Fragen? Antworten! Siehe auch: Alternativlos
Konkrete Punkte sind:
Ich bin grundsätzlich für eine Meldepflicht. Der Gedanke hinter einer Meldepflicht, und warum ich auch dafür bin, ist: a) wir brauchen ordentliche Daten, um über das Problem reden zu können. Wer wird wie häufig gehackt und welche Daten leaken dabei? b) wenn die Firmen das unter den Teppich kehren können, warum sollten sie dann in Security investieren. Dann bleibt alles Scheiße und die Kunden wissen nicht, bei welchen Anbietern ihr Geld wirklich sicher ist.
Wenn man sich jetzt diesen Entwurf ansieht, dann sieht man, dass die zwar melden müssen, aber nur dem BSI, nicht der Öffentlichkeit. Und das BSI legt das dann zwar offen, aber nicht der Öffentlichkeit, sondern … den Meldepflichtigen. Die können dann zwar sehen, ob sie sicherer als der Durchschnitt der Konkurrenz sind, aber der Kunde kriegt es nicht mit. Damit ist der Anreiz für Verbesserungen weg. Dann werden die weiter alle die Öffentlichkeit anlügen, wie toll sicher sie sind, und Vorfälle verschweigen.
Alleine schon aus diesem Grund lehne ich diesen Gesetzesentwurf ab. Aber meine Kritikpunkte gehen noch weiter.
Das BSI soll jetzt Firmen beraten. Das halte ich für eine sehr schlechte Idee. Das BSI wird aus Steuergeldern finanziert. Wieso sollten Steuergelder dafür ausgegeben werden, den Firmen zu ermöglichen, ihre Hausaufgaben an das BSI outzusourcen? Nee, so geht das nicht.
Es ist nicht so, dass das BSI keine Rolle spielen sollte. Ich schlage vor, dass das BSI einen Katalog erstellt, in dem Angriffe klassifiziert werden. Wo man dann sagt: ein XSS auf der Pressemitteilungen-Webseite der Polizei Brandenburg ist kein Angriff auf "sicherheitsempfindliche Stellen lebenswichtiger Institutionen". Diese Formulierung zitiert Heise als Beschreibung dafür, wofür das BKA in Zukunft zuständig sein soll. Hier muss aus meiner Sicht Sorge getragen werden, dass es eine klare Unterscheidung zwischen gefährlichem Angriff und zivilem Ungehorsam und Demonstrationsrecht gibt. Wenn Leute aus Protest gegen Abschiebungsflüge die Lufthansa-Webseite blockieren, sollte das jetzt nicht über diese Hintertür zu einem Fall für das BKA deklariert werden.
Überhaupt, das BKA. Die sollen 105 neue Stellen schaffen, um besser das Internet patroullieren zu können. Halte ich für falsch. Die stehen sich doch jetzt schon nur im Wege. Ich habe noch von keinem einzigen Fall gehört, wo das BKA mal im Internet zu Recht und Ordnung beigetragen hätte. Was die brauchen ist eine Schulung, und die klare Vorgabe, dass ihrem Präsidenten pro Eingriffsversuch in die Politik ein Monatsgehalt abgezogen wird, bis hin zu negativem Gehalt und Forderungen an ihn. Jedes Mal, wenn Ziercke und co die Vorratsdatenspeicherung fordern, verplempern die Zeit, die sie damit verbringen sollten, Kriminelle zu fangen.
Also. Das Gesetz lehne ich so ab. Mein Vorschlag:
Kurz gesagt: aus dem Gesetz muss der Populismus und der Bullshit raus, dann kann daraus was richtig gutes werden.
Die größten Gefahren und Risiken sind aus meiner Sicht:
Ich persönlich halte die Meldepflicht nur dann für effektiv, wenn die Fälle alle sofort veröffentlicht werden, und zwar ohne Anonymisierung. Zumindest die Kunden haben ein Recht, das zu erfahren. Und zwar nicht erst, wenn sich nicht mehr abstreiten lässt, dass sie betroffen sind. Sofort. Ich hätte gerne eine Webseite, wo man hingehen kann, Postbank eingibt, und dann kommt eine Liste der Incidents bei denen, jeweils mit Links zu deren Reaktion und mit Zeitstempeln, damit man sehen kann, wie lange die jeweils untätig rumgegammelt haben. Und da müssen auch Incidents drin sein, die die jeweilige Firma bestreitet. Das kann gerne dranstehen, dass sie das bestreiten. Und von mir aus können sie auch Dokumente anheften, die das belegen. Aber man darf da nicht rauskommen können, indem man schlicht leugnet.
Ich würde mich auch freuen, wenn das BSI nach einem Hackerangriff die Aufgabe hätte, die Schwere zu bewerten. Damit man das als Kunde vergleichen kann.
Update: Fällt jemandem ein, wie man "das BKA ist jetzt für 202c zuständig" anders interpretieren kann als "Ziercke ist sauer auf den CCC und will sich jetzt rächen"? Aber Herr Ziercke! Wie unsportlich!