Originalversion
1 | I. Einleitung |
2 | |
3 | Das Internet ist die technische und gesellschaftliche |
4 | Errungenschaft, die einer ganzen Epoche, dem |
5 | Informationszeitalter, seine Prägung gegeben hat. |
6 | Informationsaus-tausch ist umfangreicher und schneller denn |
7 | je möglich. Durch Vernetzung ist die Welt dichter |
8 | zusammengerückt und so ist es – um bei dieser Metapher zu |
9 | bleiben – leichter als jemals zuvor, vom Tischnachbarn |
10 | abzuschreiben. Das Internet ist das ideale Medium zum |
11 | Informationsaustausch, aber auch das ideale Medium zum |
12 | aus-spähen vertraulicher Informationen. Wer im Internet |
13 | spioniert muss nicht aufwendig und teuer angeworben oder |
14 | ausgebildet werden; er muss nicht unter größtem Risiko in |
15 | Unternehmen oder Behörden eingeschleust werden; er muss kein |
16 | Doppelleben führen und auch das Entdeckungsrisiko minimiert |
17 | sich dahingehend, dass zwar die Datenverbindung gekappt |
18 | wird, der im Ausland sitzende Spion aber weder Inhaftie-rung |
19 | noch Interrogation zu befürchten hat. Der Internetspion muss |
20 | nicht einmal selbst handeln: Ausreichend ist, dass er fremde |
21 | Computer als automatisierte Helfer z.B. zu sog. Botnets |
22 | zusammenschließt um sich Zugang zum Aufklärungsziel zu |
23 | verschaffen. |
24 | |
25 | Problematisch ist, dass es eine Entwicklungsasymmetrie |
26 | zwischen dem Fortschritt der Entwicklung der Technologie und |
27 | dem Erlass wirksamer Schutzgesetze gibt. Einige der |
28 | Schutzgesetze stammen aus der Zeit bevor es das World Wide |
29 | Web gab. Die Entwicklung der Sachlage wirkt bedrohlich: |
30 | Sowohl Anzahl, als auch Wirksamkeit von Spionageattacken |
31 | nehmen von Jahr zu Jahr zu. Neuere Computer werden |
32 | leistungsstärker und die Programmierung der schadhaften |
33 | Programme ausdefinierter. Geheimdienste entwickeln |
34 | Computerviren, deren Architektur auf bestimmte |
35 | Indust-rieanlagen ausgerichtet ist, um so mit maximaler |
36 | Effizienz zu schaden. Von Geheim-diensten aufgestellte |
37 | Botnets, also ferngesteuerte PC-Netzwerke, auf denen eine |
38 | Software (Bot) läuft, die, ohne dass es äußerlich erkennbar |
39 | wäre, Befehle von einer zentralen Stelle empfängt, um so |
40 | koordiniert Angriffe auszuführen, [FN: Cronin, in: van |
41 | Tilborg, Encyclopedia of Cryptography and Security, S. 144, |
42 | Tanenbaum; Com-puter Networks, S. 778] ermöglichen über |
43 | Monate hinweg unbemerkt das Ausspähen tausender Dokumente in |
44 | staatlichen Behörden. Auch die Akteure werden |
45 | vielseiti-ger. Zu den klassischen staatlichen Geheimdiensten |
46 | treten in jüngster Zeit vermehrt sog. Hackergroups auf, |
47 | deren Ziel u.a.das Ausspionieren und Veröffentlichen von |
48 | Kundendaten ist, um einem Unternehmen so Schaden zuzufügen. |
49 | |
50 | Wie kann man der Lage Herr werden? Müssen neue Gesetze |
51 | geschaffen werden, deren Wirksamkeit unabhängig vom |
