Stiftung fordert Mindeststandards für staatliches Hacking
Die "Stiftung Neue Verantwortung" möchte Einschränkungen beim staatlichen Hacking erreichen.
Mit dem Papier "Mindeststandards für staatliches Hacking" möchte die "Stiftung Neue Verantwortung" (SNV) staatliche Eingriffe durch die Telekommunikationsüberwachung (TKÜ), die Quellen-TKÜ und den Einsatz von Trojaner-Software so regeln, dass die Ermittler handlungsfähig bleiben. Die Berliner Denkfabrik arbeitet an den politischen und wirtschaftlichen Folgen der Digitalisierung. Die Autoren der Veröffentlichung möchten eine Regulierung des Rechtsrahmens erreichen, der sicherstellt, dass die staatlichen Hacker nicht übergriffig werden. So wird betont, dass Angriffe auf Smartphones, Tablets, Computer und die Daten in der Cloud nur bei schwersten Straftaten erfolgen sollen.
Weitere Forderungen des 25 Seiten langen Papiers: Anbieter von Hacking-Tools für staatliche Ermittler sollen klare Richtlinien bekomman, was die Software darf und was verboten ist. Sollten Zero-Days oder sonstige Schwachstellen genutzt werden, so fordert das Papier ein staatliches Schwachstellenmanagement-Programm, das in Deutschland bei der Zentralen Stelle für Informationstechnik im Sicherheitsbereich angesiedelt sein könnte.
Keine Software gegen Dissidenten
Die aus der Sicht von staatlichen Ermittlern strittigste Empfehlung des Papiers dürfte die Einbindung von Organisationen wie z.B. Reporter ohne Grenzen, Citizen Lab oder Privacy International sein. Diese Organisationen haben in der Vergangenheit Alarm geschlagen, wenn Überwachungssoftware in Diktaturen gegen Regimekritiker eingesetzt wurden. Die SNV empfiehlt, dass Software sofort für jegliche staatliche Nutzung gesperrt wird, sowie bekannt wird, dass sie gegen Regimekritiker eingesetzt wurde.
In Deutschland würde das umgehende Nutzungsverbot z.B. für die Forensik-Software UFED der israelisch-japanischen Firma Cellebrite gelten, die von etlichen Landeskriminalämtern genutzt wird, aber eben auch von Ermittlern in Bahrain, die Dissidenten verhafteten und folterten.
Umgekehrt würde dieses Nutzungsverbot auch für die in Deutschland programmierte Software von FinFisher gelten, die als Vehikel für Online-Durchsuchungen vom Bundeskriminalamt genutzt werden soll.
Das Dokument der Stiftung enthält neben den Vorschlägen zu Hacking-Mindeststandards eine Fülle von Links, die auf den aktuellen Diskussionsstand um staatliche Hackereien verlinken und somit einen guten Einstieg in die internationale Debatte ermöglichen. Die Stiftung ist Mitglied des Transatlantic Cyber Forums. (jam)
