 Als nächstes, ihr wisst es hier, kommt Linus Neumann. Er hat im Ausschuss digitale Agenda und im Innenausschuss über den IT-Sicherheitsgesetz geredet und möchte euch heute von diesen beiden Erlebtesten erzählen. Ein großer Applaus für Linus! Hallo, ich freue mich, dass ihr es geschafft habt und euch eine halbe Stunde in diese brütende Hitze setzen wollt. Ich würde mich freuen, wenn ihr auch noch für den Talk danach bleibt, aber ich hoffe, dass ihr das auch dann überleben könnt. Ich finde das fürchterlich heiß hier und deswegen bin ich wirklich über jeden froh und jede froh, die sich trotz dieser widrigen Umstände in diese Sauna setzt, um mir zuzuhören. Politische Lösung für technische Probleme ist der Titel meiner kleinen Ausführung, die ich heute mit euch teilen möchte. Es geht dabei um zwei Stellungnahmen, die ich geschrieben habe. Einmal für den Bundestagsausschuss digitale Agenda und einmal für den Innenausschuss. Bei der Stellungnahme an den Ausschuss digitale Agenda ging es darum, dass ich mal sagen sollte, wie das denn so ist mit der IT-Sicherheit und was man tun könnte. Und bei der zweiten Stellungnahme im Innenausschuss ging es dann eher darum zu sagen, warum das, was sie jetzt tun wollen, unsinnig ist. Aber vielleicht erstmal zunächst, wenn ich sage, ich will hier politische Lösungen für technische Probleme aufzeigen oder suchen, da müssen wir uns erstmal kurz mit den technischen Problemen auseinandersetzen zu sehen. Was wollen wir hier überhaupt lösen? Wir kennen alle den Cyber, das ist eines der ersten Bilder in der Google-Suche. Insofern glaube ich, dass man ihn damals gut gesehen hat, den Cyber. Und im Cyber war ja relativ viel los. Und vor allem hat der Cyber uns in letzter Zeit auch einfach sehr viel Kummer bereitet. Und gegen diesen Kummer müssen wir ja angehen. Oder wollen wir angehen. Das ist für unsere Gesellschaft wahrscheinlich von Vorteil, wenn wir uns diesen Kummer ersparen. Ich habe da mal mir den Symantec Internet Security Threat Report 2015 angeschaut und Symantec berichtet, dass es jährlich ca. 6.500 Schwachstellen gibt, die entdeckt werden. Also in IT-Systemen generell. Und monatlich im Schnitt etwa 2 Zero-Day Schwachstellen entdeckt werden. Zero-Day heißt, diese Schwachstelle existiert in Live-Systemen und ist erst dadurch bekannt geworden, dass Angreifer sie ausgenutzt haben. Das heißt, da ist wirklich etwas. Da wusste keiner von, die Angreifer haben diese Schwachstelle ausgenutzt und erst dadurch, dass jemand zu Schaden gekommen ist, wurde die Menschheit darüber in Kenntnis gesetzt, dass in dieser Software oder in diesem System eine Schwachstelle existiert, die man aktiv ausnutzen kann. Bester Kandidat ist da so der Adobe Flash Player, wo ich mich da tatsächlich wunderbar, dass diese Anzahl von Tagen tatsächlich noch so gering ist. Die Anzahl von Sicherheitslücken, die da gefunden werden. Und ich denke, der erschreckende Teil ist, dass die laut Symantec die Top 5 Zero-Days 2014, Fehler in den Folien, im Schnitt nach 59 Tagen gefixt wurden. Also waren die Nutzer insgesamt ungefähr 295 Tage des Jahres 2014, wenn sie all dieses Software genutzt haben, einem Angriffsrisiko ausgesetzt. Und ich denke, da kann man sagen, das wäre schön, diese Zahlen alle zu verringern. Also von der D6000 möchte man natürlich eigentlich erhöhen, weil Schwachstellen, die da sind, sollen entdeckt werden. Die Zero-Days, die ausgenutzt werden in der Wildbahn, wollen wir natürlich verringern und natürlich auch diese Zeit wieder gefixt wird. 2014 war außerdem das Jahr der äußerst kritischen und äußerst peinlichen Security Bugs, die in allen drei Fällen, die ich hier mal ausgesucht habe, gefunden wurden, bevor sie ausgenutzt wurden. Wir haben den Go-to-Fail bei Apple, der war bei seiner Entdeckung anderthalb Jahre alt, Fehler in der TLS Library von iOS und MacOS. Also anderthalb Jahre lang schlummerte diese Schwachstelle für jeden verfügbar in allen Geräten, wurde am selben Tag für iOS gefixt, fünf Tage später für Mac und hat damit den Preis verdient als zweit schnellst gepushtes Update, was Apple je seinen Nutzern aufgeholfen hat. Nur das U2-Album, was es vor einem Jahr gibt, kam schneller zu den Nutzern. Wir haben Hartlead jedem bekannt, alter bei der Entdeckung zwei Jahre. Zwei Jahre lang waren wir alle diesem Angriffsrisiko ausgesetzt und hatten wenige bis gar keine Möglichkeiten zu sehen, ob eventuell