isoc.de

Rund 2000 Unternehmen und Institutionen stehen auf einer (nicht-öffentlichen) Liste des Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK). Dabei handelt es sich um sogenannte „Kritische Infrastrukturen“, deren Ausfall weitreichende negative Folgen für Staat und Gesellschaft hätten. Die Sicherheit vieler dieser Infrastrukturen unterliegt heute bereits behördlicher Aufsicht. Beispielsweise im Bereich der Telekommunikation oder der Energieerzeugung existiert heute schon die Pflicht zum Nachweis des Funktionierens von Sicherheitskonzepten, die eine gewissen Robustheit der verwendeten IT, z.B. auch gegen Hackerattacken, umfasst.

Mit der Vorlage eines Entwurf eines „Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme“ verfolgt das Bundesministerium des Inneren (BMI) nun jedoch ein ambitionierteres Ziel, nämlich „Deutschland als einen der sichersten digitalen Standorte weltweit zu etablieren“. Mit Hilfe des IT-Sicherheitsgesetz soll dabei „ein Mindestniveau an IT-Sicherheit“ gesetzlich verankert werden, eine „Cyber-Sicherheitsstrategie und deren kontinuierliche Umsetzung“ durch die Bundesregierung soll „die Grundlagen“ legen, „um Cyber-Sicherheit auf einem hohen Niveau zu gewährleisten“. Konkret soll das geschehen etwa durch die Aufwertung des Bundesamtes für Sicherheit in der Informationstechnik (BSI), neue Meldepflichten für die von Gefährdungen betroffenen Unternehmen, Untersuchungs- und Mitteilungsrechte des BSI bis runter auf die Ebene des Quellcodes von IT-Produkten – sogar vor der Markteinführung von Produkten und Systemen. Der Bereich der Informationstechnik soll sogar für sich genommen als potentiell „kritischer“ Sektor definiert werden – unabhängig wo der Einsatz der IT erfolgt. Diesen Beitrag weiterlesen »

Update (26.3.): Inzwischen gibt ein auch von ISOC.DE unterstütztes Positionspapier zum Thema.

Bekannt ist, dass die Internet Assigned Numbers Authority (IANA) Nummern und Namen im Internet registriert, die für den Betrieb unerlässlich sind und eindeutig sein müssen. Überwacht wird die Arbeit der IANA durch die National Telecommunications and Information Administration (NTIA), also einer Regierungsorganisation der USA. Hierzu hat die NTIA einen Vertrag mit der Internet Corporation for Assigned Names and Numbers (ICANN). Dieser Vertrag läuft im September aus. Erfreulich ist, dass NTIA die IANA aus US-Regierungsverantwortung entlassen will, und nicht anstrebt, den Vertrag mit ICANN zu erneuern. So weit — so gut.

NTIA hat sogar eine Idee, wer denn die Aufsicht über IANA übernehmen sollte: ICANN sollte es selbst tun. Allerdings sei eine wesentliche Voraussetzung hierfür, dass ICANN eine genügende Stabilität und Verlässlichkeit (accountability) nachweise. Stellt man mal die Logik, dass NTIA Bedingungen für einen auslaufenden Vertrag stellt hinten an: es hört sich zunächst nach einer guten Lösung an. Diesen Beitrag weiterlesen »

Eigentlich war alles klar Mitte der 90er Jahre: Benutzer elektronischer Kommunikationsmittel haben ein Recht darauf, geeignete Maßnahmen zu ergreifen, um sicher zu sein, dass nur die Leute ihre Kommunikation lesen können, für die sie bestimmt ist. Zwei Sachverhalte lassen die Debatte wieder hoch kochen:

• auf der einen Seite lassen die hemmungslos wachsende Sammelwut von Internetdiensten (Facebook, Google &Co) und Sicherheitsdiensten (allen voran die NSA) und viele erfolgreiche Hackerangriffe auf Internet-Dienste immer mehr Benutzer fragen, wie sie ihre Kommunikation besser schützten können.
• auf der anderen Seite möchten staatliche Stellen — angefeuert durch die Sicherheitsdebatte —, Kommunikation bei tatsächlichen oder vermeintlichem Bedarf jederzeit überwachen können.

Ein wichtiger und unverzichtbarer Bestandteil, um im Internet Kommunikation zu schützen, ist die Kryptografie. Und da bei richtig gemachter Kryptographie auch die NSA und ihre Kollegen, deutlich weniger erfahren, generiert der Ruf nach benutzbarer, sicherer  Kryptografie die Gegenforderung nach ihrer Kontrolle und Einschränkung. An der Spitze der Bewegung zur Einschränkung der Kryptografie finden sich der britische Premier David Cameron dicht gefolgt von unserem Bundesinnenminister Thomas de Maizière.

Diesen Beitrag weiterlesen »

„ISOC.DE gehört zur Internet Society und ist nicht auf Facebook? Wie von gestern ist das denn?“ Facebook, Google, Twitter … gehören zum Internet wie E-Mail und das WWW, oder nicht? Auf jeden Fall machen sie Dienste zugänglich, die nachgefragt sind und ohne die das Internet gerade einmal halb so viel wert wäre.

Auf der anderen Seite pervertieren diese Dienste die Idee des Internet in mehrfacher Hinsicht:

Diesen Beitrag weiterlesen »

Im Koalitionsvertrag ist es auf Seite 49 vereinbart: „Wir wollen eine gesetzliche Klarstellung für den Netzzugang von Telekommunikationsanbietern. Nutzerinnen und Nutzer müssen die freie Auswahl an Routern behalten.“

In einem alten, von der Bundesnetzagentur veröffentlichten Entwurf zur Transparenzverordnung wurde der Provider noch verpflichtet zu einem „Hinweis auf die Austauschbarkeit des Netzabschlussgeräts mit frei am Markt verkäuflichen Geräten“. Ein neuer Entwurf der Transparenzverordnung der Bundesnetzagentur verpflichtet die Provider statt dessen zu einem „Hinweis, sofern das integrierte Zugangsgerät vom Kunden nicht ausgetauscht werden darf.“ Begründung: solange es keine gesetzliche Regelung gebe, sei es Sache des Providers, festzulegen wo sein Netz endet – also ob vor oder hinter dem Router. Das erzeugte viel berechtigten Protest der Internet Nutzer.

Das BMWi teilt die rechtliche Auffassung der Netzagentur. Zugleich hat das BMWi aber bestätigt, 2015 einen Gesetzentwurf zur Änderung des TKG vorlegen zu wollen. Damit soll dann ‚Routerzwang‘ abgeschafft — also verboten — werden.

Dank der Vorarbeit vieler Standardorganisationen, insbesondere der IETF und IEEE ist ein Routerzwang vollkommen überflüssig. Er pervertiert vor allem die Idee eines freien Internet. Internet ist das Netz der Netze. Wenn jemand sein LAN mit dem Netz eines Providers verbinden will, braucht er oder sie dafür im LAN einen Router dessen Ausgang der Gateway zum Netz des Providers bildet. Schreibt der Provider nun den Router vor und kontrolliert er dessen Konfiguration in weitem Umfang, greift er damit dreist in das Netz des Benutzers ein. Hoffen wir also, dass der Gesetzgeber es schafft, dem in 2015 einen Riegel vorzuschieben.