Originalversion
| 1 | I. Einleitung |
| 2 | |
| 3 | Das Internet ist die technische und gesellschaftliche |
| 4 | Errungenschaft, die einer ganzen Epoche, dem |
| 5 | Informationszeitalter, seine Prägung gegeben hat. |
| 6 | Informationsaus-tausch ist umfangreicher und schneller denn |
| 7 | je möglich. Durch Vernetzung ist die Welt dichter |
| 8 | zusammengerückt und so ist es – um bei dieser Metapher zu |
| 9 | bleiben – leichter als jemals zuvor, vom Tischnachbarn |
| 10 | abzuschreiben. Das Internet ist das ideale Medium zum |
| 11 | Informationsaustausch, aber auch das ideale Medium zum |
| 12 | aus-spähen vertraulicher Informationen. Wer im Internet |
| 13 | spioniert muss nicht aufwendig und teuer angeworben oder |
| 14 | ausgebildet werden; er muss nicht unter größtem Risiko in |
| 15 | Unternehmen oder Behörden eingeschleust werden; er muss kein |
| 16 | Doppelleben führen und auch das Entdeckungsrisiko minimiert |
| 17 | sich dahingehend, dass zwar die Datenverbindung gekappt |
| 18 | wird, der im Ausland sitzende Spion aber weder Inhaftie-rung |
| 19 | noch Interrogation zu befürchten hat. Der Internetspion muss |
| 20 | nicht einmal selbst handeln: Ausreichend ist, dass er fremde |
| 21 | Computer als automatisierte Helfer z.B. zu sog. Botnets |
| 22 | zusammenschließt um sich Zugang zum Aufklärungsziel zu |
| 23 | verschaffen. |
| 24 | |
| 25 | Problematisch ist, dass es eine Entwicklungsasymmetrie |
| 26 | zwischen dem Fortschritt der Entwicklung der Technologie und |
| 27 | dem Erlass wirksamer Schutzgesetze gibt. Einige der |
| 28 | Schutzgesetze stammen aus der Zeit bevor es das World Wide |
| 29 | Web gab. Die Entwicklung der Sachlage wirkt bedrohlich: |
| 30 | Sowohl Anzahl, als auch Wirksamkeit von Spionageattacken |
| 31 | nehmen von Jahr zu Jahr zu. Neuere Computer werden |
| 32 | leistungsstärker und die Programmierung der schadhaften |
| 33 | Programme ausdefinierter. Geheimdienste entwickeln |
| 34 | Computerviren, deren Architektur auf bestimmte |
| 35 | Indust-rieanlagen ausgerichtet ist, um so mit maximaler |
| 36 | Effizienz zu schaden. Von Geheim-diensten aufgestellte |
| 37 | Botnets, also ferngesteuerte PC-Netzwerke, auf denen eine |
| 38 | Software (Bot) läuft, die, ohne dass es äußerlich erkennbar |
| 39 | wäre, Befehle von einer zentralen Stelle empfängt, um so |
| 40 | koordiniert Angriffe auszuführen, [FN: Cronin, in: van |
| 41 | Tilborg, Encyclopedia of Cryptography and Security, S. 144, |
| 42 | Tanenbaum; Com-puter Networks, S. 778] ermöglichen über |
| 43 | Monate hinweg unbemerkt das Ausspähen tausender Dokumente in |
| 44 | staatlichen Behörden. Auch die Akteure werden |
| 45 | vielseiti-ger. Zu den klassischen staatlichen Geheimdiensten |
| 46 | treten in jüngster Zeit vermehrt sog. Hackergroups auf, |
| 47 | deren Ziel u.a.das Ausspionieren und Veröffentlichen von |
| 48 | Kundendaten ist, um einem Unternehmen so Schaden zuzufügen. |
| 49 | |
| 50 | Wie kann man der Lage Herr werden? Müssen neue Gesetze |
| 51 | geschaffen werden, deren Wirksamkeit unabhängig vom |
| 52 | technischen Fortschritt ist? Ist tatsächlich ein vereinzelt |