derartige Angriffe schon längst durchgeführt wurden. Fix kam am selben Tag wie die Veröffentlichung, ist nicht geschwierig, weil veröffentlicht wurde der Fix mit dem Wissen über die Schwachstelle. Special Feature erster Bug hatte ein Logo, bevor es cool war ein Logo für einen Bug zu haben. Auch hier, da kann man durchaus einen Applaus geben. Und Shellshock, eine Schwachstelle in der Bash, alter bei Entdeckung 25 Jahre. Das ist nach meiner Kenntnis das älteste CVSS-Szen, was es irgendwie gibt. Und wie mein Freund Peter mich hinwies, alter als der IP-Stack von Windows. Also wirklich muss das Älteste sein, weil der IP-Stack von Windows, denke ich, auch im CVSS-Szen-Bereich ist. Also wir haben Probleme und wir haben vor allem feststellen müssen, dass die so oft proklamierten Selbsteilungskräfte von Open Source Software nicht so wirklich so gefunktioniert haben, wie wir uns das wünschen. Alle diese drei Beispiele, die Open SSL Library oder die SSL Library von MacOS, als auch Open SSL, als auch Bash, sind Open Source Programme. Und wir gehen ja immer davon aus, ja, Open Source, das viel sicherer, weil alle drauf gucken können. Und die Realität sieht dann eben doch ein bisschen anders aus. Und wir stellen irgendwie fest so diese Open Source-Qualitätssicherung. Ich glaube, da müssen wir uns einfach eingestehen, da haben wir noch Defizite. Und ökonomische Anreize des Software sicher zu machen, haben offenbar ebenfalls versagt. Weil hier habe ich einfach mal, um ein paar Leute, einfach ein paar Firmen anzupissen, welche rausgesucht, die von Hard Lead betroffen waren, laut der Seite Mashable.com. Und mal so deren Jahresumsatz gegoogelt. Und die hätten natürlich alle durchaus das Geld gehabt, mal Open SSL zu auditieren und jemanden dafür zu bezahlen, diese Libraries sicher zu machen. Facebook hat ja inzwischen auch noch mal eine eigene SSL Library geschrieben. Aber wir sehen, wir haben hier Jahresumsätze, die sind durchaus relevant. Und die werden alle geschützt von, oder unter anderem geschützt, von Open Source-Produkten, die irgendwie keiner auditiert hat. Das finde ich bedauerlich. Und ich glaube daran liegt daran, dass wir ein soziales Dieselämmer haben. Denn wenn ich in Open Source-Software investiere, muss ich dafür Geld ausgeben. Gleichzeitig profitiert aber die Allgemeinheit. Also auch diejenigen, die nicht investieren. Und das führt natürlich zu so einer Trip-Rettfahrer-Mentalität, dass ich sage, okay, Open SSL ist der Industriestandard. Da sitzen wir eh alle in einem Boot. Das heißt, da kann mir auch niemand Ärger machen, wenn ich dann über eine Sicherheitslücke stolpere. Und warum soll ich da rein investieren, wenn alle anderen das auch tun könnten und ich dann mit profitiere? Nun also zu den von mir vorgeschlagenen politischen Lösungen. Das ist also das, was ich im Ausschuss digitale Agenda erzählt habe. Am Anfang des Jahres, 2014, glaube ich, wo ich also gesagt habe, okay, ich glaube folgende Maßnahmen werden in der Politik angemessen, um dazu beizutragen, dass wir alle sichere Computersysteme haben. Mit wir alle meine ich natürlich uns als Bürger auch. Und auch die Firmen, die die deutsche Politik natürlich immer deren Interessen die deutsche Politik vertreten und schützen möchte. Aber wo sind überhaupt politische Einflussmöglichkeiten bei technischen Problemen? Die Bugs sind ja irgendwo technisch da. Wir haben entweder wirkliche Schwachstellen, also Programmierfehler, Buffer Overflow, da hat der Programmierer nicht aufgepasst. Da ist ein Fehler, da ist ein Mangel in der Qualität des Codes, den man ausnutzen kann. Wir haben dann auch noch so diese Idee, der Backdoor, also ein Fehler, der da vielleicht nicht ganz unabsichtlich drin ist, aber wie ein Fehler aussieht. Wir haben Backdoors, also Fernzugriffsmöglichkeiten, die vielleicht absichtlich dort eingebaut wurden. Und wir haben Designschwächen, wo Systeme vielleicht einfach so gebaut wurden, dass sie einfach offene Flanken haben, die andere angreifen können, das kann auch nichts mehr daran machen. Demail wäre zum Beispiel so eins. Aber all diese Fehler sind nicht wirklich auf der politischen Ebene, und deswegen möchte ich euch noch ein paar Sachen vorstellen, wo wir über das erweiterte OSI-Modell herrschen dann noch Uneinigkeit, wo dann jetzt Religion anzuisiedeln ist, ob noch mal über Politik oder so. Da gibt es also Streitereien. Aber wir sehen da oben