Der Staat und die IT-Sicherheit: Was Staatstrojaner, Luca und die CDU-Wahlkampf-App verbindet

Stephanie Jauss

In der IT-Sicherheit war viel los in letzter Zeit. Das haben wir auch in der Vorlesung „Sichere Systeme“ bei Herrn Kriha gemerkt, in der wir jede Woche aktuelle IT-Sicherheits-News gesammelt haben – im Laufe des Semesters kamen wir auf über 20 Seiten mit Links zu Heise, Golem und Co.

Im Rahmen dieser Lehrveranstaltung schreibe ich diesen Blogartikel und möchte mich hierbei einem Thema widmen abseits von einzelnen Angriffen auf IT-Systeme, von bösen Hackern, von spezifischen Sicherheitslücken oder Tipps, wie man seine privaten Accounts besser schützt. Es ist die Frage, welchen Einfluss der Staat auf die IT-Sicherheit hat. Dafür möchte ich ein paar aktuelle netzpolitische Themen aufgreifen, die in den letzten Monaten stark diskutiert wurden und die zeigen, wie unser Staat Einfluss auf die IT-Sicherheit in Deutschland (und darüber hinaus) nehmen kann.

Der Klassiker: Staatstrojaner

Zunächst soll es um den Dauerbrenner im Bereich Staat und IT-Sicherheit gehen: Staatstrojaner. Immer wieder aufgrund von Skandalen oder Gesetzesänderungen in den Nachrichten vertreten, kann man schnell den Überblick verlieren. Deshalb zunächst ein paar Grundlagen.

Was sind Staatstrojaner und wie gelangen sie auf Zielgeräte?

Als Staatstrojaner versteht man staatliche Schad-, meist Spionagesoftware, die heimlich auf Geräten von Zielpersonen läuft. Juristisch werden dabei im deutschen Recht zwei Einsatzzwecke unterschieden: 

Die Online-Durchsuchung, die in Paragraf 100b der Strafprozessordnung (StPO) geregelt ist, bezeichnet das Durchsuchen aller Inhalte auf einem Gerät, stellt also den schwerwiegendsten Eingriff dar.

Die Quellen-Telekommunikationsüberwachung (Quellen-TKÜ) bezeichnet die Maßnahme, lediglich die laufende Kommunikation zu überwachen, was Paragraf 100a der StPO regelt. Vor allem bei der Kommunikation über Ende-zu-Ende-verschlüsselte Messenger stellt das eine Möglichkeit für Strafverfolgungsbehörden dar, Nachrichten direkt auf dem Zielgerät mitzulesen.

Manchmal wird auch von der „Quellen-TKÜ plus“ gesprochen, womit die Ausweitung des Abhörens auf vergangene Kommunikation bezeichnet wird. Somit kann der Schweregrad des Eingriffs bei der Quellen-TKÜ plus zwischen Quellen-TKÜ und Online-Durchsuchung eingeordnet werden.

Diese Unterscheidungen sind technisch jedoch schwer sicherzustellen, denn in allen Fällen muss Schadsoftware auf die Zielgeräte gespielt werden, die weitreichende Befugnisse hat, Geräteinhalte auszulesen. Wie genau das abläuft, unterscheidet sich zwischen verschiedenen Trojanern genauso wie bei gewöhnlicher Malware. Nutzer:innen können zum Beispiel durch Office-Makros, Phishing-Links in E-Mails und Ähnlichem mit Tricks zur Installation gebracht werden. Behörden haben alternativ schon Installationen auf beschlagnahmten Geräten direkt durchgeführt, wenn sie das Passwort knacken konnten. 

Besonders umstritten: Oft werden auch Sicherheitslücken in Hardware, Betriebssystem oder Anwendungen ausgenutzt. Vor allem Zero-Click-Exploits sind beliebt bei den Überwachenden, denn mit diesen ist kein Zutun des Opfers wie der Klick auf einen Link notwendig. Durch solch eine Schwachstelle gelangte zum Beispiel der Trojaner Pegasus auf Zielgeräte, der später noch genauer beleuchtet wird. 

Kritisiert wird dieses Vorgehen vor allem, da Behörden somit keine Motivation mehr haben, bisher nicht gepatchte Zero-Day-Exploits zu melden, von denen sie Kenntnis erlangen. Das verschlechtert die Situation der IT-Sicherheit für alle. Ein Beispiel dafür ist Wannacry, das eine der NSA bekannte Schwachstelle ausnutzte und so mit großen Auswirkungen Millionen infizierte Geräte lahmlegte.

Eine Chronologie

Die Rechtslage in Deutschland, die den Einsatz von Staatstrojanern betrifft, darf man wohl als kompliziert bezeichnen. Es folgt der Versuch, einen Überblick über den Ursprung von Staatstrojanern in Deutschland und über die wichtigsten aktuellen Entwicklungen in diesem Bereich zu geben.

2008

Nachdem der Bundesgerichtshof 2006 entschied, dass die aktuelle Gesetzeslage für Hausdurchsuchungen nicht als Rechtfertigung für Online-Durchsuchungen ausreicht, möchte die Regierung 2008 eine rechtliche Grundlage hierfür schaffen. 

Das Bundesverfassungsgericht bestätigt, dass eine Online-Durchsuchung nur unter sehr strikten Bedingungen grundgesetzkonform ist und schafft aus dem Grundgesetz abgeleitet das „Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme“ (auch: „IT-Grundrecht“), das als Erweiterung des allgemeinen Persönlichkeitsrechts verstanden wird.

Dem bayerischen Landtag, der für das erste Bundesland die Online-Durchsuchung per Gesetz ermöglicht, folgt noch im selben Jahr der Bundesrat mit der Verabschiedung des BKA-Gesetzes im Dezember. Dieses erlaubt der Bundespolizei den Einsatz von Online-Durchsuchungen zur Abwehr on Terrorismus. 

2016

Teile des BKA-Gesetzes werden vom Bundesverfassungsgericht als verfassungskonform gewertet. Grundsätzlich sei das Gesetz in Ordnung, das Gericht fordert jedoch Nachbesserungen an einigen Stellen sowie die Einhaltung des Verhältnismäßigkeitsgrundsatzes und betont die hohen Anforderungen an Transparenz, Kontrolle und Datenübermittlung an andere Behörden.

2017

Die Große Koalition beschließt noch kurz vor der Bundestagswahl mit einer Reform des Strafprozessrechts die Ausweitung der Quellen-TKÜ auf Alltagskriminalität und über das BKA hinaus. netzpolitik.org kritisiert dabei das Verstecken der Änderung in einem anderen Verfahren anstelle eines eigenen Gesetzesverfahrens, wodurch eine öffentliche Debatte im Vorhinein verhindert wurde. Im Juni beschließt der Bundestag das „Gesetz zur Änderung des Strafgesetzbuchs, des Jugendgerichtsgesetzes, der Strafprozessordnung und weiterer Gesetze“. Auch der Chaos Computer Club (CCC) spricht sich gegen die Änderung aus und bemängelt die Gefahr für die innere Sicherheit durch das Geheimhalten von Sicherheitslücken, den unverhältnismäßigen Grundrechtseingriff bei fehlender Notwendigkeit sowie die fehlende technische Überprüf- und Nachvollziehbarkeit aufgrund ungenügend definierter technischer Rahmenbedingungen.

Die sieben Bundesländer Bayern, Baden-Württemberg, Hamburg, Hessen, Niedersachsen, Nordrhein-Westphalen und Rheinland-Pfalz schaffen im gleichen Jahr rechtliche Grundlagen für den Einsatz von Staatstrojanern in ihren Polizei- und Ordnungsrechten.

