[datensicherheit.de, 15.05.2021] Der Bundesverband IT-Sicherheit e.V. (TeleTrusT) wird nach eigenen Angaben gemeinsam mit anderen Verbänden und Unternehmen eine konzertierte Initiative gegen die geplante Mitwirkungspflicht für Kommunikationsdienste bei staatlicher Überwachung und gegen die gezielte Schwächung von Verschlüsselung unterstützen.

Laut TeleTrusT detailliertes Schreiben an Mitglieder des Deutschen Bundestages bzw. an die Bundesregierung übersandt

Dr. Holger Mühlbauer, TeleTrusT-Geschäftsführer, erläutert: Hinsichtlich des anstehenden Gesetzes zur Anpassung des Verfassungsschutzrechts wendeten sich Fachkreise gegen eine Ausweitung staatlicher Überwachung und die Schwächung verschlüsselter Kommunikation von Nutzern digitaler Dienste wie E-Mail, VoiP oder Messenger-Anwendungen.
Unter der Federführung von Facebook Deutschland sei anlässlich der für den 14. Mai 2021 angesetzten Expertenanhörung im Bundestags-Innenausschuss ein detailliertes Schreiben an Mitglieder des Deutschen Bundestages bzw. an die Bundesregierung übersandt worden.

TeleTrusT kritisiert ernste Gefahren für sichere Kommunikation zwischen Journalisten mit ihren Quellen

Im Besonderen gehe es dabei um vorgesehene Mitwirkungspflichten für Unternehmen bei der Implementierung von Überwachungsmaßnahmen der Nachrichtendienste und Sicherheitsbehörden. Aus Sicht der Unterzeichner seien Folgewirkungen „gravierend“ für die Cyber-Sicherheit in Deutschland.
„Beispielsweise drohen nicht nur ernste Gefahren für die sichere Kommunikation zwischen Journalistinnen und Journalisten mit ihren Quellen, sondern ist verschlüsselte Kommunikation oftmals das einzige Mittel für zivilgesellschaftliche Organisationen, um mit besonders Schutzbedürftigen in Verbindung zu treten“, gibt Dr. Mühlbauer zu bedenken.

Potenzielle Sicherheitslücken: TeleTrusT warnt auch vor Missbrauch durch Cyber-Kriminelle

Bedenken und Kritik richteten sich gegen die weite und unklare Fassung der Mitwirkungspflicht, wonach ausdrücklich alle Telekommunikationsdienste – was auch Messenger und E-Mail umfasse – Nachrichtendienste bei der Realisierung von Quellen-Telekommunikationsüberwachung (Quellen-TKÜ) unterstützen sollten. So könnten zukünftig Messenger-Dienste wie beispielsweise „Threema“, „Signal“ oder „WhatsApp“, aber auch E-Mail- oder Videokonferenzdienste je nach Gesetzesauslegung mit Anfragen und dem Verlangen von Sicherheitsbehörden konfrontiert werden, Schadsoftware auf den Endgeräten der Nutzer zu platzieren.
Anbieter müssten potenzielle Sicherheitslücken vorhalten. Die Kenntnis darüber könnte fremden Nachrichtendiensten oder Cyber-Kriminellen nützlich sein. Damit konterkariere diese Anpassung des Verfassungsschutzrechts auch die erst kürzlich verabschiedete Novelle des IT-Sicherheitsgesetzes (ITSIG 2.0) und das Datenschutzrecht allgemein, „denn einerseits sollen Anbieter größtmögliche Vertraulichkeit und Datensicherheit gewährleisten, andererseits könnten sie zur Mitwirkung bei der Schwächung IT-Sicherheit zum Zwecke staatlicher Ausspähung verpflichtet werden.“

TeleTrusT sieht sichere Verschlüsselung als bedeutsamen Wirtschaftsfaktor

Sichere Verschlüsselung sei darüber hinaus ein bedeutsamer Wirtschaftsfaktor. „Für viele IT-Unternehmen ist das Angebot sicherer und verschlüsselter Kommunikation (insbesondere mittels Technologie ,Made in Germany‘ / ,Made in the EU‘) auch ein wichtiges und wachsendes Geschäftsfeld.“
Sollten aufstrebende Unternehmen künftig dazu verpflichtet werden können, Behörden Zugang zur Kommunikation ihrer eigenen Geschäftskreise zu gewähren, werde dies zu einem Vertrauensverlust gegenüber einer ganzen Zukunftsbranche führen, warnt Dr. Mühlbauer. Diese Vorhaben der Bundesregierung seien damit vor allem auch schädlich für die Innovationskraft der hiesigen Digitalwirtschaft.

