GI-Radar 269: Neues vom IT-Sicherheitsgesetz 2.0

Sehr geehrte Leserinnen und Leser,

in den Kurzmitteilungen beschäftigen wir uns in dieser Ausgabe unter anderem mit dem neuen DIN-Standard für offene Hardware. Aktuelle Entwicklungen beim IT-Sicherheitsgesetz 2.0 besprechen wir im Thema im Fokus. In den GI-Mitteilungen geht es unter anderem um das GI-Mentoring-Programm. Wenn Ihnen die Zeichenfolge IDKFA bekannt vorkommt, freuen Sie sich sicher über unser Fundstück: ein Rückblick auf die wichtigsten Spiele-Cheats der letzten 40 Jahre.

Wir wünschen Ihnen viel Spaß mit dieser Ausgabe!

auf gi-radar.de weiterlesen

KURZMITTEILUNGEN

Freizeitverhalten verändert sich: Jugendliche spielen mehr online (ZEIT). Eigentlich vorhersehbar, jetzt statistisch belegt: mit dem Lockdown verbrachten Jugendliche deutlich mehr Zeit mit Spielen am Rechner. Waren es vorher noch knapp 80 Minuten am Tag, schnellte die Zahl in der häuslichen Isolation auf knapp 140 Minuten pro Tag hoch. Suchtfachleute warnen bereits jetzt.  weiterlesen

Missbrauch, Misstrauen, Corona-App und der Datenschutz: eine unglückliche Gemengelage erschwert Vertrauen (FAZ). Wer im Restaurant isst, muss die Kontaktdaten hinterlassen – eigentlich nur für den Fall, dass eine Person im direkten Umfeld positiv auf Covid-19 getestet wurde. Die Corona-Warn-App tauscht anonym Bluetooth-Kontakte aus. Und die Polizei nutzt Adresslisten zur Strafverfolgung. Was im Detail nicht viel miteinander zu tun hat, vermischt sich in der Bevölkerung zu einem großen Misstrauen – so groß, dass die Corona-Warn-App höchsten Datenschutzanforderungen genügen möchte. Richtig so, meint Kommentator Patrick Bernau.  weiterlesen*

DIN-Standard für offene Hardware (Netzpolitik). Während Open-Source-Software mittlerweile im allgemeinen Bewusstsein Vieler angekommen sein dürfte, ist dies bei offener Hardware bislang nicht der Fall. Damit ein System aber komplett transparent ist, bedarf es kontrollierbarer Hardware. Das Deutsche Institut für Normung (DIN) hat nun den ersten DIN-Standard für offene Hardware herausgegeben. Warum das wichtig ist, erklärt Martin Häuer.  weiterlesen

Kommunale Wasserwerke durch Hackerangriffe gefährdet (Deutschlandfunk). Während Großanlagen zur Versorgungung zur sogenannten „KRITIS“ (Kritische Infrastruktur) zählen, ist dies bei kleineren Anlagen oft nicht der Fall. Daraus resultierend sind häufig die Sicherheitsvorkehrungen weniger ausgefeilt und geprüft. Daher sind kleine Anlagen ein vergleichsweise leichtes Ziel für Angriffe, was durchaus die Wasserversorgung in bestimmten Regionen gefährden könnte. Hier müsse unbedingt Abhilfe geschaffen werden, sind sich Sicherheitsfachleute einig.  weiterlesen

Alter Wein in neuen Schläuchen: KI, Big Data und alte Algorithmen (Der Standard). Hippe und neue Namen suggerieren Fortschritt. Tatsächlich basieren viele der heute verwendeten Methoden auf Algorithmen und Denkmodellen, die schon Jahrzehnte alt sind. Ein Beispiel dafür ist der Monte-Carlo-Alorithmus, der bereits 1949 entwickelt wurde und heute eine der Grundlagen für selbstlernende Computer ist.  weiterlesen

* Artikel ist ggf. nur mit deaktiviertem Adblocker lesbar.

