IT-Sicherheitsgesetz vs. Exploit-Pläne des BND: "Völlig irre"

Informatiker sowie Wirtschafts- und Oppositionsvertreter sehen das Vorhaben des Bundesnachrichtendiensts zum Aufkaufen und Ausnutzen bislang unveröffentlichter Schwachstellen im "krassen Widerspruch" zum IT-Sicherheitsgesetz.

In Pocket speichern vorlesen Druckansicht 39 Kommentare lesen
Server
Lesezeit: 3 Min.
Inhaltsverzeichnis

Die Kritik am Plan des Bundesnachrichtendiensts (BND), mit Zero-Day-Exploits etwa verschlüsselte Internetverbindungen auszuhebeln, wird immer lauter. "Wir müssen eine Diskussion führen, was Geheimdienste tun dürfen", forderte Markus Stamm, Justiziar bei Alcatel-Lucent Deutschland, auf einer Konferenz der Branchenvereinigung Bitkom und der Heinrich-Böll-Stiftung zu Netzregeln. Einerseits werde die Wirtschaft künftig wohl gesetzlich auf mehr Security eingeschworen. Andererseits "sollen wir die Sicherheit aufgeben, wenn 'die Guten' Informationen von uns haben wollen".

Generell müssten Firmen schon jetzt technische und organisatorische Sicherheitsmaßnahmen treffen auf Basis des Bundesdatenschutzgesetzes, erklärte Stamm. Noch gebe es aber Industriesektoren, "die der IT-Sicherheit weniger nahe gestanden haben als andere", meinte der Leiter der Arbeitsgruppe Datenschutz beim Bitkom, der aber "gute Ansätze" im Referentenentwurf für ein IT-Sicherheitsgesetz aus dem Bundesinnenministerium anerkannte. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) brauche aber keine neuen Kompetenzen, da es schon heute Produkte auseinandernehmen und testen könne.

Das IT-Sicherheitspanel auf der Konferenz "Verantwortung in der digitalen Gesellschaft": Sylvia Johnigk vom Forum InformatikerInnen für Frieden und gesellschaftliche Verantwortung, Hartmut Pohl von der Gesellschaft für Informatik, Melanie Stilz (TU Berlin), Markus Stamm (Justiziar bei Alcatel-Lucent Deutschland) und Konstantin von Notz von den Grünen (v.l.n.r.)

(Bild: Stefan Krempl / heise online)

Ähnliche "krasse Widersprüche" wie Stamm machte Sylvia Johnigk vom Forum InformatikerInnen für Frieden und gesellschaftliche Verantwortung (FIfF) in den Regierungsvorhaben aus: "Einerseits möchte man die Sicherheit stärken, gleichzeitig versuchen, Schwachstellen zu kaufen und einzusetzen, um Sicherheitsmechanismen zu brechen." Ihrer Ansicht nach dürfen allgemeine Sicherheitslücken aber "nicht unter der Hand gehalten werden". Der Einbau verdeckter Schnittstellen und Funktionalitäten in Software und IT-Systeme sei unter Strafe zu stellen.

"Das passiert alles im selben Haus", verdeutlichte der Netzexperte der grünen Bundestagsfraktion, Konstantin von Notz, die Gegensätze innerhalb des Innenressorts. Eine Abteilung dort gebe vor, "für Sicherheit zu sorgen". Gleichzeitig komme raus, "dass der BND mit Staatsknete mit Sicherheitslücken rumhökern möchte". Die Folge wäre, dass Schwachstellen nicht geschlossen, sondern geheim gehalten und für Überwachungszwecke ausgenutzt würden. Der Grünen-Fraktionsvize hält dies für "völlig irre". Parallel bremse die Regierung im NSA-Untersuchungsausschuss die Aufklärung und überlasse den Abgeordneten teils völlig geschwärzte Papiere, was etwas "Kafkaeskes, Dadaistisches" habe.

Das "große Thema sind die Sicherheitslücken", ergänzte Hartmut Pohl von der Gesellschaft für Informatik (GI). Wenn diese in einem Programm alle ausgemerzt seien, komme keiner mehr rein. Die Regierung wolle aber, dass Geheimdienste und Polizei hier "freies Feld" hätten. Für diese seien noch nicht veröffentlichte Lücken "unverzichtbar" etwa für heimliche Online-Durchsuchungen oder die Quellen-Telekommunikationsüberwachung.

Auch nach dem geplanten Sicherheitsgesetz sollten Firmen nicht etwa Schwachstellen melden, sondern allein "Sicherheitsereignisse", betont Pohl. Zudem stehe eine neue Vorratsdatenspeicherung drin. Mit der Initiative gehe ferner der Einstieg in "Zwangssicherheitsmaßnahmen in der IT" einher, der bald auch für andere Unternehmen und Private kommen werde. Die "Internetpolizei" prüfe dann in Betrieben und Zuhause, ob Updates eingespielt seien.

Für Pohl ist so klar: "Die Regierung hat das Ziel der völligen Überwachung." Sie müsse daher beim Datenschutz und bei IT-Security immer als "befangen" gelten. Der Informatiker machte sich im Gegenzug für eine "Ächtung der Überwachung und von Computersabotage" analog zu Streubomben im Völkerrecht stark. (jk)