Abo
  • Services:

Geheime Dokumente: Noch keine Zero-Days für Bundestrojaner genutzt

Die Nutzung unbekannter Sicherheitslücken für die staatliche Spähsoftware ist stark umstritten. Zwar sollen bislang noch keine Zero-Days eingesetzt worden sein, doch ausgeschlossen wird dies weiterhin nicht.

Artikel veröffentlicht am ,
Verschlüsselte Nachrichten wie bei Whatsapp stellen Ermittler vor große Probleme.
Verschlüsselte Nachrichten wie bei Whatsapp stellen Ermittler vor große Probleme. (Bild: Alexander Merz/Golem.de)

Für die Entwicklung staatlicher Überwachungssoftware sollen bislang noch keine unbekannten Sicherheitslücken genutzt worden sein. Das geht aus bislang geheim gehaltenen Dokumenten hervor, die das Portal Netzpolitik.org am Dienstag veröffentlichte. Auf eine Anfrage der Grünen-Bundestagsfraktion, ob für die sogenannte Quellen-Telekommunikationsüberwachung (Quellen-TKÜ) durch das Bundeskriminalamt (BKA) bereits Zero-Day-Exploits eingesetzt worden seien, antwortete das zuständige Innenministerium: "Das BKA hat in keinem der o. g. Fälle sogenannte Zero-Day-Sicherheitslücken ausgenutzt." Ausgeschlossen für die Zukunft wird das jedoch nicht.

Stellenmarkt
  1. OBERMEYER Servbest GmbH, München
  2. Neoperl GmbH, Müllheim

Die sieben parlamentarischen Anfragen von Grünen, Linke und FDP stammen aus den Jahren 2017 und 2018. Teile der Antworten waren mit der niedrigsten Geheimhaltungsstufe "Verschlusssache - Nur für den Dienstgebrauch" eingestuft worden und wurden von Netzpolitik.org nun erstmals veröffentlicht. Allerdings waren die Inhalte schon vorher bekannt. Dies betrifft beispielsweise die Entwicklung eines Smartphone-Trojaners durch das BKA. Die Entwicklung der Remote Communication Interception Software (RCIS) soll sechs Millionen Euro gekostet haben.

Nutzung von Zero-Days noch zu prüfen

Die Nutzung von Zero-Day-Exploits durch staatliche Ermittler ist stark umstritten. Sicherheitsexperten warnen davor, dass durch das Horten der Lücken die Sicherheit von Nutzern unnötig gefährdet und der Schwarzmarkthandel mit Lücken befördert werde. Ausschließen will die Regierung ein solches Vorgehen jedoch nicht. So heißt es in einer Antwort: "Ob und inwieweit im Spannungsfeld technischer Erfordernisse, rechtlicher Vorgaben, sicherheits- und rechtspolitischer Erwägungen sowie taktischer Einsatzrahmenbedingungen zukünftig eine Nutzung sog. 'Zero-Day-Exploits' für die Durchführung von Maßnahmen der Quellen-TKÜ und Online-Durchsuchung durch Sicherheitsbehörden in Betracht kommt, ist durch die zuständigen Stellen der Bundesregierung in Abstimmung mit den zu beteiligenden nationalen und ggf. internationalen Stellen und Gremien zu prüfen."

Eine solche Stelle ist unter anderem die neue Zentrale Stelle für Informationstechnik im Sicherheitsbereich (Zitis). Deren Chef Wilfried Karl will die Nutzung von Zero-Days nicht prinzipiell ausschließen. "Natürlich gibt es da ein Spannungsfeld. Und deshalb brauchen wir einen Prozess innerhalb der Behörden, wie wir mit Sicherheitslücken in Software verantwortungsvoll umgehen", sagte Karl der Tageszeitung Welt. Dazu müssten sich mehrere Behörden abstimmen. Ein solches Verfahren zu entwickeln, sei Aufgabe auf ministerieller Ebene.

Zitis sucht händeringend Mitarbeiter

Schwerpunkte der neuen Behörde sieht der frühere Abteilungsleiter des Bundesnachrichtendienstes auf vier Gebieten: "Digitale Forensik, zum Beispiel um das Knacken von verschlüsselten Festplatten. TKÜ-Technik, das bedeutet etwa verschlüsselte Chats überwachen zu können. Krypto-Analyse, also die Erforschung von Verschlüsselungstechnologien. Und Big Data." Dabei will Zitis nicht nur selbst entwickeln, sondern notfalls auch kommerzielle Produkte einkaufen. "Wir wollen kein Beschaffungsamt sein. Aber solange wir nicht über ausreichend Personal verfügen, werden wir uns selbstverständlich auch nach kommerziellen Produkten umschauen müssen. Das bedeutet aber nicht, dass wir Software von dubiosen Händlern auf dem 'Schwarzmarkt' irgendwo im Darknet einkaufen", sagte Karl.

Der Zitis-Chef räumte ein, dass es für seine Behörde ebenso schwierig wie für andere Behörden sei, qualifiziertes IT-Personal zu finden. Bislang seien erst 60 von geplanten 400 Mitarbeitern eingestellt worden. Ursprünglich sollte die Behörde bis Ende 2017 bereits 120 Mitarbeiter haben.

