Offener Brief: Plädoyer für ein „Staatsziel (quantensichere) Ende-zu-Ende Verschlüsselung“

Liebe Mitbürgerinnen und Mitbürger,

Die Digitalisierung betreibt die Spaltung zwischen Angreifern und Angegriffenen; die einen nutzen feindliche künstliche Intelligenz, um menschliche/technische Schwächen automatisiert auszunutzen, die anderen meinen bis heute, sie hätten ‚nichts zu verbergen‘ und klicken sprichwörtlich oder bildlich, sorg- und ahnungslos auf Alles, was ihnen vor die Maus kommt.

Dazu zählen nicht nur die Entscheiderinnen in Politik und Wirtschaft, sondern auch die Verantwortlichen in der Öffentlichen Verwaltung und den Unternehmen. Und diejenigen, die im Auftrag der Verantwortlichen Software entwickeln, einrichten, verwalten oder nutzen, um damit vernetzte Geräte zu steuern oder personenbezogene Daten zu verarbeiten. Die Entwicklung wird mutmaßlich in naher Zukunft zu einem exponentiellen Wachstum an Schlagzeilen führen.

Auch die Qualität dieser Schlagzeilen wird im Zuge der technischen Entwicklung -- 5G, Maschinelles Lernen, Telemedizin, schlaue Autos, schlaue Häuser.... -- zunehmen: Es droht eine Flut aus Angriffen, Datenpannen, Verlust von Vermögenswerten, Geldbußen, Schadenersatz, Gerichtskosten, Anwältinnen, Gutachterinnen, ... Die Flut kann dabei nicht nur die unmittelbar Betroffenen bedrohen, sondern auch diejenigen, die wirtschaftlich mit den Betroffenen verflochten sind. Hinzu kommt das Risiko, dass uns Kriminelle Strom, Gas oder Wasser abstellen. Wir stehen vor einer sich anbahnenden Katastrophe, die in ihren Ausmaßen Corona übertrifft und sicher an den Klimawandel heranreicht. Nur dass sich die digitale Katastrophe keine Jahrzehnte mehr Zeit lassen wird.

Wir hätten also jede Menge Gesprächs- und Handlungsbedarf. Stattdessen reagieren wir mit Desinteresse. Diese Ignoranz gegenüber dem Thema ist das eigentlich Beängstigende. Schlimmer noch: Politikerinnen, Konzernvorstände und Medienleute kokettieren -- sogar im Fernsehen! -- mit ihrer groben Fahrlässigkeit. Wie sollten da die nach DSGVO Verantwortlichen ihre Rechenschaftspflicht ernst nehmen, ein Datenschutzmanagementsystem betreiben und ihre Mitarbeiterinnen rollenspezifisch schulen? So geraten Millionen Menschen in Gefahr, deren Daten in Arztpraxen, Rechtsanwalts- und Steuerberatungskanzleien gespeichert sind.

Wir fordern:

• Die nach DSGVO Verantwortlichen MÜSSEN sich ihre Rechenschaftspflicht bewusst machen und die Verordnung tatsächlich umsetzen!

• Der Staat MUSS insbesondere die Kleinen und Mittelständischen Unternehmen mit einer entsprechenden Bildungsinitiative darin unterstützen, ein Risikomanagment zu betreiben und ein Datenschutzmanagementsystem nach Standard-Datenschutzmodell einzuführen.

• Die Aufsichtsbehörden MÜSSEN finanziell und personell in die Lage versetzt werden, tatsächlich verdachtsunabhängig zu prüfen. Geldbußen MÜSSEN aus Transparenzgründen veröffentlicht werden.

• Datenschutz und Datensicherheit MÜSSEN integraler Bestandteil der Curricula in unseren (Hoch-)schulen werden: Schon die Dreijährigen MÜSSEN im Kindergarten lernen, worauf sie (nicht) klicken dürfen. Abiturientinnen MÜSSEN die Gelegenheit erhalten, exemplarisch eine Datenschutzfolgenabschätzung zu erstellen. Die Hochschulen MÜSSEN Bausteine zum Risikomanagement für ihre natur- und geisteswissenschaftlichen Studiengänge entwickeln – etwa um angehende Ärztinnen und Wirtschaftswissenschaftlerinnen zu befähigen, ein angemessenes Sicherheitsniveau in der Telemedizin oder einem vollautomatisierten Produktionsunternehmen zu bieten.

