In der IT-Sicherheit war viel los in letzter Zeit. Das haben wir auch in der Vorlesung \u201eSichere Systeme\u201c bei Herrn Kriha gemerkt, in der wir jede Woche aktuelle IT-Sicherheits-News gesammelt haben \u2013 im Laufe des Semesters kamen wir auf \u00fcber 20 Seiten mit Links zu Heise, Golem und Co.<\/p>\n\n\n\n
Im Rahmen dieser Lehrveranstaltung schreibe ich diesen Blogartikel und m\u00f6chte mich hierbei einem Thema widmen abseits von einzelnen Angriffen auf IT-Systeme, von b\u00f6sen Hackern, von spezifischen Sicherheitsl\u00fccken oder Tipps, wie man seine privaten Accounts besser sch\u00fctzt. Es ist die Frage, welchen Einfluss der Staat auf die IT-Sicherheit hat. Daf\u00fcr m\u00f6chte ich ein paar aktuelle netzpolitische Themen aufgreifen, die in den letzten Monaten stark diskutiert wurden und die zeigen, wie unser Staat Einfluss auf die IT-Sicherheit in Deutschland (und dar\u00fcber hinaus) nehmen kann.<\/p>\n\n\n\n\n\n\n\n
Zun\u00e4chst soll es um den Dauerbrenner im Bereich Staat und IT-Sicherheit gehen: Staatstrojaner. Immer wieder aufgrund von Skandalen oder Gesetzes\u00e4nderungen in den Nachrichten vertreten, kann man schnell den \u00dcberblick verlieren. Deshalb zun\u00e4chst ein paar Grundlagen.<\/p>\n\n\n\n
Als Staatstrojaner versteht man staatliche Schad-, meist Spionagesoftware, die heimlich auf Ger\u00e4ten von Zielpersonen l\u00e4uft. Juristisch werden dabei im deutschen Recht zwei Einsatzzwecke unterschieden: <\/p>\n\n\n\n
Die Online-Durchsuchung, die in Paragraf 100b der Strafprozessordnung (StPO) geregelt ist, bezeichnet das Durchsuchen aller Inhalte auf einem Ger\u00e4t, stellt also den schwerwiegendsten Eingriff dar.<\/p>\n\n\n\n
Die Quellen-Telekommunikations\u00fcberwachung (Quellen-TK\u00dc) bezeichnet die Ma\u00dfnahme, lediglich die laufende Kommunikation zu \u00fcberwachen, was Paragraf 100a der StPO regelt. Vor allem bei der Kommunikation \u00fcber Ende-zu-Ende-verschl\u00fcsselte Messenger stellt das eine M\u00f6glichkeit f\u00fcr Strafverfolgungsbeh\u00f6rden dar, Nachrichten direkt auf dem Zielger\u00e4t mitzulesen.<\/p>\n\n\n\n
Manchmal wird auch von der \u201eQuellen-TK\u00dc plus\u201c gesprochen, womit die Ausweitung des Abh\u00f6rens auf vergangene Kommunikation bezeichnet wird. Somit kann der Schweregrad des Eingriffs bei der Quellen-TK\u00dc plus zwischen Quellen-TK\u00dc und Online-Durchsuchung eingeordnet werden.<\/p>\n\n\n\n
Diese Unterscheidungen sind technisch jedoch schwer sicherzustellen, denn in allen F\u00e4llen muss Schadsoftware auf die Zielger\u00e4te gespielt werden, die weitreichende Befugnisse hat, Ger\u00e4teinhalte auszulesen. Wie genau das abl\u00e4uft, unterscheidet sich zwischen verschiedenen Trojanern genauso wie bei gew\u00f6hnlicher Malware. Nutzer:innen k\u00f6nnen zum Beispiel durch Office-Makros, Phishing-Links in E-Mails und \u00c4hnlichem mit Tricks zur Installation gebracht werden. Beh\u00f6rden haben alternativ schon Installationen auf beschlagnahmten Ger\u00e4ten direkt durchgef\u00fchrt, wenn sie das Passwort knacken konnten. <\/p>\n\n\n\n
Besonders umstritten: Oft werden auch Sicherheitsl\u00fccken in Hardware, Betriebssystem oder Anwendungen ausgenutzt. Vor allem Zero-Click-Exploits sind beliebt bei den \u00dcberwachenden, denn mit diesen ist kein Zutun des Opfers wie der Klick auf einen Link notwendig. Durch solch eine Schwachstelle gelangte zum Beispiel der Trojaner Pegasus auf Zielger\u00e4te, der sp\u00e4ter noch genauer beleuchtet wird. <\/p>\n\n\n\n
Kritisiert wird dieses Vorgehen vor allem, da Beh\u00f6rden somit keine Motivation mehr haben, bisher nicht gepatchte Zero-Day-Exploits zu melden, von denen sie Kenntnis erlangen. Das verschlechtert die Situation der IT-Sicherheit f\u00fcr alle. Ein Beispiel daf\u00fcr ist Wannacry, das eine der NSA bekannte Schwachstelle ausnutzte und so mit gro\u00dfen Auswirkungen Millionen infizierte Ger\u00e4te lahmlegte.<\/p>\n\n\n\n
Die Rechtslage in Deutschland, die den Einsatz von Staatstrojanern betrifft, darf man wohl als kompliziert bezeichnen. Es folgt der Versuch, einen \u00dcberblick \u00fcber den Ursprung von Staatstrojanern in Deutschland und \u00fcber die wichtigsten aktuellen Entwicklungen in diesem Bereich zu geben.<\/p>\n\n\n\n
2008<\/span><\/strong><\/p>\n\n\n\n Nachdem der Bundesgerichtshof 2006 entschied, dass die aktuelle Gesetzeslage f\u00fcr Hausdurchsuchungen nicht als Rechtfertigung f\u00fcr Online-Durchsuchungen ausreicht, m\u00f6chte die Regierung 2008 eine rechtliche Grundlage hierf\u00fcr schaffen. <\/p>\n\n\n\n Das Bundesverfassungsgericht best\u00e4tigt, dass eine Online-Durchsuchung nur unter sehr strikten Bedingungen grundgesetzkonform ist und schafft aus dem Grundgesetz abgeleitet das \u201eGrundrecht auf Gew\u00e4hrleistung der Vertraulichkeit und Integrit\u00e4t informationstechnischer Systeme\u201c (auch: \u201eIT-Grundrecht\u201c), das als Erweiterung des allgemeinen Pers\u00f6nlichkeitsrechts verstanden wird.<\/p>\n\n\n\n Dem bayerischen Landtag, der f\u00fcr das erste Bundesland die Online-Durchsuchung per Gesetz erm\u00f6glicht, folgt noch im selben Jahr der Bundesrat mit der Verabschiedung des BKA-Gesetzes im Dezember. Dieses erlaubt der Bundespolizei den Einsatz von Online-Durchsuchungen zur Abwehr on Terrorismus. <\/p>\n\n\n\n 2016<\/span><\/strong><\/p>\n\n\n\n Teile des BKA-Gesetzes werden vom Bundesverfassungsgericht als verfassungskonform gewertet. Grunds\u00e4tzlich sei das Gesetz in Ordnung, das Gericht fordert jedoch Nachbesserungen an einigen Stellen sowie die Einhaltung des Verh\u00e4ltnism\u00e4\u00dfigkeitsgrundsatzes und betont die hohen Anforderungen an Transparenz, Kontrolle und Daten\u00fcbermittlung an andere Beh\u00f6rden.<\/p>\n\n\n\n 2017<\/span><\/strong><\/p>\n\n\n\n Die Gro\u00dfe Koalition beschlie\u00dft noch kurz vor der Bundestagswahl mit einer Reform des Strafprozessrechts die Ausweitung der Quellen-TK\u00dc auf Alltagskriminalit\u00e4t und \u00fcber das BKA hinaus. netzpolitik.org kritisiert dabei das Verstecken der \u00c4nderung in einem anderen Verfahren anstelle eines eigenen Gesetzesverfahrens, wodurch eine \u00f6ffentliche Debatte im Vorhinein verhindert wurde. Im Juni beschlie\u00dft der Bundestag das \u201eGesetz zur \u00c4nderung des Strafgesetzbuchs, des Jugendgerichtsgesetzes, der Strafprozessordnung und weiterer Gesetze\u201c. Auch der Chaos Computer Club (CCC) spricht sich gegen die \u00c4nderung aus und bem\u00e4ngelt die Gefahr f\u00fcr die innere Sicherheit durch das Geheimhalten von Sicherheitsl\u00fccken, den unverh\u00e4ltnism\u00e4\u00dfigen Grundrechtseingriff bei fehlender Notwendigkeit sowie die fehlende technische \u00dcberpr\u00fcf- und Nachvollziehbarkeit aufgrund ungen\u00fcgend definierter technischer Rahmenbedingungen.