IT-SicherheitDas BKA verhindert, dass Sicherheitslücken geschlossen werden

Das Bundeskriminalamt will verhindern, dass Hard- und Software-Hersteller von Sicherheitslücken ihrer Produkte erfahren und diese schließen. Mit dieser Begründung verweigert die Polizeibehörde Einblick in Dokumente über Staatstrojaner. Politiker kritisieren, dass der Staat damit die IT-Sicherheit schwächt.

Kaputte Straße
Lieber nicht reparieren und unsicher lassen? CC-BY-NC-ND 2.0 Verkehrsministerium Washington State

Offenhalten oder schließen? Die Bundesregierung überlegt, wie sie mit Sicherheitslücken in IT-Produkten umgeht. Bislang sollen Behörden wie das Bundesamt für Sicherheit in der Informationstechnik vor Schwachstellen warnen und diese den Herstellern melden, damit sie geschlossen werden. Doch das Innenministerium arbeitet an neuen Vorgaben zum Umgang mit Schwachstellen und wird wohl Sicherheitsbehörden erlauben, diese aktiv auszunutzen und Geräte zu hacken.

Auch bisher hat der deutsche Staat keine weiße Weste: Schon vor zehn Jahren hat das BSI dem Bundeskriminalamt bei der Programmierung eines Staatstrojaners geholfen und Quellcode beigesteuert. Das BKA besitzt mittlerweile gleich drei einsatzbereite Staatstrojaner. Obwohl staatliche Institutionen also schon jetzt Sicherheitslücken aktiv ausnutzen, versuchen sie das meist zu verschleiern und geheim zu halten. Das BSI hat sogar eine eigene „Sprachregelung“ zum Thema.

Doch jetzt haben wir eine offizielle Bestätigung. Eine unserer Informationsfreiheits-Anfragen nach Überprüfungen von Staatstrojanern hat das BKA mit einer ganzen Reihe an Ausreden abgelehnt. Unter anderen:

Zum anderen werden die Anbieter kommerzieller Hard- und Software in die Lage versetzt, die von der Überwachungssoftware genutzten Angriffsvektoren (Schwachstellen etc.) zu schließen und den Einsatz der Software unter Umständen dauerhaft zu verhindern.

Schwarz auf weiß: Der Staat will Sicherheitslücken ausnutzen statt sie zu schließen. Um ein paar Verdächtige zu überwachen, will die Polizei IT-Systeme unsicher halten, selbst wenn Millionen oder gar Milliarden Menschen diese Hard- oder Software nutzen. Der kleinste Hinweis, dass ein IT-System unsicher ist, soll vor Öffentlichkeit und Hersteller geheim gehalten werden. Das birgt immense Risiken für die digitale Welt.

BSI: „Sicherheitslücken mit Herstellern diskutieren“

Ein Sprecher des BSI kommentiert auf Anfrage von netzpolitik.org wohlklingend, dass man Sicherheitslücken normalerweise meldet:

Erkenntnisse zu Sicherheitslücken, die öffentlich bekannt sind, auf eigenen Analysen beruhen oder im Rahmen der Zusammenarbeit von CERTs gewonnen werden, diskutiert das BSI gemäß seines gesetzlichen Auftrages regelmäßig mit den jeweiligen betroffenen Herstellern, damit diese die Sicherheitslücken kurzfristig schließen können.

Auf unsere konkrete Nachfrage, ob das BSI in der Vergangenheit jemals von Schwachstellen erfahren hat, die es nicht unmittelbar an den Hersteller gemeldet oder zumindest den Versuch unternommen hat, hat das BSI leider nicht geantwortet.

SPD: „Widerspruch zu Verantwortung für IT-Sicherheit“

Saskia Esken, Mitglied im Innenausschuss für die SPD im Bundestag, kommentiert gegenüber netzpolitik.org:

Ich lehne den Einsatz von Trojanern grundsätzlich ab. Der Staat soll keine Angriffswerkzeuge entwickeln und keine Schwachstellen offenhalten und nutzen, denn das steht im Widerspruch zu seiner Verantwortung für die allgemeine IT-Sicherheit. Solange die Klage der GFF noch keinen Erfolg hat, müssen wir Schadensbegrenzung betreiben, und dazu brauchen wir zumindest parlamentarische Einsicht in die Prüfprotokolle.

