Staatliches Hacken schafft keine Sicherheit, sondern Unsicherheit. Die Europäische Union muss handeln und den Verkauf und Einsatz von Staatstrojanern verbieten. Das habe ich dem Pegasus-Untersuchungsausschuss im Europaparlament gesagt. Wir veröffentlichen das Video und mein Eingangsstatement.
Seit April tagt im Europaparlament ein Untersuchungsausschuss zum Einsatz von Pegasus und ähnlicher Überwachungs- und Spähsoftware. Am Montag, den 14. November, veranstaltete der Ausschuss eine Anhörung zum Thema des Ausschusses in Deutschland. Ich durfte dort als Sachverständiger sprechen. Von der Anhörung gibt es eine Video-Aufzeichnung. Hier veröffentlichen wir die übersetzte Version meines Eingangsstatements.
Sehr geehrte Abgeordnete
Vielen Dank für die Einladung, über staatliches Hacken und sogenannte Spyware in Deutschland zu sprechen.
Ich bin investigativer Journalist und arbeite für das Medium netzpolitik.org in Berlin. Wir recherchieren und berichten seit über einem Jahrzehnt über staatliches Hacken. In meiner Freizeit bin ich auch Mitglied im Chaos Computer Club und Beobachter bei European Digital Rights, aber heute spreche ich nicht in deren Namen.
Ich bin überrascht, dass ich der einzige Experte in der heutigen Anhörung bin. Ich verstehe, dass meine Kolleg:innen aus der Zivilgesellschaft einfach nicht genug Ressourcen hatten. Die Staatsanwaltschaft München war zwar interessiert, darf aber aus rechtlichen Gründen nicht öffentlich über die laufenden Ermittlungen gegen FinFisher sprechen.
Aber dass die Bundesregierung und das Bundeskriminalamt die Einladung dieses Ausschusses abgelehnt haben, ist beschämend. Mit der Weigerung, hier auszusagen, reiht sich Deutschland in die lange Liste der Länder ein, die nicht bereit sind, bei Ihren wichtigen Untersuchungen mitzuarbeiten.
Ich werde zeigen, dass dieses Verhalten symptomatisch ist und dass Deutschland viele der Probleme in den anderen Ländern, die Sie untersuchen, teilt.
Da das heutige Thema sehr umfangreich ist und ich der einzige Experte bin, der erschienen ist, hat mir der Vorsitzende freundlicherweise erlaubt, etwas länger zu sprechen.
In meinem Beitrag werde ich mich auf den Einsatz von Staatstrojanern in Deutschland konzentrieren, da das Kapitel dazu im Entwurf ihres Berichts noch kurz und oberflächlich ist. Ich bin auch gerne bereit, Informationen über deutsche Firmen wie FinFisher und andere zu geben. Aber mit Rücksicht auf die Zeit werde ich das für die Fragen und Antworten aufheben.
Ich werde zunächst die Geschichte des staatlichen Hackens in Deutschland skizzieren und die Fälle, in denen es eingesetzt wird. Dann werde ich den rechtlichen Rahmen und ein spezielles neues Grundrecht in Deutschland erklären. Drittens werde ich die Produkte nennen, die Deutschland gekauft und entwickelt hat. Dann werde ich die Geheimhaltung und mangelnde Rechenschaftspflicht des staatlichen Hackens in Deutschland verdeutlichen. Abschließend werde ich eine lobenswerte Initiative der deutschen Regierung vorstellen, einen wichtigen Aspekt dieses Problems zu regulieren.
Definition: Staatstrojaner statt Spähsoftware
Lassen Sie mich mit einer Bemerkung zur Definition beginnen. Im öffentlichen Diskurs in Deutschland sprechen wir nicht von „Spyware“. Dieser Begriff ist unpräzise und überspezifisch.
Stattdessen sprechen wir von „Staatstrojanern“ oder „staatlichem Hacken“. Das trifft besser, worum es geht: in IT-Systeme einzudringen, heimlich, ohne Wissen des Besitzers, indem man sie hackt, ihre Integrität und Vertraulichkeit bricht und die Kontrolle über sie übernimmt.
Natürlich ist das Hauptziel Überwachung, aber staatliches Hacken wird auch eingesetzt, um IT-Systeme zu sabotieren und zu stören oder um belastende Beweise zu platzieren, wie wir es bei der Polizei in Indien gesehen haben. Der Unterschied besteht, wenn überhaupt, nur in einer Handvoll Zeilen Code.
Außerdem geht es nicht nur um Smartphones, auch wenn diese die meiste Aufmerksamkeit auf sich ziehen. Jedes erdenkliche digitale Gerät kann und wird gehackt werden. Das reicht von Laptops und Armbanduhren über Fernseher und Hausautomatisierung bis hin zu Servern und Routern und natürlich dem Internet der Dinge. Es umfasst sogar Autos und Flugzeuge, die jetzt Computer sind, in die wir unseren Körper stecken, und medizinische Implantate, also Computer, die wir in unseren Körper stecken.
Um all dies zu berücksichtigen, verwende ich den Begriff „Staatliches Hacken“.
Geschichte: 20 Jahre staatliches Hacken
Deutsche staatliche Stellen hacken schon seit mindestens 20 Jahren.
Im Jahr 2005 hackte der Auslandsgeheimdienst BND die afghanische Regierung und las E-Mails zwischen einem afghanischen Minister und einer deutschen Journalistin mit – was illegal ist. Im Jahr 2006 hackte der BND ein Hotel in der Demokratischen Republik Kongo. Dabei las ein deutscher Spion die E-Mails eines deutschen Soldaten, der mit der Ehefrau eines anderen deutschen Agenten flirtete – was ebenfalls illegal ist.
Der Auslandsgeheimdienst hackt nicht, um Verbrechen aufzuklären. Es ist auch nicht seine Aufgabe, Terrorismus zu bekämpfen – das ist Aufgabe der Polizei. Spione hacken meist für klassische Spionage. Die Geheimdienste führen wahrscheinlich die Liste der staatlichen Hacks an. Im Jahr 2009 hatte der BND bereits über 2.500 Geräte gehackt.
Ein weiterer wichtiger staatlicher Hacker ist das Militär. Im Jahr 2015 hackte die Bundeswehr einen afghanischen Mobilfunkbetreiber. Dies beweist, dass es beim Hacken nicht nur um einzelne Ziele geht, sondern auch um ganze Infrastrukturen und Netzwerke.
Leider gibt es nur sehr wenige Informationen über Hacks von Geheimdiensten und Militärs, obwohl diese den Großteil des staatlichen Hackens ausmachen. Die wenigen Fälle, von denen wir wissen, wurden nur dank investigativem Journalismus bekannt, weil es sich in diesen Fällen um illegale Aktivitäten handelte, die zu Aufsichtsmaßnahmen führten.
Fälle: Drogen und Betrug statt Terror und Mord
Der Zoll und die Polizei in Deutschland hacken seit mindestens 2008. Die ersten Ziele, die bekannt wurden, waren Verdächtige, die Anabolika, gefälschtes Viagra und geschmuggelte Zigaretten verkauften. Der letztgenannte Fall war erfolglos, weil der Staatstrojaner unbeabsichtigt die Festplatte des Zielcomputers beschädigte.
Wie Sie sehen, handelt es sich hier nicht um den Terror oder die Schwerstverbrechen, die Befürworter:innen als Rechtfertigung für staatliches Hacken anführen. Und es funktioniert auch nicht problemlos.
Aber das sind bis heute typische Fälle. Im Jahr 2013 wurde die Polizei beauftragt, ihre Forderung nach staatlichem Hacken zu begründen. Sie sammelten eine Liste von fast 300 Ermittlungsverfahren mit schweren Straftaten, bei denen die Polizei behauptete, sie müsse Verdächtige hacken.
Diese Stichprobe ist wissenschaftlich nicht zuverlässig. Die Daten belegen auch weder die Notwendigkeit noch die Verhältnismäßigkeit, da sie nicht berücksichtigen, ob die Ermittlungen auch ohne staatliches Hacken erfolgreich waren oder ob die Verdächtigen unschuldig waren.
Aus der Statistik ging jedoch hervor, wofür die Polizei die Staatstrojaner wirklich einsetzen wollte. Bei über der Hälfte der Fälle handelte es sich um Drogendelikte. Fast ein Viertel waren Eigentumsdelikte, Betrug, Raub und Erpressung.
Im Parlament wurden die Staatstrojaner-Gesetze mit „Bildung einer kriminellen Vereinigung, Straftaten gegen die sexuelle Selbstbestimmung, Kinderpornografie, Mord und Totschlag“ begründet. Die eigenen Daten der Polizei zeigten jedoch null Fälle von Bildung einer kriminellen Vereinigung, null Fälle von Straftaten gegen die sexuelle Selbstbestimmung, null Fälle von Kinderpornografie und null Fälle von Mord und Totschlag.
Diese Zahlen sind vergleichbar mit dem klassischen Abhören von Telefon- oder Internetverbindungen. Und jedes Jahr bestätigen die offiziellen Statistiken, dass sie auch in der Praxis zutreffen.
Im Jahr 2019 durfte die deutsche Polizei 64 Mal hacken und tat dies auch 15 Mal. In mehr als einem Drittel der Fälle ging es um Erpressung, in einem weiteren Drittel um Drogen. Es gab null Fälle von Terror und null Fälle von Mord.
Im Jahr 2020, dem Jahr, für das uns die aktuellsten Zahlen vorliegen, wurden der deutschen Polizei 48 Staatstrojaner-Einsätze bewilligt, von denen 22 tatsächlich durchgeführt wurden. Wiederum waren mehr als ein Drittel der Fälle Drogen, ein weiteres Drittel waren Erpressungen, es gab null Fälle von Mord.
Das zeigt, dass staatliches Hacken von Anfang an öffentlich mit Terror und Mord begründet wird, aber fast nie wegen Terror und Mord eingesetzt wird.
Zivilgesellschaft: Landesverrat und Klima-Proteste
Erlauben Sie mir eine persönliche Geschichte. Im Jahr 2015 hat der Präsident des Bundesverfassungsschutzes persönlich Strafanzeige gegen mich und meine Kollegen erstattet und uns nichts Geringeres als Landesverrat vorgeworfen, weil wir unseren Job gemacht haben: wahrheitsgemäße Informationen im öffentlichen Interesse zu berichten über die Internet-Überwachung seiner Behörde.
Die strafrechtlichen Ermittlungen wurden später eingestellt, aber die extremen Anschuldigungen gaben der Polizei das gesamte Arsenal an Überwachungsmöglichkeiten – zu denen zwei Jahre später auch staatliches Hacken gehören sollte.
Das vorliegende Thema ist für mich also mehr als nur theoretisch. Deshalb möchte ich diese Gelegenheit nutzen und meine Solidarität mit allen Journalist:innen und Menschenrechtsverteidiger:innen auf der ganzen Welt zum Ausdruck bringen, die von staatlichem Hacken ins Visier genommen wurden, um sie einzuschüchtern, zu unterdrücken und zum Schweigen zu bringen. Kämpft weiter.
Die Fälle, die wir kennen, liegen alle in der Vergangenheit, aber wir müssen an die Zukunft denken.
In Deutschland spioniert der Verfassungsschutz antifaschistische Menschenrechtsverteidiger und Klimaaktivist:innen aus. In diesem Moment sitzen in Deutschland zwölf Klimaaktivist:innen im Gefängnis, ohne dass sie wegen eines Verbrechens verurteilt oder auch nur angeklagt wurden. Die Polizei hat sie einen ganzen Monat lang in so genannten „Präventivgewahrsam“ genommen, um sie davon abzuhalten, auf der Straße zu protestieren.
In diesem politischen Klima braucht man nicht viel Fantasie, um sich vorzustellen, dass auch in Deutschland Journalist:innen, Menschenrechtsverteidiger:innen und Aktivist:innen früher oder später zur Zielscheibe staatlicher Hackerangriffe werden.
Es ist Ihre Aufgabe, zu handeln und dies zu verhindern.
Gesetz: Immer wieder Ausweitung
Werfen wir einen Blick auf den rechtlichen Rahmen in Deutschland. Das erste Bundesgesetz, das der Polizei ausdrücklich Staatstrojaner erlaubt, war das Bundeskriminalamtgesetz 2008. Es beschränkte das staatliche Hacken auf das Bundeskriminalamt, auf den internationalen Terrorismus und die Verhinderung von Terroranschlägen.
Seitdem haben Landes- und Bundesgesetze den Anwendungsbereich und die Nutzung von staatlichem Hacken kontinuierlich erweitert. Seit 2017 erlaubt die Strafprozessordnung staatliches Hacken für alle Strafverfolgungsbehörden und für eine lange Liste von 42 Straftaten, darunter Steuerhinterziehung, die Verleitung zur missbräuchlichen Asylantragstellung – und natürlich Drogendelikte.
Letztes Jahr hat ein neues Gesetz das staatliche Hacken für alle 19 deutschen Geheimdienste offiziell legalisiert, obwohl mindestens die Geheimdienste des Bundes dies bereits ohne ein spezielles Gesetz getan haben.
Dieses Gesetz verpflichtet auch Kommunikationsanbieter, den Staat beim Hacken zu unterstützen, indem sie staatliche Hardware in ihren Netzen installieren, um Machine-in-the-Middle-Angriffe gegen ihre Kund:innen zu ermöglichen. Die Kommunikationsanbieter kritisierten dies vehement und beklagen Risiken für die Integrität ihrer Infrastruktur, einen Vertrauensverlust und einen Angriff auf die IT-Sicherheit.
Grundrecht auf Vertraulichkeit und Integrität
Die deutschen Staatstrojaner-Gesetze werden regelmäßig vor Gericht angefochten. Als Reaktion darauf hat das Bundesverfassungsgericht 2008 ein neues Grundrecht geschaffen: das „Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität von IT-Systemen“.
Das höchste deutsche Gericht sagt, dass staatliches Hacken nur dann legal sein kann, „wenn tatsächliche Anhaltspunkte einer konkreten Gefahr für ein überragend wichtiges Rechtsgut bestehen. Überragend wichtig sind Leib, Leben und Freiheit der Person oder solche Güter der Allgemeinheit, deren Bedrohung die Grundlagen oder den Bestand des Staates oder die Grundlagen der Existenz der Menschen berührt.“
Das ist der Terrorismus und die schwerste Kriminalität, von der wir immer hören. Das ist jedoch nicht, was tatsächlich passiert.
Juristischer Trick: Zwei Arten des Hackens
Um dieses wegweisende Urteil und das neue Grundrecht zu umgehen, hat sich die deutsche Polizei einen juristischen Trick einfallen lassen. Sie erfand zwei verschiedene Arten des Hackens. Bei der einen hacken sie ein Gerät und haben Zugriff auf alle Daten auf diesem Gerät. Sie nennen dies „Online-Durchsuchung“.
Bei der anderen hacken sie ein Gerät, und obwohl sie technisch gesehen Zugang zu allen Daten auf diesem Gerät haben, beschränken sie sich auf das Abhören und Aufzeichnen von laufender Kommunikation. Sie nennen dies „Quellen-Telekommunikationsüberwachung“. Sie wurde sogar in denselben Paragraf der Strafprozessordnung aufgenommen, in dem die klassische „Telekommunikationsüberwachung“ beschrieben wird.
Diese absichtliche Umdeutung des aktiven staatlichen Hackens zu wenig mehr als passives Abhören von Telefonen ist eine Verhöhnung des vom Verfassungsgericht verkündeten neuen Grundrechts. Es bleibt abzuwarten, ob es vor Gericht Bestand haben wird, da verschiedene Verfassungsbeschwerden noch anhängig sind.
Die Neuregelung hat auch in der Praxis zu Fehlern und Irrtümern geführt. Die Staatsanwaltschaften haben bei ihren Ermittlungen immer wieder die klassische Telefonüberwachung mit dem aktiven staatlichen Hacken verwechselt. Dabei sind sie Strafrechts-Experten.
Aus technischer Sicht ist die Unterscheidung zwischen zwei Arten von Hacken, die darauf beruht, welche Art von Daten man nach dem Hacken ausleitet, künstlich und willkürlich. Sobald man ein Gerät gehackt hat, hat man Zugriff auf das gesamte Gerät, einschließlich aller Daten und Sensoren. Um sich auf die Kommunikation in bestimmten Apps zu beschränken, braucht man neuen, zusätzlichen Quellcode und neue Funktionalitäten.
Deshalb gibt es in Deutschland besondere Anforderungen beim Kauf von kommerziellen Staatstrojanern. Im Jahr 2013 kaufte das Bundeskriminalamt FinSpy von FinFisher. Standardmäßig war FinSpy jedoch nur in der Lage, alle Daten auf dem Zielgerät auszuleiten. Daher forderte die Polizei FinFisher auf, zusätzlichen Quellcode zu entwickeln, um die Leistung des Produkts zu begrenzen. FinFisher brauchte fünf Jahre und drei Versionen, bis das Produkt den gesetzlichen Anforderungen entsprach.
Das ist auch der Grund, warum die deutsche Polizei Pegasus nicht sofort gekauft hat. BKA und NSO trafen sich zum ersten Mal im Jahr 2017. Aber auch hier dauerte es Jahre der Verhandlungen und der zusätzlichen Arbeit von NSO, um eine modifizierte Version zu entwickeln. Die deutsche Polizei kaufte Pegasus schließlich Ende 2020.
Produkte: DigiTask, RCIS, FinFisher, Pegasus
Das bringt mich zu den in Deutschland verwendeten Produkten. Leider haben wir so gut wie keine Informationen über das Militär und die Geheimdienste, abgesehen davon, dass der BND auch NSO Pegasus verwendet, wahrscheinlich neben vielen anderen Produkten. Die Regierung verweigert jede Information darüber, auch gegenüber dem Parlament.
Der erste Staatstrojaner in Deutschland wurde 2011 entdeckt. Experten des Chaos Computer Clubs bekamen die kommerzielle Schadsoftware eines ehemaligen deutschen Unternehmens namens DigiTask. Sie analysierten die Software und deckten eine Reihe von Problemen auf: Es beschränkte sich nicht ausreichend auf laufende Kommunikation, erlaubte die Übernahme des infizierten Geräts durch andere Akteure und hatte verschiedene IT-Sicherheitsprobleme.
Offizielle Untersuchungen bestätigten die CCC-Enthüllungen. DigiTask wurde als illegal eingestuft, und die Strafverfolgungsbehörden kündigten das Produkt. Die Firma wurde inzwischen an den deutschen Elektronikriesen Rohde & Schwarz verkauft – ein Sponsor der „Abhör-Ball“ genannten Messe ISS World.
Nach diesem Desaster entwickelte die deutsche Polizei ihren eigenen Staatstrojaner namens „Remote Communication Interception Software“ oder RCIS. In vier Jahren programmierten 29 Polizeibeamte eine erste Version, RCIS Desktop, die Windows hacken und Skype-Kommunikation abhören kann. Ein Update für eine zweite Version, RCIS Mobile, wurde 2017 fertiggestellt und wird verwendet, um Smartphones und Tablets zu hacken.
Wie ich bereits erwähnt habe, hat die deutsche Polizei auch die Staatstrojaner FinSpy von FinFisher und Pegasus von NSO gekauft. Aber es ist unwahrscheinlich, dass dies die einzigen Werkzeuge sind, die der deutschen Polizei zur Verfügung stehen.
Im Jahr 2017 errichtete der Bundesinnenminister eine neue Agentur mit der Bezeichnung „Zentralstelle für IT im Sicherheitsbereich“ (ZITiS). Diese Agentur ermöglicht sowohl die Forschung und Entwicklung von Staatstrojanern durch den Staat selbst als auch den Kauf von Staatstrojanern von kommerziellen Unternehmen.
Die Regierung gab zu, dass ZITiS folgende Unternehmen getroffen und bewertet hat: das österreichische Unternehmen DSIRF mit seinem Produkt Subzero, das italienische Unternehmen RCS und sein Produkt Hermit sowie die israelischen Unternehmen Quadream und Candiru. Die Regierung weigert sich jedoch, eine umfassende Liste der Unternehmen vorzulegen, die ZITiS getroffen hat, geschweige denn Produkte, die es für den Einsatz bei Polizei und Geheimdiensten gekauft hat.
Geheimhaltung: Regierung verhindert Kontrolle
Damit komme ich zu einem übergreifenden Problem: dem Mangel an Kontrolle. Im Entwurf des Berichts dieses Ausschusses heißt es: „Ein Haupthindernis bei der Aufdeckung und Untersuchung des unrechtmäßigen Einsatzes von Spähsoftware ist die Geheimhaltung.“ Und „‚Nationale Sicherheit‘ wird häufig als Vorwand für die Beseitigung von Transparenz und Rechenschaftspflicht angeführt.“ Diese beiden Sätze treffen definitiv auf Deutschland zu.