Weitere Informationen zum Thema:

datensicherheit.de, 12.02.2021
Bundespolizeigesetz: DAV sieht Licht und Schatten / Rechtsanwältin Lea Voigt, Vorsitzende des DAV-Ausschusses „Gefahrenabwehrrecht“, nimmt Stellung und warnt vor Folgen der Quellen-TKÜ

datensicherheit.de, 16.12.2020
eco warnt vor Schwächung der Vertrauenswürdigkeit digitaler Kommunikation / Staatliche Überwachung statt Erhöhung der IT-Sicherheit in der eco-Kritik

datensicherheit.de, 11.06.2019
Peter Schaar kritisiert Schnittstellen zur Ausleitung der Kommunikation / Hintertüren in Messengern und anderen Internetdiensten würden Informationssicherheit schwächen

[datensicherheit.de, 13.05.2021] Dr. Holger Mühlbauer, Geschäftsführer des Bundesverbands IT-Sicherheit e.V. (TeleTrusT), hat bekanntgegeben, dass die „RSA Conference 2021“ digital durchgeführt werden soll. Vom 17. bis zum 20. Mai 2021 werde die 30. RSA Conference ausgerichtet, unter den gegebenen Umständen in diesem Jahr in einem virtuellen Format. Im Rahmen eines digitalen „German Pavilion“ präsentiere der TeleTrusT mit beteiligten Verbandsmitgliedern und unterstützt von BMWi und AUMA „IT Security made in Germany“.

RSA Conference nach wie vor weltweit führende IT-Sicherheitsveranstaltung

Aufgrund der besonderen Umstände finde die „RSA 2021“ komplett digital statt. Erneut koordiniere der TeleTrusT die Präsentation von „IT Security made in Germany“. Deutsche Technologie und Qualität, die weltweit mit „made in Germany“ assoziiert würden, bildeten die Basis für den sehr guten Ruf der deutschen IT-Sicherheitsindustrie.
Die „RSA Conference“ als nach wie vor weltweit führende IT-Sicherheitsveranstaltung sei ein wichtiges Forum für deutsche Unternehmen und Institutionen. „IT Security made in Germany“ werde ungeachtet der aktuellen Herausforderungen zum 21. Mal in Folge mit einem vom Bundesministerium für Wirtschaft und Energie bzw. AUMA geförderten und von TeleTrusT koordinierten Gemeinschaftsauftritt vertreten sein.

TeleTrusT-Vorstandsmitglied Dr. Kim Nguyen trägt auf der RSA Conference 2021 vor

Im Rahmen des digitalen deutschen Gemeinschaftsauftritts präsentieren sich demnach die TeleTrusT-Mitglieder Beta Systems, comforte, cryptovision, DriveLock, INFODAS, itWatch, Secomba, SoSafe, TÜViT. Der deutsche Gemeinschaftsauftritt habe sich den „Gold Sponsor Status“ erarbeitet und deshalb traditionell Gelegenheit für einen privilegierten „Gold Sponsor Slot“. Vortragender 2021 ist laut Dr. Mühlbauer das TeleTrusT-Vorstandsmitglied Dr. Kim Nguyen (D-Trust):

TeleTrusT Gold Sponsor Slot:
„Better Call Brussels – News on European Cyber Security and eID Regulation“
virtueller Vortrag am Montag, 17.05.2021, 14.00 Uhr Ortszeit San Francisco

TeleTrusT Gold Sponsor Slot auf der RSA Conference 2021: Einführung in geplantes ID-Ökosystem der Europäischen Kommission