THEMA IM FOKUS

Neues vom IT-Sicherheitsgesetz 2.0 (IT-SiG 2.0). Lange ist es still gewesen um das IT-Sicherheitsgesetz 2.0 (IT-SiG 2.0), nachdem im März vergangenen Jahres der erste Referentenentwurf „geleaked“ wurde (netzpolitik). Dort, wo das erste IT-Sicherheitsgesetz vor fünf Jahren mit strengen IT-Sicherheitsanforderungen für Kritische Infrastrukturen den Anfang machte, soll das IT-SiG 2.0 nun einige Schritte weitergehen und nicht nur der veränderten Bedrohungslage, sondern auch der Änderung der Nutzungsgewohnheiten für vernetzte IT Rechnung tragen. Doch schon der erste Entwurf zum IT-SiG 2.0 war erheblicher Kritik ausgesetzt – nicht zuletzt auch wegen der umstrittenen Frage, ob Komponenten ausländischer Hersteller – namentlich Huawei – innerhalb deutscher kritischer Telekommunikationsinfrastruktur im Rahmen des 5G-Ausbaus eingesetzt werden dürfen (Deutsche Welle). Der zweite Referentenentwurf für das IT-SiG 2.0, der im Mai dieses Jahres an die Öffentlichkeit gelangte (intrapol.org), greift das Thema 5G zwar nicht direkt auf, lässt aber durchblicken, warum die Debatte seinerzeit so viel Sprengstoff enthielt: So sollen in Zukunft „nicht vertrauenswürdige“ Hersteller von kritischen Komponenten vom Betrieb zentraler Infrastrukturen ausgeschlossen werden. Wenn der Hersteller aber in der Lage ist, eine sogenannte „Garantieerklärung“ abzugeben, die die Sicherheit des Produktes bescheinigt, dürfte es im Regelfall keine Probleme geben. Fraglich ist allerdings, wie das im Zeitalter von Open Source und global verteilten Drittzulieferern für Hard- und Software wirklich möglich sein soll.

Bei einem weiteren Blick in den neuen Entwurf des IT-SiG 2.0 wird schnell deutlich, dass das nicht der einzige Regelungsvorstoß des Bundesinnenministeriums ist, über den man streiten kann. Weiter geht es z.B. beim Befugnisausbau des BSI als „Superbehörde“ zur IT-Sicherheit: immer mehr soll der „Stand der Technik“ zur IT-Sicherheit durch Technische Richtlinien (sogenannte BSI-TR) national definiert werden, was vor dem Hintergrund einschlägiger europäischer und globaler Normen und Standards nur wenig sinnvoll erscheint. Auch erhält die Behörde immer mehr Befugnisse zur Informationssammlung – und schon bisher wird der Datenschutz durch das BSI-Gesetz aufgeweicht (beck.de). Eine Regelung mit einer maximalen Speicherfrist für Protokolldaten für die Dauer von 18 Monaten erinnert nur allzu sehr an die uralte Debatte zur Vorratsdatenspeicherung. Kritische Infrastrukturen sollen künftig dazu verpflichtet werden, eine Liste zum Betrieb notwendiger, besonders sensibler Komponenten an die Behörde zu übermitteln. Dies sind allerdings höchst sensible Daten, die eventuell sogar Betriebs- und Geschäftsgeheimnisse enthalten könnten. Die Liste der Maßnahmen ließe sich noch beliebig fortsetzen: Befugnisse für den Zugriff auf Kundendateien in der Telekommunikation, Ausbau der Ermittlungs- und Auskunftsbefugnisse gegenüber privaten Stellen, Durchführung von Portscans und der Betrieb von Honeypots und Sinkholes (das BSI als „Hackerbehörde“, netzpolitik), bis hin zur Tätigkeit als nationale Behörde für die Cybersicherheitszertifizierung im Sinne des EU Cybersecurity Act.

Dass das BSI nach wie vor dem Innenministerium nachgeordnet ist, welches gleichzeitig auch für Behörden wie Verfassungsschutz, BKA und Bundespolizei zuständig ist, lässt im Angesicht dieses Befugnisausbaus nicht nur die Grenzen zwischen Schutz und Angriff zunehmend verschwimmen. Mehr noch: der Entwurf für ein zweites IT-Sicherheitsgesetz lässt das BSI, in Verbindung mit den schwachen Datenschutzregelungen, mehr und mehr wie eine Datenkrake aussehen – und das wäre nicht die erste ihrer Art. Dass daneben auch Themen wie digitaler Verbraucherschutz im IoT (Internet of Things) in dem Gesetzentwurf eine Rolle spielen, erscheint vor dem Hintergrund dieses massiven und einseitigen Befugnisausbaus nahezu vernachlässigbar.

