Nach dem Gemalto-Hack: Wir brauchen eine bessere Regierung und konsequente Melde- und Informationspflichten für Unternehmen

TBF 27. Februar 201527. Februar 2015 Nach dem Gemalto-Hack: Wir brauchen eine bessere Regierung und konsequente Melde- und Informationspflichten für Unternehmen

Die Geheimdienste NSA und GCHQ stehen unter Verdacht, bei dem niederländischen Sicherheitslösungsanbieter Gemalto eingebrochen und Schlüssel für SIM-Karten (K’s, Ki’s und OTA-Keys) gestohlen zu haben. Das Unternehmen Gemalto gibt nach einem nur sechstägigen Sicherheitsaudit Entwarnung. Sicherheitsexperten zweifeln jetzt die Ernsthaftigkeit der Untersuchung und damit auch die Glaubwürdigkeit der Ergebnisse an [1]. »Auch wenn noch nichts endgültig bewiesen ist: allein der Gedanke daran, dass nicht ein einziges über ein Mobilfunktelefon geführtes Telefonat noch als vertraulich gelten darf, führt zu einem weiteren massiven Vertrauensverlust in die Nutzung und die Sicherheit digitaler Systeme«, erklärt Stefan Körner, Bundesvorsitzender der Piratenpartei.

Verwundert zeigt sich die Piratenpartei über das fortgesetzte Schweigen der Bundesregierung auch fast eine Woche nach Bekanntwerden des Cyberangriffs.

»Noch vor anderthalb Jahren sind angesichts solcher Nachrichten Innenminister nach Amerika geflogen. Heute bekommt man aus den entsprechenden Ministerien nur noch ein Schulterzucken [2]. Das ist doch ein fatales Eingeständnis eigener Macht- oder mindestens Willenlosigkeit gegenüber der Willkür der Geheimdienste!«, so Körner weiter.

Auch die von dem möglichen Hack betroffenen Kunden von Gemalto in Deutschland – allen voran die deutschen Telekommunikationsprovider – haben nach Ansicht der Piratenpartei bisher unzureichend reagiert.

»Proaktive Informationen, ob man sich als Mobilfunk-Kunde oder Gesundheitskarten-Besitzer Sorgen machen muss, sucht man vergebens. Wo reagiert wird, werden Zweifel eher noch verstärkt. Der Vorfall bei Gemalto zeigt, dass wir eine Meldepflicht für kritische Sicherheitsvorfälle brauchen. Aber nicht so, wie sie derzeit im IT-Sicherheitsgesetz geplant ist, sondern über eine zentrale Meldestelle, bei der alle Sicherheitslücken anonym veröffentlicht werden. Gegenüber Kunden müssen alle Betreiber kritischer Infrastrukturen ein Informationspflicht haben. Sie sollen Kunden proaktiv über kritische Sicherheitsvorfälle informieren müssen – wie im Übrigen auch über alle anderen beim Unternehmen gespeicherten persönlichen Daten“, so Körner weiter.

Quellen:
[1] http://www.zdnet.de/88220129/bericht-gemalto-hack-erlaubt-nsa-installation-von-spyware-auf-smartphones/
[2] Protokoll der Bundespressekoferenz vom 23. Februar 2015 http://www.bundesregierung.de/Content/DE/Mitschrift/Pressekonferenzen/2015/02/2015-02-23-regpk.html