In diesem Vortrag sollen Neuigkeiten zur europäischen Regulierung in Bezug auf Cyber-Sicherheit, Datenschutz, Vertrauensdienste und Digitale Identitäten vorgestellt werden. Besonderes Augenmerk werde auf die Überarbeitung der eIDAS-Verordnung (stellvertretend für eID, Authentifizierung und Signatur) und den damit verbundenen europäischen Vertrauensraum gelegt, wie er in der Verordnung definiert sei. Das Konzept des „eID-Ökosystems“ und seine mobile Umsetzung würden ebenfalls dargelegt.
„Das Beispiel der EU-Datenschutzgrundverordnung hat gezeigt, dass die europäische Regulierung von höchster Relevanz auch für nordamerikanische Anbieter ist“, erläutert Dr. Nguyen. Der „TeleTrusT Gold Sponsor Slot“ biete die willkommene Möglichkeit, eine Einführung in das geplante „ID-Ökosystem“ der Europäischen Kommission geben zu können.

Weitere Informationen zum Thema:

datensicherheit.de, 12.04.2021
IT-Sicherheit: TeleTrusT veröffentlicht bundesweite Übersicht einschlägiger Studiengänge

TeleTrusT
RSA Conference 2021 / May, 17.05. – 20.05.2021, San Francisco, USA / TeleTrusT presents „IT Security made in Germany“

RSA Conference, 17.05.2021
Better Call Brussels – News on European Cyber Security and eID Regulation

[datensicherheit.de, 19.02.2019] In einer aktuellen Mitteilung weist Dr. Holger Mühlbauer, Geschäftsführer des Bundesverbands IT-Sicherheit e.V. (TeleTrusT), auf die bevorstehende „RSA Conference 2019“ in San Francisco hin: Der TeleTrusT wird demnach dort „IT Security made in Germany“ präsentieren.

TeleTrusT-Verbandsmitglieder im Moscone Center (North Expo) am Booth 5671

Vom 4. bis zum 8. März 2019 wird in San Francisco (USA) die 28. Auflage der „RSA Conference“ ausgerichtet. Im „German Pavilion“ wird dort laut Dr. Mühlbauer der TeleTrusT mit zahlreichen Verbandsmitgliedern „IT Security made in Germany“ präsentieren: Moscone Center, North Expo, Booth 5671.
Der diesjährige deutsche Gemeinschaftsauftritt auf der „RSA Conference“ wurde in den Veranstaltungskalender des offiziellen, durch das Auswärtige Amt koordinierten „Deutschland-USA-Jahres 2019“ aufgenommen.

Internationale Leitmesse für IT-Sicherheit

Dr. Mühlbauer: „Die in den vergangenen Jahren stark gewachsene ,RSA Conference‘ in San Francisco versteht sich als internationale Leitmesse für IT-Sicherheit.
,IT Security made in Germany‘ wird zum 18. Mal in Folge mit einem vom Bundesministerium für Wirtschaft und Energie geförderten und von TeleTrusT inhaltlich gestalteten Gemeinschaftsauftritt vertreten.“

Ausgewählte Leistungsangebote der deutschen IT-Sicherheitsindustrie

Durch den etablierten Gold-Sponsor-Status des „German Pavilion“ und die damit verbundenen Präsentationsmöglichkeiten werde erreicht, „dass Besucher und Konferenzteilnehmer auf vielfältige Weise Kenntnis von ausgewählten Leistungsangeboten der deutschen IT-Sicherheitsindustrie nehmen können“.
Im Rahmen des deutschen Gemeinschaftsauftritts stellen folgende TeleTrusT-Mitglieder aus: Achelos, Avira, BDR, BMI/BSI, cryptovision, Cryptshare, Detack, eco, floragunn, Hornetsecurity, Infodas, ITConcepts, itWatch, Matrix42, MB Connect Line, MTG, NCP, QGroup, QuoScient, Secomba, secunet, TÜViT.

