| 1 |
I. Einleitung |
| 2 |
|
| 3 |
DasJeder InternetInternetverkehr ist die technischevon und |
| 4 |
gesellschaftliche Errungenschaft, diezu einer |
| 5 |
ganzenAnschlusskennung Epoche,(z.B. demIP-Adresse) |
| 6 |
Informationszeitalter,sollte seinekryptographisch |
| 7 |
Prägungverschlüsselt gegebensein, hat.damit |
| 8 |
Informationsaus-tausch ist umfangreicher und schneller denn |
| 9 |
je möglich. Durch Vernetzung ist die Welt dichter |
| 10 |
zusammengerückt und so ist es – um bei dieser Metapher zu |
| 11 |
bleiben – leichter als jemals zuvor, vom Tischnachbarn |
| 12 |
abzuschreiben. Das Internet ist das ideale Medium zum |
| 13 |
Informationsaustausch, aber auch das ideale Medium zum |
| 14 |
aus-spähen vertraulicher Informationen. Wer im Internet |
| 15 |
spioniert muss nicht aufwendig und teuer angeworben oder |
| 16 |
ausgebildet werden; er muss nicht unter größtem Risiko in |
| 17 |
Unternehmen oder Behörden eingeschleust werden; er muss |
| 18 |
kein Doppelleben führen und auch das Entdeckungsrisiko |
| 19 |
minimiert sich dahingehend, dass zwar die Datenverbindung |
| 20 |
gekappt wird, der im Ausland sitzende Spion aber weder |
| 21 |
Inhaftie-rung noch Interrogation zu befürchten hat. Der |
| 22 |
Internetspion muss nicht einmal selbst handeln: Ausreichend |
| 23 |
ist, dass er fremde Computer als automatisierte Helfer z.B. |
| 24 |
zu sog. Botnets zusammenschließt um sich Zugang zum |
| 25 |
Aufklärungsziel zu verschaffen. |
| 26 |
|
| 27 |
Problematisch ist, dass es eine Entwicklungsasymmetrie |
| 28 |
zwischen dem Fortschritt der Entwicklung der Technologie |
| 29 |
und dem Erlass wirksamer Schutzgesetze gibt. Einige der |
| 30 |
Schutzgesetze stammen aus der Zeit bevor es das World Wide |
| 31 |
Web gab. Die Entwicklung der Sachlage wirkt bedrohlich: |
| 32 |
Sowohl Anzahl, als auch Wirksamkeit von Spionageattacken |
| 33 |
nehmen von Jahr zu Jahr zu. Neuere Computer werden |
| 34 |
leistungsstärker und die Programmierung der schadhaften |
| 35 |
Programme ausdefinierter. Geheimdienste entwickeln |
| 36 |
Computerviren, deren Architektur auf bestimmte |
| 37 |
Indust-rieanlagen ausgerichtet ist, um so mit maximaler |
| 38 |
Effizienz zu schaden. Von Geheim-diensten aufgestellte |
| 39 |
Botnets, also ferngesteuerte PC-Netzwerke, auf denen eine |
| 40 |
Software (Bot) läuft, die, ohne dass es äußerlich erkennbar |
| 41 |
wäre, Befehle von einer zentralen Stelle empfängt, um so |
| 42 |
koordiniert Angriffe auszuführen, [FN: Cronin, in: van |
| 43 |
Tilborg, Encyclopedia of Cryptography and Security, S. 144, |
| 44 |
Tanenbaum; Com-puter Networks, S. 778] ermöglichen über |
| 45 |
Monate hinweg unbemerkt das Ausspähen tausender Dokumente |
| 46 |
in staatlichen Behörden. Auch die Akteure werden |
| 47 |
vielseiti-ger. Zu den klassischen staatlichen |
| 48 |
Geheimdiensten treten in jüngster Zeit vermehrt sog. |
| 49 |
Hackergroups auf, deren Ziel u.a.das Ausspionieren und |
| 50 |
Veröffentlichen von Kundendaten ist, um einem Unternehmen |
| 51 |
so Schaden zuzufügen. |
| 52 |
|
| 53 |
Wie kann man der Lage Herr werden? Müssen neue Gesetze |
| 54 |
geschaffen werden, deren Wirksamkeit unabhängig vom |
| 55 |
