http://www.faz.net/-gqz-9b2it

IT-Sicherheitspolitik : So viel Mut zur Lücke ist gefährlich

  • -Aktualisiert am

Mehr als ein Dutzend parlamentarische Anfragen wie die der FDP wurden in den letzten Monaten mit Verschlusssache-Hinweisen abgekanzelt. Das parlamentarische Fragerecht ist im Cyber-Bereich auf absurde Weise ausgehöhlt. Bild: dpa

Die IT-Sicherheitspolitik der Bundesregierung steckt voller blinder Flecken. Dabei muss man kein Fachmann sein, um zu verstehen, dass unsere innere Sicherheit davon abhängt.

          Die deutsche Sicherheitspolitik hat einen blinden Fleck, leider einen nicht unbeträchtlichen. Denn zur inneren Sicherheit gehört längst auch die IT-Sicherheit. Ohne abgesicherte IT-Systeme funktioniert so gut wie nichts mehr, jede einzelne Wirtschaftsbranche in Deutschland verlässt sich darauf, ebenso die Verwaltung und Millionen Privatanwender. Nach mehreren umfänglichen und erfolgreichen IT-Angriffen gegen Bundestag und Regierungsnetze in den letzten Jahren sollte sich diese Erkenntnis eigentlich herumgesprochen haben. Aber wie das so ist mit peinlichen IT-Vorfällen: Schon Tage nach der Berichterstattung geraten sie in Vergessenheit.

          Einige Volksvertreter im Bundestag plagte jedoch der Wissensdurst: Was die Bundesregierung nach dem letzten Regierungshack, den die Öffentlichkeit im März aus der Presse erfuhr, eigentlich zu tun gedenke, fragten FDP-Bundestagsabgeordnete in einer parlamentarischen Anfrage. Und welche konkreten Schutzmaßnahmen seither ergriffen wurden? Alles geheim und Verschlusssache, antwortete die Bundesregierung. Man werde das dem Bundestag noch übermitteln, aber nur abgestuft. Dann dürfen eingeweihte Abgeordnete nicht darüber reden, und die Öffentlichkeit darf nicht erfahren, was gegen IT-Angriffe unternommen wird.

          Man macht es sich behaglich in diesem intransparenten Dickicht aus Spionage und IT-Angriffen, jedes unangenehme Nachfragen kann mit dem Siegel der Geheimhaltung abgehakt werden. Mehr als ein Dutzend parlamentarische Anfragen wie die der FDP wurden in den letzten Monaten mit Verschlusssache-Hinweisen abgekanzelt und blieben in der Sache unbeantwortet. Das parlamentarische Fragerecht ist im Cyber-Bereich auf absurde Weise ausgehöhlt.

          Zu geheim, um offen darüber zu reden

          Was der gemeine Bürger zuweilen erfährt, sind eher zufällige Einblicke darin, wie sich deutsche Behörden selbst als IT-Angreifer zu betätigen planen. Denn von Geheimdiensten und Polizeien sollen künftig IT-Angriffe ausgehen, neuerdings sogar von der Bundeswehr. Das war der Wille der vergangenen Regierung, den sie auch durch eine bisher ungekannte Ausweitung der Staatstrojaner-Befugnisse festschrieb. Auch hier ist ein großer Bereich als geheim deklariert, aber ab und an erklären sich Vertreter der Ministerien bei Konferenzen.

          Eine solche Konferenz fand letzte Woche in Berlin statt: „Cyber-Sicherheitspolitik in Deutschland“, organisiert von einer „Denkfabrik“. Dort sprachen der Staatssekretär im Bundesheimatministerium, Klaus Vitt, sowie Andreas Könen, der dort die Abteilung Cyber- und IT-Sicherheit leitet. Es gibt von den Aussagen Vitts und Könens keine Aufzeichnungen oder Schriftliches, man muss sich auf die Ohrenzeugen verlassen. Das Ganze ist wohl zu geheim, um offen darüber zu reden.

          Vitt kündigte dem Vernehmen nach an, dass man derzeit die rechtlichen Bedingungen prüfe, unter denen aktive IT-Angriffe stattfinden können. Man wolle aber möglichst unterhalb der Schwelle von militärischen Operationen bleiben, beruhigte er noch. Könen nannte konkrete Zahlen: Bei fünf Prozent der Einsätze staatlicher Angriffssoftware könnten Zero-Day-Exploits gekauft werden, um etwa heimliche Überwachung durchzuführen.

