Icon Informationssicherheit
Informationssicherheit

IT-Sicherheit und Datenschutz – ein ungelöstes Spannungsverhältnis Teil 2 (Portscans und Honeypots)

Cihan Cevirme
Verfasst von: Cihan Cevirme
Teamassistenz

Diese Woche bietet es sich an, etwas tiefer in das Spannungsverhältnis einzusteigen. Die größte Kritik erntete die Befugnis zum „Hacken“ oder so wie es im Gesetz genannt wurde „Detektion von Sicherheitsrisiken für die Netz- und IT-Sicherheit und von Angriffsmethoden“ (vgl. § 7b BSIG).


Unsere aktuellen Blogbeiträge verwenden eine gendergerechte Sprache. Beiträge vor dem 01.01.2023 haben wir nicht nachträglich überarbeitet. Grundsätzlich legen wir Wert darauf, eine inklusive und respektvolle Kommunikation zu fördern. Vielen Dank für Ihr Verständnis.


 

Vor einem Monat haben wir die fehlende IT-Sicherheit in Deutschland, das IT-SiG 2.0 als Antwort aus der Politik darauf, die daraus entstandenen Pflichten und das Spannungsverhältnis zum Datenschutz angeschnitten.

Darf das BSI nun hacken?

§ 7 b BSIG gibt dem BSI Befugnisse Portscans und aktive Honeypots einzusetzen, um Informationen über Angriffe auszuwerten. Dabei handelt es sich um gängige Hackermethoden. Während beim Portscan durch Abfragen Schwachstellen von IT-Systemen entdeckt werden sollen, geht es bei Honeypots darum einem Angreifer einen erfolgreichen Angriff vorzutäuschen, um den Einsatz von Angriffsmethoden auszuwerten. Durch Portscans soll ermittelt werden, ob bspw. ein Passwortschutz vorhanden ist oder Systeme ungewollte Daten liefern.[1] Je nach Schwere der Sicherheitslücke kann der Portscan dazu führen, dass das BSI von dem Zielsystem persönliche Daten geliefert bekommt.[2] Im Rahmen von Honeypots können Software bei den Betroffenen installiert werden. § 7b Abs. 4 S. 2 BSIG gestattet dem BSI auch die für den Honeypot erforderliche Datenverarbeitung. Die gewonnenen Erkenntnisse kann das BSI im Rahmen seiner gesetzlichen Informations- und Warnungsbefugnisse verwenden. Durch die Anwendung dieser Methoden steigen die Verarbeitungen enorm an.

Bewertung anhand der Grundsätze der DSGVO

In der Gesetzesbegründung wird auf die Häufigkeit von Sicherheitslücken in Portstellen verwiesen und eine daraus bestehende Notwendigkeit für die Anwendung dieser Hackingmethoden abgeleitet.[3] Diese Methoden sind intensive Eingriffe in das „IT-Grundrecht“ (Recht auf Vertraulich und Integrität informationstechnischer Systeme, Art. 2 I i.V.m. Art. 1 I GG).[4] Portscans sind nach § 7b Abs. 2 BSIG nur zulässig, wenn Tatsachen die Annahme rechtfertigen, dass die Systeme ungeschützt sein können. Zur Eingrenzung der Portscans solle eine Weiße Liste (vgl. § 7b Abs. 1 S. 2 BSIG) dienen. Die Liste selbst wiederrum wird hierfür massiv Daten speichern müssen, wodurch das Datenminimierungsprinzip leidet.

Nach Ansicht von IT-Experten sei der Portscan ineffizient, da Angreifer Sicherheitslücken automatisch nutzen würden und das BSI beim Nachkommen hinterherhängen würde. Viel effektiver und wirtschaftlicher ließe sich dieser Schutz realisieren, wenn Sicherheitslücken schon beim Entstehen minimiert werden.[5] Angenommen diese Facheinschätzung stimme, dann würden die „Hackermethoden“ des BSI diametral zu den Grundsätzen aus Art. 5 DSGVO stehen, da die Pflicht besteht, den Zweck der Verarbeitung auf dem datenärmsten Weg zu verfolgen. Die hier gesammelten Daten dürfen unter Umständen für Strafverfolgungs- und nachrichtendienstliche Zwecke verwendet werden (vgl. § 5 V, VI BSIG). Problematisch stellt sich diese Regelung mit dem Zweckbindungsgrundsatz.

Aus datenschutzfreundlicher Seite ist die jährliche Unterrichtspflicht an den Bundesbeauftragten für Datenschutz über Anzahl der ergriffenen Portscans (§ 7b Abs. 3 BSIG) anzuerkennen.

Während der Portscan den Regeln der §§ 7´b Abs. 1-3 BSIG unterliegt, enthält §7b Abs. 4 keine Regel, die einen unverhältnismäßigen Eingriff durch einen Honeypots vermeiden kann. Das Fehlen dieser Einschränkungen wirkt sich nachteilig auf die Grundsätze aus. Zudem wird der Zweck in § 7b Abs. 4 S. 2 „erforderliche Daten“ weit gefasst, sodass eine Bestimmung des Zweckes i.S.d. Zweckbindungsgrundsatzes eher schwierig anzunehmen ist.

Empfehlung

Wie schon im ersten Teil dieser Serie erwähnt, hat sich der Adressatenkreis des BSIG erweitert. Die Tendenz im BSIG ist auch in anderen Gesetzen und somit gegenüber weiteren Adressatenkreisen zu erkennen.

Sofern Sie Adressat von Pflichten gegenüber dem Bundesamt für Sicherheit in der Informationstechnik sind oder IT-Sicherheitsmaßnahmen umsetzen müssen, empfiehlt es sich Experten für Datenschutz und Informationssicherheit zu beauftragen. Das Spannungsverhältnis wird damit zwar nicht aufgehoben, jedoch können Risiken enorm minimiert werden.

 


[1] Ritter, Ritter, Rn. 363.

[2] CR 8/2021, 516, 517.

[3] RegE, S. 69.

[4] Keppeler, Ritter, Rn. 352.

[5] A.-Drs. 19/(4)741F, S. 27.

Melden Sie sich für unseren Newsletter an.

Erhalten Sie immer die neuesten und wichtigsten Informationen zum Thema Datenschutz, Informationssicherheit und IT-Sicherheit und Compliance.