| 53 | geforderter „Paradigmenwechsel“ nötig, der letztendlich zur |
| 54 | Entnetzung kritischer Infrastrukturen führt? Regelt sich die |
| 55 | Problematik möglicherweise von selbst, da mit dem |
| 56 | technischen Fortschritt der Angriffsmittel, auch der |
| 57 | technische Fortschritt der Verteidigungsmethoden zunimmt? |
| 58 | |
| 59 | II. Akteure |
| 60 | Die Konstellationen von Angreifer und Angriffsziel im |
| 61 | Bereich der Internet-Spionage sind so vielfältig, wie die |
| 62 | möglichen Teilnehmer an diesem Netzwerk. Die Motivationen |
| 63 | reichen dabei von reiner Informationsakquise über das |
| 64 | „sportliche“ Bloßstellen verschiedenster Sicherheitssysteme, |
| 65 | bis hin zur Vorbereitung von Sabo-tageakten. Maßgeblich ist |
| 66 | bei Angriffen über das Netz, dass die Komplexität der |
| 67 | Systeme ein geringes Entdeckungsrisiko und die Möglichkeit |
| 68 | bietet, große Datenmengen zu erhalten.[FN: Gacken, MMR 2011, |
| 69 | 3.] |
| 70 | 1) Staat als Angreifer gegen Staat als Angriffsziel |
| 71 | 2) Staat als Angreifer gegen Wirtschaft als Angriffsziel |
| 72 | 3) Wirtschaft als Angreifer gegen Staat als Angriffsziel |
| 73 | 4) Wirtschaft als Angreifer gegen Wirtschaft als |
| 74 | Angriffsziel |
| 75 | 5) Hackergruppen als Angreifer gegen Staat als Angriffsziel |
| 76 | [FN: Es folgt eine Erläuterung des Begriffes „Hackergruppen“ |
| 77 | und der Be-griffsverwendung.] |
| 78 | 6) Hackergruppen als Angreifer gegen Wirtschaft als |
| 79 | Angriffsziel |
| 80 | |
| 81 | III. Angriffsmittel und Ursachen |
| 82 | |
| 83 | a) Einsatz von Schadsoftware zur Spionage |
| 84 | aa) Trojaner / Würmer / Viren |
| 85 | bb) Phishing / Spearfishing / Shoulder Surfing |
| 86 | cc) Bedeutung von IPv6 |
| 87 | b) Fehlendes Sicherheitsbewusstsein und –verhalten |
| 88 | c) Motivationen der Akteure für Spionage |
| 89 | |
| 90 | IV. Technische und sonstige Schutzmöglichkeiten |
| 91 | |
| 92 | V. Vorhandene Regulierungen und Schutzmaßnahmen |
| 93 | |
| 94 | 1) Überblick |
| 95 | 2) Öffentlich-rechtliche Schutzvorschriften |
| 96 | a) §§ 108 ff. TKG |
| 97 | b) PTSG |
| 98 | c) BDSG |
| 99 | d) § 25a KWG |
| 100 | e) BSI-Gesetz |
| 101 | 3) Zivilrechtliche Schutzvorschriften |
| 102 | a) Produkthaftung aus Vertrag |
| 103 | b) § 823 BGB |
| 104 | c) § 7 ff. TMG |
| 105 | d) Sonstige zivilrechtliche Ansätze |
| 106 | aa) Haftung der Unternehmensleitung und der |
| 107 | Unternehmensaufsicht |
| 108 | |
| 109 | VI. Risikoeinschätzung |
| 110 | |
| 111 | 1) Bedrohte Akteure |
| 112 | a) Staat |
| 113 | b) Wirtschaft |
| 114 | c) Gesellschaft |
| 115 | 2) Bedrohte Rechtsgüter |
| 116 | 3) Wahrscheinlichkeit |
| 117 | 4) Motivation |
| 118 | |
| 119 | VII. Strategie |
| 120 | |
| 121 | 1) Reform vorhandener Vorschriften |
| 122 | 2) Neuschaffung eines IT-Sicherheitsgesetzes |
| 123 | a) Prämisse |
| 124 | aa) Keine Sektorialisierung der Schutzbereiche |
| 125 | bb) Schaffung umfassender Sicherheitsstandards |
| 126 | cc) Unabhängigkeit des Gesetzes von technologischem |
| 127 | Fortschritt |
| 128 | b) Eckpunkte für ein IT-Sicherheitsgesetz |
