Nach dem Gemalto-Hack: Wir brauchen eine konsequente Melde- und Informationspflichten für Unternehmen

Die Geheimdienste NSA und GCHQ stehen unter Verdacht, bei dem niederländischen  Sicherheitslösungsanbieter Gemalto eingebrochen und Schlüssel für SIM-Karten (K’s, Ki’s und OTA-Keys) gestohlen zu haben.

Deutscher Bundestag - doch der Segen kommt von oben …

Deutscher Bundestag – doch der Segen kommt von oben …

Das Unternehmen Gemalto gibt nach einem nur sechstägigen Sicherheitsaudit Entwarnung. Sicherheitsexperten zweifeln jetzt die Ernsthaftigkeit der Untersuchung und damit auch die Glaubwürdigkeit der Ergebnisse an [1].

Auch wenn noch nichts endgültig bewiesen ist: allein der Gedanke daran, dass nicht ein einziges über ein Mobilfunktelefon geführtes Telefonat noch als vertraulich gelten darf, führt zu einem weiteren massiven Vertrauensverlust in die Nutzung und die Sicherheit digitaler Systeme, auch muss man sich wundern dürfen über das fortgesetzte Schweigen der Bundesregierung – fast eine Woche nach Bekanntwerden des Cyberangriffs.

gchq-listening-595x250Noch vor anderthalb Jahren sind angesichts solcher Nachrichten Innenminister nach Amerika geflogen. Heute bekommt man aus den entsprechenden Ministerien nur noch ein Schulterzucken [2]. Das ist ein fatales Eingeständnis eigener Macht- oder zumindest Willenlosigkeit gegenüber der Willkür der Geheimdienste!

Auch die von dem möglichen Hack betroffenen Kunden von Gemalto in Deutschland – allen voran die deutschen Telekommunikationsprovider – haben bisher unzureichend bis gar nicht reagiert.

Proaktive Informationen, ob man sich als Mobilfunk-Kunde oder Gesundheitskarten-Besitzer Sorgen machen muss, sucht man vergebens. Und wo reagiert wird, werden Zweifel eher noch verstärkt. Der Vorfall bei Gemalto zeigt, dass wir eine Meldepflicht für kritische Sicherheitsvorfälle brauchen. Aber nicht so, wie sie derzeit im IT-Sicherheitsgesetz geplant ist, sondern über eine zentrale Meldestelle, bei der alle Sicherheitslücken anonym veröffentlicht werden. Gegenüber Kunden müssen alle Betreiber kritischer Infrastrukturen ein Informationspflicht haben. Sie sollen Kunden proaktiv über kritische Sicherheitsvorfälle informieren müssen – wie im Übrigen auch über alle anderen beim Unternehmen gespeicherten persönlichen Daten“.

Quellen:
[1] Bericht-Gemalto-Hack
[2] Protokoll der Bundespressekoferenz vom 23. Februar 2015

Feb. 2015 | Allgemein, Junge Rundschau, Sapere aude, Zeitgeschehen | Kommentieren