<\/p>\n\n\n\n Die sieben Bundesl\u00e4nder Bayern, Baden-W\u00fcrttemberg, Hamburg, Hessen, Niedersachsen, Nordrhein-Westphalen und Rheinland-Pfalz schaffen im gleichen Jahr rechtliche Grundlagen f\u00fcr den Einsatz von Staatstrojanern in ihren Polizei- und Ordnungsrechten.<\/p>\n\n\n\n 2017\/18<\/span><\/strong><\/p>\n\n\n\n Gegen das beschlossene Gesetz reichen die Gesellschaft f\u00fcr Freiheitsrechte (GFF), Digitalcourage und weitere B\u00fcrgerrechtsorganisationen Verfassungsbeschwerde ein. Ein Urteil steht noch aus.<\/p>\n\n\n\n 2020<\/span><\/strong><\/p>\n\n\n\n Stand Februar 2020 planen laut Digitalcourage auch Berlin, Mecklenburg-Vorpommern und das Saarland, Staatstrojaner rechtlich zu verankern.<\/p>\n\n\n\n Am 14. Februar stimmt der Bundesrat dem Gesetz zur Neustrukturierung des Zollfahndungsdienstes zu. Damit darf auch der Zoll zuk\u00fcnftig Staatstrojaner zur Quellen-TK\u00dc einsetzen.<\/p>\n\n\n\n 2021<\/span><\/strong><\/p>\n\n\n\n Die geplante Gesetzes\u00e4nderung st\u00f6\u00dft bereits im Vorhinein bei der Opposition, zahlreichen zivilgesellschaftlichen Organisationen und Vereinen wie dem CCC, Reporter ohne Grenzen, der GFF, Bitkom, Amnesty International und Human Rights Watch, Firmen wie Google und Facebook sowie sogar Mitgliedern der eigenen Regierungskoalition auf vehemente Kritik. In einem offenen Brief hatten sich sogar der CCC, Google, Facebook, Industrieverb\u00e4nde und weitere Institutionen in einem ungew\u00f6hnlichen Zusammenschluss gegen die Gesetzes\u00e4nderungen und f\u00fcr die Forderung starker Verschl\u00fcsselung und den Schutz privater Kommunikation ausgesprochen. <\/p>\n\n\n\n Dennoch beschlie\u00dft der Bundestag am 12. Juni 2021 mit Stimmen der GroKo (erneut kurz vor Ende der Legislaturperiode) zwei umstrittene Gesetzes\u00e4nderungen. Die SPD-Fraktion stimmt damit sogar gegen ihre Chefin Saskia Esken, die Staatstrojaner immer abgelehnt hatte, und ihren Nachwuchs, die Jusos. Die Union begr\u00fcndet die \u00c4nderungen als Anpassung an technische Ver\u00e4nderungen und bedeutend f\u00fcr Terrorabwehr und innere Sicherheit.<\/p>\n\n\n\n Das neue Verfassungsschutzrecht erm\u00f6glicht nun auch allen Geheimdiensten \u2013 also den Verfassungsschutz\u00e4mtern auf Bundes- und L\u00e4nderebene, dem Milit\u00e4rischen Abschirmdienst und dem BND \u2013 den Einsatz von Staatstrojanern. <\/p>\n\n\n\n Au\u00dferdem werden Internetprovider dazu verpflichtet, bei der Verteilung von Staatstrojanern zu helfen. Urspr\u00fcnglich wollte die Bundesregierung diese Pflicht sogar auf jegliche Telekommunikationsanbieter ausweiten. Gegener:innen bef\u00fcrchten negative Folgen f\u00fcr das Vertrauen in Provider, die Firmen w\u00fcrden durch die Mitwirkungspflicht zum verl\u00e4ngerten Arm der Geheimdienste.<\/p>\n\n\n\n Die Kompetenzen beziehen sich neben aktueller au\u00dferdem auch auf vergangene Kommunikation. Diese \u201eQuellen-TK\u00dc plus\u201c ist weiterreichend und entspricht faktisch einer beschr\u00e4nkten Online-Durchsuchung. Das sch\u00e4tzen mehrere Sachverst\u00e4ndige und Jurist:innen aufgrund fehlender Verh\u00e4ltnism\u00e4\u00dfigkeit als verfassungswidrig ein. <\/p>\n\n\n\n Das neue Bundespolizeigesetz erlaubt der Polizei nun auch die pr\u00e4ventive \u00dcberwachung von Personen, gegen die es noch gar keinen Tatverdacht gibt. Auch das bewerten einige Expert:innen als verfassungswidrig.<\/p>\n\n\n\n Weiterhin wird von Kritiker:innen immer wieder der grunds\u00e4tzliche Widerspruch betont, dass die Ausweitung von Staatstrojanern die innere Sicherheit durch das Zur\u00fcckhalten von Schwachstellen gef\u00e4hrdet anstatt ihr zu nutzen.<\/p>\n\n\n\n Abgeordnete der FDP-Fraktion legten im Juli Verfassungsbeschwerde gegen das neue Verfassungsschutzgesetz ein. Auch die GFF, die bereits gegen das BKA-Gesetz, die StPO-\u00c4nderung sowie weitere Gesetze, die Staatstrojaner auf Landesebene vorsehen, geklagt hat, k\u00fcndigte im Fall des Inkrafttretens der neuen Gesetze m\u00f6gliche Verfassungsbeschwerden an.<\/p>\n\n\n\n Eine Klage davon, die sich 2017 in Kooperation mit dem CCC Stuttgart und anderen gegen das baden-w\u00fcrttembergische Polizeigesetz richtete, wird im Juni dieses Jahres vom Bundesverfassungsgericht abgewiesen. Jedoch bewertet die GFF das Urteil aufgrund der Begr\u00fcndung trotzdem als Erfolg. Die Richter:innen stellen darin fest, dass der Staat private Kommunikation zwar grunds\u00e4tzlich sch\u00fctzen muss, das Ausnutzen von Sicherheitsl\u00fccken dem aber nicht automatisch entgegenstehe. Die Beh\u00f6rden m\u00fcssten jedoch im Einzelfall sorgf\u00e4ltig abw\u00e4gen, ob der Nutzen durch das Geheimhalten einer Sicherheitsl\u00fccke gegen\u00fcber der Gefahr von Angriffen \u00fcberwiegt.<\/p>\n\n\n\n Zwei Wochen nach dem Beschluss des Bundestags fand die Reform des Bundespolizeigesetzes im Bundesrat keine Mehrheit und liegt somit bis zu einer Nachverhandlung erst mal auf Eis. Der \u00c4nderung des Verfassungsschutzgesetzes steht dagegen nichts mehr im Weg.<\/p>\n\n\n\n Zuletzt berichtete netzpolitik.org im Juli \u00fcber eine \u00c4nderung des Strafgesetzbuchs durch den Bundestag vor der Sommerpause, der umbemerkt kurz vor Beschluss noch eine Ausweitung der Einsatzm\u00f6glichkeiten von Staatstrojanern angeh\u00e4ngt worden sei. Dabei geht es um das Verbot, Propagandamittel von Organisationen auf der EU-Terrorliste zu verbreiten. Die Quellen-TK\u00dc d\u00fcrfe neben explizit verfassungswidrigen Organisationen nun auch gegen weitere nicht-verbotene Organisationen eingesetzt werden. Bef\u00fcrchtet wird von Kritiker:innen eine Zweckentfremdung der neuen Regeln zum Beispiel gegen Demonstrierende, da die Definition der betroffenen Propagandamittel ebenfalls erweitert wurde \u2013 mussten sie sich fr\u00fcher gegen \u201efreiheitliche demokratische Grundordnung oder den Gedanken der V\u00f6lkerverst\u00e4ndigung\u201c richten, sind jetzt Mittel ausreichend, die sich \u201egegen den Bestand oder die Sicherheit eines Staates oder einer internationalen Organisation\u201c richten.