> Blog > Parlamentarische Initiativen > Grüner 10-Punkte-Plan für Sicherheit im Netz

Grüner 10-Punkte-Plan für Sicherheit im Netz

#SicherImNetz

Die Europäische Kommission hat am Mittwoch, den 13. September 2017, ihr Strategiepapier zum Thema „Cybersicherheit“ veröffentlicht. Im Zeitalter zunehmender Digitalisierung gewinnt IT-Sicherheit immer mehr an Bedeutung. Informationstechnologie spielt in der Wirtschaft eine immer größere Rolle, um weltweit bestehen zu können. Auch Verbraucherinnen und Verbraucher nutzen digitale Technologien zunehmend im Alltag, zum Beispiel beim Smart TV. Damit wachsen auch die Möglichkeiten für Cyber-Angriffe, und deren Auswirkungen werden immer gravierender. In Zeiten von Schadprogrammen wie WannaCry oder Petya, die dieses Jahr für schwerwiegende Cyber-Angriffe genutzt wurden, muss ein gesellschaftliches Bewusstsein für diese Bedrohungen entwickelt werden. Vor allem braucht es Lösungsansätze, die die zugrundeliegenden Probleme wirklich angehen..

Mit dem folgenden 10-Punkte-Plan (PDF) lege ich zentrale Forderungen für echte Sicherheit im Netz vor. In den anstehenden Beratungen über eine wirksame Cybersicherheitsstrategie der EU werden wir Grüne für diese Punkte eintreten. Zusammen mit Julia Reda haben ich dazu auch ein kurzes Video aufgenommen (Untertitel gibt’s auch auf Deutsch).

1. Airbag und Gurt fürs Digitalzeitalter

In der digitalen Welt braucht es klare und verpflichtende Mindestanforderungen für die IT-Sicherheit, wie etwa sichere voreingestellte Passwörter. Ähnlich wie beim EU-weiten CE-Label wollen wir durch solche Mindestanforderungen Schwachstellen nachhaltig bekämpfen und die Qualität von Produkten verbessern. Nun gilt es, für technische Geräte im „Internet der Dinge“, etwa vernetzte Haushaltsgeräte, ebenfalls entsprechende Normen zu entwickeln, wie es die Einführung von Gurt- und Airbag-Pflicht für das Auto war. So sollen zum Beispiel intelligente Kühlschränke und andere vernetzte Geräte mit einer Ende-zu-Ende-Verschlüsselung ausgestattet werden. Wir wollen nationale Vorgaben wie die des Bundesamts für Sicherheit in der Informationstechnik (BSI) zu Internet-Routern sowie Zertifizierungsverfahren EU-weit harmonisieren und auf andere Geräte erweitern.

2. Für eine digitale Produkthaftung

Welche Gefahr von offenen Sicherheitslücken ausgehen kann, macht der 2015 bekannt gewordene Hackerangriff eines fahrenden Jeeps deutlich, bei dem über das Unterhaltungssystem des Fahrzeugs selbst Bremsen und Lenkung beeinflusst wurden. Wir setzen uns daher dafür ein, dass die EU-Produkthaftungsrichtlinie von 1985 in der anstehenden Revision auf Software erweitert wird. Kommerzielle Hersteller von Software müssen endlich haften, wenn sie bekannte Sicherheitslücken nicht schließen. Software-Lizenzvereinbarungen, die eine Herstellerhaftung etwa für Folgeschäden eines Hackerangriffs ausschließen, wollen wir abschaffen. Im Rahmen der Verhandlungen zum europäischen Online-Kaufrecht wollen wir erreichen, dass Softwarehersteller Updates für Sicherheitslücken schnellstmöglich anbieten müssen und die Gewährleistung auf Nachbesserung und Umtausch um Mängel bei der IT-Sicherheit erweitert wird. Dies stärkt nicht nur die Sicherheit der Verbraucherinnen und Verbraucher, sondern schafft auch einen konkreten Anreiz für mehr Qualitätssicherung.

3. Keine staatlich geförderte Unsicherheit

Staatliche Behörden dürfen bekannte IT-Sicherheitslücken in Unternehmen und Produkten nicht verschweigen und für ihre Zwecke ausnutzen. Wir wollen erreichen, dass sie stattdessen Informationen über Schwachstellen umgehend den Herstellern melden. Indem der Staat Hintertüren in IT-Systemen mit Steuergeldern entwickelt, aufkauft und ausnutzt, setzt er die Sicherheit von uns allen aufs Spiel. Der staatlich geförderten Unsicherheit wollen wir endlich ein Ende setzen. Informationen über die Sicherheitslücken können sonst in die falschen Hände gelangen und bergen wie im Fall WannaCry unkalkulierbare Risiken. Auch bei der Strafverfolgung braucht es ein Umdenken. Statt die Sicherheit im Netz zu schwächen, wollen wir die Sicherheitsbehörden besser ausstatten und IT-Expertinnen und -Experten, die auf Sicherheitslücken in Unternehmen aufmerksam machen, entkriminalisieren.

4. Lücken schließen statt verschweigen

Durch einen transparenten Umgang mit Sicherheitslücken und Updates wird das Vertrauen in Informationssysteme bewahrt und gestärkt. Wie es bereits für kritische Infrastrukturen im Rahmen der NIS-Richtlinie geregelt ist, wollen wir, dass Unternehmen generell Sicherheitslücken und Angriffe den zuständigen IT-Sicherheitsbehörden melden. Gerade beim „Internet der Dinge“ benötigen Verbraucherinnen und Verbraucher endlich mehr Transparenz bezüglich der Lebensdauer von IT-Produkten, etwa wie lange Unternehmen Sicherheitsupdates und Support für diese anbieten. Wir fordern deshalb ein Mindesthaltbarkeitsdatum für Software, ähnlich wie bei Lebensmitteln. Nach diesem Haltbarkeitsdatum sollen die Hersteller dazu verpflichtet sein, den Quellcode zu veröffentlichen. Auch dies wollen wir in den Verhandlungen um ein europäisches Online-Kaufrecht klarstellen.

