Abo
  • Services:

Geheime Dokumente: Noch keine Zero-Days für Bundestrojaner genutzt

Die Nutzung unbekannter Sicherheitslücken für die staatliche Spähsoftware ist stark umstritten. Zwar sollen bislang noch keine Zero-Days eingesetzt worden sein, doch ausgeschlossen wird dies weiterhin nicht.

Artikel veröffentlicht am ,
Verschlüsselte Nachrichten wie bei Whatsapp stellen Ermittler vor große Probleme.
Verschlüsselte Nachrichten wie bei Whatsapp stellen Ermittler vor große Probleme. (Bild: Alexander Merz/Golem.de)

Für die Entwicklung staatlicher Überwachungssoftware sollen bislang noch keine unbekannten Sicherheitslücken genutzt worden sein. Das geht aus bislang geheim gehaltenen Dokumenten hervor, die das Portal Netzpolitik.org am Dienstag veröffentlichte. Auf eine Anfrage der Grünen-Bundestagsfraktion, ob für die sogenannte Quellen-Telekommunikationsüberwachung (Quellen-TKÜ) durch das Bundeskriminalamt (BKA) bereits Zero-Day-Exploits eingesetzt worden seien, antwortete das zuständige Innenministerium: "Das BKA hat in keinem der o. g. Fälle sogenannte Zero-Day-Sicherheitslücken ausgenutzt." Ausgeschlossen für die Zukunft wird das jedoch nicht.

Stellenmarkt
  1. BIM Berliner Immobilienmanagement GmbH, Berlin
  2. OHB System AG, Bremen, Oberpfaffenhofen

Die sieben parlamentarischen Anfragen von Grünen, Linke und FDP stammen aus den Jahren 2017 und 2018. Teile der Antworten waren mit der niedrigsten Geheimhaltungsstufe "Verschlusssache - Nur für den Dienstgebrauch" eingestuft worden und wurden von Netzpolitik.org nun erstmals veröffentlicht. Allerdings waren die Inhalte schon vorher bekannt. Dies betrifft beispielsweise die Entwicklung eines Smartphone-Trojaners durch das BKA. Die Entwicklung der Remote Communication Interception Software (RCIS) soll sechs Millionen Euro gekostet haben.

Nutzung von Zero-Days noch zu prüfen

Die Nutzung von Zero-Day-Exploits durch staatliche Ermittler ist stark umstritten. Sicherheitsexperten warnen davor, dass durch das Horten der Lücken die Sicherheit von Nutzern unnötig gefährdet und der Schwarzmarkthandel mit Lücken befördert werde. Ausschließen will die Regierung ein solches Vorgehen jedoch nicht. So heißt es in einer Antwort: "Ob und inwieweit im Spannungsfeld technischer Erfordernisse, rechtlicher Vorgaben, sicherheits- und rechtspolitischer Erwägungen sowie taktischer Einsatzrahmenbedingungen zukünftig eine Nutzung sog. 'Zero-Day-Exploits' für die Durchführung von Maßnahmen der Quellen-TKÜ und Online-Durchsuchung durch Sicherheitsbehörden in Betracht kommt, ist durch die zuständigen Stellen der Bundesregierung in Abstimmung mit den zu beteiligenden nationalen und ggf. internationalen Stellen und Gremien zu prüfen."

Eine solche Stelle ist unter anderem die neue Zentrale Stelle für Informationstechnik im Sicherheitsbereich (Zitis). Deren Chef Wilfried Karl will die Nutzung von Zero-Days nicht prinzipiell ausschließen. "Natürlich gibt es da ein Spannungsfeld. Und deshalb brauchen wir einen Prozess innerhalb der Behörden, wie wir mit Sicherheitslücken in Software verantwortungsvoll umgehen", sagte Karl der Tageszeitung Welt. Dazu müssten sich mehrere Behörden abstimmen. Ein solches Verfahren zu entwickeln, sei Aufgabe auf ministerieller Ebene.

Zitis sucht händeringend Mitarbeiter

Schwerpunkte der neuen Behörde sieht der frühere Abteilungsleiter des Bundesnachrichtendienstes auf vier Gebieten: "Digitale Forensik, zum Beispiel um das Knacken von verschlüsselten Festplatten. TKÜ-Technik, das bedeutet etwa verschlüsselte Chats überwachen zu können. Krypto-Analyse, also die Erforschung von Verschlüsselungstechnologien. Und Big Data." Dabei will Zitis nicht nur selbst entwickeln, sondern notfalls auch kommerzielle Produkte einkaufen. "Wir wollen kein Beschaffungsamt sein. Aber solange wir nicht über ausreichend Personal verfügen, werden wir uns selbstverständlich auch nach kommerziellen Produkten umschauen müssen. Das bedeutet aber nicht, dass wir Software von dubiosen Händlern auf dem 'Schwarzmarkt' irgendwo im Darknet einkaufen", sagte Karl.

Der Zitis-Chef räumte ein, dass es für seine Behörde ebenso schwierig wie für andere Behörden sei, qualifiziertes IT-Personal zu finden. Bislang seien erst 60 von geplanten 400 Mitarbeitern eingestellt worden. Ursprünglich sollte die Behörde bis Ende 2017 bereits 120 Mitarbeiter haben.

