Mitmachen

0

Originalversion

1 I. Einleitung
2
3 Das Internet ist die technische und gesellschaftliche
4 Errungenschaft, die einer ganzen Epoche, dem
5 Informationszeitalter, seine Prägung gegeben hat.
6 Informationsaus-tausch ist umfangreicher und schneller denn
7 je möglich. Durch Vernetzung ist die Welt dichter
8 zusammengerückt und so ist es – um bei dieser Metapher zu
9 bleiben – leichter als jemals zuvor, vom Tischnachbarn
10 abzuschreiben. Das Internet ist das ideale Medium zum
11 Informationsaustausch, aber auch das ideale Medium zum
12 aus-spähen vertraulicher Informationen. Wer im Internet
13 spioniert muss nicht aufwendig und teuer angeworben oder
14 ausgebildet werden; er muss nicht unter größtem Risiko in
15 Unternehmen oder Behörden eingeschleust werden; er muss kein
16 Doppelleben führen und auch das Entdeckungsrisiko minimiert
17 sich dahingehend, dass zwar die Datenverbindung gekappt
18 wird, der im Ausland sitzende Spion aber weder Inhaftie-rung
19 noch Interrogation zu befürchten hat. Der Internetspion muss
20 nicht einmal selbst handeln: Ausreichend ist, dass er fremde
21 Computer als automatisierte Helfer z.B. zu sog. Botnets
22 zusammenschließt um sich Zugang zum Aufklärungsziel zu
23 verschaffen.
24
25 Problematisch ist, dass es eine Entwicklungsasymmetrie
26 zwischen dem Fortschritt der Entwicklung der Technologie und
27 dem Erlass wirksamer Schutzgesetze gibt. Einige der
28 Schutzgesetze stammen aus der Zeit bevor es das World Wide
29 Web gab. Die Entwicklung der Sachlage wirkt bedrohlich:
30 Sowohl Anzahl, als auch Wirksamkeit von Spionageattacken
31 nehmen von Jahr zu Jahr zu. Neuere Computer werden
32 leistungsstärker und die Programmierung der schadhaften
33 Programme ausdefinierter. Geheimdienste entwickeln
34 Computerviren, deren Architektur auf bestimmte
35 Indust-rieanlagen ausgerichtet ist, um so mit maximaler
36 Effizienz zu schaden. Von Geheim-diensten aufgestellte
37 Botnets, also ferngesteuerte PC-Netzwerke, auf denen eine
38 Software (Bot) läuft, die, ohne dass es äußerlich erkennbar
39 wäre, Befehle von einer zentralen Stelle empfängt, um so
40 koordiniert Angriffe auszuführen, [FN: Cronin, in: van
41 Tilborg, Encyclopedia of Cryptography and Security, S. 144,
42 Tanenbaum; Com-puter Networks, S. 778] ermöglichen über
43 Monate hinweg unbemerkt das Ausspähen tausender Dokumente in
44 staatlichen Behörden. Auch die Akteure werden
45 vielseiti-ger. Zu den klassischen staatlichen Geheimdiensten
46 treten in jüngster Zeit vermehrt sog. Hackergroups auf,
47 deren Ziel u.a.das Ausspionieren und Veröffentlichen von
48 Kundendaten ist, um einem Unternehmen so Schaden zuzufügen.
49
50 Wie kann man der Lage Herr werden? Müssen neue Gesetze
51 geschaffen werden, deren Wirksamkeit unabhängig vom
52 technischen Fortschritt ist? Ist tatsächlich ein vereinzelt
53 geforderter „Paradigmenwechsel“ nötig, der letztendlich zur
54 Entnetzung kritischer Infrastrukturen führt? Regelt sich die
55 Problematik möglicherweise von selbst, da mit dem
56 technischen Fortschritt der Angriffsmittel, auch der
57 technische Fortschritt der Verteidigungsmethoden zunimmt?
58
59 II. Akteure
60 Die Konstellationen von Angreifer und Angriffsziel im
61 Bereich der Internet-Spionage sind so vielfältig, wie die
62 möglichen Teilnehmer an diesem Netzwerk. Die Motivationen
63 reichen dabei von reiner Informationsakquise über das
64 „sportliche“ Bloßstellen verschiedenster Sicherheitssysteme,
65 bis hin zur Vorbereitung von Sabo-tageakten. Maßgeblich ist
66 bei Angriffen über das Netz, dass die Komplexität der
67 Systeme ein geringes Entdeckungsrisiko und die Möglichkeit
68 bietet, große Datenmengen zu erhalten.[FN: Gacken, MMR 2011,
69 3.]
70 1) Staat als Angreifer gegen Staat als Angriffsziel
71 2) Staat als Angreifer gegen Wirtschaft als Angriffsziel
72 3) Wirtschaft als Angreifer gegen Staat als Angriffsziel
73 4) Wirtschaft als Angreifer gegen Wirtschaft als
74 Angriffsziel
75 5) Hackergruppen als Angreifer gegen Staat als Angriffsziel
76 [FN: Es folgt eine Erläuterung des Begriffes „Hackergruppen“
77 und der Be-griffsverwendung.]
78 6) Hackergruppen als Angreifer gegen Wirtschaft als
79 Angriffsziel
80
81 III. Angriffsmittel und Ursachen
82
83 a) Einsatz von Schadsoftware zur Spionage
84 aa) Trojaner / Würmer / Viren
85 bb) Phishing / Spearfishing / Shoulder Surfing
86 cc) Bedeutung von IPv6
87 b) Fehlendes Sicherheitsbewusstsein und –verhalten
88 c) Motivationen der Akteure für Spionage
89
90 IV. Technische und sonstige Schutzmöglichkeiten
91
92 V. Vorhandene Regulierungen und Schutzmaßnahmen
93
94 1) Überblick
95 2) Öffentlich-rechtliche Schutzvorschriften
96 a) §§ 108 ff. TKG
97 b) PTSG
98 c) BDSG
99 d) § 25a KWG
100 e) BSI-Gesetz
101 3) Zivilrechtliche Schutzvorschriften
102 a) Produkthaftung aus Vertrag
103 b) § 823 BGB
104 c) § 7 ff. TMG
105 d) Sonstige zivilrechtliche Ansätze
106 aa) Haftung der Unternehmensleitung und der
107 Unternehmensaufsicht
108
109 VI. Risikoeinschätzung
110
111 1) Bedrohte Akteure
112 a) Staat
113 b) Wirtschaft
114 c) Gesellschaft
115 2) Bedrohte Rechtsgüter
116 3) Wahrscheinlichkeit
117 4) Motivation
118
119 VII. Strategie
120
121 1) Reform vorhandener Vorschriften
122 2) Neuschaffung eines IT-Sicherheitsgesetzes
123 a) Prämisse
124 aa) Keine Sektorialisierung der Schutzbereiche
125 bb) Schaffung umfassender Sicherheitsstandards
126 cc) Unabhängigkeit des Gesetzes von technologischem
127 Fortschritt
128 b) Eckpunkte für ein IT-Sicherheitsgesetz

