Abo
  • Services:

Geheime Dokumente: Noch keine Zero-Days für Bundestrojaner genutzt

Die Nutzung unbekannter Sicherheitslücken für die staatliche Spähsoftware ist stark umstritten. Zwar sollen bislang noch keine Zero-Days eingesetzt worden sein, doch ausgeschlossen wird dies weiterhin nicht.

Artikel veröffentlicht am ,
Verschlüsselte Nachrichten wie bei Whatsapp stellen Ermittler vor große Probleme.
Verschlüsselte Nachrichten wie bei Whatsapp stellen Ermittler vor große Probleme. (Bild: Alexander Merz/Golem.de)

Für die Entwicklung staatlicher Überwachungssoftware sollen bislang noch keine unbekannten Sicherheitslücken genutzt worden sein. Das geht aus bislang geheim gehaltenen Dokumenten hervor, die das Portal Netzpolitik.org am Dienstag veröffentlichte. Auf eine Anfrage der Grünen-Bundestagsfraktion, ob für die sogenannte Quellen-Telekommunikationsüberwachung (Quellen-TKÜ) durch das Bundeskriminalamt (BKA) bereits Zero-Day-Exploits eingesetzt worden seien, antwortete das zuständige Innenministerium: "Das BKA hat in keinem der o. g. Fälle sogenannte Zero-Day-Sicherheitslücken ausgenutzt." Ausgeschlossen für die Zukunft wird das jedoch nicht.

Stellenmarkt
  1. Berliner Beauftragte für Datenschutz und Informationsfreiheit, Berlin
  2. Hochland Natec GmbH, Heimenkirch

Die sieben parlamentarischen Anfragen von Grünen, Linke und FDP stammen aus den Jahren 2017 und 2018. Teile der Antworten waren mit der niedrigsten Geheimhaltungsstufe "Verschlusssache - Nur für den Dienstgebrauch" eingestuft worden und wurden von Netzpolitik.org nun erstmals veröffentlicht. Allerdings waren die Inhalte schon vorher bekannt. Dies betrifft beispielsweise die Entwicklung eines Smartphone-Trojaners durch das BKA. Die Entwicklung der Remote Communication Interception Software (RCIS) soll sechs Millionen Euro gekostet haben.

Nutzung von Zero-Days noch zu prüfen

Die Nutzung von Zero-Day-Exploits durch staatliche Ermittler ist stark umstritten. Sicherheitsexperten warnen davor, dass durch das Horten der Lücken die Sicherheit von Nutzern unnötig gefährdet und der Schwarzmarkthandel mit Lücken befördert werde. Ausschließen will die Regierung ein solches Vorgehen jedoch nicht. So heißt es in einer Antwort: "Ob und inwieweit im Spannungsfeld technischer Erfordernisse, rechtlicher Vorgaben, sicherheits- und rechtspolitischer Erwägungen sowie taktischer Einsatzrahmenbedingungen zukünftig eine Nutzung sog. 'Zero-Day-Exploits' für die Durchführung von Maßnahmen der Quellen-TKÜ und Online-Durchsuchung durch Sicherheitsbehörden in Betracht kommt, ist durch die zuständigen Stellen der Bundesregierung in Abstimmung mit den zu beteiligenden nationalen und ggf. internationalen Stellen und Gremien zu prüfen."

Eine solche Stelle ist unter anderem die neue Zentrale Stelle für Informationstechnik im Sicherheitsbereich (Zitis). Deren Chef Wilfried Karl will die Nutzung von Zero-Days nicht prinzipiell ausschließen. "Natürlich gibt es da ein Spannungsfeld. Und deshalb brauchen wir einen Prozess innerhalb der Behörden, wie wir mit Sicherheitslücken in Software verantwortungsvoll umgehen", sagte Karl der Tageszeitung Welt. Dazu müssten sich mehrere Behörden abstimmen. Ein solches Verfahren zu entwickeln, sei Aufgabe auf ministerieller Ebene.

Zitis sucht händeringend Mitarbeiter

Schwerpunkte der neuen Behörde sieht der frühere Abteilungsleiter des Bundesnachrichtendienstes auf vier Gebieten: "Digitale Forensik, zum Beispiel um das Knacken von verschlüsselten Festplatten. TKÜ-Technik, das bedeutet etwa verschlüsselte Chats überwachen zu können. Krypto-Analyse, also die Erforschung von Verschlüsselungstechnologien. Und Big Data." Dabei will Zitis nicht nur selbst entwickeln, sondern notfalls auch kommerzielle Produkte einkaufen. "Wir wollen kein Beschaffungsamt sein. Aber solange wir nicht über ausreichend Personal verfügen, werden wir uns selbstverständlich auch nach kommerziellen Produkten umschauen müssen. Das bedeutet aber nicht, dass wir Software von dubiosen Händlern auf dem 'Schwarzmarkt' irgendwo im Darknet einkaufen", sagte Karl.

Der Zitis-Chef räumte ein, dass es für seine Behörde ebenso schwierig wie für andere Behörden sei, qualifiziertes IT-Personal zu finden. Bislang seien erst 60 von geplanten 400 Mitarbeitern eingestellt worden. Ursprünglich sollte die Behörde bis Ende 2017 bereits 120 Mitarbeiter haben.

