandards für internetfähige Produkte entwickelt werden, deren Einhaltung mit einem europaweit gültigen Gütesiegel für IT-Sicherheit transparent gemacht werden soll.“ Dies hat sowohl Bundesjustizministerin Katarina Barley mit ihrer Forderung nach einem „europaweit gültigen IT-Sicherheitsgütesiegel, damit Nutzer vertrauenswürdige Angebote direkt erkennen können“ wieder aufgegriffen, als auch Bundesinnenminister Horst Seehofer, der ein einheitliches IT-Sicherheitskennzeichen ankündigte, das die IT-Sicherheit für Bürger sichtbar machen solle.

Frühwarnsystem gegen Datenabfluss

»

Frühwarn-mechanismus, der bereits die Veröffentlichung der ersten Daten anzeigt

«

Aus IT-Kreisen wurde festgestellt, dass beim aktuellen Hackerangriff eine Art Frühwarnmechanismus wünschenswert gewesen wäre, der bereits die Veröffentlichung der ersten Daten angezeigt hätte, und eine entsprechende Überarbeitung und Erweiterung des Netzwerkdurchsetzungsgesetzes gefordert. Dies hat Bundesinnenminister Horst Seehofer aufgegriffen und die Prüfung einer Früherkennung angekündigt, die Datenleaks der aktuellen Größenordnung besser erkennen und vor Datenabfluss schützen soll – etwa durch die Sperrung von Twitter-Accounts, die illegal Daten Dritter verbreiten. Er sprach von einem Frühwarnsystem, das möglicherweise entwickelt werden könne – und davon, dass er diesbezüglich auf „kreative und innovative“ Vorschläge der Behördenchefs setzt.

IT-Sicherheitsgesetz 2.0

»

Entwurf für zweites IT-Sicherheitsgesetz bereits im ersten Halbjahr 2019

«

Bundesinnenminister Horst Seehofer kündigte bereits für das erste Halbjahr 2019 an, den Entwurf für ein zweites IT-Sicherheitsgesetz im Bundeskabinett vorzulegen, das als „IT-Sicherheitsgesetz 2.0“ bezeichnet wird. Auch dies war bereits im Koalitionsvertrag vorgesehen. Es soll unter anderem Regelungen zur Zertifizierung der Gerätesicherheit etwa von Routern enthalten, Providern zusätzliche Informationspflichten gegenüber ihren Kunden auferlegen oder dem BSI in besonderen Gefahrenlagen ein Weisungsrecht gegenüber Wirtschaftsunternehmen verleihen.

SERIE: Sicherheit 4.0

„Straftatbestand Digitaler Hausfriedensbruch erforderlich“

Maßnahmen für eine schlagkräftigere Cyber-Abwehr, Teil 3: Strafrechtslücken und Strafmaßverschärfungen

SERIE: Sicherheit 4.0

„Zur Mithilfe verpflichtet“

Maßnahmen für eine schlagkräftigere Cyber-Abwehr, Teil 2: Gesetzliche Rahmenbedingungen für IT- und Plattform-Anbieter

SERIE: Sicherheit 4.0

„Digital Streife fahren“

Maßnahmen für eine schlagkräftigere Cyber-Abwehr, Teil 1: Aufgabenspektrum und Struktur der Sicherheitsbehörden

SERIE: Sicherheit 4.0

Mehr als übliche Bewältigungsrhetorik und stereotype Antworten?

Hackerangriff auf Politik und Medien, Teil 5: Konsequenzen

SERIE: Sicherheit 4.0

„Vollkommen inakzeptabel“ oder eine Frage der Aufgabenstellung?

Hackerangriff auf Politik und Medien, Teil 4: Kritik

SERIE: Sicherheit 4.0

Handlungsleitfaden Informationssicherheit

Für die kommunale Praxis: IT-Dienstleister ITEOS kooperiert mit Studenten

SERIE: Sicherheit 4.0

Generalprobe für die Bedrohungen des 21. Jahrhunderts

Hackerangriff auf Politik und Medien, Teil 3: Motivation des Täters und Einordnung der Tat

SERIE: Sicherheit 4.0

Ermittlungserfolg oder Selbstentlarvung?

Hackerangriff auf Politik und Medien, Teil 2: Die Ermittlungen, der Täter und seine Vorgehensweise

SERIE: Sicherheit 4.0

Ein Hacker, der als Gott im Orbit schwebte

Hackerangriff auf Politik und Medien, Teil 1: Die Tat und ihre Folgen

SERIE: Sicherheit 4.0

Technologie als Treiber der Sicherheitspolitik

Teil 1: Überwachung

Wir erwarten, dass zu vielen Themen unseres Journals bei Ihnen der Wunsch besteht, sich auszutauschen. Daher planen wir eine Kommentarfunktion für unsere registrierten Leser.