News Zero-Day-Exploits: Staatstrojaner-Klage scheitert vor Bundes­verfassungsgericht

[Andy]

Eine Verfassungsbeschwerde gegen das Staatstrojaner-Gesetz in Baden-Württemberg hat das Bundesverfassungsgericht als unzulässig zurückgewiesen. Die Kläger bezeichnen das Urteil dennoch als Erfolg, weil die Karlsruher Richter den Umgang mit Sicherheitslücken reglementieren.

Zur News: Zero-Day-Exploits: Staatstrojaner-Klage scheitert vor Bundes­verfassungsgericht

 

[Damien White]

Der Staat dürfe die entsprechenden Zero-Day-Exploits nicht massenhaft horten, weil das gegen das Grundrecht auf Vertraulichkeit und Integrität von IT-Systemen verstoße.

Ich sehe hier noch ein ganz Anderes Problem:

Wenn der Staat diese Exploits nicht behebt dann bleiben Kommunen und Unternehmen einer vermeidbaren Gefahr ausgesetzt. Bereits heute ist die Erpressung von Kommunen und Energieversorgern durch Hacker Alltag.

Des Weiteren, sobald irgendwo eine Datenbank mit Exploits zum Ausnutzen existiert dann existiert auch die Gefahr, dass Andere eine Kopie selbiger anfertigen und für kriminelle Dinge nutzen.

 

[han123]

Wenn das Vertrauen in den Staat verloren geht, dann ist der Staat verloren. Die zuständigen sollten sich ganz genau überlegen, was für eine Büchse der Pandora sie im Zweifelsfall öffnen.

 

[DFFVB]

Wenn der Staat diese Exploits nicht behebt

Behebst Du Deine Sicherheitslücken selber?

 

[MR2007]

Es gibt also ein

Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme

und dazu sagt das BVerfG:

Es besteht auch kein grundrechtlicher Anspruch auf die Verpflichtung der Behörde, jede unerkannte IT-Sicherheitslücke sofort und unbedingt dem Hersteller zu melden

Waren die besoffen oder mussten die erst ihre Kinder fragen, wie man eine CD einlegt? Das eine widerspricht dem anderen fundamental.

Nicht nur sollten die Behörden dazu verordnet werden das umgehend den Hersteller mitzuteilen, sondern auch die Hersteller zur Behebung.

Ach Gottchen ...

Warum so aggressiv? Du hast es selbst genau so formuliert, dass es Aufgabe des Staates wäre, die Exploits zu beheben...

 

[-=:Cpt.Nemo:=-]

Hmm, bei der ganzen Pegasus von NSO - Geschichte braucht sich ja niemand wundern wie das passieren konnte. Regierungen möchten lieber Bürger oder andere Regierungen ausspionieren anstatt sie zu schützen, deswegen werden Sicherheitslücken nicht gemeldet sondern genutzt.
Dann rumzuheulen wenn die Geheimdienste die Regierung der "anderen" auspionieren ist einfach nur noch lächerlich. Genauso wie die Aussage der "Demokratien" sich für Menschenrechte einzusetzen.
Würden sie es tun, dann würden sie solche Sicherheitslücken dem Hersteller melden.

 

[Beelzebot]

Als ob chinesische, russische oder selbst amerikanische Institutionen dieses Wissen preisgeben würden. Aber im Zuge der Verhältnismäßigkeit soll man in Deutschland die digitalen Waffen offenlegen. Dieser pazifistische Grundsatz ist in einer vernetzen Welt eine Bankrotterklärung. Überall entstehen Ressourcen diesbezüglich, nur hier scheitern Hacker-StartUps an Vater Staat.
Warum bringt das BSI nicht selbst ein OS, dann könnte man sogar einen Anspruch auf das Schließen von Sicherheitslücken konstituieren.

 

[DFFVB]

Also, wenn ich mir anschaue, wie Du Dich ausdrückst @Damien White dann ist das schon viel eher "armes Deutschland". Und wenn ich mir anschaue, wie oberflächlich Du Dich mit dem Thema befasst zu haben scheinst, dann noch viel mehr.

Gerne aber auch für Dich: Ein Klage muss immer zulässig und begründet sein. Das erste ist ein formelles Erfordernis, das zweite ein materielles. Wenn eine Klage wegen Unzulässigkeit zurückgewiesen wird, ist das immer ein Schlag ins Gesicht. Das Gericht sagt Dir mit anderen Worten "Du bist zu blöd eine Klage (hier Beschwerde), einzureichen." Ist so wie wenn Du in einen Jagdladen gehst, und nach Angeln fragst. Dass sich das Gericht in diesem Fall bemüßigt sah, per obiter dictum zu erklären, dass auch die Behörden die die Lücken horten abwägen müssen, ob es sich lohnt, oder das Allgemeinwohl etwas anderes erfordert, dann ist das eher sowas wie ne allgemeine Erinenrung an den vernünftigen Menschenverstand.

