|
LANDTAG
NORDRHEIN-WESTFALEN
|
Drucksache 16/8195 |
|
|
17.03.2015 |
Antwort
der Landesregierung
auf die Kleine Anfrage 3134 vom 17. Februar 2015
des Abgeordneten Daniel Schwerd PIRATEN
IP-Telefonie grundsätzlich unsicher - besteht politischer Handlungsbedarf?
Der Minister für Inneres und Kommunales hat die Kleine Anfrage 3134 mit Schreiben vom 16. März 2015 namens der Landesregierung im Einvernehmen mit dem Finanzminister, dem Minister für Wirtschaft, Energie, Industrie, Mittelstand und Handwerk und dem Justizminister beantwortet.
Vorbemerkung der Kleinen Anfrage
„This 'telephone' has too many shortcomings to be seriously considered as a means of communication. The device is inherently of no value to us.“
Interne Notiz der Western Union Telegraph Company von 1876
Das Fernsehmagazin „Report München“ berichtete in der Sendung vom 3. Februar 2015 über gravierende Sicherheitsprobleme im Zusammenhang mit IP-Telefonie, die in den letzten Jahren immer mehr zum Standard der Telefonie geworden ist.
Über 13 Millionen Telefonanschlüsse basieren bereits auf dieser Technik, und da die Telekommunikationsanbieter alte ISDN- und Analoganschlüsse aus Kostengründen nicht mehr betreiben wollen, werden tausende weitere Anschlüsse jede Woche umgestellt. Die Kunden habe dabei oft keine Wahl, die alten Anschlüsse werden anbieterseitig gekündigt.
In der Sendung des Fernsehmagazins Report München demonstrierte ein Computerforensiker, wie durch einen so genannten „Man in the Middle-Angriff“ IP-Telefonate abgehört werden können, ohne dass ein physischer Zugriff auf die Leitungen erfolgen muss.
Derzeit wird in der IP-Telefonie standardmäßig keine Verschlüsselung eingesetzt, obgleich dies technisch möglich ist. Eine lückenlose Ende-zu-Ende-Verschlüsselung würde den beschriebenen Angriff unmöglich machen.
Die durch die Filmemacher befragten nordrhein-westfälischen Telekommunikationsanbieter Deutsche Telekom und Vodafone bezogen sich ihrerseits auf die fehlende Verschlüsselung, die kein Standard sei und verwiesen damit explizit auf eine fehlende gesetzliche Regelung.
Schleswig-Holsteins Datenschutzbeauftragter Thilo Weichert wies darauf hin, dass die Geheimdienste sich aktiv gegen Verschlüsselung in der IP-Telefonie einsetzen. Überwachungsschnittstellen (und damit auch strukturell fehlende Sicherheit) sind bereits in den Standards von elektronischer Kommunikation eingebaut, an den Spezifikationen von Voice over IP (VoIP) haben Geheimdienste und Verfassungsschutz offensichtlich mitgewirkt.
Vorbemerkung der Landesregierung
Die in der Kleinen Anfrage verwendeten Begriffe „elektronische Kommunikation“ und „Voice over IP“ werden im Sinne der Fragestellung unter dem Begriff „IP-Telefonie“ subsummiert.
1. Für wie sicher hält die Landesregierung die gegenwärtigen Standards und Implementierungen von IP-Telefonie bzw. Voice over IP?
2. Wie können Bürger, Unternehmen, Kommunen und die Landesregierung vor den beschriebenen Angriffen geschützt werden? Nennen Sie alle Maßnahmen der Landesregierung in Umsetzung oder Planung.
3. In welcher Form will die Landesregierung sich der von den Nordrhein-Westfälischen Telekommunikationsunternehmen bemängelten, fehlenden gesetzlichen Regelungen zur standardmäßigen Verschlüsselung von VoIP-Kommunikation bzw. IP-Telefonie annehmen?
Nach § 109 Abs. 1 Telekommunikationsgesetz (TKG) ist der Diensteanbieter verpflichtet, angemessene technische Vorkehrungen oder sonstige Maßnahmen zum Schutze des Fernmeldegeheimnisses und personenbezogener Daten und der Sicherheit der Telekommunikations- und Datenverarbeitungssysteme gegen unerlaubte Zugriffe zu treffen. Für den Diensteanbieter hat dies zur Folge, dass Schutzmaßnahmen sich der dynamischen technischen Entwicklung anpassen müssen.