Geht es nach dem Willen der Regierung, soll es künftig noch deutlich mehr Anwendungen für die Staatstrojaner geben. Zwar hatten Union und SPD vor einem Jahr den Einsatz der Quellen-TKÜ und Online-Durchsuchung schon stark ausgeweitet. Doch das reicht offenbar noch nicht. Einem Bericht der Nachrichtenagentur dpa zufolge hält das Bundesinnenministerium eine weitere Ausweitung der Befugnisse für überfällig. Staatssekretär Hans-Georg Engelke sagte demnach am Dienstag auf einem "Kongress für wehrhafte Demokratie" in Berlin: "Es kann nicht sein, dass wir immer tauber und blinder werden."

Regierung will Einsatz für Gefahrenabwehr

Das Ministerium rechne allerdings gesellschaftlich und politisch mit Gegenwind. Engelke räumte ein: "Das wird noch einmal eine richtig dicke Diskussion geben." Er sagte: "Wenn Online-Durchsuchungen zur Strafverfolgung zulässig sind, dann müssen sie eigentlich für Gefahrenabwehr auch zulässig sein." Der Vizepräsident des Bundeskriminalamtes (BKA), Peter Henzler, erklärte, Rauschgifthandel finde heute größtenteils nicht am Bahnhof oder in der Imbissbude statt, sondern im Darknet und "wird über Paketdienste abgewickelt".

Teilnehmer der Veranstaltung forderten außerdem eine Angleichung der aktuell sehr unterschiedlichen Regelungen der Bundesländer auf vier Gebieten: Telekommunikations-Überwachung, Online-Durchsuchung, Auskunft über die Nutzerdaten von Kommunikations-Dienstleistungen und die heimliche Überwachung von Telefonaten über das Internet.

Musterpolizeigesetz für Staatstrojaner gefordert

Die weitestgehenden Befugnisse haben die Sicherheitsbehörden aktuell in Bayern und Rheinland-Pfalz. Der hessische Landtag hatte in der vergangenen Woche beschlossen, dass die Polizei Online-Durchsuchung und Quellen-Telekommunikationsüberwachung auch zur Gefahrenabwehr nutzen darf. "Wir haben in Deutschland Zonen unterschiedlicher Sicherheit", kritisierte der CDU-Innenpolitiker Armin Schuster. Ein "Musterpolizeigesetz" wäre deshalb "goldwert".



Anzeige
Hardware-Angebote
  1. (reduzierte Überstände, Restposten & Co.)
  2. (Neuware für kurze Zeit zum Sonderpreis bei Mindfactory)
  3. auf ausgewählte Corsair-Netzteile

bombinho 28. Jun 2018 / Themenstart

Oha, Du erstaunst mich. Das sind durchaus sehr sinnvolle Argumente. Quasi die Simulation...

bombinho 28. Jun 2018 / Themenstart

Vorsicht,, Fruehr war alles besser, sogar die Vergangenheit. So romantisch Erinnerungen...

Kommentieren


Folgen Sie uns
       


Siri auf Deutsch auf dem Homepod

Wir haben uns die deutsche Version von Siri auf dem Homepod angehört. Bei den Funktionen hinkt Siri der Konkurrenz von Alexa und Google Assistant hinterher. Und auch an der Aussprache gibt es noch einiges zu feilen. Apples erster smarter Lautsprecher kostet 350 Euro.

Siri auf Deutsch auf dem Homepod Video aufrufen
Cruijff Arena: Ed Sheeran singt mit Strom aus Nissan-Leaf-Akkus
Cruijff Arena
Ed Sheeran singt mit Strom aus Nissan-Leaf-Akkus

Die Johann-Cruijff-Arena in Amsterdam ist weltweit das erste Stadion, das seine Energieversorgung mit einem Speichersystem sichert, das aus Akkus von Elektroautos besteht. Der englische Sänger Ed Sheeran hat mit dem darin gespeichertem Solarstrom schon seine Gitarre verstärkt.
Ein Bericht von Dirk Kunde

  1. Energiewende Warum die Bundesregierung ihre Versprechen nicht hält
  2. Max Bögl Wind Das höchste Windrad steht bei Stuttgart

Esa: Sonnensystemforschung ohne Plutonium
Esa
Sonnensystemforschung ohne Plutonium

Forscher der Esa arbeiten an Radioisotopenbatterien, die ohne das knappe und aufwendig herzustellende Plutonium-238 auskommen. Stattdessen soll Americium-241 aus abgebrannten Brennstäben von Kernkraftwerken zum Einsatz kommen. Ein erster Prototyp ist bereits fertig.
Von Frank Wunderlich-Pfeiffer

  1. Jaxa Japanische Sonde Hayabusa 2 erreicht den Asteroiden Ryugu
  2. Mission Horizons @Astro_Alex fliegt wieder
  3. Raumfahrt China lädt die Welt zur neuen Raumstation ein

Razer Blade 15 im Test: Schlanker 15,6-Zöller für Gamer gefällt uns
Razer Blade 15 im Test
Schlanker 15,6-Zöller für Gamer gefällt uns

Das Razer Blade 15 ist ein gutes Spiele-Notebook mit flottem Display und schneller Geforce-Grafikeinheit. Anders als im 14-Zoll-Formfaktor ist bei den 15,6-Zoll-Modellen die Konkurrenz aber deutlich größer.
Ein Test von Marc Sauter

  1. Gaming-Notebook Razer packt Hexacore und Geforce GTX 1070 ins Blade 15
  2. Razer Blade 2017 im Test Das beste Gaming-Ultrabook nun mit 4K

    •  /