Seite 2: Zero-Day-Exploits "verbieten"

Inhaltsverzeichnis

Poscher mahnte auch eine "belastbare Kosten-Nutzen-Analyse" an, da ein Verheimlichen von Sicherheitslücken für das Aufspielen von Überwachungssoftware Millionen von Systeme gefährde. Dies habe etwa die WannaCry-Lücke gezeigt, über die die NSA nicht einmal andere US-Behörden informiert habe. Hier drohten beträchtliche Schäden, wenn Schwachstellen offen gehalten und nicht aufgedeckt würden. Zugleich werde ein Markt befeuert, "auf dem diese Lücken gehandelt werden".

Das Ausnutzen bislang nicht bekannter Schwachstellen "geht gar nicht", schlug der Mainzer Staatsrechtler Matthias Bäcker in die gleiche Kerbe. Solche Zero-Day-Exploits verursachten Gefahren, die nicht zu rechtfertigen seien, Sie müssten "zwingend verboten werden". Der Zugriff auf gespeicherte Inhalte komme zugleich einer beschränkten heimlichen Online-Durchsuchung gleich, für die laut dem Computer-Grundrecht höhere Anforderungen nötig wären.

Anbieter "in Teufels Küche"

Mit der Mitwirkungspflicht sieht Bäcker ferner die Anbieter "in Teufels Küche" kommen. Sollten diese Systeme manipulieren dürfen, habe er erhebliche Bedenken. "Unproblematischer" wäre es, die Hersteller von Betriebssystemen offen dazu zu verpflichten, über ihre Updates Trojaner mitzuinstallieren. Microsoft und Apple würden das wohl "nicht gerne machen", zumal damit auch ihre Grundrechte tangiert wären. "Unter Sicherheitsgesichtspunkten" wäre dies aber "der vorzugswürdige Weg". Generell bezeichnete der Rechtswissenschaftler das Vorhaben als Anlass, das komplette G10-Gesetz mit einer Verfassungsbeschwerde anzugreifen und zu knacken. Dies wäre aus bürgerrechtlicher Perspektive ein erfreuliches Ergebnis.

Laut Jan-Hendrik Dietrich von der Hochschule des Bundes für öffentliche Verwaltung ist die Quellen-TKÜ plus dagegen auch mit Blick auf das Grundgesetz zu rechtfertigen. Nötig wären dafür zwar eigentlich tatsächliche Anhaltspunkte für eine konkrete Gefahr für ein überragendes Rechtsgebiet. Das Bundesverfassungsgericht habe in seinem Urteil zur Online-Durchsuchung aber die Messenger-Kommunikation noch nicht im Blick gehabt. Betrachte man deren Abhören als Pendant zur klassischen Telekommunikationsüberwachung, seien daran niedrigere Anforderungen zu stellen.

Verfassungsschutz: "Anschläge verhindern"

BfV-Präsident Thomas Haldenwang betonte, dass der Inlandsgeheimdienst "mit den Möglichkeiten, die wir haben, in der heutigen Welt ankommen" wolle. Im Gegensatz zum Bundeskriminalamt, das nach eigenen Angaben auch über die Webversion von WhatsApp auf ein Mobilgerät ohne Staatstrojaner zugreifen und mitlesen kann, beherrsche der Verfassungsschutz diesen Ansatz nicht. Daher sei eine legale Option zum Einsatz des Bundestrojaners nötig, die der Jurist schon seit Jahren fordert.

Es gehe nicht um Massenüberwachung, Zero Days spielten keine Rolle, betonte Haldenwang. Ausgenutzt würden "bereits vorhandene Lücken", die das BfV nicht kaufe. Ohne die Mitwirkung der Provider wäre dieses Instrument aber nur schwer umsetzbar. Man müsse "bestimmte Personen" einsetzen können, um benötigte Geräte in Betriebsräumen aufzustellen und andere technische Mittel einzubringen. Ohne eine entsprechende Lizenz stünden die Agenten da wie eine Feuerwehr ohne Löschfahrzeug, da 90 Prozent der Bundesbürger verschlüsselte Dienste wie WhatsApp, Telegram & Threema nutzten. Ließe sich über das Vorhaben auch nur ein Anschlag verhindern, "war es der Sache schon wert".

Branche "sehr besorgt"

Parallel zeigte sich ein Bündnis aus Firmen wie Facebook, Google, Mail.de und Posteo sowie Organisationen wie dem Bundesverband IT-Mittelstand (BITMi), dem Bundesverband IT-Sicherheit (TeleTrusT), dem eco-Verband der Internetwirtschaft und dem Telekommunikationsverband VATM in einem Brief an die Abgeordneten und die Regierung "sehr besorgt über die massive Ausweitung" der Quellen-TKÜ. Das Vorhaben könnte die Anbieter dazu zwingen, "die Sicherheit und Integrität ihrer eigenen Dienste einzuschränken, um Nachrichtendiensten bei der Spionage zu unterstützen". Es dürften keine Maßnahmen ergriffen werden, "die eine Schwächung oder das Brechen von Verschlüsselung zur Folge hätten". (vbr)