Thema: Novellierung des BSI-Gesetzes vom Bundkabinett verabschiedet

[SiLæncer]

Das Bundeskabinett hat einen Änderungsentwurf des seit 1990 geltenden "BSI-Gesetzes" verabschiedet, das die Aufgaben und Zuständigkeiten des Bundesamtes für Sicherheit in der Informationstechnik (BSI) regelt. Mit der Verabschiedung durch das Kabinett wurde der Entwurf des "Gesetzes zur Stärkung der Sicherheit in der Informationstechnik des Bundes" vom Bundesinnenministerium als PDF-Datei veröffentlicht.

Wie bereits von heise online berichtet, soll die Novellierung des BSI-Gesetzes dem BSI erweiterte Befugnisse zur Hand geben, Angriffe auf die IT-Infrastruktur des Bundes abzuwehren. In der entsprechenden Mitteilung des Bundesinnenministeriums wird Innenminister Schäuble mit den Worten zitiert, dass die (neue) klare Kompetenzverteilung für die Verteidigung der IT-Systeme vor Angriffen notwendig sei.

Mit der Novellierung des Gesetzes bekommt das BSI vor allem erweiterte Möglichkeiten zur Datenspeicherung und -analyse, wenn Schadprogramme und IT-Angriffe aufgedeckt worden sind. Dazu gehört auch, dass das BSI die Polizei und Geheimdienste informiert, wenn der Verdacht vorliegt, dass auf diese Weise terroristische Aktivitäten vorbereitet oder unterstützt werden. Allerdings braucht das BSI dafür eine richterliche Erlaubnis des Amtsgerichtes (für die Benachrichtigung der Polizeibehörden) bzw. des Innenministeriums (für die Benachrichtigung von Verfassungsschutz und Bundesnachrichtendienst).

Die Novellierung erweitert außerdem die Möglichkeiten der Anbieter von Telemediendiensten, die zuvor nur Verbindungsdaten speichern durften. Zum Schutz ihrer Anlagen vor Angriffen mit Schadprogrammen oder vor Störungen der Erreichbarkeit von Telemedienangeboten können sie nun auch Nutzungsdaten speichern und analysieren. Ist der Angriff auf die Technik abgewehrt, müssen diese Daten rückstandsfrei gelöscht werden. Das gilt auch für die beim BSI gespeicherten Kommunikationsinhalte.

Der Entwurf zur Änderung des BSI-Gesetzes muss nun die parlamentarischen Hürden passieren. Im Vorfeld der Diskussionen um die erweiterten Aufgaben des BSI hatte die FDP im Rahmen einer Kleinen Anfrage (PDF-Datei) gefragt, ob das BSI über die Zertifizierung von Sicherheitsprodukten dergestalt Einfluss auf Unternehmen ausüben soll, dass "von Bundesbehörden verwendete Mittel zur Informationsbeschaffung (Beispiel 'Online-Durchsuchung') unentdeckt bleiben?" Diese Frage hatte die Bundesregierung verneint.

Quelle und Links : http://www.heise.de/newsticker/Novellierung-des-BSI-Gesetzes-vom-Bundkabinett-verabschiedet--/meldung/121702

[SiLæncer]

Bundesdatenschützer Schaar: Neue Befugnisse gehen zu weit

Bundesdatenschützer Peter Schaar hat die neuen Befugnisse der IT-Sicherheitsbehörde BSI als zu weitgehend bezeichnet. Er kritisiert die Ermächtigung des Bundesamtes, die gesamte Sprach- und Datenkommunikation aller Unternehmen und Bürger mit Bundesbehörden abzuhören und auszuwerten.
Die Bundesregierung hat am 14. Januar 2009 den vom Bundesinnenminister Wolfgang Schäuble (CDU) vorgelegten Entwurf eines Gesetzes zur Stärkung der Sicherheit in der Informationstechnik des Bundes beschlossen. Schwerpunkt ist die Novelle des BSI-Gesetzes, die dem Bundesamt für Sicherheit in der Informationstechnik weitere Befugnisse einräumt.

Insbesondere soll das BSI, dessen Vorgängerbehörde in den 1950er Jahren als geheime Dienststelle des Bundesnachrichtendienstes für Ver- und Entschlüsselungstechnik zuständig war, erheblich stärker als bisher E-Mails nach Schadprogrammen durchsuchen können, den Zugriff auf Server mit Malware blockieren und die Protokolldateien der Bundesnetze auswerten können. Schaar sieht den Gesetzentwurf kritisch. "Ich erkenne das mit dem Gesetzentwurf verfolgte Ziel, die IT-Sicherheit zu verbessern, durchaus an. Dies darf aber nicht auf Kosten des Datenschutzes gehen."