2017/18

Gegen das beschlossene Gesetz reichen die Gesellschaft für Freiheitsrechte (GFF), Digitalcourage und weitere Bürgerrechtsorganisationen Verfassungsbeschwerde ein. Ein Urteil steht noch aus.

2020

Stand Februar 2020 planen laut Digitalcourage auch Berlin, Mecklenburg-Vorpommern und das Saarland, Staatstrojaner rechtlich zu verankern.

Am 14. Februar stimmt der Bundesrat dem Gesetz zur Neustrukturierung des Zollfahndungsdienstes zu. Damit darf auch der Zoll zukünftig Staatstrojaner zur Quellen-TKÜ einsetzen.

2021

Die geplante Gesetzesänderung stößt bereits im Vorhinein bei der Opposition, zahlreichen zivilgesellschaftlichen Organisationen und Vereinen wie dem CCC, Reporter ohne Grenzen, der GFF, Bitkom, Amnesty International und Human Rights Watch, Firmen wie Google und Facebook sowie sogar Mitgliedern der eigenen Regierungskoalition auf vehemente Kritik. In einem offenen Brief hatten sich sogar der CCC, Google, Facebook, Industrieverbände und weitere Institutionen in einem ungewöhnlichen Zusammenschluss gegen die Gesetzesänderungen und für die Forderung starker Verschlüsselung und den Schutz privater Kommunikation ausgesprochen. 

Dennoch beschließt der Bundestag am 12. Juni 2021 mit Stimmen der GroKo (erneut kurz vor Ende der Legislaturperiode) zwei umstrittene Gesetzesänderungen. Die SPD-Fraktion stimmt damit sogar gegen ihre Chefin Saskia Esken, die Staatstrojaner immer abgelehnt hatte, und ihren Nachwuchs, die Jusos. Die Union begründet die Änderungen als Anpassung an technische Veränderungen und bedeutend für Terrorabwehr und innere Sicherheit.

Das neue Verfassungsschutzrecht ermöglicht nun auch allen Geheimdiensten – also den Verfassungsschutzämtern auf Bundes- und Länderebene, dem Militärischen Abschirmdienst und dem BND  – den Einsatz von Staatstrojanern. 

Außerdem werden Internetprovider dazu verpflichtet, bei der Verteilung von Staatstrojanern zu helfen. Ursprünglich wollte die Bundesregierung diese Pflicht sogar auf jegliche Telekommunikationsanbieter ausweiten. Gegener:innen befürchten negative Folgen für das Vertrauen in Provider, die Firmen würden durch die Mitwirkungspflicht zum verlängerten Arm der Geheimdienste.

Die Kompetenzen beziehen sich neben aktueller außerdem auch auf vergangene Kommunikation. Diese „Quellen-TKÜ plus“ ist weiterreichend und entspricht faktisch einer beschränkten Online-Durchsuchung. Das schätzen mehrere Sachverständige und Jurist:innen aufgrund fehlender Verhältnismäßigkeit als verfassungswidrig ein. 

Das neue Bundespolizeigesetz erlaubt der Polizei nun auch die präventive Überwachung von Personen, gegen die es noch gar keinen Tatverdacht gibt. Auch das bewerten einige Expert:innen als verfassungswidrig.

Weiterhin wird von Kritiker:innen immer wieder der grundsätzliche Widerspruch betont, dass die Ausweitung von Staatstrojanern die innere Sicherheit durch das Zurückhalten von Schwachstellen gefährdet anstatt ihr zu nutzen.

Abgeordnete der FDP-Fraktion legten im Juli Verfassungsbeschwerde gegen das neue Verfassungsschutzgesetz ein. Auch die GFF, die bereits gegen das BKA-Gesetz, die StPO-Änderung sowie weitere Gesetze, die Staatstrojaner auf Landesebene vorsehen, geklagt hat, kündigte im Fall des Inkrafttretens der neuen Gesetze mögliche Verfassungsbeschwerden an.

Eine Klage davon, die sich 2017 in Kooperation mit dem CCC Stuttgart und anderen gegen das baden-württembergische Polizeigesetz richtete, wird im Juni dieses Jahres vom Bundesverfassungsgericht abgewiesen. Jedoch bewertet die GFF das Urteil aufgrund der Begründung trotzdem als Erfolg. Die Richter:innen stellen darin fest, dass der Staat private Kommunikation zwar grundsätzlich schützen muss, das Ausnutzen von Sicherheitslücken dem aber nicht automatisch entgegenstehe. Die Behörden müssten jedoch im Einzelfall sorgfältig abwägen, ob der Nutzen durch das Geheimhalten einer Sicherheitslücke gegenüber der Gefahr von Angriffen überwiegt.

Zwei Wochen nach dem Beschluss des Bundestags fand die Reform des Bundespolizeigesetzes im Bundesrat keine Mehrheit und liegt somit bis zu einer Nachverhandlung erst mal auf Eis. Der Änderung des Verfassungsschutzgesetzes steht dagegen nichts mehr im Weg.

Zuletzt berichtete netzpolitik.org im Juli über eine Änderung des Strafgesetzbuchs durch den Bundestag vor der Sommerpause, der umbemerkt kurz vor Beschluss noch eine Ausweitung der Einsatzmöglichkeiten von Staatstrojanern angehängt worden sei. Dabei geht es um das Verbot, Propagandamittel von Organisationen auf der EU-Terrorliste zu verbreiten. Die Quellen-TKÜ dürfe neben explizit verfassungswidrigen Organisationen nun auch gegen weitere nicht-verbotene Organisationen eingesetzt werden. Befürchtet wird von Kritiker:innen eine Zweckentfremdung der neuen Regeln zum Beispiel gegen Demonstrierende, da die Definition der betroffenen Propagandamittel ebenfalls erweitert wurde – mussten sie sich früher gegen „freiheitliche demokratische Grundordnung oder den Gedanken der Völkerverständigung“ richten, sind jetzt Mittel ausreichend, die sich „gegen den Bestand oder die Sicherheit eines Staates oder einer internationalen Organisation“ richten.

Der Fall Pegasus

Welches Ausmaß die Überwachung mithilfe eines Staatstrojaners weltweit annehmen kann, zeigt  auch der aktuelle Fall Pegasus. Die Schadsoftware, die von der israelischen Firma NSO Group entwickelt wurde, diente zur Überwachung von Aktivist:innen, Journalist:innen, Politiker:innen und Co. in mindestens elf Ländern (Aserbaidschan, Bahrain, Ungarn, Indien, Kasachstan, Mexiko, Marokko, Ruanda, Saudi-Arabien, Togo, Vereinigte Arabische Emirate). Das machten Amnesty International und Forbidden Stories vor Kurzem öffentlich. Zugrunde liegt eine monatelange Recherche von zahlreichen Journalist:innen und Medienorganisationen, die an einen NSO-Datensatz von 50.000 Telefonnummern gelangten, die seit 2016 Ziel von Ausspäh-Aktionen waren. 

Auf 37 von daraufhin untersuchten 67 Smartphones von Personen, die aus dem Datensatz identifiziert werden konnten und bereit waren, ihr Gerät untersuchen zu lassen, entdeckten die IT-Forscher:innen Spuren, die auf einen Pegasus-Befall hindeuten. Mit dieser lassen sich auf den infizierten Smartphones zum Beispiel Anrufe, E-Mails und verschlüsselte Chats mitlesen, Fotos, Passwörter und GPS-Standorte auslesen oder Mikrofon und Kamera aktivieren. Das renommierte Citizen Lab der Universität Toronto bestätigte die Funde des Amnesty International Security Labs.

