Schwachstellen-ManagementDer Staat sollte alle IT-Sicherheitslücken schließen. Manche lässt er lieber offen.

Viele Behörden nutzen Sicherheitslücken zum Hacken statt sie zu stopfen. Die Bundesregierung arbeitet an einer Entscheidungsstruktur, was mit einzelnen Schwachstellen passiert. Abgeordnete haben nachgefragt, zu den meisten Fragen schweigt die Regierung. Wir veröffentlichen die Antworten.

Schild Gefahr
Lieber nicht warnen, es könnte ja auchmal die „Richtigen“ treffen? CC-BY-SA 2.0 Martin Abegglen

Mal angenommen, die Schlösser sämtlicher Diesel-Autos haben eine Schwachstelle, mit denen man die Fahrzeuge unbefugt öffnen und wegfahren kann. Und ein deutscher Beamter erfährt von dem Problem. Muss er die Sicherheitslücke melden und beseitigen lassen, damit Kriminelle auf der ganzen Welt nicht millionenfach Autos stehlen? Oder darf er das geheim halten, weil sein Arbeitgeber vielleicht mal einen Schlüssel für einen Firmenwagen verlieren könnte und dann wäre das ja ganz praktisch?

Das klingt absurd, ist es aber nicht. So gehen deutsche Behörden mit Sicherheitslücken in Hard- und Software um. Das Bundeskriminalamt hat zugegeben, Schwachstellen nicht an Hersteller zu melden, um sie für Hacking-Angriffe ausnutzen zu können. Im schlimmsten Fall überwacht die Polizei einen Drogendealer per Staatstrojaner, während mit der selben Lücke der Bundestag gehackt wird. Dem US-Geheimdienst NSA ist das mit mit der Schadsoftware WannaCry passiert.

Behörde für IT-Sicherheit

In Deutschland ist eine eigene Bundesoberbehörde zuständig für IT-Sicherheit: das Bundesamt für Sicherheit in der Informationstechnik. Das BSI erforscht und erhält Sicherheitslücken und meldet diese an die Hersteller, damit sie geschlossen werden.

In den letzten fünf Jahren hat das BSI von „rund 550 den Herstellern bis dato unbekannte IT-Sicherheitslücken“ erfahren und gemeldet. Das antwortet das Innenministerium auf eine Frage des FDP-Bundestagsabgeordneten Konstantin Kuhle, wir veröffentlichen die Antwort.

Das BSI betont in der Öffentlichkeit, nur für defensive Sicherheit zuständig zu sein. Das ist aber nicht die ganze Wahrheit. Vor fünf Jahren haben wir enthüllt, dass die Bonner Behörde auf Anweisung des Innenministeriums bei der Programmierung des Staatstrojaners geholfen und Quellcode beigesteuert hat. Öffentlich hat das BSI diese Beteiligung abgestritten – das war gelogen.

Behörde und IT-Sicherheit

Im BSI-Gesetz ist geregelt, dass das Bundesamt Informationen über Sicherheitslücken erhält, sowohl von Forschern als auch anderen Behörden, um die Lücken zu melden und zu schließen. Das BSI kann Schwachstellen aber auch an Polizei und Geheimdienste weitergeben, und diese Behörden dürfen die Lücken ausnutzen.

Für diesen Artikel haben wir das BSI erneut gefragt, ob die Behörde schon einmal eine Schwachstelle an Polizei oder Geheimdienste gegeben hat, bevor sie geschlossen wurde. Ein Sprecher hat mit dem selben Standard-Satz wie letztes Mal geantwortet: „Das BSI disktutiert regelmäßig mit den jeweiligen betroffenen Herstellern, damit diese die Sicherheitslücken kurzfristig schließen können“.

Das wissen wir, deshalb haben wir gefragt, was außerhalb der Normalität und bis zum Patchen der Lücken passiert. Auf diese konkrete Nachfrage haben wir auch dieses Mal keine Antwort bekommen.

Behörden gegen IT-Sicherheit

Mittlerweile dürfen eine ganze Reihe deutscher Behörden hacken und dafür Sicherheitslücken ausnutzen. Der BND hat seit mindestens 2007 eine eigene Hacker-Einheit. Die Bundeswehr hat 2015 ein ganzes Mobilfunk-Netz gehackt. Das BKA darf seit 2009 Staatstrojaner einsetzen. Seit drei Jahren dürfen sämtliche Polizeibehörden hacken, zudem wurde eine eigene Hacker-Behörde gegründet. Erst letzte Woche haben wir einen Gesetzentwurf veröffentlicht, der den restlichen 18 Geheimdiensten das Hacken erlaubt.