Kritisch sieht Schaar insbesondere die in Artikel 5 festgeschriebene Ermächtigung für das BSI, die gesamte Sprach- und Datenkommunikation aller Unternehmen und Bürger mit Bundesbehörden ohne Anonymisierung abzuhören und auszuwerten. Dabei ist das BSI nicht einmal verpflichtet, so bekannt gewordene Sicherheitslücken und Informationen zu Schadprogrammen zu veröffentlichen. Die so gesammelten Daten darf das BSI den Strafverfolgungsbehörden und dem Geheimdienst Verfassungsschutz zur Verfügung stellen. Dafür genügt schon ein Verdacht auf "nicht erheblichen Straftaten", die mittels Telekommunikation begangen wurden.

Schaar: "Ich setze darauf, dass das Gesetz in dem nun anstehenden parlamentarischen Verfahren nachgebessert wird." Für besonders Verwunderung habe gesorgt, dass der Bundesrechnungshof sowie das Bundespräsidialamt von den neuen Überwachungsmaßnahmen ausgenommen werden sollen, nicht jedoch seine Dienststelle.

Quelle : www.golem.de

[SiLæncer]

Die Gesellschaft für Informatik (GI) hat eine Stellungnahme zur Novellierung des BSI-Gesetzes veröffentlicht. Gegenüber dem Gesetzentwurf von 2008 sei die aktuelle Vorlage zwar ein Fortschritt, doch enthalte sie immer noch tiefgreifende Schwachstellen.

Die Informatiker stören sich vor allem an der Tatsache, dass jegliche Kommunikation mit der Bundesverwaltung vollständig überwacht wird. Das sei ein Einstieg in den Überwachungsstaat. "Die GI fordert die grundgesetzlich gewährleistete freie und unkontrollierte Kommunikation aller Bürger mit der Bundesverwaltung", heißt es darum in der Stellungnahme. Als ungenügend beurteilen die Informatiker den Schutz personenbezogener Daten, die bei der Überwachung der Behördenkommunikation beim BSI anfallen. Hier müsse ein effektiver Richtervorbehalt installiert werden.

Zu der Diskussion, wie Sicherheitslücken in IT-Programmen und -Systemen gemeldet werden, gibt sich die Gesellschaft für Informatik wenig konziliant: "Die Bundesregierung muss alle ihr bekannt gewordene Sicherheitslücken und diese ausnutzende Schadprogramme unverzüglich veröffentlichen", lautet die Forderung. Gerade vor dem Hintergrund der mit dem BKA-Gesetz beschlossenen heimlichen Online-Durchsuchung könnten Interessenskollisionen im Dienstbereich des Bundesinnenministeriums entstehen, dem BKA wie BSI unterstehen.

Mit der Kritik an der Gesetzesnovelle liegt die Gesellschaft für Informatik etwa auf der Linie, die bereits vom Bundesdatenschützer Peter Schaar geäußert wurde. Der Arbeitskreis Vorratsdatenspeicherung hatte den Gesetzentwurf als Ausweitung der Vorratsdatenspeicherung kritisiert.

Quelle : www.heise.de

[SiLæncer]

Die Konferenz der Datenschutzbeauftragten des Bundes und der Länder kritisiert den Gesetzentwurf der Bundesregierung zur Stärkung der Sicherheit in der Informationstechnik des Bundes (BSI-Gesetz). In einer Entschließung warnen sie davor, dass die zur Stärkung der IT-Sicherheit vorgesehenen Maßnahmen zu Lasten des Datenschutzes gingen. Bedenklich seien insbesondere die zusätzlichen Überwachungsbefugnisse, die dem BSI eingeräumt werden sollen. Anbieter von Internetdiensten könnten das Surfverhalten der Nutzer umfassend registrieren mit dem Argument, damit Sicherheitsrisiken zu begegnen.

Peter Schaar, Bundesbeauftragter für den Datenschutz bekräftigte seine im Januar geäußerte Kritik. Der Gesetzentwurf sei unausgewogen und deshalb dringend verbesserungsbedürftig. "Insbesondere muss der Gesetzgeber unmissverständlich klar stellen, dass die Erhebung und Auswertung personenbezogener Daten ultima ratio ist. Wir hoffen, dass unsere Argumente bei den jetzt anstehenden Beratungen im Bundesrat und Bundestag berücksichtigt werden."

Die Bundesregierung hatte Mitte Januar eine Novellierung des "BSI-Gesetzes" verabschiedet. Sie sieht für das Bundesamt für Sicherheit in der Informationstechnik (BSI) erweiterte Möglichkeiten zur Datenspeicherung und -analyse vor, wenn Schadprogramme und IT-Angriffe aufgedeckt worden sind. Das BSI könnte die Polizei und Geheimdienste informieren, wenn ein Verdacht auf terroristische Aktivitäten vorliegt. Dafür bräuchte das BSI eine richterliche Erlaubnis des Amtsgerichtes beziehungsweise des Innenministeriums. Anbieter von Telemediendiensten, die zuvor nur Verbindungsdaten speichern durften, sollen zum Schutz ihrer Anlagen vor Angriffen mit Schadprogrammen oder vor Störungen der Erreichbarkeit von Telemedienangeboten auch Nutzungsdaten speichern und analysieren dürfen.

