Digitale Gefahrenabwehr – Sicherheitslücken entdecken und schließen

I. Sachverhalt

Viele Unternehmen und auch öffentliche Einrichtungen wie Krankenhäuser[1] oder jüngst nordrhein-westfälische Ministerien waren schon Opfer von Angriffen auf ihre Netzinfrastruktur. Kriminelle führen mit komplexen und höchstmodernen Mitteln Online-Erpressungen durch und demonstrieren, dass sie sogar Industriesteuerungen für Hochöfen[2] kontrollieren können.

Überhaupt ermöglicht werden Angriffe dadurch, das Softwaresysteme niemals fehlerfrei sind. IT-Systeme stürzen ab oder tun manchmal nicht das, was von ihnen erwartet wird. Viele dieser Fehler lassen sich dann dazu nutzen, ein System zu kompromittieren, um Schadsoftware einzuschleusen und zu installieren.

Da IT-Systeme heutzutage überall zu finden sind, in Autos, in Ampelsteuerungen, in Insulinpumpen, Hörgeräten, Herzschrittmachern, Industriesteuerungen, Mobiltelefonen und in Kritischen Infrastrukturen, kommt dem Schutz der Systeme eine besondere Bedeutung zu.

Digitale Einbrüche benötigen Fehler, benötigen Schwachstellen und digitale Hintertüren. Die Suche nach diesen Fehlern ist deshalb ein lukrativer Markt geworden. Gefundene Fehler, die einen unerwünschten Zugang zu einem IT-Systems öffnen, sog. Sicherheitslücken, können für viel Geld auf dem Schwarzmarkt an Kriminelle verkauft werden oder häufig gegen eine Belohnung an den Hersteller gemeldet werden. Nur wenn die Hersteller von den Sicherheitslücken erfahren, können sie die Lücken schließen und mit Updates ihre Kunden schützen.

Ohne eine Information und ohne ein Update des Herstellers sind die Systeme von Unternehmen, der Bevölkerung und der öffentlichen Hand nicht sicher und einer Gefahr ausgesetzt. Eine vorhandene Sicherheitslücke ist eine offene Hintertür, die innerhalb kürzester Zeit von Kriminellen ausgenutzt werden kann. Daher ist die Erstellung von Updates durch die Hersteller und eine Aktualisierung der Softwaresysteme durch die Nutzer extrem zeitkritisch.

Gleichzeitig erfahren und entdecken unterschiedliche Teile der Landesverwaltung, das Landes-CERT und Forscher an den nordrhein-westfälischen Universitäten von unterschiedlichen Sicherheitslücken diverser IT-Produkte. Dennoch ist die “Verbreitung bzw. Weiterleitung von Warnmeldungen zu Schwachstellen in Applikationen, Netzwerk-Diensten und Betriebssystemen” bislang ausschließlich Aufgabe des Landes-CERT.

Die Veröffentlichung einer Sicherheitslücke, oft auch erst nach einer Benachrichtigung an den Hersteller, ist häufig der einzige Weg, viele Nutzer zu warnen und ihnen so die Gelegenheit zu geben, gefährdete Systeme abzusichern. Aus diesem Grund ist es in der Wirtschaft inzwischen weit verbreitet, dass Unternehmen sich Richtlinien zur verantwortungsbewussten Veröffentlichung von Sicherheitslücken geben und diese öffentlich  bekannt machen.

Um Onlinekriminalität vorzubeugen, ist ein Schutz der Systeme und ihrer Kommunikationswege unabdingbar. Interessenkonflikte, wie es diese bei dem CERT des Bundes gab, sollen mit diesem Antrag verhindert werden.

In der Regierungserklärung von Ministerpräsidentin Kraft im Januar 2015 wollte sie höchste Sicherheit für elektronische Kommunikation erreichen:

“Anbieter von Telemediendiensten, insbesondere von sozialen Netzwerken, sollen verpflichtet werden, die Sicherheitseinstellungen auf der höchsten Sicherheitsstufe gemäß dem Stand der Technik voreinzustellen.”

Auch das Vorhaben der Landesregierung, 1000 Sicherheitsforscher nach Nordrhein-Westfalen zu locken, setzt voraus, dass moderne Sicherheitsprodukte aus Deutschland glaubwürdig bleiben. Hier hat Nordrhein-Westfalen die Chance sich international an die Spitze zu setzen und sich als Standort für Sichere IT zu etablieren, wenn es öffentlichkeitswirksam dafür wirbt, dass die rechtlichen Rahmenbedingungen es Unternehmen in NRW weiterhin erlauben, sichere und datenschutzfreundliche Produkte herzustellen. Während chinesische und amerikanische IT-Produkte mit Blick auf eingebaute staatliche Hintertüren und Spionagezugänge kritisch betrachtet werden, kann NRW hier einen Standortvorteil erzeugen, den es nutzen und ausbauen kann. Sichere Informationstechnik hat einen großen Markt und Datensicherheit gewinnt immer mehr an Bedeutung. Es gibt in Deutschland bislang kein Kryptographie-Verbot und keine Verpflichtung zum Einbau von Hintertüren. Das Land sollte sich daher auch auf allen Ebenen für den Erhalt dieser Rahmenbedingungen einsetzen, um den IT-Security-Standort Nordrhein-Westfalen weiter fördern und ausbauen zu können.