Technisch gelangte die Schadsoftware unter anderem durch Zero-Click-Exploits auf die iOS- und Android-Smartphones. Das bedeutet, dass kein Zutun der Zielperson erforderlich ist. Ein Einfallstor stellte laut Amnesty iMessage unter iOS dar – eine Lücke, die sich mindestens mit iOS 14.6 im Juli dieses Jahres noch ausnutzen ließ. Mit iOS 14.7.1 soll die Schwachstelle geschlossen worden sein. Eine andere Installationsmöglichkeit nutzte WhatsApp-Anrufe, die nicht einmal angenommen werden mussten.

Wer sein Gerät auf einen möglichen Pegasus-Befall hin untersuchen möchte, kann das von Amnesty veröffentlichte Mobile Verification Toolkit (MVT) nutzen. Alternativ geht das unter iOS und iPadOS seit Anfang August auch mit dem kostenpflichtigen Tool iMazing, das intern das MVT nutzt und den Prozess für End-User vereinfacht.

Die Zahl der insgesamt von Pegasus Betroffenen dürfte noch höher liegen. Bekannte Zielpersonen sind unter anderem der französische Präsident Macron, 13 weitere Staats- und Regierungschefs weltweit, der EU-Ratspräsident Michel, die Familie des ermordeten Journalisten Khashoggi, Mitglieder kritischer Medien in Ungarn, mexikanische Journalist:innen und indische Oppositionelle. Neben den elf genannten Ländern sind zahlreiche weitere Länder Kunden der NSO Group, darunter auch europäische. Auch Deutschland ließ sich vor einigen Jahren die Software vorführen und war offen für eine Nutzung, erwarb sie jedoch schließlich nicht. 

Die NSO Group behauptet, die Software würde nur für den Kampf gegen Terrorismus und Kriminalität verkauft, einige Länder streiten nach Bekanntwerden des Falles Verbindungen zur NSO Group ab. 

Amazon reagierte als einer der von Pegasus genutzten Cloud-Dienstleister auf die Veröffentlichung mit der Abschaltung von AWS-Infrastruktur und -Accounts, die der NSO Group zugeordnet wurden.

Zweifelhafter bis illegaler Handel mit Spähsoftware

Der Fall Pegasus zeigt: Die beliebte Waffe der Spionagesoftware ist für Staaten einfach zu beschaffen. Statt aufwendig selbst zu entwickeln, können solche Technologien einfach auf dem freien Markt von zahlreichen Firmen weltweit erworben werden. Es wird davon ausgegangen, dass dieser Markt ein Milliarden-Geschäft ist. Das ist den Weltmächten bekannt. So bemängelt auch der Sonderbeauftragte für Meinungsfreiheit der Vereinten Nationen, David Kaye, fehlende Kontrollen auf nationaler sowie globaler Ebene. 

Mehr als 40 Staaten haben bereits vor Jahren ein Abkommen zur Exportkontrolle von Überwachungssystemen unterzeichnet, das seit 2015 auch Infiltrationssoftware einschließt. Juristisch ist das Abkommen jedoch nicht bindend. Und Exporte hat das Abkommen nicht komplett verhindert, wie eine Recherche von niederländischen Journalisten zeigt, die ein Tagesschau-Artikel zitiert. Von 2014 bis 2017 seien in der EU 317 Spähsoftwares exportiert worden, während nur 14 Anträge abgelehnt worden seien, darunter auch Deutschland.

Ein weiteres recht aktuelles Beispiel ist die FinSpy-Spähsoftware der FinFisher GmbH. Im September 2019 wurde bekannt, dass die Staatsanwaltschaft gegen die Münchner Firma ermittelt, da diese ihre Überwachungssoftware ohne seit 2015 in Europa erforderliche Genehmigung illegal in die Türkei verkauft haben soll. Das hatten NDR, WDR und die Süddeutsche Zeitung 2018 berichtet. Ein Bericht der Nichtregierungsorganisation „Access Now“ hatte den Skandal aufgedeckt. Während Demonstrationen im Jahr 2017 seien Oppositionelle über Werbung auf Twitter auf eine Website gelockt worden, die sich als protestunterstützend ausgab. Klickten Demonstrierende auf den dort angezeigten Link, der angeblich zu einer Smartphone-App führen sollte, wurde die Schadsoftware installiert, die daraufhin unter anderem auf Kontakte und Fotos zugreifen sowie Telefonate und Chats mitverfolgen konnte. Neben der Türkei war FinFisher bereits früher für den Einsatz seiner Software in Ägypten und Bahrain kritisiert worden. Der CCC belegte in seiner Analyse der Software 2019, dass diese nach dem Inkrafttreten der EU-Exportkontrollvorschriften erstellt wurde. Die GFF stellte in Kooperation mit Reporter ohne Grenzen, dem European Center for Constitutional and Human Rights (ECCHR) und netzpolitik.org Strafanzeige gegen mehrere Geschäftsführer der FinFisher-Unternehmen. 2020 untersuchte die Münchner Staatsanwaltschaft daraufhin die Geschäftsräume von FinFisher, zwei Geschäftspartnern sowie Privatwohnungen der FinFisher-Geschäftsführer. 

Auch das Bundeskriminalamt ist Kunde bei FinFisher – weigert sich jedoch seit Jahren, den Vertrag zu veröffentlichen, weshalb netzpolitik.org und FragDenStaat wiederholt gegen das BKA auf Herausgabe der Informationen klagten, zuletzt im Juli dieses Jahres.

Vor Kurzem hat die EU eine neue Verordnung zur Exportkontrolle von sogenannten Dual-Use-Gütern beschlossen, die nächsten Monat in Kraft tritt. Mehrere NGOs wie Reporter ohne Grenzen und Amnesty International kritisieren jedoch, die Verordnung sei verwässert worden. Zwar schreibt diese vor, dass die EU-Kommission eine Kontrollliste mit Technologien und Zielländern führen muss, die vor einem Export geprüft werden müssen. Jedoch ist diese Liste nicht rechtlich bindend, sodass Staaten die entsprechenden Exporte nicht untersagen müssen. Außerdem können einzelne EU-Mitgliedstaaten die Liste blockieren, da sie auf Einstimmigkeit beruht.

Nicht nur die NSA & Autokraten: Auch europäische Geheimdienste hören mit

Eine große Kundengruppe im Spähsoftware-Markt dürften Geheimdienste darstellen. Seit Edward Snowden 2013 die Dimension der Überwachung durch die NSA an die Öffentlichkeit gebracht hat, ist kaum mehr jemand verwundert darüber, wen der amerikanische Geheimdienst alles abhört. Auch autokratische Regimes sind bekannt für Überwachung im großen Stil.

Dabei wird manchmal vergessen, dass auch EU-Geheimdienste an fragwürdigen Abhöraktionen beteiligt sind. Erst vor einigen Monaten wurde bekannt, dass der dänische Geheimdienst der NSA dabei half, Politiker:innen verschiedener europäischer Länder abzuhören, darunter auch Angela Merkel, Frank-Walter Steinmeier und Peer Steinbrück. Mitleid haben wenige, denn in ähnlicher Weise stand der BND 2015 in der Kritik, zahlreiche deutsche und europäische Bürger:innen, Politiker:innen und Unternehmen ausspioniert zu haben, darunter auch das dänische Innenministerium.