Der Arbeitskreises Vorratsdatenspeicherung meint, der Gesetzesvorschlag sei zum Schutz von Computersystemen nicht erforderlich, er drohe "katastrophale Auswirkungen" zu entfalten und widerspreche zentralen Vorgaben des Bundesverfassungsgerichts. Die Aktivisten rufen Internetnutzer dazu auf, Bundestagsabgeordneten und Landesregierungen ihren Protest telefonisch mitzuteilen und ihnen offene Briefe zu schicken.

Quelle : www.heise.de

[SiLæncer]

Im Bundesrat formiert sich Widerstand gegen die Pläne der Bundesregierung zur Novellierung des Gesetzes für das Bundesamt für Sicherheit in der Informationstechnik (BSI). Wie aus den Empfehlungen (PDF-Datei) der Ausschüsse der Länderkammer für die Verabschiedung einer Stellungnahme in der am Freitag anstehenden Plenarsitzung hervorgeht, stößt vor allem die im Raum stehende Erweiterung der Überwachungsbefugnisse der Bonner Behörde auf Kritik. Aber auch den Vorstoß zur Freigabe der Speicherung von Nutzerdaten durch die Anbieter von Telemediendiensten, die laut Bundesregierung nur zur Bekämpfung technischer Störungen greifen soll, lehnen Fachkreise im Bundesrat ab.

Dass das BSI künftig "Protokolldaten" aus dem Betrieb der Kommunikationstechnik des Bundes erheben, speichern und automatisiert auswerten sowie zur Abwehr von Schadprogrammen auch Telekommunikationsinhalte untersuchen können soll, geht dem Rechtsausschuss der Länderkammer zu weit. Er spricht von einem drohenden "gravierenden Eingriff" in die Grundrechte, der mit der Rechtsprechung des Bundesverfassungsgerichts und dem Verbot von Datenanalysen "ins Blaue hinein" wohl kaum zu vereinbaren wäre. Entsprechende heimliche Befugnisse könnten zu "allgemeinen Einschüchterungseffekten" bei den Nutzern der betroffenen Kommunikationstechnik führen.

Weiter will der Rechtsausschuss gemeinsam mit den Innenausschuss erreichen, dass Diensteanbieter erhobene Daten über Nutzungsvorgänge "spätestens nach 24 Stunden zu löschen" hätten. Zudem seien die Betroffenen zu unterrichten, soweit und sobald dies ungefährlich möglich sei. Generell erkennen die beiden Gremien zwar das Bedürfnis nach einer Lizenz an, zur Eingrenzung und Beseitigung von Störungen Nutzungsdaten verwenden zu dürfen. Eine solche sei im Hinblick auf das informationelle Selbstbestimmungsrecht aber zu konkretisieren und durch eine stärkere Zweckbindung zu flankieren.

Die Rechtspolitiker fordern ferner, dass eine Speicherung entsprechender Informationen nur nach Einwilligung der Betroffenen gestattet werden dürfe. Der Wirtschaftsausschuss drängt überdies darauf, die von ihm befürchteten "zu weit reichenden Eingriffe in Vergabeverfahren" durch die Vorgabe technischer Richtlinien zu korrigieren. Eigenentwicklungen des BSI etwa dürften nur eingesetzt werden, wenn vergleichbare Systeme am Markt nicht verfügbar seien.

Quelle : www.heise.de

[SiLæncer]

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat die dritte Auflage seines zweijährlichen Lageberichts zur IT-Sicherheit in Deutschland vorgestellt. Auf der heutigen CeBIT-Pressekonferenz bezeichnete Hartmut Isselhorst, Leiter der BSI-Abteilung "Sicherheit in Anwendungen, kritischen Infrastrukturen und in Netzen", die Lage als "noch katastrophaler" als vor zwei Jahren. Professionalisierung und Internationalisierung der Tätergruppen seien weiter fortgeschritten. Es gebe heute eine regelrechte organisierte Kriminalität, die das Internet für ihre Zwecke nutze. Nicht mehr nur einzelne Server seien laufend das Ziel von Angriffen, sondern jeder einzelne Anwender – die Frage sei nur, ob ein Angriff erfolgreich verlaufe.

