Bundesverfassungsgericht: Staat soll Umgang mit Sicherheitslücken regeln

Grundsatzurteil aus Karlsruhe: Behörden dürfen zwar Sicherheitslücken für Staatstrojaner horten, das muss aber gesetzlich geregelt sein.

Artikel veröffentlicht am ,
Das Bundesverfassungsgericht fordert ein neues Gesetz für Zero-Day-Exploits.
Das Bundesverfassungsgericht fordert ein neues Gesetz für Zero-Day-Exploits. (Bild: Simon Hofmann/Getty Images)

Die deutschen Ermittlungsbehörden dürfen auf bislang unbekannte Sicherheitslücken für den Einsatz von Staatstrojanern zurückgreifen. Das entschied das Bundesverfassungsgericht in Karlsruhe und wies damit eine Verfassungsbeschwerde von Bürgerrechtlern gegen das baden-württembergische Polizeigesetz ab. Allerdings muss der Umgang mit solchen Sicherheitslücken gesetzlich geregelt werden, um den "Zielkonflikt" zwischen Computerschutz und der Offenhaltung solcher Lücken für die Kommunikationsüberwachung aufzulösen (Az. 1 BvR 2771/18).

Stellenmarkt
  1. SAP SuccessFactors Consultant (w/m/d)
    VRG HR GmbH', verschiedene Standorte
  2. Mitarbeiter IT-Koordination (m/w/d)
    PTK Bayern, München
Detailsuche

Gegen das baden-württembergische Polizeigesetz aus dem Jahr 2017 hatte die Gesellschaft für Freiheitsrechte (GFF) geklagt. Ihrer Ansicht nach gefährdet der Einsatz von Staatstrojanern für die im Gesetz ermöglichte Quellen-Telekommunikationsüberwachung (Quellen-TKÜ) die Vertraulichkeit und Integrität ihrer informationstechnischen Systeme. Der Staat verletze seine Schutzpflicht gegenüber den Bürgern, weil er Sicherheitslücken nicht dem Hersteller melde, sondern diese für die Quellen-TKÜ ausnutzen wolle.

Nach Ansicht der Karlsruher Richter hat der Staat tatsächlich die Aufgabe, die Sicherheit von Computern zu schützen. "In der hier zu beurteilenden Konstellation, in der die Behörden von einer Sicherheitslücke wissen, die der Hersteller nicht kennt, trifft den Staat eine konkrete grundrechtliche Schutzpflicht. Er ist verpflichtet, die Nutzerinnen und Nutzer informationstechnischer Systeme vor Angriffen Dritter auf diese Systeme zu schützen", heißt es in dem Urteil.

Allerdings schränkt das Bundesverfassungsgericht ein: "Diese konkrete grundrechtliche Schutzpflicht des Staates schließt nicht aus, eine Quellen-Telekommunikationsüberwachung mittels einer unbekannten Schutzlücke durchzuführen." Dies verlange aber "eine Regelung zur Auflösung des im vorliegenden Verfahren in Rede stehenden Zielkonflikts zwischen dem Schutz vor Infiltration durch Dritte einerseits und der Ermöglichung einer Quellen-Telekommunikationsüberwachung mittels unbekannter Sicherheitslücken zum Zwecke der Gefahrenabwehr andererseits".

Golem Karrierewelt
  1. First Response auf Security Incidents: Ein-Tages-Workshop
    14.11.2022, Virtuell
  2. Airtable Grundlagen: virtueller Ein-Tages-Workshop
    31.08.2022, Virtuell
Weitere IT-Trainings

Konkret fordert das Gericht: "Der Behörde muss eine Abwägung der gegenläufigen Belange für den Fall aufgegeben werden, dass ihr eine Zero-Day-Schutzlücke bekannt wird." Es sei sicherzustellen, "dass die Behörde bei jeder Entscheidung über ein Offenhalten einer unerkannten Sicherheitslücke einerseits die Gefahr einer weiteren Verbreitung der Kenntnis von dieser Sicherheitslücke ermittelt und andererseits den Nutzen möglicher behördlicher Infiltrationen mittels dieser Lücke quantitativ und qualitativ bestimmt, beides zueinander ins Verhältnis setzt und die Sicherheitslücke an den Hersteller meldet, wenn nicht das Interesse an der Offenhaltung der Lücke überwiegt".

Der Einsatz von Zero-Day-Exploits für Staatstrojaner ist seit Jahren umstritten. Zwischenzeitlich hatte selbst Bundesinnenminister Horst Seehofer (CSU) eine Meldepflicht für Sicherheitslücken ins Gespräch gebracht. In dem inzwischen verabschiedeten IT-Sicherheitsgesetz 2.0 findet sich ein solcher Passus jedoch nicht.

