Niedersächsisches IT-Sicherheitsgesetz
IT-Sicherheit ist für den digitalen Erfolg ein entscheidender Baustein, wenn es bedarfsorientierte Lösungen für unterschiedliche Nutzungsverhalten gibt.
Wir empfehlen, möglichst schnell ein Verfahren zu entwickeln, welches gem. den rechtlichen Vorgaben als „strukturiert“ im Jahr 2019 anerkannt wird. Derzeit ist es vornehmlich das ZUGPFERD-Verfahren. Doch mit Zunahme der eIDAS werden bis dahin neue Verfahren entwickelt sein. Insbesondere aus Sicht der Geschäftspartner der öffentlichen Hand ist aus unserer Sicht noch zu diskutieren, wie EU-weite Ausschreibungen generell vom Auftragnehmer auch elektronisch auswertbar zu erstellen sind. Unserem Verständnis nach bedeutet diese eine Abkehr vom bisherigen, weit verbreiteten PDF-Standard hin zu ZUGFERD oder XML nach dem GoBD Beschreibungsstandards.
Im Hinblick auf die Umsetzbarkeit des Gesetzes möchten wir zu bedenken geben, dass bspw. §9 durch kleinere Bereiche nicht umgesetzt werden kann. Somit wird aus unserer Sicht die Möglichkeit entzogen, diese Sicherheitsmaßnahmen flächendeckend anwenden zu können. Zudem ist die Sinnhaftigkeit des mehrstufigen Systems hinsichtlich einer Beherrschbarkeit realer Angriffsszenarien fraglich, insb. in Bezug auf Arbeitszeiten und Skalierung. Wir halten es grundsätzlich für problematisch, dass mit dem Gesetz Standardarbeiten eingeschränkt werden, da nun nicht wie bisher einfacher Zugriff auf beliebige Systemlogs durch Administratoren zulässig ist. Als Gegenentwurf zu der starken Trennung der Verantwortlichkeiten wäre die Unterbringung stärkerer Audit-Tätigkeiten hinsichtlich Netzwerkverkehr und Systemlogs bei den vorhandenen Administratoren-Personalressourcen denkbar und möglicherweise praktikabler.
Zu den Paragraphen im Einzelnen:
Zu §4 Abs 2: “Speicherung” vs. “Auswertung”
Für Auswertung müsste ein max. Zeitraum der Auswertungsdauer festgelegt werden, da sonst die max. Speicherungsfrist hierüber “ausgehebelt” werden könnte. Es wäre denkbar und möglich, eine “Auswertung” über Tage, Wochen oder Jahre durchzuführen. Dies sollte eingeschränkt werden. Eine automatisierte Auswertung jeweils nur einzeln betrachteter Datensätze bzw. Logeinträge, also mit dem denkbar kürzesten Zeitraum, birgt jedoch eigene Probleme (siehe “Enumeration-Angriffe”).
Zu §5 Abs 1 Satz 2: HTTP-Metadaten-Auswertung und TLS
Der Paragraph erlaubt die Auswertung der meisten HTTP-Metadaten. Nicht geklärt ist, ob dies implizit ein Aufbrechen ausgehender TLS-Verbindungen erlauben soll. Dies sollte ggf. explizit formuliert werden.
Zu §5 Abs 2:
Der Paragraph verlangt, dass Auswertungsergebnisse unverzüglich gelöscht werden, wenn nicht nach §5 ABs 1 Satz 3 ein Verdacht besteht. Der Satz gestattet Analysen auf IP- und HTTP-Header-Ebene. Hier sehen wir die folgenden Probleme:
- Angriffe über andere Anwendungsprotokolle als HTTP
Angriffsversuche über andere Protokolle als HTTP lassen sich somit i.d.R. nicht erkennen. Hier sollte entwedere eine allgemeinere Formulierung gewählt werden oder zumindest übliche andere Protokolle mit aufgeführt werden.
- Enumeration-Angriffe
Das geforderte “unverzügliche Löschen” verhindert eine Erkennung von sog. Enumeration-Angriffen, wie bspw. User- oder Resource-Enumeration, aber auch Brute Force-Angriffe /Dictionary-Attacks usw.
- Analyse von Cookie-Headern
Der geforderte Ausschluss von Cookies bei der Analyse ist wenig sinnvoll: erstens können personenbezogene Identifier auch in anderen Headern enthalten sein (z.B. “Authorization” für HTTP Basic Auth., hier sind Benutzernamen und Passwörter enthalten) – es müsste daher aus diesem Gesichtspunkt eine längere Blacklist für Header aufgeführt werden, welche jedoch aufgrund von technischen Möglichkeiten und Weiterentwicklungen nie vollständig würde. Jedoch können auch Cookie-Header-Daten für Angriffe verwendet werden, und müssten daher auch automatisiert ausgewertet werden. Letzteres würden wir empfehlen.
Zu §7 Abs 4 – Formulierung “nicht mehr erforderlich”
Die Formulierung “nicht mehr erforderlich” sollte ggf. erläutert werden. Wenn Abwehr von Gefahren bereits erfolgt ist, müsste hier unserer Einschätzung nach entsprechend des Gesetzesentwurfs gelöscht werden – dann würden bei einer beabsichtigten Strafanzeige jedoch notwendige Beweismaterialien fehlen. Ggf. könnte die Formulierung “zur Abwehr von anderen Schadprogrammen” die erlaubte Speicherdauer jedoch ausdehnen. Eine eindeutige Klärung von “erforderlich” würde diese Ambiguität vermeiden.