Friedrich: Trojaner-Hersteller haben kein Interesse an Sicherheitslücken

Zeit-Online hat unseren Bundesinnenminister Hans-Peter Friedrich ausführlich zum Thema Internet und Netzpolitik interviewt. Neben vielen Floskeln und bereits bekannten Positionen gibt es aber auch ein paar interessante Statements. Twitter nutzt er nicht, weil „da müsste man ständig dranbleiben, dazu habe ich keine Zeit“. Dafür ist er bei Google+, bei VZ und bei Facebook. Was da groß der Unterschied zu Twitter ist, weiß ich jetzt nicht. Aber im Ernst, das macht er eh nicht selbst:

Aber im Ernst: ich habe eine Mitarbeiterin, die meine Aktivitäten, Presseartikel und Termine in die sozialen Netzwerke einstellt. Kommentare schreiben und Nachrichten beantworten mache ich natürlich selbst. Leider habe ich wenig Zeit und kann mich daher viel zu selten darum kümmern. Ich schaue mir sehr häufig an, wie die Nutzer das kommentieren. Wobei das Meinungsbild dort natürlich subjektiv ist, denn dort kommentieren ja meine von mir ausgewählten Freunde.


Ich bin mir jetzt nicht sicher, wie der letzte Satz zu verstehen ist. Soweit ich das zumindest bei Facebook und Google+ verfolgt habe, sollte die Assistentin vielleicht mal Herrn Friedrich erklären, dass man dort nicht nur als von ihm ausgewählter Freund kommentieren kann.

Lustig ist die Frage, ob er schon mal Probleme hatte, beispielsweise mit einer Schadsoftware oder einem Virus. Friedrich antwortet:

Es gab mehrere Fake-Accounts unter meinem Namen bei Twitter und Facebook, sonst aber hatte ich bislang keine Probleme. Doch die angesprochene Gefahr ist real:

Auf die Vorratsdatenspeicherung angesprochen bedauert Friedrich den emotional stark belasteten Begriff:

Bedauerlicherweise ist das Thema mit dem Begriff Vorratsdatenspeicherung emotional stark belastet, etwa mit dem Vorwurf, es würden von jedem verdachtsunabhängig Daten erhoben. Im Grunde geht es darum, die Verbindungsdaten, die bei den Anbietern ohnehin etwa zum Zwecke der Abrechnung anfallen, eine Zeitlang zu speichern.

Irgendwie entkräftet er den Vorwurf jetzt aber nicht, dass damit von jedem Telekommunikationsteilnehmer verdachtsunabhängig Daten erhoben werden.

Aber Höhepunkt des Interviews ist die Antwort von Friedrich auf die Feststellung der Fragenden, dass es nicht so einfach sei, Software ohne den Quellcode zu testen:

Friedrich: Auch die Softwarehersteller stehen im Wettbewerb und haben ja ein Interesse daran, eine einwandfreie Software zu erstellen, also keine Hintertür oder Sicherheitslücke in solch ein Programm einzubauen.

Na dann ist ja alles gut. Vor allem wäre wahrscheinlich ohne Chaos Computer Club niemandem aufgefallen, dass die eingesetzte Trojaner-Software Sicherheitslücken und Hintertüren hat. Übrigens sollen zukünftig eingekaufte Trojaner von einem Team überprüft werden, aber das muss erstmal eingerichtet werden. Und den Quellcode möchte man jetzt auch haben, zumindest danach fragen:

Solange wir noch Fremdprogramme nutzen müssen, werden wir die Firmen um den Quellcode bitten und diesen von einem Expertenteam auf Übereinstimmung mit der Leistungsbeschreibung sowie auf Sicherheitslücken prüfen lassen. Dadurch haben wir eine zusätzliche Kontrolle. Das Team wird getrennt von den Sicherheitsbehörden – wie dem Bundeskriminalamt – arbeiten. In der nächsten Innenministerkonferenz wollen wir diskutieren, wer zu solch einem Team gehören könnte.

Das klingt nicht so, als ob man das bisher besser gemacht hätte. Dafür gründet man jetzt aber einen Arbeitskreis.

Deine Spende für digitale Freiheitsrechte

Wir berichten über aktuelle netzpolitische Entwicklungen, decken Skandale auf und stoßen Debatten an. Dabei sind wir vollkommen unabhängig. Denn unser Kampf für digitale Freiheitsrechte finanziert sich zu fast 100 Prozent aus den Spenden unserer Leser:innen.

26 Ergänzungen

  1. Das sind für mich weiterhin alles Nebelkerzen. Man versucht zu beschwichtigen und gelobt Besserung – nicht zuletzt um auch die eklatanten Fehler der Vergangenheit zu vertuschen.

    Das hier passt weiterhin wie Arsch auf Eimer http://twitpic.com/72yh23

  2. Da ignoriert er aber bewusst ökonomische Gegebenheiten. Es ist doch für eine Firma viel billiger einen Trojaner zu programmieren, der alle Funktionen von QuellTKÜ und Onlinedurchsuchung enthält. Alle bekommen das gleiche Programm, nur die Dokumentation wird dem jeweiligen Auftraggeber angepasst: Seht her, nur diese Kommandos versteht euer Trojaner. Und schon ist für die Behörden alles gut. Und wer stellt denn sicher, das der gekaufte Trojaner auch mit dem in augenschein genommenen Quellcode kompiliert ist.

  3. Und weil der Herr Friedrich Softwareherstellern so vertraut und die ja niiiiieeeee schlechten oder gar fehlerhaften oder – Gott behüte – Code mit Spionagefunktionen einschleusen, wird auch im BMI die sicherheitsrelevante Software nicht im Quellcode überprüft. *Ironie off*

    Weil das BSI genau weiss, dass der Friedlich da Mist redet, schreibt das BSI in jede Softwarebeschaffung, die irgendeine Sicherheitsrelevanz hat (also fast alles, nach Meinung des BSI), dass das BSI den Code prüfen darf und dass ohne Prüfung gar nix geht. Die sind ja nicht blöd, aber wenns nur um Grundrechte geht, da ist das ja nicht so wichtig…

  4. Ob man (Staat) via Skype in Luxemburg leichter Gespräche abhören könnte, ohne auf den Rechnern der Betroffenen rummachen zu müssen, dazu gibt es widersprüchliche Aussagen.
    Was stimmt denn nun eigentlich?

  5. Entspricht es eigentlich den Nutzungsbedingungen von Facebook und Co, wenn man seine Zugangsdaten an Mitarbeiter weitergibt? Das Internet darf doch kein rechtsfreier Raum sein!1!

  6. War es nicht so, dass Digitask sich als einzige Firma um den Auftrag für den Staatstrojaner bewarb? Und war es nicht so, dass im Jahr 2009 Aufträge an DT ohne jede Ausschreibung gingen? (http://www.n-tv.de/politik/Bund-will-Trojaner-entwickeln-article4570526.html) Wurde eine Digitask-Manager nicht zu einer hohen Geldbuße und einer Freiheitsstrafe (zur Bewährung) verurteilt, weil er Behördenmitarbeiter bestach?
    So viel zum Thema Wettbewerb, über solche Zustände würde sich nur noch die „richtige“ Rüstungsindustrie nicht schämen.

  7. Es ist schon erstaunlich, wie Friedrich bei den meisten wirklich relevanten Punkten einfach ausweicht und mit irgendwas Belanglosem antwortet.

    Beispielsweise die Frage nach dem nicht vorhandenen Quellcode für den Staatstrojaner: Da faselt er dann plötzlich was von „Ja, auch die Hersteller sind bemüht, ihre Software besser zu machen!“ Äh, wie meinen!? Der Interviewer Kai Biermann muss sich ja ziemlich verkaspert vorgekommen sein, so eine ausweichende Antwort zu bekommen. Und als er dann nachhakt, antwortet Friedrich, die Behörden wollen Trojaner künftig selbst entwickeln. Daß man dabei höchstwahrscheinlich immer noch auf den Zukauf von Exploits angewiesen sein wird, sofern man die Trojaner denn nicht im Rahmen eines Wohnungseinbruchs bei dem Beschuldigten selbst durchführen will, verschweigt Friedrich.