52 | technischen Fortschritt ist? Ist tatsächlich ein vereinzelt |
53 | geforderter „Paradigmenwechsel“ nötig, der letztendlich zur |
54 | Entnetzung kritischer Infrastrukturen führt? Regelt sich die |
55 | Problematik möglicherweise von selbst, da mit dem |
56 | technischen Fortschritt der Angriffsmittel, auch der |
57 | technische Fortschritt der Verteidigungsmethoden zunimmt? |
58 | |
59 | II. Akteure |
60 | Die Konstellationen von Angreifer und Angriffsziel im |
61 | Bereich der Internet-Spionage sind so vielfältig, wie die |
62 | möglichen Teilnehmer an diesem Netzwerk. Die Motivationen |
63 | reichen dabei von reiner Informationsakquise über das |
64 | „sportliche“ Bloßstellen verschiedenster Sicherheitssysteme, |
65 | bis hin zur Vorbereitung von Sabo-tageakten. Maßgeblich ist |
66 | bei Angriffen über das Netz, dass die Komplexität der |
67 | Systeme ein geringes Entdeckungsrisiko und die Möglichkeit |
68 | bietet, große Datenmengen zu erhalten.[FN: Gacken, MMR 2011, |
69 | 3.] |
70 | 1) Staat als Angreifer gegen Staat als Angriffsziel |
71 | 2) Staat als Angreifer gegen Wirtschaft als Angriffsziel |
72 | 3) Wirtschaft als Angreifer gegen Staat als Angriffsziel |
73 | 4) Wirtschaft als Angreifer gegen Wirtschaft als |
74 | Angriffsziel |
75 | 5) Hackergruppen als Angreifer gegen Staat als Angriffsziel |
76 | [FN: Es folgt eine Erläuterung des Begriffes „Hackergruppen“ |
77 | und der Be-griffsverwendung.] |
78 | 6) Hackergruppen als Angreifer gegen Wirtschaft als |
79 | Angriffsziel |
80 | |
81 | III. Angriffsmittel und Ursachen |
82 | |
83 | a) Einsatz von Schadsoftware zur Spionage |
84 | aa) Trojaner / Würmer / Viren |
85 | bb) Phishing / Spearfishing / Shoulder Surfing |
86 | cc) Bedeutung von IPv6 |
87 | b) Fehlendes Sicherheitsbewusstsein und –verhalten |
88 | c) Motivationen der Akteure für Spionage |
89 | |
90 | IV. Technische und sonstige Schutzmöglichkeiten |
91 | |
92 | V. Vorhandene Regulierungen und Schutzmaßnahmen |
93 | |
94 | 1) Überblick |
95 | 2) Öffentlich-rechtliche Schutzvorschriften |
96 | a) §§ 108 ff. TKG |
97 | b) PTSG |
98 | c) BDSG |
99 | d) § 25a KWG |
100 | e) BSI-Gesetz |
101 | 3) Zivilrechtliche Schutzvorschriften |
102 | a) Produkthaftung aus Vertrag |
103 | b) § 823 BGB |
104 | c) § 7 ff. TMG |
105 | d) Sonstige zivilrechtliche Ansätze |
106 | aa) Haftung der Unternehmensleitung und der |
107 | Unternehmensaufsicht |
108 | |
109 | VI. Risikoeinschätzung |
110 | |
111 | 1) Bedrohte Akteure |
112 | a) Staat |
113 | b) Wirtschaft |
114 | c) Gesellschaft |
115 | 2) Bedrohte Rechtsgüter |
116 | 3) Wahrscheinlichkeit |
117 | 4) Motivation |
118 | |
119 | VII. Strategie |
120 | |
121 | 1) Reform vorhandener Vorschriften |
122 | 2) Neuschaffung eines IT-Sicherheitsgesetzes |
123 | a) Prämisse |
124 | aa) Keine Sektorialisierung der Schutzbereiche |
125 | bb) Schaffung umfassender Sicherheitsstandards |
126 | cc) Unabhängigkeit des Gesetzes von technologischem |
127 | Fortschritt |
128 | b) Eckpunkte für ein IT-Sicherheitsgesetz |