5. Nicht alles muss ans Internet

Kritische Infrastrukturen wie Strom- oder Wasserversorgung wollen wir vom öffentlichen Internet getrennt halten. Für sensible Geräte, die eine Typenzulassung benötigen, braucht es zudem einen verlässlichen IT-Sicherheitstest und eine klare Trennung der Funktionsbereiche, damit Angreifer aus dem Netz keinen Schaden anrichten können. Auch Alltagsgeräte von Autos über Heizungen bis hin zu Medizintechnik müssen autonom vom Internet funktionieren oder ihre Steuersignale über getrennte Verbindungen abseits des Internets erhalten, damit sie nicht von außen erreichbar und damit steuerbar sind. Wir fordern darüber hinaus einen Offline-Modus für Haushaltsgeräte wie Kühlschränke und Toaster, in dem sie einwandfrei funktionieren und der jederzeit manuell aktiviert werden kann.

6. Digitale Produkte überprüfbar machen

Freie und sichere Software wollen wir durch die EU fördern, denn nur offene Quellcodes können unabhängig auf ihre Sicherheit überprüft und repariert werden. Dadurch reduziert sich die Wahrscheinlichkeit versteckter Hintertüren in IT-Produkten. Wir wollen mehr Geld für die Überprüfung von Software-Quellcodes und IT-Sicherheitstests durch unabhängige Stellen bereitstellen. Wir haben als Grüne Europafraktion bereits ein Politprojekt zur Auditierung von Quellcodes von freier Software durchgesetzt. Darüber hinaus wollen wir bei der Vergabe- und Beschaffungspolitik der EU dafür sorgen, dass in Zukunft nur Software mit offen Quellcodes in der öffentlichen Verwaltung eingesetzt wird.

7. Digitalisierung braucht Profis

Der Schlüssel zu einer Stärkung der IT-Sicherheit ist Aufklärung und Bildung. Deshalb muss mehr in die Aus- und Weiterbildung von qualifizierten Expertinnen und Experten investiert werden. Wir wollen im Rahmen der EU-Fördermittel für entsprechende Finanzierung sorgen. Auf den Lehrplan gehören dabei neben der reinen Technik auch ethische und politische Aspekte. Unabhängige Aufsichtsbehörden müssen darüber hinaus personell und materiell besser ausgestattet werden. Für die breite Bevölkerung wollen wir umfassende Aufklärungskampagnen zu möglichen Sicherheitsrisiken und Schutzmaßnahmen anstoßen. Denn das Sicherheitsrisiko ist oft nicht der Computer selbst, sondern der Mensch, der vor ihm sitzt.

8. Für eine zivile Cyberstrategie

Wir fordern, dass die EU eine zivile Sicherheitsstrategie verfolgt, die an den Ursachen der IT-Unsicherheit ansetzt, statt diese für eigene Angriffe auszunutzen. Wir fordern, dass Cyberwaffen weder hergestellt, noch gehandelt, noch für offensive Zwecke eingesetzt werden. Wir wollen ein Verbot des Exports von Sicherheitslücken und damit verbundenen digitalen Angriffswerkzeugen, besonders, wenn dies von autoritären Regimen missbraucht werden kann, etwa zur Überwachung von politischen Dissidentinnen und Dissidenten. Die EU muss sich umgehend im Rahmen der Vereinten Nationen für ein Verbot von autonomen Waffensystemen einsetzen. Eine hunderprozentigeSicherheit von IT-Systemen kann auch hier nicht gewährleistet werden, so dass der Einsatz und auch bereits die Entwicklung solcher Waffensysteme eine zu große Gefahr darstellen. Stattdessen braucht es mehr Personal für die Abwehr von Cyberangriffen.

9. Ein digitales Sicherheitsnetz

Wir wollen eine enge EU-weite Koordinierung bei der Sicherheit im Netz erreichen. Dafür fordern wir ein unbefristetes Mandat und mehr Kompetenzen für ENISA, die EU-Agentur für Netzwerk- und Informationssicherheit. Wir haben bereits dafür gesorgt, dass ENISA im Falle von Cyberangriffen die Computersicherheits-Teams EU-weit koordiniert. In der anstehenden Revision von ENISA fordern wir, dass diese Rolle ausgebaut und ENISA ein EU-weites Kompetenzzentrum für die IT-Sicherheit wird. Dazu gehört auch die notwendige Fähigkeit, marktübliche Gehälter für Spezialistinnen und Spezialisten zu zahlen. IT-Sicherheit darf nicht am Sparkommissar scheitern.

10. Netzkompetenz bei Polizei & Justiz

Die Strafverfolgung im IT-Bereich muss systematisch ausgebaut werden. Dazu gehören Schwerpunkt-Staatsanwaltschaften und -Gerichte für Internetkriminalität, aber auch eine EU-weit bessere Koordinierung von Polizei und Justiz, etwa bei Europol und Eurojust. Der grenzüberschreitende Zugang zu digitalen Beweismitteln muss verbessert und effektiver gestaltet werden. Um dabei ein rechtsstaatliches Verfahren zu garantieren, wollen wir Durchsuchungen von Computern sowie die Weitergabe von Kundendaten durch Unternehmen nur auf Grundlage eines richterlichen Beschlusses in der Europäischen Union zulassen.