Bundesverfassungsgericht: Staat soll Umgang mit Sicherheitslücken regeln

Die deutschen Ermittlungsbehörden dürfen auf bislang unbekannte Sicherheitslücken für den Einsatz von Staatstrojanern zurückgreifen. Das entschied das Bundesverfassungsgericht in Karlsruhe und wies damit eine Verfassungsbeschwerde von Bürgerrechtlern gegen das baden-württembergische Polizeigesetz ab. Allerdings muss der Umgang mit solchen Sicherheitslücken gesetzlich geregelt werden, um den "Zielkonflikt" zwischen Computerschutz und der Offenhaltung solcher Lücken für die Kommunikationsüberwachung aufzulösen (Az. 1 BvR 2771/18).

Gegen das baden-württembergische Polizeigesetz aus dem Jahr 2017 hatte die Gesellschaft für Freiheitsrechte (GFF) geklagt. Ihrer Ansicht nach gefährdet der Einsatz von Staatstrojanern für die im Gesetz ermöglichte Quellen-Telekommunikationsüberwachung (Quellen-TKÜ) die Vertraulichkeit und Integrität ihrer informationstechnischen Systeme. Der Staat verletze seine Schutzpflicht gegenüber den Bürgern, weil er Sicherheitslücken nicht dem Hersteller melde, sondern diese für die Quellen-TKÜ ausnutzen wolle.

Nach Ansicht der Karlsruher Richter hat der Staat tatsächlich die Aufgabe, die Sicherheit von Computern zu schützen. "In der hier zu beurteilenden Konstellation, in der die Behörden von einer Sicherheitslücke wissen, die der Hersteller nicht kennt, trifft den Staat eine konkrete grundrechtliche Schutzpflicht. Er ist verpflichtet, die Nutzerinnen und Nutzer informationstechnischer Systeme vor Angriffen Dritter auf diese Systeme zu schützen", heißt es in dem Urteil.

Allerdings schränkt das Bundesverfassungsgericht ein: "Diese konkrete grundrechtliche Schutzpflicht des Staates schließt nicht aus, eine Quellen-Telekommunikationsüberwachung mittels einer unbekannten Schutzlücke durchzuführen." Dies verlange aber "eine Regelung zur Auflösung des im vorliegenden Verfahren in Rede stehenden Zielkonflikts zwischen dem Schutz vor Infiltration durch Dritte einerseits und der Ermöglichung einer Quellen-Telekommunikationsüberwachung mittels unbekannter Sicherheitslücken zum Zwecke der Gefahrenabwehr andererseits".

Konkret fordert das Gericht: "Der Behörde muss eine Abwägung der gegenläufigen Belange für den Fall aufgegeben werden, dass ihr eine Zero-Day-Schutzlücke bekannt wird." Es sei sicherzustellen, "dass die Behörde bei jeder Entscheidung über ein Offenhalten einer unerkannten Sicherheitslücke einerseits die Gefahr einer weiteren Verbreitung der Kenntnis von dieser Sicherheitslücke ermittelt und andererseits den Nutzen möglicher behördlicher Infiltrationen mittels dieser Lücke quantitativ und qualitativ bestimmt, beides zueinander ins Verhältnis setzt und die Sicherheitslücke an den Hersteller meldet, wenn nicht das Interesse an der Offenhaltung der Lücke überwiegt".

Der Einsatz von Zero-Day-Exploits für Staatstrojaner ist seit Jahren umstritten. Zwischenzeitlich hatte selbst Bundesinnenminister Horst Seehofer (CSU) eine Meldepflicht für Sicherheitslücken ins Gespräch gebracht. In dem inzwischen verabschiedeten IT-Sicherheitsgesetz 2.0 findet sich ein solcher Passus jedoch nicht.

Dem Gesetz zufolge darf das Bundesamt für Sicherheit in der Informationstechnik (BSI) Kenntnisse über ihm bekannte Sicherheitslücken zurückhalten, "soweit entdeckte Sicherheitslücken oder Schadprogramme nicht allgemein bekanntwerden sollen, um eine Weiterverbreitung oder rechtswidrige Ausnutzung zu verhindern oder weil das Bundesamt gegenüber Dritten zur Vertraulichkeit verpflichtet ist". Damit soll erreicht werden, dass Polizei und Geheimdienste Zero-Day-Exploits für ihre Zwecke weiterhin nutzen können.

Das Bundesverfassungsgericht muss sich neben der abgelehnten Klage der GFF noch mit weiteren Verfahren wegen des Einsatzes von Staatstrojanern beschäftigen. So haben die Vereine Digitalcourage und Teletrust im Jahr 2018 entsprechende Beschwerden eingereicht. Diese Beschwerden beziehen sich aber auf die im Juni 2017 von Union und SPD beschlossene Ausweitung des Staatstrojanereinsatzes.

Nachtrag vom 21. Juli 2021, 15:41 Uhr

Die GFF begrüßte in einer Stellungnahme ihren Teilerfolg vor Gericht. "Die Entscheidung ist ein großer Erfolg für die IT-Sicherheit", sagte der GFF-Vorsitzende Ulf Buermeyer und fügte hinzu: "Die Politik muss Vorkehrungen treffen, damit Cyberkriminelle und ausländische Geheimdienste nicht von den Sicherheitslücken profitieren, die deutsche Behörden bewusst nicht schließen lassen."

Die GFF hat nach eigenen Angaben gegen sieben weitere Gesetze, die den Einsatz von Staatstrojanern erlauben, Verfassungsbeschwerde eingelegt und plant weitere Klagen, unter anderem gegen den Einsatz von Staatstrojanern durch die Verfassungsschutzämter und den Bundesnachrichtendienst. "Die heutige Entscheidung ist ein Meilenstein für die IT-Sicherheit. Sie macht nochmals deutlich, warum wir Staatstrojaner grundsätzlich ablehnen", sagte Buermeyer.

Auch der IT-Branchenverband Eco begrüßte die Entscheidung. Das Bundesverfassungsgericht habe damit staatlicher Spähsoftware Grenzen gesetzt und die Schutzpflicht des Staates betont. Mit Blick auf die aktuelle Debatte um die Spähsoftware Pegasus des israelischen Anbieters NSO sagte Eco-Vorstand Klaus Landefeld: "Da die Behörden bislang keine eigene Software einsetzen, werden eben nicht nur selbstgefundene Lücken offen gelassen, sondern auch Lücken die von der gekauften Software genutzt werden und somit auch dritten Diensten bekannt sind. Ein Schutz ist nicht möglich, der Einsatz kann vom deutschen Staat und seinen Diensten aktuell nicht ausreichend kontrolliert werden."