BKA und Zitis suchen Zero-Day-Exploits – Bundesregierung weiß nichts davon

Inhaltsverzeichnis

"Nichts sehen, nichts hören, nichts sagen" lautet das Motto von Bundesregierung und EU-Kommission angesichts von Zero-Day-Exploits, die das Bundeskriminalamt (BKA) und die als Hackerbehörde bekannt gewordene Zentrale Stelle für Informationstechnik im Sicherheitsbereich (Zitis) offenbar in Händen hält. Beide hiesigen Sicherheitsbehörden sind neben dem Forensischen Institut der Niederlande, der norwegischen Polizei und der französischen Firma Synacktiv Partner des Projekts Overclock, das die EU zu 90 Prozent mit 3,8 Millionen Euro fördert. Dessen Hauptziel ist es, Ermittlern einen "Live-Zugang" zu verschlüsselten Smartphones zu verschaffen.

Datenextraktion aus abgesicherten IT-Geräten

Overclock steht für "Operative Vorhut: Nutzung der Verschlüsselungsforschung für die Verbrechensbekämpfung ('Lockdown')". Das Projekt startete am 1. Oktober 2021, läuft über 36 Monate wird vom französischen Innenministerium geleitet. Es baut auf der Vorläuferinitiative Cerberus auf. Dabei handelt es sich um eine Plattform, die von EU-Strafverfolgungsbehörden genutzt wird, um Passwörter zu knacken und auf verschlüsselte Geräte zuzugreifen.

Nach der offiziellen Projektbeschreibung geht es bei Overclock darum, eine "lesbare Datenextraktion" aus abgesicherten IT-Geräten von Kriminellen auf höchster Ebene "durch die Entdeckung technischer Schwachstellen und das Reverse Engineering der von kriminellen Netzwerken verwendeten Anwendungen zu ermöglichen". Bei dem angestrebten Zugang in Echtzeit handle es sich um einen "besonderen Exploit". Ein solcher Hack ermögliche es teilweise, Daten auszulesen, "ohne dass das ursprüngliche Passwort geknackt werden muss". Dies sei sogar aus der Ferne machbar, also ohne physischen Zugriff auf das Gerät. Im besten Fall sollen so organisierte kriminelle Netzwerke zerschlagen werden, die auf Verschlüsselung setzen.

Zero-Day-Schwachstellen

Angesichts dieser Ansagen geht Sven Herpig, Sicherheitsexperte bei der Stiftung Neue Verantwortung, laut einer Einschätzung auf Twitter davon aus, dass die Overclock-Beteiligten mittlerweile Zero-Day-Schwachstellen "in speziell-angepassten Smartphones und ihren Basisversionen gefunden" haben. Dabei handelt es sich um Sicherheitslücken, die der Allgemeinheit bislang nicht bekannt und daher besonders gefährlich sind. Beteiligt sei das BKA zudem am ähnlich gelagerten EU-Projekt Exfiles, bei dem es ebenfalls um Smartphone-Exploits gehe.

Cornelia Ernst, EU-Abgeordnete der Linken, fragte bereits im Oktober bei der Kommission nach, welche Arten von Schwachstellen für den vorgesehenen Live-Zugriff ausgenutzt werden. Die seit Ende Januar vorliegende Antwort von Innenkommissarin Ylva Johansson ist erstaunlich, denn sie steht im völligen Widerspruch zu der Projektdarstellung, auf deren Basis die Brüsseler Regierungsinstitution die staatlichen Finanzmittel freigegeben hat. So behauptet die Schwedin, die derzeit auch die heftig umstrittene Chatkontrolle und den damit verknüpften Angriff auf Ende-zu-Ende-Verschlüsselung vorantreibt: Overclock "dient weder der Erforschung noch der Entwicklung jedweder Form von Spähsoftware oder eines Echtzeit-Zugangs zu verschlüsselten Geräten."

"Leitlinien für Tatortermittlungen für die Strafverfolgung"

Laut Johansson sollen mit dem Projekt nur "Leitlinien für Tatortermittlungen für die Strafverfolgung" bereitgestellt werden, "um einen ordnungsgemäßen Umgang mit verschlüsselten Geräten sicherzustellen, die im Zuge einer Ermittlung entdeckt werden". Die Umsetzung erfolge auf einer "bereits bestehenden sicheren Europol-Plattform für die Strafverfolgung". Zudem arbeiteten die Beteiligten an einem "forensischen Instrument zur Unterstützung des rechtmäßigen Zugangs zu Daten auf Geräten".

Wenn Overclock Zero-Day-Exploits für Smartphones sucht und BKA sowie Zitis daran mitwirken, ist es laut Herpig logisch, "dass auch diese Behörden Zugang zu den Schwachstellen haben". Innenstaatssekretär Johann Saathoff erklärte in einer Antwort auf eine Frage der Bundestagsabgeordneten Anke Domscheit-Berg vorige Woche aber, der Bundesregierung lägen zu solchen Sicherheitslücken im Rahmen des Projekts "keine Erkenntnisse" vor. Domscheit-Bergs Fraktionskollegen Andrej Hunko ließ die SPD-Politiker wissen, bei Overclock würden "die dem Stand der Technik entsprechenden Methoden der Passwortsuche betrachtet" und – falls nötig – für die Europol-Plattform "optimiert". Offensichtlich hat auch das Innenministerium nicht einmal die Projektbeschreibung gelesen.

Heikles Thema

Das Thema ist heikel: Das Ampel-Regierungsbündnis hat sich in seinem Koalitionsvertrag eigentlich dafür ausgesprochen, dass der Staat "keine Sicherheitslücken ankaufen oder offenhalten", sondern sich unter Federführung eines unabhängigeren Bundesamts für Sicherheit in der Informationstechnik (BSI) "immer um die schnellstmögliche Schließung bemühen" soll. Die Bundesregierung setze sich derzeit inhaltlich mit dieser Frage auseinander, teilte das Bundesinnenministerium (BMI) dazu vor einem guten Jahr mit. Die "Meinungsbildung zu einem wirksamen Schwachstellenmanagement" sei zwischen den Ressorts noch nicht abgeschlossen.

Dem zuständigen BSI "ist keine von einer Bundesbehörde gefundene Sicherheitslücke bekannt, die nicht an den Hersteller kommuniziert wurde", ließ das BMI damals zugleich wissen. Im Rahmen der 2021 überarbeiteten Cybersicherheitsstrategie für Deutschland hatte sich Ex-Bundesinnenminister Horst Seehofer (CSU) aber noch mit seiner Linie zum Einsatz von Zero-Day-Exploits durchgesetzt.

Bekannt ist, dass Europol seit Ende 2020 eine Entschlüsselungsplattform betreibt. Europäischen Sicherheitsbehörden ist es zudem mehr oder weniger gut verschlüsselten Krypto-Messengern wie EncroChat, Sky ECC, Anom und Exclu gelungen, Kommunikation im großen Stil abzuschöpfen. Oberstaatsanwalt Markus Hartmann gab jüngst zu Protokoll, dass sich Ende-zu-Ende-Verschlüsselung zumindest im Bereich des sexuellen Kindesmissbrauchs nur in einer sehr untergeordneten Zahl von Fällen als durchgreifendes Ermittlungshemmnis erweise.

(bme)