Verfassungsschutz will ohne Sicherheitslücken auskommen
"Die Ausnutzung von Zero-Days verursacht Gefahren für die informationstechnische Infrastruktur der Bundesrepublik, die so groß sind, dass es kein relevantes Anliegen geben kann des Verfassungsschutzes, das es rechtfertigen würde, solche Gefahren hinzunehmen", sagte Bäcker. Das müsse auch im Gesetz klargestellt werden, da sonst das IT-Grundrecht verletzt würde.
Nach Angaben von Verfassungsschutzpräsident Thomas Haldenwang sind solche Exploits jedoch gar nicht erforderlich, um Trojaner zu platzieren. "Die Technik funktioniert anders. Die Technik kann ich ihnen nicht darstellen, weil dann wüsste unser Gegner genau, was zu tun ist. Aber es geht jedenfalls nicht um die Ausnutzung von Lücken, die bereits bisher in Internetsystemen vorhanden sind", sagte Haldenwang.
Nur mit Hilfe der Provider möglich
Stattdessen verwies er auf die Schwierigkeiten, solche Trojaner ohne Mithilfe der Provider einzusetzen. Wenn der Verfassungsschutz das mit eigenen Mitteln umsetzen müsse, "hätte dieses Instrument kaum noch Anwendungsfälle". Das sei "technisch komplex in der Durchführung", zeitaufwendig und kein probates Mittel, schnelle Ergebnisse zu erzielen. "Deshalb sind wir auf die Mitwirkung der Provider angewiesen", sagte Haldenwang.
Dabei verteidigte Haldenwang das geplante Gesetz mit dem Verweis auf Attentate von Einzeltätern wie beim Anschlag auf den Kasseler Regierungspräsidenten Walter Lübcke oder auf die Synagoge in Halle an der Saale, die von seiner Behörde nicht verhindert werden konnten: "So wenig man der Feuerwehr ein Löschfahrzeug nicht bewilligt, weil sie in der Vergangenheit einmal einen Brand nicht gelöscht haben, so wenig sollte man an dieser Stelle sagen: Wir geben dem Verfassungsschutz dieses notwendige Instrument nicht. Wenn es nur einmal klappt, einen Anschlag zu verhindern, dann war es die Sache schon wert."
"Erhebliches Missbrauchspotenzial"
Nach Ansicht Bäckers kann die geplante Manipulation von Datenströmen zu Wechselwirkungen mit der sonstigen Netzinfrastruktur führen, "die man so gar nicht absehen kann". Wobei eine solche Manipulation bei verschlüsseltem Traffic nicht ohne weiteres möglich sein sollte. "Es muss sich eigentlich um verschlüsselte Datenströme handeln. Dann wiederum kann man sich eigentlich fast nur noch vorstellen, dass Sicherheitslücken der Zielsysteme ausgenutzt werden. Und da kommt man eben in Teufels Küche", sagte Bäcker.
Rusteberg warnte ebenfalls vor den Mitwirkungspflichten der Provider. Durch diese gebe es ein "ganz erhebliches Missbrauchspotenzial". Durch die gezielte Manipulation der Daten könne "im Prinzip jedem alles auf den Rechner gespielt werden". Das sei zwar rechtlich nicht zulässig, aber faktisch ohne weiteres möglich.
Stattdessen Apple und Microsoft verpflichten?
Bäcker plädierte stattdessen dafür, die Betriebssystemhersteller zu verpflichten, "bei Zielpersonen von Überwachungsmaßnahmen eine manipulierte Version des Betriebssystems beim nächsten Update auszuleiten, so dass sich dann der Trojaner quasi mit installiert". Dazu müsste man an Firmen wie Apple oder Microsoft herantreten und zu einer Mitwirkung verpflichten, "die über eine Umleitung der Datenströme erheblich hinausgeht". Das sei unter dem Gesichtspunkt der Sicherheit der "vorzugswürdigere Weg".
Prinzipielle rechtliche Einwände gegen eine Mitwirkungspflicht der Provider sahen die Experten hingegen nicht. Graulich verwies vielmehr darauf, dass die Pflichten bei der derzeit ausgesetzten Vorratsdatenspeicherung noch deutlich weiter gingen.
Eco warnt vor Vertrauensverlust
Der IT-Branchenverband Eco lehnt die Umleitung der Daten hingegen ab. Damit werde "eine Vielzahl an rechtlichen und prozeduralen Fragen aufgeworfen", hieß es in der Stellungnahme (PDF). Der Verband verweist darauf, dass nach einer Änderung des Telekommunikationsgesetzes (TKG) künftig auch Anbieter von E-Mail-, Messaging-, und VoIP-Diensten in die Verpflichtungen einbezogen würden. Solche Maßnahmen seien geeignet, "das Vertrauen in die Kommunikation einschließlich aller abgerufenen Informationen massiv und dauerhaft zu untergraben". Der Verband bewerte daher eine solche Regelung "äußerst kritisch und lehnt insbesondere eine Veränderung und Manipulation der Kommunikation sowie deren Unterdrückung entschieden ab".
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
- ohne Werbung
- mit ausgeschaltetem Javascript
- mit RSS-Volltext-Feed
Staatstrojaner für Geheimdienste: Der Man-in-the-Middle-Angriff auf die Verfassung |
- 1
- 2
Es ist wahrscheinlich nicht nur viel schlimmer, sondern ich denke, das ist nur eine...