BPT2017.2 WP001

Antragstitel

Eröffnung des Europawahlprogramms 2019

Antragstext

Der Bundesparteitag möge beschließen, das Eurpawahlprogramm 2014 zu schließen und das Europawahlprogramm 2019 zu eröffnen.

Antragsbegründung

Der Antrag entspricht dem Antrag von Andi Popp für den Bundesparteitag in Offenbach 2011 bzw. den Anträgen vom BPT 16.1 und BPT16.2 von H3rmi für die Bundestagswahlprogramme und ermöglicht ab dem Zeitpunkt, an dem der Bundesparteitag ihn beschließt, die Stellung von Wahlprogammanträgen für das Europawahlprogramm 2019. Seinerzeit wurde durch Andis Antrag das Bundestagswahlprogramm 2009 ad acta gelegt und das Programm für die Bundestagswahl 2013 eröffnet.

Unsere Programme sind regelmäßig inkonsistent, enthalten Dopplungen und/oder Widersprüche gegen das Grundsatzprogramm oder andere Wahlprogramme. Das Europawahlprogramm wurde zudem in einer Zeit verfasst, in der Meinungsbilder das Programm beeinflussten, die aktuell evtl. so nicht mehr in der Partei zu finden sind. Zudem hat sich Europa und die Welt seit 2014 erheblich verändert. Daher sollten wir das Programm zum jetzigen Zeitpunkt schließen und von Grund auf neu erstellen. Das bedeutet nicht, dass bestehende Punkte nicht einfach wieder übernommen werden können. Allerdings sollte vor der Übernahme der Text auf Aktualität, inhaltliche Konsistenz zu anderen Programmen sowie Sprache und Stil geprüft und ggf. überarbeitet werden.

Bis zur Europawahl verbleiben uns jetzt noch anderthalb Jahre und drei Parteitage. Ausreichend Zeit, um ein tolles, neues Programm zusammenzustellen. Deshalb Deckel drauf aufs alte Programm und neu anfangen.

Dagegen

NEIN! Einfach Nein! Neiiiiiiin!!!

„Warum sollen wir diese rollenden Dinger nutzen? Lasst uns das Rad einfach neu erfinden!“

Um des unsichtbaren rosa Einhorns Willen! Bitte lasst uns nicht den selben Fehler 2x machen und ein ganzes Programm in den Müll werfen.

Bitte setzt (von mir aus mit WO004, sonst muss es der BuVo machen) eine Programmkommission ein, die mit dem Rasenmäher die Spitzen schneidet.
Setzt euch zusammen. Bildet Banden!
Entschlackt das Programm und macht es aktuell!

Aber werft es um des Spaghettimonsters Willen nicht in die Tonne.

Fool me once, shame on you!
Fool me twice, shame on me!

Veröffentlicht unter Persönliche Blogposts

BPT2017.2 PP001

Antragstitel

Haftung für die Sicherheit von Software und Informationssystemen

Antragstext

(TLDR – Text zu lang? Ganz unten als letzten Abschnitt gibt es eine Zusammenfassung.)

Der Bundesparteitag möge folgendes Positionspapier beschließen:

Dieses Konzept dreht sich um die Frage, inwiefern es Sinn macht, den Einsatz von Software und Informationssystemen (typischerweise Software + Hardware) einer Haftung der Beteiligten zu unterwerfen.

Motivation

Software an sich ist bisher im Rahmen des Produkt- und Mängelhaftung praktisch nicht von einer gesetzlichen Haftung betroffen. Warum kann es sinnvoll sein, dies zu ändern?

  • Software wird immer wichtiger, die Verbreitung und die Zahl der Anwendungsfälle nimmt kontinuierlich zu
  • die tatsächlichen und potenziellen Schäden durch Sicherheitslücken und deren Folgen werden immer erheblicher
  • die Komplexität erschwert Anbietern, Nutzern, Käufern und Öffentlichkeit die Transparenz der Bewertung einer Software
  • aktuell existiert keine grundsätzliche Folgehaftung für Softwarefehler bzw. diese wird praktisch fast immer vertraglich ausgeschlossen
  • die Unterscheidung gegenüber physischen Produkten – für die eine Haftung existiert – wird zunehmend willkürlicher, da andere Produkte zunehmend Software enthalten
  • die meisten kritischen Systeme (Militär, Energieversorgung, Luftfahrt, etc.) unterliegen einer Haftung, dort zeigt sich ein deutlich höheres Level an Qualitätsbewusstsein

Wirkungsbereich

Software kann am ehesten verglichen werden mit geistigen Werken wie Schriftstücken, Zeichnungen, Büchern usw. An dieser Stelle ist die Wirkung einer Haftung problematisch, da solche Werke interpretierbar sind und eine Haftung die Meinungsfreiheit einschränken könnte. Ein Quellcode kann beispielsweise in Kombination mit einem bestimmten Compiler oder Hardwareplattform sicher betrieben werden, aber sonst völlig unsicher sein. Im Vergleich zu Schriften ist die Wirkung von Software durch Automatisierung von Verbreitung und Ausführung allerdings deutlich unmittelbarer. Zum Vergleich: im Presserecht existiert auch keine allgemeine Haftung, sondern nur spezifische rechtliche Regelungen.

Daher empfiehlt sich folgende Eingrenzung:

  • eine Haftung sollte beschränkt sein auf kommerziell eingesetzte Software, d. h. eine Software ist Teil eines Geschäfts mit Gewinnabsicht
  • die Haftung gilt nur für sicherheitsrelevante Softwarefehler, da die Bedeutung der eigentlichen Funktionalität der Software sehr spezifisch sein kann und von den Beteiligten besser bewertet werden kann als vom Gesetzgeber
  • um die Meinungsfreiheit und persönliche Freiheit zu schützen, soll die Haftung nur für den Einsatz an sich gelten, nicht für die blanke Software, z. B. in Form von Quellcode
  • bestehende Haftungsregelungen für z. B. physische Produkte sollen nicht ersetzt, sondern ggf. ergänzt werden
  • welcher Lizenz die Software unterliegt, spielt an dieser Stelle keine Rolle

Die Frage der Haftung wird also im Folgenden für sicherheitsrelevante Softwarefehler in kommerziell eingesetzter Software diskutiert.

