Stand: 17.11.2017 12:23 Uhr

Staatliche Hacker? Nichts genaues weiß man nicht

von Stefanie Groth

Deutsche Strafverfolger sollen zu Hackern werden, um für mehr Sicherheit zu sorgen. So will es das Bundesinnenministerium und hat deshalb ZITiS - Zentrale Stelle für Informationstechnik im Sicherheitsbereich - ins Leben gerufen. Nach welchen rechtlichen und ethischen Maßstäben diese Behörde arbeiten wird, konnte oder wollte aber bisher niemand beantworten. Auch nicht ihr Präsident Wilfried Karl.

Cyberattacke im Mai 2017 - ein Ausnahmezustand, verursacht durch den Kryptotrojaner "WannaCry". Am Ende waren laut Europol 200.000 Opfer in 150 Ländern betroffen. Vom US-amerikanischen Lieferdienst Fedex über die Deutsche Bahn bis hin zum britischen Gesundheitsdienst NHS war der Regelbetrieb gestört. Und danach war ein für alle mal klar: internationale Angriffe auf Computersysteme bedeuten nicht nur finanzielle Schäden in Millionenhöhe. Es stehen Menschenleben auf dem Spiel.

Hacking durch Staaten - mehr Sicherheit oder Bedrohung?

Thomas de Maizière (CDU) steht an einem Rednerpult. © NDR
"Im digitalen Zeitalter mithalten" will Bundesinnenminister Thomas de Maizière.

Es gehört zur staatlichen Aufgabe Bürger und Bürgerinnen sowie Infrastrukturen davor zu schützen. CDU/CSU, FDP und Grüne haben sich in ihren Sondierungsgesprächen bereits auf eine bundesweit einheitliche Abwehr von Gefahren aus dem Cyberraum verständigt. Deshalb soll die im April geschaffene Behörde ZITiS, Zentrale Stelle für Informationstechnik im Sicherheitsbereich, Methoden und Werkzeuge entwickeln, um Strafverfolgungsbehörden bei der Kriminalitätsbekämpfung, Gefahren- und Spionageabwehr zu unterstützen. Dazu zählt auch, deutsche Strafverfolger zu befähigen Systeme zu hacken. Also die Verschlüsselung etwa von Smartphones oder Festplatten zu knacken. Man wolle "im digitalen Zeitalter mithalten können", erklärte Bundesinnenminister Thomas de Maizière. Es gehe darum, gegenüber Straftätern handlungsfähig zu bleiben, egal, ob diese analog oder im Internet agieren würden.

Verschlüsselung erschwert Nachrichtendiensten die Arbeit

Wilfried Karl, Präsident der Zitis, am 14.09.2017 bei der Eröffnung der Zentralen Stelle für Informationstechnik im Sicherheitsbereich (Zitis) in München (Bayern).
Will "bündeln und Synergien schaffen": Wilfried Karl, Präsident von ZITiS.

Wie genau allerdings ZITiS arbeiten soll, ist weitestgehend unklar. Und wirklich schlauer wurde man auch nicht aus einem Vortrag des Präsidenten dieser Behörde, Wilfried Karl. Immerhin, am 15. November 2017 stellte er sich auf dem "Internet Governance Forum" in Berlin der öffentlichen Debatte. Er betonte, dass "die neue Kommunikationstechnik zusammen mit der stark zunehmenden Verfügbarkeit von Verschlüsselung zum Wohle uns aller, die wir kommunizieren", zeitgleich die Aufklärungsarbeit von Nachrichtendiensten und Polizei erheblich erschwert habe. Innerhalb der föderalistischen Sicherheitsstruktur Deutschlands sei es die Aufgabe von ZITiS "zu bündeln und Synergien zu schaffen". Dabei sei ZITiS ein Dienstleistungsunternehmen, das den Ermittlungsbehörden zuarbeite, selbst aber "keine neuen oder operativen Befugnisse" erhalte.

Behörden als Hacker?

Soweit, so bekannt. ZITiS war bereits im April mit Sitz in München gegründet worden, die Eröffnung wurde aber verschoben. Die Behörde scheint erhebliche Probleme zu haben qualifiziertes Personal zu finden. 400 Mitarbeiter sollen es werden. In Medienberichten heißt es, man habe gerade mal 17. Wilfried Karl wollte sich zu diesen Zahlen auf Rückfrage nicht konkret äußern. Da man noch mitten im Aufbau sei, könne er auf viele Fragen noch keine Antwort geben, sagte er  immer wieder. Karl selbst als Präsident von ZITiS ist eine interessante Personalie. Der studierte Elektrotechniker arbeitete fast 25 Jahre beim Bundesnachrichtendienst BND, war zuletzt  Kommissarischer Leiter der Abteilung Technische Aufklärung.

Weitere Informationen
Das Bild zeigt eine Karte Europas, die mit Nullen und Einsen hinterlegt ist und das Internet symbolisieren soll. Von Moskau ausgehende führen Linien führen hinein in viele europäische Länder - das soll zeigen, wie Russland mit Desinformationskampagnen im Netz Einfluss auf die Wahlen in der EU nehmen könnte. © NDR

Politische Propaganda: Der Kalte Krieg im Netz

Zur Europawahl wird mit Desinformationskampagnen aus Russland und anderen Staaten gerechnet. Die EU will diese mit einem Frühwarnsystem identifizieren und aufhalten. mehr

Die entscheidende Frage Richtung ZITiS ist jedoch, ob und wie deutsche Behörden Hacking in Zukunft in großem Ausmaß einsetzen wollen und unter welchen Bedingungen staatliches Hacking zur Gefahrenabwehr verhältnismäßig und mit Grund- und Menschenrechten vereinbar ist. Auch hierzu nur wenig konkretes seitens Karl, der zeitgleich versicherte: "Der Staat macht keine anlasslose Massenüberwachung". Gelächter im Publikum und weiterhin mehr Fragen als Antworten.

