/Politik

Wie soll Deutschland den Umgang mit Sicherheitslücken regeln?

Max Biederbeck 17.11.2017 Lesezeit 5 Min

Manche Debatten sind selten öffentlich. Etwa die um den korrekten Umgang mit Sicherheitslücken durch deutsche Ermittler. Dennoch haben Datenschützer und der Präsident der zuständigen Behörde ZITiS am Mittwoch in Berlin diskutiert. Beim Internet Governance Forum lagen die Positionen weit auseinander. Vielleicht kommt ein wichtiger Impuls ja gerade aus den USA.

Wilfried Karl will in die Offensive gehen. Am Mittwochabend ist er aus München nach Berlin ins Rote Rathaus gekommen, um die Arbeit seiner Behörde zu erklären und die Konfrontation mit seinen Kritikern zu wagen. Karl ist Präsident der neuen Zentralen Stelle für Informationstechnik im Sicherheitsbereich (ZITiS) und viel wurde in den vergangenen Monaten geschrieben über ihn und seine Mitarbeiter. Von der Unsicherheitsbehörde sprachen einige Kommentatoren, oder von Plänen der Polizei zur Überwachung von Whatsapp und Skype.

Karl war knapp 25 Jahre lang beim Bundesnachrichtendienst, zuletzt leitete er dort die Technische Aufklärung. Dass ausgerechnet er in Zukunft das Staatliche Hacken in Deutschland weiterentwickeln soll, stößt Datenschützern und Bürgerrechtlern heftig auf. Sie präsentierten dem Präsidenten am Mittwoch einen ganzen Berg an Sorgen: Gibt es noch genug Trennung zwischen Polizei und Geheimdiensten? Arbeiten die Beamten beim Ankauf von Lücken mit zwielichtigen Unternehmen zusammen und fördern sie den ohnehin weltweit wachsenden Markt mit Malware? Greift der Staat mit der Nutzung von Sicherheitslücken unrechtmäßig in die Privatsphäre, vielleicht sogar in die Intimsphäre eines Menschen ein? Und wer kontrolliert die Kontrolleure bei solch komplexen technologischen Fragen?

Wegen des Versuchs einer Antwort ist Karl heute hier, ZITiS organisiert gerade eine ganze Reihe an Hintergrundgesprächen und Auftritten: Die Behörde will nach ihrer Gründung im September zum ersten Mal ihre eigene Sicht präsentieren. Das Problem bei dieser Strategie ist schnell erklärt: Der Präsident kann kaum etwas sagen. Viele der Fragen beantwortet er in Berlin nur in der Theorie, denn es wird noch bis zum kommenden Jahr dauern, bis seine Mitarbeiter überhaupt die ersten Aufträge annehmen können. Die Mitarbeitersuche lief holpernd an, alles dauert länger. „Wir sind gerade noch in der Aufbauphase“, sagt Karl oft. Weder sei geklärt, mit welchen Unternehmen ZITiS beim Ankauf von Sicherheitslücken zusammenarbeiten wird, noch, wie der Prozess überhaupt aussehen und abgestimmt werden soll.

Gerade deshalb kritisieren Datenschützer den Ausschluss der Öffentlichkeit aus den Planungen. „Wir haben seit 2006 und 2007 intensiv über staatliche Spionagesoftware gestritten, wir waren zweimal in Karlsruhe und wir haben ein neues Grundrecht auf Gewährleistung der Integrität und Vertraulichkeit von Informationssystemen bekommen“, sagt Constanze Kurz, Sprecherin des CCC, in Berlin. Trotzdem würden die Möglichkeiten der Behörden sowohl rechtlich als auch technologisch immer weiter ausgebaut.