Da bisherige Skandale nur durch Whistleblower:innen bekannt wurden, vermuten Kritiker:innen, dass solche Fälle nur die Spitze des Eisbergs darstellen.

Einsatz von Staatstrojanern durch deutsche Behörden

Ende 2020 veröffentlichte das Bundesamt für Justiz erstmals eine Statistik zum Einsatz von Staatstrojanern durch die Bundesländer. Nachdem durch offenbar falsch interpretierte Fragebögen zuerst extrem hohe Zahlen rückgemeldet worden waren, wurden diese später stark nach unten korrigiert. Statt 368 habe es bundesweit im Jahr 2019 nur drei Einsätze der Quellen-TKÜ gegeben, angeordnet worden seien 31. Im Vergleich gab es über 18.000 Fälle klassischer Telekommunikationsüberwachung wie dem Mitschneiden von Telefonaten. Wie oft Staatstrojaner bisher durch das BKA eingesetzt wurden, ist bisher nicht bekannt.

Als Grund für den bislang geringen Einsatz gibt Golem den hohen Aufwand und die hohen Kosten der Installation an, zudem sei der eingekaufte Trojaner von FinFisher erst 2018 nach einem langen Nachbesserungsprozess in einer einsatzfähigen Version freigegeben wurden. Eine frühere Version habe nicht auf Smartphones, sondern nur auf Windows funktioniert, ein anderer Trojaner in Bayern sei als nicht tragbar verworfen worden.

Was ist das Problem?

Nun stellt sich die Frage: Was ist das Problem? Laut Befürwortern, allen voran unsere Bundesregierung, stärken Staatstrojaner die innere Sicherheit, indem sie den Kampf gegen Terror, Kinderpornografie und andere schwere Verbrechen unterstützen. Teilweise bereits angeschnitten, möchte ich hier noch mal zusammenfassen, weshalb sich zahlreiche Organisationen und Expert:innen gegen den Einsatz von Staatstrojanern aussprechen.

Das Sicherheitsparadoxon: Staatstrojaner stellen eine Gefahr für die IT-Sicherheit dar

Besonders bedenklich ist, dass der Staat durch Staatstrojaner einen Anreiz bekommt, der Allgemeinheit zahlreiche Sicherheitslücken auf verschiedenen Geräten so lange wie möglich zu verschweigen, um diese selbst auszunutzen. Dieselben Sicherheitslücken können dann aber natürlich auch von Kriminellen oder anderen Geheimdiensten ausgenutzt werden, was auch als Risiko der simultanen Nutzung bezeichnet wird. Das gefährdet die IT-Sicherheit und somit innere Sicherheit der gesamten Bevölkerung, denn Sicherheitslücken existieren auf den Geräten aller Menschen, nicht nur auf denen von Kriminellen.

Das Problem wird laut Kritiker:innen durch die kürzlich beschlossene Mitwirkungspflicht für IT-Provider verschärft, denn die schwäche das Vertrauen in die digitale Infrastruktur und schade so auch der Wirtschaft. Möglich sei, dass deutsche Bürger:innen aus diesem Grund zu ausländischen Anbietern wechseln.

Massiver Eingriff in die Grundrechte

Das Geheimhalten von IT-Sicherheitslücken durch den Staat, zu dem der Einsatz von Staatstrojanern führt, bewerten einige Expert:innen als mit dem IT-Grundrecht nicht vereinbar. Der Staat komme damit seiner Schutzpflicht gegenüber der Allgemeinheit nicht nach. Es fehle ein immer wieder versprochenes und vom Bundesverfassungsgericht gefordertes staatliches Schwachstellen-Management, das die Interessen der Allgemeinheit beim Ausnutzen von Schwachstellen dagegen abwägt.

Missbrauchsmöglichkeiten, fehlende Kontrolle und die Frage der Verhältnismäßigkeit

Der Einsatz von Staatstrojanern zieht in seiner technischen Natur zudem eine fehlende Kontrollmöglichkeit von außen nach sich. In der Vergangenheit gab es unter anderem bei der Bundespolizei und beim BND schon Fälle, in denen Mitarbeitende Überwachungswerkzeuge für private Zwecke missbrauchten. Besonders die juristischen Rahmenbedingungen, zum Beispiel nur Live-Kommunikation, nicht aber vergangene abzuhören, sind technisch kaum realisierbar.

Beispiele wie Pegasus zeigen, dass der immer genannte Kampf gegen den Terror keinesfalls der einzige Einsatzzweck von Staatstrojanern ist. Vielmehr werden diese auch gegen Alltagskriminalität oder unliebsame Staatsgegner:innen eingesetzt. Das sehen viele als unverhältnismäßigen Eingriff in die Privatsphäre, denn auf den Smartphones vieler Menschen befinden sich heutzutage eine Vielzahl privater und sensibler Daten.

Verstärkt wird das durch die stetige Ausweitung staatlicher Möglichkeiten für den Einsatz von Staatstrojanern, der in den letzten Jahren deutlich erkennbar ist – sowohl auf mehr Behörden als auch auf weniger schwerwiegende Straftaten.

Angriff auf die Demokratie

Dass der Einsatz solcher Cyberwaffen letztendlich weitreichende persönliche und zivilgesellschaftliche Konsequenzen haben kann, ist logisch. Der Fall Pegasus bringt zum Beispiel den Mord am saudischen Journalisten Jamal Khashoggi in Verbindung mit dem Staatstrojaner, viele andere Folgen der Überwachung sind der Öffentlichkeit vermutlich gar nicht bekannt.

Für viele Minderheiten, investigative Journalist:innen und zivilgesellschaftliche Organisationen ist verschlüsselte Kommunikation essenziell. Sie stellt Quellenschutz und eine für die Demokratie unerlässliche unabhängige Medienarbeit sicher. Daher argumentieren viele, dass Staatstrojaner nicht nur die IT-Sicherheit, sondern damit auch die Demokratie gefährden.

Ermittlungsmethoden abseits von Staatstrojanern

Dieser Reihe an Argumenten gegen Staatstrojaner halten Unterstützer:innen entgegen, dass sie die einzige Möglichkeit darstellten, schwere Verbrechen im digitalen Zeitalter wirksam zu bekämpfen. Doch mehrere Berichte bezweifeln das. Dazu ein paar Beispiele:

Im Juni erlangte die Ermittlungsarbeit von FBI, Europol und weiteren Partnern große Aufmerksamkeit. Jahrelang wurde ein angeblich verschlüsselter Kommunikationsdienst unter dem Namen AN0M betrieben und über Mittelsleute unter Kriminellen vermarktet. In Wirklichkeit lasen die Behörden alles mit. Mit Erfolg: 11.000 Verdächtige seien auf den Trick hereingefallen, sodass 27 Millionen Nachrichten abgehört werden konnten. Nach fast drei Jahren konnten dann in einer großen koordinierten Aktion zahlreiche Personen in 16 Ländern festgenommen werden. Es soll um Delikte wie Drogen- und Waffenhandel, Geldwäsche, aber auch Mordaufträge gegangen sein.

Die AN0M-Aktion zeigt – auch wenn sie sicherlich einen außergewöhnlichen Einzelfall darstellt – dass Ermittlungsarbeit von Behörden auch ohne Staatstrojaner funktionieren kann.