• Die Wissenschaft MUSS ein Leistungsmerkmal für die Telefonie entwickeln, das die Verfügbarkeit der Telefoniefunktion, die Authentizität der Gesprächsteilnehmerinnen sowie Vertraulichkeit und Integrität des Gesprächs und seiner Inhalte sicherstellt.

• Wir MÜSSEN für das Verständnis werben, flächendeckend, systematisch, pro-aktiv in ein System vernetzter Sicherheit zu investieren. Dieses System MUSS über eine (in Zukunft quantensichere) Ende-zu-Ende-Verschlüsselung verfügen.

• Wir MÜSSEN ein "Staatsziel Ende zu Ende Verschlüsselung" ins Grundgesetz aufnehmen, um zu verhindern, dass die Datensicherheit permanentes Angriffsziel selbsternannter "Sicherheitspolitikerinnen" wird.

Diese Forderungen sollen ein Scheitern der Digitalisierung und somit das Ende der freiheitlichen Zivilgesellschaft verhindern.

Die Unterzeichner dieses Aufrufs:

Joachim Jakobs, freier Journalist

Alexander Demmer, Berater Digitale Transformation

Bodo Frommelt, Vorstand Deutsche Datenschutz Genossenschaft eG

Lieber Alexander, vielen Dank für Deine Mühe! @Alle: Wir möchten diesen Brief Anfang übernächster Woche -- vor der Bundestagswahl! [1] -- veröffentlichen. Wer unsere Sorgen teilt und die Schlußfolgerungen unterstützt, ist herzlich eingeladen, mitzuzeichnen. Dazu bitten wir, diesen Brief in eine Mail zu kopieren und mit dem Hinweis zu versehen: "Ich unterstütze die Forderungen dieses Briefs, möchte ihn auch unterschreiben und bin mit der Veröffentlichung meines Namens einverstanden." Diese Mail bitte bis kommenden Sonntag 23.00 Uhr versenden an: jj at pr-profi.com -- vielen Dank! Gruß Joachim [1] https://www.xing.com/communities/posts/cybersicherheitspolitik-im-bundestagswahlkampf-2021-1022577562
"Bei Naturkatastrophen - Wirbelstürmen, Waldbränden, Erdbeben, Überschwemmungen - sind Gemeinschaften am stärksten gefährdet. Die Menschen sind alarmiert und abgelenkt. Leider sehen Cyber-Kriminelle in diesem Chaos eine Chance. Sie nutzen die Verwirrung, um noch mehr Schaden anzurichten, indem sie mit Ransomware-Angriffen auf die physische Infrastruktur wie Stromnetze, Treibstoffpipelines und Wassersysteme zielen." [1] "In den letzten Jahren haben die politischen Entscheidungsträger Gesetze verabschiedet und behördenübergreifende Maßnahmen ergriffen, um Geiselnahmen direkt und umfassend zu bekämpfen. Ein gleichwertiger Fokus auf Ransomware muss an allen Fronten wirken: Stärkung der Fähigkeit des FBI, Lösegelder aufzuspüren und wiederzuerlangen; Bewältigung der Herausforderungen von Kryptowährungen und russischem Safe Harbor; und Sicherung der am stärksten gefährdeten Sektoren Gesundheit, Energie, Lebensmittel, Wasser, Transport und Notfall vor Angriffen. Wenn wir dies nicht tun, riskieren wir, die Zukunft als Geisel zu nehmen." [2] "Heute erklärte US-Präsident Joe Biden, dass die USA 30 Länder zusammenbringen werden, um gemeinsam gegen Ransomware-Banden vorzugehen, die hinter einer Flut von Angriffen auf Organisationen weltweit stecken. 'In diesem Monat werden die Vereinigten Staaten 30 Länder zusammenbringen, um unsere Zusammenarbeit bei der Bekämpfung der Cyberkriminalität zu beschleunigen, die Zusammenarbeit zwischen den Strafverfolgungsbehörden zu verbessern, die illegale Nutzung von Kryptowährungen einzudämmen und sich in diesen Fragen diplomatisch zu engagieren', sagte Präsident Biden heute. 