Das Bundeskriminalamt will verhindern, dass Hard- und Software-Hersteller von Sicherheitslücken ihrer Produkte erfahren und diese schließen. Mit dieser Begründung verweigert die Polizeibehörde Einblick in Dokumente über Staatstrojaner. Politiker kritisieren, dass der Staat damit die IT-Sicherheit schwächt.

Offenhalten oder schließen? Die Bundesregierung überlegt, wie sie mit Sicherheitslücken in IT-Produkten umgeht. Bislang sollen Behörden wie das Bundesamt für Sicherheit in der Informationstechnik vor Schwachstellen warnen und diese den Herstellern melden, damit sie geschlossen werden. Doch das Innenministerium arbeitet an neuen Vorgaben zum Umgang mit Schwachstellen und wird wohl Sicherheitsbehörden erlauben, diese aktiv auszunutzen und Geräte zu hacken.

Auch bisher hat der deutsche Staat keine weiße Weste: Schon vor zehn Jahren hat das BSI dem Bundeskriminalamt bei der Programmierung eines Staatstrojaners geholfen und Quellcode beigesteuert. Das BKA besitzt mittlerweile gleich drei einsatzbereite Staatstrojaner. Obwohl staatliche Institutionen also schon jetzt Sicherheitslücken aktiv ausnutzen, versuchen sie das meist zu verschleiern und geheim zu halten. Das BSI hat sogar eine eigene „Sprachregelung“ zum Thema.

Doch jetzt haben wir eine offizielle Bestätigung. Eine unserer Informationsfreiheits-Anfragen nach Überprüfungen von Staatstrojanern hat das BKA mit einer ganzen Reihe an Ausreden abgelehnt. Unter anderen:

Zum anderen werden die Anbieter kommerzieller Hard- und Software in die Lage versetzt, die von der Überwachungssoftware genutzten Angriffsvektoren (Schwachstellen etc.) zu schließen und den Einsatz der Software unter Umständen dauerhaft zu verhindern.

Schwarz auf weiß: Der Staat will Sicherheitslücken ausnutzen statt sie zu schließen. Um ein paar Verdächtige zu überwachen, will die Polizei IT-Systeme unsicher halten, selbst wenn Millionen oder gar Milliarden Menschen diese Hard- oder Software nutzen. Der kleinste Hinweis, dass ein IT-System unsicher ist, soll vor Öffentlichkeit und Hersteller geheim gehalten werden. Das birgt immense Risiken für die digitale Welt.

BSI: „Sicherheitslücken mit Herstellern diskutieren“

Ein Sprecher des BSI kommentiert auf Anfrage von netzpolitik.org wohlklingend, dass man Sicherheitslücken normalerweise meldet:

Erkenntnisse zu Sicherheitslücken, die öffentlich bekannt sind, auf eigenen Analysen beruhen oder im Rahmen der Zusammenarbeit von CERTs gewonnen werden, diskutiert das BSI gemäß seines gesetzlichen Auftrages regelmäßig mit den jeweiligen betroffenen Herstellern, damit diese die Sicherheitslücken kurzfristig schließen können.

Auf unsere konkrete Nachfrage, ob das BSI in der Vergangenheit jemals von Schwachstellen erfahren hat, die es nicht unmittelbar an den Hersteller gemeldet oder zumindest den Versuch unternommen hat, hat das BSI leider nicht geantwortet.

SPD: „Widerspruch zu Verantwortung für IT-Sicherheit“

Saskia Esken, Mitglied im Innenausschuss für die SPD im Bundestag, kommentiert gegenüber netzpolitik.org:

Ich lehne den Einsatz von Trojanern grundsätzlich ab. Der Staat soll keine Angriffswerkzeuge entwickeln und keine Schwachstellen offenhalten und nutzen, denn das steht im Widerspruch zu seiner Verantwortung für die allgemeine IT-Sicherheit. Solange die Klage der GFF noch keinen Erfolg hat, müssen wir Schadensbegrenzung betreiben, und dazu brauchen wir zumindest parlamentarische Einsicht in die Prüfprotokolle.

FDP: „Regierung verhält sich widersprüchlich“

Konstantin Kuhle, Mitglied im Innenausschuss für die FDP im Bundestag, kommentiert gegenüber netzpolitik.org:

Die Bundesregierung verhält sich widersprüchlich, wenn Sie zum einen immer wieder betont, die Sicherheit von IT-Systemen gewährleisten zu wollen, gleichzeitig aber verhindern will, dass Schwachstellen in diesen geschlossen werden. Die Kommunikation über Messengerdienste ist für viele Menschen fester Bestandteil ihres Alltags – sie müssen sich darauf verlassen können, dass der Staat alles tut, um diese zu sichern.

Linke: „Kampagne zur IT-Sicherheit lächerlich“

Martina Renner, Mitglied im Innenausschuss für die Linke im Bundestag, kommentiert gegenüber netzpolitik.org:

Die Eingriffe der Strafverfolger in Telekommunikation und Computer sind ein Lackmustest für die Demokratie. Behördliche Eingriffe müssen auf ein Minimum beschränkt bleiben und transparent überprüfbar sein. Schon bei den ersten Staatstrojanern hatten unabhängige Untersuchungen durch den Chaos Computer Club gravierende Sicherheitslücken aufgedeckt. Dass laut Bundesregierung die bisher ausgenutzten Schwachstellen den Herstellern und Nutzern nicht bekannt werden dürfen, macht jede Kampagne zur Stärkung der IT-Sicherheit lächerlich und das BSI fast überflüssig.

Grüne: „IT-Sicherheit nur Schall und Rauch“

Konstantin von Notz, stellvertretender Fraktionsvorsitzender der Grünen und Mitglied im Innenausschuss des Bundestags, kommentiert gegenüber netzpolitik.org: