Benutzerspezifische Werkzeuge
Sie sind hier: Startseite hessentrojaner

FIfF-Sachverständigenauskunft zum Trojanereinsatz durch den hessischen Verfassungsschutz - FIfF lehnt Hessentrojaner ab

Pressemitteilung vom 7.2.2018

Am morgigen Donnerstag (8.2.2018) findet eine öffentliche mündliche Anhörung des hessischen Innenausschusses zum Gesetzentwurf der Fraktionen von CDU und BÜNDNIS 90/DIE GRÜNEN für ein Gesetz zur Neuausrichtung des Verfassungsschutzes in Hessen (HVSG) statt. Weil dem hessischen Verfassungsschutz innerhalb dieser Gesetzesnovelle auch der Einsatz von Trojanern in Form von verdeckter Quellen-TKÜ und geheimer Online-Durchsuchung erlaubt werden soll, ist das FIfF als Sachverständiger eingeladen worden. Wir empfehlen dringend, die Quellen-TKÜ und die heimliche Online-Durchsuchung ersatzlos zu streichen.

EinleitungHessentrojaner

Geheimdienste, also staatliche Behörden, die wesentlich auf verdeckte Maßnahmen, Tarnoperationen, „Vertrauensleute“ oder verdeckte Mitarbei­terInnen setzen, sind inhärent auf Intransparenz angelegt und angewiesen, da Heimlichkeit das primäre Mittel ist, die ihnen übertragenen Aufgaben auszufüllen. Ermächtigungen derartiger Dienste müssen folglich besonders kritisch analysiert werden, da einmal freigegebene Maßnahmen und ermöglichte Methoden meist nur nach Skandalen erneut zur breiten Diskussion gestellt werden (können).

Auch wenn sich die Aufgabenbereiche von Polizeien und Geheimdiensten mittlerweile gefährlich überlappen, sind dennoch die Berichts- und Transparenzpflichten von polizeilichen Behörden – im Gegensatz zu verdeckt tätigen Organisationen – zumindest grundsätzlich auf Offenheit angelegt. Wegen dieses gewichtigen Unterschieds gehen die rechtfertigenden Referenzen des Gesetzentwurfs bezüglich der Entscheidung des Bundesverfassungsgerichts zum BKA-Gesetz natürlich prinzipiell fehl. Ein Geheimdienst ist keine Polizei und eine Polizei ist kein Geheimdienst.

Der aktuelle Vorstoß, Geheimdiensten wie dem Verfassungsschutz die Er­mächtigung zu geben, informationstechnische Systeme zu infiltrieren, ist in einen stetigen, sehr beunruhigenden Trend einzuordnen: der schrittweise Ausbau von informationstechnischen Offensivfähigkeiten der Behörden im Sicherheitsbereich. Der Bundesnachrichtendienst (BND) hat mit seiner 300-Millionen-Euro-teuren „Strategische Initiative Technik“ die Fähigkeiten bekommen, technische Systeme verdeckt und offen angreifen können[0]. Aber auch die Bundeswehr wurde durch die „Strategische Leitlinie Cyber-Verteidigung“ aufgerüstet, die explizit – anders als der Name impliziert – auch „offensive Cyber-Fähigkeiten“ als „Wirkmittel“ vorsieht.[1]

Es werden also viele hundert Millionen Euro in geheime IT-Angriffsstrategien investiert; doch beispielsweise für das „Nationale Referenzprojekt zur IT-Sicherheit in Industrie 4.0“[2] – die digitale Absicherung der Zu­kunft der deutschen Industrie – gibt es nur eine Finanzierung von 33 Millionen Euro; ein klares Missverhältnis. Wir halten diese primäre Offensivausrichtung für die schlechteste aller Digitalisierungsstrategien.

Gewährleistung der Vertraulichkeit und Integrität unserer Infrastruktur

Wenn wir von einer vernetzten Gesellschaft mit „Cloud“, „Industrie 4.0“, „Internet of Things“ und „smarten“ Infrastrukturen sprechen wollen, so muss immer auch die damit einher­gehende gegenseitige Abhängigkeit und Verwundbarkeit mitgedacht werden. Wird also ein Hersteller oder Softwareprodukt durch bestimmte Maßnahmen und Regelungen geschützt, werden parallel dazu auch die anderswo eingesetzten Systeme, NutzerInnen und Nutzungsarten mitgeschützt. Im Gegenzug bedeutet dies jedoch auch, dass Schädigungen oder Schwächungen von bestimmten Software­kom­ponenten gleichermaßen auch alle anderen Einsatzweisen schwächt und unsicherer macht. Aus diesem Grunde war es beispielsweise möglich, dass die Schadsoftware „Wannacry“ sowohl private Laptops als auch ganze Krankenhaus-, Eisenbahn- und Providersysteme lahmlegen konnte.[3]

Nun nutzen alle Formen staatlichen Hackings wie etwa die verdeckte Quellen-TKÜ oder die geheime Online-Durchsuchung – bekannte oder unbekannte – Sicherheitslücken. Doch woher kommen diese und was hat die Nutzung für Auswirkungen auf die allgemeine (IT-)Sicherheit? 

Analyse der Kollateralschäden

Üblicherweise sind gerade staatliche Akteure im Sicherheitsbereich finanziell gut ausgestattet und können Sicherheitslücken am weltweiten Schwarzmarkt erwerben. Doch dadurch werden diese Unsicherheits-Märkte ganz wesentlich erzeugt, vergrößert und fatalerweise sogar demokratisch legitimiert. Gefundene Lücken werden nun zunehmend nicht mehr an Hersteller gemeldet, sondern auf den Märkten an die Meistbietenden versteigert. In der Folge wird die gesamte IT-Infrastruktur unsicherer, da die Lücken natürlich auch Kriminellen, nicht befreundeten und auch „befreundeten“ Staaten offenstehen.

Üblicherweise verkaufen diese Sicherheitslücken-Händler ihre toxische Ware auch nicht nur an demokratische Staaten, wie man an der aktuell vom Bundeskriminalamt (BKA) beauftragten[4] deutsche Firma Gamma/FinFisher sehen kann. Deren Software FinSpy wurde damals auch von bahrainischen Behörden genutzt, um DissidentInnen zu verfolgen und den Arabischen Frühling niederzuschlagen.[5] Weitere Kunden der Firma sind Behörden in Diktaturen wie Dubai oder Katar.[6] Dabei werden auch diese Firmen immer wieder gehackt und dann deren Software, Sicherheitslücken und interne Doku­mente veröffentlicht.[7]

Das ist der aktuelle katastrophale Zustand der weltweiten IT-Sicherheit. Und deutsche Behörden wollen nun weiter mithelfen, diesen Status quo zu noch weiter zu verschlechtern. Wir halten das für inakzeptabel. Das wohl bekannteste Beispiel für den Irrweg, Lücken zu behalten, war sicherlich der oben schon erwähnte Erpresserwurm „Wanna­cry“. Er infiltrierte weltweit zehntausende Systeme und nutzte dafür Sicherheitslücken, die der US-Geheimdienst NSA seit Jahren für eine spätere Verwendung aufgehoben hatte – und das trotz diesbezüglicher, interner Risikoabwägungsmecha­nismen.[8]

In der wohlwollenden Interpretation unterstützen deutsche Behörden mit Steuer­geldern also schäbige Geschäftsmodelle. In der besorgnis­erregenderen Deutung finanzieren deutsche Behörden Firmen, die direkt oder indirekt an der Verfolgung von DissidentInnen und Menschenrechts­verteidigerInnen in Diktaturen beteiligt sind. Unsere Freund*innen von Amnesty International können schon jetzt vom bitteren „Erfolg“ dieser Strategie berichten.[9]

Kurzum, wenn es tatsächlich um Sicherheit gehen soll, so muss die Suche nach Sicherheitslücken strukturiert, koordiniert und konsequent angegangen werden, ohne Ausnahme. Die globalisiert-vernetzte Informationsgesellschaft bedeutet mittlerweile eben auch: Es gibt keine öffentliche Sicherheit mehr ohne IT-Sicherheit.