Vorschläge wie von Bundesinnenminister De Maiziere, Unternehmen zum Einbau von Schutzlücken in ihre Software zu verpflichten, verunsichern nordrhein-westfälische Unternehmen, Softwareentwickler und Investoren. Solchen Vorschläge sollte das Land NRW deutlich widersprechen und sich so als Standort für die Digitalwirtschaft weiter zu profilieren.

Auch vor dem Hintergrund, dass das Bundesverfassungsgericht im Jahr 2008 das Grundrecht auf Integrität und Vertraulichkeit informationstechnischer Systeme formuliert hat, weil Nordrhein-Westfalen, mit Schadsoftware fremde IT-Systeme im Rahmen einer heimlichen “Onlinedurchsuchung” kompromittieren wollte, ist es die Aufgabe der öffentlichen Stellen in Nordrhein-Westfalen, den Schutz unserer digitalen Infrastruktur und unserer gemeinsamen elektronischen Kommunikation sicherzustellen und zu verteidigen. Digitale Gefahrenabwehr bedeutet, dass das Land offen, transparent und zeitnah vor bekannten Gefahren waren muss.

Vorhaben aus Berlin oder Brüssel, Kommunikationsdienste unsicher zu gestalten und dort Hintertüren einzubauen, sind gefährlich. Neueste Vorschläge gehen sogar soweit, Hintertüren in kryptographischen Verfahren zu platzieren, um die Verschlüsselung insgesamt unbrauchbar zu machen.

Offene ‚Hintertüren‘ in Software können nicht nur von Strafverfolgungsbehörden etwa zur Durchführung einer Online-Durchsuchung genutzt werden, sondern auch von Kriminellen und fremden Staaten. Die in Rede stehenden Vorschläge dienen daher nicht der Sicherheit, sondern würden viele Unbeteiligte einer Gefahr aussetzen, die ohne diese Hintertüren nicht da wären. Wenn Kommunikationswege wie WhatsApp, Threema und andere künstlich unsicher gestaltet werden, dann schafft man eine Gefahr und leistet Beihilfe zum digitalen Einbruch.

II. Der Landtag stellt fest

1. IT-Sicherheit ist ein gemeinsames Ziel der Öffentlichen Hand, der Bevölkerung und der Wirtschaft. Durch Austausch von Informationen über Sicherheitslücken wird die IT-Sicherheit gestärkt.
2. Wenn dem Land Informationen und Kenntnisse über Sicherheitslücken vorliegen, muss es darüber informieren, damit sich die Bevölkerung schützen kann.
3. Sichere Verschlüsselung ist in der heutigen Zeit der elektronischen Informationsübermittlung notwendige Grundlage für die Sicherstellung der grundgesetzlichen Rechte auf Brief- Post und Fernmeldegeheimnis sowie Achtung des Privatlebens und der Kommunikation.
4. Sichere Verschlüsselung ist mit Forderung nach Schlüsselhinterlegung, Generalschlüsseln oder Hintertüren (Backdoors) nicht vereinbar.
5. Das CERT des Landes hat die Aufgabe, Sicherheitslücken zu kommunizieren. Interessen von Sicherheitsbehörden an der Geheimhaltung von Sicherheitslücken dürfen nicht berücksichtigt werden.

III. Der Landtag fordert die Landesregierung auf:

1. sich auf allen Ebenen und in allen Gremien für sichere elektronische Kommunikation einzusetzen, ohne Lücken oder Hintertüren.
2. noch in dieser Legislaturperiode für die öffentliche Hand in Nordrhein-Westfalen ein verbindliches Verfahren zu Veröffentlichung von Sicherheitslücken basierend auf den “Responsible disclosure”-Prinzipien einzuführen.

[1]https://www.welt.de/regionales/nrw/article153011989/Hacker-erpressen-Kommunen-und-Kliniken-mit-Viren.html

[2]http://www.spiegel.de/netzwelt/web/bsi-bericht-hacker-legten-deutschen-hochofen-lahm-a-1009191.html

Mitschnitt der kompletten Debatte im Plenum:

Protokoll der Rede von Frank Herrmann:

Frank Herrmann (PIRATEN): Vielen Dank. – Sehr geehrter Herr Präsident! Sehr geehrte Kolleginnen und Kollegen! Liebe Zuschauer hier im Saal und zu Hause! Die Europäische Union hat den Oktober 2016 zum Cyber Security Month erklärt. Ich denke, unser Antrag passt ganz gut dazu.

