Wie überrascht sind Sie über den mutmaßlichen Trojanerangriff auf die Bundesregierung?

Felix von Leitner: Überhaupt nicht. Trojaner wie „Regin“ sind für alle Leute, die Computer benutzen, ein Problem. Technisch ist „Regin“ gar nicht so interessant, zumindest nicht, wie er auf andere Rechner gelangt. Das passiert einfach, indem man irgendwo draufklickt. Der Trojaner Stuxnet zum Beispiel war damals so gefährlich, weil er relativ neue Lücken und Bugs ausgenutzt hat; er konnte Rechner ohne die Mithilfe des Nutzers infiltrieren. „Regin“ gelangt auf ganz altmodische Art auf den Computer, etwa indem man einen verseuchten USB-Stick benutzt. Bei „Regin“ liegt der Fokus darauf, sich auf dem System zu verstecken, und diejenigen, die herausfinden wollen, was vorgeht, zu täuschen.

Wofür wird „Regin“ eingesetzt?

Das ist nicht ganz klar, aber alle Trojaner stellen eine Hintertür dar, mit welcher der Angreifer in die Lage versetzt werden soll, das zu tun, was ihm beliebt: Dateien kopieren, verschieben, Screenshots machen, und so weiter.

Haben Sie eine Vermutung, wer hinter dem Angriff auf die Bundesregierung stecken könnte? Könnte es sich um angelsächsische Geheimdienste handeln?

Das ist immer schwer zu sagen. Es geht ja um digitale Spuren, und die könnten zum Beispiel auch Russen hinterlegt haben, damit es so aussieht, als seien es die Amerikaner gewesen. Das ist auch nicht der Punkt. Denn jeder Geheimdienst setzt Trojaner ein, und jeder Geheimdienst versucht, uns zu hacken.

Worum geht es dann?

Das spannende im Fall von „Regin“ ist, dass es ihn schon so lange gibt, und die Antivirus-Hersteller nichts gesagt haben. Wir wissen, dass die Sicherheitsunternehmen Kaspersky und Symantec schon vor längerer Zeit auf „Regin“ gestoßen sind. Natürlich hat nicht jeder Antivirushersteller die Ressourcen, jede Version eines Trojaners genau zu analysieren, davon gibt es Tausende. Aber es hat Jahre gedauert, bis sich jemand dazu geäußert hat. Es gab diese Schere im Kopf bei den Antivirus-Leuten. Sie dachten, wir können darüber nicht publizieren, denn es könnte ja unsere Regierung sein, die mit diesem Trojaner gegen Terroristen vorgeht. Das ist wirklich krass, denn es gibt ja nicht nur Antivirenhersteller in den Vereinigten Staaten, sondern auch in Großbritannien, Deutschland oder Russland. Und das ist die politische Dimension der ganzen Sache.

Hat die Wirtschaft hier versagt?

Eindeutig. Der Wirtschaft geht es nicht vordringlich darum, uns zu schützen, sondern Geld zu verdienen. Von daher sollte es nicht den Virenherstellern überlassen sein, Trojaner aufzudecken, sondern dem Staat. Wir haben die Sicherheit der Bürger ja auch der Polizei übertragen und nicht privaten Sicherheitsfirmen. Wollen wir die Verteidigung im digitalen Raum wirklich auf die Industrie abwälzen? Und in gewisser Weise überlassen wir ihr ja auch die Offensive: Gerade erst wurde das Budget des Bundesnachrichtendienstes erhöht, um auf dem Schwarzmarkt Zero-Day-Sicherheitslücken aufzukaufen. Mit seiner erhöhten Nachfrage schafft er auch ein erhöhtes Angebot.

Was sollte die Gesellschaft tun?

Ich fordere, dass Deutschland aufhört, sich an diesem Spiel zu beteiligen. Wir müssen den Markt für Zero-Day-Sicherheitslücken abschaffen. Denn natürlich steigt der Anreiz, Schwachstellen zu finden, wenn Geheimdienste Unsummen für sie ausgeben. So entsteht nicht nur ein Markt für Trojaner wie „Regin“, sondern auch zu ihrer Verteidigung, und beide Märkte bilden eine Symbiose. Der einzige Ausweg ist, dass die Bundesregierung aufhört, Zero-Day-Sicherheitslücken über den BND zu kaufen. Irgendwer muss damit anfangen. Das hätte Signalwirkung und würde den Markt auf lange Sicht implodieren lassen.

Aber die Geheimdienste Chinas, Russlands und der Vereinigten Staaten würden doch nicht damit aufhören, Sicherheitslücken zu kaufen.

Deswegen sollten wir gleichzeitig Sorge tragen, dass es weniger Schwachstellen im Angebot gibt. Im Moment sind Sicherheitslücken eine nachwachsende Ressource. Es ist nicht so, dass neuer Code keine Lücken mehr hat. Da sollte man ansetzen, und den Leuten in der Ausbildung besser beibringen, wie sie so programmieren können, dass keine Bugs entstehen. Nehmen Sie zum Beispiel Microsoft: Dort hat man so viel Geld für die Schließung von Sicherheitslücken ausgegeben, dass für gravierende Schwachstellen in Windows mittlerweile siebenstellige Summen gezahlt werden. Das ist auch ein rechtliches Problem: Denn momentan hat kein Entwickler einen Nachteil, wenn er fehlerhafte Software ausliefert. Wenn man ein Auto kauft, dass nicht fährt, könnte man den Hersteller sofort verklagen. Wenn irgendein Programm nicht funktioniert, wartet man, bis jemand im Internet zur Reparatur einen Patch hochgeladen hat. Solange das so ist, wird es auch Zero-Day-Sicherheitslücken geben.

Hängt das nicht auch damit zusammen, dass einige Menschen sehr gut an ihnen verdienen?

Ja, deshalb sollte der Staat keine zusätzlichen Anreize schaffen. Es ist wie im normalen Leben: Wir haben als Gesellschaft verhindert, dass Leute Geld damit verdienen können, dass sie andere ärgern. Aber online ist das ja noch ein valides Geschäftsmodell. Jemand, der Malware programmiert, sollte mit Gefängnisstrafen rechnen müssen, oder jedenfalls irgendwelchen Konsequenzen. Aber Schadprogramme sind wie Streubomben: Im Moment kann man noch prima davon leben.

 Das Gespräch führte Morten Freidel.