Nutzungsmodell

Zunächst müssen wir allgemein definieren, von welchen Beteiligten, Zuständen und Ereignissen ausgegangen wird.

In dieser Modell gibt es Bereitsteller, Betreiber und Nutzer einer Software. Der Bereitsteller erstellt die Software und macht sie zugänglich. Betreiber ist, wer die laufende Software kontrolliert. Der Nutzer setzt die Software ein. Es muss sich dabei nicht um unterschiedliche Personen oder Organisationen handeln, z. B. im Falle von eigener, intern genutzter Software in einer Organisation.

Die Einschränkung auf kommerziell genutzte Software führt dazu, dass nicht-kommerzielle Teilnehmer aus der Betrachtung herausfallen. Nutzt eine Firma also z. B. Open-Source-Software, die von einer Community erstellt wurde, gehen die Pflichten aus der Haftung auf diese Firma über, als wäre sie der Bereitsteller. Delegiert jemand Aufgaben (gegen Geld) an eine andere Stelle, haften beide wiederum gemeinsam. So wird die Nutzung von IT-Dienstleistungen abgebildet, ohne den Auftraggeber aus der Verantwortung zu entlassen.

Hinsichtlich der Software gehen wir davon aus, dass diese bekannte oder unbekannte Sicherheitslücken enthalten kann, die in bestimmten Fällen (z. B. Remote Exploit, Local Exploit) ausgenutzt werden können oder eben nicht.

Haftungsfälle

Natürlich muss festgelegt werden, in welchen Fällen eine Haftung greifen soll. Eine pauschale Haftung für alle Sicherheitslücken erscheint aus folgenden Gründen überzogen:

  • nicht jeder Hack und jede Folge einer Sicherheitslücke wird entdeckt
  • Nachvollziehbarkeit und Beweisbarkeit der Folgen eines Hacks sind eingeschränkt
  • es würde größere Anbieter und Betreiber bevorzugen, da diese die finanziellen Reserven für Schadenersatzzahlungen eher vorhalten können
  • alle Käufer zahlen in der Folge evtl. höhere Preise für Software oder IT-Dienste aufgrund von Schadensersatzzahlungen an Einzelne; das ist zwar grundsätzlich bei jeder Haftung so, kann aber zu einem gewissen Grad auch zu einer Umverteilung zugunsten risikobehafteter Nutzer führen
  • Software ist typischerweise sehr fragil, die Asymmetrie zwischen Ursache, Fehler und Wirkung kann sehr hoch sein, eine Haftung kann also auch „die Falschen“ treffen, während andere rein zufällig davonkommen

Stattdessen soll versucht werden, Szenarien zu finden, die für alle Seiten klar definierbar sind und deren Eintritt allgemein unerwünscht ist. Dazu sind eine Reihe von Kriterien denkbar:

Crypto: in dem meisten Fällen dürfte es einfach sein, die z. B. für eine Übertragung verwendete Kryptographie (Verschlüsselung, Prüfsummen) festzustellen. Typischerweise ist öffentlich bekannt bzw. kann sogar bewiesen werden, dass die verwendete Technik ggf. unsicher ist. Angesichts der Relevanz von Kryptographie sollte diese genutzt werden, um mathematisch gebrochene oder zu schwache Kryptographie ins Fadenkreuz zu nehmen (auch unabhängig vom Kriterium Blacklist).

Whitelist: eine Liste mit zulässigen Techniken ist abzulehnen, da diese sehr umfangreich und differenziert sein müsste und dennoch die Entwicklung und Innovation in diesem Bereich hemmen würde. Außerdem könnte eine veraltete Liste in einzelnen Bereichen die Verwendung von unzureichenden Maßnahmen oder Techniken vorschreiben, wenn sich der Stand der Technik schneller ändert als die Liste.

Blacklist: wiederum die Verwendung von veralteten und als unsicher bekannten Techniken als haftungsrelevant zu definieren, umgeht die Probleme einer Whitelist. Derartige „IT-Zombies“ (z. B. veraltete Softwareversionen, alte Crypto, unsichere Protokolle) halten sich oft lange, da ihre Beseitigung mit Aufwand und Kosten verbunden ist. Eine Haftung kann hier für Bewegung sorgen. Wenn eine offiziellen Stelle (z. B. BSI) für die Blacklist verantwortlich ist, stellt sich natürlich die Vertrauensfrage. Offizielle Stellen sollten daher an ihr eigenes Regelwerk vollständig gebunden sein. Die Regierung kann AES oder PGP schlecht verbieten, wenn sie es dann selbst nicht mehr einsetzen darf.

Stand der Technik: es erscheint naheliegend, den Stand der Technik wie in anderen technischen Bereichen per Gesetz vorzuschreiben. Dies bringt jedoch auch Probleme mit sich. Was ist der Stand der Technik und welche Maßnahmen sind für einen Haftungsfall angemessen? Zudem kann die Vorgabe zu Strukturkonservatismus führen, da modernere Techniken den Status Quo (z. B. aufgrund von Normen) evtl. nicht ersetzen können. Außerdem wird über dieses Kriterium nur ein Mindeststandard definiert. Somit sollte dieser Ansatz zurückhaltend verwendet werden, um ein gewisses Mindestniveau zu gewährleisten, ähnlich wie im Falle der Blacklist. Eventuell kann eine Umsetzung durch Adaption des Vorgehens bei klassischen Gütern erfolgen. Dort hat ein Produkt einen Fehler, wenn es nicht bietet, was „erwartet werden kann“.

