Jamaika-Sondierungen: Behörden sollten Sicherheitslücken melden müssen
Soll der Staat Sicherheitslücken ausnutzen oder an die Hersteller melden? Das ist eine der Streitfragen, mit der sich die potentiellen Jamaika-Koalitionspartner befassen. In einem Arbeitspapier fällt die Antwort überraschend deutlich aus, berichtet Heise Online.
Demnach hat sich die Arbeitsgruppe „Innen“ bei den Sondierungsgesprächen darauf verständigt, dass sogar Geheimdienste wie der Bundesnachrichtendienst (BND) kritische Sicherheitslücken nicht sammeln dürfen. Stattdessen sollen in Hard- und Software gefundene Schwachstellen dem Bundesamt für Sicherheit in der Informationstechnik (BSI) gemeldet werden.
Gesetzliche Pflicht für das Weitergeben von Sicherheitslücken
Konkret heißt es in dem als „Pakt für den Rechtsstaat“ bezeichneten Dokument, aus dem Heise Online zitiert: „Staatliche Stellen müssen gesetzlich verpflichtet werden, Sicherheitslücken, die relevante Systeme oder eine erhebliche Anzahl von Personen betreffen, unverzüglich dem Bundesamt für Sicherheit in der Informationstechnik (BSI) zu melden.“ Was unter diese Kategorie fällt, geht aus dem Bericht nicht hervor. In den letzten Wochen war aber schon von einer Kommission die Rede, die künftig das Risiko von Sicherheitslücken bewerten soll.
Je nachdem wie strikt die Vorgaben ausfallen, hätte das allerdings auch Konsequenzen für Instrumente wie den Staatstrojaner, den Polizei und Geheimdienste künftig verstärkt einsetzen wollen, um etwa verschlüsselte Messenger abzuhören. Denn der Einsatz ist nur möglich, wenn die staatliche Malware über Schwachstellen eingeschleust wird.
Neben dem Einsatz des Staatstrojaners existieren zudem noch sicherheitspolitische Themen wie die Vorratsdatenspeicherung, die ebenfalls umstritten sind. Die entsprechenden Gesetze hatte die Große Koalition beschlossen. Beide Vorhaben lehnen die FDP und Grüne allerdings entschieden ab, die Unionsparteien wollen den eingeschlagenen Kurs fortsetzen. Es sind also weitere Streitpunkte bei den ohnehin stockenden Sondierungsgesprächen.
Zitis im Mittelpunkt beim Streit um Sicherheitslücken
Im Mittelpunkt beim Streit um Sicherheitslücken steht nach wie vor die neue Entschlüsselungsbehörde Zitis (Zentrale Stelle für Informationstechnik im Sicherheitsbereich), die erst im Oktober offiziell die Arbeit aufgenommen hat. Der Präsident Wilfried Karl, ehemals Mitarbeiter beim BND, hat nun seinen zweiten offiziellen Auftritt beim Internet Governance Forum Deutschland in Berlin absolviert. Und verteidigte erneut das Vorgehen seiner Behörde. Deren Aufgabe lässt sich als Technologie-Zulieferer für Polizei und Geheimdienste beschreiben, mit dazu zählt auch die Entwicklung von Verfahren, um etwa Verschlüsselungen zu knacken.
Dafür ist zwar auch das Ausnutzen von Sicherheitslücken erforderlich, für Karl gibt es aber einen Unterschied zu Kriminellen. „Was der Staat und seine Sicherheitsbehörden nicht macht, ist Schadsoftware, Viren, Trojaner, Würmer. Das sind die Werkzeuge von Kriminellen, die diese zum Teil im großen Stil unkontrolliert, massenhaft, anlasslos verteilen“, so der Zitits-Präsident laut einem Bericht der Süddeutschen Zeitung. Behörden würden hingegen innerhalb festgelegter Richtlinien agieren.
Das Ausnutzen von Sicherheitslücken bleibt ein Risiko
Kritiker beruhigt das nicht. Denn am Ende besteht immer noch das Problem, dass Sicherheitslücken nicht geschlossen werden und somit ein Einfallstor für Kriminelle darstellen. Das warnende Beispiel ist der Krypto-Trojaner WannaCry, der auf einem Exploit aus dem NSA-Arsenal basierte. So erklärt der Berliner Richter Ulf Buermeyer, staatliches Hacken „führt dazu, dass deutsche Behörden einen Anreiz haben, dass alle Menschen auf der Welt mit unsicheren Systemen arbeiten“. Constanze Kurz, Sprecherin vom Chaos Computer Club, warnt zudem noch vor einer „Normalisierung“ der Debatte um staatliches Hacken.
Nicht so einfach sagen lässt sich allerdings, wie Alternativen aussehen können. CCC-Sprecherin Kurz erklärt lediglich, man müssen den Staat auf ein Niveau „zurückstufen, was nach unseren Grund- und Menschenrechten akzeptabel ist“. Immerhin: Einigkeit besteht zumindest auf allen Seiten, dass der Staat die Dienstanbieter nicht zwingen soll, Hintertüren einzubauen.