Innenministerin Faeser will Sicherheitslücken offenlassen

Spanien hat 65 Mitglieder der katalanischen Unabhängigkeitsbewegung gehackt und überwacht, darunter 19 gewählte Politiker: innen. Ein anderer Staat, wahrscheinlich Marokko, hat den Ministerpräsidenten und die Verteidigungsministerin von Spanien gehackt und abgehört. Beide Staaten nutzten das selbe Hacking-Tool: den Staatstrojaner NSO Pegasus. Die spanische Regierung war gleichzeitig Opfer und Täter.

Dieses Beispiel zeigt, wie staatliches Hacken die innere Sicherheit und sogar die nationale Sicherheit gefährdet. Wer Sicherheitslücken geheimhält und ausnutzt, kann damit selbst gehackt werden. Der Staat muss dafür sorgen, dass alle Sicherheitslücken gechlossen werden. Das verlangt auch das Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme. Der Staat muss gewährleisten, dass IT-Systeme nicht gehackt werden. Auf den ersten Blick sieht das die Ampel-Regierung auch so.

Im Koalitionsvertrag hat sich die Bundesregierung geeinigt: „Die Ausnutzung von Schwachstellen von IT-Systemen steht in einem hochproblematischen Spannungsverhältnis zur IT-Sicherheit und den Bürgerrechten. Der Staat wird daher keine Sicherheitslücken ankaufen oder offenhalten, sondern sich in einem Schwachstellenmanagement unter Federführung eines unabhängigeren Bundesamtes für Sicherheit in der Informationstechnik immer um die schnellstmögliche Schließung bemühen.

“Staat wird keine Lücken ankaufen oder offenhalten”

Mit diesem klaren Bekenntnis unterscheidet sich die Ampel deutlich von den Vorgänger-Regierungen und der aktuellen Praxis. Der Bundesnachrichtendienst hackt ausländische Regierungen. Die Bundeswehr hackt ganze Mobilfunknetze. Die Polizei hackt Drogendealer. All diese Behörden verhindern, dass Sicherheitslücken geschlossen werden. Mit den klaren Worten im Koalitionsvertrag hat sich die Ampel-Regierung entschieden, diese Praxis zu beenden.

Doch die Einigkeit in der Regierung bröckelt. Das Bundesinnenministerium von Nancy Faeser arbeitet an der Einführung eines wirksamen Schwachstellenmanagements. Laut Regierungskreisen dient der “Vulnerabilities Equities Process” der USA als Vorbild. Wenn es nach der SPD-Ministerin geht, soll das Bundesamt für Sicherheit in der IT zusammen mit Polizei und Geheimdiensten bei jeder Sicherheitslücke neu entscheiden, ob die Behörden die Schwachstelle offenlassen und ausnutzen oder melden und schließen.

Das Innenministerium bezeichnet das als “Cybersicherheit und Gefahrenabwehr in Einklang bringen” oder “die Interessen der Cyber- und Informationssicherheit sowie der Strafverfolgungs- und Sicherheitsbehörden in einen angemessenen Ausgle bringen”. Die Tagesschau beschreibt den Wunsch der Sicherheitsbehörden: „Voraussichtlich wird eine Abwägung getroffen werden: Ermittler sollen Lücken nutzen dürfen, wenn diese nur eine kleine Zahl von Menschen betreffen. Wie das allerdings sichergestellt werden kann, ist fraglich. “

“Immer um schnellstmögliche Schließung bemühen”

Doch nicht nur Innenministerium und Sicherheitsbehörden kämpfen für das Offenhalten von Sicherheitslücken. Auch der grüne Bundestagsabgeordnete Konstantin von Notz verteidigt diese Forderung: „Im Koalitionsvertrag steht, dass es hier eine Abwägung geben soll: Eine Lücke, die nur eine sehr kleine Zahl von Menschen betrifft, könnte womögsten der Sicherenh zugheen.

In der Opposition hat Notz Staatstrojaner und staatliches Hacken kritisiert und abgelehnt. Vor zwei Jahren sagte er uns: “Der Handel mit Sicherheitslücken ist Gift für die IT-Sicherheit und wer mit ihnen hehlt statt sie zu schließen, ist Teil des Problems und nicht der Lösung.” des Parlamentarischen Kontrollgremiums zur Kontrolle der Geheimdienste.