Spezifische Vorgaben: wie im Abschnitt Motivation bereits erläutert, herrschen im Bereich kritischer Infrastrukturen zumindest häufig höhere Maßstäbe an die Sicherheit und Qualität von Software (etwa bei Programmiersprachen, Testing, Zertifizierung). Es bietet sich an, in einigen Bereichen etwas mehr staatliches Mikromanagement zu betreiben und höhere Standards festzuschreiben. Schließlich ist im Falle eines Hacks der Schaden ja auch höher.

Personenbezogene Daten: eine einfache Möglichkeit für eine Haftung besteht, wenn im datenschutzrechtlichen Sinne personenbezogene Daten leaken. Für sensible Daten (z. B. Gesundheitsdaten, Finanzdaten) ließe sich die Haftung zusätzlich verschärfen. Aus Sicht des Schutzes der Privatsphäre wäre dies ein Fortschritt, da so Anbieter den Betroffenen eine Entschädigung zahlen müssten und Software für die Verarbeitung von personenbezogen Daten vermutlich auch teurer würde.

Softwareupdates: ein neuralgisches Thema ist das Bereitstellen und Einspielen von Softwareupdates. Hier empfehlen sich Auflagen für die Bereitstellung von Updates für kommerziell eingesetzte Software als auch die Dokumentation für das Einspielen dieser Updates. Besonders kritisch ist auch die Frage, wie und wann der Bereitsteller der Software von einem Softwarefehler erfahren hat.

Support: da hier ja von kommerziell eingesetzter Software die Rede ist, stellt sich die Frage, inwiefern Support insbesondere für Softwareupdates relevant ist. Dabei geht es nicht um klassischen IT-Support, sondern unter anderem um die Frage, ob Sicherheitslücken in Individualsoftware ausreichend schnell und zuverlässig korrigiert werden können. In der klassischen Produkthaftung existiert eine gesetzliche Mindestgewährleistung. Darüber hinaus ließe sich festlegen, dass Bereitsteller von Standardsoftware bis zum Ende des Lebenszyklus bei Bedarf Sicherheitsupdates ausliefern müssen. Im Falle von Individualsoftware oder von Privatpersonen kommerziell (v. a. Selbstständige) erstellter Software sollte eine Regelung der Modalitäten im Vertrag verpflichtend sein.

Mängel im Softwarebetrieb: neben klassischen Sicherheitslücken besteht auch die Gefahr von z. B. Konfigurationsfehlern im Betrieb der Software, die zu Schwachstellen in Informationssystemen führen. Da die physische Kontrolle über diesen Bereich dem Betreiber der Software unterliegt stellt sich die Frage, wie ein Mangel oder nicht-Mangel überhaupt vor Gericht bewiesen werden soll.

Diskriminierung im Netzwerk: ein ganz anderes Kriterium stellt der Umgang mit unerwünschten Techniken (z. B. veraltete Verschlüsselung) in öffentlichen Netzwerken (etwa WLAN-Hotspots, Mobilfunknetze) dar. Man könnte den Teilnehmern erlauben die Kommunikation mittels unsicherer Standards zu verweigern und sie von zivilrechtlichen Konsequenzen (z. B. Vertragsstrafen) freistellen. Dies würde jedoch auch die Netzneutralität tangieren. Ein Beispiel: ein Endgerät aus Südamerika baut eine Verbindung zu einem Server im Inland auf und möchte eine als unsicher bekannte SSL-Verschlüsselung verwenden, sodass einem Angreifer auf der Kommunikationsstrecke Anmeldedaten für den Server im Inland in die Hände fallen. Ein deutlich weitergehender Schritt wäre, es allen Teilnehmern zu erlauben, faktisch unwirksame Maßnahmen wie zu schwache Prüfsummen on-the-fly zu entfernen. Dabei handelt es sich allerdings um eine relativ bösartige Vorgehensweise, mit der viele Kommunikationsprotokolle wortwörtlich nicht rechnen werden.

Vertragsrecht: eine vertragliche Pflicht zur Unterstützung unsicherer Technik sollte rechtswidrig sein, sodass alle Beteiligten (z. B. in Altverträgen festgelegte) unsichere Techniken im Zweifelsfall ignorieren können. Das Problem hat somit immer, wer von veralteter, unsicherer Technik abhängt. Mit Blick auf die Haftung von Dienstleistern (siehe Nutzungsmodell) ist dies auch nur konsequent. Hinweis: als Technik ist hierbei nicht z. B. ein einzelnes Protokoll gemeint. Z. B. ist SMTP nicht „sicher“, SMTP mit SSL/TLS hingegen schon. Im Unterschied zum vorherigen Abschnitt geht es hier um Kommunikationsendpunkte.

Bricking: ein großes und wachsendes Problem stellen unsichere, nicht mehr unterstützte oder technisch nicht aktualisierbare Geräte in öffentlichen Netzen dar. Als Gegenmaßnahme ließen sich angreifbare Geräte aus der Entfernung hacken, um diese unschädlich oder notfalls ganz untauglich zu machen. Das kommt bereits vor, allerdings ohne gesetzliche Grundlage. Dabei besteht die Gefahr, dass z. B. Medizingeräte oder PKWs betroffen sind und so Menschen oder Material zu schaden kommen. Außerdem wäre nicht nachvollziehbar, was ein solcher Hack vor dem Bricking eines Geräts noch so alles verursacht hat, etwa Versand von SPAM. Eine gesetzliche Regelung könnte eine Registrierung der legalen Angreifer, die Dokumentation des Vorgehens und Vorgaben zur Minimierung des Schadens auf dem angegriffenen Gerät beinhalten. Ist es notwendig, Geräte zu bricken, ließe sich eine öffentliche Liste mit unsicheren (insbesondere: nicht mehr unterstützten) Geräten vorschalten. Diese sorgt zum einen für Transparenz, ermöglicht den Herstellern aber auch eine Reaktion, wenn ihre Geräte auf der Liste landen. Das Bricking betrifft dann wohlgemerkt auch den nicht-kommerziellen Betrieb von Geräten in öffentlichen Netzen.

Komplexität: durch die Verbreitung komplexer dynamischer Heuristiken (Machine Learning) kann es zu Situationen kommen, in denen durch Software gefällte Entscheidungen nicht nachvollziehbar sind, da sich der Entscheidungsalgorithmus laufend selbst verändert. Was bedeutet es eigentlich, wenn eine solche Software etwa für die Vergabe von Krediten zuständig ist und diese Software sich selbst so modifiziert, dass sie in der Folge gegen Gesetze verstößt? Analog dazu würde eine Sicherheitshaftung bedeuten, dass beim Einsatz von – insbesondere komplexer – Software nachvollziehbar sein muss, wie und wieso diese gehandelt hat. So könnte man dem etwa dem Betreiber einer solchen Software Fahrlässigkeit nachweisen, wenn diese sicherheitskritische Konfigurationseinstellungen im System geändert hat.

Umsetzung und Wirkung

Mit Blick auf die Voraussetzungen erscheint eine Umsetzung über das Zivilrecht sinnvoll. Ein Verbot von bestimmten Techniken oder Algorithmen hingegen schränkt die Handlungsfreiheit der Betroffenen ein und macht keinen Sinn, wenn diese Techniken unter gewissen Voraussetzungen noch sinnvoll weiter genutzt werden können. Etwa wenn eine altersschwache Verschlüsselung durch das zusätzliche Verwenden einer modernen Variante „verstärkt“ und somit abgesichert wird.

Die zivilrechtliche Umsetzung sollte anhand der im vorherigen Kapitel genannten Kriterien über die Justierung der Beweislast vor Gericht erfolgen. Wer etwa durch das Versäumen des Einspielens von Sicherheitsupdates möglicherweise den Abfluss von privaten oder geschäftlichen Daten verursacht hat, muss dann vor Gericht beweisen, dass die Lücke in der fraglichen Software nicht für einen eingetretenen Schaden in Frage kommen kann. Es findet eine Beweislastumkehr statt, der Geschädigte (der Kläger) muss nur die Existenz des Schadens beweisen. Erfüllt der Beklagte die Kriterien, findet hingegen keine Beweislastumkehr statt.

Den Einsatz von Staatsanwaltschaften oder Behörden – abgesehen von Zivilgerichten – braucht es bei diesem Konzept wenn dann nur in speziellen Fällen.

Präventiver vorgegangen werden muss hingegen bei Systemen, welche in öffentlichen Netzwerken erreichbar sind, da sonst die vielen Millionen Systeme nicht-kommerzieller Endnutzer als Schwachpunkt verbleiben. Diese Prävention sollen geeignete nicht-staatliche Stellen vornehmen, ähnlich wie bei Elektroinstallationen und Autos („TÜV“). Zum einen kann der Betreiber über den Mangel benachrichtigt werden, sofern er identifizierbar ist. Diese Benachrichtigung soll für Privatpersonen kostenlos sein. Zum anderen ist es möglich, veraltete Software in öffentlichen Netzen – wie im vorherigen Kapitel beschrieben – zu hacken und vom Netz zu trennen. Der Eingriff soll dabei so minimal wie technisch möglich sein, sodass der Betreiber das betroffene Gerät ggf. wieder in Stand setzen kann. In der Umsetzung lassen sich beide Maßnahmen kombinieren oder eskalierend anwenden. Also erst warnen, dann hacken.

Speziell betrachtet werden müssen nicht-kommerzielle Organisationen, da manche über umfangreiche Ressourcen und IT-Systeme verfügen, viele aber auch nicht. Von der grundsätzlichen Definition „kommerzieller Einsatz“ wären sie mangels Gewinnabsicht zunächst nicht betroffen. Folgende Maßnahmen sind hierzu denkbar:

  • nimmt eine Organisation Geld ein, greift die Haftung für daran beteiligte Software bzw. Informationssysteme
  • verarbeitet eine Organisation im öffentlichen Auftrag Daten, greift die Haftung für die gesamte Organisation
  • Justierung der Haftung abhängig von der Gemeinnützigkeit der Organisation
  • die persönliche Haftung von Vorstandsmitgliedern für Schadensersatzansprüche aus der Haftung einschränken, sodass sich nicht jeder kleine Sportverein einen IT-Sicherheitsexperten für den Vorsitz suchen muss

Die erhoffte Wirkung einer solchen Haftung ist schließlich, dass sicherere Software und Systeme mehr Wertschätzung erfahren und Techniken zur Entwicklung besserer Software gefördert werden. Insbesondere Organisationen wird daran gelegen sein, die Nachvollziehbarkeit und Plausibilität der Vorgänge in ihrer ITK zu verbessern und die Risikobewertung zusätzlicher Komplexität zu verschärfen.

Nebenwirkungen und Regressionen

Skaleneffekte: die hier vorgeschlagene Haftung trifft kleine Firmen potenziell stärker als die Großen, da letztere steigende Anforderungen an ihre IT-Infrastruktur vergleichsweise einfach umsetzen können und mehr finanzielle Reserven für Schadenersatzzahlungen in der Hinterhand haben. Dieses Ungleichgewicht soll ausgeglichen werden. Allerdings nicht, indem Kriterien für kleinere Marktteilnehmer abgesenkt werden, was für diese indirekt wieder zum Nachteil wird, weil der Kunde das natürlich auch weiß. Stattdessen sollen für großen Unternehmen zusätzliche Aufgaben definiert werden, welche deren Potenzial und Rolle gerecht werden, ohne ihnen damit einen zusätzlichen Vorteil zu verschaffen. Das können höhere Anforderungen an Leistungsfähigkeit beim Patchen von Standardsoftware sein, eine Pflicht zur verstärkten internen und externen Suche nach eigenen Sicherheitslücken sowie die Verwendung eines kleinen Teils des eigenen Umsatzes für öffentliche IT-Sicherheit:

  • Belohnungszahlungen und Bereitstellung von Ressourcen für das Aufdecken von Sicherheitslücken in verbreiteter Software (etwa Google Project Zero)
  • Unterstützung von Initiativen zur Absicherung von verbreiteter Open-Source-Software (z. B. Core Infrastructure Initiative)
  • finanzielle Förderung von öffentlicher Forschung und Entwicklung mit dem Ziel sicherer Software und Informationssysteme

Open Source: auf den ersten Blick erscheint eine Haftung zum Nachteil von Open-Source-Software, da diese häufig ohne kommerzielle Bereitstellung genutzt wird. Kommerziell agierende Unternehmen müssten das Haftungsrisiko alleine tragen, da sie sich aktuell auf Patches und Kontinuität aus der Community verlassen. Jedoch ist dieses Risiko berechtigt, da es zum Teil zu einer „fire-and-forget“-Mentalität führt, sodass etwa viele IoT-Geräte aktuell mit Open-Source-Komponenten ausgeliefert und dann nicht mehr gepflegt werden. Dies ist inakzeptabel und auf Dauer schlecht für das Image von freiheitlich lizenzierter Software. Des weiteren werden viele Betreiber sich Gedanken um mehr Support für Open-Source-Software von entsprechenden Dienstleistern machen, z. B. für Patches. Dadurch fließt Geld zurück in Richtung der Open-Source-Projekte. Gleichzeitig wird proprietäre Software vermutlich teurer, da die Anbieter das Risiko für Schadenersatzzahlungen einkalkulieren. Zudem könnte man Software als Beweismittel mit einer erhöhten Beweislast versehen, wenn ihr Quellcode nicht öffentlich einsehbar ist.

Zertifizierung: ein spezielles Problem tritt auf, wenn der Staat die Zertifizierung von Software in kritischen Systemen verlangt, da diese Software nicht ohne weiteres geändert werden darf, auch wenn Sicherheitsupdates vorliegen. Hier muss entweder eine gesetzliche Regelung für eine Nachzertifizierung von Sicherheitsupdates gefunden oder die Haftung beschränkt werden.

Inland und Ausland: angesichts weltweiter öffentlicher Netze und Datenströme muss die Wirkung lokaler Gültigkeit der vorgeschlagenen Haftung bewertet werden, z. B. nur in Deutschland oder in der EU (im Folgenden „Inland“). Zunächst sollte eine Haftung nur gelten, wenn die betroffenen Systeme den gleichen Regeln unterliegen, um Nachteile für inländische Anbieter zu vermeiden. Dem erhöhten Aufwand für die bessere Absicherung von Software und Systemen steht ein möglicher Imagegewinn entgegen. Insbesondere kleinere Anbieter werden für ausländische Kunden nicht zweigleisig fahren, was wie im Abschnitt Skaleneffekte beschrieben berücksichtigt werden muss. Evtl. ist es notwendig, die Kommunikation ins Ausland mittels als unsicher betrachteten Techniken (z. B. Protokollen, Verschlüsselung) gesondert zu regeln, um Abschottungseffekte zu vermeiden.

Zusammenfassung

Insgesamt ergibt sich eine spezifische Mangel- und Produkthaftung für die Sicherheit von kommerziell eingesetzter Software und Informationssystemen.

Folgende Forderungen lassen sich festhalten:

  • Die Pflicht für Hersteller, Sicherheitslücken zu Registrieren, Updates bereitzustellen und einzuspielen sowie die Dokumentation des Vorgangs
  • Eine ausschließliche Verschlüsselung mit schwacher oder unsicherer Kryptographie führt zur Haftung von kommerziellen Betreibern und Herstellern
  • Die Definition von abstrakten technischen Mindestanforderungen insbesondere in kritischen Infrastrukturen ist langfristig erforderlich, aber nicht trivial
  • Der Umgang mit persönlichen und privaten Daten und darauf ausgerichtete Software soll durch Haftung rechtlich riskanter und aufwändiger werden
  • Insgesamt die zivilrechtliche Möglichkeit, andere auf Schadensersatz zu verklagen, wenn deren grob fahrlässige Handlungen zu Schäden durch Software führen
  • Ressourcentechnisch leistungsfähige Organisationen werden in die Pflicht genommen, sich im besonderen Maße für die eigene und öffentliche IT-Sicherheit einzusetzen
  • Autorisierung von Organisationen, in geregelten Verfahren gegen die Teilnahme von Geräten mit unsicherer Software an öffentlichen Netzen vorzugehen

Antragsbegründung

Mit der erörterten Haftung sollen folgende Ziele erreicht werden:

  1. Wirkung auf Entscheidungsprozesse (was ist IT-Sicherheit wert?), Differenzierung zwischen Anbietern mit mehr oder weniger Sicherheitsbewusstsein, Datensparsamkeit in Geschäftsmodellen
  2. Verbesserung und Entwicklung von Technik und organisatorischen Abläufen zur Risikominimierung für die Haftenden und Nachvollziehbarkeit im Schadensfall
  3. Reduzierung und Vermeidbarkeit von Komplexität in Software und IT-Systemen, da jede Komplexität Fehler enthalten kann. Gegengewicht zur Featuritis.

Dieser Antragstext ist bewusst ausführlich gehalten, um den Gedankengang transparent zu machen und die weitere Diskussion über das Thema innerhalb und außerhalb unserer Partei anzuregen. Ziel ist es, mittelfristig zu einer Verfestigung des Konzepts und wahlkampftauglichen Aussagen zu kommen.

Dagegen

Endlich POLITIK! 🙂

Leider ein sehr komplexes Thema in einem nicht minder komplexen Antrag untergebracht. Meiner Meinung nach für ein Positionspapier in dieser Form ungeeignet. Mal von den Rechtschreibfehlern abgesehen (drüberlesen lassen?) – das ist keine Position, sondern eine Diskussionsgrundlage. Eine sehr gute, aber eben keine Position. Bitte vorstellen, eine Gruppe interessierter Menschen finden, ein Konzept ausarbeiten und DAS dann als Positionspapier zur Abstimmung stellen.

Danke!

Veröffentlicht unter Persönliche Blogposts

Die APO-Kalypse der Piraten?

Die Piratenpartei befindet sich Ende 2017 bundesweit in der außerparlamentarischen Opposition (APO) und hat bei der Bundestagswahl und bei den Landtagswahlen u.a. in NRW und zuletzt in Niedersachsen sogar die Stufe zur Parteienfinanzierung verfehlt – wenn auch teilweise nur denkbar knapp. Ist das die piratige Apokalypse, das Ende der Piraten in Deutschland? Und wenn nicht, […]
Veröffentlicht unter Persönliche Blogposts

Statement setzen statt strategisch Wählen

UPDATE: Für die Verfechter taktischen Wählens mal nachgerechnet. Bei der Bundestagswahl 2017 gab es … 11 zusätzliche AfD-Mandate, zurückzuführen auf Erststimmen an Große Parteien (Ausgleichsmandate)*. 0 zusätzliche AfD-Mandate, zurückzuführen auf PIRATEN-Zweitstimmen, die nicht an die Großen Parteien gingen. 4 zusätzliche AfD-Mandate, zurückzuführen auf ALLE Zweitstimmen an Kleinparteien < 5%, die nicht an die Großen Parteien gingen, […]
Veröffentlicht unter Persönliche Blogposts

Politik braucht Utopien!

Für uns Piraten geht es nicht darum, eine gute Verwaltung zu wählen, die bloß nichts verkehrt macht. Politiker sind keine Manager. Sollten keine Manager sein. Vor allem aber darf eine Bundeskanzlerin keine Verwalterin sein, die die Zukunft des Staates irgendwie im Best-Practice-Verfahren aushandelt. Sie muss Utopien aufbauen. Ohne Utopien gibt es keine positive Zukunft, die […]
Veröffentlicht unter Persönliche Blogposts

„Helden, weil ihr Euch einmischt, mitdenkt und etwas verändern wollt“

„und in Deutschland betritt eine neue Partei die politische Bühne. Alles wollen sie anders machen. Mehr Basisdemokratie, mehr Transparenz, mehr Freiheit im Internet.

Im Sommer 2012 kann sich angeblich jeder dritte Deutsche vorstellen, die Piratenpartei zu wählen.“ mit diesem Intro beginnt Niko Apels Doku über die Piratenpartei ‚Auf großer Fahrt‘ aus 2013. Und auch heute noch geht mir ein Schauer über den Rücken, wenn ich die Doku ansehe.

Erst recht nach den gestrigen Wahlergebnissen. Für mich persönlich ist ja schon seit einigen Monaten klar, dass ich dem nächsten Landtag nicht angehören werden. Dennoch habe ich mich sofort nach der Listenaufstellung entschieden, im Wahlkampf 100% mitzuwirken. Wer mich kennt, weiß, dass ich mit 100% wirklich 100% meine. Die letzten Wochen waren gezeichnet von rund 120 Wochenstunden vollem Einsatz für die Piraten. Ich hab die Koordination der gesamten Öffentlichkeitsarbeit übernommen, hab mit einem kleinen Team Social Media und klassische Presse betreut – nicht nur auf Landesverbandsebene sondern auch in der Fraktion. Zugleich meinen Job als MdL fortgeführt und irgendwie versucht, das alles unter einen Hut zu bringen.

Ich glaube, dass das gut geklappt hat. Wir haben wahnsinnig Steigerungsraten in den Sozialen Netzwerken. Mit jedem Tag mehr im Wahlkampf wurde mir immer klarer, welche Chance wir da in den letzten fünf Jahren verbummelt haben. Und an der Stelle muss das gesagt werden: Hätten wir mal auf den @dave_kay gehört…

Nach diesem ganzen Einsatz ist das Wahlergebnis für mich umso deprimierender. Nein, ich hab nicht wirklich daran geglaubt, dass wir wieder eine Fraktion stellen können. Dafür waren die Rahmenbedingungen zu schlecht. Wir haben nicht auf Angst gesetzt sondern auf die Zukunft. Wir haben als Piraten ein Bild von der Zukunft, eine Vorstellung, die das Leben in zehn oder zwanzig Jahren aussehen kann. Die Meinungsforscher aber haben Meinungsmache betrieben, die Presse hatte uns längst abgeschrieben. Unser Kampf dagegen ist nicht mehr angekommen – bei den Menschen, mit denen wir im Kontakt waren dagegen schon. Nicht nur in den Sozialen Netzwerken, auch persönlich vor Ort. Das Feedback war eigentlich immer gleich: „Wieso hört man eigentlich so wenig von Euch“ oder „Eigentlich würde ich euch ja wählen, aber ihr kommt ja eh nicht rein“. Ich bin überzeugt davon, dass wir ein deutlich besseres Ergebnis erzielt hätten, wenn es diese Sperrklausel nicht gäbe.