Dem Gesetz zufolge darf das Bundesamt für Sicherheit in der Informationstechnik (BSI) Kenntnisse über ihm bekannte Sicherheitslücken zurückhalten, "soweit entdeckte Sicherheitslücken oder Schadprogramme nicht allgemein bekanntwerden sollen, um eine Weiterverbreitung oder rechtswidrige Ausnutzung zu verhindern oder weil das Bundesamt gegenüber Dritten zur Vertraulichkeit verpflichtet ist". Damit soll erreicht werden, dass Polizei und Geheimdienste Zero-Day-Exploits für ihre Zwecke weiterhin nutzen können.

Das Bundesverfassungsgericht muss sich neben der abgelehnten Klage der GFF noch mit weiteren Verfahren wegen des Einsatzes von Staatstrojanern beschäftigen. So haben die Vereine Digitalcourage und Teletrust im Jahr 2018 entsprechende Beschwerden eingereicht. Diese Beschwerden beziehen sich aber auf die im Juni 2017 von Union und SPD beschlossene Ausweitung des Staatstrojanereinsatzes.

Nachtrag vom 21. Juli 2021, 15:41 Uhr

Die GFF begrüßte in einer Stellungnahme ihren Teilerfolg vor Gericht. "Die Entscheidung ist ein großer Erfolg für die IT-Sicherheit", sagte der GFF-Vorsitzende Ulf Buermeyer und fügte hinzu: "Die Politik muss Vorkehrungen treffen, damit Cyberkriminelle und ausländische Geheimdienste nicht von den Sicherheitslücken profitieren, die deutsche Behörden bewusst nicht schließen lassen."

Die GFF hat nach eigenen Angaben gegen sieben weitere Gesetze, die den Einsatz von Staatstrojanern erlauben, Verfassungsbeschwerde eingelegt und plant weitere Klagen, unter anderem gegen den Einsatz von Staatstrojanern durch die Verfassungsschutzämter und den Bundesnachrichtendienst. "Die heutige Entscheidung ist ein Meilenstein für die IT-Sicherheit. Sie macht nochmals deutlich, warum wir Staatstrojaner grundsätzlich ablehnen", sagte Buermeyer.

Auch der IT-Branchenverband Eco begrüßte die Entscheidung. Das Bundesverfassungsgericht habe damit staatlicher Spähsoftware Grenzen gesetzt und die Schutzpflicht des Staates betont. Mit Blick auf die aktuelle Debatte um die Spähsoftware Pegasus des israelischen Anbieters NSO sagte Eco-Vorstand Klaus Landefeld: "Da die Behörden bislang keine eigene Software einsetzen, werden eben nicht nur selbstgefundene Lücken offen gelassen, sondern auch Lücken die von der gekauften Software genutzt werden und somit auch dritten Diensten bekannt sind. Ein Schutz ist nicht möglich, der Einsatz kann vom deutschen Staat und seinen Diensten aktuell nicht ausreichend kontrolliert werden."

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


gaga2 22. Jul 2021

Direkt in die Liste meiner Spendenziele aufgenommen. Nicht dass denen das Geld ausgeht!

Hagebuttentee 21. Jul 2021

Der Unsinn lässt sich hier auch weiterführen... hat der Staat eine Sicherheitslücke...

stan__lemur 21. Jul 2021

Das stimmt so nicht. Die Beschwerde wurde verworfen, weil formaljuristisch nicht alle...



Aktuell auf der Startseite von Golem.de
Microsoft
Exchange Server von gut versteckter Hintertür betroffen

Sicherheitsforscher haben eine Backdoor gefunden, die zuvor gehackte Exchange-Server seit 15 Monaten zugänglich hält.

Microsoft: Exchange Server von gut versteckter Hintertür betroffen
Artikel
  1. Ayn Loki Zero: Dieses PC-Handheld kostet nur 200 US-Dollar
    Ayn Loki Zero
    Dieses PC-Handheld kostet nur 200 US-Dollar

    Es ist das bisher günstigste Modell in einer Reihe von vielen: Der Loki Zero mit 6-Zoll-Display nutzt einen Athlon-Prozessor mit Vega-Grafik.

  2. US-Streaming: Immer mehr Netflix-Abonnenten kündigen nach einem Monat
    US-Streaming
    Immer mehr Netflix-Abonnenten kündigen nach einem Monat

    Netflix hat zunehmend Probleme, neue Abonnenten zu halten. Der Anteil an Neukunden, die nach einem Monat wieder kündigen, steigt.

  3. Ducati V21L: Ducatis elektrische Rennmaschine schafft 275 km/h
    Ducati V21L
    Ducatis elektrische Rennmaschine schafft 275 km/h

    Ducati testet seit einem halben Jahr ein Elektromotorrad für den Rennsport. Der italienische Hersteller nennt Details zu Leistung und Einsatz.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Gigabyte RX 6800 679€ • Samsung SSD 2TB (PS5-komp.) 249,90€ • MindStar (Zotac RTX 3090 1.399€) • Top-Spiele-PC mit AMD Ryzen 7 RTX 3070 Ti 32GB 1.700€ • Nanoleaf günstiger • Alternate (TeamGroup DDR4-3600 16GB 49,99€) Switch OLED günstig wie nie: 333€ [Werbung]
    •  /