Staatliches Hacking Streit um die Schwachstelle
Die Bundesregierung will regeln, welche Software-Lücken für Überwachung genutzt werden dürfen. Doch das sogenannte Schwachstellenmanagement lässt weiter auf sich warten. Aber wie wird der Staat eigentlich zum Hacker?
Vor einigen Wochen war es mal wieder so weit. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnte öffentlich vor einer Schwachstelle in einer Software eines australisch-amerikanischen Herstellers. "Die Schwachstelle CVE-2023-22518 (…) wird aktiv ausgenutzt", so die Cybersicherheitsbehörde. Angreifer von außen könnten so unbemerkt in das Programm eindringen, Nutzer sollten das Einfallstor daher schnellstmöglich mit einem Softwareupdate schließen.
Es ist gesetzliche Aufgabe des BSI, staatliche Einrichtungen, Unternehmen und Bürger vor Schadprogrammen und Sicherheitslücken in Software zu warnen und somit die Netze in Deutschland sicherer zu machen. Doch innerhalb der hiesigen Behördenlandschaft sind längst nicht alle dafür, solche Schwachstellen zu melden, sobald sie entdeckt werden. Denn der Staat ist inzwischen selbst Hacker.
Geheimdienste und Polizei nutzen Programmierfehler in IT-Systemen aus, um heimlich Überwachungssoftware, sogenannte "Staatstrojaner", auf Computer und Smartphones von Zielpersonen aufzuspielen. Um damit wiederum beispielsweise verschlüsselte Kommunikation über Chatprogramme wie WhatsApp oder Telegram überwachen zu können.
Melden oder ausnutzen?
Wie also soll der Staat mit den Schwachstellen, "Exploits" genannt, umgehen: Melden und damit schließen - oder offenhalten und selbst für Hackingoperationen ausnutzen? Die Diskussion darüber ist bereits einige Jahre alt. Die aktuelle Bundesregierung allerdings hat im Koalitionsvertrag versprochen, sich das Thema konkret vorzunehmen. Es solle, so die Ankündigung vor zwei Jahren, ein sogenanntes "Schwachstellenmanagement" eingeführt werden.
"Die Ausnutzung von Schwachstellen von IT-Systemen steht in einem hochproblematischen Spannungsverhältnis zur IT-Sicherheit und den Bürgerrechten", heißt es im Koalitionsvertrag. "Der Staat wird daher keine Sicherheitslücken ankaufen oder offenhalten, sondern sich in einem Schwachstellenmanagement unter Federführung eines unabhängigeren Bundesamtes für Sicherheit in der Informationstechnik immer um die schnellstmögliche Schließung bemühen."
Nach WDR-Informationen ist diesbezüglich allerdings bislang fast nichts passiert. Es gibt weiterhin kein Schwachstellenmanagement. Unter den Koalitionsparteien soll es unterschiedliche Vorstellungen dazu geben, wie ein solcher Prozess aussehen soll - und wie streng er tatsächlich sein muss.
Abstimmung dauert an
Mit den Grünen und der FDP gehören immerhin zwei Parteien der Regierung an, die weitreichende Überwachungsbefugnisse der Behörden eher skeptisch sehen. Den "Staatstrojaner" insbesondere für Nachrichtendienste haben sie lange Zeit abgelehnt.
"Die Umsetzung des Vorhabens Einführung 'eines wirksamen Schwachstellenmanagements' aus dem Koalitionsvertrag (…) ist noch nicht abgeschlossen", teilte eine Sprecherin des Bundesinnenministeriums auf Anfrage mit. "Die Abstimmung zwischen den betroffenen Behörden bzw. den Ressorts zur konkreten Ausgestaltung und zur Umsetzung dauert an."
Ein paar Mal hat sich die Arbeitsgruppe "AG BSI" der Koalitionäre im vergangenen Jahr getroffen. Auf der Agenda stand dabei die zukünftige Rolle der Cybersicherheitsbehörde BSI und auch die Frage, wie ein Schwachstellenmanagement aussehen kann. Doch ein formales Verfahren, welche Exploits geschlossen und welche von den Behörden ausgenutzt werden dürfen, wurde bis heute nicht etabliert. In der kommenden Woche tagt die AG erneut.
