Informationssicherheitsgesetz

Aus Foxwiki

topic - Kurzbeschreibung

Beschreibung

Informationssicherheitsgesetz 2.0

Kritischer Infrastrukturen

Tabelle zum IT-Sicherheitsgesetz

Änderungsvorschläge im BSIG

Änderung und Erweiterung von Begriffsdefinitionen

  • Neue Aufgaben und Befugnisse des BSI
  • Kontrolle der Kommunikationstechnik des Bundes, Betretensrechte
  • Warnungen und Untersuchung der Sicherheit in der Informationstechnik
  • Detektion von Sicherheitsrisiken für die Netz- und IT-Sicherheit und von Angriffsmethoden
  • Anordnungen des BSI gegenüber TK-Diensteanbietern
  • Anordnungen des BSI gegenüber TM-Diensteanbietern
  • Vorgaben des BSI für Mindeststandards in der Informationstechnik des Bundes
  • Meldestellenregelung für Kritische Infrastruktur
  • Sicherheitsanforderungen für Unternehmen im besonderen öffentlichen Interesse
  • Zertifizierung durch das BSI
  • Nationale Behörde für die EU-Cybersicherheitszertifizierung
  • Untersagung des Einsatzes kritischer Komponenten
  • Freiwilliges IT-Sicherheitskennzeichen
  • Bußgeldvorschriften


Das BSI soll neue Befugnisse bekommen und zur Hackerbehörde werden

Unsichere Systeme hacken und Daten per Fernzugriff löschen

Nicht mehr nur defensiv schützen und beraten

offensiv in IT-Systeme eindringen

Mehr Personal, Geld und Befugnisse

IT-Systeme von Staat, Bürgern und Wirtschaft besser schützen

Mehr Kompetenzen

Sicherheitslücken suchen

  • Informationen von Herstellern anfragen

Öffentlichkeit informieren

Kernaufgabe des BSI

Angriffe abzuwehren und Sicherheitslücken schließen

Interessenkonflikt

Polizei und Geheimdienste wollen Sicherheitslücken ausnutzen (Staatstrojaner)

  • Das BSI hat bereits staatliche Schadsoftware mitprogrammiert, aber öffentlich eine Beteiligung abgestritten

„Hack Back“

Der neue Entwurf verbietet dem BSI nicht, Sicherheitslücken geheim zu halten und an Hacker-Behörden wie das BKA oder den BND zu geben.

Fernzugriff auf Geräte im „Internet der Dinge“

BSI soll im Internet nach unsicheren Geräten suchen

Beispielsweise mit Portscans

Server

  • Smartphones
  • Schlecht abgesicherte Geräte im „Internet der Dinge“

Überwachungskameras, Kühlschränke oder Babyfone

Unsicher sind Systeme

mit veralteter Software

  • ohne Passwort-Schutz
  • mit Standard-Passwörtern wie „0000“ und „admin“

Um das herauszufinden muss sich das BSI darauf einloggen

Für Privatpersonen ist das eine Hacking-Straftat

  • Auch ohne Daten auszuspähen oder zu verändern

Betroffene sollen benachrichtigt werden

Wenn Sicherheitsprobleme oder Angriffe erkannt werden

  • Dafür sollen Telekommunikationsanbieter dem BSI etwa Bestandsdaten zu einer IP-Adresse übermitteln – also mitteilen, auf wen ein Internet-Anschluss registriert ist.

Installation lückenschließender Software

Weitere Befugnisse für das BSI

Angriffe auf Kritische Infrastrukturen soll das BSI blockieren oder umleiten

Potentiell schädliche Geräte zur Absicherung aktiv verändern

Provider zur „Bereinigung“ von IT-Geräten verpflichten

„Installation von lückenschließender Software (Patches) bzw. Löschung von Schadsoftware“