Darüber hinaus veröffentlichte netzpolitik.org im Mai ein internes Papier des BKA, das belegt, dass Behörden verschlüsselte Messenger wie WhatsApp und Telegram auch ohne Staatstrojaner mitlesen können. Der Trick dabei: Viele Messenger erlauben das Hinzufügen weiterer Endgeräte, sodass das BKA sich mithilfe des Zugangs auf das Smartphone einfach in den Account einklinken kann. Das entkräftet Argumente für Staatstrojaner, die explizit die genannten Messenger als Grund für deren Notwendigkeit anführen. 

Das Internet-Forschungszentrum der Universität Harvard zeigte zudem: Fehlende Daten sind nicht das Problem. Im Gegenteil hat der Staat heutzutage so viele Daten zur Verfügung wie noch nie, viele davon unverschlüsselt. Statt an Befugnissen zu mehr Datenerhebung mangelt es laut Kritiker:innen in der Terror- und Verbrechensbekämpfung vor allem an der effizienteren Auswertung der vorhanden Daten. Das untermauern Geschehnisse wie der Sturm aufs US-Kapitol oder die Reichstagstreppe, die im Vorhinein in sozialen Medien öffentlich angekündigt worden waren.

Geringer Nutzen, große Gefahren

Die genannten Beispiele sind wichtig, um zu verstehen, dass es Alternativen zu Staatstrojanern gibt, die weitaus weniger stark in die Grundrechte der Allgemeinheit eingreifen. Da Grundrechtseingriffe notwendig und angemessen sein müssen, halten einige Expert:innen den Einsatz von Staatstrojanern für verfassungswidrig. Das zeigen auch die oben genannten Klagen mehrerer Organisationen gegen verschiedene Gesetzesänderungen, in denen die Urteile meist noch ausstehen.

Der Milliarden-Markt der Spähsoftware & die wachsende Skalierung

Wie die Fälle NSO Group und FinFisher zeigen, gibt es bereits einen riesigen Markt, auf dem Spähsoftware gehandelt wird. Das ist marktwirtschaftlich nicht verwunderlich. Die Firmen können oder wollen ihre angeblich hohen Standards bei der Kontrolle von Käufer:innen dabei allerdings nicht einhalten: Die NSO Group schließt die Nutzung für das Überwachen von Journalist:innen und Menschenrechtler:innen offiziell aus, doch das Pegasus Project hat aufgedeckt, dass auch solche Personen unter den Ausgespähten waren. Das gefährdet die Demokratie weltweit. Auch deutsche Behörden kaufen Schwachstellen und Software ein. So wird ein krimineller Markt gestärkt, der die IT-Sicherheit insgesamt schwächt. 

Die steigende Skalierung von Staatstrojaner-Einsätzen durch den Kauf von Spähsoftware bei gewinnorientierten Unternehmen bereitet auch dem Whistleblower Edward Snowden Sorge, der in einem Interview mit The Guardian, das ZEIT ONLINE gekürzt veröffentlicht, über das Pegasus Project spricht. Darin bezeichnet er Firmen wie die NSO Group als einen „Industriezweig, der überhaupt nicht existieren sollte“. Pegasus habe eine besorgniserregende Branche aufgedeckt, da neben den Geheimdiensten nun auch der freie Markt in der Überwachung mitspiele. Außerdem stimmt er David Kaye, dem ehemaligen Sonderberichterstatter der Vereinten Nationen für Meinungsfreiheit, zu, dass die Überwachungsindustrie außer Kontrolle geraten sei. Grund dafür sei vor allem die steigende Skalierung von Angriffen, die möglich sei, da eine einmal gefundene Sicherheitslücke in Smartphones heutzutage vielfach auf der ganzen Welt ausgenutzt werden könne. Im Vergleich zu früher üblichen Maßnahmen wie Wanzen sei es heute mit Staatstrojanern viel einfacher und kostengünstiger, eine große Zahl von Menschen zu überwachen. Besonders autoritäre Länder mit geringem technischen Know-how profitierten davon, sich einfach Schadsoftware einkaufen zu können, anstatt diese aufwendig und teuer selbst zu entwickeln.

Und was jetzt? Forderungen zum Thema Staatstrojaner an die Regierung

Die einzige Lösung, um die weltweite Überwachung in den Griff zu bekommen, ist es laut Edward Snowden, den Gewinnmotiven der Unternehmen Verbote entgegenzusetzen. Er fordert ein globales Moratorium für den Handel mit Cyberwaffen. Ein weltweites Handelsverbot für Sicherheitslücken sei unerlässlich, bisherige Bestrebungen wie die EU-Exportkontrollen seien nicht ausreichend gewesen. Snowden zieht einen Vergleich zum Handel mit Atomwaffen, chemischen oder biologischen Waffen – genau wie in diesen Fällen seien Verbote das einzig mögliche Mittel, denn Einzelne könnten sich gegen Staatstrojaner nur in geringem Maße schützen.

Auch netzpolitik.org fordert eine stärkere Auseinandersetzung in der Politik zur Frage, wie man Staatstrojaner demokratisch kontrollieren kann. Denkbar sei auch eine unabhängige wissenschaftliche Kommission, die den Einsatz von Staatstrojanern rückwirkend auf seine Notwendigkeit bewertet und alternative Ermittlungsstrategien entwickelt. Außerdem sollten Sicherheitsbehörden zur Meldung gefundener und gekaufter Schwachstellen verpflichtet werden.

Das Deutsche Institut für Menschenrechte fordert indes, dass Gesetze regelmäßig hinsichtlich ihrer Wirkung und Auswirkung auf die Grund- und Menschenrechte evaluiert werden und insbesondere neue Befugnisse für Sicherheitsbehörden in diesem Hinblick überprüft werden.

Immer wieder sprechen sich viele Organisationen wie der CCC, die GFF, Digitalcourage und andere öffentlich gegen Staatstrojaner aus. Zu den wiederkehrenden Forderungen zählen die stärkere Kontrolle von Staatstrojaner-Einsätzen, eine Rückkehr zu klassischen Ermittlungsmethoden und die Pflicht für das Melden von Sicherheitslücken.

Identifizierungspflicht hilft nicht gegen Hass im Netz

Abseits von Überwachung durch Staatstrojaner und Co. wird in politischen Kreisen immer wieder ein anderes Mittel gefordert, um Straftaten im Internet zu unterbinden und besser verfolgen zu können. Ein aktueller Anlass dafür sind rassistische Anfeindungen, denen sich vor allem die Spieler Marcus Rashford, Jadon Sancho und Bukayo Saka der englischen Nationalmannschaft in sozialen Medien ausgesetzt sahen, nachdem das Team vor Kurzem das EM-Finale gegen Italien verlor. 

Hierzu nahm Twitter eine Analyse vor und untersuchte die Accounts, die solche Hassnachrichten verfassten und daraufhin gesperrt wurden. Twitter stellte dabei überraschend fest, dass 99 Prozent der Accounts nicht anonym waren, sondern oft ihre Klarnamen nutzten. Das erleichtert die Strafverfolgung und nährt Zweifel an der Sinnhaftigkeit einer Identifizierungspflicht in sozialen Medien.

Twitter betont, dass Anonymität im Internet im Gegenteil sehr wichtig sein kann, um freie Meinungsäußerung unter autoritären Regimes, aber auch in Demokratien etwa für marginalisierte Gruppen oder Whistleblower:innen zu schützen.

Das bedeutet nicht, dass soziale Medien keine Pflicht haben, Hass zu bekämpfen. Nach den genannten Anfeindungen gelobte zum Beispiel Facebook Besserung durch dauerhafte statt temporäre Sperrungen von Accounts auf Instagram. Twitter möchte ebenfalls nachbessern und kündigt den Testlauf einer neuen Funktion an, die automatisch Hasskommentare erkennen und blockieren soll. Zudem soll eine schon teilweise erfolgreich im Einsatz befindliche Warn-Funktion ausgeweitet werden, die User vor dem Post zum Überdenken auffordert, wenn hassvolle Sprache in ihren Tweets erkannt wird.