technischen Fortschritt ist? Ist tatsächlich ein vereinzelt |
| 56 |
geforderter „Paradigmenwechsel“ nötig, der letztendlich zur |
| 57 |
Entnetzung kritischer Infrastrukturen führt? Regelt sich |
| 58 |
die Problematik möglicherweise von selbst, da mit dem |
| 59 |
technischen Fortschritt der Angriffsmittel, auch der |
| 60 |
technische Fortschritt der Verteidigungsmethoden zunimmt? |
| 61 |
|
| 62 |
II. Akteure |
| 63 |
Die Konstellationen von Angreifer und Angriffsziel im |
| 64 |
Bereich der Internet-Spionage sind so vielfältig, wie die |
| 65 |
möglichen Teilnehmer an diesem Netzwerk. Die Motivationen |
| 66 |
reichen dabei von reiner Informationsakquise über das |
| 67 |
„sportliche“ Bloßstellen verschiedenster |
| 68 |
Sicherheitssysteme, bis hin zur Vorbereitung von |
| 69 |
Sabo-tageakten. Maßgeblich ist bei Angriffen über das Netz, |
| 70 |
dass die Komplexität der Systeme ein geringes |
| 71 |
Entdeckungsrisiko und die Möglichkeit bietet, große |
| 72 |
Datenmengen zu erhalten.[FN: Gacken, MMR 2011, 3.] |
| 73 |
1) Staat als Angreifer gegen Staat als Angriffsziel |
| 74 |
2) Staat als Angreifer gegen Wirtschaft als Angriffsziel |
| 75 |
3) Wirtschaft als Angreifer gegen Staat als Angriffsziel |
| 76 |
4) Wirtschaft als Angreifer gegen Wirtschaft als |
| 77 |
Angriffsziel |
| 78 |
5) Hackergruppen als Angreifer gegen Staat als Angriffsziel |
| 79 |
[FN: Es folgt eine ErläuterungAbören des BegriffesInhalts |
| 80 |
„Hackergruppen“verhindert und der |
| 81 |
Be-griffsverwendung.]werden. |
| 82 |
6) Hackergruppen als Angreifer gegen Wirtschaft als |
| 83 |
Angriffsziel |
| 84 |
|
| 85 |
III. Angriffsmittel und Ursachen |
| 86 |
|
| 87 |
a) Einsatz von Schadsoftware zur Spionage |
| 88 |
aa) Trojaner / Würmer / Viren |
| 89 |
bb) Phishing / Spearfishing / Shoulder Surfing |
| 90 |
cc) Bedeutung von IPv6 |
| 91 |
b) Fehlendes Sicherheitsbewusstsein und –verhalten |
| 92 |
c) Motivationen der Akteure für Spionage |
| 93 |
|
| 94 |
IV. Technische und sonstige Schutzmöglichkeiten |
| 95 |
|
| 96 |
V. Vorhandene Regulierungen und Schutzmaßnahmen |
| 97 |
|
| 98 |
1) Überblick |
| 99 |
2) Öffentlich-rechtliche Schutzvorschriften |
| 100 |
a) §§ 108 ff. TKG |
| 101 |
b) PTSG |
| 102 |
c) BDSG |
| 103 |
d) § 25a KWG |
| 104 |
e) BSI-Gesetz |
| 105 |
3) Zivilrechtliche Schutzvorschriften |
| 106 |
a) Produkthaftung aus Vertrag |
| 107 |
b) § 823 BGB |
| 108 |
c) § 7 ff. TMG |
| 109 |
d) Sonstige zivilrechtliche Ansätze |
| 110 |
aa) Haftung der Unternehmensleitung und der |
| 111 |
Unternehmensaufsicht |
| 112 |
|
| 113 |
VI. Risikoeinschätzung |
| 114 |
|
| 115 |
1) Bedrohte Akteure |
| 116 |
a) Staat |
| 117 |
b) Wirtschaft |
| 118 |
c) Gesellschaft |
| 119 |
2) Bedrohte Rechtsgüter |
| 120 |
3) Wahrscheinlichkeit |
| 121 |
4) Motivation |
| 122 |
|
| 123 |
VII. Strategie |
| 124 |
|
| 125 |
1) Reform vorhandener Vorschriften |
| 126 |
2) Neuschaffung eines IT-Sicherheitsgesetzes |
| 127 |
a) Prämisse |
| 128 |
aa) Keine Sektorialisierung der Schutzbereiche |
| 129 |
bb) Schaffung umfassender Sicherheitsstandards |
| 130 |
cc) Unabhängigkeit des Gesetzes von technologischem |
| 131 |
Fortschritt |
| 132 |
b) Eckpunkte für ein IT-Sicherheitsgesetz |
| 133 |
|
| 134 |
|