Sie erinnern sich vielleicht an die Meldung vom Dienstag vergangener Woche, als bekannt wurde, dass es eine Hintertür, also einen unbekannten Zugang, in einem Netzwerk-Videoüberwachungssystem gibt, in einem System, das hauptsächlich in Hochsicherheitsumgebungen weltweit eingesetzt wird. Dieser der Öffentlichkeit unbekannte Zugang wurde von einem Geheimdienst genutzt, von der NSA. Dieser Geheimdienst hatte also weltweit

im wahrsten Sinne des Wortes Einblicke in vermeintlich gesicherte Räume, und das seit mindestens dem Jahr 2015. Dass dem BND dieser Zugang, diese Sicherheitslücke, auch seit 2015 wohl bekannt war, kommt noch erschwerend hinzu. Es wäre natürlich naiv, anzunehmen, dass dies die einzige Lücke in Netzwerk-Sicherheitssystemen ist. Genauso naiv wäre es, anzunehmen, dass dies die einzige Lücke ist, die der NSA oder dem BND bekannt ist.

Noch naiver wäre es, anzunehmen, dass derartige Lücken den Kriminellen dieser Welt und insbesondere der organisierten Kriminalität nicht bekannt sind. Damit komme ich zum Kern unseres Antrags. Angriffe aus dem Netz, sogenannte Hackerangriffe, aber auch staatlicher Cyberwar existiert nur, weil es Lücken, also Fehler in Software gibt. Wir möchten mit unserem Antrag öffentliche Stellen in Nordrhein-Westfalen verpflichten, entdeckte Softwarefehler umgehend den verantwortlichen Herstellern zur Fehlerbehebung zu melden und nach einer festgelegten Zeit zu veröffentlichen. Die Veröffentlichung ist dabei der wichtige Punkt; denn nur wenn ich weiß, wo eine Lücke ist, kann ich sie auch schließen bzw. eine neue Softwareversion einspielen und damit das Netz und die Nutzung von Computern sicherer machen. Jede bekannte und geschlossene Lücke trägt zur Sicherheit weltweit bei.

Das Entdecken, Schließen und Veröffentlichen von Softwarefehlern ist für uns Piraten digitale Gefahrenabwehr. Leider wird aber seit längerer Zeit das Gegenteil praktiziert, leider auch und gerade von Behörden und ganzen Regierungen. Ich war gestern auf einem sehr interessanten Vortrag hier in der Akademie der Wissenschaften in Düsseldorf. Dort hat Professor Paar von der Ruhr-Uni Bochum über Sicherheit und Unsicherheit im Internet der Dinge referiert. Er hat dabei ein sehr interessantes Schaubild über den Anstieg der sogenannten Hacker-Angriffe im Internet gezeigt. Es war eine stetig anste igende Kurve von 2005 bis heute. Die These dazu: Kriminalität entwickelt sich da, wo es einen Markt gibt, wo es Möglichkeiten gibt. Dazu gehört auch, dass ab ca. 2004/2005 die Aktivitäten der Geheimdienste im Internet merkbar und wirksam wurden.

Nach 09/11 hat es eine Zeit gedauert, bis die Milliarden, die in den USA in die NSA und andere Geheimdienste gesteckt wurden, sich bemerkbar gemacht haben und auch über die Software Lücken im Internet ausgenutzt worden sind. Überwachung funktioniert übrigens auch nur über Lücken in Software. Jetzt muss man nur eins und eins zusammenzählen, um zu erkennen, dass Sicherheitslücken geheimzuhalten und zum eigenen Vorteil zu verwenden – als kriminelle Gruppe, als Scriptkiddie oder auch als Geheimdienst–, eben nicht funktioniert und zu Unsicherheit führt. Das ist wie mit Waffen. Die werden auch nicht nur von Guten verwendet, sondern die Bösen haben halt auch immer welche. Wir sollten den Markt, der auch gerade in Deutschland entsteht, zum

Beispiel durch das Hochrüsten der Bundeswehr zu einer Cyber-Armee, nicht fördern, sondern austrocknen. Deswegen dürfen Softwarefehler nicht geheim bleiben, sondern müssen, wenn sie entdeckt worden sind, geschlossen und bekanntgemacht werden. Das ist digitale Gefahrenabwehr. Hier sollte Nordrhein-Westfalen Vorbild werden.

(Beifall von den PIRATEN)

Das ist der Gegenstand unseres Antrags. Darüber wollen wir mit Ihnen im Ausschuss weiter sprechen. – Danke schön.

(Beifall von den PIRATEN)