Auch wenn Hass im Netz ein wachsendes Problem ist und Lösungsstrategien entwickelt werden müssen, sollten wir seit Edward Snowden nicht gelernt haben, dass eine De-Anonymisierung des Internets weder durchsetzbar noch eine gute Idee ist? Während die Stärkung der IT-Sicherheit nicht nur durch die Twitter-Studie angezweifelt wird, hätte so ein Schritt weitreichende negative Folgen für die Gesellschaft.

Staatliche Anschaffung von Software: Probleme zeigt das Drama um die Luca-App

Fehlende IT-Kompetenz auf mehreren Ebenen der Regierung beweist auch die lange Geschichte um die Luca-App, die in den letzten Monaten unzählige Male in den Medien behandelt wurde. Während viele Medien zu Beginn die App zur Kontaktnachverfolgung mit Unterstützer Smudo als Werbegesicht bejubelten, berichteten Kritiker:innen zunehmend über gravierende Sicherheitslücken und bemängelten das grundlegend unsinnige Konzept des Datensammelns (gegenüber der datenfreundlichen Corona-Warn-App) und den daraus folgenden fehlenden Nutzen der gesammelten Daten für die Gesundheitsämter. Im April veröffentlichten der CCC sowie 70 Sicherheitsforschende Stellungnahmen und forderten, statt Luca dezentrale Lösungen wie die Corona-Warn-App (CWA) zu verwenden.

Trotzdem zahlten 13 Bundesländer insgesamt über 20 Millionen Euro für die einjährige Nutzung der App, wie netzpolitik.org berichtet, die Vergabe erfolgte ohne Ausschreibung, zu der die Bundesländer eigentlich verpflichtet sind. Diese Kosten übernimmt laut der rheinland-pfälzischen Ministerpräsidentin Malu Dreyer zunächst der Bund – immense unnötige Kosten, wenn man bedenkt, dass schon 68 Millionen Euro für die Corona-Warn-App ausgegeben wurde, die dieselbe Funktionalität bietet – nur dezentral und ohne das Sammeln personenbezogener Daten. 

Eine Rolle beim überraschenden Erfolg der Luca-App spielen dabei neben prominenter Unterstützung sicherlich auch die Corona-Verordnungen der Bundesländer, die Restaurants, Läden etc. in den meisten Fällen dazu verpflichten, Kontaktdaten ihrer Gäste zu sammeln – eine Registrierung ohne Angabe von Kontaktdaten mit der CWA reicht also nicht aus. Im Mai passte Sachsen als Vorreiter seine Corona-Verordnung an und erlaubt seither explizit auch die Verwendung der Check-in-Funktion der Corona-Warn-App zur Kontaktnachverfolgung.

In Thüringen schaffen nun erste Orte wie Weimar ab September die Luca-App wieder ab. Der Grund ist der fehlende Nutzen, denn die App habe insgesamt zu viele, aber darunter zu wenig hilfreiche Informationen gesammelt und so den Gesundheitsämtern die Arbeit eher erschwert als erleichtert. In NRW entfällt mit der neuen Corona-Verordnung ab dem 20. August die Pflicht zur Erfassung von Kontaktdaten. Damit entfällt die rechtliche Grundlage für Ladenbesitzer:innen und Co., sodass bei einem weiteren Einsatz von Luca sogar Bußgelder drohen könnten.

Insgesamt zeigt die Geschichte um Luca, dass bei Anschaffung von IT-Systemen durch Bund und Länder Vergleiche eingeholt werden sollten. Wichtige Kriterien wie Sicherheit und Datenschutzfreundlichkeit müssen bestenfalls durch unabhängige IT-Sachverständige beurteilt werden. Ähnliches gilt für das Erlassen von Verordnungen oder Gesetzen, die technische Vorgaben machen, und es sollte möglichst nicht die Verwendung einer einzelnen Software (de facto) vorgeschrieben werden.

Die Luca-Geschichte hat auch Verbindungen zu einem anderen Thema, das die Politik immer wieder beschäftigt: die große Macht der IT-Konzerne. So ist unklar, warum Luca von Apple und Google nicht aus deren App-Stores verwiesen wurde, aber Apps anderer Anbieter mit weitaus weniger schweren Regelverletzungen schon, wie Heise berichtet. Eigentlich wollten die App-Stores bei Apps mit Corona-Bezug nur staatliche Entwicklungen zulassen. Die Tech-Giganten hatten auch einen Einfluss darauf, dass für die CWA auf eine dezentrale Lösung gesetzt wurde. Denn selbst Regierungen müssen sich den Regeln der US-Firmen beugen. Auch wenn das in diesem Fall einen positiven Einfluss auf die IT-Sicherheit hatte, wäre in Zukunft auch ein umgekehrter Fall denkbar. Eine Anhörung im US-Kongress, zur der die Chefs der vier Tech-Giganten Apple, Facebook, Google und Amazon im Juli letztes Jahres geladen wurden, zeigt, dass die US-Regierung dieses Problem der Monopolmacht weniger Konzerne erkannt hat. Nachdem eine Klage gegen Facebook im Juni gescheitert war, wurde erst vor wenigen Tagen bekannt, dass die US-Kartellbehörde FTC erneut Klage gegen Facebook eingereicht hat mit dem Ziel, die Abspaltung von WhatsApp und Instagram zu erreichen und Facebook bei zukünftigen Übernahmen zur Einholung einer vorherigen Genehmigung zu verpflichten. In Deutschland eröffnete das Bundeskartellamt erst dieses Jahr ebenfalls ein Verfahren gegen die Big Four. Es bleibt abzuwarten, wie sich das Thema in Zukunft weiterentwickelt.

Kritik an Zuständig- und Abhängigkeiten: Das BSI und das IT-Sicherheitsgesetz 2.0

Das hessische Innenministerium bat aufgrund der gravierenden Sicherheitsmängel von Luca sogar das Bundesamt für Sicherheit in der Informationstechnik (BSI) um Prüfung des Systems. Jedoch hat das Bundesinnenministerium (BMI), dem das BSI unterstellt ist, eine solche Prüfung abgelehnt, wie der SPIEGEL im August berichtete. Grund ist, dass nicht Bund, sondern Länder die Vertragspartner mit Luca sind. Diese sollten stattdessen Prüfungen vom Hersteller der App, der die IT-Sicherheit garantieren müsse, oder anderen Firmen wie Pentesting-Anbietern einfordern. Aber auf Landesebene gibt es keine Institutionen, die mit dem BSI auf Bundesebene vergleichbar sind. Das Problem sind also, typisch deutsch, Zuständigkeiten.

Die AG KRITIS, deren Gründer und Sprecher Manuel Atug dieses Semester in einer unserer Vorlesung zu Gast war, fordert auf ihrer Website seit Längerem die Unabhängigkeit von BSI und BMI. Denn „Sicherheitsmängel in Kritischen Infrastrukturen (KRITIS) müssen an das BSI gemeldet werden. Aus der Fachaufsicht des BMI über das BSI erwächst das Risiko, dass das BMI das BSI anweisen kann, eine gemeldete Sicherheitslücke nicht zu schließen, sondern an Behörden […] weiterzugeben, damit die Lücke von diesen ausgenutzt werden kann.“ Daher solle das BSI abgekoppelt werden und eine rein defensive Rolle einnehmen, um das notwendige Vertrauen für das Melden von Sicherheitslücken sicherzustellen. Darüber hinaus seien Bußgelder vergleichbar mit solchen, die nach der DSGVO ausgesprochen werden können, sinnvoll. Auch der CCC fordert seit Langem, dass das BSI eine unabhängige Institution  werden soll mit dem Auftrag, IT-Sicherheit zu stärken.