Ist Angriff die beste Verteidigung - oder Abwehr?

Constanze Kurz, Sprecherin des Chaos Computer Clubs © dpa Foto: Axel Heimken
Ist für defensive Sicherheitsstrategien: Constanze Kurz, Sprecherin vom Chaos Computer Club.

Für Kritiker markiert die Gründung von ZITiS in jedem Fall einen bedenklichen Paradigmenwechsel. Constanze Kurz, Sprecherin vom Chaos Computer Club, erklärte: "Plötzlich reden wir über die Normalisierung staatlichen Hackings. Das ist der falsche Weg. Deutschland braucht eine aktive Sicherheitsforschung und eine gute defensive Sicherheitsstrategie. Keine offensive, wie Deutschland sie gerade anstrebt."

Dr. Ulf Buermeyer, Vorsitzender der Gesellschaft für Freiheitsrechte hinterfragte den Richtungswechsel ebenfalls, lenkte aber ein: "Da die politische Entscheidung nun gefallen ist, kann die Gründung von ZITiS auch eine Chance sein für die Arbeit der Ermittlungsbehörden. Wenn, dann sollte das professionell geschehen." Leider erhielten die Sicherheitsbehörden aber einen starken Fehlanreiz, nämlich jenen, Sicherheitslücken nicht offenzulegen und zu beseitigen. "Sprich, sobald ich dem Staat erlaube zu hacken, hat er ein Interesse daran, das IT-Systeme nicht so sicher wie möglich sind, Menschen weltweit also mit unsicherer IT arbeiten. Das ist ein gefährliches Spannungsverhältnis das da gerade entsteht."

Defensive oder Offensive - es geht um die Frage, ob Sicherheitslücken, also Schwachstellen in Soft- oder Hardware, dem jeweiligen Hersteller gemeldet werden oder nicht, sobald ein Hacker sie entdeckt. So dass beispielsweise durch ein Update verhindert werden kann, dass Angreifer diese Sicherheitslücke für sich nutzen. Verfechter der Defensive sagen, wer solche Schwachstellen nicht meldet, gefährdet die Sicherheit aller Nutzer. Offensiv argumentiert, gelten solche Sicherheitslücken als Spionage-Waffen, die man selbst nutzen kann, um Kriminellen und Terroristen anheim zu kommen. Sie dienen so gesehen also der nationalen Sicherheit, wenn sie nicht offengelegt werden.

Weitere Informationen
Eine Person im grünen Kapuzensweatshirt und Laptop hinter Zahlenreihen. © dpa picture alliance Foto: Aytac Unal

Hacker-Treffen: Den Sicherheitslücken auf der Spur

Bis Freitag trifft sich die Hacker-Szene in Hamburg, um über Computer-Trends zu diskutieren. Mehr als 12.000 Teilnehmer werden beim Chaos Communication Congress erwartet. mehr

Verschieben von Verantwortlichkeiten erschwert Kontrolle

Was aber passieren kann, wenn Ermittlungsbehörden Sicherheitslücken für sich behalten, hat "WannaCry" im Mai diesen Jahres deutlich gemacht. Der US-amerikanische Geheimdienst NSA habe von den Sicherheitslücken gewusst, die für die Ransomware-Attacke genutzt wurden, sie aber nicht an Microsoft weitergegeben, heißt es. Die offensive Strategie hat den größten Wirtschaftsschaden durch eine Cyber-Attacke also nicht verhindert, sondern mit ermöglicht. Wie ZITiS plant, solche Entscheidungen künftig abzuwägen ist unklar. Auch dazu von Karl keine gewinnbringende Antwort. Ulf Buermeyer fordert, die Verantwortlichkeit in dieser Frage klar zu benennen: "Hier droht das klassische Verschieben von Verantwortlichkeiten. Wenn man kritisch bei ZITiS nachfragt, wird auf das BKA verwiesen, die wiederum zeigen zurück zu ZITiS usw. Deswegen halte ich die parlamentarische Kontrolle für so bedeutsam, damit darf man die Sicherheitsbehörden nicht wegkommen lassen. Der Deutsche Bundestag muss jedenfalls jederzeit genau im Bild sein, was sich da tut."

Transparenz - aber wann?

Immerhin, Karl äußerte am Ende, dass es natürlich Kontrollmechanismen, Qualitätssicherung und Transparenz zur Arbeit von ZITiS brauche, aber "da sind wir bei ZITiS noch lange nicht soweit". Darüber hinaus regte er an, dass man die Debatte doch weniger emotional führen solle. "Das ist kein Argument, und natürlich muss man diese Debatte emotional führen", konterte Constanze Kurz, "Denn die wollen letztendlich in die Gehirne, in die Gedanken der Bürger und Bürgerinnen hinein, hinter ihrem Rücken und das dauerhaft."

Weitere Informationen
Folie aus einem Vortrag von David Kriesel, Computerwissenschaftler. © David Kriesel / CCC

Big Data: Gefahren für Journalisten

Wann gehen "Spiegel"-Redakteure schlafen? Welche Leser-Kommentare sind erwünscht? David Kriesel glaubt, das zu wissen. Er speichert und analysiert "Spiegel Online"-Artikel. mehr

Dieses Thema im Programm:

ZAPP | 27.03.2019 | 23:20 Uhr