ungefähr auf Ebene 10, die Politik. In der Politik herrscht vor, das wissen wir alle, ein Kompetenzmangel, denn wenn Politikerahnung von IT-Security hätten, dann wären sie nicht als Politiker geendet. Gleichzeitig stehen Sie unter Zugzwang, um wirklich mal was zu tun, weil wir müssen ja jetzt mal was tun. Und das naheliegendste ist, natürlich dann ein Security-Theater zu machen. Also eine Maßnahme, die möglichst sichtbar ist, aber relativ wirkungslos, oder bei der die Wirkungslosigkeit egal ist. Da wird die Wirksamkeit hinter die scheinbare Wirksamkeit zurückgestellt wird. Wir kennen das vom Flughafen, wenn wir irgendwie unsere zu großen Zahnpastatuben abgeben müssen. Da denken wir alle, oh, oh, oh, das passt, und am Ende werden die Flugzeuge einfach auf anderen Wege runtergeholt mit anderen Mitteln, die wir ohne Probleme da reinbringen können. Dann muss diese Politik auf die Organisation wirken, damit mein ich jetzt mal die Unternehmen oder die Gruppierungen, die die Software zu verantworten haben. Und da haben wir viele Probleme, wenig Zeit und in der Regel bei Unternehmen einen anderen Fokus. Die interessiert, dass ihre Geschäftsinternessen geschützt werden notwendig ist IT-Sicherheit zu machen, dann tun sie das auch. In der Regel bleiben aber Nutzer zum Beispiel da ein bisschen im Hintertreffen. Und das liegt daran, dass in den Organisationen dann dysfunktionale KPI's vorherrschen. Wer weiß, was ein KPI ist. Das sind die Berater in diesem Publikum. KPI ist ein Keep Progress Indicator, ist das richtig? Ah, Keep Performance Indicator, da einigt man sich dann mit dem McKinsey-Konzalten drauf, was jetzt fürs nächstes Jahr die Zielerreichungen sind, woran man seine eigene Leistung messen möchte. Und diese KPI's könnte man natürlich zum Beispiel so machen, dass man sagt, pass auf, wir möchten, dass die Zeit verringert wird, in der du Schwachstellen fixst, wir wollen, dass du mehr Schwachstellen findest und so weiter. Aber in der Regel sind die KPI's so gestellt, dass gesagt wird, okay, wir möchten, dass du möglichst wenig Geld ausgibst und dass du uns möglichst wenig Ärger machst. Und das führt dazu, dass Sicherheitsverantwortliche in der Regel so eine Cover My S-Strategie fahren. Also sie sorgen, sorgen sich einfach die Zertifizierung, die sie brauchen und sorgen dafür, dass sie die weiterhin erfüllen. Und damit entgehen sie so dem Vorwurf der Nachlässigkeit und entgehen damit den Haftungsfragen. Und da haben sie ihre Arbeit gut gemacht. Und da kommt zu diesem Nobody Was Ever Fired For Buying IBM oder Microsoft so eine ganz andere Komponente hinzu, weil da jetzt mal wirklich spontan, proaktiv was Interessantes zu machen, birgt immer das Risiko, dass nachher einer sagt, ey, Industriestandard ist aber was anderes. Und da sehe ich eben auch das soziale Dilemma, dass man sagt, solange wir so gut oder so schlecht sind wie alle anderen, brauchen wir nicht zu investieren. Dann haben wir dazwischen nochmal den User, das möchte ich überspringen, weil wir versuchen hier in einer halben Stunde fertig zu werden und da ist ja sowieso aller Tage Abend. Und dann kommt irgendwann erst die tatsächliche Vulnerability oder auch nicht, denn wenn wir sie nicht kennen, wissen wir auch nicht, ob sie da ist oder nicht. Könnte auch da sein oder da, oder da, oder da. Und das heißt, wir haben da nur sehr, die sehr indirekte Möglichkeiten. Wir müssen Anreize schaffen, dass die Leute genau da wirken, wo die Schwachstellen sind. Und bisher machen wir das mit solchen Zeichen. Diese Schilder werden also Programmierer davon abbringen, schlechten Code zu machen und diese Schilder werden Hacker davon abhalten zu hacken. Deutsches IT-Sicherheitszertifikat, de-acreditierter, de-mail-Diensteanwieter ISO 27001, wo man sich auch irgendwie als Pommesbude registrieren lassen kann, wie ein guter Freund von mir immer wieder betont. Der ist übrigens ISO 27001's Auditor und wenn ich dann irgendwann mal eine Pommesbude aufmache und Gammelfleisch verkaufe, weil ich Vegetarier bin, dann kann ich meine Mitarbeiter in Datensicherheit und Informationsschulen lassen und dann werde ich die erste ISO 27001-Zertifizierte Pommesbude werden. Dank dir. So und dann haben wir die Probleme, die wir lösen müssen. Ich hatte gerade gesagt, ich sehe hier ungefähr in drei Bereichen. Wir haben einmal die Softwarequalität, da geht es dann wirklich um Bugs und Backdoors und so. Wir