<\/p>\n\n\n\n Welches Ausma\u00df die \u00dcberwachung mithilfe eines Staatstrojaners weltweit annehmen kann, zeigt auch der aktuelle Fall Pegasus. Die Schadsoftware, die von der israelischen Firma NSO Group entwickelt wurde, diente zur \u00dcberwachung von Aktivist:innen, Journalist:innen, Politiker:innen und Co. in mindestens elf L\u00e4ndern (Aserbaidschan, Bahrain, Ungarn, Indien, Kasachstan, Mexiko, Marokko, Ruanda, Saudi-Arabien, Togo, Vereinigte Arabische Emirate). Das machten Amnesty International und Forbidden Stories vor Kurzem \u00f6ffentlich. Zugrunde liegt eine monatelange Recherche von zahlreichen Journalist:innen und Medienorganisationen, die an einen NSO-Datensatz von 50.000 Telefonnummern gelangten, die seit 2016 Ziel von Aussp\u00e4h-Aktionen waren. <\/p>\n\n\n\n Auf 37 von daraufhin untersuchten 67 Smartphones von Personen, die aus dem Datensatz identifiziert werden konnten und bereit waren, ihr Ger\u00e4t untersuchen zu lassen, entdeckten die IT-Forscher:innen Spuren, die auf einen Pegasus-Befall hindeuten. Mit dieser lassen sich auf den infizierten Smartphones zum Beispiel Anrufe, E-Mails und verschl\u00fcsselte Chats mitlesen, Fotos, Passw\u00f6rter und GPS-Standorte auslesen oder Mikrofon und Kamera aktivieren. Das renommierte Citizen Lab der Universit\u00e4t Toronto best\u00e4tigte die Funde des Amnesty International Security Labs.<\/p>\n\n\n\n Technisch gelangte die Schadsoftware unter anderem durch Zero-Click-Exploits auf die iOS- und Android-Smartphones. Das bedeutet, dass kein Zutun der Zielperson erforderlich ist. Ein Einfallstor stellte laut Amnesty iMessage unter iOS dar \u2013 eine L\u00fccke, die sich mindestens mit iOS 14.6 im Juli dieses Jahres noch ausnutzen lie\u00df. Mit iOS 14.7.1 soll die Schwachstelle geschlossen worden sein. Eine andere Installationsm\u00f6glichkeit nutzte WhatsApp-Anrufe, die nicht einmal angenommen werden mussten.<\/p>\n\n\n\n Wer sein Ger\u00e4t auf einen m\u00f6glichen Pegasus-Befall hin untersuchen m\u00f6chte, kann das von Amnesty ver\u00f6ffentlichte Mobile Verification Toolkit (MVT)<\/a> nutzen. Alternativ geht das unter iOS und iPadOS seit Anfang August auch mit dem kostenpflichtigen Tool iMazing, das intern das MVT nutzt und den Prozess f\u00fcr End-User vereinfacht.<\/p>\n\n\n\n Die Zahl der insgesamt von Pegasus Betroffenen d\u00fcrfte noch h\u00f6her liegen. Bekannte Zielpersonen sind unter anderem der franz\u00f6sische Pr\u00e4sident Macron, 13 weitere Staats- und Regierungschefs weltweit, der EU-Ratspr\u00e4sident Michel, die Familie des ermordeten Journalisten Khashoggi, Mitglieder kritischer Medien in Ungarn, mexikanische Journalist:innen und indische Oppositionelle. Neben den elf genannten L\u00e4ndern sind zahlreiche weitere L\u00e4nder Kunden der NSO Group, darunter auch europ\u00e4ische. Auch Deutschland lie\u00df sich vor einigen Jahren die Software vorf\u00fchren und war offen f\u00fcr eine Nutzung, erwarb sie jedoch schlie\u00dflich nicht. <\/p>\n\n\n\n Die NSO Group behauptet, die Software w\u00fcrde nur f\u00fcr den Kampf gegen Terrorismus und Kriminalit\u00e4t verkauft, einige L\u00e4nder streiten nach Bekanntwerden des Falles Verbindungen zur NSO Group ab. <\/p>\n\n\n\n Amazon reagierte als einer der von Pegasus genutzten Cloud-Dienstleister auf die Ver\u00f6ffentlichung mit der Abschaltung von AWS-Infrastruktur und -Accounts, die der NSO Group zugeordnet wurden.<\/p>\n\n\n\n Der Fall Pegasus zeigt: Die beliebte Waffe der Spionagesoftware ist f\u00fcr Staaten einfach zu beschaffen. Statt aufwendig selbst zu entwickeln, k\u00f6nnen solche Technologien einfach auf dem freien Markt von zahlreichen Firmen weltweit erworben werden. Es wird davon ausgegangen, dass dieser Markt ein Milliarden-Gesch\u00e4ft ist. Das ist den Weltm\u00e4chten bekannt. So bem\u00e4ngelt auch der Sonderbeauftragte f\u00fcr Meinungsfreiheit der Vereinten Nationen, David Kaye, fehlende Kontrollen auf nationaler sowie globaler Ebene. <\/p>\n\n\n\n Mehr als 40 Staaten haben bereits vor Jahren ein Abkommen zur Exportkontrolle von \u00dcberwachungssystemen unterzeichnet, das seit 2015 auch Infiltrationssoftware einschlie\u00dft. Juristisch ist das Abkommen jedoch nicht bindend. Und Exporte hat das Abkommen nicht komplett verhindert, wie eine Recherche von niederl\u00e4ndischen Journalisten zeigt, die ein Tagesschau-Artikel<\/a> zitiert. Von 2014 bis 2017 seien in der EU 317 Sp\u00e4hsoftwares exportiert worden, w\u00e4hrend nur 14 Antr\u00e4ge abgelehnt worden seien, darunter auch Deutschland.<\/p>\n\n\n\n Ein weiteres recht aktuelles Beispiel ist die FinSpy-Sp\u00e4hsoftware der FinFisher GmbH. Im September 2019 wurde bekannt, dass die Staatsanwaltschaft gegen die M\u00fcnchner Firma ermittelt, da diese ihre \u00dcberwachungssoftware ohne seit 2015 in Europa erforderliche Genehmigung illegal in die T\u00fcrkei verkauft haben soll. Das hatten NDR, WDR und die S\u00fcddeutsche Zeitung 2018 berichtet. Ein Bericht der Nichtregierungsorganisation \u201eAccess Now\u201c hatte den Skandal aufgedeckt. W\u00e4hrend Demonstrationen im Jahr 2017 seien Oppositionelle \u00fcber Werbung auf Twitter auf eine Website gelockt worden, die sich als protestunterst\u00fctzend ausgab. Klickten Demonstrierende auf den dort angezeigten Link, der angeblich zu einer Smartphone-App f\u00fchren sollte, wurde die Schadsoftware installiert, die daraufhin unter anderem auf Kontakte und Fotos zugreifen sowie Telefonate und Chats mitverfolgen konnte. Neben der T\u00fcrkei war FinFisher bereits fr\u00fcher f\u00fcr den Einsatz seiner Software in \u00c4gypten und Bahrain kritisiert worden. Der CCC belegte in seiner Analyse der Software 2019, dass diese nach dem Inkrafttreten der EU-Exportkontrollvorschriften erstellt wurde. Die GFF stellte in Kooperation mit Reporter ohne Grenzen, dem European Center for Constitutional and Human Rights (ECCHR) und netzpolitik.org Strafanzeige gegen mehrere Gesch\u00e4ftsf\u00fchrer der FinFisher-Unternehmen. 2020 untersuchte die M\u00fcnchner Staatsanwaltschaft daraufhin die Gesch\u00e4ftsr\u00e4ume von FinFisher, zwei Gesch\u00e4ftspartnern sowie Privatwohnungen der FinFisher-Gesch\u00e4ftsf\u00fchrer. <\/p>\n\n\n\n Auch das Bundeskriminalamt ist Kunde bei FinFisher \u2013 weigert sich jedoch seit Jahren, den Vertrag zu ver\u00f6ffentlichen, weshalb netzpolitik.org und FragDenStaat wiederholt gegen das BKA auf Herausgabe der Informationen klagten, zuletzt im Juli dieses Jahres.