Stephanie Rohde: In dieser Woche hat die Bundesregierung den sogenannten Bundestrojaner durch die Hintertür eingeschleust. So sehen es zumindest Kritiker. Sie bemängeln, dass die neuen Regelungen für Onlinedurchsuchungen und für Kommunikationsüberwachung in einem anderen Gesetz versteckt worden sind. Der Bundestag hat entschieden, künftig dürfen Ermittlungsbehörden heimlich Schadsoftware auf private Geräte spielen, um Kommunikation an der Quelle mitzulesen. Außerdem werden Onlinedurchsuchungen erlaubt.
Mit der richterlichen Anordnung kann dann auf alle gespeicherten Daten zugegriffen werden, aber wie kommt diese Software auf das Smartphone und wie gefährlich ist es, wenn der Staat Sicherheitslücken absichtlich offen lässt, um sie später auszuspionieren. Das will ich jetzt klären mit Sven Herpig vom Thinktank Stiftung Neue Verantwortung. Er leitet dort das transatlantische Cyberforum, und er war davor beim Bundesamt für Sicherheit in der Informationstechnik tätig, und er hat gestern mit seinen Kollegen einen Report veröffentlich, in dem es genau um diese Sicherheitslücken geht. Guten Morgen!
Sven Herpig: Schönen guten Morgen!
Trojaner nur für Windows-Geräte, nicht für Android-Smartphones oder iPhones
Rohde: Wie muss man sich das ganz konkret vorstellen? Wie kommt der vom Staat programmierte Überwachungstrojaner auf das Handy?
Herpig: Im Grunde genommen ähnelt er sich da allen Möglichkeiten, die auch Kriminelle haben, und das heißt, sie schicken Ihnen eine E-Mail, wo Sie auf den Anhang klicken müssen oder auf einen Link klicken müssen, und dann schleust er sich auf das Smartphone ein. Die Alternative, die wir bei den Strafverfolgungsbehörden jetzt sehen, ist natürlich, dass sie in der physischen Präsenz, also das heißt, sie nehmen Ihnen Ihr Handy ab, zum Beispiel an einer Verkehrskontrolle und spielen dann diesen Trojaner auf Ihr Handy auf.
Rohde: Und können die Sicherheitsbehörden das jetzt schon machen, also haben sie die technischen Voraussetzungen dafür, um das zu tun?
Herpig: Ich glaube, nur zu einem sehr, sehr kleinen Teil. Also wir wissen öffentlich, dass es wohl eine Bundestrojanerversion gibt, da das BKA diese Kompetenzen auch schon seit einigen Jahren hat und, wie wir wissen, auch nur in weniger als zehn Fällen angewendet hat. Deswegen fragt sich bei diesem Gesetzesentwurf natürlich auch noch, warum brauchen wir das jetzt, wenn es das vorher schon in sehr, sehr eingeschränkter Form gab, aber nicht genutzt werden musste, warum wir das jetzt brauchen. Das, was wir wissen: Die Version, die vom Bundestrojaner existiert, die funktioniert derzeit nur auf Windows-Geräten, das heißt auf dem Großteil der Computer und damit nicht auf den ganz bekannten Android-Smartphones oder iPhones.
Schadsoftware, die autoritäre Regime verwenden
Rohde: Das heißt, da ist man darauf angewiesen, diese Schwachstellen anzukaufen. Wie funktioniert das genau?
Herpig: Genau, sie müssen nicht nur die Schwachstellen einkaufen, sondern sie müssen auch noch die komplette Software dazu einkaufen, die diese Schwachstellen dann ausnutzt. Das heißt, wenn Sie sich vorstellen, Schwachstellen können entweder gefunden werden von Forscherteams, also IT-Sicherheitsforschern, die sich damit beschäftigen. Gerade dafür wurde ja vom Bundesministerium des Inneren auch im Januar dieses Jahres ZITiS gegründet, eine Zentralstelle für IT in der Sicherheitssphäre, die sich damit beschäftigt, zum einen solche Schwachstellen zu finden, zum anderen Schwachstellen von extern zu kaufen und als drittes Personen, Beamte, die zum Beispiel beim BKA arbeiten oder beim BV, beim Bundesverfassungsschutz arbeiten, darin auszubilden eben diese Schadsoftware, sage ich mal, diesen Bundestrojaner auch anzuwenden.