haben dann noch mal die Infrastruktur, wo es eigentlich darum geht, wie muss meine Infrastruktur aufgebaut sein, dass vielleicht die Probleme in der Softwarequalität nicht so gravierend sind. Da sehe ich zum Beispiel dezentrale Infrastruktur, stärkere Verschlüsselungsstandards, Ende-zu-Ende-Krypto, das sind alles Sachen, die im Prinzip nur dann notwendig werden oder von denen wir dann etwas haben, wenn im ersten Bereich was schief gegangen ist. Im ersten Bereich können wir nur sagen, okay, regelmäßige unabhängige Audits, Backbounties ausloben und eventuell zu sagen, wir möchten, dass proprietäre Systeme, die uns angedreht werden, mit Haftung versehen sind. Das geht natürlich nicht bei Open Source Software, aber bei so einem Betriebssystem, da könnte man durchaus mal über Haftung nachdenken, wenn man sich anschaut, mit wie vielen Mengen das ausgeliefert wird an die Kunden. Und als dritten Punkt habe ich dann noch gesagt, okay, wir möchten eigentlich auch gerne eine Unabhängigkeit und Belegbarkeit für die Maßnahmen, die politisch gefordert werden. Das Bundesamt für Sicherheit in der Information Technik untersteht dem Innenministerium, weiß man nicht, ob das jetzt so besonders unabhängig ist und als Interesse hat, dass wir alle sicherer werden. Und was ich mir dann noch wünschen würde, wäre das Überwachungsgesetz regelmäßig evaluiert werden. Wir stehen jetzt vor der erneuten Einführung einer Vorratsdatenspeicherung. Denke, okay, wenn wir die in Karlsruhe nicht sowieso sofort gebremst bekommen, dann würde ich mir schon wünschen, dass man nach einem Jahr gesagt wird, okay, was hat uns die Vorratsdatenspeicherung gebracht? Hat sie uns was gebracht? Nein, oh, schade, der Wirksamkeitsnachweis fehlt. Zack, da müssen wir das leider wieder einkassieren. Stattdessen, ihr seht auch, ich bin Berater, ich mache jetzt hier diese drei Boxen und gehe auf jede noch mal etwas mehr ein. Proaktivität heißt, wir wollen schneller sein als der Angreifer. Und was mich bei der ganzen Securitybranche ärgert, insbesondere bei den Produkten, ist, dieser ganze präventive Bereich ist immer so am Hinterherrennen. Oh, neue Sicherheitslücke, jetzt müssen wir ein Patch machen. Oh, neuer Virus, jetzt müssen wir die Signatur in unseren Virenscanner einpflegen. Dieser gesamte präventive Bereich kümmert sich nur um bekannte Sicherheitslücken. Und nicht darum, tatsächlich mal die Anzahl bekannter Sicherheitslücken zu erhöhen und schneller zu sein als der Angreifer. Ich hoffe, ich habe deshalb es vernünftig dargestellt. Moment, da fehlt jetzt eine Folie. Vielleicht auch nicht. Okay, und dann interessiert mich, wie kann man denn die Softwarequalität erhöhen? Ich bin da jetzt insbesondere bei Open Source Software. Und was ich da echt cool finde, sind sogenannte Backbounties. Backbounties sind aus ökonomischer Perspektive sehr sinnvoll, weil du lobst einfach einen hohen Preis aus, sagt okay, Remote Code Execution in OpenSSL, wer den Back findet, kriegt von uns 250.000 Euro. Und dann gehst du halt langsam mit dem Preis hoch. Und dann hoffst du, dass irgendwann mehrere Forscher daran arbeiten, die du eigentlich alle nicht bezahlen musst, wenn sie nicht zum Ergebnis kommen. Also Backbounties sind, nun ja, vielleicht auch für Securityforschern ein bisschen Asi, aber sie sind aus einer ökonomischen Perspektive für die Sicherheit ganz interessant. Das Problem ist, heutige Backbounty-Programme versprechen einfach zu wenig Geld. Und wir haben so diese wunderschöne Firma Whoop'n, die regelmäßig bei so Pone to Own und solchen Contests auftritt, Remote Code Execution in Chrome zeigt und das einfach nur auf deren Bühne präsentiert und die, ich glaube, 60.000 Euro Preisgeld nicht kassieren möchte, weil diese daran gebunden sind, dass sie die Schwachstelle zeigen, die sie ausgenutzt haben und dadurch dazu weitragen, dass sie entfernt wird. Und die tun das einfach nicht, gehen dahin und sagen, wir sollen hier Remote Code Execution in Chrome machen, alles klar, wunderbar, hier haben wir präsentiert und dann sagen die, zeig mal, wie ihr das gemacht habt und dann sagen die, nee, wir haben andere Kunden, die zahlen uns ein bisschen mehr als ihr. Und deswegen möchten wir eigentlich, dass diese Sicherheitslücke bestehen bleibt, wir wollten nur mal zeigen, dass wir sie haben. Und das ist natürlich so ungefähr das Assozialste, was man tun kann bei so ehrlichen Wettbewerben. Und