Informationssicherheitsgesetz
topic - Kurzbeschreibung
Informationssicherheitsgesetz 2.0
- Kritischer Infrastrukturen
- Tabelle zum IT-Sicherheitsgesetz
- Änderungsvorschläge im BSIG
- Änderung und Erweiterung von Begriffsdefinitionen
- Neue Aufgaben und Befugnisse des BSI
- Kontrolle der Kommunikationstechnik des Bundes, Betretensrechte
- Warnungen und Untersuchung der Sicherheit in der Informationstechnik
- Detektion von Sicherheitsrisiken für die Netz- und IT-Sicherheit und von Angriffsmethoden
- Anordnungen des BSI gegenüber TK-Diensteanbietern
- Anordnungen des BSI gegenüber TM-Diensteanbietern
- Vorgaben des BSI für Mindeststandards in der Informationstechnik des Bundes
- Meldestellenregelung für Kritische Infrastruktur
- Sicherheitsanforderungen für Unternehmen im besonderen öffentlichen Interesse
- Zertifizierung durch das BSI
- Nationale Behörde für die EU-Cybersicherheitszertifizierung
- Untersagung des Einsatzes kritischer Komponenten
- Freiwilliges IT-Sicherheitskennzeichen
- Bußgeldvorschriften
- Das BSI soll neue Befugnisse bekommen und zur Hackerbehörde werden
- Unsichere Systeme hacken und Daten per Fernzugriff löschen
- Nicht mehr nur defensiv schützen und beraten
- offensiv in IT-Systeme eindringen
- Mehr Personal, Geld und Befugnisse
- IT-Systeme von Staat, Bürgern und Wirtschaft besser schützen
- Mehr Kompetenzen
- Sicherheitslücken suchen
- Informationen von Herstellern anfragen
- Öffentlichkeit informieren
- Kernaufgabe des BSI
- Angriffe abzuwehren und Sicherheitslücken schließen
- Interessenkonflikt
- Polizei und Geheimdienste wollen Sicherheitslücken ausnutzen (Staatstrojaner)
- Das BSI hat bereits staatliche Schadsoftware mitprogrammiert, aber öffentlich eine Beteiligung abgestritten
- „Hack Back“
- Der neue Entwurf verbietet dem BSI nicht, Sicherheitslücken geheim zu halten und an Hacker-Behörden wie das BKA oder den BND zu geben.
- Fernzugriff auf Geräte im „Internet der Dinge“
- BSI soll im Internet nach unsicheren Geräten suchen
- Beispielsweise mit Portscans
- Server
- Smartphones
- Schlecht abgesicherte Geräte im „Internet der Dinge“
- Überwachungskameras, Kühlschränke oder Babyfone
- Unsicher sind Systeme
- mit veralteter Software
- ohne Passwort-Schutz
- mit Standard-Passwörtern wie „0000“ und „admin“
- Um das herauszufinden muss sich das BSI darauf einloggen
- Für Privatpersonen ist das eine Hacking-Straftat
- Auch ohne Daten auszuspähen oder zu verändern
- Betroffene sollen benachrichtigt werden
- Wenn Sicherheitsprobleme oder Angriffe erkannt werden
- Dafür sollen Telekommunikationsanbieter dem BSI etwa Bestandsdaten zu einer IP-Adresse übermitteln – also mitteilen, auf wen ein Internet-Anschluss registriert ist.
- Installation lückenschließender Software
- Weitere Befugnisse für das BSI
- Angriffe auf Kritische Infrastrukturen soll das BSI blockieren oder umleiten
- Potentiell schädliche Geräte zur Absicherung aktiv verändern
- Provider zur „Bereinigung“ von IT-Geräten verpflichten
- „Installation von lückenschließender Software (Patches) bzw. Löschung von Schadsoftware“
- Klingt nach Stärkung der IT-Sicherheit
- massive Ausweitung staatlicher Befugnisse
- Eingriff in Grundrechte
- Bots werden von zentralen Servern gesteuert
- Internet-Verkehr der Kommando-Server umleiten
- Kontrolle über das Botnetz übernehmen
- „Bereinigungssoftware“ auf Bots ausliefern, um Schadsoftware zu entfernen
- Da Nutzer oft nicht wissen, dass ihr Gerät befallen ist, will der Staat diese selbst säubern
- „Andere europäische Staaten machen das auch“
- so die Begründung
- Darknet-Gesetz und digitaler Hausfriedensbruch
- Gesetzentwurf verschärft Strafrecht
- Wegen veröffentlichter privater Daten
- Neue Straftatbestände eingeführt
- Andere verschärft
- „digitale Hausfriedensbruch“
- „unbefugte Nutzung von IT-Systemen“
- Vorschlag, den 2016 von Hessen in den Bundesrat eingebrachte, aber scheiterte
- Die Bundesregierung sah keine Regelungslücken in den bisherigen Gesetzen
- „Darknet“-Gesetz
- Innenministerium übernimmt Initiative
- Vordergründig soll das Betreiben illegaler Märkte kriminalisieren werden
- Bedroht auch wünschenswerte Dienste und Anonymität im Internet
- Polizei soll Nutzer-Accounts von Beschuldigten übernehmen
- um damit zu ermitteln
- „weil in den entsprechenden Szenen den langjährig aktiven Accounts ein großes Vertrauen entgegen gebracht wird“.
- Zum Beispiel auf Plattformen, auf denen Darstellungen von sexualisiertem Kindesmissbrauch verbreitet werden
- Von Verteidigung zum Angriff
- Der Gesetzentwurf ist ein Rundumschlag
- Viele Initiativen sind sinnvoll
- Gütesiegel
- Informationspflichten
- Verbraucherschutz
- Von defensiv zu offensiv
- Grundlegend Neuausrichtung
- Hack-Back
- Verschweigen von Schwachstellen
- Neue Hacker-Behörde
- Ausweitung von staatlichem Hacking
- Im Internet ist aber Verteidigung die beste Verteidigung