Der Text verglichen mit der Originalversion
| 1 | I. Einleitung |
| 2 | |
| 3 | Das Internet ist die technische und gesellschaftliche |
| 4 | Errungenschaft, die einer ganzen Epoche, dem |
| 5 | Informationszeitalter, seine Prägung gegeben hat. |
| 6 | Informationsaus-tausch ist umfangreicher und schneller denn |
| 7 | je möglich. Durch Vernetzung ist die Welt dichter |
| 8 | zusammengerückt und so ist es – um bei dieser Metapher zu |
| 9 | bleiben – leichter als jemals zuvor, vom Tischnachbarn |
| 10 | abzuschreiben. Das Internet ist das ideale Medium zum |
| 11 | Informationsaustausch, aber auch das ideale Medium zum |
| 12 | aus-spähen vertraulicher Informationen. Wer im Internet |
| 13 | spioniert muss nicht aufwendig und teuer angeworben oder |
| 14 | ausgebildet werden; er muss nicht unter größtem Risiko in |
| 15 | Unternehmen oder Behörden eingeschleust werden; er muss kein |
| 16 | Doppelleben führen und auch das Entdeckungsrisiko minimiert |
| 17 | sich dahingehend, dass zwar die Datenverbindung gekappt |
| 18 | wird, der im Ausland sitzende Spion aber weder Inhaftie-rung |
| 19 | noch Interrogation zu befürchten hat. Der Internetspion muss |
| 20 | nicht einmal selbst handeln: Ausreichend ist, dass er fremde |
| 21 | Computer als automatisierte Helfer z.B. zu sog. Botnets |
| 22 | zusammenschließt um sich Zugang zum Aufklärungsziel zu |
| 23 | verschaffen. |
| 24 | |
| 25 | Problematisch ist, dass es eine Entwicklungsasymmetrie |
| 26 | zwischen dem Fortschritt der Entwicklung der Technologie und |
| 27 | dem Erlass wirksamer Schutzgesetze gibt. Einige der |
| 28 | Schutzgesetze stammen aus der Zeit bevor es das World Wide |
| 29 | Web gab. Die Entwicklung der Sachlage wirkt bedrohlich: |
| 30 | Sowohl Anzahl, als auch Wirksamkeit von Spionageattacken |
| 31 | nehmen von Jahr zu Jahr zu. Neuere Computer werden |
| 32 | leistungsstärker und die Programmierung der schadhaften |
| 33 | Programme ausdefinierter. Geheimdienste entwickeln |
| 34 | Computerviren, deren Architektur auf bestimmte |
| 35 | Indust-rieanlagen ausgerichtet ist, um so mit maximaler |
| 36 | Effizienz zu schaden. Von Geheim-diensten aufgestellte |
| 37 | Botnets, also ferngesteuerte PC-Netzwerke, auf denen eine |
| 38 | Software (Bot) läuft, die, ohne dass es äußerlich erkennbar |
| 39 | wäre, Befehle von einer zentralen Stelle empfängt, um so |
| 40 | koordiniert Angriffe auszuführen, [FN: Cronin, in: van |
| 41 | Tilborg, Encyclopedia of Cryptography and Security, S. 144, |
| 42 | Tanenbaum; Com-puter Networks, S. 778] ermöglichen über |
| 43 | Monate hinweg unbemerkt das Ausspähen tausender Dokumente in |
| 44 | staatlichen Behörden. Auch die Akteure werden |
| 45 | vielseiti-ger. Zu den klassischen staatlichen Geheimdiensten |
| 46 | treten in jüngster Zeit vermehrt sog. Hackergroups auf, |
| 47 | deren Ziel u.a.das Ausspionieren und Veröffentlichen von |
| 48 | Kundendaten ist, um einem Unternehmen so Schaden zuzufügen. |
| 49 | |
| 50 | Wie kann man der Lage Herr werden? Müssen neue Gesetze |
| 51 | geschaffen werden, deren Wirksamkeit unabhängig vom |
| 52 | technischen Fortschritt ist? Ist tatsächlich ein vereinzelt |
