| 1 |
I. Einleitung |
| 2 |
|
| 3 |
DasUm InternetUser-Tracking istzu verhindern, sollten |
| 4 |
gemeinsam mit Unternehmen der Internet-Wirtschaft und |
| 5 |
informationstechnisch geschulten Bürgerrechtsvertretern |
| 6 |
technische Standards erarbeitet werden, die |
| 7 |
technischeermöglichen undZugriffe gesellschaftlicheauf |
| 8 |
Errungenschaft,das dieWWW einerüber ganzeneinen |
| 9 |
Epoche,pseudonymen demProxy Informationszeitalter,zu |
| 10 |
seineleiten, Prägungder gegebennur hat.bei |
| 11 |
Informationsaus-tauschjedem istZugriff umfangreichereine |
| 12 |
undZugriffsnummer schnelleran dennden jeWebseitenbesitzer |
| 13 |
möglich.übermittelt. Durch(z.B. Vernetzungmittels |
| 14 |
isteinmaligen dieCookie) WeltDieser dichterkann |
| 15 |
zusammengerücktsich dann zwar mittels der Zugriffsnummer |
| 16 |
beim pseudonymen Proxy über den unbekannten Nutzer |
| 17 |
beschweren, er wird ihn aber nicht erkennen können und so |
| 18 |
ist es – um bei dieser Metapher zu bleiben – leichter als |
| 19 |
jemals zuvor, vom Tischnachbarn abzuschreiben. Das Internet |
| 20 |
ist das ideale Medium zum Informationsaustausch, aber auch |
| 21 |
das ideale Medium zum aus-spähen vertraulicher |
| 22 |
Informationen. Wer im Internet spioniert muss nicht |
| 23 |
aufwendig und teuer angeworben oder ausgebildet werden; er |
| 24 |
muss nicht unter größtem Risiko in Unternehmen oder |
| 25 |
Behörden eingeschleust werden; er muss kein Doppelleben |
| 26 |
führen und auch das Entdeckungsrisiko minimiert sich |
| 27 |
dahingehend, dass zwar die Datenverbindung gekappt wird, |
| 28 |
der im Ausland sitzende Spion aber weder Inhaftie-rung noch |
| 29 |
Interrogation zu befürchten hat. Der Internetspion muss |
| 30 |
nicht einmal selbst handeln: Ausreichend ist, dass er |
| 31 |
fremde Computer als automatisierte Helfer z.B. zu sog. |
| 32 |
Botnets zusammenschließt um sich Zugang zum Aufklärungsziel |
| 33 |
zu verschaffen. |
| 34 |
|
| 35 |
Problematisch ist, dass es eine Entwicklungsasymmetrie |
| 36 |
zwischen dem Fortschritt der Entwicklung der Technologie |
| 37 |
und dem Erlass wirksamer Schutzgesetze gibt. Einige der |
| 38 |
Schutzgesetze stammen aus der Zeit bevor es das World Wide |
| 39 |
Web gab. Die Entwicklung der Sachlage wirkt bedrohlich: |
| 40 |
Sowohl Anzahl, als auch Wirksamkeit von Spionageattacken |
| 41 |
nehmen von Jahr zu Jahr zu. Neuere Computer werden |
| 42 |
leistungsstärker und die Programmierung der schadhaften |
| 43 |
Programme ausdefinierter. Geheimdienste entwickeln |
| 44 |
Computerviren, deren Architektur auf bestimmte |
| 45 |
Indust-rieanlagen ausgerichtet ist, um so mit maximaler |
| 46 |
Effizienz zu schaden. Von Geheim-diensten aufgestellte |
| 47 |
Botnets, also ferngesteuerte PC-Netzwerke, auf denen eine |
| 48 |
Software (Bot) läuft, die, ohne dass es äußerlich erkennbar |
| 49 |
wäre, Befehle von einer zentralen Stelle empfängt, um so |
| 50 |
koordiniert Angriffe auszuführen, [FN: Cronin, in: van |
| 51 |
Tilborg, Encyclopedia of Cryptography and Security, S. 144, |
| 52 |
Tanenbaum; Com-puter Networks, S. 778] |
| 53 |
ermöglichenPersönlichkeitsprofil über Monateihn |
| 54 |
hinweganlegen unbemerkt das Ausspähen tausender Dokumente |
| 55 |
in staatlichen Behörden. Auch die Akteure werden |
| 56 |
vielseiti-ger. Zu den klassischen staatlichen |
| 57 |
Geheimdiensten treten in jüngster Zeit vermehrt sog. |
| 58 |
Hackergroups auf, deren Ziel u.a.das Ausspionieren und |
| 59 |
Veröffentlichen von Kundendaten ist, um einem Unternehmen |
| 60 |
so Schaden zuzufügen.können. |
| 61 |
|
| 62 |
Wie kann man der Lage Herr werden? Müssen neue Gesetze |
| 63 |
geschaffen werden, deren Wirksamkeit unabhängig vom |
| 64 |
technischen Fortschritt ist? Ist tatsächlich ein vereinzelt |
| 65 |
geforderter „Paradigmenwechsel“ nötig, der letztendlich zur |
| 66 |
Entnetzung kritischer Infrastrukturen führt? Regelt sich |
| 67 |
die Problematik möglicherweise von selbst, da mit dem |
| 68 |
technischen Fortschritt der Angriffsmittel, auch der |
| 69 |
technische Fortschritt der Verteidigungsmethoden zunimmt? |