Das Kaufen von Schwachstellen funktioniert dann so, wie Sie auch andere Sachen kaufen. Sie gehen zu einer Firma - es gibt da also auch eine deutsche Firma, es gibt eine Firma, die in Südostasien sitzt zum Beispiel -, die stellen Ihnen diese Schwachstellen bereit, da können Sie die kaufen. Sie können aber natürlich auch einen ganzen Bundestrojaner schon fertig kaufen. Den können Sie aus dem Internet kaufen, den können Sie, wie gesagt, auch bei anderen Händlern kaufen. Der Punkt ist, das ist nämlich gar nichts Neues. Also Bundestrojaner haben wir jetzt genannt. Vor allem die kritische Zivilgesellschaft hat ihn eben Bundestrojaner genannt, aber es ist nichts anderes als eine Schadsoftware, die wir so auch kennen, die auch Kriminelle verschicken oder auch, die autoritäre Regime verwenden, um zum Beispiel Journalisten auszuspionieren oder Menschenrechtsaktivisten auszuspionieren. Nur es wird jetzt eben vom BKA eingesetzt werden, um eben Kriminelle oder Terroristen in Deutschland auszuspionieren, Beweismittel zu sammeln und dann zu gucken, was man damit machen kann.
"Schwachstellen werden nicht gefixt"
Rohde: Da verstehe ich Sie aber richtig, dass das eigentlich eine hochproblematische Technik ist, die da angewendet wird.
Herpig: Na auf jeden Fall, weil das Geld, was der Staat dann in die Hand nimmt, um entweder die Software oder auch die Schwachstellen zu kaufen, wird ja an Firmen gegeben, die damit dann auch andere Akteure bespielen, namentlich autoritäre Regime. Das heißt, nicht nur, dass wir die Schwachstellen kaufen und damit diesen Finanzfluss gewährleisten, das heißt, Firmen daran Interesse haben, mehr von diesen Schwachstellen zu finden und weniger Interesse daran haben, dass die Hersteller dieser Software, wie zum Beispiel Microsoft für Windows jetzt, diese Schwachstellen kennen und damit schließen können, gleichzeitig aber auch, dass die Strafverfolgungsbehörden sagen, okay, wir haben hier eine Schwachstelle, dafür haben wir viel Geld bezahlt - ich sage mal, eine sehr, sehr hochwertige Schwachstelle für ein iPhone kann bis zu einer Millionen Euro kosten oder sogar mehr -, die möchten die natürlich nicht aus der Hand geben. Wenn sie sie nicht aus der Hand geben, das heißt, dem Hersteller mitteilen und sagen, in diesem Fall iPhone, Apple, liebe Apple, wir haben hier eine Schwachstelle, die müsst ihr fixen, weil alle iPhones auf der Welt können durch diese Schwachstelle angegriffen werden, nicht nur von Strafverfolgungsbehörden, sondern auch von Nachrichtendiensten, aber auch von Kriminellen und anderen zwielichtigen Gestalten, sage ich mal. Dann ist das ein Problem. Solange der Hersteller sie nicht kennt, kann er sie nicht patchen.
Das heißt aber auch, dass die Strafverfolgungsbehörden damit indirekt schuld sind, dass die Schwachstellen offen bleiben in den Geräten der deutschen Bundesbürger, deutscher Firmen, deutscher kritischer Infrastrukturen wie Stromnetzbetreiber oder auch den Behörden selber oder unseren Beamten im Ausland zum Beispiel, die im diplomatischen Dienst, Soldaten im Ausland, Entwicklungshelfer im Ausland. Auch alle die benutzen iPhones in diesem Fall, und diese Schwachstellen würden dann auch nicht gefixt werden.
"Sehr starker Eingriff in den Kernbereich des Privatlebens"
Rohde: Das heißt, das ist ein schwieriges Vorgehen, weil der Staat diese Sicherheitslücken absichtlich offen lässt. Gäbe es denn eine andere Möglichkeit, da vorzugehen?
Herpig: Es gibt verschiedene Möglichkeiten. Das ist immer so ein bisschen fallabhängig. Es gibt einen großen Fall in Amerika, wo man an den Hintermann eines großen Onlineportals für Drogen kommen wollte, und man ist ihm in Endeffekt habhaft geworden, weil man wusste durch andere Mittel, wo er gerade sitzt. Man hat dort zwei verdeckte Beamte eingeschleust, die saßen dann neben ihm in der Bibliothek, als er gerade dieses illegale Portal administriert hat, und der eine hat ihn abgelenkt, der andere hat ihm den Laptop weggenommen, und damit hatten sie Zugriff auf alle seine Daten.
Analog stelle ich mir das vor, Sie haben einen verdeckten Beamten neben sich, der guckt auf Ihr Handy, wenn Sie Ihren PIN eintippen, dann holt sich die Polizei einen Gerichtsbeschluss dafür, dass sie Ihr Handy beschlagnahmen dürfen. Wenn sie es beschlagnahmt haben und sie kennen den PIN, können sie sich in das Handy einloggen, und dann können sie auf die Daten zugreifen.
Also es kommt auf den Individualfall an, aber wir haben bisher viel zu wenig Energie darauf aufgewendet, uns auch mit Alternativen zu beschäftigen, weil der Staatstrojaner oder staatliches Hacken so ressourcenschonend ist, dass man sagt, okay, damit können wir das alles (...), dann machen wir das auch, betrachten aber gar nicht, wie invasiv das ist, weil ich meine, stellen Sie sich vor, was Sie alles auf Ihrem Handy haben, da sind private Bilder, private Videos, Korrespondenz mit hunderten Leuten drauf, und die Strafverfolgungsbehörden können dann auf alle diese Sachen zugreifen. Das ist natürlich auch ein sehr starker Eingriff in den Kernbereich des Privatlebens, und da muss man sich, meines Erachtens, auch mal die Arbeit und die Mühe machen, sich Alternativen anzugucken und zu schauen, wann man was anwendet und wann vielleicht doch staatliches Hacking und der Bundestrojaner als last resort, als letzte Lösung dienen sollte.
Keine Struktur, die Schwachstellen bewertet und überprüft
Rohde: Wie sehen Sie das für die Zukunft? Also müssen sich Handynutzer dann, also eigentlich alle Bürger, darauf einstellen, dass der Staat in Zukunft weniger Interesse daran hat, diese Handys zu schützen, die Privatsphäre zu schützen, und mehr ein Interesse daran hat, sie ausspionieren zu können und deshalb die Sicherheitslücken offen lässt?
Herpig: Das könnte man so annehmen. Bisher ist die Trennung aber so, dass von Staatswegen her zum Beispiel das Bundesamt für Sicherheit und Informationstechnik ja ausschließlich damit betraut ist, Sicherheit herzustellen, das BKA, der Bundesverfassungsschutz und so weiter sind ja damit betraut, an irgendwelche Daten zu kommen, also in der Strafverfolgung oder Terrorismusverfolgung. Solange diese Trennung nicht aufgehoben wird, würde ich mir da wenig Sorgen machen, aber wir haben in Deutschland kein funktionierendes System, wo diese Schwachstellen, die der Staat hat, egal welche Behörde, irgendwie bewertet werden und es geguckt wird, welche Schwachstellen jetzt behalten werden sollen, welche man zum Hersteller gibt oder ob man alle direkt zum Hersteller gibt.
Also auch hier wieder: Wir haben ein Gesetz verabschiedet, was den Einsatz massiv ausweitet, wir haben eine Institution im Januar gegründet, die sich damit beschäftigt, diese ganzen Schwachstellen zu verwalten, zu kaufen, zu finden und Personal auszubilden, aber wir haben keine Struktur, die sich damit beschäftigt, was sind denn Alternativen, und wie können diese eingesetzt werden und wann, und wir haben auch keine Struktur, die solche Schwachstellen und deren Auswirkung bewertet und überprüft, was wann wo hingeht, keine Transparenz, es gibt keinen Oversight, das heißt, richterlich da drauf geguckt wird, dass diese Funktionen auch eingehalten werden.
Also wir müssen uns daran machen, auch uns die Strukturen zuzulegen zu dem, was jetzt rechtlich möglich ist. Im Endeffekt - ich sage das auch immer wieder -, im Endeffekt muss auch irgendwer dafür den Hut aufhaben. Wenn der Staat Schwachstellen zurückhält und damit mit den gleichen Schwachstellen etwas Schaden angerichtet wird, bei unseren kritischen Infrastrukturen oder vielleicht in den Ministerien oder Bundestagsabgeordneten, dann muss auch jemand dafür geradestehen müssen.
Rohde: So die Einschätzungen von Sven Herpig, dem Leiter des transatlantischen Cyberforums der Stiftung Neue Verantwortung. Dieses Interview haben wir vor der Sendung aufgezeichnet.
Äußerungen unserer Gesprächspartner geben deren eigene Auffassungen wieder. Der Deutschlandfunk macht sich Äußerungen seiner Gesprächspartner in Interviews und Diskussionen nicht zu eigen.