Ein Netzwerk-Kabelstecker leuchtet in der Netzwerkzentrale einer Firma zu Kontrollzwecken rot. | dpa
Exklusiv

IT-Sicherheitslücken Wie weit darf der Staat gehen?

Stand: 07.09.2021 18:00 Uhr

Dürfen IT-Sicherheitslücken vom Staat ausgenutzt werden? Das Bundesverfassungsgericht verlangt eine Klärung. Nach Recherchen von WDR, NDR und "Süddeutscher Zeitung" gibt es bereits Pläne.

Von Florian Flade, WDR, und Georg Mascolo, NDR/WDR

Sie sind heiß begehrt, manche von ihnen kosten Millionen: Sicherheitslücken in IT-Systemen.* Die Programmierfehler erlauben es Hackern, unbemerkt in Computer oder Smartphones einzudringen. Wer diese Lücken kennt, kann heimlich Spionagesoftware aufspielen und verschlüsselte Kommunikation überwachen. Das Wissen um die Schwachstellen ist deshalb wertvoll. Für Kriminelle genauso wie für Geheimdienste und die Polizei.

Rund um die Sicherheitslücken ist nicht nur ein lukrativer Markt entstanden - sondern auch eine hitzige Debatte: Soll der Staat solche Schwachstellen den Herstellern von Software melden und dafür sorgen, dass sie schnellstmöglich geschlossen werden? Oder sollen Behörden die "Zero-Days" selbst ausnutzen dürfen, um heimlich Überwachungsmaßnahmen durchführen zu können? Der Staat soll seine Bürger schützen - und gleichzeitig für ein sicheres Netz sorgen.

Druck durch Entscheidung aus Karlsruhe

Eine Entscheidung des Bundesverfassungsgerichts zwingt nun die Bundesregierung dazu, eine Entscheidung zu treffen. Es ging um eine Beschwerde gegen das Polizei-Gesetz in Baden-Württemberg. Der Chaos Computer Club Stuttgart gehörte zu den Klägern, die mit der Verfassungsbeschwerde die Quellen-Telekommunikationsüberwachung kippen wollten, bei der staatliche Stellen Schwachstellen in Software ausnutzen, um Überwachungsmaßnahmen durchzuführen. 

Im Juni wiesen die Karlsruher Richter die Klage schließlich zurück, sie sei nicht hinreichend begründet. Sie machten jedoch auch deutlich, dass es ein "Weiter so" beim Ausnutzen von IT-Schwachstellen nicht geben könne. "Die grundrechtliche Schutzpflicht" verlange eine Regelung, wie der "Zielkonflikt zwischen dem Schutz informationstechnischer Informationssysteme vor Angriffen Dritter mittels unbekannter IT-Sicherheitslücken einerseits und der Offenhaltung solcher Lücken zur Ermöglichung einer der Gefahrenabwehr dienenden Quellen-TKÜ andererseits grundrechtskonform aufzulösen" sei, so steht es im Beschluss des Gerichts mit dem Aktenzeichen 1 BvR 2771/18.

Grüne und FDP wollen Klarheit

Nun muss eine Regelung her, ein "Schwachstellen-Management". Spätestens die nächste Bundesregierung muss einen solchen Prozess etablieren. Möglicherweise wird das Thema auch für kommende Koalitionsverhandlungen relevant, denn Grüne und FDP drängen bereits länger schon auf eine klare Richtlinie.

"Das Thema muss am Anfang der kommenden Wahlperiode ganz oben auf die Agenda", sagt Konstantin von Notz, der Fraktionsvize der Grünen im Bundestag. "Bei allem Verständnis für die Wünsche der Sicherheitsbehörden, aus IT-Sicherheitssicht kann es nur eine Meinung geben" - und zwar die schnellstmögliche Reparatur von Lücken, "die oftmals die IT-Sicherheit von Millionen von Nutzerinnen und Nutzer weltweit gefährden".

Entscheidung immer wieder verschoben

Bislang allerdings hatte sich die Große Koalition vor eine Entscheidung in Sachen IT-Sicherheitslücken immer wieder gedrückt. Dabei gibt es nach Recherchen von WDR, NDR und "Süddeutscher Zeitung" schon seit einiger Zeit entsprechende Pläne. Sie wurden im Bundesinnenministerium erarbeitet und sehen vor, dass die Sicherheitsbehörden, die Computer und Smartphones hacken möchten, gemeinsam mit dem für die IT-Sicherheit zuständigen Bundesamt für die Sicherheit in der Informationstechnik (BSI) in einer geheimen Sitzung eine Entscheidung treffen sollen.

Welche IT-Schwachstellen sollen "verantwortungsvoll" für Überwachungsmaßnahmen ausgenutzt werden - und welche sollen schnellstmöglich geschlossen werden, weil sie eine Gefahr für die Allgemeinheit darstellen? Wenn sich die Experten nicht einigen können, soll die politische Ebene entscheiden, so sehen es die bisherigen Planungen vor, die auch dem Kanzleramt, dem Außen-, dem Verteidigungs- und dem Justizministeriums bekannt sind.

Bereits Hacker im Dienste des BND

Ein ähnlicher Prozess bezüglich der Verwendung von Sicherheitslücken existiert auch schon in Deutschland in etwas abgespecktem Format. Der Bundesnachrichtendienst (BND) beschäftigt Hacker, die an Cyberwerkzeugen arbeiten und diese auch einsetzen. Seit einiger Zeit trägt der Dienst dem Bundeskanzleramt vor, welche Schwachstellen er dabei ausnutzt. Ob den Spionen schon einmal verboten wurde, eine solche Lücke zu verwenden, ist nicht bekannt.

Das Bundesinnenministerium hat in den vergangenen Wochen nun Kontakt zu den Bundesländern aufgenommen, allen voran zu Baden-Württemberg. Man soll darum gebeten haben, dass dort, auf Länderebene, nun nicht übereilig irgendwelche Regelungen eingeführt werden, sondern dass man sich diesbezüglich abstimmen solle. Auch bei der Innenministerkonferenz soll das Thema demnächst eingebracht werden.

USA als mögliches Modell

Vorbild des deutschen "Schwachstellen-Managements" soll ein Verfahren aus den USA sein, wo die Geheimdienste und Polizeibehörden seit 2008 einem Gremium vortragen müssen, welche IT-Sicherheitslücke sie gerne ausnutzen möchten und warum. Nur nach einer erteilten Genehmigung sollen diese Schwachstellen dann auch ausgenutzt werden dürfen. Wie wirksam das Vorgehen tatsächlich ist, lässt sich allerdings kaum überprüfen. Alles findet im Geheimen statt.

*Wir haben den Halbsatz entfernt, es handele sich dabei im Englischen um "Exploits", da dies nicht korrekt ist. Wir bitten den Fehler zu entschuldigen.

Über dieses Thema berichtete tagesschau24 am 07. September 2021 um 19:00 Uhr.