<\/p>\n\n\n\n Vor Kurzem hat die EU eine neue Verordnung zur Exportkontrolle von sogenannten Dual-Use-G\u00fctern beschlossen, die n\u00e4chsten Monat in Kraft tritt. Mehrere NGOs wie Reporter ohne Grenzen und Amnesty International kritisieren jedoch, die Verordnung sei verw\u00e4ssert worden. Zwar schreibt diese vor, dass die EU-Kommission eine Kontrollliste mit Technologien und Ziell\u00e4ndern f\u00fchren muss, die vor einem Export gepr\u00fcft werden m\u00fcssen. Jedoch ist diese Liste nicht rechtlich bindend, sodass Staaten die entsprechenden Exporte nicht untersagen m\u00fcssen. Au\u00dferdem k\u00f6nnen einzelne EU-Mitgliedstaaten die Liste blockieren, da sie auf Einstimmigkeit beruht.<\/p>\n\n\n\n Eine gro\u00dfe Kundengruppe im Sp\u00e4hsoftware-Markt d\u00fcrften Geheimdienste darstellen. Seit Edward Snowden 2013 die Dimension der \u00dcberwachung durch die NSA an die \u00d6ffentlichkeit gebracht hat, ist kaum mehr jemand verwundert dar\u00fcber, wen der amerikanische Geheimdienst alles abh\u00f6rt. Auch autokratische Regimes sind bekannt f\u00fcr \u00dcberwachung im gro\u00dfen Stil.<\/p>\n\n\n\n Dabei wird manchmal vergessen, dass auch EU-Geheimdienste an fragw\u00fcrdigen Abh\u00f6raktionen beteiligt sind. Erst vor einigen Monaten wurde bekannt, dass der d\u00e4nische Geheimdienst der NSA dabei half, Politiker:innen verschiedener europ\u00e4ischer L\u00e4nder abzuh\u00f6ren, darunter auch Angela Merkel, Frank-Walter Steinmeier und Peer Steinbr\u00fcck. Mitleid haben wenige, denn in \u00e4hnlicher Weise stand der BND 2015 in der Kritik, zahlreiche deutsche und europ\u00e4ische B\u00fcrger:innen, Politiker:innen und Unternehmen ausspioniert zu haben, darunter auch das d\u00e4nische Innenministerium.<\/p>\n\n\n\n Da bisherige Skandale nur durch Whistleblower:innen bekannt wurden, vermuten Kritiker:innen, dass solche F\u00e4lle nur die Spitze des Eisbergs darstellen.<\/p>\n\n\n\n Ende 2020 ver\u00f6ffentlichte das Bundesamt f\u00fcr Justiz erstmals eine Statistik zum Einsatz von Staatstrojanern durch die Bundesl\u00e4nder. Nachdem durch offenbar falsch interpretierte Frageb\u00f6gen zuerst extrem hohe Zahlen r\u00fcckgemeldet worden waren, wurden diese sp\u00e4ter stark nach unten korrigiert. Statt 368 habe es bundesweit im Jahr 2019 nur drei Eins\u00e4tze der Quellen-TK\u00dc gegeben, angeordnet worden seien 31. Im Vergleich gab es \u00fcber 18.000 F\u00e4lle klassischer Telekommunikations\u00fcberwachung wie dem Mitschneiden von Telefonaten. Wie oft Staatstrojaner bisher durch das BKA eingesetzt wurden, ist bisher nicht bekannt.<\/p>\n\n\n\n Als Grund f\u00fcr den bislang geringen Einsatz gibt Golem den hohen Aufwand und die hohen Kosten der Installation an, zudem sei der eingekaufte Trojaner von FinFisher erst 2018 nach einem langen Nachbesserungsprozess in einer einsatzf\u00e4higen Version freigegeben wurden. Eine fr\u00fchere Version habe nicht auf Smartphones, sondern nur auf Windows funktioniert, ein anderer Trojaner in Bayern sei als nicht tragbar verworfen worden.<\/p>\n\n\n\n Nun stellt sich die Frage: Was ist das Problem? Laut Bef\u00fcrwortern, allen voran unsere Bundesregierung, st\u00e4rken Staatstrojaner die innere Sicherheit, indem sie den Kampf gegen Terror, Kinderpornografie und andere schwere Verbrechen unterst\u00fctzen. Teilweise bereits angeschnitten, m\u00f6chte ich hier noch mal zusammenfassen, weshalb sich zahlreiche Organisationen und Expert:innen gegen den Einsatz von Staatstrojanern aussprechen.<\/p>\n\n\n\n Besonders bedenklich ist, dass der Staat durch Staatstrojaner einen Anreiz bekommt, der Allgemeinheit zahlreiche Sicherheitsl\u00fccken auf verschiedenen Ger\u00e4ten so lange wie m\u00f6glich zu verschweigen, um diese selbst auszunutzen. Dieselben Sicherheitsl\u00fccken k\u00f6nnen dann aber nat\u00fcrlich auch von Kriminellen oder anderen Geheimdiensten ausgenutzt werden, was auch als Risiko der simultanen Nutzung bezeichnet wird. Das gef\u00e4hrdet die IT-Sicherheit und somit innere Sicherheit der gesamten Bev\u00f6lkerung, denn Sicherheitsl\u00fccken existieren auf den Ger\u00e4ten aller Menschen, nicht nur auf denen von Kriminellen.<\/p>\n\n\n\n Das Problem wird laut Kritiker:innen durch die k\u00fcrzlich beschlossene Mitwirkungspflicht f\u00fcr IT-Provider versch\u00e4rft, denn die schw\u00e4che das Vertrauen in die digitale Infrastruktur und schade so auch der Wirtschaft. M\u00f6glich sei, dass deutsche B\u00fcrger:innen aus diesem Grund zu ausl\u00e4ndischen Anbietern wechseln.<\/p>\n\n\n\n Das Geheimhalten von IT-Sicherheitsl\u00fccken durch den Staat, zu dem der Einsatz von Staatstrojanern f\u00fchrt, bewerten einige Expert:innen als mit dem IT-Grundrecht nicht vereinbar. Der Staat komme damit seiner Schutzpflicht gegen\u00fcber der Allgemeinheit nicht nach. Es fehle ein immer wieder versprochenes und vom Bundesverfassungsgericht gefordertes staatliches Schwachstellen-Management, das die Interessen der Allgemeinheit beim Ausnutzen von Schwachstellen dagegen abw\u00e4gt.<\/p>\n\n\n\n Der Einsatz von Staatstrojanern zieht in seiner technischen Natur zudem eine fehlende Kontrollm\u00f6glichkeit von au\u00dfen nach sich. In der Vergangenheit gab es unter anderem bei der Bundespolizei und beim BND schon F\u00e4lle, in denen Mitarbeitende \u00dcberwachungswerkzeuge f\u00fcr private Zwecke missbrauchten. Besonders die juristischen Rahmenbedingungen, zum Beispiel nur Live-Kommunikation, nicht aber vergangene abzuh\u00f6ren, sind technisch kaum realisierbar.<\/p>\n\n\n\n Beispiele wie Pegasus zeigen, dass der immer genannte Kampf gegen den Terror keinesfalls der einzige Einsatzzweck von Staatstrojanern ist. Vielmehr werden diese auch gegen Alltagskriminalit\u00e4t oder unliebsame Staatsgegner:innen eingesetzt. Das sehen viele als unverh\u00e4ltnism\u00e4\u00dfigen Eingriff in die Privatsph\u00e4re, denn auf den Smartphones vieler Menschen befinden sich heutzutage eine Vielzahl privater und sensibler Daten.<\/p>\n\n\n\n Verst\u00e4rkt wird das durch die stetige Ausweitung staatlicher M\u00f6glichkeiten f\u00fcr den Einsatz von Staatstrojanern, der in den letzten Jahren deutlich erkennbar ist \u2013 sowohl auf mehr Beh\u00f6rden als auch auf weniger schwerwiegende Straftaten.<\/p>\n\n\n\n Dass der Einsatz solcher Cyberwaffen letztendlich weitreichende pers\u00f6nliche und zivilgesellschaftliche Konsequenzen haben kann, ist logisch. Der Fall Pegasus bringt zum Beispiel den Mord am saudischen Journalisten Jamal Khashoggi in Verbindung mit dem Staatstrojaner, viele andere Folgen der \u00dcberwachung sind der \u00d6ffentlichkeit vermutlich gar nicht bekannt.