Abo
  • IT-Karriere:

Geheime Dokumente: Noch keine Zero-Days für Bundestrojaner genutzt

Die Nutzung unbekannter Sicherheitslücken für die staatliche Spähsoftware ist stark umstritten. Zwar sollen bislang noch keine Zero-Days eingesetzt worden sein, doch ausgeschlossen wird dies weiterhin nicht.

Artikel veröffentlicht am ,
Verschlüsselte Nachrichten wie bei Whatsapp stellen Ermittler vor große Probleme.
Verschlüsselte Nachrichten wie bei Whatsapp stellen Ermittler vor große Probleme. (Bild: Alexander Merz/Golem.de)

Für die Entwicklung staatlicher Überwachungssoftware sollen bislang noch keine unbekannten Sicherheitslücken genutzt worden sein. Das geht aus bislang geheim gehaltenen Dokumenten hervor, die das Portal Netzpolitik.org am Dienstag veröffentlichte. Auf eine Anfrage der Grünen-Bundestagsfraktion, ob für die sogenannte Quellen-Telekommunikationsüberwachung (Quellen-TKÜ) durch das Bundeskriminalamt (BKA) bereits Zero-Day-Exploits eingesetzt worden seien, antwortete das zuständige Innenministerium: "Das BKA hat in keinem der o. g. Fälle sogenannte Zero-Day-Sicherheitslücken ausgenutzt." Ausgeschlossen für die Zukunft wird das jedoch nicht.

Stellenmarkt
  1. Lidl Dienstleistung GmbH & Co. KG, Neckarsulm
  2. Hans Soldan GmbH, Essen

Die sieben parlamentarischen Anfragen von Grünen, Linke und FDP stammen aus den Jahren 2017 und 2018. Teile der Antworten waren mit der niedrigsten Geheimhaltungsstufe "Verschlusssache - Nur für den Dienstgebrauch" eingestuft worden und wurden von Netzpolitik.org nun erstmals veröffentlicht. Allerdings waren die Inhalte schon vorher bekannt. Dies betrifft beispielsweise die Entwicklung eines Smartphone-Trojaners durch das BKA. Die Entwicklung der Remote Communication Interception Software (RCIS) soll sechs Millionen Euro gekostet haben.

Nutzung von Zero-Days noch zu prüfen

Die Nutzung von Zero-Day-Exploits durch staatliche Ermittler ist stark umstritten. Sicherheitsexperten warnen davor, dass durch das Horten der Lücken die Sicherheit von Nutzern unnötig gefährdet und der Schwarzmarkthandel mit Lücken befördert werde. Ausschließen will die Regierung ein solches Vorgehen jedoch nicht. So heißt es in einer Antwort: "Ob und inwieweit im Spannungsfeld technischer Erfordernisse, rechtlicher Vorgaben, sicherheits- und rechtspolitischer Erwägungen sowie taktischer Einsatzrahmenbedingungen zukünftig eine Nutzung sog. 'Zero-Day-Exploits' für die Durchführung von Maßnahmen der Quellen-TKÜ und Online-Durchsuchung durch Sicherheitsbehörden in Betracht kommt, ist durch die zuständigen Stellen der Bundesregierung in Abstimmung mit den zu beteiligenden nationalen und ggf. internationalen Stellen und Gremien zu prüfen."

Eine solche Stelle ist unter anderem die neue Zentrale Stelle für Informationstechnik im Sicherheitsbereich (Zitis). Deren Chef Wilfried Karl will die Nutzung von Zero-Days nicht prinzipiell ausschließen. "Natürlich gibt es da ein Spannungsfeld. Und deshalb brauchen wir einen Prozess innerhalb der Behörden, wie wir mit Sicherheitslücken in Software verantwortungsvoll umgehen", sagte Karl der Tageszeitung Welt. Dazu müssten sich mehrere Behörden abstimmen. Ein solches Verfahren zu entwickeln, sei Aufgabe auf ministerieller Ebene.

Zitis sucht händeringend Mitarbeiter

Schwerpunkte der neuen Behörde sieht der frühere Abteilungsleiter des Bundesnachrichtendienstes auf vier Gebieten: "Digitale Forensik, zum Beispiel um das Knacken von verschlüsselten Festplatten. TKÜ-Technik, das bedeutet etwa verschlüsselte Chats überwachen zu können. Krypto-Analyse, also die Erforschung von Verschlüsselungstechnologien. Und Big Data." Dabei will Zitis nicht nur selbst entwickeln, sondern notfalls auch kommerzielle Produkte einkaufen. "Wir wollen kein Beschaffungsamt sein. Aber solange wir nicht über ausreichend Personal verfügen, werden wir uns selbstverständlich auch nach kommerziellen Produkten umschauen müssen. Das bedeutet aber nicht, dass wir Software von dubiosen Händlern auf dem 'Schwarzmarkt' irgendwo im Darknet einkaufen", sagte Karl.

Der Zitis-Chef räumte ein, dass es für seine Behörde ebenso schwierig wie für andere Behörden sei, qualifiziertes IT-Personal zu finden. Bislang seien erst 60 von geplanten 400 Mitarbeitern eingestellt worden. Ursprünglich sollte die Behörde bis Ende 2017 bereits 120 Mitarbeiter haben.