TeleTrusT-Begleitprogramm

Begleitend zur Standpräsentation organisiert TeleTrusT nach eigenen Angaben zusammen mit Verbandsmitgliedern eine Reihe von Begegnungsmöglichkeiten und Fachveranstaltungen (Auswahl):

• 03.03.2019 TeleTrusT-Vorabendempfang
• 04.03.2019 „German-American Security Forum – Experience German-American Cyber Security Cooperation“ (TeleTrusT in Kooperation mit BMI, BSI, German-American Chamber of Commerce and Symantec)
• 06.03.2019 TeleTrusT und FIDO Alliance (German and US Expert Meeting)
• TeleTrusT Session „Innovative Answers to IoT Security Challenges“ (RSA Gold Sponsor Slot)
• Empfang im Deutschen Generalkonsulat San Francisco

Weitere Informationen zum Thema:

TeleTrusT
RSA Conference 2019 / March, 04 – 08, 2019, San Francisco, USA

datensicherheit,de, 13.06.2018
Stand der Technik: TeleTrusT veröffentlicht revidierte und erweiterte Handreichung

[datensicherheit.de, 31.10.2018] Der TeleTrusT – Bundesverband IT-Sicherheit e.V. weist in seiner Mitteilung vom 31. Oktober 2018 auf die aktuelle Publikation der „Stiftung Neue Verantwortung“ mit dem Titel „Mindeststandards für staatliches Hacking“ / „A Framework for Government Hacking in Criminal Investigations“ hin.

Weltweite Anwendbarkeit

Diese Publikation ist laut Dr. Holger Mühlbauer, TeleTrusT-Geschäftsführer, im Kontext des Cyber-Sicherheitsexperten-Netzwerks „Transatlantic Cyber Forum“ erschienen.
Die darin enthaltenen Empfehlungen seien allgemeiner Natur und sollten weltweit anwendbar sein. Sie reflektierten daher nicht ausschließlich den Umsetzungsbedarf in Deutschland, sondern beinhalteten auch hierzulande bereits umgesetzte Empfehlungen.

Verschlüsselung stärken und trotzdem Strafverfolgung ermöglichen

Seit 1999 soll demnach die Verschlüsselung in Deutschland nicht geschwächt oder reguliert werden, gleichzeitig müsse den hiesigen Strafverfolgungsbehörden aber ermöglicht werden, ihren Aufgaben in Zeiten omnipräsenter Verschlüsselung weiterhin nachzukommen.
Dieser scheinbare Gegensatz sei 2016 in der Cyber-Sicherheitsstrategie für Deutschland mit den Worten „Sicherheit durch Verschlüsselung“ und „Sicherheit trotz Verschlüsselung“ nochmalig untermauert worden. Bei näherer Betrachtung lasse sich dieser Widerspruch aber auflösen, denn neben anderen Möglichkeiten an digitale Beweismittel zu gelangen, sollten Strafverfolger hacken dürfen – und dazu müsse Verschlüsselung nicht geschwächt oder reguliert werden.

Politischer und rechtlicher Streit in Deutschland

Zur genauen Auslegung der (technischen) Befugnisse gebe es seit über einer Dekade einen politischen und rechtlichen Streit in Deutschland. Dies sei aber nur möglich, weil es hierzulande etwas gebe, was in vielen anderen Ländern – auch den Vereinigten Staaten – fehle: einen dedizierten Rechtsrahmen für staatliches Hacken (Quellen-TKÜ und Online-Durchsuchung auch wahlweise als „Bundestrojaner“ beschrieben).
Die Debatte entwickele sich jedoch weiter und auch in Deutschland müssten bisher nicht berücksichtigte Aspekte wie zum Beispiel die Verpflichtung Dritter (unter anderem Internet- und App-Anbieter) zur Unterstützung beim staatlichem Hacking, der Einsatz besonders gefährlicher unbekannter Schwachstellen („Zero-Days“) oder die Beschaffung von Hacking-Werkzeugen und -Dienstleistungen aus dubiosen Quellen betrachtet und gegebenenfalls reguliert werden. In dem vorliegenden Papier werde zwischen Rahmenbedingungen (strukturelle Anforderungen) und Aspekten bei der Durchführung (operative Anforderungen) von staatlichem Hacken unterschieden.