          Sicherheitslücken, um eigene Spionagesoftware zu nutzen

          Solche Zero-Day-Exploits sind Angriffswerkzeuge, deren zugrundeliegende IT-Sicherheitslücken bisher unbekannt sind, auch für die Hersteller der betroffenen Software. Es besteht für die Angegriffenen nur eine geringe Chance, sich dagegen zu wehren, da der Hersteller die Lücke noch nicht kennt und daher keine Abhilfe für seine Kunden anbieten kann.

          Im Innenministerium sieht man die IT-Sicherheit offenbar flexibel. Wenn es den Geheimdiensten, dem BKA oder gar der Bundeswehr nutzt, sollen eben Sicherheitslücken offenbleiben, um eigene Spionagesoftware zum Einsatz bringen zu können. Zwar habe Könen nach Aussagen von Ohrenzeugen betont, „erste Aufgabe des Staates“ sei, Sicherheitslücken zu detektieren und zu beseitigen – aber eben nicht alle. Diejenigen, die man selber eine Weile nutzen möchte, bleiben doch offen. Für das Innenministerium sei dies aber Zukunftsmusik, denn man suche noch nach einem „Prozess“ im Umgang mit der Meldung von Sicherheitslücken an die Betroffenen. Er sei gerade erst „in Gang gesetzt“ worden – natürlich alles geheim.

          Wenn es trotz allem technisch nicht klappen sollte mit dem Staatstrojaner, dann haben die deutschen Justizminister schon eine Lösung erdacht: Wenn das Geld für den teuren Zero-Day-Exploit nicht reicht oder aber das gute Stück nicht gleich verramscht werden darf, dann soll man dort einbrechen, wo der Computer steht, um die Spionagesoftware direkt einzuspielen.

          Auf der Justizministerkonferenz letzte Woche kam erstmals dieses sogenannte „Betretungsrecht“ auf die Agenda. Ja, Sie haben richtig gelesen: Die Justizminister Deutschlands diskutieren ernsthaft, ob sie eine gesetzliche Erlaubnis schaffen, für das Aufbringen eines Staatstrojaners einbrechen zu dürfen.

          Wann wurde das eigentlich normal, dass sich deutsche Politiker so sehr auf das Ermöglichen von Staatstrojanern versteifen, dass ihnen jede Verhältnismäßigkeit abhandenkam? Und ohne rot zu werden will man sich dafür bei einer Branche bedienen, die Marktplatz der Diktatoren dieser Welt war und sie noch heute bedient.

          Wie verzerrt muss die Wahrnehmung sein, wenn man ernsthaft glaubt, man könne die eigene Spionagesoftware besser sichern als die NSA oder die CIA, deren Waffenschränke sperrangelweit aufgerissen wurden. Die Digitalwaffen wurden bereits in Teilen auf die Menschheit losgelassen und verursachten Milliardenschäden. Haben das alle kollektiv vergessen?

          Diese widersprüchliche Sicherheitspolitik ist so augenfällig, dass sie auch technisch unbedarften Politikern einleuchten sollte. Man muss kein Fachmann für IT-Sicherheit sein, um zu verstehen, dass unsere innere Sicherheit davon abhängt, Sicherheitslücken umgehend schließen zu lassen. Wenn wir nicht konsequent in die Abwehr von digitalen Angriffen jeder Couleur investieren und jede Sicherheitslücke, von der wir wissen, umgehend den Betroffenen melden, handeln wir uns ein selbstverschuldetes drastisches Sicherheitsproblem ein.

          Weitere Themen

          Topmeldungen

          Dialog mit Bürgern in Chemnitz : Der Frust und die Fragen

          Die Chemnitzer Bürgermeisterin sucht nach der Tötung eines Deutschen und den Krawallen in der Stadt den Dialog mit den Bürgern. Doch sie und Sachsens Innenminister Wöller bekommen vor allem eines zu spüren: Unmut.

          Maaßens heikle Entscheidungen : Kein Jahr ohne Skandal

          Heute könnte Hans-Georg Maaßen als Verfassungsschutzpräsident entlassen werden. Die Kritik an Maaßen war nach den Vorfällen in Chemnitz nicht abgerissen. Doch das ist nur seine jüngste problematische Entscheidung. Ein Rückblick.

          Newsletter

          Immer auf dem Laufenden Sie haben Post! Abonnieren Sie unsere FAZ.NET-Newsletter und wir liefern die wichtigsten Nachrichten direkt in Ihre Mailbox. Es ist ein Fehler aufgetreten. Bitte versuchen Sie es erneut.
          Vielen Dank für Ihr Interesse an den F.A.Z.-Newslettern. Sie erhalten in wenigen Minuten eine E-Mail, um Ihre Newsletterbestellung zu bestätigen.