Klingt nach Stärkung der IT-Sicherheit

massive Ausweitung staatlicher Befugnisse

  • Eingriff in Grundrechte

Bots werden von zentralen Servern gesteuert

Internet-Verkehr der Kommando-Server umleiten

  • Kontrolle über das Botnetz übernehmen

„Bereinigungssoftware“ auf Bots ausliefern, um Schadsoftware zu entfernen

  • Da Nutzer oft nicht wissen, dass ihr Gerät befallen ist, will der Staat diese selbst säubern

„Andere europäische Staaten machen das auch“

so die Begründung

Darknet-Gesetz und digitaler Hausfriedensbruch

Gesetzentwurf verschärft Strafrecht

Wegen veröffentlichter privater Daten

  • Neue Straftatbestände eingeführt
  • Andere verschärft

„digitale Hausfriedensbruch“

„unbefugte Nutzung von IT-Systemen“

  • Vorschlag, den 2016 von Hessen in den Bundesrat eingebrachte, aber scheiterte
  • Die Bundesregierung sah keine Regelungslücken in den bisherigen Gesetzen

„Darknet“-Gesetz

Innenministerium übernimmt Initiative

Vordergründig soll das Betreiben illegaler Märkte kriminalisieren werden

  • Bedroht auch wünschenswerte Dienste und Anonymität im Internet

Polizei soll Nutzer-Accounts von Beschuldigten übernehmen

um damit zu ermitteln

„weil in den entsprechenden Szenen den langjährig aktiven Accounts ein großes Vertrauen entgegen gebracht wird“.

  • Zum Beispiel auf Plattformen, auf denen Darstellungen von sexualisiertem Kindesmissbrauch verbreitet werden

Von Verteidigung zum Angriff

Der Gesetzentwurf ist ein Rundumschlag

Viele Initiativen sind sinnvoll

  • Gütesiegel
  • Informationspflichten
  • Verbraucherschutz

Von defensiv zu offensiv

Grundlegend Neuausrichtung

  • Hack-Back
  • Verschweigen von Schwachstellen
  • Neue Hacker-Behörde
  • Ausweitung von staatlichem Hacking

