"WannaCry"-Cyberangriffe Grüne attackieren IT-Sicherheitsstrategie der Bundesregierung

Nach der "WannaCry"-Angriffswelle gerät die deutsche IT-Sicherheitsstrategie in die Kritik. Die Grünen fordern besseren Schutz für Bürger und Unternehmen - und ein Verbot für deutsche Dienste, Sicherheitslücken geheim zu halten.

Thomas de Maizière
DPA

Thomas de Maizière


Nach der Angriffswelle mit Erpressungssoftware kritisieren die Grünen die IT-Sicherheitsstrategie der Bundesregierung scharf. Sie werfen der Koalition vor, den Schutz von Bürgern und Unternehmen zu vernachlässigen, dabei seien diese "bislang am häufigsten tatsächlich Opfer von schlecht geschützten IT-Systemen, aber auch von gezielten Angriffen", heißt es in einem Positionspapier der Bundestagsfraktion, das dem SPIEGEL vorliegt.

Besonders harte Kritik üben die Grünen darin an Innenminister Thomas de Maizière (CDU). "Die Maßnahmen des Bundesinnenministeriums beschränkten sich allenfalls auf die Sicherheit der Bundesverwaltung." Es existiere "keine übergreifende Strategie, etwa für staatlich unterstützte Beratungsangebote oder zur Stärkung der Medienkompetenz." Das Thema IT-Sicherheit sei bei de Maizière falsch aufgehoben.

"Die Bundesregierung scheut die klare Absage, Sicherheitslücken anzukaufen und offen zu halten. So drohen indirekt sogar Cyber-Kriminelle staatlich gefördert zu werden", sagte Fraktionsvize Konstantin von Notz dem SPIEGEL. De Maizière hat im vergangenen Herbst eine Cyber-Sicherheitsstrategie vorgestellt und will noch vor der Bundestagswahl ein neues IT-Sicherheitsgesetz vorlegen.

Die Grünen wollen dem Staat das Ausnutzen von Sicherheitslücken, für die es noch keinen Schutz gibt (sogenannte Zero-Day Exploits) verbieten und staatliche Stellen wie Geheimdienste verpflichten, "Lücken nach Bekanntwerden umgehend zu melden und/oder selbst zu schließen."

Bei der jüngsten Attacke vom Wochenende handelte es sich um eine Erpressungssoftware, die eine Sicherheitslücke in Microsofts Windows-Betriebssystem ausnutzt. Der US-Geheimdienst NSA hatte sie für eigene Spähangriffe entdeckt und Microsoft nicht gemeldet. Im April wurde sie von Hackern ins Netz gestellt.

Auch der Internet-Verband eco fordert einen Verzicht auf das Ausnutzen solcher Sicherheitslücken, für die es noch keinen Schutz gibt. "Solange Geheimdienste und Sicherheitsbehörden wie NSA und BND vorhandene Schwachstellen nicht den Herstellern melden, sondern für das Ausspähen der Bürger nutzen, passieren Cyberattacken, die leicht verhindert werden können." sagte Norbert Pohlmann, eco-Vorstand für IT-Sicherheit.

Die Grünen fordern, dass die Meldepflichten bei Cyber-Angriffen auf "kritische Versorgungsleistungen wie im Gesundheitsbereich oder das politische System ausgeweitet werden". Bei Verstößen gegen Meldepflichten sollen hohe Strafzahlungen fällig werden.

Außerdem wollen sie die Haftung bei Sicherheitslücken in der gesamten Handelskette verschärfen. Auch Hersteller und Entwickler von Smartphones, Apps und vernetzten Haushaltsgeräten sollen verpflichtet werden, "ab Verkauf für einen angemessenen Zeitraum regelmäßig Sicherheitsupdates vorzuhalten".

Derzeit diskutierte offensive Vergeltungsaktionen im Netz durch die Bundeswehr lehnen die Grünen ab. "Wenn nun auch noch die Bundeswehr Angriffe in fremde Netze verübt und die militärische Logik ins Netz getragen wird, schafft das mehr Unsicherheit im digitalen Raum", sagte Agnieszka Brugger, Sprecherin für Sicherheitspolitik.

