Jimmy Schulz MdB, Vorsitzender des Ausschusses Digitale Agenda, erklärt zur Antwort der Bundesregierung auf die Kleine Anfrage „Maßnahmen gegen Spionageschnittstellen in Computerhardware der Bundesverwaltung“ (Drucksache 19/5379):

Die Antwort der Bundesregierung verdeutlicht ein grundlegendes Problem der IT in öffentlichen Stellen: Trotz diverser Sicherheitsstandards und Überprüfungen kann es keine hundertprozentige Sicherheit vor Angreifern oder Spionage geben. Um allerdings die IT-Sicherheit maximal gewährleisten zu können, sind vier Verbesserungen notwendig. Zunächst muss man es Angreifern durch höchste IT-Sicherheitsstandards so schwer wie möglich machen! Das gilt nicht nur für Hardware, sondern insbesondere auch für Firm-und Software. Wie die Bundesregierung richtig feststellt, ist bei der häufig im öffentlichen Raum genutzten, proprietären Technik der Quellcode nicht verfügbar, „so dass eine Prüfung der Funktion einer Firmware nicht vollständig möglich ist“. Gerade deshalb sollte sie, wie ich seit langem fordere, vermehrt auf Open Source Soft- und Firmware setzen. Bei freier Software ist der Quellcode öffentlich einsehbar, dies hat den Vorteil, dass IT-Sicherheitslücken schneller gefunden werden können. In diesem Zusammenhang ist es empfehlenswert, durch öffentlich ausgeschriebene Audits, IT-Sicherheitsexperten auf der ganzen Welt dazu aufzurufen, die Widerstandsfähigkeit von IT-Anwendungen oder -Systemen zu testen. Hiervon kann die IT-Sicherheit nur profitieren. Zweitens ist es heutzutage von großer Bedeutung, dass IT-Sicherheit international und im Kontext globaler Vernetzung gedacht wird. Deswegen sollte sich die Bundesregierung – neben internationalen Audits – auch für einen Digitalwaffensperrvertrag stark machen, in dem sich Staaten und Nachrichtendienste dazu verpflichten, keine Cyberwaffen einzusetzen. Drittens werden dringend mehr Ressourcen und mehr Fachleute benötigt, um dynamische Anpassungen von Sicherheitsstandards garantieren und Überprüfungen fachgerecht durchführen zu können. Zu guter Letzt ist der Bundesregierung dringend davon abzuraten, IT-Sicherheitslücken, zum Beispiel zur Nutzung eines Staatstrojaners, offen zu lassen. Neben den grundrechtlichen Kritikpunkten an einem solchen Trojaner, öffnet die Bundesregierung damit Tür und Tor für das Eindringen Krimineller. Das beutet außerdem, dass der Staat zum Risikofaktor für sich selbst wird, denn wenn eine Behörde Sicherheitslücken zurückhält, bringt sie wiederum eine andere in Gefahr.

Presse:

Bundesregierung kann Deutschlands IT-Sicherheit nicht garantieren, RND Meldung, 16.11.2018