Gastbeitrag zu CIA-Hackern Warum die Wikileaks-Enthüllungen für Deutschland wichtig sind

Mit den Wikileaks-Enthüllungen ist eine Debatte über die Hacker-Praktiken des US-Geheimdienstes CIA entbrannt. Ebenso kontrovers müssen wir auch das Verhalten deutscher Geheimdienste diskutieren. Ein Gastbeitrag.

  • Teilen per:
  • Teilen per:
Laut Dokumenten, die das Online-Portal Wikileaks veröffentlicht hat, soll der US-Auslandsgeheimdienst CIA bewusst Sicherheitslücken in Betriebssystemen und Software-Anwendungen in Kauf nehmen, um so potentiellen Hackern und Kriminellen das Handwerk zu legen. Quelle: AP

Berlin Die aktuellen Veröffentlichungen von Wikileaks belegen, dass der US-Auslandsgeheimdienst CIA Schwachstellen in den weltweit gängigsten Betriebssystemen und Software-Anwendungen sammelt, um in fremde Computer oder Netzwerke einzudringen. Dies ist hoch umstritten, weil dadurch zwar die Überwachung von potentiell gefährlichen Personen erleichtert wird, die Sicherheitslücken jedoch nicht von den Herstellern geschlossen werden können. Dies können Kriminellen und ausländische Diensten ausnutzen, um kritischen Infrastrukturen anzugreifen und in politischen Institutionen einzudringen.

Die Reaktionen auf die Wikileaks-Veröffentlichungen gehen in alle Richtungen. Diskutiert wird derzeit über eine mögliche Beteiligung Russlands mit dem Ziel, die US-Geheimdienste zu schwächen. Andere Beobachter beschäftigen sich damit, ob das Verhalten der CIA falsch ist oder gegen geltende Gesetze verstößt. In Deutschland sollten wir uns allerdings vor allem eine Frage stellen: Arbeiten unsere Geheimdienste und Strafverfolgungsbehörden ähnlich? Die Antwort lautet: Wir wissen es nicht genau, es ist aber wahrscheinlich.

Beginnen wir mit dem, was wir wissen: 2015 haben IT-Experten des Bundeskriminalamtes einem Programmierfehler im Kurznachrichtendienst „Telegram“ ausgenutzt, um den Nachrichtenaustausch zwischen Mitgliedern der Gruppe „Oldschool Society“ zu belauschen. Aus demselben Grund behält die CIA Informationen über Schwachstellen in IT-Produkten für sich: um sie auszunutzen und damit Personen gezielt auszuspähen.

2014 wurde bekannt, dass auch der Bundesnachrichtendienst Informationen über Schwachstellen in IT-Systemen von privaten IT-Sicherheitsfirmen kaufen wollte und hierfür mehrere Millionen Euro bis 2020 eingeplant hatte. Hochwertige Sicherheitslücken können sehr teuer sein, wie der Fall des Attentäters von San Bernardino bewies. Hier musste das FBI unbestätigten Angaben zufolge eine Million Euro für das Entschlüsseln des Smartphones aufwenden – ohne jedoch die Details zu der verwendeten Schwachstelle zu erfahren. Dies mag ein Grund dafür sein, warum der BND im letzten Jahr laut einem Bericht von Netzpolitik.org sein Budget zum Knacken von sicheren Kurznachrichtendiensten wie WhatsApp auf 150 Millionen Euro aufstockte. Und auch im Haushalt für 2017 ist eine weitere Erhöhung der Finanzmittel geplant.

Anfang dieses Jahres hat das Bundesministerium des Innern die Schaffung der Zentralen Stelle für Informationstechnik im Sicherheitsbereich – kurz ZITiS – bekannt gegeben. Diese soll Werkzeuge zur Unterstützung der Sicherheitsbehörden und des Verfassungsschutzes erstellen und erwerben sowie Expertise und Training für diese bereitstellen. Das Produktspektrum umfasst dabei unter anderem Telekommunikationsüberwachung und das Brechen bzw. Umgehen von Verschlüsselung. Das ist das Gleiche, das aus dem Wikileaks-Fundus über die CIA hervorgeht: Beschaffung und Ausnutzung von Schwachstellen zum gezielten Ausspähen von Personen.

Ob das in Deutschland durch Bürger und Wirtschaft gewollt oder mit dem Rechtsstaat vereinbar ist, steht auf einem anderen Blatt. Alle, die sich mit IT-Sicherheit beschäftigen, wissen jedoch, dass die Geheimhaltung von Sicherheitslücken insgesamt dazu führt, dass die IT-Systeme von Bürgern und Firmen, aber auch politischen Institutionen wie dem Bundestag und kritische Infrastrukturen wie Stromversorger, verwundbar bleiben. Sie sind verwundbar durch Schwachstellen, von denen der Staat weiß und sie bewusst nicht an den Hersteller der IT-Systeme weitergibt, damit dieser sie reparieren kann. Die einen bezeichnen dieses Verhalten als grob fahrlässig. Die anderen sehen darin eine Notwendigkeit, Kriminelle zu verfolgen und Terrorismus abzuwehren.

Die USA haben einen Versuch unternommen, wie mit dem Wissen über Schwachstellen verantwortungsvoll umgegangen werden kann. Der sogenannte Vulnerability Equities Process soll dort dazu führen, dass Schwachstellen bewertet werden und ein Großteil dem Hersteller mitgeteilt wird, damit er sie schließen kann. Dass dieser Prozess jedoch hochgradig dysfunktional ist, belegen nun die Veröffentlichungen der letzten Tage.

In Deutschland scheut man sich noch davor, das Problem überhaupt anzugehen. Die Bundesregierung hat bisher noch keine Vorschläge präsentiert, wie der Staat mit diesem Dilemma umgehen kann. Wir sollten daher den CIA-Leak dazu nutzen um zu diskutieren, wie wir aus den Fehlern der US-Amerikaner lernen können.

Dr. Sven Herpig verantwortet den Bereich internationale Cyber-Sicherheitspolitik beim Think Tank Stiftung Neue Verantwortung in Berlin.

© Handelsblatt GmbH – Alle Rechte vorbehalten. Nutzungsrechte erwerben?
Zur Startseite
-0%1%2%3%4%5%6%7%8%9%10%11%12%13%14%15%16%17%18%19%20%21%22%23%24%25%26%27%28%29%30%31%32%33%34%35%36%37%38%39%40%41%42%43%44%45%46%47%48%49%50%51%52%53%54%55%56%57%58%59%60%61%62%63%64%65%66%67%68%69%70%71%72%73%74%75%76%77%78%79%80%81%82%83%84%85%86%87%88%89%90%91%92%93%94%95%96%97%98%99%100%