Mit Beschluss des IT-Sicherheitsgesetzes 2.0 (offiziell „Zweiten Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme“), das nach Beschluss durch Bundestag und Bundesrat Ende Mai dieses Jahres in Kraft trat, bekam das BSI mehr Befugnisse, um die IT-Sicherheit zu stärken. Außerdem wurden die Pflichten für Betreiber kritischer Infrastrukturen erweitert und auf Unternehmen im besonderen öffentlichen Interesse ausgedehnt. Sowohl die AG KRITIS als auch der CCC kritisieren jedoch in Stellungnahmen einige Inhalte des neuen Gesetzes. Manuel Atug nennt den Gesetzesentwurf in seiner Stellungnahme für die Anhörung des Bundestagsausschusses für Inneres und Heimat im März „ein strategieloses Bürokratiemonster […], welches der Anforderung zur Erhöhung der IT-Sicherheit nicht gerecht wird“ und kritisiert  die unsystematische Herangehensweise an das Thema Informationssicherheit und das Fehlen eines ganzheitlichen Konzepts. Der CCC sieht das ähnlich und betont in seiner Stellungnahme zur gleichen Anhörung den Interessenkonflikt des BSI in Bezug auf das BMI dadurch, dass das BSI nicht zur Meldung und Beseitigung von Schwachstellen verpflichtet werden soll. Darüber hinaus erhalte das BSI durch den Einsatz von Schadprogrammen enorme Befugnisse, in die Integrität von IT-Systemen einzugreifen, ohne dass es eine unabhängige Instanz für die Aufsicht darüber gebe, und ohne die Frage der Haftung zu klären. 

Insgesamt scheint das Gesetz für Expert:innen auf dem Gebiet nicht durchdacht zu sein. Es ist fraglich, ob das Gesetz mehr Probleme löst als es produziert. 

Verbesserungswürdiger Ablauf von Gesetzesänderungen

Darüber hinaus kritisieren beide oben genannten Stellungnahmen die extrem kurze Frist von knapp über 24 Stunden für das Kommentieren der neuen Version des Gesetzesentwurfs. Schon 2020 hatten mehrere Vereine, Stiftungen, Initiativen und Verbände, unter anderem der CCC, in einem offenen Brief gefordert, die Beteiligung von Expert:innengrupppen als wichtiges Element der Demokratie zu stärken, insbesondere durch angemessene Fristen für Gesetzesentwurf-Kommentierungen sowie die Bereitstellung von Synopsen. 

Synopsen sind leserliche Gegenüberstellungen von verschiedenen Versionen von Gesetzestexten, die Änderungen klar ersichtlich machen. Stattdessen werden in Deutschland Gesetzesänderungen oft in Form von unverständlichen Änderungsbefehlen („In Absatz … werden die Wörter … durch … ersetzt“ etc.) publiziert. Das erschwert Expert:innen sowie Betroffenen der Gesetze die Einflussnahme und Interpretation. Das Verfahren wird immer wieder als absichtliche Verschleierungstaktik kritisiert und es werden Forderungen nach verpflichtenden Synposen gestellt, so zum Beispiel zuletzt von der Fraktion DIE LINKE, die im Januar eine Änderung der Geschäftsordnung des Deutschen Bundestages diesbezüglich beantragte.

Responsible Disclosure, der Hackerparagraf & CDU Connect

Um beim Thema Gesetzgebung zu bleiben, möchte ich noch ein weiteres Ereignis aufgreifen, das es vor Kurzem sogar abseits der IT-Magazine in die Nachrichten geschafft hat. 

Alles begann im Mai, als die IT-Sicherheitsforscherin Lilith Wittmann auf Twitter auf die App „CDU Connect“ aufmerksam gemacht wurde. Die App unterstützt Wahlkampfhelfer:innen und wird von der CDU seit dem letzten Bundestagswahlkampf betrieben. Darin werden Daten zu Haustürgesprächen und den Einstellungen der besuchten Personen gespeichert, laut CDU Connect aber ohne das Sammeln personenbezogener Daten ohne Einwilligung. 

Lilith Wittmann untersuchte daraufhin die Netzwerkanfragen der Anwendung und stellte fest, dass sie durch Hinzufügen eines GET-Parameters Daten abfragen konnte, auf die sie eigentlich keinen Zugriff haben sollte. Darunter persönliche Daten von Tausenden Wahlkampfhelfer:innen und Daten von erfassten Haustürbesuchen – Straße und Stadt, Alter und Geschlecht der Person, sowie besprochene Themen, die oft politische Haltungen der besuchten Personen offenbaren. Die Sicherheitsforscherin merkt an, dass diese Informationen insbesondere in kleinen Straßen mit wenigen Hausnummern zur Identifizierung von Personen ausreichen können.

Am 11. Mai meldete Lilith Wittmann die über Jahre bestehende Sicherheitslücke an die zuständigen Institutionen, einen Tag später wurde die App offline genommen, die Lücke bald darauf behoben. Erst danach berichtete sie öffentlich über die Schwachstelle. Einen Tag später entdeckte und meldete Wittmann dieselbe Sicherheitslücke noch in den Wahlkampf-Apps der CSU und der Volkspartei Österreich, denn diese verwenden die gleiche App in anderem Gewand. So weit, so normal der Ablauf im Rahmen einer Responsible Disclosure. Anfang August jedoch wurde Lilith Wittmann darüber informiert, dass die CDU beim Landeskriminalamt (LKA) Strafantrag gegen sie gestellt hat – ein ungewöhnliches Vorgehen, wenngleich Drohungen rechtlicher Schritte keine Seltenheit bei solchen Meldungen sind, und auch in diesem Fall gegenüber der Sicherheitsforscherin geäußert worden sein sollen. 

Der CCC, in dem Lilith Wittmann aktiv ist, reagierte mit der Stellungnahme „CCC meldet keine Sicherheitslücken mehr an CDU“, in der er die CDU scharf kritisiert. Diese habe „das implizite Ladies-and-Gentlemen-Agreement des responsible disclosure einseitig aufgekündigt“.  Der CCC möchte daher keine Sicherheitslücken mehr an die Partei melden und weist darauf hin, dass dadurch das Risiko für Full Disclosures, also anonyme Veröffentlichungen von Schwachstellen ohne Vorwarnung und Gelegenheit für die Behebung, steigt.

Neben Golem, Heise und Co. berichteten nun unter anderem auch ZEIT ONLINE, der SPIEGEL, die Süddeutsche Zeitung sowie die Frankfurter Allgemeine. Unter öffentlichem Druck ruderte die CDU daraufhin zurück, entschuldigte sich bei Wittmann und zog laut Bundesgeschäftsführer Stefan Hennewig die Anzeige zurück. ZEIT ONLINE berichtet, dass trotzdem weiter ermittelt werden kann. Laut Jurist Ulf Buermeyer, Vorsitzender der GFF, kann man eine Anzeige, die lediglich eine Mitteilung über das mögliche Bestehen eine Straftat sei, nicht zurückziehen. Das LKA hat eine Strafverfolgungspflicht und muss auch gegen den Willen des Geschädigten weiter ermitteln. 

