zurück zum Artikel

Der Gesetzesvorstoß des Bundesinnenministeriums zum IT-Sicherheitsgesetz löst kein Problem, sondern schafft neue

Eigentlich ist es eine vernünftige Idee, IT-Sicherheit nicht den Cyberkriegern zu überlassen, sondern gegen Manipulationen an IT-Systemen mit rechtstaatlichen Mitteln und zivilen Behörden vorzugehen. Etwas komplizierter es ist, diese Idee praktisch umzusetzen oder am Ende sogar wirkungsvoll auszugestalten. Das geplante IT-Sicherheitsgesetz könnte hier positive Impulse setzen und den IT-Sicherheitsverantwortlichen rechtliche und praktische Hilfen geben. Besserung ist aber leider nicht in Sicht.

Kaum einem Internetsurfer muss man heute noch die Folgen von Viren, Würmern und Trojanern erklären und welche anderen Gefährdungen der IT-Sicherheit es noch gibt, auch wenn es oft an der praktischen Umsetzung dieses Wissens hapert. Cyberkrieger aus China und andere Bedrohungsszenarien sind die aktuellen Beispiele, um einer diffusen Gefahr eine konkrete Gestalt zu geben.

Die Voraussetzungen sind daher günstig, bessere IT-Sicherheit zumindest bei den Betreibern von kritischen Infrastrukturen zum Gegenstand eines "Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme"1 [1] zu machen. Für kritische IT-Infrastrukturen "in den Sektoren Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie Finanz- und Versicherungswesen" sollen deren Betreiber - dem Anfang März verschickten Gesetzesentwurf zufolge - dazu verpflichtet werden, "Maßnahmen zum Schutz derjenigen informationstechnischen Systeme, Komponenten oder Prozesse zu treffen, die für die Funktionsfähigkeit der von ihnen betriebenen kritischen Infrastrukturen maßgeblich sind" und dem "Stand der Technik" entsprechen. Sicherheitsaudits sollen die Wirkung der Maßnahmen validieren. Telekommunikationsunternehmen werden in ähnlicher Weise zu höheren Sicherheitsstandards verpflichtet.

Damit wird der als Schutzniveau für IT-Technologie in §9 des Bundesdatenschutzgesetzes seit Jahren vorgeschriebene "Stand der Technik", der bisher für alle Betreiber verpflichtend war, die personenbezogene Daten "erheben, verarbeiten oder nutzen", nahezu wortgleich ausgeweitet auf den Betrieb von Anlagen und Systemen.

IT-Sicherheitsvorfälle sollen dem Bundesamt für Sicherheit in der Informationstechnik (BSI) umgehend gemeldet werden, das daraus ein Lagebild zusammenstellt. Die Verfolgung von Computerkriminalität, die gegen "sicherheitsempfindliche Behörden oder Einrichtungen des Bundes" gerichtet ist, soll nach Artikel 2 des Gesetzentwurfs dem Bundeskriminalamt (BKA) übertragen werden.

Nachdem die in der Vergangenheit zur IT-Sicherheit bei kritischen Infrastrukturen eingerichteten amtlichen Arbeitskreise und Arbeitsgruppen bereits ihr 15-jähriges Dienstjubiläum feiern konnten, ohne über eine freiwillige Mitwirkung der Industrie hinaus gekommen zu sein, will die Bundesregierung nun mit gesetzlichen Vorschriften den Schutz kritischer Infrastrukturen gegen Manipulationen an IT-Systemen verbessern.

Bei genauerer Betrachtung lässt das geplante Gesetz aber die nachgerade unfassbare Absurdität der juristischen Seite der IT-Sicherheit in Deutschland in schönster Blüte erscheinen - leider jedoch ohne die geringste Aussicht auf Besserung.

Der lange Weg zum IT-Sicherheitsgesetz: 15 Jahre AG KRITIS

Die Idee hoher IT-Sicherheit beim Schutz kritischer Infrastrukturen ist weder neu noch eine Erfindung aus deutschen Amtsstuben. Auslöser war stattdessen eine Bestandsaufnahme der US-Regierung. Das Bundesinnenministerium (BMI) jedoch hielt eine vergleichbare Analyse der Lage in Deutschland zunächst für völlig überflüssig.

Der Spiegel berichtete [2] über die Hintergründe: "1997 hatte sich der bündnisgrüne Bundestagsabgeordnete Manuel Kiper in einer Anfrage erkundigt, ob Deutschland für den Infowar gerüstet sei" und dabei auch nach der IT-Sicherheitslage bei kritischen Infrastrukturen gefragt. Die Antwort der Bundesregierung [3] war eindeutig: Eine Bestandsaufnahme und ein dem amerikanischem Vorbild "entsprechendes Gremium besteht in Deutschland nicht und wird gegenwärtig nicht für erforderlich gehalten". Das Umdenken setzte allerdings sehr schnell ein: "Sechs Wochen später setzte der damalige Bundesinnenminister Manfred Kanther im Bundesamt für Sicherheit in der Informationstechnik (BSI) die Arbeitsgruppe Kritis ein" so der Spiegel damals weiter.

Seit 1997 versammelte die AG KRITIS die Betreiber kritischer Infrastrukturen zu Gesprächen. Von Beginn an zeigte sich deren Zurückhaltung gegenüber jeder Art von Auflagen oder gar Regelungen. Um die Beratungen nicht zu erschweren, wurden spezielle Bereiche wie etwa die IT-Sicherheit beim Betrieb von Kernkraftwerken ausgeklammert.

Drei Jahre nach Einrichtung der AG KRITIS kam ein erstes Ergebnispapier unautorisiert an die Öffentlichkeit2 [4]. Die halboffiziell und inoffiziell verbreiteten Papiere ließen die heute noch bestehenden Konfliktlinien deutlich werden. Schließlich legte die AG KRITIS im Sommer 2005 dem Bundeskabinett offiziell den "Nationalen Plan zum Schutz der Informationsinfrastrukturen" [5] (NPSI) vor. Die Umsetzung für die Bundesverwaltung folgte dann 2007 mit dem Kabinettsbeschluss eines "Umsetzungsplans für die Gewährleistung der IT-Sicherheit in der Bundesverwaltung (UP Bund)" [6]. Mittlerweile wirken auch Unternehmen der Privatwirtschaft und Betreiber von kritischen Infrastrukturen nach dem Freiwilligkeitsprinzip an der Umsetzung mit.

Der aktuelle Vorstoß des Innenressorts zu einer gesetzlichen Regelung zur IT-Sicherheit bei kritischen Infrastrukturen legt nach gut 15 Jahren Diskussion und wenig greifbaren Ergebnissen zumindest die Vermutung nahe, dass die geübte Freiwilligkeit auf Betreiberseite bei der effektiven Sicherung kritischer Infrastrukturen als nicht überzeugend genug gesehen wird.

Gute Gründe kann das Innenministerium aber nicht nur auf praktischer Ebene für sich geltend machen. Auch juristisch hat sich die Lage verändert. Das Bundesverfassungsgericht hat 2007 in seinem Urteil [7] zu den Grenzen des Einsatzes von Bundestrojanern das "Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme" definiert. Damit erhob das Gericht zwei der drei Grundsätze der IT-Sicherheit - Vertraulichkeit und Integrität von IT-Systemen - zu einem Grundrecht. Und dies bedeutet für Gesetzgeber und Exekutive auch eine Verpflichtung zur rechtlichen Umsetzung - zum Beispiel auch mit einem IT-Sicherheitsgesetz.

Umso mehr überrascht es, dass der Gesetzesvorstoß zum IT-Sicherheitsgesetz kein Problem löst, sondern neue schafft.

IP-Nummern: Eindeutiger Personenbezug und die Folgen für die IT-Sicherheit

Vielleicht erinnert sich noch jemand daran, mit welcher Begründung die damalige Bundesjustizministerin Brigitte Zypries 2007 vom Landgericht Berlin unter Androhung eines Zwangsgeldes in Höhe von 250.000 Euro rechtskräftig dazu verurteilt [8] wurde, im Webauftritt des Justizministeriums jede Protokollierung von IP-Nummern über das Ende des jeweiligen Nutzungsvorgangs hinaus abzustellen.

Das Urteil war Endpunkt eines Rechtsstreits [9] gegen die Protokollierung von Nutzerdaten durch Betreiber von Webseiten - im Juristendeutsch: Telemedienanbieter. Die Klage entstand im Kontext des Protests gegen die Vorratsdatenspeicherung [10] und richtete sich nach Äußerungen von Bundesjustizministerin Zypries dann konkret gegen die Ungesetzlichkeit der Nutzerdatenprotokollierung, wie sie durch Bundesministerien, vor allem aber auch das Bundeskriminalamt (BKA) praktiziert [11] wurde. Das BKA hatte im Zuge von Ermittlungen gegen eine "militante Gruppe" sein Webangebot als klassischen Honeypot genutzt. Die Nutzerzugriffe auf die Webseiten mit Informationen über die entsprechenden Fahndungsmaßnahmen wurden gezielt protokolliert, um die Nutzer zu ermitteln.

Das Urteil und vor allem das Zwangsgeld gegen eine Ministerin führten bei Bundesregierung und Parlament sehr schnell zu einigen Aktivitäten. Die damals von der Bundesregierung in ihren Antworten auf parlamentarische Anfragen getroffenen Aussagen, Schlussfolgerungen und nachfolgende Aktionen erhalten durch das IT-Sicherheitsgesetz nun einen ganz neuen Wert. So erklärte die Bundesregierung 2007 auf Anfrage der Fraktion der Linken zur Notwendigkeit der Protokollierung von IP-Nutzerdaten für Zwecke der IT-Sicherheit3 [12]:

Die Speicherung ist insbesondere aus Sicherheitsgründen notwendig: Die Bundesverwaltung ist kontinuierlich massiven und hoch professionellen Angriffen aus dem Internet ausgesetzt und der durch die Angriffe verursachte Kommunikationsverkehr übertrifft seit langem den regulären Kommunikationsverkehr. Zur Abwehr dieser Angriffe und zur Aufrechterhaltung des Behördenbetriebs sind zahlreiche Sicherheitsmaßnahmen notwendig. Dazu gehört zwingend die Speicherung der IP-Adressen, um Angriffsmuster erkennen und Gegenmaßnahmen (z. B. das Sperren bestimmter, für den Angriff genutzter IP-Adressen) einleiten zu können. Ohne diese Daten ist eine Abwendung der kontinuierlichen Angriffe nicht möglich.