Der Text verglichen mit der Originalversion

1 I. Einleitung
2
3 Das Internet ist die technische und gesellschaftliche
4 Errungenschaft, die einer ganzen Epoche, dem
5 Informationszeitalter, seine Prägung gegeben hat.
6 Informationsaus-tausch ist umfangreicher und schneller denn
7 je möglich. Durch Vernetzung ist die Welt dichter
8 zusammengerückt und so ist es – um bei dieser Metapher zu
9 bleiben – leichter als jemals zuvor, vom Tischnachbarn
10 abzuschreiben. Das Internet ist das ideale Medium zum
11 Informationsaustausch, aber auch das ideale Medium zum
12 aus-spähen vertraulicher Informationen. Wer im Internet
13 spioniert muss nicht aufwendig und teuer angeworben oder
14 ausgebildet werden; er muss nicht unter größtem Risiko in
15 Unternehmen oder Behörden eingeschleust werden; er muss kein
16 Doppelleben führen und auch das Entdeckungsrisiko minimiert
17 sich dahingehend, dass zwar die Datenverbindung gekappt
18 wird, der im Ausland sitzende Spion aber weder Inhaftie-rung
19 noch Interrogation zu befürchten hat. Der Internetspion muss
20 nicht einmal selbst handeln: Ausreichend ist, dass er fremde
21 Computer als automatisierte Helfer z.B. zu sog. Botnets
22 zusammenschließt um sich Zugang zum Aufklärungsziel zu
23 verschaffen.
24
25 Problematisch ist, dass es eine Entwicklungsasymmetrie
26 zwischen dem Fortschritt der Entwicklung der Technologie und
27 dem Erlass wirksamer Schutzgesetze gibt. Einige der
28 Schutzgesetze stammen aus der Zeit bevor es das World Wide
29 Web gab. Die Entwicklung der Sachlage wirkt bedrohlich:
30 Sowohl Anzahl, als auch Wirksamkeit von Spionageattacken
31 nehmen von Jahr zu Jahr zu. Neuere Computer werden
32 leistungsstärker und die Programmierung der schadhaften
33 Programme ausdefinierter. Geheimdienste entwickeln
34 Computerviren, deren Architektur auf bestimmte
35 Indust-rieanlagen ausgerichtet ist, um so mit maximaler
36 Effizienz zu schaden. Von Geheim-diensten aufgestellte
37 Botnets, also ferngesteuerte PC-Netzwerke, auf denen eine
38 Software (Bot) läuft, die, ohne dass es äußerlich erkennbar
39 wäre, Befehle von einer zentralen Stelle empfängt, um so
40 koordiniert Angriffe auszuführen, [FN: Cronin, in: van
41 Tilborg, Encyclopedia of Cryptography and Security, S. 144,
42 Tanenbaum; Com-puter Networks, S. 778] ermöglichen über
43 Monate hinweg unbemerkt das Ausspähen tausender Dokumente in
44 staatlichen Behörden. Auch die Akteure werden
45 vielseiti-ger. Zu den klassischen staatlichen Geheimdiensten
46 treten in jüngster Zeit vermehrt sog. Hackergroups auf,
47 deren Ziel u.a.das Ausspionieren und Veröffentlichen von
48 Kundendaten ist, um einem Unternehmen so Schaden zuzufügen.
49
50 Wie kann man der Lage Herr werden? Müssen neue Gesetze
51 geschaffen werden, deren Wirksamkeit unabhängig vom
