FM4-Logo

jetzt live:

Aktueller Musiktitel:

EU-Fahne mit Vorhängeschloss und Datenstrom

CC0 via Pixabay

Erich Moechel

Netzwerk-Sicherheitsrichtlinie fertig im EU-Ministerrat

Aus diesem Entwurf springen zwei Punkte sofort ins Auge, weil sie technisch falsch begründet sind. Hinter den Kulissen versuchen die EU-Strafverfolger, Überwachungsbegehren in dieser Richtlinie zur Cybersicherheit zu verankern.

Von Erich Moechel

Pünktlich zum Jahresende hat der EU-Ministerrat seinen Entwurf für eine Neufassung der Richtlinie zur Netzwerk-Informationssicherheit (NIS2) vorgelegt. Diese Novellierung war nach nur drei Jahren notwendig geworden, weil NIS1 gerade bei der Meldepflicht für schwere Cybervorfälle nicht wirklich funktioniert hatte.

Diese neue Ratsversion enthält jedoch zwei Rechtsvorschriften, die dem gesamten Vorhaben regelrecht zuwiderlaufen. Sie springen deshalb sofort ins Auge, weil sie mit technisch falschen Behauptungen untermauert werden. Im Blog der österreichischen Netzwerksicherheitsagentur CERT.at wird das als „Hijacking“ der Richtlinie bezeichnet.

zu DNS

EU Ministerrat

Zur Registrierung von Domains - egal ob in Europa oder anderswo auf der Welt - ist in der Regel nur eine Kreditkarte nötig. Um diese Rechtsvorschrift umzusetzen, müssten alle Buchungssysteme erweitert werden und jede Registrierung würde sich über Tage ziehen. Es ist völlig unklar, welcher Sicherheitsgewinn von einer solchen Maßnahme im Rat erwartet wird. Hier ist der ganze Richtlinienentwurf zur Abwechslung nicht als Leak sondern in der offiziellen Version des Rats: Proposal for a Directive of the European Parliament and of the Council on measures for a high common level of cybersecurity across the Union

„Ignoranz oder Taschenspielertrick?“

Der erste Ratsentwurf zur NIS2-Richtlinie wurde im Dezember 2020 noch von der deutschen Ratspräsidentschaft auf den Weg gebracht.

„Dieses Statement ist entweder eine glatte Lüge, das Resultat von Unwissenheit und Ignoranz oder ein Taschenspielertrick, um jemandes Lieblingsthema in die Richtlinie zu schmuggeln“, schreibt Otmar Lendl dazu im Blog von CERT. „Stabilität der Domain Name Services ist jedenfalls sicher nicht der Grund, denn die Korrektheit der Daten von Domain-Eigentümern hat mit dem Funktionieren des DNS-Services selbst genauso wenig zu tun, wie Autokennzeichen mit dem Straßensystem.“ Der Grund, warum eine EU-Regelung wie NIS2 plötzlich zum Oberkontrolleur der weltweiten Domain Name Services im Internet werden soll, ist derzeit nicht bekannt.

Otmar Lendl

Otmar Lendl

Der umfangreiche CERT_Blogeintrag zu NIS2 von Otmar Lendl

Ob das nun primär als Maßnahme gegen Passwort-Phishing oder gegen Spammer gedacht ist, den zuständigen Beamten im EU-Ministerrat dürfte da kollektiv irgendetwas zu Kopf gestiegen sein. Man bildet sich dort offensichtlich ein, den Verwaltern der Top-Level-Domains weltweit ein Regelwerk vorschreiben zu können. So sollen Registrare prüfen, wie akkurat die eingegeben Daten bei allen Kunden seien und diese Daten aktuell halten. „Die haushohe Mehrzahl aller Top-Level Domains kennt keinerlei Beschränkungen zum Registrieren von Domains“, heißt es im Blog des CERT dazu. Das heißt, mit wenigen Ausnahmen können von wem und wo auch immer beliebige Top-Level Domains - .com, .net, .org, .at, .de, .cn, .ru usw. - bei beliebigen Registraren eingetragen werden. Wie ein österreichischer Registrar die Richtigkeit der Daten von Kunden etwa aus den Golfstaaten, der Ukraine oder aus der Karibik überprüfen soll, wird im Entwurf nirgendwo erwähnt. „Due Diligence“-Prüfungen stammen im Übrigen aus der Welt der Hochfinanz und beziehen sich auf den Wert eines mittleren bis großen Unternehmens, das zum Verkauf steht. Die Jahresmiete für eine österreichische Domain (.at) beträgt hingegen um die 15 Euro.