Trotz der "zwingenden Notwendigkeit" zur Speicherung von IP-Daten für IT-Sicherheitszwecke bewertete die Bundesregierung die Rechtmäßigkeit der Speicherung von IP-Nummern jedoch deutlich vorsichtiger4 [13]:

Inwieweit IP-Adressen personenbezogene Daten darstellen, ist nicht abschließend geklärt. Mit dem in der Kleinen Anfrage in Bezug genommenen Urteil des AG Berlin liegt nach hiesiger Kenntnis erstmals eine Gerichtsentscheidung vor, nach der IP-Adressen nicht nur für den Zugangsanbieter, der diese Adressen vergibt, sondern auch für den Anbieter eines (Medien-) Dienstes personenbezogene Daten sind, obwohl der Diensteanbieter einen Personenbezug allenfalls mit Hilfe des Zugangsanbieters herstellen könnte.

Der entscheidende Punkt war und ist aber genau die Frage, wie Anbieter von Webseiten - also Telemedienanbieter - mit IP-Nummern umgehen und in welchem Umfang sie IP-Nummern natürlich auch zur Erkennung von Manipulationsversuchen speichern und auswerten dürfen.

Die damals ungeklärte Frage, ob IP-Nummern personenbezogene Daten seien und vom Grundrecht auf informationelle Selbstbestimmung geschützt sind, ist mittlerweile höchstrichterlich geklärt: Das Bundesverfassungsgericht (BVerfG) urteilte [14] im Januar 2012 über Sammlung und Abruf von IP-Adressen.

Insbesondere fallen unter den Schutz der informationellen Selbstbestimmung auch personenbezogene Informationen zu den Modalitäten der Bereitstellung von Telekommunikationsdiensten.

Zu diesen gehörten auch Kennungen wie etwa IP-Nummern. Das Verfassungsgericht forderte eine Eingrenzung des Datenabrufs dynamischer IP-Adressen. Statische IP-Adressen seien heute vornehmlich für wenige Geschäftskunden bedeutsam. Angesichts der absehbaren Entwicklung hin zu dauerhaft statisch vergebenen IP-Adressen im IPv6 formuliert das BVerfG jedoch sehr deutlich die Gefahren einer beliebigen Speicherung: "Angesichts dieses erhöhten Informationspotenzials wäre die generelle Möglichkeit der Identifizierung von IP-Adressen nur unter engeren Grenzen verfassungsrechtlich zulässig"5 [15].

Insbesondere sieht das Gericht in IP-Nummern eine größere Gefährdung der Persönlichkeitsrechte als etwa die Auskunft über Telefonnummern, die dann besonders vom Fernmeldegeheimnis geschützt ist, wenn es um die Ermittlung geht, "wer wann mit wem kommuniziert" hat6 [16]:

Die Identifizierung von dynamischen IP-Adressen ermöglicht in weitem Umfang eine Deanonymisierung von Kommunikationsvorgängen im Internet. Zwar hat sie eine gewisse Ähnlichkeit mit der Identifizierung einer Telefonnummer. Schon vom Umfang, vor allem aber vom Inhalt der Kontakte her, über die sie Auskunft geben kann, hat sie jedoch eine erheblich größere Persönlichkeitsrelevanz und kann mit ihr nicht gleichgesetzt werden.

Die höchstrichterliche Diskussion der Funktion von IP-Nummern im Datenverkehr lässt keinen Zweifel mehr daran, dass IP-Nummern personenbezogene Daten sind. Die rechtliche Konsequenz daraus ist aber, dass solche personenbezogenen Daten nur auf gesetzlicher Grundlage oder nach Einwilligung der Nutzer gespeichert werden dürfen. Und zwar durch Telemedienanbieter ebenso wie durch jeden Telekommunikationsprovider - egal ob zu Werbezwecken oder für die IT-Sicherheit.

Eine Rechtsgrundlage für die Protokollierung von personenbezogenen Daten zu Sicherheitszwecken gibt es für Telekommunikationsprovider. Das Telekommunikationsgesetz (TKG) erlaubt es in §100 den Betreibern "zum Erkennen, Eingrenzen oder Beseitigen von Störungen oder Fehlern an Telekommunikationsanlagen die Bestandsdaten und Verkehrsdaten der Teilnehmer und Nutzer [zu] erheben und [zu] verwenden".

Darauf können sich IT-Sicherheitsverantwortliche bei der Protokollierung von IP-Nummern aber nicht berufen. Für sie gilt das Telemediengesetz (TMG), das regelt, was bei Internetangeboten zu beachten ist, beginnend von Webseiten zur Information, aber genauso auch Webshops, Cloud-Speicher oder komplexe webbasierte Softwaredienste - also jene Webangebote, die klassisches Arbeitsfeld der IT-Sicherheit sind.

Ziel des Telemediengesetzes war die anonyme oder pseudonyme Nutzung des Internets. Daher dürfen Anbieter keine oder nur möglichst wenige Daten erheben, zumal im Internet zwischen Anbietern und Nutzern von Telemedien vielfach kein Vertragsverhältnis besteht, das die Rechtslage zwischen beiden Seiten individuell regeln könnte.

Das TMG verbietet in §12 ausdrücklich die beliebige Speicherung personenbezogener Daten durch Webangebote:

Der Diensteanbieter darf personenbezogene Daten zur Bereitstellung von Telemedien nur erheben und verwenden, soweit dieses Gesetz oder eine andere Rechtsvorschrift, die sich ausdrücklich auf Telemedien bezieht, es erlaubt oder der Nutzer eingewilligt hat.

Zulässig ist allein die zur Kommunikation nötige Speicherung und Verarbeitung der Daten, die aber am Ende der Nutzung umgehend zu löschen sind7 [17]:

Der Diensteanbieter hat [..] sicherzustellen, dass [..] die anfallenden personenbezogenen Daten über den Ablauf des Zugriffs oder der sonstigen Nutzung unmittelbar nach deren Beendigung gelöscht [..] werden.