FDP: „Regierung verhält sich widersprüchlich“

Konstantin Kuhle, Mitglied im Innenausschuss für die FDP im Bundestag, kommentiert gegenüber netzpolitik.org:

Die Bundesregierung verhält sich widersprüchlich, wenn Sie zum einen immer wieder betont, die Sicherheit von IT-Systemen gewährleisten zu wollen, gleichzeitig aber verhindern will, dass Schwachstellen in diesen geschlossen werden. Die Kommunikation über Messengerdienste ist für viele Menschen fester Bestandteil ihres Alltags – sie müssen sich darauf verlassen können, dass der Staat alles tut, um diese zu sichern.

Linke: „Kampagne zur IT-Sicherheit lächerlich“

Martina Renner, Mitglied im Innenausschuss für die Linke im Bundestag, kommentiert gegenüber netzpolitik.org:

Die Eingriffe der Strafverfolger in Telekommunikation und Computer sind ein Lackmustest für die Demokratie. Behördliche Eingriffe müssen auf ein Minimum beschränkt bleiben und transparent überprüfbar sein. Schon bei den ersten Staatstrojanern hatten unabhängige Untersuchungen durch den Chaos Computer Club gravierende Sicherheitslücken aufgedeckt. Dass laut Bundesregierung die bisher ausgenutzten Schwachstellen den Herstellern und Nutzern nicht bekannt werden dürfen, macht jede Kampagne zur Stärkung der IT-Sicherheit lächerlich und das BSI fast überflüssig.

Grüne: „IT-Sicherheit nur Schall und Rauch“

Konstantin von Notz, stellvertretender Fraktionsvorsitzender der Grünen und Mitglied im Innenausschuss des Bundestags, kommentiert gegenüber netzpolitik.org:

Einerseits ist es schön, dass die Bundesregierung nach einer jahrelangen Diskussion auch endlich zu verstehen scheint, wie die Themen Staatstrojaner, Sicherheitslücken, der staatliche Handel mit ihnen und die IT-Sicherheit zusammenhängen. Dass die Bundesregierung nicht den einzig richtigen Schluss aus dieser Erkenntnis zieht und alles daran setzt, dass Sicherheitslücken den Unternehmen gemeldet und schnellstmöglich geschlossen werden, hingegen ist bitter. Es zeigt, dass all die schönen Worte der Bundesregierung zum Thema IT-Sicherheit kaum mehr als Schall und Rauch sind.

16 Ergänzungen

  1. Lieber Andre,

    wenn Du schon mit einer parteilichen Auflistung von Statements arbeitest, dann sollte die Liste doch vollständig sein. Es nützt wenig, nur die „uns“ nahestehenden Parteien zu Wort kommen zu lassen. Ich finde man sollte es sich nicht ersparen, sich mit dem politischen Gegner auseinander zu setzen. Meine Erfahrung ist, dass man mit deren meist irgendwie schrägen Statements zumindest zeigen kann, wem man diese widrigen Umstände zu verdanken hat, bzw. wer diese noch schlimmer machen will.

    Ich wüsste auf Anhieb auch nicht, wer „netzpolitischer Sprecher“ der CDU oder CSU ist. Wenn dort unterirdische Positionen vertreten werden, dann sollte man es ihnen doch nicht ersparen, sich öffentlich blamieren zu können. Es ist durchaus aufschlussreich, wenn man als Leser zur Kenntnis bekommt, dass Herr/Frau XY für eine Stellungnahme nicht erreichbar war/sich nicht äußern wollte/nichts zu sagen hat/keine Kenntnisse hat.

    1. Danke für den Hinweis. Grundsätzlich hast du Recht und meistens probiere ich auch, alle demokratischen Parteien in den Parlamenten anzufragen. Für die CSU/CSU ist Andrea Lindholz sogar Vorsitzende im Innenausschuss. Leider hatte sie mir auf wiederholte Anfrage bisher nie geantwortet. Daher habe ich es einfach aufgegeben. Nächstes mal frage ich auch die Union wieder.

      1. Dann gehört dieser Umstand (nicht erreichbar sein wollen, nicht verstehen wollen, nicht antworten wollen, …) im Beitrag erwähnt.

    2. Wenn sie nicht auf Anfragen antwortet, wäre es vielleicht durchaus mal interessant, da ein wenig hartnäckiger vorzugehen und vielleicht auch mal im Büro durchzuklingen (falls nicht schon längst probiert). Von daher stimme ich „Feedback“ da zu.

  2. Bei aller Liebe zur Zuspitzung, aber die Überschrift kann ich nicht belegt finden. Besser vielleicht „IT-Sicherheit: Das BKA fände es schön, wenn Sicherheitslücken nicht geschlossen werden“.