All diese Behörden nutzen Sicherheitslücken aus, obwohl das IT-Sicherheit und öffentliche Sicherheit schwächt. Wie oft der Staat Lücken geheim hält und ausnutzt statt sie zu schließen, ist ein großes Geheimnis.

Die Linke Bundestagsabgeordnete Martina Renner hat dazu eine kleine Anfrage gestellt, aber die interessanten Fragen beantwortet das Innenministerium nicht: Wenn Informationen über Schwachstellen öffentlich werden, könnten sie ja jemand schließen. Sämtliche Fragen zu Zero-Day-Sicherheitslücken, die dem Hersteller unbekannt sind, werden gar nicht beantwortet. Nicht einmal „streng geheim“ darf das Parlament davon erfahren.

Behörden und Sicherheitslücken

Dieser Gegensatz – das BSI meldet Sicherheitslücken und schließt sie, andere Behörden hamstern Sicherheitslücken und halten sie offen – führt immer wieder zu Spannungen. Weil das bisher nicht eindeutig und nicht in einer Gesamtschau geregelt ist, arbeitet die Bundesregierung seit zwei Jahren an einem „Schwachstellen-Management“.

Der Liberale Konstantin Kuhle hat nachgefragt, wie der Umgang mit Schwachstellen geregelt ist und was der Stand dieses Schwachstellen-Managements ist. Die Bundesregierung antwortet, dass sie sich „derzeit inhaltlich mit dieser Thematik auseinandersetzt“ und die Meinungsbildung noch nicht abgeschlossen ist. Deshalb erfährt das Parlament keine weiteren Details.

Nach Informationen von netzpolitik.org soll das neue Schwachstellen-Management kein Gesetz werden, sondern eine Verordnung. Mit Verordnungen und Erlassen können Regierungsorgane ihnen nachgeordneten Dienststellen Anweisungen erteilen. Solche Rechtsakte müssen nicht vom Parlament beschlossen werden, nicht einmal von der Bundesregierung. Innenminister Seehofer kann alleine eine Verordnung über BSI, BKA, Verfassungsschutz und ZITiS erlassen.

Seit über einem Jahr verhandeln die relevanten Ministerien über den Prozess und die Gremien für ein Schwachstellen-Management. Dazu diskutieren neben dem Innenministerium vor allem das Kanzleramt mit dem BND und das Verteidigungsministerium mit der Bundeswehr. Das Auswärtige Amt ist ebenfalls beteiligt: Wenn Deutschland den anderen 192 Staaten eine Sicherheitslücke absichtlich verschweigt, kann das diplomatische Auswirkungen haben.

Derzeit sieht es nicht nach einer baldigen Einigung aus.

Gift für IT-Sicherheit

Die demokratische Opposition im Bundestag kritisiert das Geheimhalten und Ausnutzen von Sicherheitslücken.

Für die stellvertretende Linken-Vorsitzende Martina Renner sind die Regierungs-Verhandlungen „eine interne Abwägung, welche Sicherheitslücken wie lange offen und angreifbar bleiben sollen. Das gefährdet die IT-Sicherheit aller Nutzer:innen und damit uns alle. Ihren Schutzauftrag haben diese Behörden komplett verfehlt.“

Konstantin von Notz, stellvertretender Vorsitzender der Grünen in Bundestag, kommentiert: „Der Handel mit Sicherheitslücken ist Gift für die IT-Sicherheit und wer mit ihnen hehlt statt sie zu schließen, ist Teil des Problems und nicht der Lösung. Wir brauchen endlich eine Meldepflicht. Eine solche war – auch mit der Union – im Zuge der Jamaika-Sondierungen längst vereinbart.“

Die FDP im Bundestag hat das Offenhalten von Sicherheitslücken letztes Jahr noch abgelehnt. Jetzt äußert sich der innenpolitische Sprecher Konstantin Kuhle differenzierter: „Der Staat darf Sicherheitslücken nur nutzen, wenn er ein transparentes Schwachstellenmanagement einführt, bei dem das Interesse der Sicherheitsbehörden an der Nutzung von Schwachstellen gegen das Interesse der Allgemeinheit an der Schließung von Sicherheitslücken abgewogen wird.“

Das dürfte die Bundesregierung ähnlich sehen. Deshalb arbeitet sie ja genau daran. Bis dahin hacken diverse deutsche Behörden weiter nach den bisherigen Einzelregelungen.


  • Datum: 17. Juni 2020
  • Vorgangstyp: Schriftliche Frage
  • Fraktion: FDP
  • Abgeordneter: Konstantin Kuhle
  • Antwort: Bundesministerium des Innern, für Bau und Heimat

Frage:

Wie viele, dem Hersteller bis dato unbekannte, IT-Sicherheitslücken wurden dem Bundesamt für Sicherheit in der Informationstechnik (BSI) seit Inkrafttreten des IT-Sicherheitsgesetzes 2015 bekannt oder gemeldet und wie viele hat das BSI an die Hersteller weitergeleitet?