Der Text verglichen mit der Originalversion
1 | I. Einleitung |
2 | |
3 | Das Internet ist die technische und gesellschaftliche |
4 | Errungenschaft, die einer ganzen Epoche, dem |
5 | Informationszeitalter, seine Prägung gegeben hat. |
6 | Informationsaus-tausch ist umfangreicher und schneller denn |
7 | je möglich. Durch Vernetzung ist die Welt dichter |
8 | zusammengerückt und so ist es – um bei dieser Metapher zu |
9 | bleiben – leichter als jemals zuvor, vom Tischnachbarn |
10 | abzuschreiben. Das Internet ist das ideale Medium zum |
11 | Informationsaustausch, aber auch das ideale Medium zum |
12 | aus-spähen vertraulicher Informationen. Wer im Internet |
13 | spioniert muss nicht aufwendig und teuer angeworben oder |
14 | ausgebildet werden; er muss nicht unter größtem Risiko in |
15 | Unternehmen oder Behörden eingeschleust werden; er muss kein |
16 | Doppelleben führen und auch das Entdeckungsrisiko minimiert |
17 | sich dahingehend, dass zwar die Datenverbindung gekappt |
18 | wird, der im Ausland sitzende Spion aber weder Inhaftie-rung |
19 | noch Interrogation zu befürchten hat. Der Internetspion muss |
20 | nicht einmal selbst handeln: Ausreichend ist, dass er fremde |
21 | Computer als automatisierte Helfer z.B. zu sog. Botnets |
22 | zusammenschließt um sich Zugang zum Aufklärungsziel zu |
23 | verschaffen. |
24 | |
25 | Problematisch ist, dass es eine Entwicklungsasymmetrie |
26 | zwischen dem Fortschritt der Entwicklung der Technologie und |
27 | dem Erlass wirksamer Schutzgesetze gibt. Einige der |
28 | Schutzgesetze stammen aus der Zeit bevor es das World Wide |
29 | Web gab. Die Entwicklung der Sachlage wirkt bedrohlich: |
30 | Sowohl Anzahl, als auch Wirksamkeit von Spionageattacken |
31 | nehmen von Jahr zu Jahr zu. Neuere Computer werden |
32 | leistungsstärker und die Programmierung der schadhaften |
33 | Programme ausdefinierter. Geheimdienste entwickeln |
34 | Computerviren, deren Architektur auf bestimmte |
35 | Indust-rieanlagen ausgerichtet ist, um so mit maximaler |
36 | Effizienz zu schaden. Von Geheim-diensten aufgestellte |
37 | Botnets, also ferngesteuerte PC-Netzwerke, auf denen eine |
38 | Software (Bot) läuft, die, ohne dass es äußerlich erkennbar |
39 | wäre, Befehle von einer zentralen Stelle empfängt, um so |
40 | koordiniert Angriffe auszuführen, [FN: Cronin, in: van |
41 | Tilborg, Encyclopedia of Cryptography and Security, S. 144, |
42 | Tanenbaum; Com-puter Networks, S. 778] ermöglichen über |
43 | Monate hinweg unbemerkt das Ausspähen tausender Dokumente in |
44 | staatlichen Behörden. Auch die Akteure werden |
45 | vielseiti-ger. Zu den klassischen staatlichen Geheimdiensten |
46 | treten in jüngster Zeit vermehrt sog. Hackergroups auf, |
47 | deren Ziel u.a.das Ausspionieren und Veröffentlichen von |
48 | Kundendaten ist, um einem Unternehmen so Schaden zuzufügen. |
49 | |
50 | Wie kann man der Lage Herr werden? Müssen neue Gesetze |
51 | geschaffen werden, deren Wirksamkeit unabhängig vom |