| 70 |
|
| 71 |
II. Akteure |
| 72 |
Die Konstellationen von Angreifer und Angriffsziel im |
| 73 |
Bereich der Internet-Spionage sind so vielfältig, wie die |
| 74 |
möglichen Teilnehmer an diesem Netzwerk. Die Motivationen |
| 75 |
reichen dabei von reiner Informationsakquise über das |
| 76 |
„sportliche“ Bloßstellen verschiedenster |
| 77 |
Sicherheitssysteme, bis hin zur Vorbereitung von |
| 78 |
Sabo-tageakten. Maßgeblich ist bei Angriffen über das Netz, |
| 79 |
dass die Komplexität der Systeme ein geringes |
| 80 |
Entdeckungsrisiko und die Möglichkeit bietet, große |
| 81 |
Datenmengen zu erhalten.[FN: Gacken, MMR 2011, 3.] |
| 82 |
1) Staat als Angreifer gegen Staat als Angriffsziel |
| 83 |
2) Staat als Angreifer gegen Wirtschaft als Angriffsziel |
| 84 |
3) Wirtschaft als Angreifer gegen Staat als Angriffsziel |
| 85 |
4) Wirtschaft als Angreifer gegen Wirtschaft als |
| 86 |
Angriffsziel |
| 87 |
5) Hackergruppen als Angreifer gegen Staat als Angriffsziel |
| 88 |
[FN: Es folgt eine Erläuterung des Begriffes |
| 89 |
„Hackergruppen“ und der Be-griffsverwendung.] |
| 90 |
6) Hackergruppen als Angreifer gegen Wirtschaft als |
| 91 |
Angriffsziel |
| 92 |
|
| 93 |
III. Angriffsmittel und Ursachen |
| 94 |
|
| 95 |
a) Einsatz von Schadsoftware zur Spionage |
| 96 |
aa) Trojaner / Würmer / Viren |
| 97 |
bb) Phishing / Spearfishing / Shoulder Surfing |
| 98 |
cc) Bedeutung von IPv6 |
| 99 |
b) Fehlendes Sicherheitsbewusstsein und –verhalten |
| 100 |
c) Motivationen der Akteure für Spionage |
| 101 |
|
| 102 |
IV. Technische und sonstige Schutzmöglichkeiten |
| 103 |
|
| 104 |
V. Vorhandene Regulierungen und Schutzmaßnahmen |
| 105 |
|
| 106 |
1) Überblick |
| 107 |
2) Öffentlich-rechtliche Schutzvorschriften |
| 108 |
a) §§ 108 ff. TKG |
| 109 |
b) PTSG |
| 110 |
c) BDSG |
| 111 |
d) § 25a KWG |
| 112 |
e) BSI-Gesetz |
| 113 |
3) Zivilrechtliche Schutzvorschriften |
| 114 |
a) Produkthaftung aus Vertrag |
| 115 |
b) § 823 BGB |
| 116 |
c) § 7 ff. TMG |
| 117 |
d) Sonstige zivilrechtliche Ansätze |
| 118 |
aa) Haftung der Unternehmensleitung und der |
| 119 |
Unternehmensaufsicht |
| 120 |
|
| 121 |
VI. Risikoeinschätzung |
| 122 |
|
| 123 |
1) Bedrohte Akteure |
| 124 |
a) Staat |
| 125 |
b) Wirtschaft |
| 126 |
c) Gesellschaft |
| 127 |
2) Bedrohte Rechtsgüter |
| 128 |
3) Wahrscheinlichkeit |
| 129 |
4) Motivation |
| 130 |
|
| 131 |
VII. Strategie |
| 132 |
|
| 133 |
1) Reform vorhandener Vorschriften |
| 134 |
2) Neuschaffung eines IT-Sicherheitsgesetzes |
| 135 |
a) Prämisse |
| 136 |
aa) Keine Sektorialisierung der Schutzbereiche |
| 137 |
bb) Schaffung umfassender Sicherheitsstandards |
| 138 |
cc) Unabhängigkeit des Gesetzes von technologischem |
| 139 |
Fortschritt |
| 140 |
b) Eckpunkte für ein IT-Sicherheitsgesetz |
| 141 |
|
| 142 |
|
Vorschlag
Ertüchtigung des Artefakttransports im Internet
Dieser Vorschlag will erreichen, dass im Internet zu transportierende Artefakte so ertüchtigt werden, dass aus ihnen selbst, d.h. aus dem Inhalt eines Artefakts, ihre (Nicht-)Korrektheit, Bedeutung und Eigenschaft erkannt werden können.
Hintergrund: Die Zuverlässigkeit des Internet ist heute so desolat, dass ich frage, ob das Prinzip, auf dem das Internet aufbaut, leistungsfähig genug ist für ein Internet gemäß unseren heutigen und kommenden Anforderungen. Vielleicht befinden sich die heutigen Erbauer des Internet in einer ähnlichen Lage wie die Dombaumeister des Mittelalters, als denen die immer höher aufzutürmenden Dome zusammenbrachen., weil die Grundlagen der Steinbautechnik nicht leistungsfähig genug waren. Erst mit neuen Prinzipien und neuen Technologien wurden ein paar hundert Jahre später der Eifelturm, die Müngstener Brücke und riesige Hochhäuser gebaut.
Handlungsempfehlung: Die Enquete-Kommission könnte durch Fachleute, z.B. durch das BSI, prüfen lassen, welche Schwächen in den Prinzipien, auf denen das Internet sich heute gründet, zu dessen Mängeln führen und ob es leistungsfähigere Prinzipien für Schaffung von Artefakttransporten im Netz, wie oben als Ziel beschrieben, gibt.