Bundesverfassungsgericht: Staat soll Umgang mit Sicherheitslücken regeln

Grundsatzurteil aus Karlsruhe: Behörden dürfen zwar Sicherheitslücken für Staatstrojaner horten, das muss aber gesetzlich geregelt sein.

Artikel veröffentlicht am ,
Das Bundesverfassungsgericht fordert ein neues Gesetz für Zero-Day-Exploits.
Das Bundesverfassungsgericht fordert ein neues Gesetz für Zero-Day-Exploits. (Bild: Simon Hofmann/Getty Images)

Die deutschen Ermittlungsbehörden dürfen auf bislang unbekannte Sicherheitslücken für den Einsatz von Staatstrojanern zurückgreifen. Das entschied das Bundesverfassungsgericht in Karlsruhe und wies damit eine Verfassungsbeschwerde von Bürgerrechtlern gegen das baden-württembergische Polizeigesetz ab. Allerdings muss der Umgang mit solchen Sicherheitslücken gesetzlich geregelt werden, um den "Zielkonflikt" zwischen Computerschutz und der Offenhaltung solcher Lücken für die Kommunikationsüberwachung aufzulösen (Az. 1 BvR 2771/18).

Stellenmarkt
  1. Sachbearbeiterinnen / Sachbearbeiter Verfahrensadministration (w/m/d)
    Polizei Berlin, Berlin
  2. Technischer Redakteur (m/w/d)
    Schweickert GmbH, Walldorf
Detailsuche

Gegen das baden-württembergische Polizeigesetz aus dem Jahr 2017 hatte die Gesellschaft für Freiheitsrechte (GFF) geklagt. Ihrer Ansicht nach gefährdet der Einsatz von Staatstrojanern für die im Gesetz ermöglichte Quellen-Telekommunikationsüberwachung (Quellen-TKÜ) die Vertraulichkeit und Integrität ihrer informationstechnischen Systeme. Der Staat verletze seine Schutzpflicht gegenüber den Bürgern, weil er Sicherheitslücken nicht dem Hersteller melde, sondern diese für die Quellen-TKÜ ausnutzen wolle.

Nach Ansicht der Karlsruher Richter hat der Staat tatsächlich die Aufgabe, die Sicherheit von Computern zu schützen. "In der hier zu beurteilenden Konstellation, in der die Behörden von einer Sicherheitslücke wissen, die der Hersteller nicht kennt, trifft den Staat eine konkrete grundrechtliche Schutzpflicht. Er ist verpflichtet, die Nutzerinnen und Nutzer informationstechnischer Systeme vor Angriffen Dritter auf diese Systeme zu schützen", heißt es in dem Urteil.

Allerdings schränkt das Bundesverfassungsgericht ein: "Diese konkrete grundrechtliche Schutzpflicht des Staates schließt nicht aus, eine Quellen-Telekommunikationsüberwachung mittels einer unbekannten Schutzlücke durchzuführen." Dies verlange aber "eine Regelung zur Auflösung des im vorliegenden Verfahren in Rede stehenden Zielkonflikts zwischen dem Schutz vor Infiltration durch Dritte einerseits und der Ermöglichung einer Quellen-Telekommunikationsüberwachung mittels unbekannter Sicherheitslücken zum Zwecke der Gefahrenabwehr andererseits".

Golem Akademie
  1. Penetration Testing Fundamentals
    23.-24. September 2021, online
Weitere IT-Trainings

Konkret fordert das Gericht: "Der Behörde muss eine Abwägung der gegenläufigen Belange für den Fall aufgegeben werden, dass ihr eine Zero-Day-Schutzlücke bekannt wird." Es sei sicherzustellen, "dass die Behörde bei jeder Entscheidung über ein Offenhalten einer unerkannten Sicherheitslücke einerseits die Gefahr einer weiteren Verbreitung der Kenntnis von dieser Sicherheitslücke ermittelt und andererseits den Nutzen möglicher behördlicher Infiltrationen mittels dieser Lücke quantitativ und qualitativ bestimmt, beides zueinander ins Verhältnis setzt und die Sicherheitslücke an den Hersteller meldet, wenn nicht das Interesse an der Offenhaltung der Lücke überwiegt".

Der Einsatz von Zero-Day-Exploits für Staatstrojaner ist seit Jahren umstritten. Zwischenzeitlich hatte selbst Bundesinnenminister Horst Seehofer (CSU) eine Meldepflicht für Sicherheitslücken ins Gespräch gebracht. In dem inzwischen verabschiedeten IT-Sicherheitsgesetz 2.0 findet sich ein solcher Passus jedoch nicht.

Dem Gesetz zufolge darf das Bundesamt für Sicherheit in der Informationstechnik (BSI) Kenntnisse über ihm bekannte Sicherheitslücken zurückhalten, "soweit entdeckte Sicherheitslücken oder Schadprogramme nicht allgemein bekanntwerden sollen, um eine Weiterverbreitung oder rechtswidrige Ausnutzung zu verhindern oder weil das Bundesamt gegenüber Dritten zur Vertraulichkeit verpflichtet ist". Damit soll erreicht werden, dass Polizei und Geheimdienste Zero-Day-Exploits für ihre Zwecke weiterhin nutzen können.

