Bundesamt für Sicherheit in der Informationstechnik

Impulse für eine smarte und sichere digitale Gesellschaft

Die Schaffung eines smarten und sicheren digitalen Raums, in dem Informationssicherheit gewährleistet wird, ist ein gesamtgesellschaftliches Generationenprojekt. Die Rahmenbedingungen werden nicht nur durch technische, sondern auch durch politische, ökonomische und kulturelle Entwicklungen stark beeinflusst. Im Rahmen des Projekts "Digitale Gesellschaft: smart & sicher" trafen bereits im Februar 2017 Vertreterinnen und Vertreter aus Zivilgesellschaft, Kultur, Wissenschaft, Wirtschaft und Verwaltung zusammen, um sich mit Fragen der sicheren Informationsgesellschaft auseinanderzusetzen.

Am 28. und 29. Juni 2017 kamen diese nun in Berlin erneut zusammen, um Impulse zu entwickeln und so zu einer breiten Debatte und letztendlich zu einer sicheren Informationsgesellschaft beizutragen. Mit folgenden Impulsen richten sich die Vertreterinnen und Vertreter an die Öffentlichkeit:

Der Staat muss seinem Schutzauftrag auch in der digitalen Welt nachkommen und daher Verantwortung an die verteilen, die die Möglichkeit haben, etwas zu ändern. Bei der Ausgestaltung des Schutzauftrages müssen alle gesellschaftlichen Gruppen mitwirken. Alle relevanten Akteure übernehmen ihren Anteil, gemeinsam ein Mindestniveau von IT-Sicherheit zu gewährleisten.

Der Staat soll IT-Sicherheit stärker gestalten, insbesondere im Interesse der Bürgerinnen und Bürger sowie zur Stärkung demokratischer Prozesse und zur Wahrung der Grundrechte. Dazu gehören Gesetze und Regeln, die gelebt und umgesetzt werden. Gleichzeitig sind "weiche" Maßnahmen auf den Ebenen Bildung und Forschung essentiell.

Der Staat muss den regulativen und rechtlichen Rahmen fortentwickeln und durchsetzen. Hersteller und Lieferanten von Produkten, in denen IT zur Anwendung kommt, müssen angemessen in die Verantwortung genommen werden. Aktuell werden Nutzerinnen und Nutzer über Gebühr in die Verantwortung genommen. Ohne die Nutzerinnen und Nutzer komplett aus ihrer Verantwortung zu nehmen, soll ihre Mitwirkung auf ein zumutbares Maß beschränkt werden.

Eine intensivere Einbeziehung der Zivilgesellschaft und die Förderung von demokratischen Kulturen sollte vorangetrieben werden. Hierfür bedarf es neuer experimenteller Spielräume zur Erprobung und Entwicklung von IT-Sicherheitslösungen.Vorhandene Strukturen, Prozesse und Ergebnisse sollten sichtbar und wirksam sein.

Ziel ist es, sowohl die individuelle als auch die Sicherheit der IT-Infrastruktur insgesamt zu erhöhen. Wir brauchen Anreize, dass Anbieter, Nutzerinnen und Nutzer sowie der Staat mehr in IT-Sicherheit investieren. Eine wichtige steuernde Komponente ist dabei Haftung. Wer jedoch wofür haftet, muss differenziert betrachtet werden - nach Produktkategorien und Rollen (Nutzerinnen und Nutzer, Hersteller, Betreiber). Es bedarf normativer Regeln und Standards, die sinnvolle
Anforderungen für IT-Sicherheit widerspiegeln. Dabei sind Haftungsfälle wie Schadensersatz oder Bußgelder kein Selbstzweck, sondern ein Mittel um eine höhere Sicherheit zu gewährleisten. Es muss gewährleistet sein, dass Haftung auch durchsetzbar ist.