    Wenn das Google Project Zero etwas in deiner Android App findet, werden die dem BKA was husten statt das offen stehen zu lassen.

    1. Du hast mir die Worte aus dem Mund genommen. Klare Diskrepanz zwischen Titel und Inhalt. Bei großen Magazinen und Zeitungen würde man das mindestens Clickbait nennen, was ich Netzpolitik aber mal nicht unterstellen möchte.

      1. Sehe icht so.
        Durch das aktive Verschweigen wird die Schließung von Sicherheitslücken be/verhindert.
        Mindestens temporär
        Darum stimmt die Überschrift

    2. Ich behaupte nicht, dass das BKA versucht, das Schließen aller Lücken zu verhindern. Aber die oben zitierte Antwort auf meine Anfrage ist: Sie geben mir Dokumente nicht, weil sonst Lücken geschlossen werden. Damit verhindern sie das Schließen der Lücke. Ich stehe zu meiner Formulierung.

      1. Na ja, du setzt damit vorraus, das die Lücken überhaupt geschlossen werden könnten, so man denn die Dokumente einsehen könnte. Da ist mir immer noch zu viel Konjunktiv.
        (auch wenn ich beim Thema mit dir übereinstimme – aber ein bisschen Journalismus sollte schon sein …)

        1. Dem kann ich so nicht zustimmen. Das BKA sagt doch selbst: „Zum anderen werden die Anbieter […] in die Lage versetzt, die von der Überwachungssoftware genutzten Angriffsvektoren (Schwachstellen etc.) zu schließen […].“ Das zeigt doch klar, dass es um Lücken geht, die geschlossen werden können. Wenn sie nicht geschlossen werden könnten wüsste ich auch nicht, was für eine Begründung sie überhaupt noch für eine Geheimhaltung hätten. Könnte ja so wie so keiner was gegen tun.

          1. Das glaubst du doch selber nicht!
            Bei Diensten und Polizeien gilt stets die Regel:
            „Reden (veröffentlichen) ist Silber, Schweigen (nicht veröffentlichen) ist Gold!“
            Du musst doch zugeben, das nicht veröffentlichte Sicherheitslücken blanke Goldadern (Informationen/Daten) für diese „Goldschürfer“ sind, nicht?
            Diese Leute heucheln der Öffentlichkeit solange Freundlichkeit vor, bis sie dabei erwischt werden!

  3. Der Wahnsinn ist: Sicherheitslücken sind auf Systemen, die WELTweit verbreitet sind. Keine Behörde eines einzelnen Landes hat damit direkten Einfluss auf die Softwareaktualisierungen der Hersteller. Dank Snowden u.a. Whistleblower nicht einmal die NSA! Damit ist das, was das BKA beabsichtigt und sogar lautstark verbreitet, größter Humbug, gefährdet damit einseitig die Sicherheit im EIGENEN Land!

    Manche Smartphone-Hersteller schließen Sicherheitslücken regelmäßig (Apple, Samsung, LGs…), andere wie Sony, spätestens ein halbes Jahr später nicht mehr – dann sollten die Behörden doch darauf drängen, dass im eigenen Land keine Iphones und andere i*, Galaxies mehr verkauft werden, sondern nur noch Xperias u.ä. zuzulassen, haha! Allerdings bekommen diese Hersteller dann wiederum aufgrund der Google-Firmen-Philosophie keine neuen Android-Versionen mehr. Allein das hier zeigt, wie absurd doch das Ansinnen dieser Behörden im weltwirtschaftlichen Maßstab ist.

  4. Die erwähnten Statements sind nichts wert. Alle aufgeführten Parteien sind wenigstens an Landesregierungen beteiligt, die Staatstrojaner auf Landesebene planen bzw. sich als Fraktion nicht dagegen wehren. Die Aussagen von von Notz können noch so richtig sein, wenn dieselbe Partei z.B. in Hessen den Hessentrojaner im Landtag in einem ganz linken Manöver mit der CDU beschließt, obwohl die Landesmitgliederversammlung sich ausdrücklich dagegen ausgesprochen hat. Wenn es um den Machterhalt geht, sind Bürgerrechte völlig egal. Von SPD und FDP fang ich erst gar nicht an. Da muss man nur NRW und NDS nennen.
    Auch bei den Linken in Brandenburg bahnt sich dieses Verhalten an. Mir ist aus Brandenburg noch kein ernsthafter Widerstand der Linken gegen die Pläne von IM Schröter bekannt geworden.

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.