Wir akzeptieren und fordern von unserem Staat die Kontrolle diverser Unternehmen und Dienstleister in unserem Land. So müssen einzelne Berufsgruppen ihre Qualifikation nachweisen, kritische Unternehmen und Einrichtungen müssen strikte Regeln einhalten und werden überprüft: Jeder Lebensmittelerzeuger, jeder Bauer, jeder Schlachthof, jeder Betreiber von Transport- und Unterhaltungsdienstleistungen (Schausteller), jedes Medienunternehmen wird reguliert und kontrolliert.
Ich bin kein Freund von Überregulierung, wenn es gewährleistet werden kann, dass der Markt etwaige Dienstleister straft, die unterdurchschnittliche Leistungen anbieten. Das ist aber in vielen o.g. Bereichen moralisch nicht vertretbar, stehen in letzter Konsequenz Menschenleben dahinter und niemand will ernsthaft Achterbahnen ohne TÜV-Prüfung sehen…
Doch auch weniger wichtige Dinge werden reguliert. Dinge, die per Gesetz oder Verordnung reguliert werden, bei deren Verstoß nicht unmittelbar Menschenleben in Gefahr stehen. Und in letzter Instanz wird jeder Konzern durch das Kartellamt kontrolliert.
Nun aber zum eigentlichen Thema:
Wir haben uns damit abgefunden, dass der Staat jeden Internet-Service-Provider ab einer gewissen Größe dazu zwingt, eine Abhörschnittstelle bereitzustellen und per Gesetz nicht über die darüber vollzogenen Abhörmaßnahmen zu regeln (TKüV).
Warum sorgt der Staat dann nicht auch für eine Mindestsicherheit bei ITK-Dienstleistern?
So haben diverse deutsche Internet-Provider massive Sicherheitsmängel und bieten noch immer keine 2-Faktor-Authentifzierung an. Das Ausspähen und Mitschneiden von Passwörtern, Kundendaten und ggf. Kunden-Kunden-Daten — all das ist möglich.
Es kann vertuscht werden, weil es keine Pflicht zur Information der Öffentlichkeit gibt. Es gibt keine Standards, es kann gepfuscht werden. Lassen wir den Bereich staatliche Spionage mal aussen vor, so stellt dies eine extreme Verwundbarkeit der deutschen Wirtschaft ggü. insbesondere Asiatischen Angreifern dar. Ob staatliche oder private Wirtschaftsspionage, hier ist es super einfach an Daten zu gelangen und die Provider halten es bis heute nicht für notwendig, ordentliche Sicherungsmaßnahmen einzuführen.
Ich fordere daher folgendes:
1. Jeder Anbieter von ITK-Diensten mit mehr als X Nutzern muss öffentlich Sicherheitsvorfälle bekannt machen. Es sind sämtliche betroffenen Kunden und Nutzer zu informieren. Dies hat über die eigene Webseite und über ein zu schaffendes Meldeportal der Bundesnetzagentur zu erfolgen.
2. Jeder Anbieter… muss dafür sorgen, dass bis Ende 2015 kein Dienst mehr alleinig mit Benutzernamen/Passwort geschützt wird. D.h. eine 2-Faktor-Authentifizierung einzuführen, gerne mit App-spezifischen-Passwörtern, die aber keine Übernahme des ganzen Zugangs erlauben (vergleiche Google).
3. Sicherheitslücken werden der schwere nach in 3 Kategorien eingeteilt, je nach schwere wird ein Bußgeld von der Bundesnetzagentur festgesetzt.
4. Kommt es innerhalb einer Frist von 2 Jahren zu mehr als 3 kritischen Sicherheitslücken, wird dem Provider untersagt, Neukunden anzunehmen, bis sämtliche Sicherheitslücken analysiert, geschlossen und für Abhilfe für die Zukunft gesorgt ist. Dies muss binnen 4 Wochen nach Bekanntwerden erfolgen, andernfalls wird die Bundesnetzagentur die technische Führung des Unternehmens übernehmen und ggf. den Geschäftsbereich abwickeln. Etwaige Schadenersatzforderungen bleiben natürlich bestehen.