Sie fordert unabhängige Forschungsstellen, um Angriffen nachzuspüren. "Gerade weil die Frage der Zurechenbarkeit von Angriffen so schwierig und manipulierbar ist, müssen unabhängige Stellen geschaffen werden, deren Expertise bei Erforschung, Bewertung und Umgang mit IT-Angriffen herangezogen werden kann." Wer hinter den "WannaCry"-Angriffen steckt, ist bislang unbekannt.

fab/mba



insgesamt 34 Beiträge
Alle Kommentare öffnen
Seite 1
tailspin 16.05.2017
1. Keine Vorstellung, keine Vorausschau, immer hintendran wie Dobrindt
Warum muss eigentlich immer erst etwas passieren, bevor diese Schnapsnasen aufwachen. Die Gruenen sind doch regierungsnah in BW und NRW (RIP). Die koennten sich doch mal rechtzeitig informieren. Oder sind die ideologischen Barrieren zu hoch?
Deep_Thought_42 16.05.2017
2. Öfter mal was Neues !
Nach der deutlichen Wahlschlappe in NRW zeigen die Grünen nun ihre "Expertise" im IT-Bereich. Ob das nun was wird ? Ich habe die realitätsferne Kugel Eis des Herrn Trittin jedenfalls noch nicht vergessen ...
quark2@mailinator.com 16.05.2017
3.
Die Hauptkritik sollte sich gegen Microsoft richten, die für WinXP keinen Patch herausgegeben haben, obwohl dieses System eines der am weitesten verbreiteten auf der Welt ist und sie Unsummen von den Käufern eingesammelt haben. Wenn man in der Vergangenheit Mist gemacht und Leuten für Geld unsichere Wahre verkauft hat, dann kann man nicht einfach definieren, daß man ab Tag X keinen Bock mehr auf Support hat. Es wäre mMn. ihre Pflicht gewesen, bei so einem Bug den Fix herauszugeben. Denn sie hatten ihn ja sofort zu Hand, nachdem der Schaden da war. Ich hoffe, es gibt ne Sammelklage in den USA !
herbert 16.05.2017
4. Die Grünen haben von der Informatic NULL Ahnung
Sie reissen wie immer die Klappe groß auf und meinen dem Bürger etwas wichtiges an Dummheiten und Inkompetenz erzählen zu müssen. Welcher Grüner kann den mit einem Computer richtig umgehen? Jeder der einen Computer hat muss wissen, dass er eine Sicherheitssoftware und den neusten Stand auf seinem Computer haben muss. Viele, auch Behörden und Firmen haben noch eine alte Windowsversion auf dem Rechner, die von Microsoft nicht mehr mit einem Sicherheitsupdate bedient wird. Alles ist eine Frage der Kosten und hier spart man am falschen Ende. Nach NRW ist klar, die Grünen braucht niemand, denn sie haben das Land mit Inkompetenz platt gemacht.
Deansel 16.05.2017
5. Das ist doch Naiv
Bei den Grünen scheint nach wie vor die Meinung vorzuherrschen das man heutzutage mal "einfach so" über Schwachstellen stolpert. Das ist aber nicht mehr der Fall. Die Identifikation (und vor allem die erfolgreiche Ausnutzung) von Schwachstellen in moderner Software erfordert viel Zeit/Wissen und damit Geld. Die Aufgabe eines Geheimdienstes ist es nicht Sofware-Qualitätsprüfer zu sein. Wenn ein Geheimdienst die ihm bekannten Schwachstellen melden muss, dann macht eine entsprechende Forschung auf diesem Gebiet für ihn nur wenig Sinn, da er die dabei entdeckten Schwachstellen ja umgehend melden muss, dass Zeitfenster in der er die Schwachstelle verwenden könnte aber sehr klein ist. Folglich wird er dafür kein Geld mehr aufwenden, sondern es lieber für "klassische" Methoden wie Bestechung/Erpressung verwenden. Die Schwachstelle selbst ist aber immer noch da. Selbst wenn ein Geheimdienst eine von ihm identifizierte Schwachstelle melden würde: Moderne Software ist so komplex, dass es vermutlich mehrere weitere Schwachstellen gibt die jemand der entsprechend motiviert ist ausnutzen kann. Der Gedanke das Systeme sicher seien, nur weil ein Geheimdienst eine Schwachstelle meldet ist zwar schön, aber nicht realistisch. Zudem hat WannaCry ja auch keine unbekannte Schwachstelle ausgenutzt. Ein entsprechend motivierter und technisch versierter Angreifer hätte die Schwachstelle durch eine Analyse des von Microsoft bereitgestellten Sicherheitsupdates auch die entsprechende Schwachstelle identifizieren und ein entsprechendes Programm zur Ausnutzung schreiben können. Der/die Autoren von WannaCry scheint diese technische Kompetenzen nicht zu besitzen, das bedeutet aber nicht das es nicht gehen würde.
Alle Kommentare öffnen
Seite 1

© SPIEGEL ONLINE 2017
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH


TOP
Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.