Im Internet ist aber Verteidigung die beste Verteidigung

TMP

Kritischer Infrastrukturen
Tabelle zum IT-Sicherheitsgesetz
Änderungsvorschläge im BSIG
  • Änderung und Erweiterung von Begriffsdefinitionen
  • Neue Aufgaben und Befugnisse des BSI
  • Kontrolle der Kommunikationstechnik des Bundes, Betretensrechte
  • Warnungen und Untersuchung der Sicherheit in der Informationstechnik
  • Detektion von Sicherheitsrisiken für die Netz- und IT-Sicherheit und von Angriffsmethoden
  • Anordnungen des BSI gegenüber TK-Diensteanbietern
  • Anordnungen des BSI gegenüber TM-Diensteanbietern
  • Vorgaben des BSI für Mindeststandards in der Informationstechnik des Bundes
  • Meldestellenregelung für Kritische Infrastruktur
  • Sicherheitsanforderungen für Unternehmen im besonderen öffentlichen Interesse
  • Zertifizierung durch das BSI
  • Nationale Behörde für die EU-Cybersicherheitszertifizierung
  • Untersagung des Einsatzes kritischer Komponenten
  • Freiwilliges IT-Sicherheitskennzeichen
  • Bußgeldvorschriften
Das BSI soll neue Befugnisse bekommen und zur Hackerbehörde werden
  • Unsichere Systeme hacken und Daten per Fernzugriff löschen
Nicht mehr nur defensiv schützen und beraten
  • offensiv in IT-Systeme eindringen
Mehr Personal, Geld und Befugnisse
  • IT-Systeme von Staat, Bürgern und Wirtschaft besser schützen
Mehr Kompetenzen
  • Sicherheitslücken suchen
  • Informationen von Herstellern anfragen
  • Öffentlichkeit informieren
Kernaufgabe des BSI
  • Angriffe abzuwehren und Sicherheitslücken schließen
Interessenkonflikt
  • Polizei und Geheimdienste wollen Sicherheitslücken ausnutzen (Staatstrojaner)
  • Das BSI hat bereits staatliche Schadsoftware mitprogrammiert, aber öffentlich eine Beteiligung abgestritten
„Hack Back“
  • Der neue Entwurf verbietet dem BSI nicht, Sicherheitslücken geheim zu halten und an Hacker-Behörden wie das BKA oder den BND zu geben.
Fernzugriff auf Geräte im „Internet der Dinge“
BSI soll im Internet nach unsicheren Geräten suchen
Beispielsweise mit Portscans
  • Server
  • Smartphones
  • Schlecht abgesicherte Geräte im „Internet der Dinge“
  • Überwachungskameras, Kühlschränke oder Babyfone
Unsicher sind Systeme
  • mit veralteter Software
  • ohne Passwort-Schutz
  • mit Standard-Passwörtern wie „0000“ und „admin“
Um das herauszufinden muss sich das BSI darauf einloggen
  • Für Privatpersonen ist das eine Hacking-Straftat
  • Auch ohne Daten auszuspähen oder zu verändern
Betroffene sollen benachrichtigt werden
  • Wenn Sicherheitsprobleme oder Angriffe erkannt werden
  • Dafür sollen Telekommunikationsanbieter dem BSI etwa Bestandsdaten zu einer IP-Adresse übermitteln – also mitteilen, auf wen ein Internet-Anschluss registriert ist.
Installation lückenschließender Software
Weitere Befugnisse für das BSI
  • Angriffe auf Kritische Infrastrukturen soll das BSI blockieren oder umleiten
Potentiell schädliche Geräte zur Absicherung aktiv verändern
  • Provider zur „Bereinigung“ von IT-Geräten verpflichten
  • „Installation von lückenschließender Software (Patches) bzw. Löschung von Schadsoftware“
Klingt nach Stärkung der IT-Sicherheit
  • massive Ausweitung staatlicher Befugnisse
  • Eingriff in Grundrechte
Bots werden von zentralen Servern gesteuert
  • Internet-Verkehr der Kommando-Server umleiten
  • Kontrolle über das Botnetz übernehmen
  • „Bereinigungssoftware“ auf Bots ausliefern, um Schadsoftware zu entfernen
  • Da Nutzer oft nicht wissen, dass ihr Gerät befallen ist, will der Staat diese selbst säubern
„Andere europäische Staaten machen das auch“
  • so die Begründung
Darknet-Gesetz und digitaler Hausfriedensbruch
Gesetzentwurf verschärft Strafrecht
  • Wegen veröffentlichter privater Daten
  • Neue Straftatbestände eingeführt
  • Andere verschärft
„digitale Hausfriedensbruch“
  • „unbefugte Nutzung von IT-Systemen“
  • Vorschlag, den 2016 von Hessen in den Bundesrat eingebrachte, aber scheiterte
  • Die Bundesregierung sah keine Regelungslücken in den bisherigen Gesetzen
„Darknet“-Gesetz
Innenministerium übernimmt Initiative
  • Vordergründig soll das Betreiben illegaler Märkte kriminalisieren werden
  • Bedroht auch wünschenswerte Dienste und Anonymität im Internet
Polizei soll Nutzer-Accounts von Beschuldigten übernehmen
  • um damit zu ermitteln
  • „weil in den entsprechenden Szenen den langjährig aktiven Accounts ein großes Vertrauen entgegen gebracht wird“.
  • Zum Beispiel auf Plattformen, auf denen Darstellungen von sexualisiertem Kindesmissbrauch verbreitet werden
Von Verteidigung zum Angriff
Der Gesetzentwurf ist ein Rundumschlag
  • Viele Initiativen sind sinnvoll
  • Gütesiegel
  • Informationspflichten
  • Verbraucherschutz
Von defensiv zu offensiv
  • Grundlegend Neuausrichtung
  • Hack-Back
  • Verschweigen von Schwachstellen
  • Neue Hacker-Behörde
  • Ausweitung von staatlichem Hacking
Im Internet ist aber Verteidigung die beste Verteidigung


Anhang

Siehe auch

Dokumentation

Links

Projekt
Weblinks

TMP