Das war das Thema des Artikels. Wenn wir das generelle Thema der informatienellen Selbstbestimmung betrachten wollen, dann ist das ein anderes Thema, zu dem ich keine abgeschlossene Meinung habe. Es gibt hier pro und contra, deswegen schaue ich in die Kommentare um zu schauen, was es für neue Argumente gibt. Sei Dir gewiss, Du hast nichts dazu beigetragen :-)

 

[-=:Cpt.Nemo:=-]

@Beelzebot
Du scheinst hier was zu verwechseln. Es geht nicht um digitale Waffen sondern um Sicherheitslücken in Software. Klar kann man die wie eine Waffe verwenden, aber sein wir mal ehrlich, wenn jemand sie meldet kann sie keiner mehr verwenden, ergo würde der Staat seiner Verpflichtung zum Schutz seiner Bürger nachkommen.

 

[der Unzensierte]

Schwieriges Terrain - hier gilt es verschiedene und durchaus nicht nebensächliche rechtliche und politische Aspekte gegeneinander abzuwägen. Man kann mit Sicherheit davon ausgehen das diverse ausländische, staatliche, Behörden solche Exploits nicht nur horten sondern gezielt danach suchen (lassen). Da möchte man nicht ins Hintertreffen kommen und im Konzert der Großen mitspielen. Sicher auch um aussenpolitisch halbwegs Ernst genommen zu werden. Ob die Zitis immer noch zu ihrem statement von 2017 steht keine Zero´s kaufen zu wollen? Who knows. Dann haben wir noch die kriminellen Hacker, die hier auch mitmischen. Und dann gibt es noch den Normalo der es gerne möglichst sicher und komfortabel haben möchte. Wenn es nach mir ginge könnten sich alle Demokratien dieser Welt an Benjamin Franklin halten.

Wer die Freiheit aufgibt, um Sicherheit zu gewinnen, wird am Ende beides verlieren.

 

[h3@d1355_h0r53]

Als ob chinesische, russische oder selbst amerikanische Institutionen dieses Wissen preisgeben würden. Aber im Zuge der Verhältnismäßigkeit soll man in Deutschland die digitalen Waffen offenlegen. Dieser pazifistische Grundsatz ist in einer vernetzen Welt eine Bankrotterklärung. Überall entstehen Ressourcen diesbezüglich, nur hier scheitern Hacker-StartUps an Vater Staat.
Warum bringt das BSI nicht selbst ein OS, dann könnte man sogar einen Anspruch auf das Schließen von Sicherheitslücken konstituieren.

Nunja, nur weil ein paar Staaten Atomwaffen haben bin ich nicht dafür, dass die anderen sie auch haben sollen. Im Gegenteil. Niemand soll welche haben. Und bei Sicherheitslücken, die man öffentlich macht bzw. die behoben werden, „schadet“ man automatisch auch den anderen Ländern da diese Lücken nicht mehr gehen. Find ich gut. Nicht gut finde ich, dass IT Forensik hierzulande wie du schreibst nicht gut stattfindet. Hier würde ich mir eine Lösung wünschen, die beide Punkte vereint.
Das was teilweise öffentlich wahrgenommen gut ist seitens des BSI ist größtenteils gar nicht deren Hauptaufgabe. Ob das BSI eine saubere Lösung finden sollte? Ich denke nicht, lediglich dem Namen nach könnte man das vermuten.
Schaut man sich an wer überhaupt betroffen ist von den ständigen Sicherheitsvorfällen, dann ist das v.a. Windows samt Microsoft Ökosystem. Meiner Meinung nach wäre hier eine offene Lösung für Verwaltung anzustreben, spart Lizenzkosten und erhöht die Sicherheit. Hätte in diesem Land jemand auch eine Vision für Digitalisierung, könnte man da schön Distributionen für die Verwaltung produzieren und wo nötig sicher vernetzen. Den Datenschutz hätte man so auch noch eingehalten. Das BSI wäre damit aber überfordert, zumindest bezüglich allen Aspekten die über Sicherheit hinausgehen.
Linux ist kein Allheilmittel. Aber Open Source im öffentlichen Sektor kann sehr schön sein wie man an der Corona App merkt. Das funktioniert einfach toll, v.a. weil da nicht jahrelang BWLer alles versaut haben sondern Entwickler am Werk waren, die qualitativ abgeliefert haben - wenn auch überteuert. Vom Code kann man da wenig aussetzen.
Nur sieht man ja an München wie schwer es ist eine gute Entscheidung durchzusetzen. Neue Regierung in der Stadt, Microsoft zieht vom Vorort in die Stadt und man stellt die Verwaltung wieder auf Windows um.

 

[Bright0001]

Das eine widerspricht dem anderen fundamental.

Nein, tut es nicht. Wenn ich eine absolut unwahrscheinliche Sicherheitslücke in XY finde, diese aber nicht veröffentliche, sondern verbrenne, dann bleibt das System auch weiterhin vertraulich und integer.

Als ob chinesische, russische oder selbst amerikanische Institutionen dieses Wissen preisgeben würden. Aber im Zuge der Verhältnismäßigkeit soll man in Deutschland die digitalen Waffen offenlegen.

Die USA, die Chinesen und die Russen haben keine Gewissensbisse damit, die deutsche Bevölkerung und deutsche VIPs auszuspähen. Und weil das so ist, soll Deutschland jetzt nachziehen? Was für eine Logik ist das?

Dieser pazifistische Grundsatz ist in einer vernetzen Welt eine Bankrotterklärung.

Ich lebe lieber friedlich in einem pazifistisch-"bankrotten" Deutschland, als in einem "reichen" China als gläserner Bürger.

 

[Schokolade]

Traurig. Immer wieder neue Cyberangriffe, zuletzt Pegasus und man sollte meinen es müsse doch langsam endlich mal click im Kopf der Verantwortlichen machen. Aber die Vorfälle häufen sich, und es wird nichts daraus gelernt.

Nach wie vor wird ein Schwarzmarkt künstlich befördert, weil Staaten und Geheimdienste dort fleißig Sicherheitslücken und Schadsoftware einkaufen. Dann wird nichts dafür getan die IT-Sicherheit zu stärken, sondern man benutzt diese Lücken gezielt für seine eigenen Interessen. Dass damit die Sicherheit ALLER geschwächt wird, scheint entweder wirklich nicht Bewusst zu sein oder wird konsequent ignoriert.

 

[Termy]

sollte meinen es müsse doch langsam endlich mal click im Kopf der Verantwortlichen machen.

Dazu bedürfte es zumindest eines ansatzweisen, minimalsten Grundverständnis der Materie - und völlige Planlosigkeit und Ignoranz scheint ja langsam zu einer Grundvoraussetzung für höhere Posten in der Politik zu werden.

Es ist zwar schön, das das Gericht gesagt hat dass die Lücken nicht unbegrenzt gehortet werden dürften - erforderlich wäre aber eine Verpflichtung gewesen, die Lücken sofort und uneingeschränkt dem Hersteller mitzuteilen, alles andere ist unverantwortlich - und dabei berücksichtige ich noch nichtmal die (durchaus wahrscheinliche Möglichkeit, dass die Verantwortlichen bei den Behörden bewusst gegen das Urteil handeln.

 

[WommU]

Die Verpflichtung des modernen Staates zur Gefahrenabwehr sehe ich als gegeben.
Dazu gehört meiner Meinung nach auch der Bereich des "Neulandes", und dessen Basis, die IT im weiten Sinne. Da der Staat nicht die erkannten Lücken selbst schließen kann sollte eindeutig sein. Dennoch sollte sich die Verpflichtung ergeben wenigstens die erkannten Sicherheitslücken umgehend zu melden.

Dass das Verfassungsgericht dem nicht zustimmt wundert mich nicht.
Man vergleiche mal die beruflichen Biografien unser heutigen Verfassungsrichter mit solchen von früher wie Di Fabio oder Böckenförde. Siehe z.B. bei Danisch. Man muss kein Jurist sein um zu erkennen, dass bei einigen diese Biografie nur den Platz einer Briefmarke benötigt. Und das wird nicht besser werden.
Heute zählt, wie in Polen die richtige Haltung und politische Einstellung.

Allerdings wäre es hilfreich, wenn die Begründung der Klage hier genauer wiedergegeben wäre. Vielleicht hat man es dem Gericht auch zu leicht gemacht.
Zusammengefasst: Nach meiner Meinung nach kommt der Staat seinen Schutzpflichten nicht genügend nach.

 

[MR2007]

Nein, tut es nicht. Wenn ich eine absolut unwahrscheinliche Sicherheitslücke in XY finde, diese aber nicht veröffentliche, sondern verbrenne, dann bleibt das System auch weiterhin vertraulich und integer.

Ähm, nein?

Wenn "irgendjemand" eine Sicherheitslücke findet, dann kann sie auch irgendjemand anderes finden. Und hier wird sie ja nicht mal "verbrannt", sondern auf Vorrat gehalten. Die Lücke geht ja nicht weg, weil man wegguckt.

Und es ist auch völlig unerheblich, ob diese in irgendeiner Form "absolut unwahrscheinlich" ist. Sobald sie von den falschen gefunden wird, gibt es auch ein Interesse dadran die auszunutzen. Ein Flugzeugabsturz ist auch "absolut unwahrscheinlich", trotzdem hat fast jeder Absturz konkrete Maßnahmen zur Folge, die das "absolut unwahrscheinlich" weiter erschweren.

 

[[wege]mini]

Amateure.

Jeder Jurastudent wurde in seiner Ausbildung damit gequält, dass Verfassungsbeschwerden zu 90+% an der Zulässigkeit scheitern, da meistens die Betroffenheit oder die Ausschöpfung aller rechtlichen Mittel nicht gegeben sind. Formfehler nehme ich einfach mal nicht an. Anfänger werden diese Herren wohl nicht gewesen sein.

Jetzt kann man natürlich die Vermutung des Gerichtes, in seiner Urteilsbegründung, als Erfolg werten. Das macht es aber auch nicht besser. Rechtsverwertbar ist davon nichts.

Von Staaten zu verlangen, gewünschte Sicherheitslücken schließen zu lassen ergibt zusätzlich, natürlich keinen Sinn. Der Staat A besteht auf den Hintertürchen, Staat B soll aber bei Gesellschaft C dagegen vorgehen. Das ist weltfremd.

Erfreut bin ich trotzdem über die Tatsache, dass wir alle darüber reden. So macht man das in einer Demokratie. Alleine die Tatsache, dass die Überwachten wissen, dass sie überwacht werden, ist ein Erfolg und macht die Überwachung nahezu überflüssig.

Das bringt jetzt wieder neue Probleme mit sich und hilft sehr häufig leider auch Menschen, die man besser überwachen sollte. Thats life.

Demokratie ist nun einmal auch nicht perfekt (die Demokraten sind Menschen und damit fehlbar) und daher wird es immer auch "falsche" Entscheidungen geben. Wie immer, kann man richtig und falsch aber erst hinterher definieren, wenn das Ergebnis der Handlungen bekannt ist.

mfg

 

[Somerset]

Schwierig. Wenn solche Entscheidungen einzig und allein an dem Bundesverfassungsgericht hängen ist das einfach nicht richtig. Diese Behörde hat in der Vergangenheit einige mal gezeigt das die Prioritäten eindeutig nicht der Schutz der Privatsphäre sind.

Man kann dahingehend einfach keine Objektivität erwarten.

Edit:
@[wege]mini
Leider tröstet mich der Fakt das wir darüber Sprechen nicht wirklich. Über Probleme nur reden bringt wirklich nichts. Es kann sogar dazu führen, dass Themen verwässern und "langweilig" werden.

 

[Prometheus27]

Das BVerG hat das getan, was es immer tut. Verhältnismäßigkeit erbeten bei der Abwägung von zwei konkurrierenden Grundrechten. Es sieht die Sache so, dass der Staat grundsätzlich ein Recht darauf hat, einen Trojaner einzusetzen, um für Sicherheit zu sorgen. Daraus folgt, dass man nicht alle Sicherheitslücken melden muss, sondern einige davon für den Trojaner verwenden kann.
Gleichzeitig muss die Verhältnismäßigkeit gewahrt bleiben und es darf nicht alles getan werden, damit der Trojaner funktioniert.

Ergänzung (21. Juli 2021)

Schwierig. Wenn solche Entscheidungen einzig und allein an dem Bundesverfassungsgericht hängen ist das einfach nicht richtig. Diese Behörde hat in der Vergangenheit einige mal gezeigt das die Prioritäten eindeutig nicht der Schutz der Privatsphäre sind.

Man kann dahingehend einfach keine Objektivität erwarten.

Das ist ja auch nicht die Aufgabe des BVerG. Es hat die Aufgabe über die Verfassungsmäßigkeit von Gesetzen zu urteilen. Und in der Verfassung steht mehr als nur Privatssphäre.

 

[DFFVB]

Diese Behörde hat in der Vergangenheit einige mal gezeigt das die Prioritäten eindeutig nicht der Schutz der Privatsphäre sind.

Aha, das ist ja hoch interessant... Du weißt aber, dass der Datenschutz auf ein Urteil des Bundesverfassungsgerichts zurückführen ist? Demokratie und Gewaltenteilung funktioniert nicht so: Wenn es so läuft wie ich will, cool, wenn nicht, dann scheiße. Entweder ganz oder gar nicht.