ich glaube, das Einzige, was wir tun können als Gesellschaft, ist dafür zu sorgen, dass wir eben als Zivilgesellschaft oder als staatliche Organisation in der Lage sind, den die Preise zu zahlen, die sie gerne hätten für ihre Arbeit und damit den schwarzen Markt für Sicherheitslücken, der hauptsächlich durch Geheimdienste angeheizt wird, trocken zu legen. So, dann haben wir noch mal die Frage der Haftung. Sicherheitsversprechen werden einfach nicht gehalten, es gibt diesen schönen Ausspruch und ich vergesse jedes Mal, wenn ich incitiere von wem er irgendwann mal originär war, es gibt nur zwei Anbieter in unseren Märkten, die ohne jegliche Haftung operieren können, das sind Drogenhändler und Softwarehersteller. Und beide nennen ihre Kunden User. Und wenn da Sicherheitsversprechen nicht gehalten werden oder Patches zu spät kommen, wie diese 59 Tage, ich denke in diesen Bereichen kann man zumindest bei proprietären Produkten und bei offenkundiger Fahrlässigkeit durchaus mal über Haftung nachdenken, das wäre sicherlich ein sehr starker ökonomischer Anreiz für die Unternehmen, doch mal von vornherein Produkte zu liefern, die vielleicht ein bisschen besser durchdacht sind. So, jetzt haben wir seit 20 Jahren IT-Produkte oder so was, oder seit mehreren Dekaden, wir haben seit mehreren Dekaden Sicherheitsprobleme, wir finden mehrere Tausend Schwachstellen pro Jahr, woran liegt das? Anbieter sagen, wir wollen die Kosten senken und unseren Profit maximieren, Kunden können Sicherheit einfach nicht sehen, verstehen oder prüfen, genau deshalb kriegen sie ja dann auch diese schönen Zertifikate vom BSI und am Ende wird da über Security nicht wirklich nachgedacht. Ihr kennt das auch, man wird häufig gefragt, ja ist Folgendes denn sicher? Und da muss man immer sagen, ja, was ist denn der Angriff, vor dem würde ich fürchten, da muss also jemand drüber nachdenken und ich denke die Möglichkeit da wirklich anzugreifen sind einfach Vorschriften zu sagen, okay, du willst diesen und jenen Dienst anbieten, folgende Sicherheitsstandards verlangen wir von dir, der ganze Kram soll mal ordentlich dezentral sein, wir wollen starke Krypto sehen und nicht irgendeine und wir verlangen Ende zu Ende Krypto und das kann man natürlich gesetzlich erzwingen und das ist natürlich dann auch unter Umständen ein ökonomischer Vorteil. Das Problem ist, das kann man nur erzwingen, wenn man es kompetent macht und nicht den Fehler macht den Anbietern so eine Art freiwillige Selbstverpflichtung anzubieten. Dazu komme ich später nochmal. Die letzte Forderung, ich muss kurz ein Schluck Wasser trinken, weil ich austrockne. Oh, danke. Schauen wir uns mal an, das Innenministerium, ja, Lothar, Thomas de Maizière hat glaube ich, so das letzte Interesse, was dieser Mann auf Erden hat ist, dass unsere IT-Systeme sicherer werden. Schauen wir uns mal an, was dem unterliegt, die Polizei mit ihrer Strafverfolgung, die sind hauptsächlich damit beschäftigt mit Vorratsdatenschweichern zu fördern. Wir haben das Bundesamt für Verfassungsschutz. Die sind hauptsächlich damit beschäftigt, Nazis Strukturen aus und aufzubauen, Journalisten zu verfolgen und Akten zu schreddern. Das letzte, was die wollen, ist, dass unsere IT-Systeme sicherer werden. Dann haben wir den BND, der kürzlich 4,5 Millionen Euro gefordert hat, zum Kauf von Zero Days, also genau den Schwachstellen, von denen wir alle nicht wissen und die sicherlich nicht kaufen wollte, um sie uns zu verraten, damit wir besser geschützt sind. Und dann haben wir das BSI, was jetzt im neuen IT-Sicherheitsgesetz für uns eine entscheidende Rolle spielen soll, ist aber hauptsächlich dafür bekannt, dass es absichtlich geschwächte Security Standards vorstellt und an der Entwicklung von Bundesdroyalern mitwirkt. Und das soll jetzt in Zukunft die Zero Days eliminieren, die die Kollegen vom BND nebenan gekauft haben. Also, das glaubt der wohl selber nicht. Deswegen unsere Forderung als CCC, so zagt BSI ausgeliehen als eigenständige Behörde, dann kann man dem wenigstens trauen und für das Bundesinnenministerium mit all seinen komischen während Vorstellungen dann mal einfach Evaluationen einführen, damit ihnen dann auch mal selber vor Augen geführt wird, dass all diese Überwachungsmaßnahmen, die sie uns da aufbühren wollen, am Ende sowieso nichts bringen, sodass wir uns besser auf den Teil konzentrieren, uns wenigstens zu schützen