Und um obendrein die Frage von Nutzungsdaten - wie etwa die IP-Nummern der zugreifenden Benutzer - zweifelsfrei zu definieren, erlaubt der §15 TMG ein "Erheben und Verwenden" personenbezogener Nutzerdaten - als da sind:

1. Merkmale zur Identifikation des Nutzers,
2. Angaben über Beginn und Ende sowie des Umfangs der jeweiligen Nutzung und
3. Angaben über die vom Nutzer in Anspruch genommenen Telemedien

nur für Abrechnungszwecke, wenn eine Vertragsbeziehung besteht, nicht aber bei anonym nutzbaren Angeboten. Allein "bei Verwendung von Pseudonymen" ist es zulässig, Nutzungsprofile für "Werbung, Marktforschung oder zur bedarfsgerechten Gestaltung" der Telemedien zu erstellen. Dieser Rechtsrahmen

• erlaubt, IP-Nummern von Nutzern eines Webangebotes zu verarbeiten, solange die aktuelle Nutzung andauert,
• erfordert die Löschung der Daten und IP-Nummern unmittelbar nach Ende dieser Nutzung
• oder lässt die Bildung und Sammlung pseudonymisierter Nutzungsprofile zu, wie sie etwa durch wirksame Verkürzung oder Veränderung der IP-Nummer möglich sind.

Unzweifelhaft unzulässig ist jedoch, vollständige IP-Nummern dauerhaft zu speichern. Und um die Ernsthaftigkeit dieser Vorschrift besonders herauszuheben, sieht das TMG für Zuwiderhandlungen einen der sehr wenigen Bußgeldtatbestände vor.

Ausnahmen gibt es auch für den alltäglichen Fall von Angriffen auf IT-Systeme keine: Die IP-Nummer eines Angreifers darf man sich nicht einmal auf einem Zettel notieren. Natürlich hat ein IT-Sicherheitsverantwortlicher damit auch keine legal gesammelten Daten in der Hand, die für eine juristische Lösung nutzbar wären. Selbst bei der Speicherung von pseudonymisierten Daten muss man als Praktiker wohl besser ausblenden, dass IT-Sicherheit als legitimer Zweck einer Datenspeicherung im Telemedienrecht schlicht nicht vorgesehen ist.

Für die Klärung einer großen Zahl Internet-basierter IT-Sicherheitsvorfälle auf juristischem Weg gibt es damit in Deutschland keine rechtliche Grundlage. Deshalb war spätestens nach dem Urteil des Bundesverfassungsgerichts 2012 die Frage zwangsläufig, wie IT-Sicherheitsverantwortliche eine rechtskonforme Detektion von IT-Sicherheitsvorfällen ohne eine Rechtsgrundlage für die Speicherung von IP-Nummern bei Verdachtsfällen oder einem Angriff realisieren sollten.

IT-Sicherheit: Die Gewohnheit des flächendeckenden Rechtsbruchs

Nicht nur die Lektüre der bereits zitierten Antwort der Bundesregierung über die IP-Protokollierung bei Bundesbehörden ist ein Anhaltspunkt dafür, dass die übergroße Mehrheit aller Telemedienanbieter in der Praxis nichts an der umfassenden Protokollierung von IP-Nummern geändert hat und die bestehende Rechtslage souverän ignoriert.

Dies lässt sich auch empirisch belegen. Seit einigen Jahren untersucht die im Datenschutz-Auditing arbeitende Xamit Bewertungsgesellschaft jährlich in einem "Datenschutzbarometer" jeweils einige tausend repräsentativ ausgewählte Webauftritte auf deren Einhaltung der Vorschriften des Telemedienrechts bei der Nutzerdaten-Protokollierung, den Datenschutzklauseln und anderen Regeln.8 [18] Damit macht man sich dabei den Umstand zunutze, dass zahlreiche Datenschutzverstöße und die programmtechnisch nötigen Vorkehrungen zum Einsatz von Protokollierungssoftware im Quellcode der jeweiligen Webangebote für jeden ablesbar und einfach dokumentierbar sind. Komplexere Verstöße läßt die Analyse unberücksichtigt.

Die Ergebnisse sind für den Datenschutz deprimierend: Von 2008 bis 2011 nahm die Zahl der offensichtlichen Datenschutzverstöße bei Unternehmen ebenso wie bei Behörden zu. Weniger als 10% der Webauftritte blieben 2008 ohne juristische Beanstandungen9 [19], in 2012 war das Ergebnis annähernd gleich: pro 100 Webauftritten seien 91 Beanstandungen durch Datenschutzbehörden auszusprechen.10 [20]

Die Datenschutzdebatte um Google Analytics 2012 verbesserte die Lage bei den Rechtsverstößen zur Nutzerdaten-Protokollierung leicht, was aber den Anstieg der restlichen Datenschutzverstöße nicht bremste. Die Autoren machten klar11 [21]:

Wir sprechen hier nicht von den Verstößen, die einer unsicheren Rechtslage oder der Praxisferne des Bundesdatenschutzgesetzes geschuldet sind, sondern von den bewusst oder fahrlässig begangenen Verstößen.

Es geht also um den Rechtsbruch aus Gewohnheit.