Auf dem grünen Parteitag zur Bundestagswahl vor einem Jahr stellte Notz einen Antrag, „in graveerenden Fällen“ wie rechtsterroristischen Netzwerken und der Darstellung sexueller Gewalt gegen Kinder polizeiliches Hacken zu erlauben. Die Partei hat seinen Antrag abgelehnt und stattdessen einen angenommen, der „das Infiltrieren von technischen Geräten“ ablehnt und Sicherheitslücken melden und beheben will.

“Sicherheitslücken sind Gift für die IT-Sicherheit”

Hinter vorgehaltener Hand äußern die Befürworter des staatlichen Hackens mehrere Argumente, warum der klare Absatz im Koalitionsvertrag angeblich nicht mehr gilt.

Er war gar nicht so gemeint, den hätten nicht die richtigen Expert: innen geschrieben – dabei haben die Parteien dem Vertrag zugestimmt und die Parteivorsitzenden den Vertrag unterschrieben. An einer anderen Stars im Koalitionsvertrag stehe es anders – dabei steht auch dort: “Wir führen ein wirksames Schwachstellenmanagement ein, mit dem Ziel Sicherheitslücken zu schließen.”

Das Bundesverfassungsgericht erlaube in Ausnahmefällen eine Offenhaltung mancher Schwachstellen – dabei ist die Frage nicht, ob die Bundesregierung das rechtlich darf, sondern ob sie es politisch will. Ein Schwachstellen-Management bedeute, Sicherheitslücken offenzuhalten – dabei muss auch das Melden und Schließen gemanagt werden. Und schließlich: Der russische Überfall auf die Ukraine sei eine Zeitenwende – dabei ist das Schließen von Sicherheitslücken Teil von Sicherheitspolitik und schützt auch vor russischen Hackern.

“Schwachstellen ausnahmslos schließen statt ausnutzen”

The liberal Bundestagsabgeordnete Manuel Höferlin widerspricht Konstantin von Notz: „Die Textinterpretation von schlechten und weniger schlechten Schwachstellen teile ich nicht. Denn wenn wir Deutschlands Cybersicherheit voranbringen wollen, dann müssen wir das konsequent machen. Ohne Wenn und Aber. Das konsequente, ausnahmslose und möglichst schnelle Schließen von Schwachstellen muss das Ziel eines wirksamen Schwachstellenmanagements sein. “

Damit steuert die Bundesregierung auf einen Konflikt zu. Die FDP lehnt das Offenhalten und Ausnutzen von Sicherheitslücken konsequent ab. Innerhalb von SPD und Grünen gibt es sowohl Gegner als auch Befürworter des staatlichen Hackens.

Zuständig für das Schwachstellen-Management ist die SPD-Ministerin Nancy Faeser. Ihrem Innenministerium untersteht zwar die IT-Sicherheitsbehörde BSI, aber auch die Trojaner-Behörden BKA, Bundespolizei und Verfassungsschutz sowie die Hacker-Behörde ZITiS. Doch auch die Bundeswehr unter dem Verteidigungsministerium und der BND unter dem Kanzleramt wollen weiterhacken. Alle drei Ministerien werden von der SPD geführt.

“Staat soll keine keine Schwachstellen offenhalten und nutzen”

Die SPD-Vorsitzende Saskia Esken hat den Koalitionsvertrag unterschrieben und ist eigentlich gegen staatliches Hacken. In der letzten Legislaturperiode sagte sie uns: „Ich lehne den Einsatz von Trojanern grundsätzlich ab. Der Staat soll keine Angriffswerkzeuge entwickeln und keine Schwachstellen offenhalten und nutzen, denn das steht im Widerspruch zu seiner Verantwortung für die allgemeine IT-Sicherheit.

Es steht zu befürchten, dass die Regierung ihre klare Vorgabe aus dem Koalitionsvertrag nicht umsetzen wird. Entweder gibt es ein Schwachstellen-Management, dass das Offenhalten und Ausnutzen von Sicherheitslücken explizit erlaubt. Oder das Vorhaben wird verschleppt und gar nicht umgesetzt, womit die Praxis des staatlichen Hackens einfach weitergeht.

Wahrscheinlich braucht es erst ein zweites Merkelfon, bis die Bundesregierung das Problem versteht. Denn wenn alle unsicher sind, dann sind es auch die Regierungschefs. So wie Olaf Scholz ‘Parteifreund und Amtskollege Pedro Sánchez in Spanien, der mit dem Statstrojaner NSO Pegasus gehackt wurde – weil seine Geheimdienste die Sicherheitslücke offengehalten haben, um sie selbst auszunutzen.

Leave a Comment