Geht es nach dem Willen der Regierung, soll es künftig noch deutlich mehr Anwendungen für die Staatstrojaner geben. Zwar hatten Union und SPD vor einem Jahr den Einsatz der Quellen-TKÜ und Online-Durchsuchung schon stark ausgeweitet. Doch das reicht offenbar noch nicht. Einem Bericht der Nachrichtenagentur dpa zufolge hält das Bundesinnenministerium eine weitere Ausweitung der Befugnisse für überfällig. Staatssekretär Hans-Georg Engelke sagte demnach am Dienstag auf einem "Kongress für wehrhafte Demokratie" in Berlin: "Es kann nicht sein, dass wir immer tauber und blinder werden."

Regierung will Einsatz für Gefahrenabwehr

Das Ministerium rechne allerdings gesellschaftlich und politisch mit Gegenwind. Engelke räumte ein: "Das wird noch einmal eine richtig dicke Diskussion geben." Er sagte: "Wenn Online-Durchsuchungen zur Strafverfolgung zulässig sind, dann müssen sie eigentlich für Gefahrenabwehr auch zulässig sein." Der Vizepräsident des Bundeskriminalamtes (BKA), Peter Henzler, erklärte, Rauschgifthandel finde heute größtenteils nicht am Bahnhof oder in der Imbissbude statt, sondern im Darknet und "wird über Paketdienste abgewickelt".

Teilnehmer der Veranstaltung forderten außerdem eine Angleichung der aktuell sehr unterschiedlichen Regelungen der Bundesländer auf vier Gebieten: Telekommunikations-Überwachung, Online-Durchsuchung, Auskunft über die Nutzerdaten von Kommunikations-Dienstleistungen und die heimliche Überwachung von Telefonaten über das Internet.

Musterpolizeigesetz für Staatstrojaner gefordert

Die weitestgehenden Befugnisse haben die Sicherheitsbehörden aktuell in Bayern und Rheinland-Pfalz. Der hessische Landtag hatte in der vergangenen Woche beschlossen, dass die Polizei Online-Durchsuchung und Quellen-Telekommunikationsüberwachung auch zur Gefahrenabwehr nutzen darf. "Wir haben in Deutschland Zonen unterschiedlicher Sicherheit", kritisierte der CDU-Innenpolitiker Armin Schuster. Ein "Musterpolizeigesetz" wäre deshalb "goldwert".



Anzeige
Spiele-Angebote
  1. 2,99€
  2. 4,60€
  3. 27,99€
  4. (-75%) 9,99€

FreiGeistler 23. Mär 2019

"Geldkoffer" wird es ja (hoffentlich) nicht sein. Hier geht es um öffentliche Sicherheit...

bombinho 28. Jun 2018

Oha, Du erstaunst mich. Das sind durchaus sehr sinnvolle Argumente. Quasi die Simulation...

bombinho 28. Jun 2018

Vorsicht,, Fruehr war alles besser, sogar die Vergangenheit. So romantisch Erinnerungen...


Folgen Sie uns
       


Harry Potter Wizards Unite angespielt

Harry Potter Go? Zum Glück hat der neue AR-Titel auch ein paar eigene Ideen zu bieten.

Harry Potter Wizards Unite angespielt Video aufrufen
Watch Dogs Legion angespielt: Eine Seniorin als Ein-Frau-Armee
Watch Dogs Legion angespielt
Eine Seniorin als Ein-Frau-Armee

E3 2019 Elitesoldaten brauchen wir nicht - in Watch Dogs Legion hacken und schießen wir auch als Pensionistin für den Widerstand. Beim Anspielen haben wir sehr über die ebenso klapprige wie kampflustige Oma Gwendoline gelacht.


    Projektmanagement: An der falschen Stelle automatisiert
    Projektmanagement
    An der falschen Stelle automatisiert

    Kommunikationstools und künstliche Intelligenz sollen dabei helfen, dass IT-Projekte besser und schneller fertig werden. Demnächst sollen sie sogar Posten wie den des Projektmanagers überflüssig machen. Doch das wird voraussichtlich nicht passieren.
    Ein Erfahrungsbericht von Marvin Engel


      Final Fantasy 7 Remake angespielt: Cloud Strife und die (fast) unendliche Geschichte
      Final Fantasy 7 Remake angespielt
      Cloud Strife und die (fast) unendliche Geschichte

      E3 2019 Das Remake von Final Fantasy 7 wird ein Riesenprojekt, allein die erste Episode erscheint auf zwei Blu-ray-Discs. Kurios: In wie viele Folgen das bereits enorm umfangreiche Original von 1997 aufgeteilt wird, kann bislang nicht mal der Producer sagen.

      1. Final Fantasy 14 Online Report Zwischen Cosplay, Kirmes und Kampfsystem
      2. Square Enix Final Fantasy 14 erhält Solo-Inhalte und besonderen Magier
      3. Rollenspiel Square Enix streicht Erweiterungen für Final Fantasy 15

        •  /