[datensicherheit.de, 11.06.2019] Peter Schaar, Bundesbeauftragter für den Datenschutz und die Informationsfreiheit a.D. und heute Vorsitzender der Europäischem Akademie für Informationsfreiheit und Datenschutz (EAID) teilt mit, dass sich anlässlich der vom 12. bis 14. Juni 2019 in Kiel stattfindenden Konferenz der Innenminister (IMK) die EAID gegen Forderungen ausspricht, Anbieter von Messengern und anderen Internetdiensten zum Einbau von Schnittstellen zur Ausleitung der Kommunikation zu verpflichten. Derartige Überwachungsschnittstellen würden die Informationssicherheit schwächen, die Vertraulichkeit der Kommunikation und den effektiven Schutz personenbezogener Daten gefährden. Die Vorstellung, technische Überwachungsschnittstellen ließen sich so gestalten, dass sie nur durch Behörden demokratischer Staaten unter Wahrung rechtsstaatlicher Verfahren und entsprechender Schutz– und Kontrollvorkehrungen genutzt werden können, sei wirklichkeitsfremd.

Sichere Kommunikation über das Internet stärken statt schwächen!

Die EAID lehnt die Forderungen von Innenministern und Vertretern der Sicherheitsbehörden nach eigenen Angaben ab, die Internetanbieter dazu zu verpflichten, in ihre Dienste Schnittstellen einzubauen, über welche die Kommunikation an Sicherheitsbehörden ausgeleitet oder von diesen überwacht werden kann.
Derartige Verfahren schwächten die Informationssicherheit, gefährdeten die Vertraulichkeit der Kommunikation und den effektiven Schutz personenbezogener Daten.

„Backdoors“ als Hindernis auch für Industrie 4.0 u.a.

Angesichts der zunehmenden Bedeutung elektronischer Kommunikation im privaten und geschäftlichen Bereich seien technische Schutzmaßnahmen gegen die unbefugte Kenntnisnahme und Einwirkung durch Dritte von zentraler Bedeutung.
Insbesondere bei der Übermittlung hochsensibler Daten sei eine sichere Ende–zu–Ende–Verschlüsselung unverzichtbar. Zudem würden „Backdoors“ und vergleichbare Überwachungsmöglichkeiten unabsehbare Risiken für digital gesteuerte industrielle Prozesse („Industrie 4.0“) bewirken.

Bereits bedenkliche Ausweitung der digitalen Überwachung erfolgt

Die Vorstellung, technische Überwachungsschnittstellen ließen sich so gestalten, dass sie nur durch Behörden demokratischer Staaten unter Wahrung rechtsstaatlicher Verfahren und entsprechender Schutz– und Kontrollvorkehrungen genutzt werden können, sei wirklichkeitsfremd.
Schaar: „Schließlich ist darauf hinzuweisen, dass mit den 2017 vom Bundesgesetzgeber beschlossenen Befugnissen zur Durchsuchung von informationstechnischen Systemen (,Bundestrojaner‘) und zur Überwachung digitaler Kommunikation (,Quell-TKÜ‘) bereits eine bedenkliche Ausweitung der digitalen Überwachung erfolgt ist.“ Nicht zuletzt vor diesem Hintergrund wäre die nun ins Auge gefasste Ausweitung der Internetüberwachung auch verfassungsrechtlich hochgradig zweifelhaft. Die EAID empfiehlt laut Schaar deshalb, „die Pläne zum verpflichtenden Einbau von Überwachungsschnittstellen in Internetdienste nicht weiter zu verfolgen.“

Weitere Informationen zum Thema:

datensicherheit.de, 11.06.2019
TeleTrusT: Kritik an geplanter Schwächung der Verschlüsselung von Messenger-Kommunikation

datensicherheit.de, 07.06.2019
Verschlüsselte Kommunikationsdaten: Kritik an geplanten Zugriffen der Behörden

datensicherheit.de, 09.04.2019
5G-Netzausrüster: Europäische Lösung für Sicherheitsanforderungen gefordert

datensicherheit.de, 07.03.2019
Eckpunkte für Sicherheitsanforderungen von TK-Netzen veröffentlicht

datensicherheit.de, 23.02.2019
Sicherheit in 5G-Netzen

[datensicherheit.de, 21.11.2015] Standen bei der Betrachtung der IT-Sicherheit bisher vor allem Office-Anwendungen im Fokus, wird mit der zunehmenden Vernetzung und durchgehenden Digitalisierung ganzer Produktionsprozessketten die „Industrial IT Security“ an Bedeutung gewinnen.

Zwang zu höherer Produktivität als Gefahrenquelle

Der von der Globalisierung gespeiste Wettbewerb zwingt die Unternehmen zur ständige Optimierung, um ein Höchstmaß der Produktivität zu erzielen. Die damit um sich greifende Automatisierung öffnet geradezu Einfallstore für fahrlässigen Umgang oder gar vorsätzlichen Missbrauch. Unternehmer sollten deshalb die kritische Dimension ihrer Schnittstellen genau kennen – noch bevor ein Schadensfall eintritt.

Audits können Klarheit und Sicherheit schaffen

Eine Auditierung der „Industrial IT Security“, etwa nach dem „ISA 99“-Standard, eignet sich zur Aufdeckung der Verletzlichkeit. Im Prinzip wird zunächst der aktuelle Sicherheitsstatus der Industrieanlage begutachtet, wobei eine Identifikation, Dokumentation und Bewertung der Schwachstellen erfolgt. Nach einer Erläuterung der erkannten Probleme sollte der Anlagenbetreiber eine individuelle Beratung erfahren, in der konkrete Empfehlungen zur IT-Sicherheit gegeben werden, die schließlich in einem Maßnahmenkatalog zusammengefasst werden.

Stuxnet als Warnschuss

Kaum ein erfolgreiches Industrieunternehmen kann sich heute noch Automatisierungslösungen verschließen. Doch hat das Auftreten von Malware-Attacken, wie etwa mittels „Stuxnet“, sprichwörtlich Wasser in den Wein der Fortschrittsbegeisterung gegossen.
Ohne IT-Sicherheit auch in der Industrie geht es also nicht mehr! Die Einschleusung von Schadsoftware z.B. über USB-Schnittstellen in das Unternehmens-Intranet oder über das Internet gefährden die Existenz ganzer Unternehmen.
Diese sollten zwingend Berechtigungskonzepte und sichere Anmeldeverfahren implementieren. Zusätzlich ist eine regelmäßige Evaluation und Auditierung zu überlegen, denn es geht nicht nur allein um eine detaillierte Analyse der IT-Sicherheit und Behebung von Schwachstellen, sondern auch um deren Bescheinigung als Vertrauensbeweis gegenüber Geschäftspartnern.