IT-Branchenvereinigungen sehen Online-Razzien weiter skeptisch

Während die Innenminister von Bund und Ländern am heutigen Freitag in einer Sonderkonferenz über Lehren aus der Verhaftung dreier Terrorverdächtiger debattieren, haben Hightech-Branchenvereinigungen erneut Bedenken gegenüber einem raschen Beschluss zu heimlichen Online-Durchsuchungen geäußert. Der Bitkom etwa hat die Politik dazu aufgefordert, auch die Risiken der von der Union geforderten Netzbespitzelungen sachlich zu diskutieren. "Zuerst müssen wir klären, ob der Nutzen überwiegt, ehe das Innenministerium die Technik dazu entwickeln lässt", sagte der Hauptgeschäftsführer des IT-Lobbyverbands, Bernhard Rohleder. Seiner Ansicht nach sollte "auch in die personelle und technische Ausstattung der Polizei investiert werden, bevor neue Gesetze formuliert werden".

Der Bitkom gibt zu bedenken, dass bei einer Ausforschung "informationstechnischer Systeme" in deutlich höherem Maße Daten Unschuldiger betroffen sein könnten als bei der gängigen Telekommunikationsüberwachung. "Das gilt nicht nur für Privatpersonen, sondern auch für Unternehmen", fügte Rohleder hinzu. Der aktuelle Gesetzentwurf lasse digitale Razzien nicht nur auf PCs möglicher Terroristen zu. Ein direkter Zugriff auf Server von E-Mail-Anbietern wäre ebenfalls denkbar, ohne dass der umstrittene Entwurf zur Novelle des Gesetzes für das Bundeskriminalamt (BKA) aus dem Bundesinnenministerium hier besonders hohe Hürden setze. "Eine digitale Hintertür für die Polizei könnte prinzipiell auch missbraucht werden", fürchtet Rohleder. Zudem dürften Anbieter von Virenscannern und anderer PC-Sicherheitsprogramme nicht gezwungen werden, eine Polizei-Schnittstelle einzubauen: "Das international hohe Renommee deutscher Anbieter von Sicherheitssoftware wäre in Gefahr."

Ganz in diesem Sinne haben Mitglieder der Exportinitiative IT Security made in Germany (ITSMIG) im Rahmen einer Selbstverpflichtung bekräftigt, dass ihre Produkte "keine versteckten Zugangsmöglichkeiten" enthalten. Weltweit verbinde man mit Produkten aus Deutschland Eigenschaften wie "Funktionsfähigkeit, Zuverlässigkeit, Benutzerfreundlichkeit, Normkonformität, Integrität und Sicherheit", heißt es bei der vom Bundeswirtschaftsministerium geförderten Vereinigung mit 40 Mitgliedsunternehmen. Dieses Qualitätsversprechen habe man nun "in einem wesentlichen Punkt" durch die Verpflichtung konkretisiert, Software ohne heimliche Hintertüren zu erstellen. Damit wollen die Firmen verhindern, dass etwa über den so genannten Bundestrojaner oder andere staatliche Spyware vom Kunden unterwünschte Zugriffe auf ein Computersystem ermöglicht oder sicherheitsrelevante Funktionen deaktiviert werden.

"Sollten uns Sicherheitslücken oder Umgehungsmethoden für Zugangskontrollsysteme bekannt werden, so werden wir diese schnellstmöglich schließen", geloben die Partner der Initiative weiter. Auch eine vorsätzliche Schwächung von Verschlüsselungsverfahren werde in den Produkten der Mitglieder nicht angewendet. Die in der Vereinigung versammelten Firmen weisen aber auch darauf hin, "dass es uns aus Gründen der Befolgung von Rechtsvorschriften, gerichtlichen Entscheidungen oder Maßnahmen der Strafverfolgungsbehörden vorgegeben sein kann, Mechanismen für eine vollständige oder teilweise Aushändigung von Kommunikationsinhalten, Kryptoschlüsseln oder Zugangskennungen an die örtlichen Strafverfolgungsbehörden zu realisieren". In solchen Fällen würden die Kunden davon aber in Kenntnis gesetzt, "soweit dies gesetzlich zulässig ist".

