Cybersecurity: Wie der Staat das Vertrauen in IT-Sicherheit Made in Germany verspielt

Kai Figge ist Gründer und Vorstand von G DATA CyberDefense.

Innerhalb weniger Tage verlagerte sich das öffentliche und geschäftliche Leben im März 2020 in die eigenen vier Wände. Private Kontakte wurden von zu Hause gepflegt – über Telefonate und Videocalls. Millionen von Arbeitnehmerinnen und Arbeitnehmer arbeiteten auf einmal „Remote“. Vor 20 Jahren wäre all das nicht möglich gewesen – die Technik war lange nicht so weit wie heute, auch wenn es bereits erste Webcams und private Internetanschlüsse gab. Eine absolute Neuheit von der damaligen CeBIT: ein Notebook mit 650 Mhz-Prozessor. Es kostete damals rund 10.000 Mark.

Die Digitalisierung des Landes hat uns im März und den folgenden Monaten davor bewahrt, noch deutlich drastischere Auswirkungen der Coronapandemie zu spüren. Unternehmen profitierten davon, denn sie konnten ihr Geschäft trotz Anstrengungen aus dem dem Homeoffice heraus weiter fortführen – der Geschäftsbetrieb wurde aufrechterhalten. 

Wir als Gesellschaft haben begonnen, unser Verhalten zu hinterfragen. Schnell für ein einstündiges Meeting mit dem Flieger nach München reisen? Die Bereitschaft zu solchen Geschäftsreisen dürfte, auch im Hinblick auf die Klimakrise, künftig deutlich geringer sein. Das zeigt: Die Krise kann auch eine Chance für positiven Wandel sein.

Staatstrojaner untergraben das Vertrauen

Daher ist es wenig verständlich, dass die Bundesregierung derzeit mit verschiedenen Maßnahmen das Vertrauen in digitale Technologien untergräbt – mit dem erweiterten Einsatz von Staatstrojanern und der geplanten Einführung von Hintertüren in der Verschlüsselung von Messengern wie WhatsApp.

So soll künftig etwa die Quellen-Telekommunikationsüberwachung (TKÜ) mittels sogenannter Staatstrojaner ausgeweitet werden. Künftig sollen alle deutschen Geheimdienste – der Bundesnachrichtendienst, der Militärische Abschirmdienst sowie das Bundesamt für Verfassungsschutz -Schadsoftware einsetzen dürfen, um Verdächtige zu beschatten. Damit fügt die Regierung dem IT-Standort Deutschland großen Schaden zu.

Im Rahmen der Europäischen Union ist die Bundesregierung zudem an Diskussionen über die Sicherheit von Verschlüsselung beteiligt. Geheimdienste sollen künftig auf verschlüsselte Kommunikationsinhalte zurückgreifen können. Umgesetzt werden soll das durch eine Kooperation mit den Herstellern populärer Tools wie WhatsApp, indem gezielt Fehler in die Software eingebaut werden. Trotz vielfältiger Kritik von Sicherheitsforschern und Bürgerrechtlern könnten die entsprechenden Resolutionen noch im Dezember von den EU-Innenministern beschlossen werden. Damit wären diese zwar noch nicht Gesetz – doch es wäre ein fataler Fehler, wenn die Bundesregierung hier zustimmen würde.

Wir haben in Deutschland kein Silicon Valley, aber wir genießen Vertrauen

Denn ein solcher weitverbreiteter Einsatz von Staatstrojanern oder die gezielte Schwächung kryptographischer Verfahren hätte gravierende Folgen, insbesondere für den IT-Standort Deutschland. Das Siegel „IT-Sicherheit Made in Germany“ steht nicht nur für Qualität, sondern auch für Vertrauen. Vertrauen in den Rechtsstaat. Vertrauen in hohe Datenschutzstandards. Und Vertrauen in eine verantwortungsvolle Industrie. All das steht auf dem Spiel. Im internationalen Wettbewerb ist dies einer der zentralen Standortvorteile Deutschlands. Wir haben kein Silicon Valley, aber wir genießen Vertrauen.

Aus diesem Grund ist eines für uns vollkommen klar: Wir behandeln Staatstrojaner wie jede andere Schadsoftware – egal, wer der Autor ist. Pro Tag verarbeiten wir bei G DATA mehr als 600.000 verdächtige Dateien. Diese werden durch Verhaltensanalyse und andere automatisierte Verfahren analysiert – und weder unsere Algorithmen noch unsere Analysten haben einen blinden Fleck. Im Übrigen wurden wir auch noch nie von staatlichen Organisationen gebeten, bestimmte Malware einfach „durchzuwinken“. Und selbst wenn das jemals vorkommen würde: Unsere Haltung zu diesem Thema wird sich niemals ändern – bei uns gibt es keine Hintertüren.

Die Argumente gegen den Staatstrojaner sind bekannt, offenbar müssen sie aber immer wieder wiederholt werden: Wer Schadsoftware auf Geräte aufspielen will, der muss in der Regel bekannte Schwachstellen in Software nutzen. Probleme also, die ganz normale Nutzer beim alltäglichen Gebrauch ihrer IT-Geräte schädigen könnten.

Im Normalfall würden diese Schwachstellen dem entsprechenden Hersteller gemeldet und der könnte sie mit einem Update schließen. Dass solche auf Vorrat gesammelten Schwachstellen zu gravierenden, weltweiten Problemen und wirtschaftlichen Ausfällen führen können, zeigt der Ausbruch von WannaCry im Jahr 2017. Weltweit wurden hier Rechner verschlüsselt, weil Schwachstellen in einem Microsoft-Dateidienst über Jahre von den Behörden geheim gehalten wurden.

Ermittlungsbehörden sind auch im Digitalen nicht blind

Auch ein zweites, gern genutztes Argument, schlägt fehl. Die These vom „going dark“, also dem digitalen Blackout der Ermittler. Denn noch nie konnten Ermittler auf so umfangreiche Datenbestände zurückgreifen, wie es aktuell der Fall ist. Ermittlungen im digitalen Raum sind sicher anspruchsvoll und bringen eine ganze Reihe neuer Fragestellungen mit sich:  Welche Daten müssen internationale Unternehmen einer deutschen Polizeibehörde zur Verfügung stellen? Wie kann ein solcher Datenaustausch an rechtsstaatlichen Standards gemessen werden? Und was ist mit smarten Geräten im höchstpersönlichen Lebensbereich – dürfen Aufnahmen eines smarten Lautsprechers im Schlafzimmer gegen die Besitzer verwendet werden? All diese Fragen müssen beantwortet werden. Sie zeigen aber, dass Polizeiarbeit auch im Digitalen nicht blind ist.

All das zeigt: Die erneute Diskussion über den Einsatz von Staatstrojanern und die Schwächung von Verschlüsselungsalgorithmen kommt zur absoluten Unzeit. Gerade in der Pandemie müssen sich Bürger und Unternehmen darauf verlassen können, dass ihre digitale Kommunikation sicher und privat ist. Denn sonst verspielt die Regierung Vertrauen. Dieses ist aber nötiger denn je.

Mehr zum Thema: Klinken stehen immer mehr im Fokus von Cyberkriminellen. Ein neues Gesetz soll das jetzt ändern – und taugt als Vorbild für gut gemachte Digitalisierung weit über die Gesundheitsbranche hinaus.