Geheime Dokumente: Noch keine Zero-Days für Bundestrojaner genutzt

Für die Entwicklung staatlicher Überwachungssoftware sollen bislang noch keine unbekannten Sicherheitslücken genutzt worden sein. Das geht aus bislang geheim gehaltenen Dokumenten hervor, die das Portal Netzpolitik.org am Dienstag veröffentlichte. Auf eine Anfrage der Grünen-Bundestagsfraktion, ob für die sogenannte Quellen-Telekommunikationsüberwachung (Quellen-TKÜ) durch das Bundeskriminalamt (BKA) bereits Zero-Day-Exploits eingesetzt worden seien, antwortete das zuständige Innenministerium: "Das BKA hat in keinem der o. g. Fälle sogenannte Zero-Day-Sicherheitslücken ausgenutzt." Ausgeschlossen für die Zukunft wird das jedoch nicht.

Die sieben parlamentarischen Anfragen von Grünen, Linke und FDP stammen aus den Jahren 2017 und 2018. Teile der Antworten waren mit der niedrigsten Geheimhaltungsstufe "Verschlusssache - Nur für den Dienstgebrauch" eingestuft worden und wurden von Netzpolitik.org nun erstmals veröffentlicht. Allerdings waren die Inhalte schon vorher bekannt. Dies betrifft beispielsweise die Entwicklung eines Smartphone-Trojaners durch das BKA. Die Entwicklung der Remote Communication Interception Software (RCIS) soll sechs Millionen Euro gekostet haben.

Nutzung von Zero-Days noch zu prüfen

Die Nutzung von Zero-Day-Exploits durch staatliche Ermittler ist stark umstritten. Sicherheitsexperten warnen davor, dass durch das Horten der Lücken die Sicherheit von Nutzern unnötig gefährdet und der Schwarzmarkthandel mit Lücken befördert werde. Ausschließen will die Regierung ein solches Vorgehen jedoch nicht. So heißt es in einer Antwort: "Ob und inwieweit im Spannungsfeld technischer Erfordernisse, rechtlicher Vorgaben, sicherheits- und rechtspolitischer Erwägungen sowie taktischer Einsatzrahmenbedingungen zukünftig eine Nutzung sog. 'Zero-Day-Exploits' für die Durchführung von Maßnahmen der Quellen-TKÜ und Online-Durchsuchung durch Sicherheitsbehörden in Betracht kommt, ist durch die zuständigen Stellen der Bundesregierung in Abstimmung mit den zu beteiligenden nationalen und ggf. internationalen Stellen und Gremien zu prüfen."

Eine solche Stelle ist unter anderem die neue Zentrale Stelle für Informationstechnik im Sicherheitsbereich (Zitis). Deren Chef Wilfried Karl will die Nutzung von Zero-Days nicht prinzipiell ausschließen. "Natürlich gibt es da ein Spannungsfeld. Und deshalb brauchen wir einen Prozess innerhalb der Behörden, wie wir mit Sicherheitslücken in Software verantwortungsvoll umgehen", sagte Karl der Tageszeitung Welt. Dazu müssten sich mehrere Behörden abstimmen. Ein solches Verfahren zu entwickeln, sei Aufgabe auf ministerieller Ebene.

Zitis sucht händeringend Mitarbeiter

Schwerpunkte der neuen Behörde sieht der frühere Abteilungsleiter des Bundesnachrichtendienstes auf vier Gebieten: "Digitale Forensik, zum Beispiel um das Knacken von verschlüsselten Festplatten. TKÜ-Technik, das bedeutet etwa verschlüsselte Chats überwachen zu können. Krypto-Analyse, also die Erforschung von Verschlüsselungstechnologien. Und Big Data." Dabei will Zitis nicht nur selbst entwickeln, sondern notfalls auch kommerzielle Produkte einkaufen. "Wir wollen kein Beschaffungsamt sein. Aber solange wir nicht über ausreichend Personal verfügen, werden wir uns selbstverständlich auch nach kommerziellen Produkten umschauen müssen. Das bedeutet aber nicht, dass wir Software von dubiosen Händlern auf dem 'Schwarzmarkt' irgendwo im Darknet einkaufen", sagte Karl.

Der Zitis-Chef räumte ein, dass es für seine Behörde ebenso schwierig wie für andere Behörden sei, qualifiziertes IT-Personal zu finden. Bislang seien erst 60 von geplanten 400 Mitarbeitern eingestellt worden. Ursprünglich sollte die Behörde bis Ende 2017 bereits 120 Mitarbeiter haben.

Geht es nach dem Willen der Regierung, soll es künftig noch deutlich mehr Anwendungen für die Staatstrojaner geben. Zwar hatten Union und SPD vor einem Jahr den Einsatz der Quellen-TKÜ und Online-Durchsuchung schon stark ausgeweitet. Doch das reicht offenbar noch nicht. Einem Bericht der Nachrichtenagentur dpa zufolge hält das Bundesinnenministerium eine weitere Ausweitung der Befugnisse für überfällig. Staatssekretär Hans-Georg Engelke sagte demnach am Dienstag auf einem "Kongress für wehrhafte Demokratie" in Berlin: "Es kann nicht sein, dass wir immer tauber und blinder werden."

Regierung will Einsatz für Gefahrenabwehr

Das Ministerium rechne allerdings gesellschaftlich und politisch mit Gegenwind. Engelke räumte ein: "Das wird noch einmal eine richtig dicke Diskussion geben." Er sagte: "Wenn Online-Durchsuchungen zur Strafverfolgung zulässig sind, dann müssen sie eigentlich für Gefahrenabwehr auch zulässig sein." Der Vizepräsident des Bundeskriminalamtes (BKA), Peter Henzler, erklärte, Rauschgifthandel finde heute größtenteils nicht am Bahnhof oder in der Imbissbude statt, sondern im Darknet und "wird über Paketdienste abgewickelt".

Teilnehmer der Veranstaltung forderten außerdem eine Angleichung der aktuell sehr unterschiedlichen Regelungen der Bundesländer auf vier Gebieten: Telekommunikations-Überwachung, Online-Durchsuchung, Auskunft über die Nutzerdaten von Kommunikations-Dienstleistungen und die heimliche Überwachung von Telefonaten über das Internet.

Musterpolizeigesetz für Staatstrojaner gefordert

Die weitestgehenden Befugnisse haben die Sicherheitsbehörden aktuell in Bayern und Rheinland-Pfalz. Der hessische Landtag hatte in der vergangenen Woche beschlossen, dass die Polizei Online-Durchsuchung und Quellen-Telekommunikationsüberwachung auch zur Gefahrenabwehr nutzen darf. "Wir haben in Deutschland Zonen unterschiedlicher Sicherheit", kritisierte der CDU-Innenpolitiker Armin Schuster. Ein "Musterpolizeigesetz" wäre deshalb "goldwert".