Dann wird es wohl auch wieder um den Interessenskonflikt zwischen Sicherheitsbehörden wie dem Bundeskriminalamt (BKA) oder dem Bundesnachrichtendienst (BND) einerseits, und der Cybersicherheitsbehörde BSI andererseits gehen.
Die Polizeibehörden und die Nachrichtendienste sollen Terroranschläge verhindern, Straftaten aufklären, und Informationen aus Kriegs- und Krisengebieten beschaffen. Dazu, so heißt es aus den Behörden, sind zunehmend die sogenannten "Staatstrojaner" notwendig.
Bislang verhältnismäßig selten durchgeführt
Nach einer Änderung der Strafprozessordnung im Jahr 2017 darf die deutsche Polizei solche Programme mittlerweile nicht nur bei der Gefahrenabwehr einsetzen, sondern nach gerichtlicher Anordnung auch bei Ermittlungen zu bestimmten Straftaten. Solche Maßnahmen wurden allerdings bislang verhältnismäßig selten durchgeführt, es werden jedoch mehr.
Aktuelle Zahlen gibt es dazu zwar nicht, das Bundesamt für Justiz hat jedoch Statistiken die früheren Jahre veröffentlicht: So bekamen Ermittler bundesweit im Jahr 2020 48 Mal die Erlaubnis zum Einsatz solcher Spähprogramme. 2021 gab es 55 Anordnungen, wobei 35 Überwachungsmaßnahmen dann auch tatsächlich stattgefunden haben sollen. Zum Vergleich: 2021 gab es 17.225 Anordnungen zur regulären Telefonüberwachung.
Einsatz bei Ermittlungen gegen Reichsbürger-Netzwerk
Nach WDR-Recherchen setzten die BKA-Ermittler gleich mehrfach sogenannte Staatstrojaner im Verfahren gegen das Reichsbürger-Netzwerk um den Frankfurter Geschäftsmann Heinrich XIII. Prinz Reuß und die frühere Berliner AfD-Bundestagsabgeordnete Birgit Malsack-Winkemann ein.
Die Ermittler installierten die Überwachungssoftware beispielsweise am 31. Oktober 2022, um 10:07 Uhr, heimlich auf dem Mobiltelefon von Reuß. Danach leiteten sie rund einen Monat lang Daten von dem Gerät aus, darunter Telegram-Chats.
Bei der dabei eingesetzten Software soll es sich nach WDR-Recherchen um das Überwachungsprogramm eines israelischen Herstellers gehandelt haben, das vor einigen Jahren vom BKA erworben wurde. Das BKA wollte sich auf Anfrage dazu "aus einsatztaktischen Gründen" nicht äußern.
Der Praxisfall verdeutlicht, warum die Debatte um ein Schwachstellenmanagement stellenweise einer Phantomdiskussion gleicht: Das BKA hat zwar in jahrelanger Entwicklungsarbeit auch selbst "Staatstrojaner" programmiert, diese genügen allerdings oft nicht den Ansprüchen der Ermittler. Dass deutsche Behörden nützliche Schwachstellen selbst entdecken, ist eher die Ausnahme.
Vor allem kommerzielle Werkzeuge eingesetzt
Um Schwachstellen von darauf spezialisierten Händlern einzukaufen, fehlt den Behörden wiederum oft das nötige Geld. Denn das Wissen um die wirklich brauchbaren Lücken ist sehr teuer. Daher werden vor allem kommerzielle Werkzeuge eingesetzt.
Welche Schwachstellen diese eingekauften Trojaner genau ausnutzen, das weiß in aller Regel nur der Hersteller selbst. Es sind oft gut gehütete Geschäftsgeheimnisse.
Die Firmen dürften wenig Interesse daran haben, diese Funktionsweisen ihrer Produkte offenzulegen - insbesondere, wenn dies bedeuten könnte, dass künftig im Zuge eines Schwachstellenmanagements in Deutschland entschieden wird, vor genau diesen Schwachstellen öffentlich zu warnen.