Antwort:

Seit Inkrafttreten des IT-Sicherheitsgesetzes 2015 wurden dem BSI rund 550 den Herstellern bis dato unbekannte IT-Sicherheitslücken bekannt oder gemeldet. Alle Sicherheitslücken wurden an die jeweiligen Hersteller weitergeleitet.

Darüber hinaus wurden auch im Rahmen der von externen Prüflaboren im Auftrag des BSI durchgeführten Evaluierungen im Rahmen von Zertifizierungen von IT-Produkten produktspezifische Schwachstellen gefunden.

Zwecks Behebung werden diese unmittelbar an den Hersteller des Produkts gemeldet und dem BSI nur in Ausnahmefällen nachträglich als Bestandteil der Prüfergebnisse bekannt.


  • Verschlusssache: Nur für den Dienstgebrauch
  • Datum: 19. Juni 2020
  • Vorgangstyp: Kleine Anfrage
  • Fraktion: Die Linke
  • Antwort: Bundesministerium des Innern, für Bau und Heimat
  • Drucksache: 19/20245

Einsatz von Schadsoftware und Ausnutzen von Sicherheitslücken durch Bundesbehörden

Vorbemerkung der Fragesteller:

Seit der Änderung des Bundeskriminalamtgesetzes (BKAG) im Frühjahr 2017 darf das BKA Schadsoftware wie Trojaner bzw. Überwachungssoftware auch präventiv zur sogenannten Gefahrenabwehr im Bereich des internationalen Terrorismus einsetzen. Darüber hinaus steht diese Möglichkeit den Polizeien auch im Zusammenhang mit der Strafverfolgung als repressives Mittel für die Aufklärung „besonders schwerer Straftaten“ zur Verfügung. Auch der Zoll hat inzwischen eine gesetzliche Regelung für den Einsatz von Überwachungssoftware u. a. für die präventive Telekommunikationsüberwachung erhalten. In mehreren Bundesländern (u. a. Bayern, Hessen, Niedersachsen) wurden ebenfalls vergleichbare Regelungen eingeführt. Zuletzt wurde berichtet, dass künftig auch dem Bundesamt für Verfassungsschutz (BfV) der Angriff auf informationstechnische Systeme erlaubt werden soll. Der tatsächliche Umfang des Einsatzes, deren Nutzung sowie der insoweit möglicherweise sogar angerichtete Schaden durch diese Überwachungsmaßnahmen ist völlig ungewiss, da Bundesregierung und Behörden an einer transparenten Information der Öffentlichkeit nicht interessiert sind und stattdessen Sicherheitsbedenken und Geheimhaltungsinteressen zitieren.

Vorbemerkung der Bundesregierung:

Zwar ist der parlamentarische Informationsanspruch grundsätzlich auf die Beantwortung gestellter Fragen in der Öffentlichkeit angelegt, soweit parlamentarische Anfragen jedoch Umstände betreffen, die aus Gründen des Staatswohls geheimhaltungsbedürftig sind, hat die Bundesregierung zu prüfen, ob und auf welche Weise die Geheimhaltungsbedürftigkeit mit dem parlamentarischen Informationsanspruch in Einklang gebracht werden kann.

Die Bundesregierung ist nach sorgfältiger Prüfung zu der Auffassung gelangt, dass aufgrund der Schutzbedürftigkeit der erfragten Informationen eine Beantwortung sämtlicher Fragen in offener Form nur teilweise erfolgen kann.

Im Einzelnen:

Die Antworten zu den Fragen 1, 4, 5, 7 und 10 sind in Teilen als VS-NUR FÜR DEN DIENSTGEBRAUCH eingestuft. Die erbetenen Auskünfte sind in Teilen geheimhaltungsbedürftig, weil sie Informationen enthalten, die im Zusammenhang mit der Arbeitsweise und Methodik der von der Kleinen Anfrage betroffenen Behörden des Bundes und insbesondere deren Aufklärungsaktivitäten und Analysemethoden stehen. Die Fragen betreffen zum Teil detaillierte Einzelheiten zu ihren technischen Fähigkeiten und ermittlungstaktischen Verfahrensweisen. Aus dem Bekanntwerden der Antworten könnten Rückschlüsse auf Vorgehensweise, Fähigkeiten und Methoden der Sicherheitsbehörden gezogen werden, was wiederum nachteilig für die Aufgabenerfüllung der durchführenden Stellen und damit für die Interessen der Bundesrepublik Deutschland sein kann.