| 53 | geforderter „Paradigmenwechsel“ nötig, der letztendlich zur |
| 54 | Entnetzung kritischer Infrastrukturen führt? Regelt sich die |
| 55 | Problematik möglicherweise von selbst, da mit dem |
| 56 | technischen Fortschritt der Angriffsmittel, auch der |
| 57 | technische Fortschritt der Verteidigungsmethoden zunimmt? |
| 58 | |
| 59 | II. Akteure |
| 60 | Die Konstellationen von Angreifer und Angriffsziel im |
| 61 | Bereich der Internet-Spionage sind so vielfältig, wie die |
| 62 | möglichen Teilnehmer an diesem Netzwerk. Die Motivationen |
| 63 | reichen dabei von reiner Informationsakquise über das |
| 64 | „sportliche“ Bloßstellen verschiedenster Sicherheitssysteme, |
| 65 | bis hin zur Vorbereitung von Sabo-tageakten. Maßgeblich ist |
| 66 | bei Angriffen über das Netz, dass die Komplexität der |
| 67 | Systeme ein geringes Entdeckungsrisiko und die Möglichkeit |
| 68 | bietet, große Datenmengen zu erhalten.[FN: Gacken, MMR 2011, |
| 69 | 3.] |
| 70 | 1) Staat als Angreifer gegen Staat als Angriffsziel |
| 71 | 2) Staat als Angreifer gegen Wirtschaft als Angriffsziel |
| 72 | 3) Wirtschaft als Angreifer gegen Staat als Angriffsziel |
| 73 | 4) Wirtschaft als Angreifer gegen Wirtschaft als |
| 74 | Angriffsziel |
| 75 | 5) Hackergruppen als Angreifer gegen Staat als Angriffsziel |
| 76 | [FN: Es folgt eine Erläuterung des Begriffes „Hackergruppen“ |
| 77 | und der Be-griffsverwendung.] |
| 78 | 6) Hackergruppen als Angreifer gegen Wirtschaft als |
| 79 | Angriffsziel |
| 80 | |
| 81 | III. Angriffsmittel und Ursachen |
| 82 | |
| 83 | a) Einsatz von Schadsoftware zur Spionage |
| 84 | aa) Trojaner / Würmer / Viren |
| 85 | bb) Phishing / Spearfishing / Shoulder Surfing |
| 86 | cc) Bedeutung von IPv6 |
| 87 | b) Fehlendes Sicherheitsbewusstsein und –verhalten |
| 88 | c) Motivationen der Akteure für Spionage |
| 89 | |
| 90 | IV. Technische und sonstige Schutzmöglichkeiten |
| 91 | |
| 92 | V. Vorhandene Regulierungen und Schutzmaßnahmen |
| 93 | |
| 94 | 1) Überblick |
| 95 | 2) Öffentlich-rechtliche Schutzvorschriften |
| 96 | a) §§ 108 ff. TKG |
| 97 | b) PTSG |
| 98 | c) BDSG |
| 99 | d) § 25a KWG |
| 100 | e) BSI-Gesetz |
| 101 | 3) Zivilrechtliche Schutzvorschriften |
| 102 | a) Produkthaftung aus Vertrag |
| 103 | b) § 823 BGB |
| 104 | c) § 7 ff. TMG |
| 105 | d) Sonstige zivilrechtliche Ansätze |
| 106 | aa) Haftung der Unternehmensleitung und der |
| 107 | Unternehmensaufsicht |
| 108 | |
| 109 | VI. Risikoeinschätzung |
| 110 | |
| 111 | 1) Bedrohte Akteure |
| 112 | a) Staat |
| 113 | b) Wirtschaft |
| 114 | c) Gesellschaft |
| 115 | 2) Bedrohte Rechtsgüter |
| 116 | 3) Wahrscheinlichkeit |
| 117 | 4) Motivation |
| 118 | |
| 119 | VII. Strategie |
| 120 | |
| 121 | 1) Reform vorhandener Vorschriften |
| 122 | 2) Neuschaffung eines IT-Sicherheitsgesetzes |
| 123 | a) Prämisse |
| 124 | aa) Keine Sektorialisierung der Schutzbereiche |
| 125 | bb) Schaffung umfassender Sicherheitsstandards |
| 126 | cc) Unabhängigkeit des Gesetzes von technologischem |
| 127 | Fortschritt |
| 128 | b) Eckpunkte für ein IT-Sicherheitsgesetz |