„Meilenweit von Zielsetzung der Richtlinie entfernt“

In Österreich wurde NIS1 mit 11 Monaten Verspätung im Frühjahr 2019 umgesetzt

Gegenüber der vorigen Version der Richtlinie wurde das Vorhaben zwar zurückgenommen, aber ursprünglich waren auch die Betreiber der Root-DNS-Server einbezogen. Von den 12 Organisationen, Unternehmen und Behörden, die diese 13 Batterien von Root-DNS-Servern weltweit betreiben, stammen alle - bis auf zwei europäische eine in den Japan - aus den USA. Diese Server enthalten selbst keine individuellen Einträge von Domains, sie sind - um eine Analogie aus der Telekommunikation zu bemühen - quasi Zentralkataloge aller weltweiten Telefonbücher, zu denen man dann automatisch verbunden wird.

„Mögliche Auswirkungen von inkorrekten Whois-Einträgen sind meilenweit von den Zielsetzungen der NIS-Richtlinie entfernt“, heißt es dazu im Blog von CERT.at. Erklärtes Ziel dieser Richtlinie ist es nämlich, dass Cybervorfälle in Bereichen, die zur kritischen Infrastruktur gehören, möglichst rasch und nach einheitlichen Kriterien gemeldet werden. Es handelt sich also nicht nur um die Erfassung und Katalogisierung von schweren Cybervorfällen, sondern auch um eine Art von Frühwarnsystem für alle (noch) nicht Betroffenen in Europa, das nahe an der Echtzeit funktionieren solŀ. Unter NIS1 hatte das mehr schlecht als recht funktioniert, denn auf Betreiben des Ministerrats wurde es damals den Mitgliedsstaaten überlassen, zu definieren, was unter die eigenen „kritische Infrastrukturen“ fällt. Nicht ganz überraschend war das Ergebnis so, dass die NIS-Richtlinie nur drei Jahre nach Inkrafttreten novelliert werden muss.

zu Encryption

EU Ministerrat

Eine solche Passage wie diesen Erwägungsgrund 54 würde man allenfalls in einem russischen Polizeibefugnisgesetz erwarten. Sie findet sich allerdings in der Präambel zu der EU-Richtlinie für ein gemeinsames, hohes Niveau an Cybersicherheit.

Bereits im Sommer 2018 hatte sich abgezeichnet, dass die NIS-Richtlinie nicht zu den Prioritäten der damaligen türkis-blauen Bundesregierung zählte.

„Sicherheit durch Verschlüsselung, Sicherheit trotz Verschlüsselung“

An diesem Erwägungsgrund ist mehr als nur eine Aussage sondern so gut wie alles technisch falsch. Die Forderung, „dass der Einsatz von E2E-Verschlüsselung mit den Sicherheitsbedürfnissen der Staaten in Einklang zu bringen sei“, setzt voraus, dass bei einem technischen Vorgang wie Verschlüsselung Kompromisse möglich sind. Tatächlich muss E2E-Verschlüsselung gebrochen werden, etwa indem ein Nachschlüssel durch den Plattform-Anbieter dazugeschmuggelt wird. Technische Lösungen für „gesetzeskonformen Zugang zu E2E-Verschlüsselung“ gibt es nicht, denn E2E bedeutet, dass ausschließlich die beiden an der Kommunikation Beteiligten mitlesen können und niemand sonst. Der Begriff „E2E“ wird trotzdem durchgehend verwendet.

Das kommt davon, wenn man - wie in diesem Fall die deutsche Ratspräsidentschaft 2020 - anstatt technisch präzise Begriffe für technische Vorgänge zu verwenden, lieber mit PR-Slogans hantiert. Das Motto der deutschen Ratspräsidentschaft „Sicherheit durch Verschlüsselung, Sicherheit trotz Verschlüsselung“ mag - wegen des semantischen Widerhakens - als PR-Spin für sich durchaus gelungen sein. Derselbe Begriff „Sicherheit“ wird erst in der Denotation „technische Absicherung“ und dann in der Bedeutung von „öffentlicher Sicherheit“ verwendet. Im technischen Bereich nennt man das „unsaubere Terminologie.“

Der RSS-Feed zu diesem Blog. Sachdienliche Informationen, Metakritiken et al. sind über dieses Formular verschlüsselt und anonym beim Autor einzuwerfen. Wer eine Antwort will, gebe tunlichst eine Kontaktmöglichkeit an.

Aktuell: