Verschlüsselung: Auch das BKA nutzt Staatstrojaner nur ganz selten
Das Bundeskriminalamt (BKA) hat in den zurückliegenden vier Jahren in keinem einzigen abgeschlossenen Strafverfahren oder zur Gefahrenabwehr einen Staatstrojaner eingesetzt. Das geht dem Bundestagsabgeordneten Konstantin von Notz zufolge aus der Antwort der Bundesregierung (PDF) (öffnet im neuen Fenster) auf eine Kleine Anfrage der Grünen-Fraktion hervor. Zwar steht die Angabe nicht in dem öffentlichen Dokument, weil sie als Verschlusssache eingestuft wurde. Doch Notz erwähnt die Antwort in einem entsprechenden Blogbeitrag(öffnet im neuen Fenster).
Die Angabe deckt sich weitgehend mit einer korrigierten Statistik des Bundesamts für Justiz (BfJ), wonach im Jahr 2019 in nur drei Verfahren in den Bundesländern oder vom Generalbundesanwalt Staatstrojaner zur Quellen-Telekommunikationsüberwachung (Quellen-TKÜ) oder Online-Durchsuchung eingesetzt wurden. Warum das BKA entsprechende Zahlen für geheimhaltungsbedürftig hält, ist unklar.
Verfassungsbeschwerde läuft noch
Denn die Wiesbadener Behörde wird in zahlreichen Fällen direkt vom Generalbundesanwalt mit den Ermittlungen beauftragt(öffnet im neuen Fenster). Das BKA behauptet jedoch(öffnet im neuen Fenster), es könne aus "einsatztaktischen Gründen keine Auskünfte darüber erteilen, wie oft Software zur Durchführung von Maßnahmen der Quellen-TKÜ oder der Online-Durchsuchung bereits zum Einsatz gekommen ist". Ob das BKA Staatstrojaner in noch laufenden Verfahren einsetzt, bleibt unklar.
Das Bundesverfassungsgericht hatte im Jahr 2016 die Regelungen zu Staatstrojanern im BKA-Gesetz für teilweise verfassungswidrig erklärt. Gegen die Neuregelung von 2018 läuft eine weitere Verfassungsbeschwerde. Daher müsste das BKA befürchten, bei einer neuerlichen Niederlage in Karlsruhe die Ermittlungsverfahren zu gefährden. Laut Medienberichten aus dem Januar 2018 war damals bereits ein Staatstrojaner im Einsatz.
Zitis soll Eigenentwicklung übernehmen
Prinzipiell will die Bundesregierung am Instrument der Staatstrojaner festhalten. "Die Quellen-Telekommunikationsüberwachung ist angesichts zunehmender Verschlüsselung eine für die Handlungsfähigkeit der Sicherheitsbehörden wichtige Fähigkeit", heißt es in der Antwort. Die Entwicklung dieser Programme soll dabei die Zentrale Stelle für Informationstechnik im Sicherheitsbereich (Zitis) übernehmen. Die Begründung: "Vor dem Hintergrund der Stärkung einer digitalen Souveränität ist daher eine krisenfeste Versorgungssicherheit anzustreben. Staatliche Eigenentwicklung ist ein unverzichtbarer Teil, um dies gewährleisten zu können, um die Abhängigkeiten von Herstellern und Dienstleistern aus dem Nicht-EU-Ausland zu verringern und um das Einhalten gesetzlicher Vorgaben und der korrespondierenden ethischen Werte sicherzustellen."
Daher soll die Zitis "auf Basis seines Errichtungserlasses Kapazitäten erweitern, um für die Behörden des Bundes mit Sicherheitsaufgaben Forschungen und Entwicklungen auf dem Gebiet der Quellen-TKÜ anbieten zu können". Darüber hinaus will sich die Regierung weiterhin Trojaner "aus der globalen Lieferkette" besorgen. Dazu solle die Zitis die Kompetenz aufbauen, um Bundesbehörden beraten und Produkte evaluieren zu können.
Widersprüchliche Position zu Verschlüsselung
In der Antwort bekräftigt die Regierung ihre Position, die Ende-zu-Ende-Verschlüsselung von Kommunikation stärken und fördern zu wollen, gleichzeitig aber sicherzustellen, "dass die Strafverfolgungs- und Sicherheitsbehörden ihre bestehenden Befugnisse auch in der digitalen Welt anwenden und durchsetzen können". Notz bezeichnete diese Politik als "hoch widersprüchlich", denn das Innenministerium stelle Verschlüsselungsverfahren "immer wieder in Frage".
Laut Notz hehlen die Behörden weiterhin auf dem Schwarzmarkt mit Sicherheitslücken, auch wenn dies in der Antwort dementiert werde. Darin heißt es wörtlich: "Die Regierung plant nicht und setzt sich auch nicht für einen staatlichen Handel mit Sicherheitslücken ein." Das Bundesamt für Sicherheit in der Informationstechnik (BSI) wirke darauf hin, "sämtliche Sicherheitslücken umgehend und im vertrauensvollen Austausch mit den Technologieherstellern zu schließen".
Diskussion über Schwachstellenmanagement
Das neue IT-Sicherheitsgesetz enthält jedoch einen Passus, wonach das BSI Kenntnisse über ihm bekannte Sicherheitslücken zurückhalten darf, "soweit entdeckte Sicherheitslücken oder Schadprogramme nicht allgemein bekanntwerden sollen, um eine Weiterverbreitung oder rechtswidrige Ausnutzung zu verhindern oder weil das Bundesamt gegenüber Dritten zur Vertraulichkeit verpflichtet ist". Damit soll erreicht werden, dass Polizei und Geheimdienste Zero-Day-Exploits für ihre Zwecke weiterhin nutzen können.
Die Bundesregierung setzt sich nach eigenen Angaben dazu "mit der Thematik eines verantwortungsvollen Schwachstellenmanagements auseinander". Dazu sei die Meinungsbildung innerhalb der Bundesregierung aber nicht abgeschlossen. Die Schwierigkeiten beim Einsatz von Staatstrojanern machen zumindest deutlich, warum die EU-Staaten beim Zugriff auf verschlüsselte Verfahren auf die Kooperation mit den Anbietern setzen. Hierzu haben die EU-Staaten im Dezember 2020 eine umstrittene Resolution verabschiedet.
Post-Quanten-Kryptografie fördern
Ein großer Teil der Anfrage betrifft die Gefahren für Verschlüsselungsverfahren durch künftige Quantencomputer. Hier verweist die Regierung auf zahlreiche Forschungsprojekte zur Post-Quanten-Kryptografie. Dabei geht die Regierung davon aus, "dass sich Post-Quanten-Kryptografie innerhalb der nächsten Jahre in allen Produkten, die kryptografische Mechanismen nutzen, durchsetzen wird". Diese Verfahren seien zur Absicherung ausreichend, "so dass Quantennetzwerke aus Sicherheitsperspektive in der Breite derzeit nicht erforderlich sind", heißt es weiter. Als sichere Verfahren empfiehlt die Regierung FrodoKEM und Classic McEliece.
- Anzeige Hier geht es zu Hacking & Security: Das umfassende Handbuch bei Amazon Wenn Sie auf diesen Link klicken und darüber einkaufen, erhält Golem eine kleine Provision. Dies ändert nichts am Preis der Artikel.