Das Bundesverfassungsgericht muss sich neben der abgelehnten Klage der GFF noch mit weiteren Verfahren wegen des Einsatzes von Staatstrojanern beschäftigen. So haben die Vereine Digitalcourage und Teletrust im Jahr 2018 entsprechende Beschwerden eingereicht. Diese Beschwerden beziehen sich aber auf die im Juni 2017 von Union und SPD beschlossene Ausweitung des Staatstrojanereinsatzes.

Nachtrag vom 21. Juli 2021, 15:41 Uhr

Die GFF begrüßte in einer Stellungnahme ihren Teilerfolg vor Gericht. "Die Entscheidung ist ein großer Erfolg für die IT-Sicherheit", sagte der GFF-Vorsitzende Ulf Buermeyer und fügte hinzu: "Die Politik muss Vorkehrungen treffen, damit Cyberkriminelle und ausländische Geheimdienste nicht von den Sicherheitslücken profitieren, die deutsche Behörden bewusst nicht schließen lassen."

Die GFF hat nach eigenen Angaben gegen sieben weitere Gesetze, die den Einsatz von Staatstrojanern erlauben, Verfassungsbeschwerde eingelegt und plant weitere Klagen, unter anderem gegen den Einsatz von Staatstrojanern durch die Verfassungsschutzämter und den Bundesnachrichtendienst. "Die heutige Entscheidung ist ein Meilenstein für die IT-Sicherheit. Sie macht nochmals deutlich, warum wir Staatstrojaner grundsätzlich ablehnen", sagte Buermeyer.

Auch der IT-Branchenverband Eco begrüßte die Entscheidung. Das Bundesverfassungsgericht habe damit staatlicher Spähsoftware Grenzen gesetzt und die Schutzpflicht des Staates betont. Mit Blick auf die aktuelle Debatte um die Spähsoftware Pegasus des israelischen Anbieters NSO sagte Eco-Vorstand Klaus Landefeld: "Da die Behörden bislang keine eigene Software einsetzen, werden eben nicht nur selbstgefundene Lücken offen gelassen, sondern auch Lücken die von der gekauften Software genutzt werden und somit auch dritten Diensten bekannt sind. Ein Schutz ist nicht möglich, der Einsatz kann vom deutschen Staat und seinen Diensten aktuell nicht ausreichend kontrolliert werden."

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Apple
Macbook-Nutzer berichten über gesprungene Displays

Zahlreiche Besitzer von Macbooks mit M1-Chip berichten über plötzlich gesprungene Displays - Apple geht von Fremdverschulden aus.

Apple: Macbook-Nutzer berichten über gesprungene Displays
Artikel
  1. Gesetz tritt in Kraft: Die Uploadfilter sind da
    Gesetz tritt in Kraft
    Die Uploadfilter sind da

    Ab sofort haften große Plattformen für die Uploads ihrer Nutzer. Zu mehr Lizenzvereinbarungen hat das bei der Gema noch nicht geführt.
    Ein Bericht von Friedhelm Greis

  2. Mercedes-Benz: Daimler rechnet mit Abbau von Arbeitsplätzen durch E-Autos
    Mercedes-Benz
    Daimler rechnet mit Abbau von Arbeitsplätzen durch E-Autos

    Mehr Elektroautos bei Daimler bedeuten nach Ansicht der Chefetage weniger Arbeitsplätze. Grund sei der einfachere Einbau eines Elektromotors.

  3. VW, BMW, Daimler: Jedes sechste Elektroauto ist von deutschem Hersteller
    VW, BMW, Daimler
    Jedes sechste Elektroauto ist von deutschem Hersteller

    Das Elektroauto gewinnt an Fahrt bei den deutschen Herstellern und Autokäufern. Bei Angebot und Nachfrage dominiert China.

gaga2 22. Jul 2021 / Themenstart

Direkt in die Liste meiner Spendenziele aufgenommen. Nicht dass denen das Geld ausgeht!

Hagebuttentee 21. Jul 2021 / Themenstart

Der Unsinn lässt sich hier auch weiterführen... hat der Staat eine Sicherheitslücke...

stan__lemur 21. Jul 2021 / Themenstart

Das stimmt so nicht. Die Beschwerde wurde verworfen, weil formaljuristisch nicht alle...

Kommentieren



Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Schnäppchen • Acer XB323UGP (WQHD, 170Hz) 580,43€ • Acer XV340CKP (UWQHD, 144 Hz) 465,78€ • Razer BlackShark V2 + Base Station V2 Chroma 94,98€ • Mega-Marken-Sparen bei MM • Saturn: 1 Produkt zahlen, 2 erhalten • Alternate (u. a. AKRacing Core EX-Wide SE 248,99€) • Fallout 4 GOTY 9,99€ [Werbung]
    •  /