Geht es nach dem Willen der Regierung, soll es künftig noch deutlich mehr Anwendungen für die Staatstrojaner geben. Zwar hatten Union und SPD vor einem Jahr den Einsatz der Quellen-TKÜ und Online-Durchsuchung schon stark ausgeweitet. Doch das reicht offenbar noch nicht. Einem Bericht der Nachrichtenagentur dpa zufolge hält das Bundesinnenministerium eine weitere Ausweitung der Befugnisse für überfällig. Staatssekretär Hans-Georg Engelke sagte demnach am Dienstag auf einem "Kongress für wehrhafte Demokratie" in Berlin: "Es kann nicht sein, dass wir immer tauber und blinder werden."

Regierung will Einsatz für Gefahrenabwehr

Das Ministerium rechne allerdings gesellschaftlich und politisch mit Gegenwind. Engelke räumte ein: "Das wird noch einmal eine richtig dicke Diskussion geben." Er sagte: "Wenn Online-Durchsuchungen zur Strafverfolgung zulässig sind, dann müssen sie eigentlich für Gefahrenabwehr auch zulässig sein." Der Vizepräsident des Bundeskriminalamtes (BKA), Peter Henzler, erklärte, Rauschgifthandel finde heute größtenteils nicht am Bahnhof oder in der Imbissbude statt, sondern im Darknet und "wird über Paketdienste abgewickelt".

Teilnehmer der Veranstaltung forderten außerdem eine Angleichung der aktuell sehr unterschiedlichen Regelungen der Bundesländer auf vier Gebieten: Telekommunikations-Überwachung, Online-Durchsuchung, Auskunft über die Nutzerdaten von Kommunikations-Dienstleistungen und die heimliche Überwachung von Telefonaten über das Internet.

Musterpolizeigesetz für Staatstrojaner gefordert

Die weitestgehenden Befugnisse haben die Sicherheitsbehörden aktuell in Bayern und Rheinland-Pfalz. Der hessische Landtag hatte in der vergangenen Woche beschlossen, dass die Polizei Online-Durchsuchung und Quellen-Telekommunikationsüberwachung auch zur Gefahrenabwehr nutzen darf. "Wir haben in Deutschland Zonen unterschiedlicher Sicherheit", kritisierte der CDU-Innenpolitiker Armin Schuster. Ein "Musterpolizeigesetz" wäre deshalb "goldwert".



Anzeige
Top-Angebote
  1. 99,99€
  2. 599,90€ - 10% mit Gutscheincode PAKET10 = 539,91€
  3. (u. a. Asus Prime X370 Pro Mainboard 89,90€, Hisense H55NEC5205 TV 429€)
  4. (Tagesdeals und Blitzangebote)

bombinho 28. Jun 2018

Oha, Du erstaunst mich. Das sind durchaus sehr sinnvolle Argumente. Quasi die Simulation...

bombinho 28. Jun 2018

Vorsicht,, Fruehr war alles besser, sogar die Vergangenheit. So romantisch Erinnerungen...


Folgen Sie uns
       


Intel NUC7 June Canyon - Test

Wir mögen Intels NUC7: Er hat volle PC-Funktionalität in kleinem Formfaktor zu einem niedrigen Preis.

Intel NUC7 June Canyon - Test Video aufrufen
Coachingbuch: Metapher mit Mängeln
Coachingbuch
Metapher mit Mängeln

Der Persönlichkeitscoach Thomas Hohensee plädiert in seinem neuen Buch dafür, problematische Kindheitsmuster zu behandeln wie schadhafte Programme auf einem Rechner: mit Reset, Updates und Neustart. Ein origineller Ansatz - aber hält er dem Thema stand?
Von Cornelia Birr

  1. Relayr Rückstandsglaube als Startup-Vorteil
  2. Liberty Global Ericsson übernimmt Netzwerkbetrieb bei Unitymedia
  3. Bundeskartellamt Probleme bei Übernahme von Unitymedia durch Vodafone

KEF LSX angehört: Neue Streaming-Lautsprecher mit voluminösem Klang
KEF LSX angehört
Neue Streaming-Lautsprecher mit voluminösem Klang

Mit dem LSX hat der britische Edellautsprecherhersteller KEF ein für seine Größe überraschend voluminös klingendes Streaming-Lautsprecherset vorgestellt. Bei einer ersten Hörprobe sind uns die gut getrennten Frequenzen und die satten Tiefen positiv aufgefallen - der Preis scheint uns gerechtfertigt.
Ein Hands on von Tobias Költzsch

  1. Videostreaming Warner plant Konkurrenz für Netflix und Disney
  2. Streaming Netflix erzeugt 15 Prozent des globalen Downloads
  3. Streaming Plex macht seine Cloud dicht

Geforce RTX 2070 im Test: Diese Turing-Karte ist ihr Geld wert
Geforce RTX 2070 im Test
Diese Turing-Karte ist ihr Geld wert

Die Geforce RTX 2070 ist die günstigste oder eher am wenigsten teure Turing-Grafikkarte von Nvidia. Sie ist schneller und sparsamer als eine Geforce GTX 1080 oder Vega 64 und kostet je nach Modell fast genauso viel. Wir haben zwei Geforce-RTX-2070-Varianten von Asus und MSI getestet.
Ein Test von Marc Sauter

  1. Turing-Grafikkarten Geforce RTX werden sparsamer bei multiplen Displays
  2. Turing-Grafikkarten Nvidias Founder's Editions gehen offenbar reihenweise kaputt
  3. Nvidia Turing Geforce RTX sollen Adobe Dimension beschleunigen

    •  /