Deshalb sind die Antworten zu den genannten Fragen gemäß § 2 Absatz 2 Nummer 4 der Allgemeinen Verwaltungsvorschrift zum materiellen Geheimschutz (VS-Anweisung – VSA) in Teilen als „VS-NUR FÜR DEN DIENSTGEBRAUCH“ eingestuft und werden als nicht zur Veröffentlichung in einer Bundestagsdrucksache bestimmte Anlage übermittelt.

Die Antwort zu Frage 4 wurde „GEHEIM“ eingestuft‚ da die erbetenen Auskünfte Informationen enthalten, die im Zusammenhang mit der Arbeitsweise und Methodik der Nachrichtendienste des Bundes und insbesondere deren Aufklärungsaktivitäten und Analysemethoden stehen. Der Schutz vor allem der technischen Aufklärungsfähigkeiten der Nachrichtendienste des Bundes stellt für deren Aufgabenerfüllung einen überragend wichtigen Grundsatz dar. Er dient der Aufrechterhaltung der Effektivität nachrichtendienstlicher Informationsbeschaffung durch den Einsatz spezifischer Fähigkeiten und damit dem Staatswohl. Eine Veröffentlichung von Einzelheiten betreffend solche Fähigkeiten würde in zunehmendem Maße zur Ineffektivität der eingesetzten Mittel führen, da Personen im Zielspektrum der Maßnahmen sich auf die Vorgehensweisen und Fähigkeiten der Sicherheitsbehörden einstellen und entsprechend auf andere Kommunikationswege ausweichen könnten. Dies hätte – mit Blick auf das derzeitige Kommunikationsverhalten der im Fokus stehenden Akteure – eine wesentliche Schwächung der den Nachrichtendiensten des Bundes zur Verfügung stehenden Möglichkeiten zur Informationsgewinnung zur Folge.

Dies würde für die Auftragserfüllung der Nachrichtendienste des Bundes erhebliche Nachteile zur Folge haben. Insofern könnte die Offenlegung entsprechender Informationen die Sicherheit der Bundesrepublik Deutschland gefährden oder ihren Interessen schweren Schaden zufügen. Deshalb sind die entsprechenden Informationen als Verschlusssache gemäß § 2 Absatz 2 Nummer 2 der VSA „GEHEIM“ eingestuft und werden zur Einsichtnahme in der Geheimschutzstelle des Deutschen Bundestages hinterlegt.

Die Beantwortung der Fragen 2, 3, 10, 16 und 17 berühren in besonders hohem Maße das Staatswohl. Nach Abwägung ist die Bundesregierung zu dem Schluss gekommen, dass auch das geringfügige Risiko ihrer Offenlegung nicht getragen werden kann und deshalb die Fragen hinsichtlich der Nachrichtendienste des Bundes auch nicht in eingestufter Form beantwortet werden können.

Das verfassungsmäßig verbürgte Frage- und Informationsrecht des Deutschen Bundestages gegenüber der Bundesregierung wird durch schutzwürdige Interessen von Verfassungsrang begrenzt, wozu auch und insbesondere Staatswohlerwägungen zählen.

Durch eine Offenlegung der angefragten Informationen würden Einzelheiten zur konkreten Methodik der Nachrichtendienste benannt, die die weitere Arbeitsfähigkeit und Aufgabenerfüllung auf dem spezifischen Gebiet der technischen Aufklärung gefährden würde.

Eine Bekanntgabe von Einzelheiten über angewandte Verfahren im Zusammenhang mit Sicherheitslücken in IT-Systemen und deren Beschaffung würde weitgehende Rückschlüsse auf die Arbeitsweise sowie technischen Fähigkeiten und damit mittelbar auch auf die technische Ausstattung und das Aufklärungspotential der Nachrichtendienste zulassen.

Dadurch könnte die Fähigkeit, nachrichtendienstliche Erkenntnisse zu gewinnen, in erheblicher Weise negativ beeinflusst werden. Die Gewinnung von Informationen durch technische Aufklärungsmaßnahmen ist für die Sicherheit der Bundesrepublik Deutschland und für die Aufgabenerfüllung der Nachrichtendienste jedoch unerlässlich.

Sofern solche Informationen entfallen oder wesentlich zurückgehen sollten, würden empfindliche Informationslücken auch im Hinblick auf die Sicherheitslage der Bundesrepublik Deutschland drohen. Dies betrifft insbesondere die Möglichkeiten zur Aufklärung nationaler und internationaler terroristischer Bestrebungen, bei denen derartige Kommunikationsmittel in besonderem Maße von den beobachteten Personen genutzt werden.