'Ich setze mich für die Stärkung unserer Cybersicherheit ein, indem ich unsere kritischen Infrastrukturen gegen Cyberangriffe härte, Ransomware-Netzwerke unterbreche, daran arbeite, klare Spielregeln für alle Nationen im Cyberspace aufzustellen und zu fördern, und deutlich mache, dass wir diejenigen, die unsere Sicherheit bedrohen, zur Verantwortung ziehen werden." [3] > Wir fordern: Was heißt denn "Stärkung unserer kritischen Infrastruktur"? Solange Herr Biden das nicht präzisiert, wirkt die Suche nach den 30 Ländern mehr wie die Aufforderung ihn zum gruppendynamischen Pfeifen im Wald zu begleiten. Bild: Pixabay [4], Lizenz: Pixabay License [1] https://www.govtech.com/security/hackers-attack-when-communities-are-at-their-most-vulnerable [2] https://www.lawfareblog.com/ransomware-lessons-nation-held-hostage [3] https://www.bleepingcomputer.com/news/security/us-unites-30-countries-to-disrupt-global-ransomware-attacks/ [4] https://pixabay.com/vectors/whistle-blow-sport-referee-fun-575724/
> Die Digitalisierung betreibt die Spaltung zwischen Angreifern und Angegriffenen; die einen nutzen feindliche künstliche Intelligenz, um menschliche/technische Schwächen automatisiert auszunutzen, Eine Sprecherin der Bundesregierung scheint eine Vergeltungsrede gehalten zu haben -- tagesschau.de schreibt [1] "Der Bundesregierung liegen verlässliche Erkenntnisse vor, aufgrund derer die Ghostwriter-Aktivitäten Cyberakteuren des russischen Staates und konkret dem russischen Militärgeheimdienst GRU zugeordnet werden können", so die Sprecherin des Außenministeriums. Es sei ein "inakzeptables Vorgehen", das eine Gefahr für die Sicherheit der Bundesrepublik und für den demokratischen Willensbildungsprozess darstelle. Man fordere Moskau daher auf, diese Aktivitäten "mit sofortiger Wirkung einzustellen" Da könnte man den Eindruck gewinnen, -- daß lediglich die Russen angreifen -- daß lediglich Geheimdienste angreifen -- dass sich keine Kriminellen, Terroristen oder politische Aktivisten unter den Angreifern befinden -- dass die Angegriffenen alles in ihrer Macht Stehende getan haben, um Angriffe zu verhindern. > die anderen meinen bis heute, sie hätten ‚nichts zu verbergen‘ und klicken sprichwörtlich oder bildlich, sorg- und ahnungslos auf Alles, was ihnen vor die Maus kommt. Diesen Eindruck korrigiert [2] die Firma Anovis: "Software-Schwachstellen, veraltete Systeme, unachtsame Mitarbeiter – moderne Unternehmen sind einer ganzen Flut von Security-Risiken ausgesetzt. Erfolgreiche Cyberattacken führen häufig zu massiven Schäden, von folgenschweren Betriebsausfällen über Lösegeldforderungen bis hin zu groben Imageverlusten und rechtlichen Konsequenzen. Die meisten Unternehmen haben zwar bereits Schutzmaßnahmen ergriffen, häufig reichen diese aber nicht weit genug und umfassen nicht alle notwendigen Bereiche." > Wir fordern: Die Stiftung Wissenschaft und Politik ergänzt [3]: "Vor Kurzem hat das Bundeskabinett die Strategie zur Cybersicherheit 2021 verabschiedet; sie formuliert die Handlungsfelder und Ziele für die kommenden fünf Jahre. Der entscheidende Faktor für den Erfolg fehlt jedoch [....] Eine überzeugende Sicherheitsstrategie bedarf daher der engen Zusammenarbeit mit internationalen Expertinnen und Experten sowie der auf EU-Ebene über Europol in Abstimmung mit den Cybersecurity Research Center und der Agentur der Europäischen Union für Cybersicherheit (ENISA) vermittelten Kenntnisse." Und Christoph Volkmer von der Firma Tanium glaubt [4]: "Die Technologie ist - und wird auch in Zukunft - eine starke Kraft in unserer Gesellschaft sein. Aber viel zu lange haben wir die Cybersicherheit im Hintergrund laufen lassen und erwartet, dass sie schon irgendwie funktioniert. Diese Art von Gleichgültigkeit können wir uns nicht länger leisten. Cybersicherheit geht uns alle an, und es ist an der Zeit, sie