    Aber es geht ja noch weiter: Ich habe ja schon öfter mit dem Verweis auf das Übermaßverbot gesagt, daß die Behörden zwecks Skype-Abschnorchelung gar nicht trojanisieren müssen, sondern es schlicht und ergreifend ausreicht, bei Skype Luxemburg die in Skype fest mitinstallierte Abhörschnittstelle anzufragen. Dazu Friedrich sinngemäß: „Wat? Skype-Abhörschnittstelle? Nie was von gehört!“ Woraufhin ZeitOnline: „Davon hat Sabine Leutheusser-Schnarrenberger, die Bundesjustizministerin bereits gesprochen!“ Und Friedrich: „Ja, öhhm …also die Jungs von der Generalbundesanwaltschaft haben die Existenz dieser Abhörschnittstelle immer bestritten!“

    Ja, Friedrich! NACHFRAGEN. Jedes Kind, das sich mit dem Thema beschäftigt hat, kann Dir heute sagen, daß Skype diese Abhörschnittstelle den Ermittlern zur Verfügung stellt! Einfach mal den Höher in die Hand nehmen und NACHFRAGEN! m(

    Und dann das Thema Vorratsdatenspeicherung. Die brauchen wir UN-BE-DINGT, weil wir ja sonst keine Verbrecher mehr fangen können. Ist doch völlig Pumpe, daß Ermittlern Befugnisse zur Verfügung stehen, die die VDS im Grunde bereits überflüssig machen, Hauptsache man fordert munter weiter die VDS. Am besten finde ich ja die Begründung, Achtung festhalten: „Wir haben eine eine europarechtliche Verpflichtung“. NEIN, WIRKLICH? Ohooo, wir können also überhaupt gar nichts dafür. Das böse Europa ist das schuld. WIR müssen ja nur ausführen, was die EU uns vorschreibt!!1! Mal abgesehen davon, daß Deutschland eigentlich nur mal mit dem Fuß aufstampfen müsste, damit die VDS-Richtlinie schnell wieder in den Shredder kommt, finde ich es einfach nur lächerlich, daß Friedrich so tut, als wenn Deutschland gar keine andere Möglichkeit hätte, als die Richtlinie in nationales Recht zu überführen.

    Pah, Friedrich go home! Der Mann gehört zurückgetreten – alleine schon für das, was er sich mit dem Staatstrojaner geleistet hat.

  8. Es ist erstaunlich wie sehr sich die Verantwortlichen hier in Widersprueche verstricken und Fragen nicht beantworten wollen oder koennen. Hier wird das Interview zurecht auseinander genommen.

    Leider ist das Thema inzwischen von der Titelseite in die Internet-Rubrik gerutscht. Das Medieninteresse gilt nun anderen Themen, und Friedrich, Herrmann und wer noch alles seine Finger darin hat koennen den Trojaner bequem aussitzen.

    Und nach zwei Wochen hat es sogar die Piratenpartei geschafft wieder was zu dem Thema zu bringen. Was fuer Schnarchnasen.

  9. Wenn man Friedrichs Argumente ernst nehmen würde, dann bräuchten wir kein Gesundheitsamt, kein Ordnungsamt, keine Garantie, keinen Verbraucherschutz.
    Denn unter „Wettbewerb“ regelt sich alles von selbst…

  10. Hallo,

    könnt Ihr bitte mal Eure Kommentar-Funktion fixen? Wenn ich netzpolitik.org über https benutze, bekomme ich eine Warnung, dass die Daten unverschlüsselt übertragen werden, und dann schmeisst Euer System den Text weg.

    Viele Grüsse,
    VB.