Insofern birgt eine Offenlegung der angefragten Informationen die Gefahr, dass Einzelheiten zur konkreten Methodik und zu aus den vorgenannten Gründen im hohen Maße schutzwürdigen spezifischen Fähigkeiten der Nachrichtendienste des Bundes bekannt würden. Infolgedessen könnten sowohl staatliche als auch nichtstaatliche Akteure Rückschlüsse auf spezifische Vorgehensweisen und Fähigkeiten der Nachrichtendienste des Bundes gewinnen. Dies würde folgenschwere Einschränkungen der Informationsgewinnung bedeuten, womit letztlich der gesetzliche Auftrag der Nachrichtendienste des Bundes (§ 1 Absatz 2 Gesetz über den Bundesnachrichtendienst [BNDG]‚ § 3 Absatz 1 Bundesverfassungsschutzgesetz [BVerfSchG], §§ 1 Absatz 1 und § 14 Absatz 1 Gesetz über den militärischen Abschirmdienst [MADG]) nicht mehr sachgerecht erfüllt werden könnte.

Soweit die Sicherheitsbehörden des Bundes mit polizeilichen Aufgaben Bundeskriminalamt (BKA), Bundespolizei (BPOL) und Zollkriminalamt / Financial Intelligence Unit (ZKA / FIU) von den Fragestellungen betroffen sind, kann die Beantwortung der Fragen 2, 4, 5, 6, 8, 9, 13, 16 und 17 ebenfalls nicht bzw. nicht vollumfänglich erfolgen. Eine Bekanntgabe von Einzelheiten der bei diesen Behörden zur Bekämpfung von Kriminalität und Terrorismus im Rahmen ihrer jeweiligen Zuständigkeit eingesetzten Softwareprodukte für die Bearbeitung und Auswertung von Ermittlungsverfahren würde weitgehende Rückschlüsse auf die technischen Fähigkeiten sowie die taktischen Einzelheiten bzw. Arbeitsabläufe und damit mittelbar auch sowohl auf die derzeitige als auch die geplante technische Ausstattung sowie das Strafverfolgungs- und Gefahrenabwehrpotenzial dieser Behörden zulassen. Diese taktischen Einzelheiten umfassen insbesondere die hier von den Fragestellungen umfassten Methoden zur forensischen Sicherung und Analyse, Umgehung oder Entsperrung von Verschlüsselungen sowie das Einbringen von Software, darüber hinaus auch die Informationen über den konkreten operativen Einsatz entsprechender Software inklusive der Frage über etwaige Alternativen. Durch ein Bekanntwerden der genannten Methoden könnten die Fähigkeiten der Sicherheitsbehörden mit polizeilichen Aufgaben, Erkenntnisse im Wege der technischen Strafaufklärung zu gewinnen, in erheblicher Weise negativ beeinflusst werden, insbesondere, wenn keine ausreichenden Alternativen zu den für die Strafverfolgung und Gefahrenabwehr genutzten Produkten zur Verfügung stehen. Denn Beschuldigte könnten sich somit gezielt eben jener Strafverfolgung und Gefahrenabwehr entziehen, etwa durch Maßnahmen zur Hinderung des Einsatzes der entsprechenden Software.

Dies ist jedoch nicht hinnehmbar, da die Gewinnung von Informationen durch eine IT- bzw. softwaregestützte Strafverfolgung und Gefahrenabwehr notwendig ist aber für die Aufgabenerfüllung dieser Behörden und damit für die Sicherheit der Bundesrepublik Deutschland und bei der Bekämpfung vor allem des Terrorismus, der politisch motivierten sowie der organisierten Kriminalität unerlässlich ist. Sofern solche Informationen entfallen oder wesentlich zurückgehen sollten, würden empfindliche Informationslücken auch im Hinblick auf die Sicherheitslage der Bundesrepublik Deutschland drohen. Dies würde folgenschwere Einschränkungen der Strafverfolgung und Gefahrenabwehr bedeuten, womit letztlich die gesetzlichen Aufträge von BKA – verankert im Grundgesetz (Art. 73 Nr. 10 Grundgesetz [GG], Art. 87 GG) und im Bundeskriminalamtgesetz [BKAG], BPOL (Art. 87 GG sowie Bundespolizeigesetz [BPolG]) und ZKA/FIU (Art. 87 GG, Zollfahndungsdienstgesetz (ZFdG), Geldwäschegesetz (GwG), Unionszollkodex (UZK)) – nicht mehr sachgerecht erfüllt werden könnten.

Eine VS-Einstufung und Hinterlegung der angefragten Informationen in der Geheimschutzstelle des Deutschen Bundestages würde ihrer erheblichen Brisanz im Hinblick auf die Bedeutung der Informationen sowohl für die Aufgabenerfüllung der Nachrichtendienste des Bundes als auch der Sicherheitsbehörden des Bundes mit polizeilichen Aufgaben nicht ausreichend Rechnung tragen; weil insoweit auch ein geringfügiges Risiko des Bekanntwerdens unter keinen Umständen hingenommen werden kann (vgl. BVerfGE 124, 78 [139]). Schon die Angabe, mittels welcher technischen Produkte die Sicherheitsbehörden z. B. von der Telekommunikationsüberwachung Gebrauch machen, könnte zu einer Änderung des Kommunikationsverhaltens der betreffenden beobachteten Personen führen, die eine weitere Aufklärung der von diesen verfolgten Bestrebungen und Planungen unmöglich machen würde. In diesem Fall wäre ein Ersatz durch andere Instrumente nicht möglich.