Wieder Terrorismus als Begründung

Im Gesetzesentwurf gibt es mehrere konkrete Erwähnungen des NSU- und internationalen Terrorismus als Begründung. Der Terror soll nun noch entschlossener bekämpft werden, auch durch staatliches Hacking. Drei Beispiele aus der aktuellen Terror-Debatte seien hier einmal kurz kommentiert:

  1. Gerade im skandalösen Fall des NSU und seiner (Nicht-)Aufklärung waren fehlende QKTÜ/OD-Fähigkeiten sicherlich das kleinste Problem im ganzen Debakel.[10]
  2. Im Fall der rechtsextremen „Oldschool Society“ (OSS), weitläufig bekannt durch den strittigen Telegram-Zugriff durch das BKA, waren die so erlangten Informationen vor dem Münchner Oberlandesgericht für die Verur­teilung letztlich gar nicht verwendet worden.[11]
  3. Der weltweit berühmte Fall um die San-Bernadino-Bomber und ihr verschlüsseltes iPhone machte zwar gute Schlagzeilen für Apple, basierte jedoch auf einem Password-Reset-Fehler der Ermittler, der dann erst den extrem teuren Hack nötig machte. Das Öffnen des iPhones brachte im Übrigen gar keine nützlichen Informationen hervor.[12]

Insgesamt sehen wir die Begründung der neuen IT-Befugnisse in Bezug auf die im Entwurf benannten terroristischen Ereignisse also höchst kritisch. Auch wenn der Zweck Terrorismusbekämpfung die volle Unterstützung verdient, schießen die technischen Infiltrationsbefugnisse doch über das Ziel hinaus. Gerade bei den im Entwurf genannten Ereignissen lohnt es sich, detailliert zu durchdenken, inwiefern eine QTKÜ/OD jeweils hilfreich und zwingend notwendig gewesen wäre. Denn in einigen Fällen waren die Täter schon vorher bekannt und etwa der Anschlag am Breitscheidplatz in Berlin wurde offenbar sogar mit Involvierung von V-Leuten durchgeführt.[13] Gleiches gilt für den NSU-Fall um Andreas Temme.

Kurzzusammenfassung unserer Position zum vorliegenden Gesetzentwurf

  • Speziell die Paragraphen § 6 (Quellen-TKÜ) und § 8 (Online-Durchsuchung) beziehen sich auf eine technische Ermächtigung, mit der ein informations­technisches System infiltriert werden kann. Welche Daten letztendlich ausgeleitet werden – Kommunikation oder nicht –, ist technisch nicht auto­matisiert unterscheidbar und dementsprechend auch nicht sinnvoll einzu­hegen. Quellen-TKÜ und OD müssen daher die gleichen Eingriffshürden und Berichtspflichten haben.Sachverständigenauskunft-Cover
  • Des weiteren gibt es technisch begründet wesentliche Zweifel an einer vertrauenswürdigen Protokollierbarkeit der Aktivitäten und Funde einer Quellen-TKÜ/OD auf einem infiltrierten Zielsystem. Die technischen Grund­vor­aus­setzungen für verlässliches Logging und Signierung sind auf einem fremden System nicht gegeben. Eine detaillierte Dokumentation jedes Zugriffs, mindestens in Form von kompletter Quellcodevorlage und -Auditierung, ist ebenso nötig wie die rechtliche Eingrenzung auf bestimmte Zielsystemarten.
  • Die heimliche Installation einer Quellen-TKÜ/OD-Software verlangt die Nutzung von Sicherheitslücken. Die dadurch entstehenden Anreize für Dritte, Sicherheits­lücken nicht mehr zu melden, sondern zu verkaufen oder derartige Dienste anzubieten, schadet der allgemeinen IT-Sicherheit weltweit. Das greift langfristig die Grundlagen der vernetzten Gesellschaft an und korrodiert die digitale Infrastruktur. Zusätzlich vertreiben diese Dritten die gleichen Sicher­heits­lücken üblicherweise auch an Diktaturen weltweit, die damit ihre BürgerInnen kontrollieren, DissidentInnen sowie Menschenrechts­verteidiger­Innen ausspähen und verfolgen. Um auf eine sichere und menschenfreundliche IT-Landschaft hinzuwirken, dürfen keine Sicherheitslücken verwendet, ge­handelt oder zurückgehalten werden – insbesondere keine bislang unbe­kannten Lücken.
  • Die These eines „Blindwerdens von Behörden“ durch Kryptographienutzung („Going dark“) lässt sich nicht erhärten, physische Interaktionen von Krimi­nellen und allgemeine Effekte der Digitalisierung bieten nach wie vor hinreichende Ansatzpunkte für eine effektive Gefahrenabwehr.
  • Der Verfassungsschutz ist ein Geheimdienst und per Definition ungleich intransparenter und schwerer demokratisch zu kontrollieren als etwa Polizei­en. Derartig eingriffstiefe und folgenschwere Ermächtigungen wie § 6 und § 8 dürfen ihm demnach grundsätzlich nicht erteilt werden.

