Forscher fühlen sich in IT-Sicherheitsfragen vom Parlament "vergackeiert"

Bei einem Fachgespräch der SPD machten Vertreter aus Wissenschaft und Wirtschaft ihrem Unmut über die Beratungsresistenz der Gesetzgeber etwa bei den Hackerparagraphen oder biometrischen Reisepässen Luft.

In Pocket speichern vorlesen Druckansicht 191 Kommentare lesen
Lesezeit: 6 Min.

Bei einem Fachgespräch der SPD-Bundestagsfraktion machten Vertreter aus Wissenschaft und Wirtschaft am heutigen Montag ihrem Unmut über die Beratungsresistenz der Gesetzgeber etwa bei der Verabschiedung der Hackerparagraphen oder der biometrischen Reisepässe Luft. "Man kommt sich vergackeiert vor", ärgerte sich Christoph Wegener vom Horst-Görtz-Institut der Uni Bochum bei der Veranstaltung zum Thema "Zivile Sicherheitsforschung und IT-Sicherheit". Die Abgeordneten würden beim Vorbringen von Kritik in parlamentarischen Anhörungen "alle nicken", aber dann komme doch nichts dabei heraus und entscheidende Korrekturen an den Gesetzesentwürfen würden unterbleiben. "Die Dinge werden schön geredet", konstatierte Wegener. Doch es nütze nichts, "wenn Techniken in den Markt gedrückt werden, die hinterher von der Bevölkerung nicht akzeptiert werden".

Sachar Paulus, bei SAP für Datenschutz und Datensicherheit zuständig, merkte bezogen auf den ePass an, dass selbst ein EU-Zentrum für die Gewährleistung der Interoperabilität der biometrischen Reisedokumente keinen Gewinn durch den Einsatz des RFID-Chips sehe. "Wenn das Kind in den Brunnen gefallen ist, werden die Hersteller versuchen, das Projekt gesund zu reden", fürchtete der Sicherheitsexperte. Besser wäre es gewesen, die "Leute früher abzuholen" und auf Risiken und Nebenwirkungen der eingesetzten Techniken bei dem staatlichen IT-Großprojekt hinzuweisen.

Auch Constanze Kurz, Forscherin an der Humboldt-Uni und Mitglied des Chaos Computer Clubs (CCC), monierte, dass mit dem ePass ein Projekt in die Wege geleitet worden sei und nun mit dem Segen der SPD auf den Personalausweis ausgeweitet werden solle, das "viele Schwächen und Kinderkrankheiten" habe. "Wir hatten vorher einen hochsicheren Pass", gab die Hackerin zu bedenken. "Nun haben wir ein zusätzliches Unsicherheitsmerkmal mit dem kontaktlosen Funkchip". Eine Gefahr dabei sei, "dass wir uns freiwillig mit sehr guten Aufnahmen unseres Gesichtes und unserer Finger in alle Welt begeben". Die Bundesregierung stelle sich dabei auf den Standpunkt: "Was fremde Länder damit machen, ist deren Sache". Letztlich handele es sich um ein Referenzprojekt, mit dem eine Gewöhnung zur Abgabe der Fingerabdrücke etwa auch in Videotheken oder an Laptops geschaffen werde. Sei das Merkmal aber einmal kompromittiert, gebe es wenig Ausweichmöglichkeiten. Zudem würden die biometrischen Daten an kommerziellem Wert für Kriminelle gewinnen.

Dabei habe nicht nur der CCC immer wieder auf die der Biometrie und RFID innewohnenden Probleme hingewiesen. Vielmehr habe schon das federführende Bundesinnenministerium auf der Arbeitsebene vor dem Parlament extra in Auftrag gegebene Analysen wie die BioP-II-Studie ignoriert. "Die wissenschaftliche Forschung war nur ein Feigenblatt", hielt Kurz fest. Auch Marit Hansen vom Unabhängigen Landeszentrum für Datenschutz in Schleswig-Holstein (ULD) zeigte sich besorgt: Man dürfte aufgrund der Fiktion, dass Biometrie "sicher sei", verstärkt in Gefahr kommen, sich selbst aufgrund falsch gelegter Spuren gegen Beschuldigungen zum Aufenthalt an einem Tatort wehren müssen. Gerade die Gesichtsbilddaten könnten zudem etwa "im Fahrstuhl" oder Situationen mit einer gewissen räumlichen Enge heimlich recht einfach durch Vorbeiführen an einem Lesegerät ausspioniert werden. Das ULD verteile daher Alu-Schutzhüllen für die Pässe ihrer Mitarbeiter.

Die Sicherheitsforschung enorm behindert sah Wegener zugleich durch die vor kurzem in Kraft getretene Verschärfung des Computerstrafrechts, für die es bei einer Anhörung "keinerlei positives Resümee" gegeben habe. Mit dem weiten Verbot von "Hackertools", die auch als Sicherheitswerkzeuge eingesetzt würden, habe der Gesetzgeber "Vertrauen" in die Entwicklung von IT-Security-Produkten hierzulande weggegeben. "Eine große Anzahl von Websites zu diesem Bereich sei bereits ins Ausland gezogen oder habe dicht gemacht, weil viele Informatiker befürchten, sich strafbar zu machen, beklagte der Forscher. Nun zeichne sich mit den Plänen für den Einsatz eines "Bundestrojaners" ein weiterer "großer Vertrauensverlust" auch in die Polizei ab. Auch in dieser Frage werde die Debatte nicht von allen Seiten in ausreichendem Maße mit den Technikern geführt.

Maßnahmen wie Online-Durchsuchungen oder die Hackerparagraphen dürfen nicht dazu führen, "dass wir uns selbst das Wasser abtragen", sorgte sich auch Paulus um den Standort. Jedes Verfahren zum Einbringen des Bundestrojaners auf Zielrechner kann seiner Ansicht nach "mit den einfachsten Methoden" umgangen oder verhindert werden. So sei es etwa möglich, einen Rechner von CD zu starten und eigene Daten auf einem USB-Stick zu halten. Richtig gefährlich würde es, wenn sich die Schnüffelsoftware nicht als eingeschränkte, gezielt einzusetzende Technologie herausstelle, sondern "zum großen Schlag" ausgeholt würde.

Zaghafte Ansätze, den Sicherheitsexperten mehr Gehör bei der Politik zu verschaffen, kamen mit zur Sprache. Kurz sprach sich dafür aus, Berufsvereinigungen wie die Gesellschaft für Informatik (GI) neben Universitäten stärker als Beratungsinstanz und Lobby einzusetzen. Zudem müsse die Debatte um die innere Sicherheit "objektiviert" werden. Nicht zu Unrecht sei bereits vor dem "Suchtcharakter der Sicherheitstechniken" mit der Folge einer ständig nach oben getriebenen Überwachungsschraube gewarnt worden. Von Ermittlern und konservativen Politikern vorgebrachte Übertreibungen, wonach es sich etwa beim Internet trotz einer guten Aufklärung von Online-Straftaten um einen rechtsfreier Raum handle, seien als solche zu entlarven. Generell müsse die allgemeine Bevölkerung besser aufgeklärt werden und Datenschutz sowie IT-Sicherheit als eigene Aufgaben wahrnehmen.

Der medienpolitische Sprecher der SPD im Bundestag, Jörg Tauss, hielt als Mitorganisator des Gesprächs eine "Vertiefung des Sicherheitsbegriffs" mit einer Unterscheidung zwischen "gefühlter und tatsächlicher Sicherheit" für nötig. Auf Beschwerden von Wissenschaftlern, dass die EU zwar ein Überwachungsprogramm nach dem anderen verabschiede, aber dann kein Geld habe für übergreifende Begleitforschung und Folgenabschätzung, entgegnete er mit dem Hinweis auf das IT-Sicherheit mit abdeckende IT-Forschungsprogramm der Bundesregierung. Generell würden in seiner Fraktion Datenschutz-Themen "engagiert vorgetragen". Dies sei aber "leider nicht immer verbunden mit den benötigten Mehrheiten". (Stefan Krempl) / (pmz)