Aber es sind ja nicht nur die anderen Schuld. Wir haben in der Fraktion eine miese Kommunikationsstrategie über fast fünf Jahre verfolgt. Wir haben nicht ausreichend über unsere Politik mit den Menschen gesprochen. Wir haben auch fraktionsintern nicht alles umgesetzt, was wir uns vorgenommen haben, ob das nun Online-Beteiligungsverfahren sind oder eine Transparenz jenseits des Fraktionsstreams. Aber ich glaube, dass wir ein Zeichen in der Politik gesetzt haben. Und ich glaube, dass unsere Themen, die wir nach vorne gestellt haben, wieder en vogue werden. Dann müssen wir da sein, dann werden wir da sein.

Der Part mit den Fehlern wird nun aufzuarbeiten sein. Wir werden uns neu aufstellen müssen. Wir werden schauen müssen, was wir gut gemacht haben und was wir schlecht machen. Wir werden einen harten Weg jenseits der Parteienfinanzierung gehen müssen. Ich bin bereit dazu, diesen Weg zu gehen.

Für mich persönlich waren das wahnsinnige fünf Jahre. Diese Erfahrungen, diese Erlebnisse wird mir niemand nehmen können. Ich bin durch Höhen und Tiefen gegangen, hab einiges falsch gemacht aber auch vieles richtig. Das Feedback, das ich in den letzten Wochen auch von außerhalb der Partei bekommen habe ist großartig. Das Feedback innerhalb der Partei, die mich auf Platz 2 der Landesliste zur Bundestagswahl gewählt hat, ebenfalls.

Ich möchte mich bei unendlich vielen Menschen bedanken für die letzten fünf Jahre, aber speziell auch für die letzten fünf Monate. Jeder von Euch hätte eigentlich einen eigenen Blogbeitrag verdient, aber …

Zuerst natürlich bei @saendralein. Du bist diejenige, die mir immer wieder Mut und Kraft gegeben hat. Du bist diejenige, die letztlich dafür gesorgt hat, dass ich diesen Öffentlichkeitsarbeitsjob übernehme. Du bist diejenige, die mich ermutigt hat, auch wieder für den Bundestag zu kandidieren. Du bist diejenige, die dafür gesorgt hat, dass ich nicht 100 mal hingeworfen habe. Danke 💜💜💜

Ein wichtiger, der wichtigste, Baustein unserer Kampagne war natürlich @monipiratin. Danke, dass du das übernommen hast. Danke, dass ich mich bei dir jederzeit auskotzen konnte, wenn mal wieder was nicht so lief, wie es sollte. Danke, dass du dich gekümmert hast, wenn es irgendwo hakte. Du hast einen großartigen Job gemacht 💜

Dazu gehören auch diejenigen aus dem Kampagnenteam, die sich bis zum Schluss den Arsch aufgerissen haben. Hierbei natürlich auch mein besonderer Dank an Eric und Sebastian für Eure Unterstützung! In dem Zusammenhang sei natürlich die AG ÖA NRW erwähnt. Wenn alle so funktioniert hätte, wie die Öffentlichkeitsarbeit, dann bin ich mir sicher, hätten wir ein anderes Ergebnis eingefahren.

Bei Michele natürlich. Du bist das Chaos pur. Du bist unorganisiert, du weißt nicht, welchen Fuß du vor den anderen setzen musst. Aber du hast einen grandiosen Job gemacht. Du hast zusätzliche Aufgaben beim Design übernommen, weil plötzlich Leute fehlten. Du hast Kritik angenommen, hast sie umgesetzt und hast speziell in den letzten beiden Wochen wahnsinnig starke Interviews und Auftritte gegeben. 💜

Wenn ich an die Fraktion denke, dann denke ich natürlich auch an Kai, der zu einem Freund in diesen Jahren geworden ist. Ich erinnere mich gern an unseren ersten Online-Kontakt und hätte mir damals jemand gesagt, dass dieser Typ der für mich wohl wichtigste in der Fraktion werden wird, hätte ich laut gelacht. Du auch ?

Und, gegensätzlicher kann’s kaum sein: auch bei toso möchte ich mich bedanken. Du bist ein komplizierter Kerl, aber ich hab dich schätzen gelernt. Das mit dir hat immer viel Spaß gemacht und ich freue mich schon auf künftige Versammlungsleitungen ?

Meine ReferentInnen in der Fraktion seien hier natürlich auch speziell erwähnt. Ob Andrea, Leonie oder Sebastian. Ihr habt mir immer die Infos gegeben, die ich brauchte. Ihr habt mir immer das Feedback gegeben, dass ich haben wollte – auch wenns mal nicht so positiv war. Und wenn ich schon beim Feedback bin, dann komme ich zu dem, der – und eigentlich ist das irgendwie auch lustig – meine absolute Stütze war: AndRo! Du wirst kein Organisationstalent mehr, aber dennoch haben wir das gemeinsam gemeistert. Danke dir für alles 💜
Wenn ich bei den Mitarbeitenden bin, fallen mir spontan natrürlich die ein, die etwas unkonventioneller an die Sache heran gegangen sind: Steffen, Yaro und einige weitere. Euch hätten wir früher gebraucht oder mehr auf Euch hören sollen!

Beim Bedanken fallen mir aber auch die vielen anderen Mitarbeiterinnen und Mitarbeiter des Landtags, der Ausschüsse und Kommissionen oder auch im Präsidialbüro ein. Ich hab mich wohl gefühlt, gerade auch in meiner Zeit als Vizepräsident des Landtags. Ich wurde bis zu einem gewissen Zeitpunkt sehr gut aufgenommen, respektvoll auf Augenhöhe behandelt. Leider hat sich dieses Blatt gewendet, als ich das System angriff – was ich zurecht tat, aber vielleicht beleuchte ich das an anderer Stelle nochmal.