Während vor zwei Jahren E-Mail als das Haupteinfallstor von schädlicher Software galt, berichtet das BSI nun von der Verlagerung zu "Drive-by Downloads". Die Malware dringt also immer häufiger beim "Internetsurfen" über den Webbrowser in nicht ausreichend geschützte Systeme ein. Aktueller Schadcode nutzt bereits Verschlüsselungsverfahren für das Signieren nachzuladender Funktionen, sodass es praktisch unmöglich ist, einem Schadprogramm Code-Teile unterzuschieben, die es etwa deaktivieren könnten.

Als positiven Trend nannte Isselhorst das gewachsene Sicherheitsbewusstsein der Anwender. Bereits 92 Prozent nutzen ein Virenschutzprogramm auf ihrem PC. Allerdings seien 8 Prozent ungeschützter PCs immer noch sehr viele. Auch die Notwendigkeit regelmäßiger Updates sehen mehr Anwender als vor zwei Jahren. Ähnlich wie im Straßenverkehr sei jeder Internet-Anwender nicht nur für seine eigene, sondern auch für die Sicherheit anderer verantwortlich. In der IT seien in Analogie zur Straßenverkehrsordnung nicht nur Sicherheitsgurte, sondern auch eine regelmäßige technische Überwachung nötig. Wer dazu selbst nicht in der Lage sei, könne zum Beispiel einen Sohn damit beauftragen.

Der Lagebericht selbst bleibt insgesamt sehr abstrakt. So kommt etwa das Wort "Conficker" in dem 83-seitigen Dokument nicht ein einziges Mal vor. Und das obwohl dieser Wurm nicht nur die Bundeswehr sondern zumindest in Österreich auch schon Krankenhäuser befallen hat und nach aktuellen Erkenntnissen keineswegs unter Kontrolle ist.

Quelle : www.heise.de

[SiLæncer]

Die Bundesregierung hat ihren Entwurf zur Novellierung des Gesetzes für das Bundesamt für Sicherheit in der Informationstechnik (BSI) gegen Kritik aus den Ländern verteidigt. Man teile nicht die Auffassung, dass es sich bei der geplanten Möglichkeit zur automatisierten Auswertung von Protokolldaten aus dem Betrieb der Kommunikationstechnik des Bundes um einen gravierenden Grundrechtseingriff handle, heißt es in der Gegenäußerung (PDF-Datei) Berlins zur Stellungnahme des Bundesrats. Soweit die Daten unverzüglich kontrolliert und danach sofort und spurenlos wieder gelöscht werden, werde die Eingriffsschwelle gemäß der Rechtsprechung des Bundesverfassungsgerichts auch gar nicht erst überschritten. Zudem bestehe eine klare Zweckbegrenzung auf die Abwehr von Gefahren für die Informationstechnik des Bundes.

Die Regierung hält auch an der geplanten Befugnis für das BSI fest, im Kampf gegen Schadprogramme Telekommunikationsinhalte analysieren zu dürfen. Entsprechende Grundrechtseingriffe seien verhältnismäßig, da umfangreiche materielle und verfahrenssichernde Vorkehrungen getroffen würden. Die Maßnahmen "zielen auch niemals darauf ab, Inhalte der Kommunikation zu erfassen". Es solle allein der Datenverkehr auf Computerschädlinge hin untersucht werden, vergleichbar mit dem Einsatz etwa von Virenscannern. Die Sorge der Länder, dass davon Einschüchterungseffekte für die Nutzer ausgehen könnten, könne man so nicht verstehen.

Nicht folgen will die Bundesregierung auch dem Vorschlag aus dem Bundesrat, dass die Anbieter von Telemediendiensten zum Zweck der Störungsbekämpfung aufgezeichnete Nutzerdaten "unverzüglich" bei Wegfall der Speichervoraussetzungen zu löschen hätten. Ihr eigener Vorschlag zur reinen Zweckbegrenzung der Datenaufbewahrung orientiere sich an den gesetzlichen Bestimmungen für Telekommunikationsanbieter. Es sei unbestritten, dass im Bereich der Telemedien das gleiche Schutzbedürfnis herrsche. Prüfen will Berlin die Anregung der Länder, dass Produkthersteller bei Sicherheitslücken zunächst informiert werden sollen, bevor die Öffentlichkeit gewarnt wird. Zumindest bei besonders schwerwiegenden Gefahren müsse aber eine sofortige Alarmierung der Öffentlichkeit möglich bleiben, um Zeitverluste zu vermeiden.

Quelle : www.heise.de

[SiLæncer]

Der umstrittene Regierungsentwurf zur Novellierung des Gesetzes für das Bundesamt für Sicherheit in der Informationstechnik (BSI) stößt im Bundestag auf heftigen Widerstand. Bei der 1. Lesung des federführend von Bundesinnenminister Wolfgang Schäuble (CDU) vorangetriebenen Vorhabens kritisierten alle Fraktionen mit Ausnahme der Union, dass die Initiative über ihr Ziel hinausschieße und allgemeine Überwachungsbefugnisse für die Bonner Behörde und die Anbieter von Telemediendiensten mit sich bringe. In der jetzigen Form, war sich eine große Mehrheit der Parlamentarier sicher, sei der zuvor auch vom Bundesrat kritisierte Vorstoß nicht zustimmungswürdig.

Das BSI solle Gefahrenabwehr-, Prüf- und Zertifizierbehörde sowie Anbieter von IT-Sicherheitsprodukten werden, warnte Frank Hofmann von der SPD-Fraktion vor einer Überfrachtung des Amts. Beim Scannen aller eingehenden Datenverkehre bei Bundesbehörden bleibe unklar, ob es vor allem um die Gefahrenabwehr oder um die Verfolgung der Täter gehe. Fraglich schien dem Innenpolitiker ferner, wieso das BSI auch bei "nicht erheblichen Straftaten" Daten an die Polizei und den Verfassungsschutz weitergeben können solle. Beim Schutz des Kernbereichs privater Lebensgestaltung sei der Entwurf "schlampig" gefasst. Auch die vorgeschlagene Änderung des Telemediengesetzes (TMG) schien dem Sozialdemokraten nicht nachvollziehbar. Eine pauschale Befugnis zum Speichern von Nutzungsdaten durch Diensteanbieter sei zu vermeiden.

Gisela Piltz von der FDP-Fraktion, die ihre Stellungnahme als einzige der vorgesehenen Redner nicht zu Protokoll gab und trotz später Stunde am Donnerstagabend ans Mikrofon trat, fürchtete die Schaffung eines "Feindstrafrechts für Hacker" durch den Vorstoß. Natürlich sei es nötig, die kritischen Infrastrukturen eines Staates einschließlich der Informationstechnik angemessen zu schützen. Aber bei Viren und Würmern gleich von Cyberwar zu sprechen und Kategorien des Kriegsrechts zu bemühen, sei überzogen. Die im Raum stehenden neuen Aufgaben für das BSI hätten mit Sicherheit wenig zu tun. Vielmehr könne das Amt damit "die gesamte Kommunikation der Bürger mit Behörden abhören und auswerten" sowie an andere Sicherheitsbehörden transferieren. Das BSI würde so zur "allgemeinen Polizei- und Schnüffelbehörde", das Erkenntnisse aus der Intimsphäre etwa einfach "unverzüglich" dem Innenministerium vorlegen solle. Die Freigabe von Nutzungsdaten öffne ferner dem "gläsernen Surfer" Tür und Tor.

Petra Pau von den Linken bemängelte ebenfalls, dass ein Gesetz zur internen Sicherheit des Bundes externe Anbieter wie Google oder Yahoo ermächtigen wolle, das Surfverhalten von Internetnutzern ohne konkreten Verdacht zu registrieren. Wolfgang Wieland, Sprecher für innere Sicherheit der Grünen, begrüßte im Prinzip den Ansatz, dem BSI zur Stärkung der IT-Sicherheit mehr Kompetenzen zu geben. Besonders kritisch sah auch er aber die damit verknüpften Kontrollbefugnisse. Sollte damit bloß der Einsatz von Virenscanner gemeint sein, wie es die Bundesregierung darstellt, müsse das auch entsprechend formuliert und nicht einer allgemeinen Überwachungseinrichtung das Wort geredet werden. Aber auch dann fehle es an Vorschriften etwa zur Pseudonymisierung von Daten oder dem Einbau eines Richtervorbehaltes. Generell müsse die Pflicht der Behörden stärker betont werden, die eigenen IT-Systeme zunächst optimal zu schützen.

Quelle : www.heise.de

[SiLæncer]

Die große Koalition hat sich darauf geeinigt, den umstrittenen Gesetzentwurf der Bundesregierung zur Aufrüstung des Bundesamt für Sicherheit in der Informationstechnik (BSI) in Kernpunkten zu entschärfen. Die Fraktionen von CDU/CSU und SPD haben dazu am gestrigen Mittwoch im Innenausschuss des Bundestags einen heise online vorliegenden Änderungsantrag beschlossen. Wie bereits angekündigt, soll vor allem die Erlaubnis für Anbieter von Telemedien gestrichen werden, Nutzerdaten wie IP-Adressen zum Zweck der Störungsbekämpfung zu speichern. Bürgerrechtler und Datenschützer hatten darin einen gefährlichen weiteren Ansatz zur Vorratsdatenspeicherung gesehen. Aufgrund der "besonderen Eilbedürftigkeit der übrigen Regelungen des Gesetzesentwurfs", schreibt Schwarz-Rot zur Begründung, werde die entsprechende Änderung des Telemedienrechts "nicht weiterverfolgt".

