1 |
I. Einleitung |
2 |
|
3 |
DasJeder InternetInternetverkehr ist die technischevon und |
4 |
gesellschaftliche Errungenschaft, diezu einer |
5 |
ganzenAnschlusskennung Epoche,(z.B. demIP-Adresse) |
6 |
Informationszeitalter,sollte seinekryptographisch |
7 |
Prägungverschlüsselt gegebensein, hat.damit |
8 |
Informationsaus-tausch ist umfangreicher und schneller denn |
9 |
je möglich. Durch Vernetzung ist die Welt dichter |
10 |
zusammengerückt und so ist es – um bei dieser Metapher zu |
11 |
bleiben – leichter als jemals zuvor, vom Tischnachbarn |
12 |
abzuschreiben. Das Internet ist das ideale Medium zum |
13 |
Informationsaustausch, aber auch das ideale Medium zum |
14 |
aus-spähen vertraulicher Informationen. Wer im Internet |
15 |
spioniert muss nicht aufwendig und teuer angeworben oder |
16 |
ausgebildet werden; er muss nicht unter größtem Risiko in |
17 |
Unternehmen oder Behörden eingeschleust werden; er muss |
18 |
kein Doppelleben führen und auch das Entdeckungsrisiko |
19 |
minimiert sich dahingehend, dass zwar die Datenverbindung |
20 |
gekappt wird, der im Ausland sitzende Spion aber weder |
21 |
Inhaftie-rung noch Interrogation zu befürchten hat. Der |
22 |
Internetspion muss nicht einmal selbst handeln: Ausreichend |
23 |
ist, dass er fremde Computer als automatisierte Helfer z.B. |
24 |
zu sog. Botnets zusammenschließt um sich Zugang zum |
25 |
Aufklärungsziel zu verschaffen. |
26 |
|
27 |
Problematisch ist, dass es eine Entwicklungsasymmetrie |
28 |
zwischen dem Fortschritt der Entwicklung der Technologie |
29 |
und dem Erlass wirksamer Schutzgesetze gibt. Einige der |
30 |
Schutzgesetze stammen aus der Zeit bevor es das World Wide |
31 |
Web gab. Die Entwicklung der Sachlage wirkt bedrohlich: |
32 |
Sowohl Anzahl, als auch Wirksamkeit von Spionageattacken |
33 |
nehmen von Jahr zu Jahr zu. Neuere Computer werden |
34 |
leistungsstärker und die Programmierung der schadhaften |
35 |
Programme ausdefinierter. Geheimdienste entwickeln |
36 |
Computerviren, deren Architektur auf bestimmte |
37 |
Indust-rieanlagen ausgerichtet ist, um so mit maximaler |
38 |
Effizienz zu schaden. Von Geheim-diensten aufgestellte |
39 |
Botnets, also ferngesteuerte PC-Netzwerke, auf denen eine |
40 |
Software (Bot) läuft, die, ohne dass es äußerlich erkennbar |
41 |
wäre, Befehle von einer zentralen Stelle empfängt, um so |
42 |
koordiniert Angriffe auszuführen, [FN: Cronin, in: van |
43 |
Tilborg, Encyclopedia of Cryptography and Security, S. 144, |
44 |
Tanenbaum; Com-puter Networks, S. 778] ermöglichen über |
45 |
Monate hinweg unbemerkt das Ausspähen tausender Dokumente |
46 |
in staatlichen Behörden. Auch die Akteure werden |
47 |
vielseiti-ger. Zu den klassischen staatlichen |
48 |
Geheimdiensten treten in jüngster Zeit vermehrt sog. |
49 |
Hackergroups auf, deren Ziel u.a.das Ausspionieren und |
50 |
Veröffentlichen von Kundendaten ist, um einem Unternehmen |
51 |
so Schaden zuzufügen. |
52 |
|
53 |
Wie kann man der Lage Herr werden? Müssen neue Gesetze |
54 |
geschaffen werden, deren Wirksamkeit unabhängig vom |
