Sicherheitsdebatte: Wie soll der Staat Terroristen hacken?
Man stelle sich vor, US-amerikanische Polizisten würden ohne die Erlaubnis deutscher Behörden in deutsche Wohnungen eindringen und eine Hausdurchsuchung machen. Was in der realen Welt schwer vorstellbar ist, findet über das Internet längst statt. Die US-Bundespolizei FBI hat über das Tor-Netzwerk weltweit Rechner mit Malware infiziert , um IP-Adressen von Pädokriminellen zu ermitteln. Ist diese Art von staatlichem Hacking legitim? Auf dem 33. Chaos Communication Congress (33C3) in Hamburg gingen die Meinungen zu diesem Thema auseinander.
Vor allem der US-Sicherheitsexperte Christopher Soghoian hat ein Problem damit. Das staatliche Hacking berge so viele Gefahren, dass es gesetzlich verboten beziehungsweise eingeschränkt werden müsse, forderte Soghoian(öffnet im neuen Fenster) , der derzeit noch für die Bürgerrechtsorganisation ACLU arbeitet und demnächst im US-Kongress einen neuen Job hat. Das Problem dabei: Niemand wolle sich zum Komplizen von Terroristen und Kriminellen machen. Wer sich auf eine solche Debatte einlasse, habe meist schon verloren, sagte er in seinem Vortrag. Es dürfe daher nicht mehr mit dem reinen Schutz der Privatsphäre argumentiert werden.
Keine Hintertüren, aber andere Methoden
Das sieht Kurt Opsahl von der Electronic Frontier Foundation (EFF) ähnlich. Die Debatte drehe sich ohne nicht mehr um Datenschutz kontra Sicherheit, sondern um Sicherheit kontra Sicherheit, sagte er in seinem Vortrag zum Kampf um die Verschlüsselung(öffnet im neuen Fenster) . Das heißt, Regierungen und Abgeordnete hätten inzwischen erkannt, dass eine starke Verschlüsselung für viele Bereiche des Internets und der Kommunikation unverzichtbar sei. Eine Schwächung durch Hintertüren könnte daher zu großen Problemen führen. So beharrt sogar das Bundesinnenministerium darauf, in gängige Verschlüsselungsprogramme keine Hintertüren einzubauen.
Die staatlichen Ermittler wollen deswegen jedoch nicht darauf verzichten, an die Daten und Gesprächsinhalte von Verdächtigen zu gelangen. So soll die von der Bundesregierung geplante Zentrale Stelle für Informationstechnik im Sicherheitsbereich (Zitis) verschlüsselte Nachrichten dechiffrieren, die beispielsweise über Apples iPhone oder Messengerdienste wie Whatsapp, Signal oder Threema verschickt werden. Denn auch diese verschlüsselten Dienste bieten nach Ansicht von US-Wissenschaftlern keinen perfekten Schutz. Sie können fehlerhaft implementiert werden, schützen keine Metadaten und sind an den Endpunkten angreifbar.
Polizei wird zum Geheimdienst
Soghoian warnt jedoch davor, dass die polizeilichen Ermittler immer mehr wie Geheimdienste agierten. Deshalb sei der Vergleich mit klassischen Ermittlungsmethoden wie Hausdurchsuchungen nicht möglich. Die Polizei wolle ihre Hackingtools geheim halten, um sie möglichst oft einsetzen zu können. Selbst die Tatsache, dass das FBI mit der Remote Operations Unit (ROU) über eine eigene Hackertruppe verfüge, sei jahrelang nicht bekannt gewesen und von ihm auf der Defcon 2013 aufgedeckt worden(öffnet im neuen Fenster) . Eine parlamentarische Kontrolle wie bei den Geheimdiensten sei nicht vorgesehen.
Fünf weitere Gründe sprächen noch gegen staatliches Hacking, sagte Soghoian. So seien im Internet durch solche Malware-Einsätze leicht Unschuldige betroffen, wie der Angriff auf Hidden Services im Tor-Netzwerk gezeigt habe. Davon war auch der Dienst Tor Mail betroffen . Ohnehin sei es problematisch, wenn Staaten Zero-Day-Exploits selbst ausnutzten, anstatt sie den Entwicklern zu melden. So könnten sie leichter in die freie Wildbahn gelangen und von Kriminellen missbraucht werden.