Vor der Wahl hatte die Regierung in der Tat ein Gesetz im Eiltempo durch den Bundestag gebracht, das Staatliches Hacking auch bei einfachen Straftaten ermöglicht. In den Augen von Kurz und anderen Kritikern gleicht das einer Verweigerung der gesellschaftlichen Diskussion, mehrere Verbände bereiten bereits Verfassungsbeschwerden gegen die neue Strafprozessordnung vor. Kurz argumentiert: „Es gibt in Deutschland keine Regeln darüber, wie der Umgang mit Sicherheitslücken aussehen soll und auch keine öffentliche Diskussion.“ Karl rechtfertigt: „Es gehört nicht zur Aufgabe von ZITiS, Kommunikation unsicherer zu machen, etwa durch Schwächung von Verschlüsselung oder durch Hintertüren.“ Und „ZITiS ist kein Beitrag zu mehr Unsicherheit, sondern zu mehr Sicherheit“.

Es sind zwei unterschiedliche Denkweisen, die da aufeinanderstoßen. Es stimmt, dass eine Behörde nur nach den Rechtsgrundlagen arbeitet, die ihr der Staat vorgibt. Es stimmt auch, dass Ermittler grundsätzlich in der Lage sein müssen, ihre Arbeit zu tun. Allerdings schafft das zuständige Innenministerium kein Vertrauen, wenn es solche Prozesse an der Öffentlichkeit vorbeiplant. Dazu liegt nach der Debatte um Staatstrojaner und NSA-Affäre zu viel im Argen. Wie also die beiden Positionen zusammenführen?

Vielleicht kommt der entscheidende Debattenbeitrag ja gerade aus den USA. Dort hat der Koordinator für Cyber-Fragen im Weißen Haus, Rob Joyce, der Öffentlichkeit ebenfalls am Mittwoch zum ersten Mal einen tiefen Einblick in die Abläufe von Staatlichem Hacking gegeben. Konkret ging es um die Frage: Wann teilen die Behörden eine gefundene Sicherheitslücke mit den betroffenen Unternehmen, und wann halten sie den Fehler geheim, um ihn selbst auszunutzen. Joyce legte dazu eine Liste über alle Beteiligten an diesem Prozess vor, dem sogenannten Vulnerability Equity Process (VEP). Auch nannte er konkrete Kriterien, die in der Einzelfallabwägung eine Rolle spielen, etwa die Gefahr einer Sicherheitslücke für die Öffentliche Sicherheit und die Verhältnismäßigkeit ihrer Geheimhaltung.

Die Transparenz war nötig geworden, weil durch ein Datenleak bei der NSA sensible Sicherheitslücken an die Öffentlichkeit gekommen waren. Darauf folgten zwei der verheerendsten Malware-Epidemien der Geschichte. Sowohl in WannaCry als auch in Notpetya steckte der Code der US-Behörden – die Verschlüsselungstrojaner sorgten für enorme Schäden und führten weltweit zur Frage, wie gefährlich das Horten von Sicherheitslücken durch Polizei und Geheimdienste sein kann. Die USA haben jetzt immerhin auf ihre Fehler reagiert, die Deutschen sollten dies auch tun, wenn es um die Einsatzregeln für ZITiS geht.

DAs verantwortliche Innenministerium sollte eine klare Antwort unter Einbezug der verschiedenen Gruppen liefern und sich am VEP in den USA orientieren. Wenn am Mittwoch bei allem Streit eins klar geworden ist, dann das ZITiS gerade noch am Anfang steht. Es wäre noch nicht zu spät, um die unterschiedlichen Interessen miteinander zu vereinen. Eine Grundsatzdebatte, wie sie in Berlin stattgefunden hat, ist ein guter erster Schritt, selbst wenn die Offensive eher etwas von einer Rechtfertigung hatte. Man muss die Behörden fragen: Worin liegt das Problem, gemeinsam zu planen? Es kann nur helfen, alle beteiligten Behörden und Vertreter aus Industrie und Gesellschaft bei der Beschaffung, der Bewertung, beim Einsatz und der anschließenden Verwahrung von Lücken mit einzubeziehen.