55 |
technischen Fortschritt ist? Ist tatsächlich ein vereinzelt |
56 |
geforderter „Paradigmenwechsel“ nötig, der letztendlich zur |
57 |
Entnetzung kritischer Infrastrukturen führt? Regelt sich |
58 |
die Problematik möglicherweise von selbst, da mit dem |
59 |
technischen Fortschritt der Angriffsmittel, auch der |
60 |
technische Fortschritt der Verteidigungsmethoden zunimmt? |
61 |
|
62 |
II. Akteure |
63 |
Die Konstellationen von Angreifer und Angriffsziel im |
64 |
Bereich der Internet-Spionage sind so vielfältig, wie die |
65 |
möglichen Teilnehmer an diesem Netzwerk. Die Motivationen |
66 |
reichen dabei von reiner Informationsakquise über das |
67 |
„sportliche“ Bloßstellen verschiedenster |
68 |
Sicherheitssysteme, bis hin zur Vorbereitung von |
69 |
Sabo-tageakten. Maßgeblich ist bei Angriffen über das Netz, |
70 |
dass die Komplexität der Systeme ein geringes |
71 |
Entdeckungsrisiko und die Möglichkeit bietet, große |
72 |
Datenmengen zu erhalten.[FN: Gacken, MMR 2011, 3.] |
73 |
1) Staat als Angreifer gegen Staat als Angriffsziel |
74 |
2) Staat als Angreifer gegen Wirtschaft als Angriffsziel |
75 |
3) Wirtschaft als Angreifer gegen Staat als Angriffsziel |
76 |
4) Wirtschaft als Angreifer gegen Wirtschaft als |
77 |
Angriffsziel |
78 |
5) Hackergruppen als Angreifer gegen Staat als Angriffsziel |
79 |
[FN: Es folgt eine ErläuterungAbören des BegriffesInhalts |
80 |
„Hackergruppen“verhindert und der |
81 |
Be-griffsverwendung.]werden. |
82 |
6) Hackergruppen als Angreifer gegen Wirtschaft als |
83 |
Angriffsziel |
84 |
|
85 |
III. Angriffsmittel und Ursachen |
86 |
|
87 |
a) Einsatz von Schadsoftware zur Spionage |
88 |
aa) Trojaner / Würmer / Viren |
89 |
bb) Phishing / Spearfishing / Shoulder Surfing |
90 |
cc) Bedeutung von IPv6 |
91 |
b) Fehlendes Sicherheitsbewusstsein und –verhalten |
92 |
c) Motivationen der Akteure für Spionage |
93 |
|
94 |
IV. Technische und sonstige Schutzmöglichkeiten |
95 |
|
96 |
V. Vorhandene Regulierungen und Schutzmaßnahmen |
97 |
|
98 |
1) Überblick |
99 |
2) Öffentlich-rechtliche Schutzvorschriften |
100 |
a) §§ 108 ff. TKG |
101 |
b) PTSG |
102 |
c) BDSG |
103 |
d) § 25a KWG |
104 |
e) BSI-Gesetz |
105 |
3) Zivilrechtliche Schutzvorschriften |
106 |
a) Produkthaftung aus Vertrag |
107 |
b) § 823 BGB |
108 |
c) § 7 ff. TMG |
109 |
d) Sonstige zivilrechtliche Ansätze |
110 |
aa) Haftung der Unternehmensleitung und der |
111 |
Unternehmensaufsicht |
112 |
|
113 |
VI. Risikoeinschätzung |
114 |
|
115 |
1) Bedrohte Akteure |
116 |
a) Staat |
117 |
b) Wirtschaft |
118 |
c) Gesellschaft |
119 |
2) Bedrohte Rechtsgüter |
120 |
3) Wahrscheinlichkeit |
121 |
4) Motivation |
122 |
|
123 |
VII. Strategie |
124 |
|
125 |
1) Reform vorhandener Vorschriften |
126 |
2) Neuschaffung eines IT-Sicherheitsgesetzes |
127 |
a) Prämisse |
128 |
aa) Keine Sektorialisierung der Schutzbereiche |
129 |
bb) Schaffung umfassender Sicherheitsstandards |
130 |
cc) Unabhängigkeit des Gesetzes von technologischem |
131 |
Fortschritt |
132 |
b) Eckpunkte für ein IT-Sicherheitsgesetz |
133 |
|
134 |
|