3. Forum gegen Überwachung, 31. August 2014
Technologie
Wir haben uns auf folgende pressetaugliche Zusammenfassung geeinigt:
- „Wir wollen Telekommunikations- und Telemedienanbieter ab Zeitpunkt X gesetzlich verpflichten, abhörsichere und anonyme Kommunikation zu garantieren.“
Wir treffen uns morgen (Montag) um 17 Uhr im Büro von Simon Kowalewski in der Crellestr. 33; Schöneberg um weitergehende Details eines potentiellen Gesetzesvorschlages zu besprechen, anschließend bringen wir die Debatte ins Netz (wastun-Listen etc).
————– Zusatzinfos vom 01.09.2014 ——————
Vorbemerkung: Es gibt mit Sicherheit viele Wege, ein 'Verschlüsselungsgesetz' zu implementieren. Das folgende ist nur ein Beispiel und steht hier in der Hoffnung, dass es für die Erarbeitung hilfreich ist. Wenn Ihr einen anderen Weg gehen wollt ist das auch OK.
Sichere Kommunikation - gesetzlich verpflichtend im EnWG
Die Art der Kommunikation ist für Smart Metering im EnWG gesetzlich geregelt - und zwar im §21e.
Hier der Link zu dem Gesetzestext: http://www.gesetze-im-internet.de/bundesrecht/enwg_2005/gesamt.pdf Die Passage ist auf Seite 56.
Zur Erläuterung des §21e:
In Absatz (2) wird festgelegt:
- Es muss ein Schutzprofil erstellt werden, dass mögliche Bedrohungen analysiert und Strategien gegen diese Bedrohungen vorschreibt.
- Die Geräte müssen interoperabel sein, d.h. niemand darf eine proprietäre Technik verbauen. So werden Sicherheitsinseln vermieden, die die Menschen auf einen Technologieanbieter festnageln.
Absatz (3) führt den Stand der Technik ein, um
- eine Mindestanforderung definieren zu können
- um im Falle von technischer Entwicklung die Dynamik des Fortschritts nicht zu behindern
Absatz (4) legt fest, dass es ein Zertifizierungsverfahren gibt, um die oben definierten Standards (oder die Standards, auf die von oben verwiesen wird) im Markt umzusetzen
Absatz (5) legt fest, ab wann nur noch zertifizierte Geräte / Dienstleistungen verfügbar sein dürfen - mit evtl. Ausnahmen
Damit haben wir nun einen gesetzlichen Anker geschaffen, aber nun fehlt noch ein verbindlicher 'Stand der Technik'. Dazu verweist der §21e auf den §21i 'Rechtsverordnungen'. Dort kann man dann auf Seite 58 lesen:
„(1) Die Bundesregierung wird ermächtigt, durch Rechtsverordnung mit Zustimmung des Bundesrates“
heisst also, die Bundesregierung erteilt sich selber das Recht, einen Mindeststandard zu setzen.
Und wie wird dieser nun festgelegt? Da genügt ein Blick in Absatz (1) Punkt 12. Dort wird auf ein Schutzprofil und eine Technische Richtline verwiesen:
„12. im Sinne des § 21e Schutzprofile und Technische Richtlinien für Messsysteme im Sinne von § 21d Absatz 1 sowie für einzelne Komponenten und Verfahren zur Gewährleistung von Datenschutz, Datensicherheit und Anforderungen zur Gewährleistung der Interoperabilität von Messsystemen und ihrer Teile sowie Anforderungen für die sichere Einbindung nach § 21c Absatz 5 Satz 1 vorzugeben und die verfahrensmäßige Durchführung in Zertifizierungsverfahren zu regeln;“
Der Zwang zur Verschlüsselung nach Stand der Technik ist also über drei Dokumente hergestellt
- Das EnWG macht als Gesetz alle Regelungen verbindlich und verweist auf weitere Dokumente, die damit automatisch rechtsverbindlich sind.
- Das Schutzprofil ist das Ergebnis einer Bedohungsanalyse und zeigt auf, gegen welche Angriffe welche Verteidigungsstrategie zu nutzen sind. Je nach schwere des vermuteten Angriffs muss ein Hersteller den Quellcode seiner Verteidigungswaffen offenlegen, um zu zeigen, dass er tatsächlich wirksame Waffen hat. Das Schutzprofil kann sogar vorschreiben, dass regelmäßige Penetrationstests zu erfolgen haben, um die Wirksamkeit der Waffen im Produktionsbetrieb zu testen.
- Die Technische Richtlinie schreibt interoperabel vor, welche Waffen bei der Verteidigung benutzt werden dürfen. Eine konkrete Implementierung wird nicht vorgeschrieben, aber die Verwendung von speziellen Verschlüsselungsverfahren ist da festgelegt.
Bleibt noch eine letzte Frage zu klären: Wer kümmert sich um Schutzprofil und Technische Richtlinie? Auch das steht in dem Gesetz, am Ende von §21i auf Seite 60: Die Bundesnetzagentur, das Bundesamt für Sicherheit in der Informationstechnik und die Physikalisch-Technische Bundesanstalt. Hier könnte jetzt auch der CCC, der AK Vorat oder sonst wer stehen - das wäre ja mal was innovatives )
Ich persönlich halte dieses Konstrukt aus Gesetzt, Schutzprofil und technischer Richtlinie für einen guten Ansatz, da daurch zum einen eine gesetzliche Verbindlichkeit geschaffen wird, die propreitäre Lösungen verbietet, der aber gleichzeitig so flexibel ist, dass ohne Gesetzgebungsverfahren der Stand der Technik stetig nachgezogen werden kann.