Regierung und Polizei verweigern unter dem Vorwand der „nationalen Sicherheit“ jede aussagekräftige Information über Staatstrojaner. Bis zum heutigen Tag weigert sich das BKA, öffentlich zuzugeben, NSO Pegasus gekauft zu haben. Es behauptet, sein Vertrag mit NSO erlaube dies nicht. NSO hat jedoch vor diesem Ausschuss erklärt, dass seine Kunden diese Informationen sehr wohl sagen öffentlich dürfen, sie müssen nur wollen.
Die deutsche Regierung verweigert diese Informationen sogar dem Deutschen Bundestag. Abgeordnete haben immer wieder wichtige Fragen gestellt, aber die Regierung verweigert die Antwort.
Um notwendige Geheimnisse zu schützen, könnte die Regierung einige wichtige Informationen schwärzen oder Dokumente als vertraulich oder geheim oder sogar streng geheim einstufen und nur Abgeordneten mit entsprechender Sicherheitsfreigabe zeigen. Aber selbst das verweigert sie.
Vor zwei Jahren kündigten Abgeordnete zweier Parteien an, die Regierung wegen dieser Informationen zu verklagen. Leider haben sie das nicht getan. Inzwischen sind sie Teil der Regierung.
Es bleibt also, wie überall, an der Zivilgesellschaft, an Aktivist:innen und Journalist:innen, für Aufklärung zu sorgen.
Als Journalist:innen nutzen wir Instrumente wie Pressegesetze und Informationsfreiheitsgesetze. Dies hat einen gewissen, aber begrenzten Erfolg.
Als wir aufgedeckt haben, dass das BKA 2013 FinFisher gekauft hat, haben wir den Vertrag angefordert. Das BKA verweigerte aussagekräftige Informationen, also verklagten wir sie – und haben gewonnen. Später stellten wir einen weiteren Antrag zur Aktualisierung dieses Vertrags. Wieder verweigerte das BKA aussagekräftige Informationen, also verklagten wir sie erneut – und wieder haben wir gewonnen.
Ja, wir müssen die Polizei verklagen, damit sie sich an das Gesetz hält.
Vor vier Monaten haben wir den Vertrag mit NSO für Pegasus beantragt. Das BKA verweigert erneut jegliche Auskunft. Der Streit dauert an, aber es sieht so aus, als müssten wir die Polizei erneut verklagen.
Aber selbst wenn wir gewinnen, bekommen wir meist nur das, was bereits öffentlich ist oder von geringer Relevanz. Diese Seite ist der Vertrag mit FinFisher, den uns die Polizei nach unserem Sieg vor Gericht gegeben hat. Wie sie sehen, sehen sie nichts.
Nachdem die Polizei ihren eigenen Staatstrojaner RCIS programmiert hatte, prüfte der deutsche Datenschutzbeauftragte das Produkt. Nach vier Anträgen und fünf Jahren des Wartens hat uns der Datenschutzbeauftragte diese Seite gegeben. Sie wird bis zum Jahr 2080 geschwärzt und geheim bleiben. Wahrscheinlich lebt von uns dann niemand mehr.
Viele andere Dokumente werden uns überhaupt nicht zur Verfügung gestellt. Ein paar Beispiele. Erstens: Die Polizei hat eine Studie über „Grundrechtsschonende Alternativen zur Quellen-TKÜ“ in Auftrag gegeben. Das ist superrelevant, aber das Dokument ist eingestuft und wird uns verweigert. Zweitens: Die Polizei hat NSO Pegasus analysiert. Aber dieser Bericht ist geheimer als geheim und wird allen verweigert. Drittens: Die Polizei hat ihre anderen Staatstrojaner extern prüfen lassen. Aber auch dieses Dokument ist geheim und wird uns verweigert.