<\/p>\n\n\n\n F\u00fcr viele Minderheiten, investigative Journalist:innen und zivilgesellschaftliche Organisationen ist verschl\u00fcsselte Kommunikation essenziell. Sie stellt Quellenschutz und eine f\u00fcr die Demokratie unerl\u00e4ssliche unabh\u00e4ngige Medienarbeit sicher. Daher argumentieren viele, dass Staatstrojaner nicht nur die IT-Sicherheit, sondern damit auch die Demokratie gef\u00e4hrden.<\/p>\n\n\n\n Dieser Reihe an Argumenten gegen Staatstrojaner halten Unterst\u00fctzer:innen entgegen, dass sie die einzige M\u00f6glichkeit darstellten, schwere Verbrechen im digitalen Zeitalter wirksam zu bek\u00e4mpfen. Doch mehrere Berichte bezweifeln das. Dazu ein paar Beispiele:<\/p>\n\n\n\n Im Juni erlangte die Ermittlungsarbeit von FBI, Europol und weiteren Partnern gro\u00dfe Aufmerksamkeit. Jahrelang wurde ein angeblich verschl\u00fcsselter Kommunikationsdienst unter dem Namen AN0M betrieben und \u00fcber Mittelsleute unter Kriminellen vermarktet. In Wirklichkeit lasen die Beh\u00f6rden alles mit. Mit Erfolg: 11.000 Verd\u00e4chtige seien auf den Trick hereingefallen, sodass 27 Millionen Nachrichten abgeh\u00f6rt werden konnten. Nach fast drei Jahren konnten dann in einer gro\u00dfen koordinierten Aktion zahlreiche Personen in 16 L\u00e4ndern festgenommen werden. Es soll um Delikte wie Drogen- und Waffenhandel, Geldw\u00e4sche, aber auch Mordauftr\u00e4ge gegangen sein.<\/p>\n\n\n\n Die AN0M-Aktion zeigt \u2013 auch wenn sie sicherlich einen au\u00dfergew\u00f6hnlichen Einzelfall darstellt \u2013 dass Ermittlungsarbeit von Beh\u00f6rden auch ohne Staatstrojaner funktionieren kann.<\/p>\n\n\n\n Dar\u00fcber hinaus ver\u00f6ffentlichte netzpolitik.org im Mai ein internes Papier des BKA, das belegt, dass Beh\u00f6rden verschl\u00fcsselte Messenger wie WhatsApp und Telegram auch ohne Staatstrojaner mitlesen k\u00f6nnen. Der Trick dabei: Viele Messenger erlauben das Hinzuf\u00fcgen weiterer Endger\u00e4te, sodass das BKA sich mithilfe des Zugangs auf das Smartphone einfach in den Account einklinken kann. Das entkr\u00e4ftet Argumente f\u00fcr Staatstrojaner, die explizit die genannten Messenger als Grund f\u00fcr deren Notwendigkeit anf\u00fchren. <\/p>\n\n\n\n Das Internet-Forschungszentrum der Universit\u00e4t Harvard zeigte zudem: Fehlende Daten sind nicht das Problem. Im Gegenteil hat der Staat heutzutage so viele Daten zur Verf\u00fcgung wie noch nie, viele davon unverschl\u00fcsselt. Statt an Befugnissen zu mehr Datenerhebung mangelt es laut Kritiker:innen in der Terror- und Verbrechensbek\u00e4mpfung vor allem an der effizienteren Auswertung der vorhanden Daten. Das untermauern Geschehnisse wie der Sturm aufs US-Kapitol oder die Reichstagstreppe, die im Vorhinein in sozialen Medien \u00f6ffentlich angek\u00fcndigt worden waren.<\/p>\n\n\n\n Die genannten Beispiele sind wichtig, um zu verstehen, dass es Alternativen zu Staatstrojanern gibt, die weitaus weniger stark in die Grundrechte der Allgemeinheit eingreifen. Da Grundrechtseingriffe notwendig und angemessen sein m\u00fcssen, halten einige Expert:innen den Einsatz von Staatstrojanern f\u00fcr verfassungswidrig. Das zeigen auch die oben genannten Klagen mehrerer Organisationen gegen verschiedene Gesetzes\u00e4nderungen, in denen die Urteile meist noch ausstehen.<\/p>\n\n\n\n Wie die F\u00e4lle NSO Group und FinFisher zeigen, gibt es bereits einen riesigen Markt, auf dem Sp\u00e4hsoftware gehandelt wird. Das ist marktwirtschaftlich nicht verwunderlich. Die Firmen k\u00f6nnen oder wollen ihre angeblich hohen Standards bei der Kontrolle von K\u00e4ufer:innen dabei allerdings nicht einhalten: Die NSO Group schlie\u00dft die Nutzung f\u00fcr das \u00dcberwachen von Journalist:innen und Menschenrechtler:innen offiziell aus, doch das Pegasus Project hat aufgedeckt, dass auch solche Personen unter den Ausgesp\u00e4hten waren. Das gef\u00e4hrdet die Demokratie weltweit. Auch deutsche Beh\u00f6rden kaufen Schwachstellen und Software ein. So wird ein krimineller Markt gest\u00e4rkt, der die IT-Sicherheit insgesamt schw\u00e4cht. <\/p>\n\n\n\n Die steigende Skalierung von Staatstrojaner-Eins\u00e4tzen durch den Kauf von Sp\u00e4hsoftware bei gewinnorientierten Unternehmen bereitet auch dem Whistleblower Edward Snowden Sorge, der in einem Interview mit The Guardian, das ZEIT ONLINE gek\u00fcrzt ver\u00f6ffentlicht<\/a>, \u00fcber das Pegasus Project spricht. Darin bezeichnet er Firmen wie die NSO Group als einen \u201eIndustriezweig, der \u00fcberhaupt nicht existieren sollte\u201c. Pegasus habe eine besorgniserregende Branche aufgedeckt, da neben den Geheimdiensten nun auch der freie Markt in der \u00dcberwachung mitspiele. Au\u00dferdem stimmt er David Kaye, dem ehemaligen Sonderberichterstatter der Vereinten Nationen f\u00fcr Meinungsfreiheit, zu, dass die \u00dcberwachungsindustrie au\u00dfer Kontrolle geraten sei. Grund daf\u00fcr sei vor allem die steigende Skalierung von Angriffen, die m\u00f6glich sei, da eine einmal gefundene Sicherheitsl\u00fccke in Smartphones heutzutage vielfach auf der ganzen Welt ausgenutzt werden k\u00f6nne. Im Vergleich zu fr\u00fcher \u00fcblichen Ma\u00dfnahmen wie Wanzen sei es heute mit Staatstrojanern viel einfacher und kosteng\u00fcnstiger, eine gro\u00dfe Zahl von Menschen zu \u00fcberwachen. Besonders autorit\u00e4re L\u00e4nder mit geringem technischen Know-how profitierten davon, sich einfach Schadsoftware einkaufen zu k\u00f6nnen, anstatt diese aufwendig und teuer selbst zu entwickeln.<\/p>\n\n\n\n Die einzige L\u00f6sung, um die weltweite \u00dcberwachung in den Griff zu bekommen, ist es laut Edward Snowden, den Gewinnmotiven der Unternehmen Verbote entgegenzusetzen. Er fordert ein globales Moratorium f\u00fcr den Handel mit Cyberwaffen. Ein weltweites Handelsverbot f\u00fcr Sicherheitsl\u00fccken sei unerl\u00e4sslich, bisherige Bestrebungen wie die EU-Exportkontrollen seien nicht ausreichend gewesen. Snowden zieht einen Vergleich zum Handel mit Atomwaffen, chemischen oder biologischen Waffen \u2013 genau wie in diesen F\u00e4llen seien Verbote das einzig m\u00f6gliche Mittel, denn Einzelne k\u00f6nnten sich gegen Staatstrojaner nur in geringem Ma\u00dfe sch\u00fctzen.<\/p>\n\n\n\n Auch netzpolitik.org fordert eine st\u00e4rkere Auseinandersetzung in der Politik zur Frage, wie man Staatstrojaner demokratisch kontrollieren kann. Denkbar sei auch eine unabh\u00e4ngige wissenschaftliche Kommission, die den Einsatz von Staatstrojanern r\u00fcckwirkend auf seine Notwendigkeit bewertet und alternative Ermittlungsstrategien entwickelt. Au\u00dferdem sollten Sicherheitsbeh\u00f6rden zur Meldung gefundener und gekaufter Schwachstellen verpflichtet werden.