Einigen Kolleginnen und Kollegen aus den anderen Fraktionen möchte ich ebenfalls danken. Ob Wolfgang Jörg, Marcel Hafke, Björn Kernbein, Josefine Paul, Andrea Asch, Dagmar Hanses, Walter Kern oder Bernhard Tenhumberg: mit Euch hat das richig Spaß gemacht zu arbeiten – auch wenn man politisch sich an die Köppe ging.
Euch, Wolfgang, Marcel und Josefine alles Gute für die kommende Legislatur. Björn, Andrea und Bernhard, die ihr nicht mehr angetreten seid, alles Gute für die Zukunft. Walter und Dagmar, für Euch tut es mir wirklich leid, dass ihr nicht wiedergewählt wurdet. Ihr werdet diesem Landtag fehlen! Und mir, Walter, werden Deine spontanen Zeichnungen fehlen ?

Ich werde einige vergessen haben, hier extra zu erwähnen. Aber dieser Text ist im Wesentlichen von den letzten Monaten geprägt… ihr wisst, ob ich Euch schätze und wie sehr ich Euch schätze ?

Gucken wir aufs Gesamtergebnis: Dass die CDU gewinnt, hätte ich nicht gedacht. Persönlich gratuliert habe ich Armin Laschet schon. In Münster haben sich auch beide CDU-Kandidaten durchsetzen können. Glückwunsch, Simone Wendland. Und Glückwunsch an Stefan Nacke. Bitte nimm viel aus unsere Enquetekommission mit in den Landtag, in die Ausschüsse. Die Zusammenarbeit dort mit Dir war äußerst angenehm!

Aber genug des Danksagens … wir gucken nach vorn. Wir müssen nicht alles auf den Haufen werfen, aber wir müssen gezielt besser werden. Lasst uns da anknüpfen, wo wir jetzt gut sind. Lasst uns alten Scheiß über Bord werfen und vor allem auch: Lasst uns Bremsen innerhalb der Partei lösen, damit die Kiste wieder ins Rollen kommt….

Veröffentlicht unter Persönliche Blogposts

Wahl. Krimi. Ziele.

Der größte Wahlkrimi ist noch nicht vorbei: Für uns PIRATEN ist es entscheidend, ob wir die formal 1 % für die Parteienfinanzierung erreichen. Denn das würde bedeuten, dass wir viel einfacher unsere Arbeit fortsetzen und NRW aus den Klauen des Protektionismus erretten können. Die PIRATEN erreichen in NRW 0,9536 % der Zweitstimmen, aufgerundet 1,0 %, […]
Veröffentlicht unter Persönliche Blogposts

Rentner-Debakel bei Mannesmann?

In der jetzt ausgehenden Legislaturperiode des Landtages von Nordrhein-Westfalen, haben wir Piraten nicht nur im Parlament politisch gearbeitet, sondern waren u.a. auch Ansprechpartner für Menschen, die uns über Ungerechtigkeiten, Systemfehler oder schlicht fehlerhafte Handeln in … Weiterlesen

Torsten Sommer - Bürgerrechte muss man wählen!

Veröffentlicht unter Persönliche Blogposts

Dankesschreiben für unseren Einsatz für Flüchtlinge und Integration

folgende Email hat mich soeben erreicht: Förderung des Flüchtlingsschutzes Dank für die Zusammenarbeit Guten Tag Simone Brand und Frank Herrmann, hallo Marie, am nächsten Sonntag ist nun Landtagswahl. Ich möchte es nicht verpassen, mich persönlich – zumindest auf diesem unpersönlichen Weg … Weiterlesen
Veröffentlicht unter Persönliche Blogposts

Lukas Lamla erhält Floriansplakette: Handwerk und Digitalisierung zusammengebracht

Von wegen Piraten sind nur im Netz unterwegs und haben mit traditioneller Arbeit nix am Hut: Andreas Ehlert vom NRW-Handwerkkammertag hat heute unserem Abgeordneten Lukas Lamla die Floriansplakette verliehen. Seit 1989 werden damit Menschen ausgezeichnet, die sich in besonderer Weise um die Belange von Handwerk und Mittelstand verdient gemacht haben.
Lukas wurde für seine ausgezeichnete Arbeit in der „Enquetekommission EKVI: Zukunft von Handwerk und Mittelstand in NRW“ gelobt. Dort hat er wesentlich dazu beigetragen, Handwerk und Digitalisierung zusammenzubringen.
„Wir freuen uns mit dem Handwerk neue Partner für digitale Themen gefunden zu haben“, sagt Lukas, warnt aber zugleich: „Durch die derzeit sehr gute Auftragslage im Handwerk werden die Auswirkungen der digitalen Revolution verdeckt. Deshalb muss das Handwerk jetzt handeln. Dazu müssen wir traditionelle Handwerker und digitale Tüftler zusammenbringen. Die Akteure sind derzeit getrennt und sprechen nicht die gleiche „Sprache“. Hier liegt viel Potenzial brach.“
Der Anfang aber ist gemacht.
Getagged mit: , , ,
Veröffentlicht unter Blogbeitrag, Homepage

Home Widget 1

Dies ist dein erstes Homewidget-Kästchen. Um diesen Text zu bearbeiten, gehe zu Designs > Widgets > Home Widget 1. Benutze ein Text-Widget. Titel ist auch Einstellbar.

Home Widget 2

Dies ist dein zweites Homewidget-Kästchen. Um diesen Text zu bearbeiten, gehe zu Designs > Widgets > Home Widget 2. Benutze ein Text-Widget. Titel ist auch Einstellbar.

Home Widget 3

Dies ist dein drittes Homewidget-Kästchen. Um diesen Text zu bearbeiten, gehe zu Designs > Widgets > Home Widget 3. Benutze ein Text-Widget. Titel ist auch Einstellbar.