Geht es nach dem Willen der Regierung, soll es künftig noch deutlich mehr Anwendungen für die Staatstrojaner geben. Zwar hatten Union und SPD vor einem Jahr den Einsatz der Quellen-TKÜ und Online-Durchsuchung schon stark ausgeweitet. Doch das reicht offenbar noch nicht. Einem Bericht der Nachrichtenagentur dpa zufolge hält das Bundesinnenministerium eine weitere Ausweitung der Befugnisse für überfällig. Staatssekretär Hans-Georg Engelke sagte demnach am Dienstag auf einem "Kongress für wehrhafte Demokratie" in Berlin: "Es kann nicht sein, dass wir immer tauber und blinder werden."

Regierung will Einsatz für Gefahrenabwehr

Das Ministerium rechne allerdings gesellschaftlich und politisch mit Gegenwind. Engelke räumte ein: "Das wird noch einmal eine richtig dicke Diskussion geben." Er sagte: "Wenn Online-Durchsuchungen zur Strafverfolgung zulässig sind, dann müssen sie eigentlich für Gefahrenabwehr auch zulässig sein." Der Vizepräsident des Bundeskriminalamtes (BKA), Peter Henzler, erklärte, Rauschgifthandel finde heute größtenteils nicht am Bahnhof oder in der Imbissbude statt, sondern im Darknet und "wird über Paketdienste abgewickelt".

Teilnehmer der Veranstaltung forderten außerdem eine Angleichung der aktuell sehr unterschiedlichen Regelungen der Bundesländer auf vier Gebieten: Telekommunikations-Überwachung, Online-Durchsuchung, Auskunft über die Nutzerdaten von Kommunikations-Dienstleistungen und die heimliche Überwachung von Telefonaten über das Internet.

Musterpolizeigesetz für Staatstrojaner gefordert

Die weitestgehenden Befugnisse haben die Sicherheitsbehörden aktuell in Bayern und Rheinland-Pfalz. Der hessische Landtag hatte in der vergangenen Woche beschlossen, dass die Polizei Online-Durchsuchung und Quellen-Telekommunikationsüberwachung auch zur Gefahrenabwehr nutzen darf. "Wir haben in Deutschland Zonen unterschiedlicher Sicherheit", kritisierte der CDU-Innenpolitiker Armin Schuster. Ein "Musterpolizeigesetz" wäre deshalb "goldwert".



Anzeige
Spiele-Angebote
  1. 4,95€
  2. 36,99€
  3. 4,99€
  4. 59,99€ mit Vorbesteller-Preisgarantie (Release 26.02.)

bombinho 28. Jun 2018

Oha, Du erstaunst mich. Das sind durchaus sehr sinnvolle Argumente. Quasi die Simulation...

bombinho 28. Jun 2018

Vorsicht,, Fruehr war alles besser, sogar die Vergangenheit. So romantisch Erinnerungen...


Folgen Sie uns
       


Razer Hypersense angesehen (CES 2019)

Razer hat Vibrationsmotoren in Maus, Handballenablage und Stuhl verbaut - und wir haben uns auf der CES 2019 durchrütteln lassen.

Razer Hypersense angesehen (CES 2019) Video aufrufen
Softwareentwicklung: Agiles Arbeiten - ein Fallbeispiel
Softwareentwicklung
Agiles Arbeiten - ein Fallbeispiel

Kennen Sie Iterationen? Es klingt wie Irritationen - und genau die löst das Wort bei vielen Menschen aus, die über agiles Arbeiten lesen. Golem.de erklärt die Fachsprache und zeigt Agilität an einem konkreten Praxisbeispiel für eine agile Softwareentwicklung.
Von Marvin Engel

  1. Job-Porträt Cyber-Detektiv "Ich musste als Ermittler über 1.000 Onanie-Videos schauen"
  2. Bundesagentur für Arbeit Ausbildungsplätze in der Informatik sind knapp
  3. IT-Jobs "Jedes Unternehmen kann es besser machen"

Eden ISS: Raumfahrt-Salat für Antarktis-Bewohner
Eden ISS
Raumfahrt-Salat für Antarktis-Bewohner

Wer in der Antarktis überwintert, träumt irgendwann von frischem Grün. Bei der Station Neumayer III hat das DLR vor einem Jahr ein Gewächshaus in einem Container aufgestellt, in dem ein Forscher Salat und Gemüse angebaut hat. Das Projekt war ein Test für künftige Raumfahrtmissionen. Der verlief erfolgreich, aber nicht reibungslos.
Ein Interview von Werner Pluta

  1. Eden ISS DLR will Gewächshaus-Container am Südpol aus Bremen steuern
  2. Eu-Cropis DLR züchtet Tomaten im Weltall
  3. NGT Cargo Der Güterzug der Zukunft fährt 400 km/h

Datenschutz: Nie da gewesene Kontrollmacht für staatliche Stellen
Datenschutz
"Nie da gewesene Kontrollmacht für staatliche Stellen"

Zur G20-Fahndung nutzt Hamburgs Polizei eine Software, die Gesichter von Hunderttausenden speichert. Schluss damit, sagt der Datenschutzbeauftragte - und wird ignoriert.
Ein Interview von Oliver Hollenstein

  1. Brexit-Abstimmung IT-Wirtschaft warnt vor Datenchaos in Europa
  2. Österreich Post handelt mit politischen Einstellungen
  3. Digitalisierung Bär stößt Debatte um Datenschutz im Gesundheitswesen an

    •  /