9 strukturelle Herausforderungen identifiziert

Es wurden in der Schrift laut TeleTrusT neun strukturelle Herausforderungen identifiziert, die wenn umgesetzt, einen sinnvollen Rahmen für den Einsatz von staatlichem Hacken schaffen würden:

1. Schaffen eines verbindlichen Rechtsrahmens für staatliches Hacken
2. Staatliche Unterstützung von Forschung zu Verschlüsselung und alternativen Beschaffungsmethoden digitaler Beweismittel
3. Aufbau eines Fähigkeitenaufbauprogramms (unter anderem für die Judikative)
4. Implementierung von Richtlinien zum Umgang mit digitalen Beweismitteln (dazu gehört die sichere Übermittlung und digitale Signaturen)
5. Aufbau eines behördenübergreifenden Dialogs (in Kooperation mit der Landesebene)
6. Begrenzung vom staatlichem Hacken auf „schwere Straftaten“
7. Veröffentlichung von Transparenzberichten
8. Verabschiedung von klaren Richtlinien für die Anbieter von Hacking-Werkzeugen und -Dienstleistungen
9. Schaffung eines staatlichen Schwachstellenmanagement-Verfahrens

Operative Anforderungen an das Hacking durch Strafverfolger

Ergänzt würden diese strukturellen Komponenten durch die operativen Anforderungen beim Einsatz von Hacking-Werkzeugen und -Dienstleistungen durch Strafverfolger. Hierzu gehörten zum Beispiel der Schutz privilegierter Kommunikation, die Ausgestaltung richterlicher Anordnungen und das Testen sowie der Schutz von Hacking-Werkzeugen.

Diese Aspekte ließen sich in die drei Bereiche

• Anforderungen für einen rechtssicheren Rahmen,
• Anforderungen um ein hohes Maß an Datenschutz und IT-Sicherheit zu gewährleisten und
• Anforderungen an Kontrollmechanismen

gliedern.

Weitere Informationen zum Thema:

Stiftung Neue Verantwortung, Oktober 2018
Dr. Sven Herpig: „A Framework for Government Hacking in Criminal Investigations“

datensicherheit.de, 29.08.2018
Staatlicher Umgang mit Schwachstellen in Software

datensicherheit.de, 29.06.2018
Ausnutzen von Schwachstellen: Cyber-Kriminelle haben durchschnittlich sieben Tage Zeit

datensicherheit.de, 09.03.2017
Internet der Dinge zeigt Schwachstellen in Business-Netzwerken auf

[datensicherheit.de, 26.07.2011] Der Bundesverband deutscher Banken e.V. ist dem IT-Sicherheitsverband TeleTrusT Deutschland e.V. beigetreten:
Der Bundesverband, der die Interessen der privaten Banken vertritt, repräsentiert mehr als 210 private Banken und elf Mitgliedsverbände. Den Schwerpunkt in der Facharbeit sieht er in der Sicherheit kreditwirtschaftlicher IT-Systeme. Zu ihren Aufgaben zähle die Schaffung von technischen Standards im Zahlungsverkehr, die ständige Weiterentwicklung der Sicherheit in kreditwirtschaftlichen IT-Systemen und Anwendungen sowie generell die Arbeit an interessanten technischen Neuentwicklungen – deshalb engagiere sich der Bankenverband in der Fachverbandsarbeit, so Dr. Ibrahim Karasu, Geschäftsführer des Geschäftsbereichs „Retail Banking und Banktechnologie“ im Bankenverband.
Das Thema IT-Sicherheit müsse in engem Zusammenwirken zwischen Anbietern und Anwendern behandelt werden, sagt TeleTrusT-Geschäftsführer Dr. Holger Mühlbauer. Der Bankenverband repräsentiere einen der wichtigsten Anwendungsbereiche und sei ein wichtiger Partner bei der Umsetzung des verbandspolitischen Anliegens von TeleTrusT, vertrauenswürdige elektronische Geschäftsprozesse zu gestalten.