Diesen Beitrag hat Dennis-Kenji Kipker verfasst, der sich u.a. im Vorstand der Europäischen Akademie für Informationsfreiheit und Datenschutz engagiert.

GI-MELDUNGEN

GI-Mentoring-Programm läuft … und sucht weiter. Vor einiger Zeit ist das GI-Mentoring-Programm des Beirats „Wissenschaftlicher Nachwuchs“ unter Beteiligung der Junior-Fellows erfolgreich gestartet. Mittlerweile haben sich 23 Mentorinnen und Mentoren sowie 20 Mentees gemeldet. 14 Paare sind erfolgreich gematcht worden und haben sich auf den einjährigen, gemeinsamen Weg begeben. Wir suchen aber weiterhin Interessierte, die entweder den Informatik-Nachwuchs fördern oder die sich von erfahrenen Informatikerinnen und Informatikern begleiten lassen möchten. Das Programm ist exklusiv für Mitglieder.  weiterlesen

Wollen Sie die GI bekannt(er) machen? Können Sie sich vorstellen, vor Ihren Studierenden oder Kolleginnen und Kollegen etwas über die GI zu erzählen? Oder wollen Sie sich einfach mal schlau machen, was die GI im Überblick bietet (viel mehr, als die meisten wissen): Dann schauen Sie in den GI-Mitgliederbereich, wo Sie zahlreiches Material, auch zum Bearbeiten, finden. Und wenn Ihnen etwas fehlt: melden Sie sich sich. Wir freuen uns über Anregungen.  weiterlesen

GI-Webtalk zu Privacy Shield online. Wer am 3. August keine Zeit für die Live-Beobachtung hatte, kann sich den GI-Webtalk zum Privacy Shield auf Youtube ansehen. Der Europäische Gerichtshof hat das Privacy Shield als unwirksam erklärt – was die Einen als Sieg feiern und die Anderen um ihre Existenzgrundlage zittern lässt.  weiterlesen

Kennen Sie eigentlich den GI-Pressespiegel? Dort sammeln wir die Berichterstattung über unsere Fachgesellschaft in Zeitungs-, Radio- und Fernsehbeiträgen. Schauen Sie rein, es gibt da immer wieder Neues oder auch ältere Fundstücke.

FUNDSTÜCK

40 Jahre Spiele-Cheats. Nachdem wir bereits in der letzten Ausgabe in die Vergangenheit geblickt haben, schauen wir uns in dieser Ausgabe die Geschichte der Spiele-Cheats an. Während es in einigen Spielen reichte, eine spezielle Tastenfolge einzugeben, um mehr Leben zu bekommen, brauchte man beim C64 mitunter sogar eine spezielle Freezer-Einsteckkarte um nach dem Starten eines Spiels die entscheidenden Stellen im Arbeitsspeicher zu überschreiben. Unser Fundstück blickt zurück auf die berühmtesten Cheats und ihren Ursprung.  Zum Fundstück (heise.de, 8 min)

Welches Fundstück hat Sie zuletzt inspiriert? Senden Sie uns Ihre Ideen!

Dies war Ausgabe 269 des GI-Radars. Zusammengestellt hat sie Dominik Herrmann, der nun zwei Wochen Urlaub vom GI-Radar macht und erst einmal den Zettel mit den POKE-Sequenzen für seine C64-Spielesammlung suchen wird. Die Mitteilungen hat GI-Geschäftsführerin Cornelia Winter zusammengetragen. Das nächste GI-Radar erscheint dann nach unserer Sommerpause am 4. September 2020.

Im GI-Radar berichten wir alle zwei Wochen über ausgewählte Informatik-Themen. Wir sind sehr an Ihrer Meinung interessiert. Für Anregungen und Kritik haben wir ein offenes Ohr, entweder per E-Mail (redaktion@gi-radar.de) oder über das Feedback-Formular bei SurveyMonkey. Links und Texte können Sie uns auch über Twitter (@informatikradar) zukommen lassen.