<\/p>\n\n\n\n Das Deutsche Institut f\u00fcr Menschenrechte fordert indes, dass Gesetze regelm\u00e4\u00dfig hinsichtlich ihrer Wirkung und Auswirkung auf die Grund- und Menschenrechte evaluiert werden und insbesondere neue Befugnisse f\u00fcr Sicherheitsbeh\u00f6rden in diesem Hinblick \u00fcberpr\u00fcft werden.<\/p>\n\n\n\n Immer wieder sprechen sich viele Organisationen wie der CCC, die GFF, Digitalcourage und andere \u00f6ffentlich gegen Staatstrojaner aus. Zu den wiederkehrenden Forderungen z\u00e4hlen die st\u00e4rkere Kontrolle von Staatstrojaner-Eins\u00e4tzen, eine R\u00fcckkehr zu klassischen Ermittlungsmethoden und die Pflicht f\u00fcr das Melden von Sicherheitsl\u00fccken.<\/p>\n\n\n\n Abseits von \u00dcberwachung durch Staatstrojaner und Co. wird in politischen Kreisen immer wieder ein anderes Mittel gefordert, um Straftaten im Internet zu unterbinden und besser verfolgen zu k\u00f6nnen. Ein aktueller Anlass daf\u00fcr sind rassistische Anfeindungen, denen sich vor allem die Spieler Marcus Rashford, Jadon Sancho und Bukayo Saka der englischen Nationalmannschaft in sozialen Medien ausgesetzt sahen, nachdem das Team vor Kurzem das EM-Finale gegen Italien verlor. <\/p>\n\n\n\n Hierzu nahm Twitter eine Analyse vor und untersuchte die Accounts, die solche Hassnachrichten verfassten und daraufhin gesperrt wurden. Twitter stellte dabei \u00fcberraschend fest, dass 99 Prozent der Accounts nicht anonym waren, sondern oft ihre Klarnamen nutzten. Das erleichtert die Strafverfolgung und n\u00e4hrt Zweifel an der Sinnhaftigkeit einer Identifizierungspflicht in sozialen Medien.<\/p>\n\n\n\n Twitter betont, dass Anonymit\u00e4t im Internet im Gegenteil sehr wichtig sein kann, um freie Meinungs\u00e4u\u00dferung unter autorit\u00e4ren Regimes, aber auch in Demokratien etwa f\u00fcr marginalisierte Gruppen oder Whistleblower:innen zu sch\u00fctzen.<\/p>\n\n\n\n Das bedeutet nicht, dass soziale Medien keine Pflicht haben, Hass zu bek\u00e4mpfen. Nach den genannten Anfeindungen gelobte zum Beispiel Facebook Besserung durch dauerhafte statt tempor\u00e4re Sperrungen von Accounts auf Instagram. Twitter m\u00f6chte ebenfalls nachbessern und k\u00fcndigt den Testlauf einer neuen Funktion an, die automatisch Hasskommentare erkennen und blockieren soll. Zudem soll eine schon teilweise erfolgreich im Einsatz befindliche Warn-Funktion ausgeweitet werden, die User vor dem Post zum \u00dcberdenken auffordert, wenn hassvolle Sprache in ihren Tweets erkannt wird.<\/p>\n\n\n\n Auch wenn Hass im Netz ein wachsendes Problem ist und L\u00f6sungsstrategien entwickelt werden m\u00fcssen, sollten wir seit Edward Snowden nicht gelernt haben, dass eine De-Anonymisierung des Internets weder durchsetzbar noch eine gute Idee ist? W\u00e4hrend die St\u00e4rkung der IT-Sicherheit nicht nur durch die Twitter-Studie angezweifelt wird, h\u00e4tte so ein Schritt weitreichende negative Folgen f\u00fcr die Gesellschaft.<\/p>\n\n\n\n Fehlende IT-Kompetenz auf mehreren Ebenen der Regierung beweist auch die lange Geschichte um die Luca-App, die in den letzten Monaten unz\u00e4hlige Male in den Medien behandelt wurde. W\u00e4hrend viele Medien zu Beginn die App zur Kontaktnachverfolgung mit Unterst\u00fctzer Smudo als Werbegesicht bejubelten, berichteten Kritiker:innen zunehmend \u00fcber gravierende Sicherheitsl\u00fccken und bem\u00e4ngelten das grundlegend unsinnige Konzept des Datensammelns (gegen\u00fcber der datenfreundlichen Corona-Warn-App) und den daraus folgenden fehlenden Nutzen der gesammelten Daten f\u00fcr die Gesundheits\u00e4mter. Im April ver\u00f6ffentlichten der CCC sowie 70 Sicherheitsforschende Stellungnahmen und forderten, statt Luca dezentrale L\u00f6sungen wie die Corona-Warn-App (CWA) zu verwenden.<\/p>\n\n\n\n Trotzdem zahlten 13 Bundesl\u00e4nder insgesamt \u00fcber 20 Millionen Euro f\u00fcr die einj\u00e4hrige Nutzung der App, wie netzpolitik.org berichtet, die Vergabe erfolgte ohne Ausschreibung, zu der die Bundesl\u00e4nder eigentlich verpflichtet sind. Diese Kosten \u00fcbernimmt laut der rheinland-pf\u00e4lzischen Ministerpr\u00e4sidentin Malu Dreyer zun\u00e4chst der Bund \u2013 immense unn\u00f6tige Kosten, wenn man bedenkt, dass schon 68 Millionen Euro f\u00fcr die Corona-Warn-App ausgegeben wurde, die dieselbe Funktionalit\u00e4t bietet \u2013 nur dezentral und ohne das Sammeln personenbezogener Daten. <\/p>\n\n\n\n Eine Rolle beim \u00fcberraschenden Erfolg der Luca-App spielen dabei neben prominenter Unterst\u00fctzung sicherlich auch die Corona-Verordnungen der Bundesl\u00e4nder, die Restaurants, L\u00e4den etc. in den meisten F\u00e4llen dazu verpflichten, Kontaktdaten ihrer G\u00e4ste zu sammeln \u2013 eine Registrierung ohne Angabe von Kontaktdaten mit der CWA reicht also nicht aus. Im Mai passte Sachsen als Vorreiter seine Corona-Verordnung an und erlaubt seither explizit auch die Verwendung der Check-in-Funktion der Corona-Warn-App zur Kontaktnachverfolgung.<\/p>\n\n\n\n In Th\u00fcringen schaffen nun erste Orte wie Weimar ab September die Luca-App wieder ab. Der Grund ist der fehlende Nutzen, denn die App habe insgesamt zu viele, aber darunter zu wenig hilfreiche Informationen gesammelt und so den Gesundheits\u00e4mtern die Arbeit eher erschwert als erleichtert. In NRW entf\u00e4llt mit der neuen Corona-Verordnung ab dem 20. August die Pflicht zur Erfassung von Kontaktdaten. Damit entf\u00e4llt die rechtliche Grundlage f\u00fcr Ladenbesitzer:innen und Co., sodass bei einem weiteren Einsatz von Luca sogar Bu\u00dfgelder drohen k\u00f6nnten.<\/p>\n\n\n\n Insgesamt zeigt die Geschichte um Luca, dass bei Anschaffung von IT-Systemen durch Bund und L\u00e4nder Vergleiche eingeholt werden sollten. Wichtige Kriterien wie Sicherheit und Datenschutzfreundlichkeit m\u00fcssen bestenfalls durch unabh\u00e4ngige IT-Sachverst\u00e4ndige beurteilt werden. \u00c4hnliches gilt f\u00fcr das Erlassen von Verordnungen oder Gesetzen, die technische Vorgaben machen, und es sollte m\u00f6glichst nicht die Verwendung einer einzelnen Software (de facto) vorgeschrieben werden.