Korrekturen hat die Koalition auch an der geplanten Befugnis für das BSI beschlossen, "Protokolldaten" einschließlich personenbeziehbarer Nutzerinformationen unbegrenzt erheben und automatisiert auswerten zu dürfen. So sollen insbesondere die in den Informationen enthaltenen E-Mail-Adressen in einem automatisierten Verfahren durch Pseudonyme ersetzt werden, um die Erstellung von Kommunikationsprofilen zu verhindern. Eine zu protokollierende "Entspseudonymisierung" dürfe aber erfolgen, wenn dies für die Weiterverarbeitung etwa bei bestätigten Verdachtsfällen hinsichtlich eines Schadprogramms oder zur Warnung der Betroffenen erforderlich sei.

Eine Filterung des Datenverkehrs an den Schnittstellen zu den IT-Netzen des Bundes und die Auswertung der Protokolldaten soll das BSI weiter im Einklang mit dem ursprünglichen Entwurf durch eine weitgehend automatisierte Suche nach technischen Schadfunktionen ohne richterliche Anordnung durchführen. Dafür haben Union und Sozialdemokraten aber die nachträgliche Kontrolle durch Benachrichtigungspflichten der Betroffenen erhöhen. Die Befugnis zur Übermittlung der Daten an Sicherheitsbehörden wird zudem eingeschränkt auf die umkämpften "Hackerparagraphen" in der Strafprozessordnung. Auch die Weitergabe von "Zufallsfunden" soll durch Einführung eines Richtervorbehalts höheren Schranken unterworfen werden.

Nachgebessert hat die Koalition ferner beim Schutz des Kernbereichs der privaten Lebensgestaltung. Sie hält es zwar für unwahrscheinlich, dass dem BSI bei der erlaubten Suche nach Schadprogrammen entsprechende Inhalte zur Kenntnis kommen. Um etwaige Eingriffe gleichwohl möglichst gering zu halten, sollten diese im Falle eines Falles "unverzüglich" gelöscht werden. Für die Kommunikation von zeugnsiverweigerungsberechtigten Berufsgruppen mit der Bundesverwaltung wird ein Beweisverwertungsverbot ähnlich Paragraph 108 Absatz 3 Strafprozessordnung (StPO) eingefügt. Dieses fällt aber schwächer aus als etwa bei den Bestimmungen zur Vorratsdatenspeicherung. So wäre der gesonderte Schutz auch für Abgeordnete oder Geistliche – und nicht nur für Journalisten, Ärzte, Anwälte oder andere Berufsgeheimnisträger ­ erst nach einer Verhältnismäßigkeitsprüfung anzuwenden.

Bei der Aufdeckung von Sicherheitslücken soll das BSI laut dem Kompromiss in der Regel zunächst die Hersteller betroffener Produkte informieren. Diesen will der Gesetzgeber so Gelegenheit geben, Sicherheits-Updates zu entwickeln und ihren Kunden zur Verfügung zu stellen. Abweichungen von diesem Prinzip seien aber geboten, wenn der Sicherheit durch eine Vorabinformation Dritter und der Öffentlichkeit besser gedient sei. Aus Gründen der Wirtschaftlichkeit sei bei der Bereitstellung von IT-Sicherheitslösungen ferner grundsätzlich auf Produkte abzustellen, die am Markt erworben werden können, geht Schwarz-Rot auf Bedenken der IT-Industrie weiter ein. Nur in begründeten Ausnahmefällen könne das Bundesamt entsprechende Werkzeuge selber entwickeln.

Der Opposition geht das Gesamtvorhaben nach wie vor zu weit, so dass sie geschlossen dagegen votierte. Bei der Abstimmung über den Änderungsantrag enthielten sich Linke und Grüne. Die FDP stemmte sich auch gegen die Korrekturen, da sie nur "marginale Verbesserungen" mit sich brächten. Es bleibe beim Grundprinzip, dass das BSI Berge von Daten anhäufen könne. Dies diene laut den bei einer Anhörung zu Wort gekommenen Experten nicht der Verbesserung der IT-Sicherheit. Die eingefügten Schutzmaßnahmen seien zudem "lächerlich".

Quelle : www.heise.de

[SiLæncer]

Mit den Stimmen der großen Koalition hat der Bundestag mitten in der Nacht von Donnerstag auf Freitag den umstrittenen Gesetzesentwurf zur Kompetenzerweiterung des Bundesamts für Sicherheit in der Informationstechnik (BSI) verabschiedet. Das spärlich besetzte Parlamentsplenum übernahm dabei die Änderungen aus dem Innenausschuss, mit denen die zunächst von der Bundesregierung geplanten Überwachungsbefugnisse etwas entschärft werden. Die Opposition votierte wegen Datenschutzbedenken geschlossen gegen das Vorhaben. Eine Aussprache fand aufgrund der vorgerückten Stunde nicht mehr statt; die vorgesehenen Redebeiträge wurden nur zu Protokoll gegeben.