zu dem gesamtgesellschaftlichen, öffentlichkeitswirksamen Thema zu machen, das sie zu sein verdient." Damit spricht er mir aus dem Herzen! Bild: Pixabay [5], Lizenz: Pixabay License [1] https://www.tagesschau.de/investigativ/ndr-wdr/cyberangriffe-geheimdienste-101.html [2] https://anovis.com/pressemitteilung-anovis-security-monitoring/ [3] https://www.swp-berlin.org/publikation/schwachstellen-der-deutschen-cybersicherheitsstrategie-2021 [4] https://www.it-daily.net/it-sicherheit/cloud-security/30434-warum-es-an-der-zeit-ist-dass-cybersicherheit-zum-mainstream-wird [5] https://pixabay.com/illustrations/illumination-imagination-creativity-5173521/
Golem.de titelt [1] "Koalitionsverhandlungen: Ampel plant 15 Milliarden Euro pro Jahr für Digitalisierung Zur Förderung des Glasfaser- und Mobilfunk-Ausbaus kommen massive Ausgaben für Schlüsseltechnologien durch die neue Regierung." In dem Text gehts um Vokabeln wie "Glasfaserausbau", "Mobilfunkausbau", "Mobilfunkförderung der Bahn", "Multi-Cloud-Strategie" und "Gründerinnen-Stipendium" Einen Hinweis darauf, dass die Ampelkoalitionäre auch fürs Risikomanagement was springen lassen wollen, konnte ich in dem Dokument nicht entnehmen. > Diese Forderungen sollen ein Scheitern der Digitalisierung und somit das Ende der freiheitlichen Zivilgesellschaft verhindern. Das jedoch wäre wichtig gewesen; noch immer gilt [2]: "Mehr Vernetzung, mehr Angriffsfläche" Wer sich dieser Erkenntnis verweigert, Risikomanagement und Sicherheit schleifen lässt, riskiert Chaos -- das mussten 2007 Estland, 2016 das Afrikanische Liberia und 2021 die Verantwortlichen "zahlreicher belgischer Behörden und staatlicher Institutionen wie Schulen, Forschungseinrichtungen oder auch Ministerien" erleben [3]. 2021 waren dann Anhalt Bitterfeld [4] und Witten [5] dran. Da die (künftigen) Breitbandverbindungen nicht nur die "guten" Daten derer in "Lichtgeschwindigkeit" übertragen [6], für die die nach DSGVO Verantwortlichen zahlen, sondern auch die "bösartigen", sollten die Wissenschaftlerinnen von Großunternehmen verstehen [7], dass es in ihrem eigenen Interesse liegt, die Kleinen in ihrem Risikomanagement zu unterstützen: "Ein einzelnes Unternehmen kann nur begrenzt etwas gegen eine ausreichend ausgestattete und entschlossene Partei wie einen Nationalstaat oder einige der Cyberkriminellen ausrichten', sagt er. 'Ich denke jedoch, dass es hilfreich wäre, das Risikomanagement stärker auf die Lieferkette oder Dritte auszurichten. Und damit meine ich nicht das Ausfüllen eines Fragebogens." Bild: Pixabay [8], Lizenz: Pixabay License [1] https://www.golem.de/news/koalitionsverhandlungen-ampel-plant-15-milliarden-euro-pro-jahr-fuer-digitalisierung-2111-161166.html [2] https://www.xing.com/communities/posts/die-digitalisierung-bringt-systematisch-risiken-mit-sich-sind-die-verantwortlichen-der-industrie-4-punkt-1021987183 [3] https://www.xing.com/communities/posts/ueberlastungsangriffe-koennen-meldepflichtig-sein-1016204454?comment=39335842 [4] https://www.xing.com/communities/posts/ueberlastungsangriffe-koennen-meldepflichtig-sein-1016204454?comment=39335842 [5] https://www.xing.com/communities/posts/schlaue-staedte-auf-dem-weg-zum-smart-city-lockdown-1020974887?comment=39897733 [6] https://www.xing.com/communities/posts/wir-koennen-uns-die-kosten-schlechter-software-nicht-mehr-leisten-1017023482?comment=39896572 [7] https://www.xing.com/communities/posts/wir-koennen-uns-die-kosten-schlechter-software-nicht-mehr-leisten-1017023482?comment=39896572 [8] https://pixabay.com/illustrations/checklist-list-check-mark-business-1919328/