Aus dem Vorgesagten ergibt sich, dass die erbetenen Informationen derart schutzbedürftige Geheimhaltungsinteressen berühren, dass das Staatswohl gegenüber dem parlamentarischen Informationsrecht überwiegt. Insofern muss ausnahmsweise das Fragerecht der Abgeordneten gegenüber den Geheimhaltungsinteressen der Sicherheitsbehörden des Bundes zurückstehen.

Bezüglich der Vorbemerkung der Fragesteller weist die Bundesregierung darauf hin, dass weder durch das BKA noch durch eine andere Sicherheitsbehörde des Bundes „Schadsoftware“ zur Durchführung von Ermittlungs- und Präventions- bzw. Aufklärungs-Maßnahmen im Kontext von Fragestellungen der hier vorliegenden Kleinen Anfrage eingesetzt wird.

Die ggf. in Bezug genommenen Softwarelösungen zur Durchführung von Maßnahmen der Informationstechnischen Überwachung durch die Sicherheitsbehörden des Bundes entsprechen den geltenden rechtlichen Rahmenbedingungen. Daher ist der Begriff „Schadsoftware“ hierfür unpassend bzw. irreführend.

Frage 1:

Wie oft gebrauchte das BKA seit dem 01.06.2017 seine Befugnisse gemäß den §§ 20h, 20k, 20l Absatz. 2 BKAG a.F. bzw. §§ 46, 49, 51 Absatz 2 BKAG n.F. (bitte nach Norm, Jahr und Zahl der je Betroffenen aufschlüsseln)?

Antwort 1:

Es wird auf den als VS-NfD eingestuften Antwortteil gemäß der Vorbemerkung verwiesen.

Antwort 1 (VS-NfD):

Das Bundeskriminalamt (BKA) hat seit dem 1. Juni 2017 in keinem abgeschlossenen Gefahrenabwehrvorgang – seine Befugnisse gemäß den §§ 20h, 20k, 20l Abs. 2 Bundeskriminalamtgesetz (BKAG) a.F. bzw. §§ 46, 49, 51 Abs. 2 BKAG genutzt.

In einem Gefahrenabwehrverfahren wurden Maßnahmen nach §§ 46 BKAG beantragt, jedoch nicht umgesetzt.

Frage 2:

Wie viele allgemein technisch unterscheidbare Verfahren der gezielten Ausnutzung von IT-Sicherheitslücken einzelner Kommunikationsanbieter unterhalb der Schwelle des Trojanereinsatzes werden von Seiten der Bundesregierung bislang unterschieden (bitte im Einzelnen erläutern)?

Antwort 2:

Im Rahmen der Einsatz- und Ermittlungsunterstützung werden die bestehenden rechtlichen und technischen Möglichkeiten genutzt, um in Verfahren der Strafverfolgung und Gefahrenabwehr Informationen zu gewinnen. Hierbei unterscheidet die Bundesregierung zwischen der Quellen-Telekommunikationsüberwachung (Quellen-TKÜ) und dem Online-Durchsuchungsverfahren (ODS Verfahren). Darüber hinaus wird auf die Vorbemerkung der Bundesregierung verwiesen.

Frage 3:

Wie oft kamen diese oder vergleichbare Verfahren bis zum heutigen Tage jeweils zum Einsatz, und auf welcher Rechtsgrundlage konnte dies nach Auffassung der Bundesregierung geschehen?

Antwort 3:

Es wird auf die Antwort zu den Fragen 1, 4 und 5 verwiesen. Hinsichtlich der Nachrichtendienste des Bundes ist eine Beantwortung aus den in der Vorbemerkung genannten Gründen nicht möglich.

Frage 4:

Wie oft sind der Bundesnachrichtendienst (BND), das Bundesamt für den Militärische Abschirmdienst (BAMAD)‚ das BfV, das BKA, das Zollkriminalamt und die Bundespolizei seit dem 01.06.2017 jeweils in Messenger-Dienste-Konten von nach dem Grundgesetz geschützten Personen sowie Angehörigen von Drittstaaten eingedrungen?

Antwort 4:

Es wird auf die als „GEHEIM“ und „VS-NfD“ eingestuften Antwortteile gemäß der Vorbemerkung verwiesen.

