Die Cybersicherheitsstrategie der Bundesregierung birgt Risiken für die Sicherheit

Dienstag, den 15. Juni 2021 - 16:31 Uhr Verfasst von Michael Kliewe, Chief Security Officer der mail.de GmbH

Bundesinnenminister Horst Seehofer hat einen Entwurf der "Cybersicherheitsstrategie für Deutschland 2021" veröffentlicht. Die im Dokument beschriebenen Leitlinien und Maßnahmen sowie Ziele sollen die Grundlage für ein sicheres Deutschland im Cyberraum bilden.

Um das erklärte Ziel, ein "sicheres Deutschland im Cyberraum" gewährleisten zu können, soll unter anderem ein Angriff auf sichere Verschlüsselungstechnologien stattfinden. Dabei möchte man zum Beispiel auf bekannte Sicherheitslücken, sogenannte Zero-Day-Exploits, zurückgreifen.
Demnach soll eine bekannte Sicherheitslücke nicht behoben werden, um die Sicherheit zu erhöhen, sondern vielmehr diese Schwachstelle des Systems für die Ermittlungsbehörden als Zutritt zum sicheren System dienen (Abschnitt 8.3.8).

"Sicherheit durch Verschlüsselung und Sicherheit trotz Verschlüsselung" - Regierung fordert Zugang zu Daten im Klartext

Die Sicherheit von Unternehmen und Bürgern wird durch den Einsatz bei immer mehr Diensten und Kommunikationsunternehmen durch eine sichere Ende-zu-Ende-Verschlüsselung umgesetzt. Auch unsere Systemarchitektur steht für den Einsatz neuester Verschlüsselungstechnologien und bietet Endkunden ein Höchstmaß an Funktionen, um die private Kommunikation auch weiterhin privat führen zu können.

Wir bieten unseren Kunden beispielsweise eine Eingangsverschlüsselung mit PGP und SMIME. Weiterhin haben wir in unserer Android-App eine PGP-Anbindung für die verschlüsselte mobile Kommunikation. Wir stellen Hilfeanleitungen zur Einrichtung von PGP und SMIME für verschiedene E-Mail-Programme bereit. Wir möchten, dass unsere Kunden eine Ende-zu-Ende-Verschlüsselung nutzen. Dies versucht die Politik mit der Cybersicherheitsstrategie zu untergraben.

Entsprechend dem Datenschutzkonzept "Privacy by design" bedenken und planen wir beim Erstellen unserer Dienste die Privatsphäre und Sicherheit direkt mit. Das Prinzip "Privacy by default" hingegen zwingt uns dazu, standardmäßig immer die datenschutzfreundlichste Einstellung zu nehmen. Beiden Konzepten steht die neue Cybersicherheitsstrategie entgegen.

Das Strategiepapier des Bundesinnenministers sieht hier die Möglichkeit vor "technische und operative Lösungen für den rechtmäßigen Zugang zu Inhalten aus verschlüsselter Kommunikation" zu entwickeln. Kurz gesagt soll die Verschlüsselung "offiziell" umgangen und ausgehebelt werden können.

Expertenwarnungen werden nicht wahrgenommen - Ausnutzen von Sicherheitslücken stellt auch Zugriffsmöglichkeiten für Kriminelle dar

Wenn Behörden den Einsatz von Staatstrojanern sowie das Ausnutzen von Sicherheitslücken für die Strafverfolgung sowie als Sicherheitsstategie anwenden, bietet dieses auch zeitgleich ein Einfallstor für Cyberkriminelle und ausländische Geheimdienste, weshalb diese Vorgehensweise auch eine risikoreiche Gratwanderung darstellt.

Kurze Kommentierungsfrist durch "sachkundige Akteure"

Das Strategiedokument der "Cybersicherheitsstrategie für Deutschland 2021" umfasst insgesamt 128 Seiten. Laut BMI sind "sachkundige Akteure" eingeladen, ihre Stellungnahme mithilfe eines beigefügten Fragebogens bis Mittwoch, den 16. Juni 2021 einzureichen. Für ein derart komplexes Vorhaben eine relativ kurze Reaktionsfrist.

"Die geplante Ausnutzung der Sicherheitslücken birgt unkontrollierbare Gefahren für die Privatsphäre und Sicherheit unserer Kunden, Unternehmen und Bürger. Solche Hintertüren werden immer auch durch Cyberkriminelle ausgenutzt. Der Einsatz von Staatstrojanern bedeutet eine unerträgliche Geringschätzung von Persönlichkeitsrechten und der Demokratie. Horst Seehofer spielt mit dem Feuer." Fabian Bock, Gründer und CEO mail.de GmbH. "Aus diesem Grund werden wir trotz der kurzen Frist eine Stellungnahme mit unseren Bedenken und Einwänden verfassen und einreichen".

Hilfe