Weitergehen! Hier gibts nichts zu sehen…

…könnte man meinen, wenn man die Verlautbarungen unseres stadteigenen Telekommunikationsunternehmen zu den Snowden-Dokumenten so hört und wieso muss eigentlich immer sofort beschwichtigt, verharmlost und beruhigt werden?

Auf der anderen Seite bin ich mir sicher, NetCologne hat in den vergangenen Tagen umfangreiche Prüfungen durchgeführt die vermutlich zu keinen Ergebnissen geführt haben. Sollte uns das wirklich wundern? (Geheim) Dienste im In- und Ausland verfügen über ein subtiles und umfangreiches Arsenal an technischen und personellen Möglichkeiten weit jenseits aller kriminellen Hacker.

Genau das aber sollte uns und NetCologne eben nicht vollmundig dazu verführen davon zu sprechen, dass keinerlei Sicherheitsverletzung stattgefunden habe. Gerade das Beispiel der in den gleichen Dokumenten aufgeführten Stellar GmbH aus Hürth sollte zur Vorsicht mahnen und nicht zu einem selbstgefälligen weiter so.

Die komplette Pressemitteilungen incl. unserer Anfrage an die Stadtverwaltung:

Piratengruppe im Rat thematisiert Online-Einbruch beim Kölner Internetprovider NetCologne und in die städtische Kommunikationsstruktur

Laut Presseberichten haben sich Geheimdienste illegal Zugang zu den Netzen von mehreren deutschen Internetprovidern verschafft. Von den in den Berichten genannten fünf Unternehmen befinden sich mit NetCologne und Stellar GmbH zwei im Großraum Köln. Brisant daran ist, dass NetCologne der zentrale Dienstleister für die Kommunikationssysteme der Stadtverwaltung Köln, der Sparkasse Köln-Bonn, der Koelnmesse, einer Vielzahl an Privat- und Geschäftskunden im Großraum Köln, der Wohnungswirtschaft sowie der Kölner Polizei ist.

Es muss jetzt davon ausgegangen werden, dass sämtlicher Datenverkehr der Stadt Köln mitgeschnitten und abgehört werden kann. Das Unternehmen Stellar GmbH aus Hürth hat inzwischen die Offenlegung von Daten, Passwörtern und persönlichen Zugängen von Mitarbeitern bestätigt, nachdem es mit den Snowden-Dokumenten konfrontiert wurde.[1]

In diesem Zusammenhang verwundern die beschwichtigen Aussagen des Pressesprechers von NetCologne, der gegenüber dem Kölner Stadt-Anzeiger wie folgt zitiert wird: „Wir haben alles analysiert und rein gar nichts gefunden – weder verdächtige Vorrichtungen noch entsprechenden Datenverkehr.“[2]

Thomas Hegenbarth, Sprecher der Ratsgruppe: „Beschwichtigung und vorschnelle Beurteilungen sind zum jetzigen Zeitpunkt die falsche Reaktion. Nur weil man es dem Sicherheitschlüssel nicht ansieht, dass er kopiert wurde, heißt das nicht, dass es keine Kopien gibt. Die geschockten Mitarbeiter der Firma Stellar zeigen dies sehr eindrucksvoll. [1] Die Sicherheit der Kommunikation, der Schutz vor Wirtschaftsspionage und das Vertrauen von Bürgerinnen und Bürgern und Unternehmen in den Datenverkehr mit der Kölner Verwaltung, der Polizeibehörde, dem Jobcenter u.a. muss wiederhergestellt werden.“

Die Piratengruppe hat dazu einen Fragenkatalog an die Stadtverwaltung geschickt, der sich mit den illegalen Datenangriff der Geheimdienste auf die kommunale Kommunikationsstrukturen in Köln beschäftigt. In der nächsten Sitzung des zuständigen Ausschusses muss sich die Kölner Stadtverwaltung erklären, was sie zukünftig unternehmen will, um Bürgerinnen und Bürger, Unternehmen und sich selbst zu schützen:

1. Welche Erkenntnisse hat die Stadt zu den aktuellen Vorgängen?

2. Welche Unternehmen mit städtischer Beteiligung oder kommunale Einrichtungen des öffentlichen Rechts nutzen Dienstleistungen von NetCologne?

3. Welche Konsequenzen ziehen diese und die Stadtverwaltung aus den aktuellen Erkenntnissen, und welche Maßnahmen werden geplant, um die Sicherheit der Kommunikations-Infrastruktur und das Vertrauen von Bürgerinnen und Bürgern, Unternehmen usw. in den Datenverkehr mit der Kölner Verwaltung, der Polizeibehörde, dem Jobcenter u.a. wiederherzustellen?

4. Welche weiteren Stellen und Behörden werden nun eingeschaltet, wenn z.B. das zentrale städtische Verwaltungsnetz/CAN gegen unberechtigte externe Zugriffe nicht geschützt ist, da es mutmaßliche Schnittstellen bei NetCologne gibt?

5. Wird die Stadtverwaltung Köln rechtliche Schritte gegen den Angriff auf die Kommunikationsstrukturen einleiten? Dazu gehören mögliche Anzeigen wegen Verstoßes gegen § 202a, 202b, 202c StGB (Vorbereitung, Ausspähen und Abfangen von Daten) oder weiterer relevanter Rechtsnormen.

