Mittwoch dieser Woche fand im Deutschen Bundestag eine aktuelle Stunde zur Online-Durchsuchung statt. Und dabei wurde natürlich auch über die Qualitäten der eingesetzte Schadsoftware für die Telekommunikationsüberwachung und für Online-Durchsuchungen debattiert. Der Abgeordnete Volker Beck von der Fraktion Bündnis 90/Die Grünen fasste einen Kernpunkt der Diskussion so zusammen:
"Nicht eine Kontrollbehörde hat festgestellt, dass da irgendetwas schief läuft, sondern es war der Chaos Computer Club, der darauf gekommen ist, weil ihm etwas zugespielt wurde, weil sie in der Lage waren, es zu analysieren und festgestellt haben – zweifelsfrei -, dass diese Software mehr kann als das Bundesverfassungsgericht erlaubt. Und daraus ergibt sich zwingend das Faktum: Wir haben hier ein Problem. Und das Problem heißt: Wer überwacht die Überwacher und die Überwachungssoftware?"
Manfred Kloiber:
Wie ist das denn bisher geregelt, Peter Welchering? Wer überwacht denn die Überwachungssoftware?
Peter Welchering: Naja, also teilweise überwachen die Ermittlungsrichter eben den Einsatz dieser Überwachungssoftware. Das heißt, sie ordnen an, dass beispielsweise eine Quellen-Telekommunikationsüberwachung stattfinden soll, legen auch fest, in welchem Umfang. Aber sie kennen die Software selbst eben nicht. Das heißt, eigentlich überwacht im Augenblick niemand diese Software so richtig. Das Bundesministerium des Inneren hatte auch eine weiter Kontrolle stets abgelehnt. Da hat man auf entsprechende, auch parlamentarische Anfragen der unterschiedlichen Fraktionen eigentlich in der Regel immer gesagt, man habe ausreichend Kompetenzen, um das selbst einschätzen zu können, sei also auch nicht auf Kontrolle oder auf Rat von Außen angewiesen. Natürlich gibt es noch den G10-Ausschuss des Deutschen Bundestags. Der überwacht eigentlich auch solche Einsätze dieser Software des Bundesnachrichtendienstes. Aber wenn man sich mal anschaut: Die ungefähr 2500 Online-Durchsuchungen des BND hat die Öffentlichkeit zumeist aus anderen Quellen erfahren. Zum Beispiel, als eine Spiegel-Kollegin mit dem E-Mail-Verkehr, den sie mit einem afghanischen Minister hatte, überwacht wurde. Und dann gibt es natürlich noch die Landeskriminalämter. Die sind den zuständigen Innenministerien der Länder unterstellt. Und ob da die technischen Kompetenzen ausreichen und wieder überwacht wird, ist sehr, sehr länderspezifisch geregelt. Das ist sehr unterschiedlich. Und es bleibt auch ein wenig fraglich, ob diese technischen Kompetenzen wirklich in allen Bundesländern – was die Innenministerien angeht – ausreichen, ob hier den Einsatz von Überwachungssoftware bei den Landeskriminalämtern effizient zu überwachen.
Kloiber: Eine bessere Kontrolle der Überwachungssoftware wird also in der aktuellen politischen Debatte über Parteigrenzen hinweg gefordert. Doch wie diese Kontrolle ausgeübt werden soll, wie sie organisiert sein soll, das ist noch völlig unklar. Wir haben die Ideen und Vorschläge einmal zusammengestellt:
Der Staatstrojaner soll allein vom Staat entwickelt werden. Das wurde in der Aktuellen Stunde zur Online Durchsuchung im Bundestag am vergangenen Mittwoch immer wieder gefordert. Heftig kritisiert wurde, dass das Bundeskriminalamt noch nicht einmal den Quell-Code einer Überwachungssoftware vorliegen hatte, die von einem Sicherheitsunternehmen zugekauft worden war. Doch ob die Kontrolle über die künftig von Behördenmitarbeitern selbst entwickelten Überwachungsprogramme ausschließlich von staatlichen Stellen wahrgenommen werden soll, ist in der aktuellen Diskussion umstritten. Eine Art Software-TÜV wird da zum Beispiel gefordert, der auch für staatliche Überwachungssoftware zuständig sein könnte. Ziemlich differenziert bewertet der Sicherheitsingenieur Fabian Libeau vom IT-Sicherheitsunternehmen Arcsight aus Gütersloh derartige Vorschläge. Sein Unternehmen stattet auch staatliche Stellen mit Sicherheitssystemen aus:
"Als Zertifizierung an sich brauchen wir eine zentrale Stelle, die das Ganze treibt und das Ganze auch kontrolliert. Aber ich denke nicht, dass es Sinn macht, jetzt eine riesige zentrale Stelle aufzubauen, wo wir eigentlich das Fachwissen im Markt haben. Ja, wir können also jetzt schon auf Leute zugreifen, die wissen, wovon sie sprechen und die sicherlich auch ihre Eigenständigkeit behalten werden und sich solchen großen Zentralstellen nicht anschließen werden. Also ich denke mal: Ja, wir brauchen eine zentrale Stelle an sich, die das Ganze steuert, aber die Zertifizierung an sich kann man auch zertifiziertes Fachpersonal übernehmen."
Fabian Libeau denkt da an unabhängige Softwaresachverständige, die nicht nur zur Überprüfung von staatlicher Ermittlungssoftware eingesetzt werden und genau prüfen, ob die Software nicht mehr kann, als sie darf. Er hält den Einsatz solcher Sachverständiger in allen IT-Großprojekten für sinnvoll und erhofft sich erhebliche Einsparungen davon. Außerdem glaubt er, könnte so manche peinliche Programmierpanne dann vermieden werden. Der Computerwissenschaftler Professor Hartmut Pohl findet hier eine rechtliche und technische Kontrolle sinnvoll. In Anspielung auf den früheren Bundesinnenminister Hermann Höcherl meint er:
"Es kann nicht jeder Programmierer ständig mit dem Grundgesetz unter dem Arm herumlaufen, und sich die Urteile des Bundesverfassungsgerichts anschauen und überlegen: Wie gieße ich das jetzt hier in ein Programm, in einen Code und was lasse ich lieber weg? Das ist ein globaler Aspekt, der generell für die Idee und für selbstprogrammierte Software und auch für beschaffte Software gilt, dass sie geprüft werden muss von einer unabhängigen Instanz, ob Behörde oder nicht, das spielt keine Rolle. Aber die IT-Entwicklungen des Bundes und der Länder müssten unter Kostengesichtspunkten, unter Sicherheitsaspekten zentral geprüft und freigegeben werden."
Und das gilt natürlich erst recht für Überwachungssoftware. Hier könnten auch bereits bestehende Institutionen eingebunden werden, meint Pohl. zum Beispiel das Bundesamt für Sicherheit in der Informationstechnik, kurz BSI.
"Der Vorteil beim BSI ist natürlich der ständige Kontakt zu den Sicherheitsbehörden des Bundes und im Einzelfall auch zu den Ländern, der Nachteil ist ein bisschen, dass dem BSI diese Nähe gerade als Nachteil unterstellt wird. Aber es ist für mich nicht erheblich, welche Behörde das ist. Diese Aufgabe könnte der Bundesrechnungshof übernehmen. Der Bundesdatenschutzbeauftragte oder überhaupt die Landesdatenschutzbeauftragten, wie weit die in der Technik personell ausgestattet sind, sei dahingestellt. Da müsste man überlegen, Kräfte zu konzentrieren."
Wichtig ist zu klären, welche technischen Kompetenzen für eine solche Kontrolle der Überwacher und der Überwachungssoftware vonnöten sind. Doch die Debatte darüber steht noch ganz am Anfang.
Kloiber: Zunächst aber muss natürlich geklärt werden, welche Kontroll-Kompetenzen denn die Kontrolleure der Überwachungssoftware überhaupt haben müssen. Wie wird dieser Punkt denn diskutiert, Peter Welchering?
Welchering: Naja, sehr unterschiedlich zumindest seit dem Auftritt von BKA-Präsident Jörg Ziercke vor dem Innenausschuss des Deutschen Bundestags in dieser Woche. Herr Ziercke hat zugeben müssen, dass der Quellcode der Überwachungssoftware gar nicht beim Bundeskriminalamt vorgelegen hat. Und das hat natürlich den Streit um dieses Quellcodes noch einmal verschärft. Denn es ist völlig klar: Man braucht den Quellcode, um wirklich effizient überwachen zu können. Also im Augenblick wird so gut wir gar nicht kontrolliert, was Überwachungssoftware denn eigentlich kann.
Kloiber: Aber was machen denn die Systemanalytiker, um herauszufinden, ob die Überwachungssoftware auch nur das kann, was sie rechtlich darf, wenn sie keinen Quellcode vorliegen haben?
Welchering: Zunächst einmal dasselbe wie bei ganz normalen Sicherheitsanalysen von Softwaresystemen im laufenden Betrieb. Die gucken sich an: Was macht das Programm? Also eine Verhaltensanalyse. Die schauen sich an: Wo gibt es Anomalien? Und wenn es solche Anomalien, solche komischen Verhaltensweisen eines Programms gibt, dann liest man eben die Register und Sprungadressen aus und kann auf dieses Weise genau nachvollziehen: Was hat denn die Überwachungssoftware in diesem Rechner an welcher Stelle und zu welchem Zeitpunkt ganz genau getan? Also das im Prinzip, was die Mitglieder des Chaos Computer Clubs beim veröffentlichten Staatstrojaner auch gemacht haben.
Kloiber: Und wie wirkungsvoll kann eine solche Kontrolle sein?
Welchering: Das hängst sehr stark davon ab, wie gut die Überwachungssoftware dokumentiert ist. In der Vergangenheit war, wenn sie überhaupt dokumentiert war, die Dokumentation sehr unvollständig. Und das hängt zum zweiten natürlich dann auch davon ab, wie viele und vor allen Dingen auch welche Bestandteile einer solchen Überwachungssoftware zugekauft sind. Denn bei zugekaufter Überwachungssoftware ist natürlich erstens im Kaufvertrag in aller Regel die Dokumentation nicht enthalten und zum zweiten findet dieser Zugriff ja am sogenannten grauen Markt statt. Und da muss man damit rechnen, dass eben auch weitere Softwarebestandteile - Hintertüren, Schadsoftware - da miteingebaut sind, die man nur sehr, sehr schwer finden kann.
Kloiber: Fazit der Diskussion im Bundestag war ja – und ich glaube auch Bundesjustizministerin Sabine Leutheusser-Schnarrenberger hat sich diesem Fazit angeschlossen: In Zukunft soll Überwachungssoftware vom Staat selbst programmiert und entwickelt werden. Da müsste doch eigentlich gar nichts mehr hinzugekauft werden.
Welchering: Um einen Zukauf wird man gar nicht ganz herum kommen. Denn Überwachungssoftware basiert ja immer auf Sicherheitslücken. Und diese Sicherheitslücken – in den Betriebssystemen, in den Kommunikationsprotokollen, werden weltweit von 30.000 Schwachstellenanalytikern gesucht und weltweit verkauft. Und diese Sicherheitslücken braucht natürlich auch eine Behörde, die ihre Überwachungssoftware entwickelt. Sie kann unmöglich zum einen Zero-Day-Exploits haben. Also Zero-Day-Exploits sind solche Angriffsprogramme und Sicherheitslücken, die noch gar nicht bekannt sind. Und sie kann unmöglich einen so breiten Fundus an Schwachstellen haben – da müssten viele, viele hundert Schwachstellenanalytiker angestellt sein, dass die wirklich ausreichen, um Überwachungssoftware effizient zu programmieren. Da kommt man um einen Zukauf gar nicht herum. Und die spannende Frage ist dann: Wird nur die Sicherheitslücke zugekauft oder – was ja häufig an diesem grauen Markt der Fall ist – auch das darauf aufsitzende Exploit, das eigentliche Angriffsprogramm? Eben weil das häufig im Paket angeboten wird.
Zum Themenportal "Risiko Internet"
"Nicht eine Kontrollbehörde hat festgestellt, dass da irgendetwas schief läuft, sondern es war der Chaos Computer Club, der darauf gekommen ist, weil ihm etwas zugespielt wurde, weil sie in der Lage waren, es zu analysieren und festgestellt haben – zweifelsfrei -, dass diese Software mehr kann als das Bundesverfassungsgericht erlaubt. Und daraus ergibt sich zwingend das Faktum: Wir haben hier ein Problem. Und das Problem heißt: Wer überwacht die Überwacher und die Überwachungssoftware?"
Manfred Kloiber:
Wie ist das denn bisher geregelt, Peter Welchering? Wer überwacht denn die Überwachungssoftware?
Peter Welchering: Naja, also teilweise überwachen die Ermittlungsrichter eben den Einsatz dieser Überwachungssoftware. Das heißt, sie ordnen an, dass beispielsweise eine Quellen-Telekommunikationsüberwachung stattfinden soll, legen auch fest, in welchem Umfang. Aber sie kennen die Software selbst eben nicht. Das heißt, eigentlich überwacht im Augenblick niemand diese Software so richtig. Das Bundesministerium des Inneren hatte auch eine weiter Kontrolle stets abgelehnt. Da hat man auf entsprechende, auch parlamentarische Anfragen der unterschiedlichen Fraktionen eigentlich in der Regel immer gesagt, man habe ausreichend Kompetenzen, um das selbst einschätzen zu können, sei also auch nicht auf Kontrolle oder auf Rat von Außen angewiesen. Natürlich gibt es noch den G10-Ausschuss des Deutschen Bundestags. Der überwacht eigentlich auch solche Einsätze dieser Software des Bundesnachrichtendienstes. Aber wenn man sich mal anschaut: Die ungefähr 2500 Online-Durchsuchungen des BND hat die Öffentlichkeit zumeist aus anderen Quellen erfahren. Zum Beispiel, als eine Spiegel-Kollegin mit dem E-Mail-Verkehr, den sie mit einem afghanischen Minister hatte, überwacht wurde. Und dann gibt es natürlich noch die Landeskriminalämter. Die sind den zuständigen Innenministerien der Länder unterstellt. Und ob da die technischen Kompetenzen ausreichen und wieder überwacht wird, ist sehr, sehr länderspezifisch geregelt. Das ist sehr unterschiedlich. Und es bleibt auch ein wenig fraglich, ob diese technischen Kompetenzen wirklich in allen Bundesländern – was die Innenministerien angeht – ausreichen, ob hier den Einsatz von Überwachungssoftware bei den Landeskriminalämtern effizient zu überwachen.
Kloiber: Eine bessere Kontrolle der Überwachungssoftware wird also in der aktuellen politischen Debatte über Parteigrenzen hinweg gefordert. Doch wie diese Kontrolle ausgeübt werden soll, wie sie organisiert sein soll, das ist noch völlig unklar. Wir haben die Ideen und Vorschläge einmal zusammengestellt:
Der Staatstrojaner soll allein vom Staat entwickelt werden. Das wurde in der Aktuellen Stunde zur Online Durchsuchung im Bundestag am vergangenen Mittwoch immer wieder gefordert. Heftig kritisiert wurde, dass das Bundeskriminalamt noch nicht einmal den Quell-Code einer Überwachungssoftware vorliegen hatte, die von einem Sicherheitsunternehmen zugekauft worden war. Doch ob die Kontrolle über die künftig von Behördenmitarbeitern selbst entwickelten Überwachungsprogramme ausschließlich von staatlichen Stellen wahrgenommen werden soll, ist in der aktuellen Diskussion umstritten. Eine Art Software-TÜV wird da zum Beispiel gefordert, der auch für staatliche Überwachungssoftware zuständig sein könnte. Ziemlich differenziert bewertet der Sicherheitsingenieur Fabian Libeau vom IT-Sicherheitsunternehmen Arcsight aus Gütersloh derartige Vorschläge. Sein Unternehmen stattet auch staatliche Stellen mit Sicherheitssystemen aus:
"Als Zertifizierung an sich brauchen wir eine zentrale Stelle, die das Ganze treibt und das Ganze auch kontrolliert. Aber ich denke nicht, dass es Sinn macht, jetzt eine riesige zentrale Stelle aufzubauen, wo wir eigentlich das Fachwissen im Markt haben. Ja, wir können also jetzt schon auf Leute zugreifen, die wissen, wovon sie sprechen und die sicherlich auch ihre Eigenständigkeit behalten werden und sich solchen großen Zentralstellen nicht anschließen werden. Also ich denke mal: Ja, wir brauchen eine zentrale Stelle an sich, die das Ganze steuert, aber die Zertifizierung an sich kann man auch zertifiziertes Fachpersonal übernehmen."
Fabian Libeau denkt da an unabhängige Softwaresachverständige, die nicht nur zur Überprüfung von staatlicher Ermittlungssoftware eingesetzt werden und genau prüfen, ob die Software nicht mehr kann, als sie darf. Er hält den Einsatz solcher Sachverständiger in allen IT-Großprojekten für sinnvoll und erhofft sich erhebliche Einsparungen davon. Außerdem glaubt er, könnte so manche peinliche Programmierpanne dann vermieden werden. Der Computerwissenschaftler Professor Hartmut Pohl findet hier eine rechtliche und technische Kontrolle sinnvoll. In Anspielung auf den früheren Bundesinnenminister Hermann Höcherl meint er:
"Es kann nicht jeder Programmierer ständig mit dem Grundgesetz unter dem Arm herumlaufen, und sich die Urteile des Bundesverfassungsgerichts anschauen und überlegen: Wie gieße ich das jetzt hier in ein Programm, in einen Code und was lasse ich lieber weg? Das ist ein globaler Aspekt, der generell für die Idee und für selbstprogrammierte Software und auch für beschaffte Software gilt, dass sie geprüft werden muss von einer unabhängigen Instanz, ob Behörde oder nicht, das spielt keine Rolle. Aber die IT-Entwicklungen des Bundes und der Länder müssten unter Kostengesichtspunkten, unter Sicherheitsaspekten zentral geprüft und freigegeben werden."
Und das gilt natürlich erst recht für Überwachungssoftware. Hier könnten auch bereits bestehende Institutionen eingebunden werden, meint Pohl. zum Beispiel das Bundesamt für Sicherheit in der Informationstechnik, kurz BSI.
"Der Vorteil beim BSI ist natürlich der ständige Kontakt zu den Sicherheitsbehörden des Bundes und im Einzelfall auch zu den Ländern, der Nachteil ist ein bisschen, dass dem BSI diese Nähe gerade als Nachteil unterstellt wird. Aber es ist für mich nicht erheblich, welche Behörde das ist. Diese Aufgabe könnte der Bundesrechnungshof übernehmen. Der Bundesdatenschutzbeauftragte oder überhaupt die Landesdatenschutzbeauftragten, wie weit die in der Technik personell ausgestattet sind, sei dahingestellt. Da müsste man überlegen, Kräfte zu konzentrieren."
Wichtig ist zu klären, welche technischen Kompetenzen für eine solche Kontrolle der Überwacher und der Überwachungssoftware vonnöten sind. Doch die Debatte darüber steht noch ganz am Anfang.
Kloiber: Zunächst aber muss natürlich geklärt werden, welche Kontroll-Kompetenzen denn die Kontrolleure der Überwachungssoftware überhaupt haben müssen. Wie wird dieser Punkt denn diskutiert, Peter Welchering?
Welchering: Naja, sehr unterschiedlich zumindest seit dem Auftritt von BKA-Präsident Jörg Ziercke vor dem Innenausschuss des Deutschen Bundestags in dieser Woche. Herr Ziercke hat zugeben müssen, dass der Quellcode der Überwachungssoftware gar nicht beim Bundeskriminalamt vorgelegen hat. Und das hat natürlich den Streit um dieses Quellcodes noch einmal verschärft. Denn es ist völlig klar: Man braucht den Quellcode, um wirklich effizient überwachen zu können. Also im Augenblick wird so gut wir gar nicht kontrolliert, was Überwachungssoftware denn eigentlich kann.
Kloiber: Aber was machen denn die Systemanalytiker, um herauszufinden, ob die Überwachungssoftware auch nur das kann, was sie rechtlich darf, wenn sie keinen Quellcode vorliegen haben?
Welchering: Zunächst einmal dasselbe wie bei ganz normalen Sicherheitsanalysen von Softwaresystemen im laufenden Betrieb. Die gucken sich an: Was macht das Programm? Also eine Verhaltensanalyse. Die schauen sich an: Wo gibt es Anomalien? Und wenn es solche Anomalien, solche komischen Verhaltensweisen eines Programms gibt, dann liest man eben die Register und Sprungadressen aus und kann auf dieses Weise genau nachvollziehen: Was hat denn die Überwachungssoftware in diesem Rechner an welcher Stelle und zu welchem Zeitpunkt ganz genau getan? Also das im Prinzip, was die Mitglieder des Chaos Computer Clubs beim veröffentlichten Staatstrojaner auch gemacht haben.
Kloiber: Und wie wirkungsvoll kann eine solche Kontrolle sein?
Welchering: Das hängst sehr stark davon ab, wie gut die Überwachungssoftware dokumentiert ist. In der Vergangenheit war, wenn sie überhaupt dokumentiert war, die Dokumentation sehr unvollständig. Und das hängt zum zweiten natürlich dann auch davon ab, wie viele und vor allen Dingen auch welche Bestandteile einer solchen Überwachungssoftware zugekauft sind. Denn bei zugekaufter Überwachungssoftware ist natürlich erstens im Kaufvertrag in aller Regel die Dokumentation nicht enthalten und zum zweiten findet dieser Zugriff ja am sogenannten grauen Markt statt. Und da muss man damit rechnen, dass eben auch weitere Softwarebestandteile - Hintertüren, Schadsoftware - da miteingebaut sind, die man nur sehr, sehr schwer finden kann.
Kloiber: Fazit der Diskussion im Bundestag war ja – und ich glaube auch Bundesjustizministerin Sabine Leutheusser-Schnarrenberger hat sich diesem Fazit angeschlossen: In Zukunft soll Überwachungssoftware vom Staat selbst programmiert und entwickelt werden. Da müsste doch eigentlich gar nichts mehr hinzugekauft werden.
Welchering: Um einen Zukauf wird man gar nicht ganz herum kommen. Denn Überwachungssoftware basiert ja immer auf Sicherheitslücken. Und diese Sicherheitslücken – in den Betriebssystemen, in den Kommunikationsprotokollen, werden weltweit von 30.000 Schwachstellenanalytikern gesucht und weltweit verkauft. Und diese Sicherheitslücken braucht natürlich auch eine Behörde, die ihre Überwachungssoftware entwickelt. Sie kann unmöglich zum einen Zero-Day-Exploits haben. Also Zero-Day-Exploits sind solche Angriffsprogramme und Sicherheitslücken, die noch gar nicht bekannt sind. Und sie kann unmöglich einen so breiten Fundus an Schwachstellen haben – da müssten viele, viele hundert Schwachstellenanalytiker angestellt sein, dass die wirklich ausreichen, um Überwachungssoftware effizient zu programmieren. Da kommt man um einen Zukauf gar nicht herum. Und die spannende Frage ist dann: Wird nur die Sicherheitslücke zugekauft oder – was ja häufig an diesem grauen Markt der Fall ist – auch das darauf aufsitzende Exploit, das eigentliche Angriffsprogramm? Eben weil das häufig im Paket angeboten wird.
Zum Themenportal "Risiko Internet"