52 technischen Fortschritt ist? Ist tatsächlich ein vereinzelt
53 geforderter „Paradigmenwechsel“ nötig, der letztendlich zur
54 Entnetzung kritischer Infrastrukturen führt? Regelt sich die
55 Problematik möglicherweise von selbst, da mit dem
56 technischen Fortschritt der Angriffsmittel, auch der
57 technische Fortschritt der Verteidigungsmethoden zunimmt?
58
59 II. Akteure
60 Die Konstellationen von Angreifer und Angriffsziel im
61 Bereich der Internet-Spionage sind so vielfältig, wie die
62 möglichen Teilnehmer an diesem Netzwerk. Die Motivationen
63 reichen dabei von reiner Informationsakquise über das
64 „sportliche“ Bloßstellen verschiedenster Sicherheitssysteme,
65 bis hin zur Vorbereitung von Sabo-tageakten. Maßgeblich ist
66 bei Angriffen über das Netz, dass die Komplexität der
67 Systeme ein geringes Entdeckungsrisiko und die Möglichkeit
68 bietet, große Datenmengen zu erhalten.[FN: Gacken, MMR 2011,
69 3.]
70 1) Staat als Angreifer gegen Staat als Angriffsziel
71 2) Staat als Angreifer gegen Wirtschaft als Angriffsziel
72 3) Wirtschaft als Angreifer gegen Staat als Angriffsziel
73 4) Wirtschaft als Angreifer gegen Wirtschaft als
74 Angriffsziel
75 5) Hackergruppen als Angreifer gegen Staat als Angriffsziel
76 [FN: Es folgt eine Erläuterung des Begriffes „Hackergruppen“
77 und der Be-griffsverwendung.]
78 6) Hackergruppen als Angreifer gegen Wirtschaft als
79 Angriffsziel
80
81 III. Angriffsmittel und Ursachen
82
83 a) Einsatz von Schadsoftware zur Spionage
84 aa) Trojaner / Würmer / Viren
85 bb) Phishing / Spearfishing / Shoulder Surfing
86 cc) Bedeutung von IPv6
87 b) Fehlendes Sicherheitsbewusstsein und –verhalten
88 c) Motivationen der Akteure für Spionage
89
90 IV. Technische und sonstige Schutzmöglichkeiten
91
92 V. Vorhandene Regulierungen und Schutzmaßnahmen
93
94 1) Überblick
95 2) Öffentlich-rechtliche Schutzvorschriften
96 a) §§ 108 ff. TKG
97 b) PTSG
98 c) BDSG
99 d) § 25a KWG
100 e) BSI-Gesetz
101 3) Zivilrechtliche Schutzvorschriften
102 a) Produkthaftung aus Vertrag
103 b) § 823 BGB
104 c) § 7 ff. TMG
105 d) Sonstige zivilrechtliche Ansätze
106 aa) Haftung der Unternehmensleitung und der
107 Unternehmensaufsicht
108
109 VI. Risikoeinschätzung
110
111 1) Bedrohte Akteure
112 a) Staat
113 b) Wirtschaft
114 c) Gesellschaft
115 2) Bedrohte Rechtsgüter
116 3) Wahrscheinlichkeit
117 4) Motivation
118
119 VII. Strategie
120
121 1) Reform vorhandener Vorschriften
122 2) Neuschaffung eines IT-Sicherheitsgesetzes
123 a) Prämisse
124 aa) Keine Sektorialisierung der Schutzbereiche
125 bb) Schaffung umfassender Sicherheitsstandards
126 cc) Unabhängigkeit des Gesetzes von technologischem
127 Fortschritt
128 b) Eckpunkte für ein IT-Sicherheitsgesetz
"Bisher wurden keine Argumente hinzugefügt.

Historie dieser Version

Diese Version unterstützen