[datensicherheit.de, 13.08.2013] Der rheinland-pfälzische Landesbeauftragte für den Datenschutz und die Informationsfreiheit (LfDI RLP), Edgar Wagner, hat die Meldungen über mögliche Wirtschafts- und Industriespionage durch US-amerikanische und britische Geheimdienste und die angebliche Infiltration von VPNs (Virtuelle Private Netzwerke) durch das Überwachungsprogramm XKeyscore zum Anlass genommen, die rheinland-pfälzischen Unternehmen zu größeren Anstrengungen bei ihrer IT-Sicherheit aufzurufen.
Jüngste Untersuchungen bestätigten, dass immer noch rund 80 Prozent der mittelständischen Wirtschaftsunternehmen keine Verschlüsselungstechnologie nutzen, weil das eigene Unternehmen nicht als gefährdet angesehen werde. Angesichts eines Gesamtschadens von bis zu 60 Milliarden Euro, der der deutschen Wirtschaft durch Wirtschaftsspionage pro Jahr entstehe, sei eine solche Einstellung „blauäugig“, sagt der LfDI RLP.
Die Meldungen zu „XKeyscore“ gäben, so Wagner, darüber hinaus Anlass, auf deutsche Verschlüsselungslösungen zurückzugreifen, die oft mehr Sicherheit gewährten als US-amerikanische. Die Forderung des Bundesverbands IT-Mittelstand e.V., Sicherheitstechnologie „Made in Germany“ in Anspruch zu nehmen, sei deshalb richtig und werde von den Datenschützern auch unterstützt. Dies gelte auch für die Forderung nach einem entsprechenden staatlichen Förderprogramm. Es müsse sichergestellt werden, dass Deutschland nicht nur beim Datenschutz, sondern auch bei der Datensicherheit und der IT-Sicherheitstechnologie führend sei.
Notwendig seien des Weiteren größere Anstrengungen der Kammern und der zuständigen staatlichen Stellen. Sie müssten Sicherheitskompetenznetzwerke auch in den Ländern aufbauen, in denen neben den Unternehmen, den Wirtschaftsverbänden und den Kammern auch die zuständigen staatlichen Stellen einschließlich der Datenschützer vertreten sein sollten. Diese Netzwerke sollten die Unternehmen mit notwendigen Informationen versorgen und Hilfestellungen bei aktuellen Spionage- oder Hacker-Angriffen zur Verfügung stellen.
Er begrüße im Übrigen das vom Bundeswirtschaftsministerium veröffentlichte „10-Punkte-Programm“ mit seinen Handlungsempfehlungen für einen sicheren Umgang mit Unternehmensdaten im Internet, so Wagner. Nicht zuletzt die Anregung, auf Cloud-Anbieter zurückzugreifen, welche die Unternehmensdaten nach europäischen Datenschutzgrundsätzen verarbeiten, werde von ihm nachdrücklich unterstützt. Wagner regt zudem an, zu diesem Themenkomplex eine Landesdatenschutzkonferenz durchzuführen, auf die sich die Koalitionsparteien in ihrem Regierungsprogramm schon im Jahre 2011 verständigt hätten.

Weitere Informationen zum Thema:

Bundesministerium für Wirtschaft und Technologie
10 Punkte für einen sicheren Umgang mit Unternehmensdaten im Internet

[datensicherheit.de, 02.08.2013] Der Landesdatenschutzbeauftragte empfiehlt allen Behörden des Landes und der Kommunen in NRW, zu überprüfen, ob die Konzepte für die Datensicherheit den Gefährdungsszenarien standhalten, die aktuell vorstellbar sind. Anlass zur Sorge geben die aktuellen Berichte über die Tätigkeit ausländischer Geheimdienste vor allem der USA und Großbritanniens.
Besonders wenn öffentliche Stellen private Unternehmen – wie z.B. Cloud-Dienstleister – beauftragen, die im Fokus ausländischer Geheimdienste stehen, sollten sie dringend prüfen, ob dies noch den rechtlichen Anforderungen entspricht.

„Spätestens jetzt sollten alle Warnsignale leuchten: Datenschutz und Datensicherheit müssen dringend überprüft werden. Dies gilt ebenso für Unternehmen“, so Ulrich Lepper.

[datensicherheit.de, 26.07.2013] Im Rahmen der Medienberichterstattung zu den Ausspähprogrammen amerikanischer und britischer Geheimdienste wurde auch über das Bundesamt für Sicherheit in der Informationstechnik (BSI) und dessen vermeintlich enge Zusammenarbeit mit dem US-Nachrichtendienst National Security Agency (NSA) berichtet. Dabei sei unter anderem suggeriert worden, dass das BSI die NSA aktiv mit Informationen versorge, die es der NSA erleichterten, in Deutschland Ausspähungen vorzunehmen und vorhandene Sicherheitsschranken zu umgehen. Hier sei insbesondere eine vermeintliche Zusammenarbeit zwischen BSI und ausländischen Diensten im Zusammenhang mit der Zertifizierung von IT-Produkten und -Dienstleistungen – einer Kernaufgabe des BSI zur Schaffung von mehr IT-Sicherheit – unterstellt worden. Zudem wurde die Frage aufgeworfen, ob das BSI die NSA dabei unterstützt habe, Kommunikationsvorgänge am Internetknoten De-CIX auszuspähen.

Hierzu erklärt das BSI: Eine Zusammenarbeit oder Unterstützung ausländischer Nachrichtendienste durch das Bundesamt für Sicherheit in der Informationstechnik im Zusammenhang mit den Ausspähprogrammen Prism und Tempora findet nicht statt. Das BSI hat weder die NSA noch andere ausländische Nachrichtendienste dabei unterstützt, Kommunikationsvorgänge oder sonstige Informationen am Internet-Knoten De-CIX oder an anderen Stellen in Deutschland auszuspähen. Das BSI verfügt zudem nicht über das Programm XKeyscore und setzt dieses nicht ein. Das BSI gibt überdies keinerlei Informationen über zertifizierte IT-Produkte und -Dienstleistungen oder im
Rahmen des Zertifizierungsprozesses gewonnene Erkenntnisse über diese Produkte und Dienstleistungen an andere Behörden, Nachrichtendienste oder sonstige Dritte weiter.

Internationale Zusammenarbeit im Rahmen der präventiven Aufgaben des BSI

Das BSI tausche sich im Rahmen seiner auf Prävention ausgerichteten Aufgaben regelmäßig mit anderen Behörden in der EU und außerhalb der EU zu technischen Fragestellungen der IT- und Internet-Sicherheit aus. Auch Behörden in Deutschland stelle das BSI auf Anfrage technische Expertise und Beratung zur Verfügung. Im Kontext der Bündnispartnerschaft NATO arbeitee das BSI auch mit der NSA zusammen. Diese Zusammenarbeit umfasse jedoch ausschließlich präventive Aspekte der IT- und Cyber-Sicherheit entsprechend den Aufgaben und Befugnissen des BSI gemäß des BSI-Gesetzes.

In Deutschland bestehe eine strukturelle und organisatorische Aufteilung in Behörden mit einerseits nachrichtendienstlichem bzw. polizeilichem Auftrag und dem BSI mit dem Auftrag zur Förderung der Informations- und Cyber-Sicherheit. In anderen westlichen Demokratien bestünden mitunter Aufstellungen, in denen diese Aufgaben und Befugnisse in anderem Zuschnitt zusammengefasst würden. Die Zusammenarbeit des BSI mit diesen Behörden finde stets im Rahmen der präventivenAufgabenwahrnehmung des BSI statt, unter anderem zur Abwehr von IT- und Cyber-Angriffen.

IT-Zertifizierung ist und bleibt vertraulich

Unabdingbare Voraussetzung für die Nutzung von IT und das Erschließen der damit verbundenen wirtschaftlichen und gesellschaftlichen Potenziale sei das Vertrauen in die Informationstechnik und die IT-Dienstleistungen. Vertrauen setze wiederum Sicherheit voraus, die das BSI zum Beispiel durch eine transparente und nachvollziehbare Darstellung der Sicherheitsanforderungen, der daraus resultierenden Sicherheitsniveaus und der Abläufe, wie Sicherheitsanforderungen entstehen, anstrebe. Die Zertifizierung sei ein bewährtes Verfahren zur Bewertung der Sicherheit von IT-Produkten, das international erfolgreich etabliert ist.

Die Objektivität und Einheitlichkeit der Prüfungen sowie die Unparteilichkeit wird dabei durch das BSI gewährleistet. Das BSI ist im Zertifizierungsverfahren maßgeblich an der Erarbeitung der Sicherheitsvorgaben (Security Targets) beteiligt. Nach der Beantragung der Zertifizierung beim BSI wird die technische Evaluierung eines Produktes im  Regelfall durch eine beim BSI anerkannte private Prüfstelle durchgeführt, die der Antragsteller frei wählen kann. Die Prüfstelle wird vom Antragsteller beauftragt und bezahlt. Das BSI begleitet das Prüfverfahren und erteilt nach dessen erfolgreichem Verlauf und entsprechender Prüfung das Zertifikat.

Anbieter von IT-Produkten und -Dienstleistungen können mit Hilfe der Zertifizierung das Sicherheitsniveau ihrer Angebote nachvollziehbar darstellen. Nutzer von zertifizierten IT-Produkten und -Lösungen können einschätzen, für welche Einsatzbereiche diese Produkte und Dienstleistungen geeignet sind und welchen Beitrag die Nutzer ggf. selbst leisten müssen, um beim Einsatz dieser Produkte und Lösungen das erforderliche Maß an Informationssicherheit zu erreichen. Weitere Informationen zur Zertifizierung sind auf der Webseite des BSI abrufbar.