gegen diejenigen, die uns angreifen. So, soweit das, was wir so vorgeschlagen haben, dann was das mit dem wir nachher konfrontiert wurden. Ich hatte dann in meinem Briefkosten irgendwann einen Entwurf zum IT-Sicherheitsgesetz. Was ist passiert? Schwarzer Bildschirm. Ja, so fühlte ich mich auch. Es gibt Änderungen, also Gesetze werden heute ja nur noch so ähnlich als DIFFS veröffentlicht. Ja, das ist echt ganz interessant. Der Text des Gesetzes ist dann, an der und der Stelle wird der und der Absatz hinzugefügt, der und der Absatz gestrichen, der und der Absatz geändert. Also haben sie durchaus ein bisschen was von uns gelernt. Das BSI-Gesetz soll geändert werden. Kernpunkt ist da die Meldepflichten gegenüber dem BSI und die Mindeststandards und die Ansprechpartner, die Firmen bereithalten sollen. Also nachdem jetzt mit der Allianz für Cyber-Sicherheit mehrere Jahre erfolglos der Versuch unternommen wurde, dass Unternehmen mit dem BSI zusammenarbeiten, sollen sie jetzt dazu verpflichtet werden. Im Telemediengesetz sollen auch Mindeststandards verlangt werden. Da ging es früher auch mal um angemessene Authentifizierung und dann soll denen mehr Rechte zur Datenspeicherung gegeben werden. Übrigens viel mehr als die Vorratsdatenspeicherung jemals vorgesehen hat und dann mit sehr viel geringeren Hürden für den Zugriff. Im Telekommunikationsgesetz wird einfach nur eine Meldepflicht eingeführt gegenüber der B-Netz A. Das hat den Hintergrund, dass die Telekommunikationsanbieter sowieso eine Meldepflicht gegenüber der B-Netz A haben und die wollen denen nicht zwei Ansprechpartner geben. Und das BKA wird jetzt zentrale Stelle für Cybercrime und dann gab es noch einen ganz interessanten Teil im ersten IT-Sicherheitsgesetz, wo es um Exportregulationen ging für IT-Sicherheitsprodukte, die dann ähnlich wie Militärgüter gehandelt werden sollten. Der wurde aber dann gestrichen. Insofern gab es dann nur Änderungen in den folgenden vier Bereichen und wieder werde ich die jetzt von A B nach C D durchgehen. Also das mit den Meldepflichten ist nämlich eigentlich ganz einfach. Ich habe hier mal eine Folie gemacht, dass Innenministerium definiert wer kritische Infrastruktur ist, hat das aber bisher noch nicht getan. Das BSI gibt dann Mindeststandards vor. Die Betreiber haben aber Vorschlagsrecht, weil wie soll auch das BSI auf einmal wissen, wie man für alle möglichen kritischen Infrastrukturen in Deutschland vernünftige Sicherheitskonzepte schreibt. Wo sollen die, haben wir gar nicht die Ahnung. Sie beraten aber dann bei der Erfüllung dieser Sicherheitsstandards und auditieren die. Die Unternehmen, die die kritischen Infrastruktur betreiben, müssen dann alle zwei Jahre einen Nachweis über die Erfüllung der Sicherheitsstandards in geeigneter Form erbringen und haben eine Meldepflicht bei IT-Beeinträchtigungen. Die können Sie aber auch anonym melden und bei einem Ausfall müssen Sie, stehen Sie in der Meldepflicht, das auch unter Ihrem Namen zu melden. Und dazu müssen Sie dezidierte Warn- und Alarmierungskontakte bereithalten. Die Idee dahinter ist es so, wenn das erste Atomkraftwerk gehackt wird und ausgeht und wir alle das nicht merken, dann erfahren wir das wegen der Meldepflicht, die die gegenüber dem BSI haben und dann wird durch die Warn- und Alarmierungskontakte verhindert, dass weitere Atomkraftwerke gehackt werden. Und das wunderschöne, was wir oben reinbekommen, ist dann ein jährliches Lagebild über Sicherheitslücken, Schadprogramme, erfolgte und versuchte Angriffe. Wer in der IT-Security arbeitet, der weiß, was so jährlich in dieser Branche bedeutet. Die Folie ist ein bisschen komplex und die Folien, die man sich nicht unbedingt merken muss, habe ich mit so einem kleinen Symbol oben in der Ecke versehen, sodass ihr da besser drauf schauen könnt. Schauen wir uns an, die Sicherheitsstandards, die dann verpflichtend werden sollen und bei verstoßt gegen selbige, die Unternehmen Ärger bekommen sollen, die sollen sie am Ende selber schreiben. Und das heißt, die Unternehmen, sagen wir mal jetzt Energiewirtschaft, Energiewirtschaft hat einen Branchenverband. Dieser Branchenverband hat dann einen Vorschlagsrecht für ein IT-Sicherheitskonzept. Dieser Branchenverband wird dieses IT-Sicherheitskonzept dann dem BSI reichen. Dort wird ein kompetenter Sachbearbeiter das IT-Sicherheitskonzept lesen und sagen, okay, könnte er so machen oder