CCC gegen staatliches Hacking
Gefährlich sei ebenfalls die Tatsache, dass Ermittler sich häufig hinter vertrauenswürdigen Institutionen versteckten, um Schadcode an Nutzer zu verteilen. Das untergrabe das Vertrauen in die missbrauchten Institutionen wie das Rote Kreuz. Bedenklich sei zudem, dass das Hacking von Verdächtigen wegen der geringen Kosten schnell zum Mittel erster Wahl werde. So war es dem FBI gelungen, mit einem einzigen Durchsuchungsbeschluss 8.000 Rechner in 120 Ländern zu hacken, wie der Journalist Joseph Cox vor einem Monat berichtet hatte(öffnet im neuen Fenster) . Für Soghoian muss ein solches Hacking jedoch so teuer wie möglich sein. So wie beispielsweise für den Zugriff auf ein iPhone, für den das FBI mehr als eine Million Dollar bezahlt haben soll .
Ein weiterer Grund gegen staatliches Hacking sei die Internationalisierung der Strafverfolgung. So darf seit Anfang dieses Monats jeder Amtsrichter in den USA dem FBI und anderen Bundesbehörden mit einem einzigen Durchsuchungsbeschluss erlauben, beliebig viele Computer in beliebigen Jurisdiktionen zu durchsuchen . Zu guter Letzt verstärke das staatliche Hacking die digitale Spaltung. Schließlich seien Nutzer teurer iPhones weniger gefährdet als Besitzer günstiger Android-Geräte.
Gesetzliches Verbot gefordert
Auf dem 33C3 waren sich die Hacker jedoch nicht einig darüber, wie weit die Ermittler gehen dürften. Nach dem Vortrag von Cox(öffnet im neuen Fenster) sagten laut Zeit Online(öffnet im neuen Fenster) mehrere der Anwesenden, wenn das der einzige Weg sei, Täter zu finden, die Kinder missbrauchen oder Bilder davon verbreiten, dann könnten sie damit leben. Auch Cox habe gesagt: "Ich glaube, es ist nicht grundsätzlich falsch, dass Polizisten die Computer von Verdächtigen hacken. Aber sie müssen sich dabei an Recht und Gesetz halten."
Für Soghoian liegt darin jedoch das Problem. Schließlich gebe es in den USA gar keine Debatte über das Thema. Das von ihm geforderte gesetzliche Verbot scheint jedoch derzeit außer Reichweite. Auch der Chaos Computer Club (CCC) lehnt das gezielte Hacken von Geräten ab. Stattdessen sollten die Behörden besser mit den Mitteln arbeiten, die sie schon haben, sagt CCC-Sprecher Linus Neumann Zeit Online und fügte hinzu: "Es wird uns immer wieder erzählt, die Ermittler hätten technische Defizite, weil Täter verschlüsselt kommuniziert haben. Aber dann stellt sich heraus, jemand wie der Attentäter Anis Amri war längst aktenkundig." Immer wieder würden Politiker und Polizei solche Vorfälle nutzen, um neue Überwachungsmöglichkeiten zu fordern, die in den jeweiligen Fällen gar nicht geholfen hätten.
Firefox und Linux sicherer machen
Auf dem Kongress mussten sich die Hacker aber auch Kritik gefallen lassen. Nach Ansicht Soghoins müssten die Entwickler endlich die Sicherheit von Firefox verbessern, der in dieser Hinsicht deutlich hinter dem Chrome-Browser liege. Schließlich basiere auch der Tor-Browser auf Firefox. Auch Linux sei nicht sicherer als Windows, sagte Soghoian und verwies auf die Debatte um den Linux-Kernel(öffnet im neuen Fenster) aus dem vergangenen Jahr. Der Kampf zwischen der Sicherheit des einzelnen und der Sicherheit des Staates geht wohl noch lange weiter.