<\/p>\n\n\n\n Die Luca-Geschichte hat auch Verbindungen zu einem anderen Thema, das die Politik immer wieder besch\u00e4ftigt: die gro\u00dfe Macht der IT-Konzerne. So ist unklar, warum Luca von Apple und Google nicht aus deren App-Stores verwiesen wurde, aber Apps anderer Anbieter mit weitaus weniger schweren Regelverletzungen schon, wie Heise berichtet. Eigentlich wollten die App-Stores bei Apps mit Corona-Bezug nur staatliche Entwicklungen zulassen. Die Tech-Giganten hatten auch einen Einfluss darauf, dass f\u00fcr die CWA auf eine dezentrale L\u00f6sung gesetzt wurde. Denn selbst Regierungen m\u00fcssen sich den Regeln der US-Firmen beugen. Auch wenn das in diesem Fall einen positiven Einfluss auf die IT-Sicherheit hatte, w\u00e4re in Zukunft auch ein umgekehrter Fall denkbar. Eine Anh\u00f6rung im US-Kongress, zur der die Chefs der vier Tech-Giganten Apple, Facebook, Google und Amazon im Juli letztes Jahres geladen wurden, zeigt, dass die US-Regierung dieses Problem der Monopolmacht weniger Konzerne erkannt hat. Nachdem eine Klage gegen Facebook im Juni gescheitert war, wurde erst vor wenigen Tagen bekannt, dass die US-Kartellbeh\u00f6rde FTC erneut Klage gegen Facebook eingereicht hat mit dem Ziel, die Abspaltung von WhatsApp und Instagram zu erreichen und Facebook bei zuk\u00fcnftigen \u00dcbernahmen zur Einholung einer vorherigen Genehmigung zu verpflichten. In Deutschland er\u00f6ffnete das Bundeskartellamt erst dieses Jahr ebenfalls ein Verfahren gegen die Big Four. Es bleibt abzuwarten, wie sich das Thema in Zukunft weiterentwickelt.<\/p>\n\n\n\n Das hessische Innenministerium bat aufgrund der gravierenden Sicherheitsm\u00e4ngel von Luca sogar das Bundesamt f\u00fcr Sicherheit in der Informationstechnik (BSI) um Pr\u00fcfung des Systems. Jedoch hat das Bundesinnenministerium (BMI), dem das BSI unterstellt ist, eine solche Pr\u00fcfung abgelehnt, wie der SPIEGEL im August berichtete. Grund ist, dass nicht Bund, sondern L\u00e4nder die Vertragspartner mit Luca sind. Diese sollten stattdessen Pr\u00fcfungen vom Hersteller der App, der die IT-Sicherheit garantieren m\u00fcsse, oder anderen Firmen wie Pentesting-Anbietern einfordern. Aber auf Landesebene gibt es keine Institutionen, die mit dem BSI auf Bundesebene vergleichbar sind. Das Problem sind also, typisch deutsch, Zust\u00e4ndigkeiten.<\/p>\n\n\n\n Die AG KRITIS, deren Gr\u00fcnder und Sprecher Manuel Atug dieses Semester in einer unserer Vorlesung zu Gast war, fordert auf ihrer Website<\/a> seit L\u00e4ngerem die Unabh\u00e4ngigkeit von BSI und BMI. Denn \u201eSicherheitsm\u00e4ngel in Kritischen Infrastrukturen (KRITIS) m\u00fcssen an das BSI gemeldet werden. Aus der Fachaufsicht des BMI \u00fcber das BSI erw\u00e4chst das Risiko, dass das BMI das BSI anweisen kann, eine gemeldete Sicherheitsl\u00fccke nicht zu schlie\u00dfen, sondern an Beh\u00f6rden [\u2026] weiterzugeben, damit die L\u00fccke von diesen ausgenutzt werden kann.\u201c Daher solle das BSI abgekoppelt werden und eine rein defensive Rolle einnehmen, um das notwendige Vertrauen f\u00fcr das Melden von Sicherheitsl\u00fccken sicherzustellen. Dar\u00fcber hinaus seien Bu\u00dfgelder vergleichbar mit solchen, die nach der DSGVO ausgesprochen werden k\u00f6nnen, sinnvoll. Auch der CCC fordert seit Langem, dass das BSI eine unabh\u00e4ngige Institution werden soll mit dem Auftrag, IT-Sicherheit zu st\u00e4rken.<\/p>\n\n\n\n Mit Beschluss des IT-Sicherheitsgesetzes 2.0 (offiziell \u201eZweiten Gesetzes zur Erh\u00f6hung der Sicherheit informationstechnischer Systeme\u201c), das nach Beschluss durch Bundestag und Bundesrat Ende Mai dieses Jahres in Kraft trat, bekam das BSI mehr Befugnisse, um die IT-Sicherheit zu st\u00e4rken. Au\u00dferdem wurden die Pflichten f\u00fcr Betreiber kritischer Infrastrukturen erweitert und auf Unternehmen im besonderen \u00f6ffentlichen Interesse ausgedehnt. Sowohl die AG KRITIS als auch der CCC kritisieren jedoch in Stellungnahmen einige Inhalte des neuen Gesetzes. Manuel Atug nennt den Gesetzesentwurf in seiner Stellungnahme f\u00fcr die Anh\u00f6rung des Bundestagsausschusses f\u00fcr Inneres und Heimat<\/a> im M\u00e4rz \u201eein strategieloses B\u00fcrokratiemonster [\u2026], welches der Anforderung zur Erh\u00f6hung der IT-Sicherheit nicht gerecht wird\u201c und kritisiert die unsystematische Herangehensweise an das Thema Informationssicherheit und das Fehlen eines ganzheitlichen Konzepts. Der CCC sieht das \u00e4hnlich und betont in seiner Stellungnahme zur gleichen Anh\u00f6rung den Interessenkonflikt des BSI in Bezug auf das BMI dadurch, dass das BSI nicht zur Meldung und Beseitigung von Schwachstellen verpflichtet werden soll. Dar\u00fcber hinaus erhalte das BSI durch den Einsatz von Schadprogrammen enorme Befugnisse, in die Integrit\u00e4t von IT-Systemen einzugreifen, ohne dass es eine unabh\u00e4ngige Instanz f\u00fcr die Aufsicht dar\u00fcber gebe, und ohne die Frage der Haftung zu kl\u00e4ren. <\/p>\n\n\n\n Insgesamt scheint das Gesetz f\u00fcr Expert:innen auf dem Gebiet nicht durchdacht zu sein. Es ist fraglich, ob das Gesetz mehr Probleme l\u00f6st als es produziert. <\/p>\n\n\n\n Dar\u00fcber hinaus kritisieren beide oben genannten Stellungnahmen die extrem kurze Frist von knapp \u00fcber 24 Stunden f\u00fcr das Kommentieren der neuen Version des Gesetzesentwurfs. Schon 2020 hatten mehrere Vereine, Stiftungen, Initiativen und Verb\u00e4nde, unter anderem der CCC, in einem offenen Brief gefordert, die Beteiligung von Expert:innengrupppen als wichtiges Element der Demokratie zu st\u00e4rken, insbesondere durch angemessene Fristen f\u00fcr Gesetzesentwurf-Kommentierungen sowie die Bereitstellung von Synopsen. <\/p>\n\n\n\n Synopsen sind leserliche Gegen\u00fcberstellungen von verschiedenen Versionen von Gesetzestexten, die \u00c4nderungen klar ersichtlich machen. Stattdessen werden in Deutschland Gesetzes\u00e4nderungen oft in Form von unverst\u00e4ndlichen \u00c4nderungsbefehlen (\u201eIn Absatz \u2026 werden die W\u00f6rter \u2026 durch \u2026 ersetzt\u201c etc.) publiziert. Das erschwert Expert:innen sowie Betroffenen der Gesetze die Einflussnahme und Interpretation. Das Verfahren wird immer wieder als absichtliche Verschleierungstaktik kritisiert und es werden Forderungen nach verpflichtenden Synposen gestellt, so zum Beispiel zuletzt von der Fraktion DIE LINKE, die im Januar eine \u00c4nderung der Gesch\u00e4ftsordnung des Deutschen Bundestages diesbez\u00fcglich beantragte.