könnte er so nicht machen. Und ich vermute natürlich nicht, dass der Sachbearbeiter im BSI jetzt so viel Ahnung hat, wie man jetzt zum Beispiel Atomkraftwerke sichert oder nicht. Also, was wird passieren? Die Unternehmen sitzen in diesem Branchenverbänden zusammen und jeder bringt seinen Stapel IT-Sicherheitskonzept mit. Es ist ja nicht so, als hätten die keines. Und die sind natürlich erst mal unterschiedlich geschrieben, unterschiedlich formuliert, haben unterschiedlich sortiert. Und jetzt müssen die Unternehmen erst mal schauen, was ist denn so unser kleinster gemeinsamer Nenner. Und dann haben sie am Ende eigentlich zwei Möglichkeiten. Ich stelle mir das so vor, die stehen eigentlich, das habe ich denen auch mal selber empfohlen in so einem Branchenverband, als sie mich gefragt haben. Habe ich gesagt, pass auf. Ihr geht hin, ihr legt alle eure Stapelsicherheitskonzept auf den Tisch und wer den niedrigsten Stapel hat, den Stapel reicht ihr ein. Das wäre Option 1. So habt ihr am wenigsten Arbeit, dann müsst ihr nämlich nicht an euren Sachen, müsst ihr nicht aktiv eure Sicherheitskonzepte nochmal verändern. Option 2 wäre ihr nehmt einfach statt dem kleinsten gemeinsamen Nenner das größte gemeinsame Vielfache. Also alles, was in irgendeinem Sicherheitskonzept steht, reicht das zum BSI hoch, das BSI macht das für euch dann zur Pflicht und wenn ihr das dann nicht innerhalb von zwei Jahren erfüllt, dann steht ihr irgendwo am Pranger. Das heißt, es ist relativ klar, welche Wahl die Unternehmen wohl treffen werden, nämlich einfach das einzureichen, wo sie am wenigsten Ärger mit haben. Und das wäre dann eben der Ordner auf der rechten Seite. Das heißt, durch diese Selbstregulierung gibt es eigentlich keinen Anreiz über bestehende Sicherheitskonzepte hinauszugehen. Und wenn wir den Anreiz nicht haben, dann können wir uns das ganze Gesetz knicken. Dann hatten wir das mit den Telemediendiensten, die jetzt sicher sein müssen. Telemediendienste sind also Content und Hosting-Anbieter und die müssen angemessene organisatorische und technische Vorkehrungen zum Schutz der Systemekomponenten und Prozesse treffen. In einer früheren Version stand auch was von angemessener Authentifizierungsverfahren, das wurde aber gestrichen. Angemessene organisatorische und technische Vorkehrungen heißt am Ende nur Mindeststandards. Und sie dürfen Nutzungsdaten zum Eingrenzen und Erkennen von Störungen speichern. Das ist eine Erweiterung des bestehenden Paragraf 15 Abs. 9 Telemediengesetz, der dann genauso ist wie der Paragraf 100 Abs. 1 Telekommunikationsgesetz, wo Ihnen einfach gesagt wird, ja, ja, zum Erkennen von Störungen dürft Ihr alle möglichen Benutzerdaten speichern. Da steht noch nicht mal eine Speicherfrist bei. Und das sind die Daten, die herangezogen werden, wenn Ihr Abmahnungen für Falschereignungen bekommt. Denn die Daten sind dort zwar zu einem anderen Zweck, aber die juristische Überlegung ist, wenn die einmal da sind, dann kann man ja wohl im Rahmen der zivilen Rechtsbesetzung einer einfachen Abmahnung ja wohl auch darauf zugreifen. Und ich denke nicht, dass es angemessen ist, hier das Ausmaß der Datenspeicherung zu erhöhen, sondern viel mehr natürlich es zu verringern. Denn wenn wir IT-Sicherheit haben wollen, dann ist der beste Weg immer, Daten überhaupt nicht erst anfallen zu lassen, wenn man nicht möchte, dass sie einem nachher weggehackt werden. Und das ist genau der Punkt. Ja, wir kennen das, wo ein Trog ist, da sammeln sich die Schweine und die stehen natürlich jetzt auch schon bereit. Ich habe hier mal verglichen mit der EU-Richtlinie und der Vorratsdatenspeicherung, die wir schon hatten. Bei dieser erweiterten Datenspeicherung müssen wir euch einfach nur so vorstellen, das ist der Zugriff auf Vorratsdatenspeicherungsdaten, wenn es nicht um wirkliche Strafverfahren geht, sondern einfach nur um zivile Rechtsdurchsetzung. Absolut am Mist. Und dann hatten wir noch diesen schönen Teil, das BKA bekommt die Juristiktion über den Cyberspace. Da sieht man also mal, was es alles für Gesetze geht und dann gibt und die irgendwie Computerkriminalität betreffen. Wir haben das Ausspähen und das Abfangen von Daten und die Vorbereitung des Selbigen. Die Vorbereitung des Selbigen, das ist der sogenannte Hackerparagraf, wo man sagt, okay, wer anderen, wer Pen-Testing-Tool schreibt und weiß nicht, Demos für Vulnerabilities, der hilft