In der Konsequenz raten wir nachdrücklich dazu, die Paragraphen § 6 (Quellen-TKÜ) und § 8 (Online-Durchsuchung) ersatzlos zu streichen.

Material


Bei Fragen zu dieser Pressemitteilung oder der Stellungnahme wenden Sie sich bitte an Rainer Rehak:
   E-Mail: rainer.rehak@fiff.de
   Betreff: „PM Hessentrojaner“
   PGP: 0D66 63E5 70A3 964A EE60 D927 4427 CFE5 8C19 AE19


Quellen und Verweise

[0] https://netzpolitik.org/2015/strategische-initiative-technik-wir-enthuellen-wie-der-bnd-fuer-300-millionen-euro-seine-technik-aufruesten-will/
[1] http://www.spiegel.de/politik/deutschland/bundeswehr-ursula-von-der-leyen-ruestet-an-der-cyber-front-auf-a-1042985.html
[2] https://www.dfki.de/web/forschung/projekte?pid=945
[3] https://www.heise.de/newsticker/meldung/WannaCry-Angriff-mit-Ransomware-legt-weltweit-Zehntausende-Rechner-lahm-3713235.html
[4] https://netzpolitik.org/2017/geheimes-dokument-das-bka-will-schon-dieses-jahr-messenger-apps-wie-whatsapp-hacken/
[5] https://netzpolitik.org/2014/gamma-finfisher-ueberwachungstechnologie-made-in-germany-gegen-arabischen-fruehling-in-bahrain-eingesetzt/
[6] https://netzpolitik.org/2012/gamma-finfisher-neue-analyse-des-staatstrojaners-deutet-auf-weitere-kunden-hin/
[7] https://netzpolitik.org/2014/gamma-finfisher-gehackt-werbe-videos-von-exploits-und-quelltext-von-finfly-web-veroeffentlicht/
[8] https://www.wired.com/story/vulnerability-equity-process-charter-transparency-concerns/
[9] https://www.amnesty.org/en/get-involved/take-action/free-ahmed-mansoor/
[10] https://www.blaetter.de/archiv/jahrgaenge/2018/januar/von-aufklaerung-keine-spur-20-jahre-nsu-komplex
[11] https://netzpolitik.org/2016/bundeskriminalamt-knackt-telegram-accounts/
[12] https://www.washingtonpost.com/world/national-security/comey-defends-fbis-purchase-of-iphone-hacking-tool/2016/05/11/ce7eae54-1616-11e6-924d-838753295f9a_story.html
[13] https://www.rbb24.de/politik/beitrag/2017/10/amri-von-v-mann-angestachelt-anschlag-berlin-breitscheidplatz.html


Das Forum InformatikerInnen für Frieden und gesellschaftliche Verantwortung (FIfF) e. V.

Das Forum InformatikerInnen für Frieden und gesellschaftliche Verantwortung (FIfF) e. V. ist ein deutschlandweiter Zusammenschluss von knapp 700 Menschen, die sich kritisch mit Auswirkungen des Einsatzes der Informatik und Informationstechnik auf die Gesellschaft auseinandersetzen. Unsere Mitglieder arbeiten überwiegend in informatiknahen Berufen, vom IT-Systemelektroniker bis hin zur Professorin für Theoretische Informatik. Das FIfF wirkt seit 1984 in vielen technischen und nichttechnischen Bereichen der Gesellschaft auf einen gesellschaftlich reflektierten Einsatz von informationstechnischen Systemen zum Wohle der Gesellschaft hin. Zu unseren Aufgaben zählen wir Öffentlichkeitsarbeit, sowie Beratung und das Erarbeiten fachlicher Studien. Zudem gibt das FIfF vierteljährlich die „FIfF-Kommunikation – Zeitschrift für Informatik und Gesellschaft“ heraus und arbeitet mit anderen Friedens- sowie Bürgerrechtsorganisationen zusammen.