Antwort 4 (VS-NfD):

In 20 Verfahren des BKA wurden seit dem 1. Juni 2017 entsprechende Maßnahmen durchgeführt. Das Zollkriminalamt (ZKA) und die Bundespolizei (BPOL) sind im fragegegenständlichen Zeitraum nicht in Messenger-Dienste-Konten von nach dem Grundgesetz geschützten Personen sowie Angehörigen von Drittstaaten eingedrungen.

Frage 5:

Wie oft wurde die Quellen-TKÜ-Software des BKA (RCIS) seit dem 01.06.2017 eingesetzt und auf welcher Rechtsgrundlage erfolgte dies jeweils?

Antwort 5:

Neben der Aufstellung des Bundesamtes für Justiz (BfJ) wird auf den als VS-NfD eingestuften Antwortteil gemäß der Vorbemerkung der Bundesregierung verwiesen. Eine weiterführende Beantwortung ist aus den in der Vorbemerkung genannten Gründen nicht möglich.

Antwort 5 (VS-NfD):

Frage 5 wird aufgrund des Sachzusammenhangs gemeinsam mit Frage 8 beantwortet. Das BKA hat in dem zur Rede stehenden Zeitraum in einem abgeschlossenen Verfahren einmal Software zur Durchführung von Maßnahmen der Quellen-Telekommunikationsüberwachung (Quellen-TKÜ) eingesetzt. Die Rechtsgrundlage waren §§ 100a Abs. 1 S. 2 Strafprozessordnung (StPO) ff. Konkrete Angaben zur eingesetzten Software können aus den in der Vorbemerkung der Bundesregierung dargelegten Gründen nicht gemacht werden.

Frage 6:

In wie vielen Fällen war die gezielte Ausnutzung von sog. Zero-Day-Sicherheitslücken Grundlage und Voraussetzung des Einsatzes von RCIS?

Antwort 6:

Es wird auf Vorbemerkung der Bundesregierung verwiesen.

Frage 7:

Wie viele Versionen des RCIS wurden vom BKA oder in seinem Auftrag entwickelt?

Antwort 7:

Es wird auf den als VS-NfD eingestuften Antwortteil gemäß der Vorbemerkung verwiesen.

Antwort 7 (VS-NfD):

Die vom BKA entwickelten Produkte zur Durchführung von Maßnahmen der Informationstechnischen Überwachung werden in Abhängigkeit der operativen Bedarfslage und der technischen Entwicklung kontinuierlich weiterentwickelt.

Frage 8:

Wie oft wurde die Quellen-TKÜ-Software des BKA (FinSpy) seit dem 01.06.2017 eingesetzt und auf welcher Rechtsgrundlage erfolgte dies jeweils?

Antwort 8:

Es wird auf die Ausführungen zu Frage 5 und die Vorbemerkung der Bundesregierung verwiesen.

Frage 9:

In wie vielen Fällen war die gezielte Ausnutzung von sog. Zero-Day-Sicherheitslücken Grundlage und Voraussetzung des Einsatzes von FinSpy?

Antwort 9:

Es wird auf Vorbemerkung der Bundesregierung verwiesen.

Frage 10:

Von welchen anderen Bundesbehörden wurde die oben genannte oder andere Quellen-TKÜ-Software seit dem 01.06.2017 nach Kenntnis der Bundesregierung wie häufig eingesetzt (bitte nach Behörde, Jahr und Anzahl der Einsetzungen aufschlüsseln)?

Antwort 10:

Es wird auf den als VS-NfD eingestuften Antwortteil gemäß der Vorbemerkung verwiesen.

Hinsichtlich der Nachrichtendienste des Bundes ist eine Beantwortung aus den in der Vorbemerkung genannten Gründen nicht möglich.

Antwort 10 (VS-NfD):

Die BPOL und das ZKA haben im fragegegenständlichen Zeitraum keine Quellen-TKÜ-Software eingesetzt.

Frage 11:

In wie vielen Fällen war die gezielte Ausnutzung von sog. Zero-Day-Sicherheitslücken Grundlage und Voraussetzung des Einsatzes von Quellen-TKÜ-Software durch andere Bundesbehörden?

Antwort 11:

Es wird auf die Antwort zu Frage 10 verwiesen.

Frage 12:

Welchen Phänomenbereichen (Organisierte Kriminalität, PMK, Internationaler Terrorismus, BtM-Handel, Geldwäsche usw.) waren bzw. sind die in Frage 10 genannten Fälle zuzuordnen?

Antwort 12:

Es wird auf die Antwort zu Frage 10 verwiesen.

Frage 13:

Von welchen Bundesländern wurde die oben genannte oder andere Quellen-TKÜ-Software des BKA nach Kenntnis der Bundesregierung seit dem 01.06.2017 jeweils erlangt, und in welchen Ländern wurde sie bereits wie häufig konkret eingesetzt?