Wer ein öffentliches Telekommunikationsnetz betreibt oder öffentlich zugängliche Telekommunikationsdienste erbringt, hat der Bundesnetzagentur eine Sicherheitsverletzung einschließlich Störungen von Telekommunikationsnetzen oder -diensten unverzüglich mitzuteilen. Die Bundesnetzagentur kann von dem Verpflichteten einen detaillierten Bericht über die Sicherheitsverletzung und die ergriffenen Abhilfemaßnahmen verlangen.
Sofern erforderlich, unterrichtet die Bundesnetzagentur das Bundesamt für Sicherheit in der Informationstechnik, die nationalen Regulierungsbehörden der anderen Mitgliedstaaten der Europäischen Union und die Europäische Agentur für Netz- und Informationssicherheit über die Sicherheitsverletzungen. Die Bundesnetzagentur kann die Öffentlichkeit informieren oder die Telekommunikationsdienstleister dazu auffordern.
Die Bundesnetzagentur legt der Kommission, der Europäischen Agentur für Netz- und Informationssicherheit und dem Bundesamt für Sicherheit in der Informationstechnik einmal pro Jahr einen zusammenfassenden Bericht über die eingegangenen Mitteilungen und die ergriffenen Abhilfemaßnahmen vor.
Die Landesregierung erachtet die derzeitigen Regelungen zum Schutz der Vertraulichkeit bei der IP-Telefonie als ausreichend. Insbesondere hat die Bundesnetzagentur umfassende Regelungsbefugnisse zum Datenschutz und zum Schutz der Vertraulichkeit gegenüber den Telekommunikationsdienstleistern.
Darüber hinaus bietet der Verfassungsschutz NRW im Rahmen seines Wirtschaftsschutzprogramms Sensibilisierungsvorträge an. Mit diesen soll u.a. das Bewusstsein für einen sicheren Umgang mit elektronischen Medien geweckt und dabei unterstützt werden, den Selbstschutz vor Ausspähungen zu stärken. Ein weiterer Baustein der Präventionsarbeit ist die Sicherheitspartnerschaft NRW, die sich aus dem Verfassungsschutz des Landes NRW, der Polizei des Landes NRW, dem Wirtschaftsministerium NRW, dem Verband für Sicherheit in der Wirtschaft und den Industrie- und Handelskammern zusammensetzt und ebenfalls zum Selbstschutz beiträgt.
4. Hält die Landesregierung eine Verschlüsselung, die nicht Ende-zu-Ende-verschlüsselt ist, in elektronischer Kommunikation für ausreichend? Begründen Sie Ihre Meinung.
Die Landesregierung würde es begrüßen, wenn die Telekommunikationsprovider eine benutzerfreundliche und sichere Ende-zu-Ende-Verschlüsselung in der IP-Telefonie anbieten würden. Ob und in wieweit sich derartige Systeme am Markt etablieren werden, wird von der Nachfrage der Nutzer abhängen. Der Landesregierung liegen keine Erkenntnisse darüber vor, dass der Bund plant, gesetzliche Regelungen zu weitergehenden Sicherheitstechniken in der Sprachkommunikation zu erlassen.
5. Welche Risiken sieht die Landesregierung darin, wenn Geheimdienste eine Schwächung der Sicherheitsstandards von elektronischer Kommunikation zugunsten von Überwachungsmöglichkeiten erwirken? Gehen Sie insbesondere darauf ein, welche weiteren Angreifer wie organisierte Kriminalität und terroristische Gruppen vorhandene strukturelle Schwächen ausnutzen könnten und welche Risiken daraus erwachsen.
Die Sicherheitsbehörden des Landes NRW beteiligen sich nicht an einer Schwächung der internationalen Sicherheitsstandards der IP-Telefonie. Die Landesregierung erhebt keine Daten über die Vielzahl der hypothetischen Verwendungsmöglichkeiten von Kommunikationsinhalten durch Dritte, wenn diese sich Kommunikationsinhalte verschaffen.