Die Wirklichkeit zeigt: So gut wie niemand schert sich um Recht und Gesetz in Sachen Datenschutz und IT-Sicherheit. So gut wie jeder protokolliert IP-Daten, was die Werkzeuge technisch gerade so hergeben. Und wenn es nutzt, werden auch Werkzeuge eingesetzt, die selbst für Laien offensichtlich rechtswidrig sind.

Und es bleibt folgenlos. Die von Beratungsunternehmen wie Xamit erhobenen und gesammelten Verstöße bei Unternehmen und Behörden werden von Datenschutzbehörden in den wenigsten Fällen geahndet. Mit dieser Untätigkeit gegenüber den ungebremsten und rechtswidrigen Datensammlungen untergraben sie allerdings selbst ihre Autorität. Auch wenn der Bundesbeauftragter für Datenschutz, Peter Schaar nun zutreffend vor einer Gefahr warnt [22], eine rechtliche Regelung von Datensammlungen zu Zwecken der IT-Sicherheit könnte zu einer uferlosen Sammlung von Nutzerdaten führen, sollte man abwägen, den realen und flächendeckenden, rechtswidrigen Wildwuchs weiter zu ignorieren und zu belassen, oder der IT-Sicherheit einen rechtskonformen, legalen Weg zu bahnen.

Vertane Chancen zu einer Lösung

Die Möglichkeit zu einer Lösung des nicht erst durch das Bundesverfassungsgerichtsurteil 2012 akuten Problems bot sich mit der 2009 in Kraft getretenen Novelle des BSI-Gesetzes, mit dem die Bundesregierung auf das Berliner Urteil gegen Justizressort und Ministerin Zypries reagierte. Statt einer Lösung für die Allgemeinheit wurde jedoch eine juristische Speziallösung getroffen und im Gesetzesentwurf detailliert begründet, die das Problem für IT-Sicherheitsverantwortliche zusätzlich und schmerzhaft klar zeichnet.

So wurde in §5 des BSI-Gesetzes einzig und allein das BSI dazu ermächtigt - so der Wortlaut des Gesetzes - "Protokolldaten, die beim Betrieb von Kommunikationstechnik des Bundes anfallen, [zu] erheben und automatisiert aus[zu]werten, soweit dies zum Erkennen, Eingrenzen oder Beseitigen von Störungen oder Fehlern bei der Kommunikationstechnik des Bundes oder von Angriffen auf die Informationstechnik des Bundes erforderlich ist".

Damit ist ausschließlich das BSI für die Bundesverwaltung in der komfortablen Lage, alle nötigen Daten rechtsfest erheben und auswerten zu können. Außer dem BSI sind heute aber weder das BKA noch der Bundesnachrichtendienst oder irgendeine andere Bundes- oder Landesbehörde oder ein Unternehmen rechtlich dazu berechtigt, die üblichen IP-Protokolldateien für IT-Sicherheitszwecke zu sammeln und auszuwerten. Dies gilt ebenso für CERTs, IT-Sicherheitsunternehmen und andere IT-Sicherheitsprofis, deren tägliche Arbeit die Analyse von Datenverkehren bei Telemedien ist.

Unternehmen können weiterhin das rechtliche Risiko eingehen, denn die Wahrscheinlichkeit einer Klage dürfte für sie gering sein. In Behörden sieht das dagegen anders aus. Eingedenk des Urteils gegen das Bundesjustizressort und Frau Zypries ist die Rechtslage eindeutig. Eine gleichartige Klage gegen andere Behörden wäre sehr erfolgversprechend und obendrein kostenfrei. Auch eine Datenschutzbehörde könnte die rechtskonforme Datenspeicherung zu IT-Sicherheitszwecken einfordern und eine Rüge aussprechen. Behördliche IT-Sicherheitsverantwortliche, die heute gleichwohl die nicht-pseudonymisierte IP-Protokollierung weiter laufen lassen und damit vorsätzlichen Rechtsbruch begehen, müssen daher im Klagefall mit personalrechtlichen Konsequenzen und der Abwälzung der entstehenden Kosten durch ihren Dienstherren rechnen. Eine ungemütliche Lage, in der niemand gern stecken mag.

Interessanter sind jedoch die Konsequenzen für die IT-Sicherheitslage und den Umgang damit, die im geplanten IT-Sicherheitsgesetz verbessert werden sollen.

Was der IT-Sicherheit fehlt: klare Rechtsgrundlagen und klares Vorgehen

Nun wäre es mit Sicherheit eine absurde Vermutung, dass Betreiber von Botnetzen oder andere Verbreiter von Malware erst vor Gericht ziehen, dort bei ihrem ausgesuchten Opfer die Abschaltung einer IP-Protokollierung erwirken, um dann unbeobachtet ihr Schadwerk zu vollbringen.

Anders herum wird das Problem akut: Wie kann ein IT-Sicherheitsverantwortlicher vor Gericht Protokolldaten als Beweis für eine Manipulation verwenden, wenn diese Daten von einem fähigen Strafverteidiger als unrechtmäßig gesammelte Beweismittel unbrauchbar gemacht werden?

Warum sollte sich ein durch IT-Sicherheitsvorfälle Geschädigter dann überhaupt einer juristischen Klärung seines Problems aussetzen? Der Ausgang eines Rechtsstreits wird zum ungewissen Risiko, zumal die Juristen bei Technikthemen die Gesetze ebenso wie höchstrichterliche Urteile keineswegs vorhersagbar interpretieren. Ein geschädigter Kläger, der vor Gericht zieht, könnte daher als Beklagter enden.

Wenn aber das Recht nicht auf der Seite der Geschädigten ist, wer soll dann auf dieser fehlenden Rechtsgrundlage IT-Sicherheitsvorfälle erkennen, melden und sich damit zugleich als Sammler und Auswerter von Protokolldaten bezichtigen, die er rechtmäßig gar nicht haben dürfte?

Saubere und praktikable Lösungsansätze

Als Lösung des Problems läge es daher nahe, die IP-Nummernprotokollierung bei Telemedien zu Zwecken der IT-Sicherheit zu regeln - und zwar möglichst eng begrenzt. Die letzte Novelle des BSI-Gesetzes hat dazu eine diskutable Vorlage geliefert. Diese ließe sich für eine Ergänzung des Telemediengesetzes anpassen. Die Alternative, die Regelung zur Protokollierung bei Telekommunikationsnetzen in §100 TKG, geht dagegen deutlich zu weit und erlaubt - übertragen auf IT-Sicherheitsaspekte im Internet - eine unnötig umfangreiche Datensammlung.

Ziel aus Sicht der IT-Sicherheit müsste es sein, eine Protokollierung von IP-Nummern und deren Nutzung klar zu regeln. Erlaubt ist heute die Auswertung der Verkehrsdaten im engen zeitlichen Bezug zu einer Webservice-Nutzung. Für die Praxis lässt sich daraus ein handhabbarer und datenschutzrechtlich tragbarer Ablauf aus drei Schritten entwickeln, der in vielen Teilen bereits Praxis ist:

1. Ein Intrusion Detection System kann aus den laufenden Verkehrsdaten eine Eingrenzung auf Verdachtsfälle leisten und den Rest der Daten verwerfen oder - ebenfalls legal - pseudonymisieren, etwa durch ein Verkürzen der IP-Nummern. Im Verdachtsfall ist unmittelbar ein auditierbares Verfahren zur Gefahrenanalyse und -abwehr anzuwenden.
2. Die systematische Analyse gespeicherter pseudonymisierter Protokolldaten, die ihrerseits nach einer überschaubaren Frist gelöscht werden, reicht auch über die Vorlaufzeit von größeren Angriffen aus, um eine Entscheidung über das Vorgehen bei vermuteten Angriffen zu treffen.
3. Als Ergebnis der Analyse sind nach überschaubarer Zeit entweder alle harmlosen pseudonymisierten Daten zu löschen oder es ist gezielt konkreten Verdachtsfällen nachzugehen, für die die Verkehrsdaten vollständig zu erfassen und in dem etablierten geordneten, auditierbaren Verfahren zu verarbeiten sind.

Das Bundesverfassungsgericht hat nach dem Grundrecht auf informationelle Selbstbestimmung das "Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme" definiert. Die IT-Sicherheit ist das Arbeitsfeld, in dem der Schutz dieser beiden fundamentalen Grundrechte der Informationsgesellschaft praktisch umgesetzt werden muss. Der skizzierte Ablauf wäre eine einfache und professionell gut beherrschbare Lösung für die IT-Sicherheit, die den Anforderungen an Datenschutz und Sicherheit gerecht wird und für die nur wenig gesetzgeberische Arbeit für die Erlaubnis zur Speicherung der vollständigen IP-Nummern bei Verdacht und rechtliche Anforderungen an das Verfahren benötigt würde.

Vergebliche Suche im IT-Sicherheitsgesetz

Der Gesetzesentwurf des IT-Sicherheitsgesetzes sieht als Änderung am Telemediengesetz aber nur in Artikel 3 vor, den Diensteanbietern "Maßnahmen zum Schutz von Telekommunikations- und Datenverarbeitungssystemen gegen unerlaubten Zugriff" nach dem Stand der Technik vorzuschreiben. Alles andere bleibt genauso ungeregelt wie bisher.

Wenn wir IT-Sicherheit Juristen und ihrer korrekten Anwendung der bestehenden und neu geplanten Rechtslage überlassen, so lässt sich die rechtsfeste Umsetzung von IT-Sicherheitsmechanismen klar beschreiben.

• Legal bleibt für die Zukunft beispielsweise das Betreiben von Intrusion Detection Systemen über Daten aus dem laufenden Betrieb und das Melden von Denial-of-Service-Attacken, solange ein Angriff andauert.
• Nicht legal aber bleibt das Detektieren eines Einschleusens von Trojanern und Botnetzen, oder jeder anderen, aus mehreren Schritten und verschiedenen "Nutzungsvorgängen" bestehenden Form eines Angriffs, für dessen Verfolgung detaillierte Daten verschiedener Nutzungsvorgänge zusammengeführt werden müssen. Legal wird es selbstverständlich auch in Zukunft nicht, auch nur die IP-Kennung des Angreifers zu speichern.

Wer einige der Betreiber kritischer Infrastrukturen und ihre Herangehensweise an IT-Sicherheitsthemen kennt, weiß, dass dort zu diesem Thema, das nicht das Kernkompetenzfeld der Betreiber darstellt, vielfach ein defensives, rechtlich eher unzweifelhaftes Agieren einem Vorgehen vorgezogen wird, das letztlich auf einem systematischen Bruch des IT- und Datenschutzrechts aufbauen muss.

Man könnte dies aber auch anders formulieren. Die bekannt lückenhafte Rechtslage zur IT-Sicherheit ist selbstverständlich auch eine praktische juristische Argumentationsgrundlage, um jede Berichterstattung über IT-Sicherheitsvorfälle zu unterlassen, für deren Detektion es keine klare Rechtsgrundlage gibt. Da legal nur über eine begrenzte Anzahl möglicher Internet-basierter Angriffsformen überhaupt Daten gesammelt werden dürfen, ließe sich der Berichtsaufwand in überschaubaren Grenzen halten; Bußgelder oder andere Zwangsmaßnahmen stehen auch nicht zu befürchten.

Dementsprechend unvollständig dürften die Lageberichte geraten, die das BSI aus den Meldungen der Betreiber kritischer Infrastrukturen zusammenstellen soll. Es ist schwierig, bei den Ergebnissen dieser gesetzgeberischen Mühen einen Fortschritt gegenüber den Resultaten der AG KRITIS zu erkennen.

Experten fordern: Geld für Strafverfolgung statt für Datensammlungen

Was also bringt das IT-Sicherheitsgesetz? Neu ist immerhin die zum Datenschutzrecht gleichlautende Verpflichtung auf den Einsatz von IT-Sicherheitstechnik auf dem aktuellen "Stand der Technik", der auf den Betrieb von kritischen IT-Systemen ausgedehnt wird.

Das Gesetz soll ansonsten vorrangig die Datensammlung von IT-Sicherheitsvorfällen regeln. Gerade dies ist in der Fachcommunity heftig umstritten. So ist bekannt, dass 2010 ein einziges Botnet für ein Drittel des gesamten Spam-Aufkommens im Internet verantwortlich war. Was, so fragen die Fachleute, werde da eine Datensammlung an Neuem beitragen? Zwei Studien aus sehr unterschiedlichen Richtungen kommen zum gleichen Ergebnis.

Die Microsoft-Forscher Dinei Florencio und Cormac Herley publizierten 2011 eine qualitative Analyse der über Cybercrime publizierten Studien, Daten und Schadenshöhen. Ihr "harsches" Ergebnis war, dass alle untersuchten Studien jeder belastbaren Datengrundlage entbehrten und überdies methodisch so grundlegend fehlerhaft seien, dass den Ergebnissen keinerlei Glaube geschenkt werden könne12 [23]:

Our assessment of the quality of cyber-crime surveys is harsh: they are so compromised and biased that no faith whatever can be placed in their findings.

Zum selben Resultat kam eine Studie britischer, deutscher, niederländischer und amerikanischer Wissenschaftler auf Initiative des britischen Verteidigungsministeriums. Auch ihre Schlussfolgerungen und Forderungen sind eindeutig13 [24]:

The straightforward conclusion to draw on the basis of the comparative figures collected in this study is that we should perhaps spend less in anticipation of computer crime (on antivirus, firewalls etc.) but we should certainly spend an awful lot more on catching and punishing the perpetrators.

Wenn keine der verfügbaren Datensammlungen über IT-Sicherheitsvorfälle irgendeinen objektiven Wert oder Nutzen hat, liegt die Frage nahe, ob und wenn ja, welche Abhilfe von der Sammlung von Sicherheitsvorfällen auf Basis eines IT-Sicherheitsgesetzes zu erwarten ist. Dass die betroffenen Unternehmen gute juristische Argumente haben, ihre Berichte schlank zu halten, ist offensichtlich.

Ausdrücklich kann und soll dies nicht bedeuten, dass Unternehmen, die IT-Sicherheitsvorfälle aus Gründen negativer Medienreaktionen verschweigen wollen, dies ungerührt weiter tun sollten, weil ihnen die Veröffentlichung von Sicherheitslücken peinlich ist. Öffentlichkeit und die Benachrichtigung der Kunden solcher Unternehmen bei Sicherheitsvorfällen sind ein wichtiger Schritt, um Kunden - etwa im Fall des Diebstahls von Kreditkartendaten - eine schnelle Sperrung zu ermöglichen. Darum geht es im IT-Sicherheitsgesetz aber nicht.

Als der eigentliche Zweck des IT-Sicherheitsgesetzes erscheint vor allem, das Datenmaterial für einen alljährlichen Bericht zur Lage der IT-Sicherheit in ausgesuchten Bereichen zu sammeln und diesen Bericht pressewirksam vorzustellen. Die weltweit tätigen großen IT-Sicherheitsfirmen tun dies heute auch - und zwar durchaus mehrfach im Jahr. Diese Berichte sind unterhaltsam für die Medienberichterstattung, aber - wie gezeigt - leider fachlich ohne Substanz.

Was aber ist der Nutzen von Lageberichten zur IT-Sicherheit, die lückenhaft, unsystematisch und in ihren Schlussfolgerungen verzerrt sind? Wie sehen die Maßnahmen und Aktionen aus, die aus solchen untauglichen Lageberichten abgeleitet und ergriffen werden? Wofür sollen schließlich private und öffentliche Gelder für eine Verbesserung von IT-Sicherheit eingesetzt werden, wenn diese auf untauglichen Lageanalysen beruhen?

Sollte der Zweck eines Gesetzes im Kern aber nur aus einem weiteren Bericht für die Medienberichterstattung bestehend, dessen Inhalt kein Experte vertrauen kann? Wäre es nicht eher nötig, der Verfolgung von Straftaten im IT-Bereich endlich eine rechtlich eindeutige Grundlage zu geben?

