IT-Security by Staat – Rettung oder Ruin?

In den letzten Monaten haben sich einige staatliche Stellen dafür stark gemacht, die Informationssicherheit zu erhöhen – per Dekret. Das ist zum einen die Initiative, ein Mindestlevel an Sicherheit bei SoHo-Routern verpflichtend zu machen. Ein Grundsatzdokument des BSI zeigt, welche Anforderungen ein Router nach den Vorstellungen des BSI grundsätzlich erfüllen sollte. Eine zweite Forderung stellte BKA-Präsident Holger Münch auf der aktuellen Herbsttagung 2018 auf. Im Nachgang des Telekom-Botnetz-Hacks im November 2016 wollten sich einige Bundesländer mangels gesetzlicher Grundlagen nicht an der Reinigung genutzter deutscher Botnet-Rechner beteiligen. Münch fordert daher eine bundesweite Befugnis, die Reinigung zur Gefahrenabwehr durchführen zu können. Wenn eine solche "länderübergreifende Gefahr" bestehe und die Infrastruktur bedrohe, müssten seine Leute ähnlich wie bei der Terrorabwehr handeln können.

Mehr Sicherheit im digitalen Bereich ist generell eine gute Idee, das steht fest. Und ein staatlicher Eingriff war manchmal die einzige wirksame Maßnahme, um zum Ziel zu kommen, die Gurtpflicht dürfte das beste Beispiel dafür sein. Schwierig wird es immer dann, wenn die Ziele und Motivationen nicht völlig klar erkennbar sind. So werfen Chaos Computer Club und Verbraucherverbände dem BSI vor, bei der Entwicklung des Grundlagenpapiers nicht ausreichend auf die Bedürfnisse der Nutzer eingegangen zu sein. Fehlen würde beispielsweise ein klares und verpflichtendes Bekenntnis des Herstellers, wie lange er für das betreffende Produkt Sicherheitsupdates anbieten würde. Das ist eine durchaus valide Forderung, Mindestlevel an Sicherheit werden schnell zu Makulatur, wenn nachträglich erkannte Sicherheitslücken nicht mehr geschlossen werden. Ebenso verständlich ist, dass sich die Hersteller vor einer solchen Verpflichtung drücken wollen. Ist der Zeitraum gering, schreckt das die potenziellen Käufer ab, ist er zu lang, wird die Pflege der eingesetzten Firm- und Software sehr teuer. Das BSI beteuert zwar, in der Konsultation mit allen beteiligten Parteien gesprochen und viel Zeit in das Grundlagenpapier gesteckt zu haben, doch eine solche, nicht neue Forderung, ist vermutlich der Hersteller-Lobby zum Opfer gefallen.

Schade ist, dass in dem Gegenwind des CCC die tatsächlich sehr guten Ansätze des BSI zur Router-Sicherheit untergehen. So würden die angebotenen Default LAN/WLAN-Dienste auf ein Minimum (HTTP/S, DHCP und ICMP) beschränkt, Gäste-WLANs hätten keinen Zugriff auf die Konfigurationsoberfläche, WPA2 mit starken Passwörtern wäre ebenso verpflichtend wie eine aktive Firewall und per Default abgeschaltete Remote-Konfiguration. Alles sinnvolle Ideen, die viele (wenn auch nicht alle) Hacks in den letzten Jahren verhindert hätten. Gefordert wird auch ein sicherer Factory-Reset, der alle persönlichen Daten aus dem Router löscht und den sicheren Konfigurationszustand herstellt.

Während das BSI auf dem richtigen Weg ist und nur zu kurz greift, ist der Wunsch des BKA-Präsidenten problematischer. Ja, es wäre wünschenswert von Bot-befallene Rechner zu reinigen und so weiterer Infektion vorzubeugen und die rechtswidrigen Handlungen zu stoppen. Solche Aktionen wurden in der Vergangenheit vereinzelt von Sicherheitsfirmen durchgeführt, jedes Mal begleitet von kontroversen Diskussionen. Einer staatlichen Behörde einen Freifahrtschein für diese Art des Eingriffs auszustellen, klingt nach einem sehr großen Missbrauchsrisiko. Das würde schon bei der klaren Definition beginnen, was eine entfernenswerte Malware ist und was nicht. Wie würde sichergestellt, dass durch die Entfernung keine Programme und Daten beschädigt werden würden? Was wäre bei einer absichtlichen oder unabsichtlichen Fehlkonfiguration der Entfernungssoftware? Auch wenn das Ziel die Sicherheit fördern will, sind hier die möglichen Nebenwirkungen gefährlich hoch.

Staatliche Initiativen für mehr Informationssicherheit haben eine hohe Durchsetzungskraft. An einem Gesetz oder einer verpflichtenden Richtlinie kommt kein seriöser Hersteller vorbei. Doch gerade deswegen ist es so wichtig, mit Augenmaß vorzugehen. Im aktuell völlig unregulierten Router Markt aufzuräumen ist ein guter Ansatz, die Hersteller sollten allerdings auch mit einer Update-Verpflichtung einbezogen werden. Dagegen wirkt es überdimensioniert, allen Bundesländern eine Art Generallizenz für den Rechnerzugriff zu geben, denn ohne eine Form des Endgerätezugriffs ist die Reinigung von Schadsoftware nicht möglich. Informationssicherheit bleibt eine Gratwanderung, wenn sie nicht zum Überwachungsstaat führen soll.