Antwort 13:

Auf dem Gebiet der informationstechnischen Überwachung kooperieren die Sicherheitsbehörden des Bundes und der Länder miteinander. Dies kann auch die Weitergabe von Informationstechnischen Überwachungsprodukten (ITÜ-Produkten) umfassen. Darüber hinaus wird auf die Vorbemerkung der Bundesregierung verwiesen.

Frage 14:

Welchen Phänomenbereichen (Organisierte Kriminalität, PMK, Internationaler Terrorismus, BtM-Handel, Geldwäsche usw.) waren bzw. sind die in Frage 13 genannten Fälle nach Kenntnis der Bundesregierung zuzuordnen?

Antwort 14:

Es wird auf die Antwort zu Frage 13 verwiesen.

Frage 15:

Welche Behörden des Bundes sind nach Kenntnis der Bundesregierung mit der Suche nach und der Prüfung von sog. Zero-Day-Sicherheitslücken beschäftigt?

Antwort 15:

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) wirkt gemäß seines aus § 3 Absatz 1 des BSI Gesetzes (BSIG) hervorgehenden gesetzlichen Auftrags darauf hin, sämtliche Sicherheitslücken umgehend und im vertrauensvollen Austausch mit den Technologieherstellern zu schließen. Nach Validierung der vorliegenden Informationen werden dem BSI bekannte Sicherheitslücken im Rahmen des Coordinated Vulnerability Disclosure (CVD)-Prinzips mit den für die Absicherung der betroffenen Produkte verantwortlichen Herstellern geteilt. Dies gilt gleichermaßen für gemäß § 7a BSIG durch das BSI entdeckte Sicherheitslücken wie auch für seitens Externer an das BSI gemeldete Sicherheitslücken. Bezüglich der Prüfung von sog. Zero-Day-Sicherheitslücken setzt sich die Bundesregierung derzeit inhaltlich mit dieser Thematik auseinander. Da die Meinungsbildung innerhalb der Bundesregierung hierzu nicht abgeschlossen ist, kann zur Frage des möglichen Umgangs mit Zero-Day-Schwachstellen lediglich im Rahmen aktuell geltender Regelungen eine Aussage getroffen werden.

Frage 16:

In welchem Umfang haben sich welche Bundesbehörden sog. Zero-Day-Sicherheitslücken wann beschafft oder waren hieran wann auf europäischer bzw. multilateraler Ebene beteiligt?

Antwort 16:

Es wird auf die Vorbemerkung der Bundesregierung verwiesen.

Frage 17:

In welcher Höhe sind nach Kenntnis der Bundesregierung bei der Suche bzw. Beschaffung von Informationen betreffend sog. Zero-Day-Sicherheitslücken seit dem 01.01.2018 Kosten entstanden (Bitte aufschlüsseln nach Jahr, Behörde und Höhe sowie Zweck der Aufwendungen)?

Antwort 17:

Es wird auf die Vorbemerkung der Bundesregierung verwiesen.

Eine Ergänzung

  1. In der Cybersicherheitsagenda des BMI, Ziele und Maßnahmen für die 20. Legislaturperiode, vom Juni 2022 kann man lesen (ein doch recht dürftiges Papier, das eher ein Arbeitskreis-Brainstorming erinnert, als an ein fundiertes Strategie-Papier):

    >> Etablierung eines wirksamen Schwachstellenmanagements, inklusive Installation der behördlichen Prozesse <> Ausbau der ZITiS als zentraler Dienstleister für die Sicherheitsbehörden sowie Auf- und Aus­bau eigener nationaler Entwicklungsfähigkeiten und Bewertungskompetenz bei der ZITiS <<

    Mit diesen zwei "Bullets" ist das widersprüchliche Spannungsfeld bezeichnet und natürlich ist diese Ambiguität kein Zufall. Eine generelle Schwachstellenbeseitigung im IT-Bereich ohne Einschränkungen ist damit nicht gemeint, denn wer Schwachstellen managen will, der beseitigt sie nicht, zumindest nicht alle.

    Das BSI hätte eine Schwachstellenbeseitigungsbehörde werden können, wenn es denn wirklich unabhängig geworden wäre. Ist es aber nicht.

    ZITiS als Antipode zum BSI, ist eine Schwachstellenerstellungs- und Schwachstellenausnutzungsbehörde, um es auf den Punkt zu bringen. Das Bestreben von ZITiS ist die Erhaltung von Unsicherheit in der IT-Technik, und dahin fließt das große Geld zum Ausbau.

    Wer Schwachstellen beseitigen möchte, der fängt am besten an der Spitze des BMI an. Der Fisch stinkt bekanntlich vom Kopf her.

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.