Die vielfach formulierte Forderung, das Geld nicht in Berichte, sondern in die Kompetenzentwicklung der Strafverfolger zu stecken, war immer die bessere, aber auch aufwändigere Idee. Die Bundesregierung legt sich selbst im neuen IT-Sicherheitsgesetz die Messlatte ein wenig höher: Dem Bundeskriminalamt sollen Zuständigkeiten für Computerkriminalität gegen Bundesbehörden übertragen werden. Begründung14 [25]:

Die Zuständigkeit für die polizeilichen Aufgaben der Strafverfolgung [liegt] in der Regel bei den Ländern, wobei die örtliche Zuständigkeit oftmals dem Zufall überlassen bleibt, abhängig davon, wo der Vorfall zuerst entdeckt wird.

Und dort findet die zufällig veranlasste Ermittlungstätigkeit dann oft ihr schnelles Ende. Nun wäre die Bundesregierung zuständig für die nötige finanzielle und personelle Ausstattung - und damit die deutlich bessere Fachkunde - für polizeiliche Ermittlungsarbeit in Sachen IT. Der reale Wille zu Besserung ließe sich in Zukunft hier erkennen.

Die rechtlichen Grundlagen für die technische Ermittlung relevanter Daten für diverse Internet-basierte Straftaten aber hat das BKA auch in Zukunft nicht. Vielleicht ist es ja mit der Strafverfolgung gar nicht so ernst gemeint. Die "Cyberkriminellen" dürfte das freuen. Der "Kampf gegen die Cyberkriminalität" wird so jedenfalls nicht zu gewinnen sein.

Die Bürgerinnen und Bürger jedoch müssen auf den besseren Schutz wesentlicher Grundrechte in den Informationsgesellschaft wohl noch länger warten.

URL dieses Artikels:
https://www.heise.de/-3398388

Links in diesem Artikel:
[1] https://www.heise.de/tp/features/IT-Sicherheit-und-das-geplante-IT-Sicherheitsgesetz-3398388.html?view=fussnoten#f_1
[2] http://www.spiegel.de/netzwelt/web/netzdepesche-dient-information-warfare-dem-ausbau-von-staatsmacht-a-59309.html
[3] http://dipbt.bundestag.de/doc/btd/13/077/1307753.pdf
[4] https://www.heise.de/tp/features/IT-Sicherheit-und-das-geplante-IT-Sicherheitsgesetz-3398388.html?view=fussnoten#f_2
[5] http://www.bmi.bund.de/cln_156/SharedDocs/Standardartikel/DE/Themen/OeffentDienstVerwaltung/Informationsgesellschaft/NPSI.html
[6] http://www.kritis.bund.de/SubSites/Kritis/DE/Aktivitaeten/Nationales/UPK/upk_node.html
[7] http://www.bverfg.de/entscheidungen/rs20080227_1bvr037007.html
[8] http://www.daten-speicherung.de/data/Beschluss_AG-Mitte_2008-01-10.pdf
[9] http://www.daten-speicherung.de/index.php/urteil-vorratsspeicherung-von-kommunikationsspuren-verboten/#lg
[10] http://www.heise.de/newsticker/meldung/13-000-Buerger-wollen-gegen-die-Vorratsdatenspeicherung-klagen-196549.html
[11] http://www.heise.de/newsticker/meldung/Mehrzahl-der-Bundesministerien-speichert-IP-Adressen-184012.html
[12] https://www.heise.de/tp/features/IT-Sicherheit-und-das-geplante-IT-Sicherheitsgesetz-3398388.html?view=fussnoten#f_3
[13] https://www.heise.de/tp/features/IT-Sicherheit-und-das-geplante-IT-Sicherheitsgesetz-3398388.html?view=fussnoten#f_4
[14] http://www.bverfg.de/entscheidungen/rs20120124_1bvr129905.html
[15] https://www.heise.de/tp/features/IT-Sicherheit-und-das-geplante-IT-Sicherheitsgesetz-3398388.html?view=fussnoten#f_5
[16] https://www.heise.de/tp/features/IT-Sicherheit-und-das-geplante-IT-Sicherheitsgesetz-3398388.html?view=fussnoten#f_6
[17] https://www.heise.de/tp/features/IT-Sicherheit-und-das-geplante-IT-Sicherheitsgesetz-3398388.html?view=fussnoten#f_7
[18] https://www.heise.de/tp/features/IT-Sicherheit-und-das-geplante-IT-Sicherheitsgesetz-3398388.html?view=fussnoten#f_8
[19] https://www.heise.de/tp/features/IT-Sicherheit-und-das-geplante-IT-Sicherheitsgesetz-3398388.html?view=fussnoten#f_9
[20] https://www.heise.de/tp/features/IT-Sicherheit-und-das-geplante-IT-Sicherheitsgesetz-3398388.html?view=fussnoten#f_10
[21] https://www.heise.de/tp/features/IT-Sicherheit-und-das-geplante-IT-Sicherheitsgesetz-3398388.html?view=fussnoten#f_11
[22] http://www.heise.de/newsticker/meldung/Datenschuetzer-Schaar-Plaene-zur-Abwehr-von-Cyber-Angriffen-bedenklich-1832914.html
[23] https://www.heise.de/tp/features/IT-Sicherheit-und-das-geplante-IT-Sicherheitsgesetz-3398388.html?view=fussnoten#f_12
[24] https://www.heise.de/tp/features/IT-Sicherheit-und-das-geplante-IT-Sicherheitsgesetz-3398388.html?view=fussnoten#f_13
[25] https://www.heise.de/tp/features/IT-Sicherheit-und-das-geplante-IT-Sicherheitsgesetz-3398388.html?view=fussnoten#f_14

Copyright © 2013 Heise Medien