  1. Der Staat sollte selbst eine Vorbildfunktion für IT-Sicherheit einnehmen und hat die Aufgabe, sich an den Schnittstellen der unterschiedlichen gesellschaftlichen Felder koordinierend (nicht dominierend!) einzubringen.
  2. Deutschland trägt auch eine Verantwortung in der Staatengemeinschaft. Es sollen deshalb erfolgversprechende Initiativen auf EU-und internationaler Ebene initiiert und vorangetrieben werden.
  3. Wir fordern eine digitale Grundbildung für alle, die auch die nichttechnischen, gesellschaftlichen Facetten einschließt. Innerhalb der nächsten fünf Jahre muss das Bildungssystem darauf ausgerichtet sein. Bis dahin muss die Schulung von Multiplikatoren in allen gesellschaftlichen Gruppen abgeschlossen sein.
  4. Wir fordern für alle IT-Produkte rechtlich verpflichtende Standards für security und privacy by design und by default. Das heißt, dass Geräte in einem sicheren Zustand ausgeliefert und voreingestellt sein müssen und Anbieter zum Schutz der Privatsphäre einen Wechsel hin zu privacy by default vollziehen.
  5. Wir fordern vom Staat eine Regulierung von Kommunikationsplattformen (Beispiel Facebook) hin zu offenen Standards, um den einfachen Anbieterwechsel (Datenportabilität) und damit besseren Wettbewerb zu ermöglichen.
  6. Wir fordern Kritische Infrastrukturen so auszugestalten, dass sie bei einem Ausfall digitaler Technologie funktionsfähig bleiben.
  7. Wir fordern Prozesse, die Mindestanforderungen für Sicherheit in IT-Systeme erarbeiten. Diese Mindestanforderungen dienen als Grundlage für Kennzeichnung und Zertifizierung. Wir stellen fest, dass bestehende Standardisierungsprozesse von Unternehmen oder Staaten hierfür nicht ausreichen: Der Prozess zur Entwicklung von Mindestanforderungen muss offen, transparent und unabhängig finanziert sein, sowie alle relevanten Akteure fair und gleichmäßig einbinden und deren Teilnahme finanziell ermöglichen.
  8. Wir fordern zunächst für besonders schützenswerte Bereiche eine verpflichtende Zertifizierung nach diesen Mindestanforderungen für IT-Systeme.
  9. Für Bereiche, in denen nicht zertifiziert werden muss, fordern wir eine Kennzeichnungspflicht für IT-Systeme. Hierzu ist ein einfaches und benutzerfreundliches Kennzeichnungssystem zu entwickeln, das abbildet, inwieweit Sicherheitsanforderungen erfüllt bzw. nicht erfüllt sind, zum Beispiel in Form einer Mindestpflegedauer (Haltbarkeitsdatum) oder eines Ampelsystems.
  10. Wir fordern eine angemessene Produkthaftung, um Hersteller zur Umsetzung dieser Anforderungen zu bewegen.

    • Zur Durchsetzung der Produkthaftung fordern wir eine ausreichende organisatorische und personelle Ausstattung entsprechender öffentlicher Stellen.
    • Wichtig ist unter anderem, dass mit Sicherheitsupdates, die im Rahmen der Produkthaftung verpflichtend sind, keine qualitativen Änderungen einhergehen, die Nutzerinnen und Nutzer möglicherweise ablehnen (beispielsweise ungewollte Datenweitergabe).
  11. Wir fordern vom Staat, das Thema Haftung und IT-Sicherheit kontinuierlich weiter zu verfolgen, um auch bisher noch nicht bedachte Möglichkeiten zu identifizieren und umzusetzen.
  12. Es braucht eine einheitliche und einfache Bedienbarkeit der Sicherheitstechnologien.
  13. Im Hinblick auf eine langfristige Verbesserung der Sicherheit in der digitalen Welt soll der Staat kontinuierlich Forschung unterstützen.
  14. Wir begrüßen, dass sich die Wissenschaft mit den technischen und gesellschaftlichen Folgen von künstlicher Intelligenz und Algorithmen beschäftigt.

Das Impulspapier wurde im Rahmen der Denkwerkstatt mit Vertreterinnen und Vertretern der folgenden Organisationen erstellt:

  • Amnesty International – Sektion der Bundesrepublik Deutschland e.V.
  • Bundesamt für Sicherheit in der Informationstechnik (BSI)
  • Bundesverband Informationswirtschaft,Telekommunikation und neue Medien e.V. (Bitkom)
  • Deutsches Institut für Vertrauen und Sicherheit im Internet (DIVSI)
  • FFT Düsseldorf, Forum Freies Theater e.V.
  • Forum InformatikerInnen für Frieden und gesellschaftliche Verantwortung e.V. (FifF)
  • Freiburger Institut für angewandte Sozialwissenschaft e.V. (FIFAS)
  • Initiative gegen Totalüberwachung e.V.
  • Landeskriminalamt Nordrhein-Westfalen (LKA NRW)
  • Philipp Kalweit IT-Security Consulting
  • Praemandatum GmbH
  • Stiftung Neue Verantwortung e.V. (SNV)
  • Stiftung Wissenschaft und Politik (SWP)
  • Verbraucherzentrale Nordrhein-Westfalen (VZ-NRW) e.V.