im Prinzip anderen dabei, Daten auszuspähen oder abzufangen und kann deshalb bestraft werden dafür. Das ist die rechtliche Grauzone, in der alle IT-Sicherheitsforscher in Deutschland operieren und die wir natürlich als CCC unbedingt loswerden müssen. Denn das Entstehen von IT-Sicherheit geht eben nur durch das Entfernen von IT-Unsicherheit und dafür brauchen wir freie Forscher, die entsprechend ausgestattet sind. Wir haben dann noch den Paragrafen 263 STGB Computerbetrug und 303 A STGB Datenmanipulation. Damit müsste als allererstes zum lokalen Scheref gehen. Die besonders schweren Fälle werden dann zum LKA hochgereicht und wenn es um nationale Bedeutung geht oder besondere Schwere oder Bundeseinrichtungen betroffen sind, dann geht es direkt zum BKA. Weiter kann man sich von IT-Sicherheit nicht entfernen als mit solchen komischen Behördenstrukturen. Ich fasse zusammen und ich freue mich in meinem Zeitrahmen knapp geblieben zu sein. Unser erster Kritikpunkt war der Endnutzerschutz. Denn der Endnutzerschutz kommt in diesem gesamten IT-Sicherheitsgesetz überhaupt nicht vor. Unternehmen wissen nämlich ihre eigenen Interessen zu schützen. Die wissen sehr wohl und ganz genau, welche Daten wichtig sind und welche nicht für ihren Jahresumsatz. Und die Nutzerdaten, vor allem bei Telemedienanbietern oder Telekommunikationsanbietern, die sind etwas, was denen eigentlich völlig egal ist. Denn die Erfahrung der letzten Jahre zeigt, dass wenn wir da ein Breach haben, mal ein größeres Problem mit Nutzerdaten, die irgendwo abfließen, das hat letztendlich null Konsequenzen. So, die Kunden wandern nicht ab, die Kunden müssen, können keine Strafen fordern, können keine Entschädigungen fordern. Es kann dir scheißegal sein, du bist irgendwie ein paar Tage schlecht in den Medien und machst einen schlechten Eindruck. Halbes Jahr später machst du irgendeine Security-Transparenzoffensive und bietest den Leuten irgendeinen Messenger an und sagst hier, der ist jetzt sicherer und du hast einfach keinen Image-Schaden. Dieser Image-Schaden, von dem wir da immer reden, den halte ich für größtenteils ein Witz und da brauchen wir unbedingt klare Ansätze zum Endnutzer-Schutz, die finden wir im IT-Sicherheitsgesetz nicht. Zweitens, das Problem der Bürokratie. Ich möchte in der IT-Sicherheit statt Bürokratie einen proaktiven Ansatz, ich möchte nicht, dass IT-Sicherheit verwaltet wird, ich möchte, dass IT-Sicherheit hergestellt wird und zwar aktiv in einem Wettrennen der Unternehmen untereinander und in einem Wettrennen gegen die Angreifer. Wie man das nicht erreicht ist auf jeden Fall ein Vorschlagsrecht, denn das Unternehmen, das ein Sicherheitskonzept dem BSI einreicht, das es selber noch nicht erfüllt und damit das Risiko eingeht, bei nicht erfüllen mit Strafe belegt zu werden, das möchte ich erst mal sehen. Insofern bin ich relativ sicher, auch aus Quellen, die ich hier nicht zitieren darf, dass die Branchenverbände natürlich da so ungefähr das kleinste und schmalste Sicherheitskonzept hochreichen werden, was ihnen gerade einfallen kann und was nicht mehr lächerlich ist und was sie auf jeden Fall alle erfüllen. Und ich freue mich schon auf die Unternehmen, die morgen darauf hinweisen, dass sie das vom BSI erverlangte Sicherheitskonzept beim Weitem über erfüllen. Dann haben wir noch den Datenschutz, wie gesagt, für die ganz Einfachen unter uns. Je weniger Daten gesammelt werden, desto weniger werden uns nachher weggehackt und wir sehen hier diese Datensammlung erfolgt aus ganz anderen Interessen. Und dann natürlich die Forderung nach der Unabhängigkeit des BSI, denn das BSI soll ja an dieser Stelle jetzt das ganze Wissen über die Angriffe auf deutsche Infrastrukturen und deutsche Unternehmen bekommen und das BSI wäre doch völlig verrückt, wenn es dieses Wissen nicht weitergeben würde an seine Kollegen von BKA, BND, Polizei und Verfassungsschutz. Und deswegen glaube ich nicht, dass es eine kluge Idee ist, dass Bundesamt für Sicherheit in der Informationstechnik in seiner momentanen strukturellen Aufhängung tatsächlich mit Wissen über IT-Sicherheitslücken zu füttern. Und wir hoffen, dass sich daran irgendwann mal etwas ändern wird. Denn grundsätzlich ist so eine unabhängige Behörde, die sich der IT-Sicherheit von Bürgern annimmt, eigentlich echt eine tolle Idee. Es ist nur schlecht, wenn sie im Bundesinnenministerium aufgehängt ist. Danke sehr.