anke domscheit-berg

anke domscheit-berg

12-07-2022

08:40

Bin nach der PK von Min. Faeser zur #Cybersicherheitsagenda des @BMI_Bund entsetzt. Faktisch sagte sie: „Hackbacks machen wir nicht, wir wollen nur Hackbacks machen“, bzw. „wir wollen Befugnisse schaffen, angreifende Server abzuschalten, das ist kein aggressiver Gegenschlag“

Im KoaV der Ampel steht klipp u klar, Hackbacks soll es nicht geben, jetzt wurstelt sich die Ministerin semantisch drum herum u behauptet trumpesk, dass sie ja gar keine Hackbacks will, um direkt danach einen klassischen #Hackback Fall zu beschreiben (fremde Server abschalten) /2

Wie genau soll 1 fremder Server abgeschaltet werden, ohne ü. ihn Kontrolle zu erhalten? Und wie will man Kontrolle erhalten, ohne Sicherheitslücken auszunutzen, also SiLüs zu kennen, aber NICHT ZU SCHLIESSEN, obwohl das die beste Verteidigung der IT-Sicherheit ist?! #Hackback /3

Ein Hauptkritikpunkt gegen #Hackback u auch 1 Grund, warum die Ablehnung von HB im KoaV steht, ist die Kombo aus mangelnde Attribution (man weiß fast nie, wer/wo der Angreifer ist, da sie oft fremde Infrastruktur nutzen, z.B. 1 Server in einem Krankenhaus…/4

mit dem Umstand, dass man einen solchen #Hackback (egal ob man ihn anders nennt, z.b. aktive Cyberabwehr) nicht ohne das Vorhalten von Sicherheitslücken durchführen kann. Dass die BuReg nun das Grundgesetz ändern will, um das zu ermöglichen, gefährdet aktiv die IT-Sicherheit! /5

Der #Hackback in der #Cybersicherheitsagenda scheint leider wieder ein plakatives Beispiel von digitaler Inkompetenz zu sein, wo mangels Kenntnis der Tragweite u Konsequenzen völlig irre Maßnahmen beschlossen werden, die kontraproduktiv u schlicht kreuzgefährlich sind. /6

Im übrigen wurde die #ITSicherheit im Bund seit vielen Jahren vernachlässigt, schlimm genug, dass es einen Krieg gg die Ukraine braucht, um aufzuwachen. Die Netze des Bundes sind reiner Schrott. Nur in 3 Ministerien gibts einen CISO (warum schafft das BMI jetzt erst einen?)/7

Sicherheitsforschung wird kriminalisiert, der Hackerparagraf behindert sie aktiv. Leider hat Ministerin Faeser in der PK kein Wort dazu gesagt, ob dieser Verhinderungsparagraf endlich wegfällt. Es wäre höchste Zeit. Immerhin versprach sie mehr Mittel für Forschung./8

Auf die Frage nach Fachkräften nur zu antworten mit „Einwanderungserleichterung“ ist LOL. Es liegt nicht am Fachkräftemangel, dass @BMG_Bund seit ü 1J fast 80 % IT-Sicherheitsstellen nicht besetzt hat u @BMI_Bund (!) 58 u @bmdv (!) 20 IT-Sicherheitsstellen abgebaut haben! /9

@BMG_Bund @BMI_Bund @bmdv Es liegt auch nicht am Fachkräftemangel, sondern an Prioritäten u vielleicht besseren Konditionen, wenn das @BMVg_Bundeswehr inzwischen 41% aller IT-Sicherheitsstellen des Bundes auf sich vereint (2020 erst 24%!). Es hat 3 Mal mehr Stellen, als 13 Bundesministerien zusammen./10

Die Screenshots sind von meiner Website u eine Auswertung einer schriftlichen Frage, die ich Anfang 2022 (wie auch schon die beiden Jahre davor) an die BuReg stellte: Die Fakten zeigen: auch vor dem Ukrainekrieg gabs ein massives Sicherheitsproblem! /11

Ich beziehe mich auf die Antwort der BuReg zur Anzahl u Besetzung von IT-Sicherheitsstellen im Bund (pdf: als Pic die Zahlen der Ministerien: BMG zB hat 9 Stellen, aber nur 2,5 davon besetzt (wie 2021 schon), das BMVg hat 1000 besetzte Stellen./12

Die #Cybersicherheitsarchitektur in DE ist 1 Governance Alptraum. Ihr könnt sie Euch auf diesem #Wimmelbild selbst anschauen - o. in A0 ausdrucken u das Büro tapezieren: (das pic ist nur der Bundesteil). Jetzt kommt noch 1 Kompetenzzentrum dazu. /13

In der PK zur #Cybersicherheitsagenda sprach Min. Faeser nicht davon, dass es eine Aufklärungskampagne für mehr Bewußtsein in der Bevölkerung geben soll, o mehr Geld für Entwicklung von OpenSource IT-Sicherheitsprodukten. Nix zu Produkthaftpflicht o Mindestupdatepflicht./14

#Produkthaftpflicht für IT-Produkte würde künftig auch den Hersteller eines smarten Toasters in die Haftung nehmen, wenn wg Sicherheitslücken ein Toaster als Teil eines Botnetzes Schaden anrichtet. Mit dieser Haftpflicht würden viele Produkte mit IT-Komponenten sicherer werden/15

#Mindestupdatepflicht für Software: zB 5 J für Smartphones, würde sicherstellen, dass auch billigere Handies Sicherheitsupdates erhalten müssen u dass Verbraucherschutz u IT-Sicherheit weniger vom Geldbeutel abhängen. Faeser sprach davon leider nicht. #Cybersicherheitsagenda /16

Und bei den Eindrücken nach der PK zur #Cybersicherheitsagenda weiß ich nicht mal mehr, ob ich mich darüber freuen soll, dass Min. Faeser den so wichtigen Kampf gg #Cybergrooming u Darstellungen sex. Gewalt gg Kinder priorisieren will, denn viell. heißt das #chatkontrolle. /17

Der Fairness halber will ich auch erwähnen, dass Min. Faeser ankündigte, eine Strategie zur Bekämpfung von #Cybergrooming u Co aufzulegen, die auch Maßnahmen zur Prävention u Opferhilfe enthalten soll. Zwar selbstverständlich, aber die neue EU-Verordnung hat das bisher nicht./18

Hier mein heutiges Interview zur #Cybersicherheitsagenda mit dem ZDF @morgenmagazin, das ich noch vor der Pressekonferenz von Ministerin Faeser gab: #ITSicherheit

@threadreaderapp please unroll!



Follow us on Twitter

to be informed of the latest developments and updates!


You can easily use to @tivitikothread bot for create more readable thread!
Donate 💲

You can keep this app free of charge by supporting 😊

for server charges...