Online-Durchsuchungen über verheimlichte Sicherheitslücken?
In einem Aufsatz für die Fachzeitschrift Datenschutz und Datensicherheit wirft Hartmut Pohl, Professor für IT-Sicherheit an der FH Bonn-Rhein-Sieg, den Behörden bewusste Verheimlichung von Sicherheitslücken und "Less-Than-Zero-Day-Exploits" vor.
In einem (noch nicht online verfügbaren) Aufsatz für die September-Ausgabe der Fachzeitschrift Datenschutz und Datensicherheit kommt Hartmut Pohl, Professor für Informationssicherheit am Fachbereich Informatik der FH Bonn-Rhein-Sieg, zu keinem positiven Urteil über die Online-Durchsuchung. Pohl analysierte die Informationen, die über ein Dutzend verdeckte Online-Durchsuchungen des Bundesnachrichtendienstes (BND) verfügbar sind. Sein Fazit: Genutzt würden in erster Linie unveröffentlichte Sicherheitslücken, die nicht nur der Allgemeinheit und Sicherheitsdienstleistern, sondern auch den Herstellern von Betriebssystemen oder Anwendungsprogrammen über einen längeren Zeitraum verborgen blieben. Hätten die Entdecker der Sicherheitslücken ein funktionierendes Angriffsprogramm entwickelt, würden die von Pohl "Less-Than-Zero-Day-Exploits" genannten Programme dann für viel Geld angeboten – und zwar nicht nur Sicherheitsbehörden, sondern auch Personen und Unternehmen, die damit ein kriminelles Interesse verfolgten.
Pohl weist darauf hin, dass die bewusste Verheimlichung von Sicherheitslücken und ein verstärkter Ankauf dieser Less-Than-Zero-Day-Exploits im Rahmen der Ausweitung von Online-Durchsuchungen durch staatliche Behörden beim Bürger einen großen Verlust von Vertrauen in die Sicherheit des Internets verursachen. Zudem sei die juristische Bewertung fragwürdig, denn grundsätzlich sei das für die innere Sicherheit verantwortliche Bundesinnenministerium verpflichtet, Unternehmen und Bürger vor Sicherheitslücken zu warnen – und zwar eben auch vor denen, die bislang nicht öffentlich bekannt wurden. Erschwerend komme hinzu, dass die Zahl der deutschen Spezialisten, die Sicherheitslücken erkennen und Exploits erstellen könnten, "eng begrenzt" sein dürfte, schreibt Pohl, so dass die Sicherheitsbehörden auf ausländische Unterstützung angewiesen seien.
"Die derzeitige Verheimlichung von Sicherheitslücken und Less-Than-Zero-Day-Exploits durch deutsche Behörden schädigt Unternehmen und Private", verdeutlicht Pohl. "Die Behörden erwerben Exploits gegen (hohes) Entgelt und "züchten" durch die intensive finanzielle Förderung eine Szene heran." Pohl fordert, dass alle den Behörden bekannt gewordenen Sicherheitslücken in IT-Systemen und damit auch die darauf aufbauenden Less-Than-Zero-Day-Exploits "unverzüglich veröffentlicht werden müssen". Der Aufsatz von Pohl diskutiert auch den neuen "Hackerparagraphen" 202c des Strafgesetzbuches, der Vorbereitungshandlungen zum Ausspähen von Daten unter Strafe stellt. Die Strafbarkeit hänge dabei nicht von den Zielen oder Aktivitäten der Handelnden ab, erläutert Pohl, sondern "vom Zweck des Tools". Es entstehe aber der Eindruck, dass zum Beispiel Online-Durchsuchungen nicht erkannt werden sollen. Damit sei etwa ausländischer Wirtschaftsspionage zum Schaden der deutschen Unternehmen Tür und Tor geöffnet.
Zum aktuellen Stand und der Entwicklung der Debatte um die erweiterte Anti-Terror-Gesetzgebung, die Anti-Terror-Datei sowie die Online-Durchsuchung siehe:
Siehe dazu auch die Anmerkungen zur Online-Durchsuchung von BKA-Chef Jörg Ziercke und von Datenschützern auf der Datenschutz-Sommerakademie des Unabhängigen Landeszentrums für Datenschutz:
- Mit Unikaten gegen Straftaten
- Hickhack um Online-Durchsuchung
- Schutz und Trutz vor der Online- Durchsuchung
Einen ausführlichen Einblick in die jüngsten Ausführungen des Bundesinnenministeriums zu den Plänen für Online-Razzien und in die Antworten Schäubles auf den Fragenkatalog des Bundesjustizminsteriums sowie der SPD-Fraktion zur Online-Durchsuchung bieten Meldungen im heise-Newsticker und ein Bericht in c't – Hintergrund:
- Innenministerium verrät neue Details zu Online-Durchsuchungen
- Innenministerium bezeichnet Entdeckungsrisiko für Bundestrojaner als gering
- Heimliche Online-Durchsuchungen und der Schutz der Privatsphäre
- Bundesregierung sieht sich mit Online-Durchsuchungen nicht allein
- Netzpolitik hat mittlerweile die Antworten des Bundesinnenministeriums im Wortlaut online dokumentiert: Antworten auf den Fragenkatalog des Bundesjustizministeriums, Antworten auf die Fragen der SPD-Fraktion
(Detlef Borchers) / (pmz)