Dilemma: Sicherheit gegen Sicherheit
Aufschlussreich ist, dass einer der Gründe für die Verweigerung dieses Berichts darin besteht – ich zitiere die Polizei -, dass „die Anbieter kommerzieller Hard- und Software in die Lage versetzt [würden], die von der Überwachungssoftware genutzten Angriffsvektoren (Schwachstellen etc.) zu schließen und den Einsatz der Software unter Umständen zu verhindern“.
Normalerweise versuchen sowohl kommerzielle Anbieter als auch staatliche Akteure, der Frage nach Zero-Day-Schwachstellen auszuweichen. Hier gibt die Polizei offen zu, dass sie von Zero-Day-Schwachstellen in kommerzieller Hard- und Software weiß, und anstatt die Hersteller zu informieren, damit sie diese Schwachstellen für alle schließen, hält sie sie offen und geheim.
Dies ist das grundlegende Sicherheitsdilemma des staatlichen Hackens. Um ein gewisses Maß an öffentlicher oder nationaler Sicherheit zu erlangen – und sei es nur ein Dutzend Drogendelikte – schafft staatliches Hacken immense Unsicherheit in der IT-Sicherheit. Um die iPhones von ein paar Dutzend mutmaßlichen Kriminellen zu hacken, halten Staaten und Unternehmen alle zwei Milliarden iPhones auf diesem Planeten unsicher und anfällig für Hackerangriffe durch jedermann.
Sicherheitslücken sind eine Gefahr für die nationale Sicherheit. Dieses Argument war lange Zeit theoretisch, aber jetzt haben wir ein Beispiel in der EU: Der spanische Staat hat Katalanen gehackt, und mit genau derselben Schwachstelle hat Marokko den spanischen Premierminister und die Verteidigungsministerin gehackt.
IT-Sicherheit ist binär. Niemand ist sicher, bis alle sicher sind.
Die Technologiebranche weiß das. Die EU-Agentur für Cybersicherheit weiß das. Und die deutsche Regierung weiß das auch. In ihrem Koalitionsvertrag hat sie letztes Jahr beschlossen: „Die Ausnutzung von Schwachstellen von IT-Systemen steht in einem hochproblematischen Spannungsverhältnis zur IT-Sicherheit und den Bürgerrechten. Der Staat wird daher keine Sicherheitslücken ankaufen oder offenhalten, sondern sich […] immer um die schnellstmögliche Schließung bemühen.“
Dies ist ein dringend notwendiger erster Schritt. Leider hat die Bundesregierung ihr Versprechen noch nicht umgesetzt. Aber dieser Ausschuss sollte nicht hinter der Bundesregierung zurückbleiben. Ihr Abschlussbericht sollte sowohl staatliche als auch private Akteure verpflichten, ausnahmslos alle Sicherheitslücken so schnell wie möglich zu schließen.
Fazit: Staatliches Hacken verbieten
Zusammengefasst: Staatliches Hacken hat grundlegende Probleme. Das ist überall so, auch in Deutschland.
Hätte die deutsche Polizei den Mut gehabt, heute hierher zu kommen, hätte sie behauptet, staatliches Hacken sei: notwendig, verhältnismäßig, gut kontrolliert und werde nur gegen Terror und schwerste Verbrechen eingesetzt. Alle diese Behauptungen sind falsch, und ich kann gerne weitere Fakten vorlegen, die das belegen.
Stattdessen stimme ich dem Europäischen Datenschutzbeauftragten zu, der sagt, staatliches Hacken birgt „beispiellose Risiken … nicht nur für die Grundrechte und -freiheiten des Einzelnen, sondern auch für die Demokratie und die Rechtsstaatlichkeit“.
Darüber hinaus ist staatliches Hacken auch eine Gefahr für die IT-Sicherheit, eine Gefahr für kritische Infrastrukturen, eine Gefahr für die öffentliche Sicherheit, eine Gefahr für die nationale Sicherheit und – wie das Hacken von EU-Institutionen gezeigt hat – eine Gefahr für die europäische Sicherheit.
Handeln Sie und bekämpfen Sie diese Gefahr.
Mit diesen Worten schließe ich mein Eingangsstatement.
Ich bin gerne bereit, weitere Themen wie deutsche Unternehmen oder mögliche Handlungsfelder in den Fragen und Antworten zu diskutieren.
Ich danke Ihnen für Ihre Aufmerksamkeit und freue mich auf Ihre Fragen.
Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.
0 Commentaires