<\/p>\n\n\n\n Um beim Thema Gesetzgebung zu bleiben, m\u00f6chte ich noch ein weiteres Ereignis aufgreifen, das es vor Kurzem sogar abseits der IT-Magazine in die Nachrichten geschafft hat. <\/p>\n\n\n\n Alles begann im Mai, als die IT-Sicherheitsforscherin Lilith Wittmann auf Twitter auf die App \u201eCDU Connect\u201c aufmerksam gemacht wurde. Die App unterst\u00fctzt Wahlkampfhelfer:innen und wird von der CDU seit dem letzten Bundestagswahlkampf betrieben. Darin werden Daten zu Haust\u00fcrgespr\u00e4chen und den Einstellungen der besuchten Personen gespeichert, laut CDU Connect aber ohne das Sammeln personenbezogener Daten ohne Einwilligung. <\/p>\n\n\n\n Lilith Wittmann untersuchte daraufhin die Netzwerkanfragen der Anwendung und stellte fest, dass sie durch Hinzuf\u00fcgen eines GET-Parameters Daten abfragen konnte, auf die sie eigentlich keinen Zugriff haben sollte. Darunter pers\u00f6nliche Daten von Tausenden Wahlkampfhelfer:innen und Daten von erfassten Haust\u00fcrbesuchen \u2013 Stra\u00dfe und Stadt, Alter und Geschlecht der Person, sowie besprochene Themen, die oft politische Haltungen der besuchten Personen offenbaren. Die Sicherheitsforscherin merkt an, dass diese Informationen insbesondere in kleinen Stra\u00dfen mit wenigen Hausnummern zur Identifizierung von Personen ausreichen k\u00f6nnen.<\/p>\n\n\n\n Am 11. Mai meldete Lilith Wittmann die \u00fcber Jahre bestehende Sicherheitsl\u00fccke an die zust\u00e4ndigen Institutionen, einen Tag sp\u00e4ter wurde die App offline genommen, die L\u00fccke bald darauf behoben. Erst danach berichtete sie \u00f6ffentlich \u00fcber die Schwachstelle. Einen Tag sp\u00e4ter entdeckte und meldete Wittmann dieselbe Sicherheitsl\u00fccke noch in den Wahlkampf-Apps der CSU und der Volkspartei \u00d6sterreich, denn diese verwenden die gleiche App in anderem Gewand. So weit, so normal der Ablauf im Rahmen einer Responsible Disclosure. Anfang August jedoch wurde Lilith Wittmann dar\u00fcber informiert, dass die CDU beim Landeskriminalamt (LKA) Strafantrag gegen sie gestellt hat \u2013 ein ungew\u00f6hnliches Vorgehen, wenngleich Drohungen rechtlicher Schritte keine Seltenheit bei solchen Meldungen sind, und auch in diesem Fall gegen\u00fcber der Sicherheitsforscherin ge\u00e4u\u00dfert worden sein sollen. <\/p>\n\n\n\n Der CCC, in dem Lilith Wittmann aktiv ist, reagierte mit der Stellungnahme \u201eCCC meldet keine Sicherheitsl\u00fccken mehr an CDU\u201c<\/a>, in der er die CDU scharf kritisiert. Diese habe \u201edas implizite Ladies-and-Gentlemen-Agreement des responsible disclosure einseitig aufgek\u00fcndigt\u201c. Der CCC m\u00f6chte daher keine Sicherheitsl\u00fccken mehr an die Partei melden und weist darauf hin, dass dadurch das Risiko f\u00fcr Full Disclosures, also anonyme Ver\u00f6ffentlichungen von Schwachstellen ohne Vorwarnung und Gelegenheit f\u00fcr die Behebung, steigt.<\/p>\n\n\n\n Neben Golem, Heise und Co. berichteten nun unter anderem auch ZEIT ONLINE, der SPIEGEL, die S\u00fcddeutsche Zeitung sowie die Frankfurter Allgemeine. Unter \u00f6ffentlichem Druck ruderte die CDU daraufhin zur\u00fcck, entschuldigte sich bei Wittmann und zog laut Bundesgesch\u00e4ftsf\u00fchrer Stefan Hennewig die Anzeige zur\u00fcck. ZEIT ONLINE berichtet, dass trotzdem weiter ermittelt werden kann. Laut Jurist Ulf Buermeyer, Vorsitzender der GFF, kann man eine Anzeige, die lediglich eine Mitteilung \u00fcber das m\u00f6gliche Bestehen eine Straftat sei, nicht zur\u00fcckziehen. Das LKA hat eine Strafverfolgungspflicht und muss auch gegen den Willen des Gesch\u00e4digten weiter ermitteln. <\/p>\n\n\n\n In einem Artikel von netzpolitik.org<\/a> wird Lilith Wittmann zitiert und beschreibt das zugrunde liegende Problem in der Gesetzgebung wie folgt: \u201eCDU und SPD haben trotz vielfacher Hinweise in Bezug auf die Folgen f\u00fcr die zivilgesellschaftliche Sicherheitsforschung den Hackerparagrafen beschlossen. Es ist nun zwar schade, aber nicht wirklich unerwartet, dass die CDU f\u00fcr sie unangenehme Sicherheitsforscher*innen \u2013 wie mich selbst \u2013 auf Basis dieses Paragrafs verfolgt\u201d. <\/p>\n\n\n\n Diese Geschichte ist nur eine von zahlreichen, die zeigen, wie das deutsche Recht IT-Sicherheitsforschende in ein ethisches Dilemma bringt Der von Wittmann angesprochene sogenannte \u201eHackerparagraf\u201c meint den Paragraf 202c im Strafgesetzbuch. Dieser verbietet das “Vorbereiten des Aussp\u00e4hens und Abfangens von Daten” und stellt dies durch Erg\u00e4nzung der Paragrafen 202a und 202b unter Strafe. Starbar machen sich also auch ethische Hacker:innen und sogar Personen, die Computerprogramme herstellen oder verwenden, die f\u00fcr Sicherheitsforschende unerl\u00e4sslich sind. 2009 hat das Bundesverfassungsgericht eine Verfassungsbeschwerde zum Hackerparagrafen abgelehnt, in seiner Begr\u00fcndung aber konkretisiert, dass solche Programme “mit der Absicht entwickelt oder modifiziert worden sein” m\u00fcssen, sie zur Aussp\u00e4hung oder zum Abfangen von Daten einzusetzen.<\/p>\n\n\n\n Der CCC berichtete schon 2008 nach Inkrafttreten des \u201eHackerparagrafen\u201c \u00fcber einen R\u00fcckgang von freiwilligen Meldungen gefundener Sicherheitsl\u00fccken und kritisierte die daraus folgende Verschlechterung der IT-Sicherheit in Deutschland. Es wird deutlich, dass eine ver\u00e4nderte Rechtsprechung die IT-Sicherheit stark verbessern k\u00f6nnte \u2013 mit klaren Regeln, wie Sicherheitsforschende Schwachstellen melden k\u00f6nnen, ohne Angst haben zu m\u00fcssen, sich strafbar zu machen.<\/p>\n\n\n\nDer Fall Pegasus<\/strong><\/h4>\n\n\n\n
Zweifelhafter bis illegaler Handel mit Sp\u00e4hsoftware<\/strong><\/h4>\n\n\n\n
Nicht nur die NSA & Autokraten: Auch europ\u00e4ische Geheimdienste h\u00f6ren mit<\/strong><\/h4>\n\n\n\n
Einsatz von Staatstrojanern durch deutsche Beh\u00f6rden<\/strong><\/h4>\n\n\n\n
Was ist das Problem?<\/strong><\/h4>\n\n\n\n
Das Sicherheitsparadoxon: Staatstrojaner stellen eine Gefahr f\u00fcr die IT-Sicherheit dar<\/strong><\/h4>\n\n\n\n
Massiver Eingriff in die Grundrechte<\/strong><\/h4>\n\n\n\n
Missbrauchsm\u00f6glichkeiten, fehlende Kontrolle und die Frage der Verh\u00e4ltnism\u00e4\u00dfigkeit<\/strong><\/h4>\n\n\n\n
Angriff auf die Demokratie<\/strong><\/h4>\n\n\n\n
Ermittlungsmethoden abseits von Staatstrojanern<\/strong><\/h4>\n\n\n\n
Geringer Nutzen, gro\u00dfe Gefahren<\/strong><\/h4>\n\n\n\n
Der Milliarden-Markt der Sp\u00e4hsoftware & die wachsende Skalierung<\/strong><\/h4>\n\n\n\n
Und was jetzt? Forderungen zum Thema Staatstrojaner an die Regierung<\/strong><\/h4>\n\n\n\n
Identifizierungspflicht hilft nicht gegen Hass im Netz<\/strong><\/h2>\n\n\n\n
Staatliche Anschaffung von Software: Probleme zeigt das Drama um die Luca-App<\/strong><\/h2>\n\n\n\n
Kritik an Zust\u00e4ndig- und Abh\u00e4ngigkeiten: Das BSI und das IT-Sicherheitsgesetz 2.0<\/strong><\/h2>\n\n\n\n
Verbesserungsw\u00fcrdiger Ablauf von Gesetzes\u00e4nderungen<\/strong><\/h2>\n\n\n\n
Responsible Disclosure, der Hackerparagraf & CDU Connect<\/strong><\/h2>\n\n\n\n