  11. „Bedauerlicherweise ist das Thema mit dem Begriff Vorratsdatenspeicherung emotional stark belastet, etwa mit dem Vorwurf, es würden von jedem verdachtsunabhängig Daten erhoben.“

    Totaler Realitätsverlust? Bewusste Verarsche? Abgeschaltetes Logikzentrum? Oder Taktik zur Verblödung der Interviewer?

  12. Ich möchte mal kurz darauf hinweisen, dass das Interview auch mindestens eine positive Antwort enthielt:

    Eine Vorfahrt für Daten bestimmter Betreiber oder Anbieter darf es nicht geben.

    1. @Frank: Hab ich auch eine Millisekunde gedacht bis mir klar wurde, das Aussage obsolet wird, sobald Friedrich einen Notruf in ip-Netzen einfordert. Insofern nicht mal ein Lippenbekenntnis wert!

      1. das stimmt. man muss den argumentenschreiber in diesem falle loben, denn überwachungsfriedrich hat null plan von dem was er in die nichtbayrische welt prollt.

  13. Verniedlichungen, Beschwichtigungen, Halbwahrheiten, Unwahrheiten, Menschen verängstigen, etc, etc, etc. Irgendwie kann ich mich nicht erinnern, von der Person irgendwann mal einen guten Beitrag zu einem Thema in der Netzpolitik gehört bzw. gelesen zu haben.
    Und sowas ist Bundesminister! Armes Deutschland.

  14. „Bedauerlicherweise ist das Thema mit dem Begriff Vorratsdatenspeicherung emotional stark belastet, etwa mit dem Vorwurf, es würden von jedem verdachtsunabhängig Daten erhoben. Im Grunde geht es darum, die Verbindungsdaten, die bei den Anbietern ohnehin etwa zum Zwecke der Abrechnung anfallen, eine Zeitlang zu speichern.“
    Falsch – ganz falsch!
    In Zeiten von flatrates, wobei ich zugeben muss, das ich auch noch Einige kenne, die eine zeitliche Abrechnung haben, gilt meines Wissens nach, immer noch das s.g Holger Voss Urteil von 2003. In diesem wird klar und explizit gesagt, dass Verbindungsdaten „unverzueglich“, max 7 Tage Vorhaltedauer, zu loeschen sind. § 96 TKG laesst zwar einige Aufzeichnungen zu (bitte selber lesen http://www.gesetze-im-internet.de/tkg_2004/__96.html), aber vom Prinzip her, duerfen diese Daten nicht pauschal ueber jeden erhoben und WEITERVERWENDET werden.
    Die Juristen unter den Lesern duerfen SEHR gerne neue und rechtliche wichtige Informationen hinzufuegen, Der Diskurs waere dadurch erheblich interessanter.
    MfG

  15. Ich hab mich ein bisschen über diese Äußerung Friedrichs gewundert:

    „In dem Moment, wo jemand verdächtig ist, können unsere Sicherheitsbehörden heute sowieso schon vieles abfragen. Aber viele Verdächtige bleiben unbekannt. Wir müssen daher auch in die Zeit zurückgehen können, in der eine Person noch nicht verdächtig war – um erfahren zu können, mit wem sie Kontakt hatte und wer in ihrem Umfeld vielleicht auch etwas plant.“

    Das bedeutet doch, das Vorratsdaten auch dann von Providern abgefragt werden sollen, wenn noch gar kein Anfangsverdacht besteht.

    1. Sorry, falsch verstanden. Der Satz „Aber viele Verdächtige bleiben unbekannt.“ hat mich da in die Irre geleitet, es geht offensichtlich NICHT unbekannte Verdächtige. Sehr missverständlich formuliert.

  16. Man sollte eine Ethikkommission einrichten!

    Die kann dann alle Fragen zu den Trojaner klären und wird ausgewählten Politikern dann irgendwann bericht erstatten und Empfehlungen aussprechen.

    Oder eine Art Enquete-Kommission…

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.