52 | technischen Fortschritt ist? Ist tatsächlich ein vereinzelt |
53 | geforderter „Paradigmenwechsel“ nötig, der letztendlich zur |
54 | Entnetzung kritischer Infrastrukturen führt? Regelt sich die |
55 | Problematik möglicherweise von selbst, da mit dem |
56 | technischen Fortschritt der Angriffsmittel, auch der |
57 | technische Fortschritt der Verteidigungsmethoden zunimmt? |
58 | |
59 | II. Akteure |
60 | Die Konstellationen von Angreifer und Angriffsziel im |
61 | Bereich der Internet-Spionage sind so vielfältig, wie die |
62 | möglichen Teilnehmer an diesem Netzwerk. Die Motivationen |
63 | reichen dabei von reiner Informationsakquise über das |
64 | „sportliche“ Bloßstellen verschiedenster Sicherheitssysteme, |
65 | bis hin zur Vorbereitung von Sabo-tageakten. Maßgeblich ist |
66 | bei Angriffen über das Netz, dass die Komplexität der |
67 | Systeme ein geringes Entdeckungsrisiko und die Möglichkeit |
68 | bietet, große Datenmengen zu erhalten.[FN: Gacken, MMR 2011, |
69 | 3.] |
70 | 1) Staat als Angreifer gegen Staat als Angriffsziel |
71 | 2) Staat als Angreifer gegen Wirtschaft als Angriffsziel |
72 | 3) Wirtschaft als Angreifer gegen Staat als Angriffsziel |
73 | 4) Wirtschaft als Angreifer gegen Wirtschaft als |
74 | Angriffsziel |
75 | 5) Hackergruppen als Angreifer gegen Staat als Angriffsziel |
76 | [FN: Es folgt eine Erläuterung des Begriffes „Hackergruppen“ |
77 | und der Be-griffsverwendung.] |
78 | 6) Hackergruppen als Angreifer gegen Wirtschaft als |
79 | Angriffsziel |
80 | |
81 | III. Angriffsmittel und Ursachen |
82 | |
83 | a) Einsatz von Schadsoftware zur Spionage |
84 | aa) Trojaner / Würmer / Viren |
85 | bb) Phishing / Spearfishing / Shoulder Surfing |
86 | cc) Bedeutung von IPv6 |
87 | b) Fehlendes Sicherheitsbewusstsein und –verhalten |
88 | c) Motivationen der Akteure für Spionage |
89 | |
90 | IV. Technische und sonstige Schutzmöglichkeiten |
91 | |
92 | V. Vorhandene Regulierungen und Schutzmaßnahmen |
93 | |
94 | 1) Überblick |
95 | 2) Öffentlich-rechtliche Schutzvorschriften |
96 | a) §§ 108 ff. TKG |
97 | b) PTSG |
98 | c) BDSG |
99 | d) § 25a KWG |
100 | e) BSI-Gesetz |
101 | 3) Zivilrechtliche Schutzvorschriften |
102 | a) Produkthaftung aus Vertrag |
103 | b) § 823 BGB |
104 | c) § 7 ff. TMG |
105 | d) Sonstige zivilrechtliche Ansätze |
106 | aa) Haftung der Unternehmensleitung und der |
107 | Unternehmensaufsicht |
108 | |
109 | VI. Risikoeinschätzung |
110 | |
111 | 1) Bedrohte Akteure |
112 | a) Staat |
113 | b) Wirtschaft |
114 | c) Gesellschaft |
115 | 2) Bedrohte Rechtsgüter |
116 | 3) Wahrscheinlichkeit |
117 | 4) Motivation |
118 | |
119 | VII. Strategie |
120 | |
121 | 1) Reform vorhandener Vorschriften |
122 | 2) Neuschaffung eines IT-Sicherheitsgesetzes |
123 | a) Prämisse |
124 | aa) Keine Sektorialisierung der Schutzbereiche |
125 | bb) Schaffung umfassender Sicherheitsstandards |
126 | cc) Unabhängigkeit des Gesetzes von technologischem |
127 | Fortschritt |
128 | b) Eckpunkte für ein IT-Sicherheitsgesetz |