Das "Gesetz zur Stärkung der Sicherheit in der Informationstechnik des Bundes" soll dem BSI mehr Mittel an die Hand geben, um Angriffe auf die IT-Infrastruktur des Bundes abzuwehren. Um Schadprogramme besser aufspüren zu können, darf die Bonner Behörde künftig alle "Protokolldaten" einschließlich personenbeziehbarer Nutzerinformationen wie IP-Adressen unbegrenzt speichern und automatisiert auswerten, die bei der Online-Kommunikation zwischen Bürgern und Verwaltungseinrichtungen des Bundes anfallen. Vor allem E-Mail-Adressen sollen dabei herausgefiltert und durch Pseudonyme ersetzt werden, um die Erstellung von Kommunikationsprofilen zu verhindern. Eine zu protokollierende "Entspseudonymisierung" darf erfolgen, wenn dies für die Weiterverarbeitung etwa bei bestätigten Verdachtsfällen hinsichtlich eines Schadprogramms oder zur Warnung der Betroffenen erforderlich ist.

Die anfangs vorgesehene allgemeine Befugnis zur Übermittlung der Daten an Sicherheitsbehörden wird eingeschränkt auf die umkämpften "Hackerparagraphen" in der Strafprozessordnung. Auch die Weitergabe von "Zufallsfunden" soll durch Einführung eines Richtervorbehalts höheren Schranken unterworfen werden. Dazu kommen nachträgliche Benachrichtigungspflichten an Betroffene. Nachgebessert hat die Koalition beim Schutz des Kernbereichs der privaten Lebensgestaltung im Rahmen der erlaubten Suche nach Schadprogrammen. Um etwaige Eingriffe möglichst gering zu halten, sollen entsprechende Erkenntnisse "unverzüglich" gelöscht werden. Für die Kommunikation von zeugnisverweigerungsberechtigten Berufsgruppen mit der Bundesverwaltung wird ein Beweisverwertungsverbot eingefügt. Dieses fällt schwächer aus als etwa bei den Bestimmungen zur Vorratsdatenspeicherung. So ist der gesonderte Schutz für Abgeordnete, Geistliche, Journalisten, Ärzte, Anwälte oder andere Berufsgeheimnisträger erst nach einer Verhältnismäßigkeitsprüfung anzuwenden.

Den Linken, der FDP und den Grünen gehen die Befugnisse noch deutlich zu weit, auch wenn die Koalition eine besonders umkämpfte Erlaubnis für Anbieter von Telemedien zur Speicherung von Nutzerdaten zur "Störungsbekämpfen" zunächst nicht weiter verfolgt hat. Kritisch beäugt die Opposition etwa das Prinzip, dass das BSI neue Datenberge anhäufen dürfe. Vor allem Liberale äußerten im Vorfeld der nächtlichen Abstimmung zudem scharfe Kritik am formalen Vorgehen: Ein solches Gesetz dürfe nicht "heimlich" durchs Parlament gehievt werden, ssungswidrig.html monierte die frühere Justizministerin Sabine Leutheusser-Schnarrenberger. Union und SPD hätten eine "ordentliche parlamentarische Beratung des Gesetzes komplett verweigert". Ex-Bundestagsvize Burkhard Hirsch riet dem Bundespräsidenten, den Entwurf nicht zu unterzeichnen. Er sprach vom "Missbrauch der Protokollabsprache", die einer Überprüfung durch das Bundesverfassungsgericht wohl nicht standhalte.

Quelle : www.heise.de

[SiLæncer]

Der Bundesrat hat am heutigen Freitag den umkämpften Gesetzesentwurf zur Kompetenzerweiterung des Bundesamts für Sicherheit in der Informationstechnik (BSI) ohne weitere Aussprache abgesegnet. Das vom Bundestag zuvor Mitte Juni /news/meldung/140769 beschlossene "Gesetz zur Stärkung der Sicherheit in der Informationstechnik des Bundes" soll der Bonner Behörde mehr Mittel an die Hand geben, um Angriffe auf die IT-Infrastruktur des Bundes abzuwehren. Die Länderkammer fasste eine zusätzliche Entschließung. Darin bringt sie ihre Erwartung zum Ausdruck, dass die Länder unter anderem an der Erarbeitung der Regelungen, die sich auf die Informationstechnik in der Verantwortung der Länder und Kommunen auswirken können, "umfassend und rechtzeitig" beteiligt werden.