Auch die Piratenfraktion im Landtag NRW ist sofort tätig geworden: Am Donnerstag wird sich der Innenausschuss im Rahmen einer Aktuellen Viertelstunde mit der Untätigkeit der Landesregierung beschäftigen. http://www.piratenfraktion-nrw.de/2014/09/wir-thematisieren-online-einbruch-von-nsa-co-im-landtag-nrw/

[1]
http://www.spiegel.de/netzwelt/netzpolitik/stellar-gchq-hackte-rechnersystem-eines-deutschen-unternehmens-a-991486.html

[2]
http://www.ksta.de/politik/-netcologne-und-die-nsa–kein-verdaechtiger-datenverkehr,15187246,28404376.html

Update 17.9.:

Da sorgt unsere Anfrage doch schon für etwas Wirbel in der Presse: http://www.ksta.de/koeln/ueberwachung-von-netcologne-kunden-koelner-piraten-stellen-anfrage-an-stadt,15187530,28438050.html

Unabhängig neben den oben genannten 5 Fragen an den AVR Ausschuss, gibt es jetzt 6 weitere sehr technische Fragen an die Stadt die ich heute an den Datenschutzbeauftragten der Stadt versendet habe. Danke auch an die im Hintergrund helfenden Spezialisten 😉

1. Gibt ist in der Verwaltung der Stadt Köln ein IT-Migrations-Vorhaben
zu quelloffener Software und Systeme, so wie zu offenen Standards?

2. Wird das Perfect Forward Secrecy (PFS) Verfahren in der Fläche
ausgerollt? Wie hoch ist der Anteil bereits mit PFS ausgestatteter
IT-Systeme? Werden zur Nutzung darüber Statistiken erhoben? Und wird der
Gebrauch von PFS für die Anwender und Bürger gefördert?

3. Werden in dem Firewall-Konzept regelhaft Policies für
Reputations-Systeme gepfleegt? Sind diese Policies anwenderfreundlich
gestaltet? In welchem Intervall wird das Reputationssystem aktualisiert?

4. Welche Kriterien greifen, wenn Mails an die Stadt mit der Meldung
„Local Policy Violation“ abgelehnt werden? Wird erfasst wie viele Mails
zu unrecht abgelehnt werden?

5. Wann werden x509-Zertifikate korrumpierter Aussteller ausgepflegt?

6. Werden Datenträger wie Speicherfelder, RAID- und Backup-Systeme
verschlüsselt? Welche kryptographische Verfahren werden verwendet? Ist
die dafür eingesetzte Software BSI-zertifiziert?

Gremien, Aufsichtsräte, sachkundige Bürger und das alles bitte transparent

Die letzte Ratssitzung am Dienstag war mit 8 1/2 Stunden eine von den längeren und auch eine der besonderen. Ging es doch, mit Ausnahme einer Aussprache zum Thema des Bürgerbegehren archäologische Zone, nur um Personalien. In über 70 geheimen und offenen Abstimmungen haben wir Mitglieder in Gremien, Aufsichtsräte und Ausschüsse benannt. Gemeinsam mit der Linken und der Wählergruppe Deine Freunde haben wir uns im Vorfeld auf eine gemeinsame Liste geeinigt. Dadurch haben wir eine nicht ganz unerhebliche Anzahl an Gremien und Aufsichtsräten bekommen, die wir bei alleinigem Antreten mit Sicherheit nicht bekommen hätten. Zum Verständnis, nicht alles was wir wollten konnten wir auch bekommen. Im Rahmen einer solchen Liste wird eben auch nach Anteilen gezogen und gewählt.

Politik 1.0 nennt man das wohl, aber um Politik 2.0 zu können muss man die Vorgängerversion kennen, einschließlich der Feature die man vielleicht als überholt ansieht. Für mich war die Frage, ob man sich denn überhaupt an dem Postenverteilen beteiligen solle, schnell beantwortet. Hier geht es eben nicht nur um Pöstchen, sondern eben auch um piratigen Einfluss in Gremien und städtischen Unternehmen.

Trotzdem, die Kritik an der Masse von Gremien, Versammlungen und Räten die manchmal nur beratenden Charakter haben und oft, in nichtöffentlicher Sitzung, nur den Anschein von wirklicher Mitsprache vermitteln kommt immer wieder. Eine Kritik die wir nun im Innenleben überprüfen können. Sicher eine Herausforderung in Zukunft für mich.

In folgende Unternehmen und Gremien senden wir Mitglieder, Aufsichtsräte oder Stellvertreter. (Die Personalien sind noch nicht aktualisiert.)

Medien und IT Rat der Stadt Köln

Häfen und Güterverkehr Köln AG

RheinCargo

Zweckverband Sparkasse Köln Bonn

GEW Köln AG

Zweckverband Verkehrsverbund Rhein Sieg VRS

Köln Tourismus GmbH

Stadtentwässerungsbetriebe Köln

Einige der Gremien und Unternehmen wie z.B. Sparkasse, VRS oder der Medien und IT Rat müssen durch Ratsmitglieder besetzt werden andere nicht. Bezahlt wird man als Aufsichtsrat nicht durch ein Gehalt. Dies funktioniert im Allgemeinen so, dass man für jede Aufsichtsratssitzung eine Aufwandsentschädigung bekommt. Nach meinen ersten Recherchen liegt das bei den oben genannten zwischen 50 und 250 Euro pro Sitzung. In der Regel finden 4 Sitzungen im Jahr statt. Ausnahme ist hier die Sparkasse für die gesonderte Regelungen gelten. Spätestens am Ende des Jahres werde ich hier detailliert über meine Aufwandsentschädigungen Auskunft geben.

Für den Bauausschuss werden wir einen sachkundigen Einwohner zur nächsten Ratssitzung am 30.9. benennen.

Weitermachen. Euer Thomas