In einem Artikel von netzpolitik.org wird Lilith Wittmann zitiert und beschreibt das zugrunde liegende Problem in der Gesetzgebung wie folgt: „CDU und SPD haben trotz vielfacher Hinweise in Bezug auf die Folgen für die zivilgesellschaftliche Sicherheitsforschung den Hackerparagrafen beschlossen. Es ist nun zwar schade, aber nicht wirklich unerwartet, dass die CDU für sie unangenehme Sicherheitsforscher*innen – wie mich selbst – auf Basis dieses Paragrafs verfolgt”. 

Diese Geschichte ist nur eine von zahlreichen, die zeigen, wie das deutsche Recht IT-Sicherheitsforschende in ein ethisches Dilemma bringt Der von Wittmann angesprochene sogenannte „Hackerparagraf“ meint den Paragraf 202c im Strafgesetzbuch. Dieser verbietet das “Vorbereiten des Ausspähens und Abfangens von Daten” und stellt dies durch Ergänzung der Paragrafen 202a und 202b unter Strafe. Starbar machen sich also auch ethische Hacker:innen und sogar Personen, die Computerprogramme herstellen oder verwenden, die für Sicherheitsforschende unerlässlich sind. 2009 hat das Bundesverfassungsgericht eine Verfassungsbeschwerde zum Hackerparagrafen abgelehnt, in seiner Begründung aber konkretisiert, dass solche Programme “mit der Absicht entwickelt oder modifiziert worden sein” müssen, sie zur Ausspähung oder zum Abfangen von Daten einzusetzen.

Der CCC berichtete schon 2008 nach Inkrafttreten des „Hackerparagrafen“ über einen Rückgang von freiwilligen Meldungen gefundener Sicherheitslücken und kritisierte die daraus folgende Verschlechterung der IT-Sicherheit in Deutschland. Es wird deutlich, dass eine veränderte Rechtsprechung die IT-Sicherheit stark verbessern könnte – mit klaren Regeln, wie Sicherheitsforschende Schwachstellen melden können, ohne Angst haben zu müssen, sich strafbar zu machen.

Golem-Autor Hanno Böck merkt in seinem Artikel „Juristische Drohungen schaden der IT-Sicherheit“ darüber hinaus an, dass im Vergleich zu denen, die Schwachstellen entdecken und melden, jene, die IT-Sicherheitslücken verantworten, kaum juristische Konsequenzen fürchten müssen: „Eine Haftung für IT-Sicherheitslücken gibt es in aller Regel nicht. Bemerkenswert an dem Vorfall um die CDU-Connect-App ist nämlich nicht nur die unprofessionelle Reaktion, sondern auch, dass die Sicherheitslücken allzu offensichtlich waren. […] Dass überhaupt ein Verfahren gegen die Person eröffnet wurde, die auf diese Probleme hingewiesen hat, und nicht gegen die, die dafür verantwortlich waren, ist der eigentliche Skandal. Die aktuelle Gesetzeslage lässt das zu und ist somit schädlich für die IT-Sicherheit“.

Ein globales Problem am Beispiel Ransomware

Einen letzten wichtigen Punkt möchte ich noch am Beispiel Ransomware verdeutlichen. In einem Talk auf dem 36. Chaos Communication Congress (36C3) 2019 spricht CCC-Sprecher Linus Neumann eigentlich über die menschliche Komponente in der IT-Sicherheit, insbesondere Phishing. Linus Neumann erzählt darin von der Ransomware GandCrab, die mit psychologischen Tricks wie Verdopplung des zu zahlenden Lösegelds arbeitet. Im Rahmen einer Recherche hätten sich Neumann und weitere Kollegen an den „Kunden-Chat“ der Ransomware-Gruppe gewandt. Nachdem sie zuerst erfolglos versucht hatten, die Zahlungsart von Bitcoin in eine SEPA-Überweisung umzuwandeln, hätte ein russischer Kollege den Kriminellen auf russisch geschrieben. Daraufhin hätten diese ihm anboten, die Daten kostenlos wieder zu entschlüsseln, wenn er ihnen ein Foto von seinem russischen Pass schicke. GandCrab prüfte sogar, ob sich das angegriffene Gerät in Russland befand, und verschlüsselte in diesem Fall keine Daten. 

Grund dafür ist die russische Regierung, die Hacker im eigenen Land laut Kritiker:innen unbehelligt Ziele außerhalb Russlands angreifen lässt, teilweise wohl auch für den Inlandsgeheimdienst FSB. Das zeigt, selbst wenn das deutsche Recht hinsichtlich IT-Sicherheit an vielen Stellen verbessert würde, darf man eines nicht vergessen. Landesgrenzen schützen in der IT nicht, IT-Angriffe auf deutsche Unternehmen haben ihren Ursprung neben Deutschland vor allem häufig in Russland, China und Osteuropa. Natürlich beeinflusst auch die Gesetzgebung anderer Länder die Entwicklung der IT-Sicherheit weltweit und damit auch in Deutschland. 

Dass Ransomware ein zunehmendes Problem darstellt, berichtet auch Heise vor Kurzem aus dem Ransomware Report des IT-Security-Unternehmens Palo Alto Network. Lösegeldzahlungen steigen stetig und betragen im ersten Halbjahr 2021 durchschnittlich 570.000 US-Dollar. Zuletzt waren unter anderem der Landkreis Anhalt-Bitterfeld, der nach einem Ransomware-Angriff den deutschlandweit ersten Cyber-Katastrophenfall ausrief, und das Klinikum Wolfenbüttel als Ransomware-Opfer in den Schlagzeilen. Auch der Mainboardhersteller Gigabyte litt unter Ransomware, die Angreifer veröffentlichten angeblich Daten, die unter anderem AMD und Intel betreffen.

Fazit

Auch wenn die Themen Staatstrojaner, BSI, Ransomware und die Geschichten der Apps Luca und CDU Connect erst einmal breit gefächert scheinen, soll mein Beitrag die vielfältige Art und Weise aufzeigen, mit der der Staat die IT-Sicherheit der Allgemeinheit beeinflusst. Das geschieht durch die Gesetzgebung, durch Verordnungen, durch die Gestaltung der Aufgaben von Behörden und Ähnliches.

Dabei ist „der Staat“ eigentlich zu kurz gesagt, denn Pegasus oder das Ransomware-Beispiel lassen komplexe internationale und politische Zusammenhänge erkennen. Darum muss IT-Sicherheit als globales Thema verstanden werden. Und die Auswirkungen von Staatstrojanern und Co. zeigen: Der Kampf für IT-Sicherheit ist nicht zu unterschätzen, denn er ist auch ein Kampf für Demokratie.

Einige vergangene Entscheidungen unserer Regierung sehen manche als Beweis für fehlende IT-Kompetenz, andere als bewusste Entscheidungen gegen die IT-Sicherheit. Für die Zukunft bleibt zu wünschen, dass der Staat die Bedeutung der IT-Sicherheit und seine Macht in diesem Bereich erkennt. Um die angesprochenen Probleme anzugehen, mangelt es nicht an Handlungsvorschlägen. Sowohl in Deutschland als auch darüber hinaus stellen zahlreiche Organisationen ihre Expertise im Bereich IT-Sicherheit und verwandten Disziplinen zur Verfügung. Wie immer gilt: Vielleicht mal auf die Expert:innen hören.


Posted

in

by

Stephanie Jauss

Comments

Leave a Reply