Mit dem Beschluss darf das BSI künftig zur Bekämpfung von Schadprogrammen alle "Protokolldaten" einschließlich personenbeziehbarer Nutzerinformationen wie IP-Adressen, die bei der Online-Kommunikation zwischen Bürgern und Verwaltungseinrichtungen des Bundes anfallen, unbegrenzt speichern und automatisiert auswerten. Vor allem E-Mail-Adressen sollen dabei aber herausgefiltert und durch Pseudonyme ersetzt werden, um die Erstellung von Kommunikationsprofilen zu verhindern. Eine zu protokollierende "Entpseudonymisierung" darf erfolgen, wenn dies für die Weiterverarbeitung etwa bei bestätigten Verdachtsfällen hinsichtlich eines Schadprogramms oder zur Warnung der Betroffenen erforderlich ist.

Die von der Bundesregierung geplante allgemeine Befugnis zur Übermittlung der Daten an Sicherheitsbehörden hatte der Bundestag eingeschränkt auf die umkämpften "Hackerparagraphen" in der Strafprozessordnung. Auch die Weitergabe von "Zufallsfunden" wird durch die Einführung eines Richtervorbehalts höheren Schranken unterworfen. Dazu kommen nachträgliche Benachrichtigungspflichten an Betroffene. Nachgebessert hatte das Parlament auch beim Schutz des Kernbereichs der privaten Lebensgestaltung im Rahmen der erlaubten Suche nach Schadprogrammen. Um etwaige Eingriffe möglichst gering zu halten, sollen entsprechende Erkenntnisse "unverzüglich" gelöscht werden. Für die Kommunikation von zeugnisverweigerungsberechtigten Berufsgruppen mit der Bundesverwaltung ist ein Beweisverwertungsverbot eingefügt worden. Dieses unterliegt aber bei allen "Berufsgeheimnisträgern" nur der vergleichsweise schwachen Hürde einer Verhältnismäßigkeitsprüfung.

Im Rahmen des Verfahrens verfolgte der Gesetzgeber eine besonders umstrittene Erlaubnis für Anbieter von Telemedien zur Speicherung von Nutzerdaten zur "Störungsbekämpfung" aufgrund der besonderen Eilbedürftigkeit der anderen Regelungen zunächst nicht weiter. Gegen dieses Vorhaben waren Datenschützer und Bürgerrechtler Sturm gelaufen. Zu verfassungsrechtlichen Bedenken vor allem bei der FDP hatte die Tatsache geführt, dass der Bundestag die Initiative zu später Stunde verabschiedete und eine Abschlussdebatte darüber entfiel. Diesen Sorgen wollte sich der Bundesrat nicht anschließen.

Quelle : www.heise.de

[SiLæncer]

Patrick Breyer vom Arbeitskreis Vorratsdatenspeicherung und der grüne Bundestagsabgeordnete Wolfgang Wieland haben beim Europäischen Gerichtshof für Menschenrechte Beschwerde gegen das seit 2009 geltende Gesetz zur Stärkung der Sicherheit in der Informationstechnik des Bundes eingereicht. Das Normenwerk gibt dem Bundesamt für Sicherheit in der Informationstechnik (BSI) mehr Mittel an die Hand, um Angriffe auf die IT-Infrastruktur des Bundes abzuwehren.

Demnach darf die Bonner Behörde alle "Protokolldaten" einschließlich personenbeziehbarer Nutzerinformationen wie IP-Adressen, die bei der Online-Kommunikation zwischen Bürgern und Verwaltungseinrichtungen des Bundes sowie Parlamentariern anfallen, unbegrenzt speichern und automatisiert auswerten.

E-Mail-Adressen sollen dabei zwar herausgefiltert und durch Pseudonyme ersetzt werden, um die Erstellung von Kommunikationsprofilen zu verhindern. Erfasst werden könne aber etwa auch jede Nutzung öffentlicher Internetportale von Bundesbehörden, argumentieren die Kläger. Dabei könne festgestellt werden, wer sich wann für welche Angebote interessiert und nach welchen Schlüsselworten er dort gesucht hat.

Wieland und sein Mitstreiter hatten 2010 zunächst Klage beim Bundesverfassungsgericht gegen das BSI-Gesetz erhoben. Die Karlsruher Richter nahmen die Beschwerde aber laut einem jetzt veröffentlichten
Beschluss (PDF-Datei) vom Mai nicht zur Entscheidung an. Sie sahen eine Grundrechtsverletzung nicht hinreichend belegt.

Breyer hofft nun, dass der "Menschenrechtsgerichtshof das Prinzip einer verdachtslosen Vorratsdatenspeicherung generell für unvereinbar mit der Europäischen Menschenrechtskonvention erklären wird". Damit wäre dem Juristen zufolge nicht nur das BSI-Gesetz, sondern auch die "fatale EU-Richtlinie zur Vorratsdatenspeicherung vom Tisch". Direkt gegen die EU-Vorgaben zur Vorratsdatenspeicherung, die von der EU-Kommission derzeit überarbeitet werden, richtet sich die Beschwerde aber nicht.

Quelle : www.heise.de