Ähnlich hat sich der österreichische Hersteller von IT-Sicherheitslösungen Emsi geäußert, der unter anderem die unter dem Namen a-squared bekannten Malware- und Dialerschutzprogramme verkauft. Man werde auf keinen Fall bewusst eine Lücke die eigene Produktreihe einbauen, "um einen staatlichen Trojaner oder ähnliche Software gewähren zu lassen", verspricht die Firma. Leicht würde ein Zugriff via Online-Durchsuchung auf einen Rechner damit nicht fallen. Dazu müssten die Behörden entweder eine passende Sicherheitslücke auf dem Zielsystem ausnutzen, per E-Mail einen Trojaner einschleusen oder einen Keylogger offline nach dem Eindringen in die Wohnung eines Verdächtigen installieren, zählen die Österreicher Möglichkeiten zur Installation staatlicher Schnüffelsoftware auf. Für den dritten Fall sei zumindest ein Hausdurchsuchungsbefehl Voraussetzung, da sich Beamte direkten Zugang auf einen Rechner verschaffen müssten. Sowohl Keylogger als auch trojanische Pferde würden von der Verhaltensanalyse der Sicherheitsprogramme aber sofort erkannt und gestoppt.

Emsi hält zudem allein den "administrativen und technischen Aufwand, für jede Regierung dieser Welt spezielle Abänderungen an der Software vorzunehmen", für viel zu hoch. Derlei Forderungen würden "entweder in einem Rechts- und Klage-Chaos enden oder vervielfacht durch den Mehraufwand die Produktpreise". Der allgemeine Tenor aus der Security-Branche lautet daher: "Kunden, die ihre Privatsphäre durch den Kauf von Sicherheitssoftware schützen möchten, haben Anspruch auf den bestmöglichen Schutz – ohne Kompromisse." Das Bundesinnenministerium zeigte sich dagegen unlängst sehr optimistisch, dass Bundestrojaner nicht entdeckt und im System keine Spuren hinterlassen würden.

Siehe dazu in Telepolis:

• Feindstrafrecht, ein Gespräch mit Professor Roland Hefendehl vom Institut für Kriminologie und Wirtschaftsstrafrecht an der Universität Freiburg über die gefährlichen Tendenzen des Rechtsstaatsumbaus

Zum aktuellen Stand und der Entwicklung der Debatte um die erweiterte Anti-Terror-Gesetzgebung, die Anti-Terror-Datei sowie die Online-Durchsuchung siehe:

• Von Datenschutz und Schäuble-Katalog: Terrorbekämpfung, TK-Überwachung, Online-Durchsuchung

Siehe dazu auch die Anmerkungen zur Online-Durchsuchung von BKA-Chef Jörg Ziercke und von Datenschützern auf der Datenschutz-Sommerakademie des Unabhängigen Landeszentrums für Datenschutz am Montag vergangener Woche:

• Mit Unikaten gegen Straftaten
• Hickhack um Online-Durchsuchung
• Schutz und Trutz vor der Online- Durchsuchung

Einen ausführlichen Einblick in die jüngsten Ausführungen des Bundesinnenministeriums zu den Plänen für Online-Razzien und in die Antworten Schäubles auf den Fragenkatalog des Bundesjustizminsteriums sowie der SPD-Fraktion zur Online-Durchsuchung bieten Meldungen vom vergangenen Wochenende im heise-Newsticker und ein Bericht in c't – Hintergrund:

• Innenministerium verrät neue Details zu Online-Durchsuchungen
• Innenministerium bezeichnet Entdeckungsrisiko für Bundestrojaner als gering
• Heimliche Online-Durchsuchungen und der Schutz der Privatsphäre
• Bundesregierung sieht sich mit Online-Durchsuchungen nicht allein
• Netzpolitik hat mittlerweile die Antworten des Bundesinnenministeriums im Wortlaut online dokumentiert: Antworten auf den Fragenkatalog des Bundesjustizministeriums, Antworten auf die Fragen der SPD-Fraktion

(Stefan Krempl) / (jk)