Manfred Kloiber: Über diese Schwachstellen müssen sich natürlich auch die Beamten in der Regierung im Klaren sein, die von Amts wegen dafür zuständig sind, technische Risiken einzuschätzen. Dass sie die Risiken gut kennen, das zeigt die Klassifizierung auch des neuen, speziell gesicherten Handys der Kanzlerin. Es ist nämlich nur für Verschlusssachen, nur für den Dienstgebrauch zugelassen – also eine der schwächsten Geheimhaltungsklassen. Doch wie ist nach Handy-Gate die aktuelle Bedrohung technisch insgesamt einzuschätzen? Darüber habe ich kurz vor der Sendung mit Professor Dr. Hartmut Pohl gesprochen, der den Präsidiums-Arbeitskreis Datenschutz und IT-Sicherheit bei der Gesellschaft für Informatik leitet.
Hartmut Pohl: Ich gehe davon aus, dass die Sicherheitsbehörden wissen, dass alle in der Bundesrepublik Deutschland vollständig abgehört werden, dass diese aufgefangenen Gespräche – hier Telefon, Festnetz, Handy, was immer Sie als Beispiel nennen – vollständig gespeichert werden. Und gleichermaßen – ob so ein Gespräch übers Internet geht oder nicht – ebenfalls im Internet alle Dienste, alle Daten vollständig gespeichert werden und irgendwann bei Bedarf, vielleicht auch sofort, ausgewertet werden. Das ist nichts Neues.
Kloiber: Sie haben gerade "alle" gesagt. Wer ist "alle"?
Pohl: Ich gehe davon aus, dass alle Deutschen vollständig abgehört werden.
Kloiber: Das hört sich ja dann nach einem gigantischen Aufwand an. Nun wissen wir ja aus dem bisherigen Verlauf der NSA-Affäre, dass die Geheimdienste tatsächlich einen sehr, sehr großen Aufwand treiben. Sind es eigentlich nur die Geheimdienste, oder meinen Sie, dass die Überwachung umfänglicher ist?
Pohl: Sie sagen ganz richtig "die Geheimdienste". Es ist beileibe nicht nur die NSA, es ist GCHQ, es sind die Franzosen – es ist ja alles veröffentlicht. Es sind die Schweden, es sind die Luxemburger, es sind also die Mitgliedsstaaten der EU. Es sind alle die Staaten weltweit, die es sich finanziell leisten können. Das sind mindestens die G20 oder die 35 finanzstärksten Staaten dieser Welt.
Kloiber: Wie sieht es eigentlich aus mit nicht-staatlichen Stellen, sind die auch aktiv?
Pohl: Ich gehe davon aus, dass die Techniken, die ja seit über zehn Jahren veröffentlicht sind, die hier von den Geheimdiensten genutzt werden, gleichermaßen von der organisierten Kriminalität genutzt werden, dass sie von Wirtschaftskriminellen genutzt werden, wo ja unmittelbar viel mehr Geld zu 'verdienen' ist als bei dieser politischen Spionage, die wesentlich ist für Verträge – zum Beispiel Aushandlung der Freihandelszone.
Kloiber: Zur Wirtschaftsspionage, aber auch zur wirklich gefährlichen Spionage gehört ja auch dazu, dass die Geheimdienste nicht nur eben halt lauschen, was zum Beispiel Regierungsvertreter miteinander zu besprechen haben, sondern auch, dass sie versuchen, in strategische IT-Anlagen reinzukommen, die eben halt nicht nur zu belauschen sind, sondern eventuell auch zu kapern sind. Können Sie da Beispiele nennen?
Pohl: Es ist veröffentlicht, dass die NSA bis zum Jahresende 85.000 Server weltweit gekapert haben will und Hintertüren nachhaltig eingebaut haben will, sodass diese Server jederzeit von ihr wieder kontaktiert und die angeschlossenen Netze ausgelesen und auch manipuliert werden können.
Kloiber: Wenn man das alles weiß, so wie Sie das sagen – welche Geheimdienste da unterwegs sind, mit welchen Methoden sie unterwegs sind –, dann müssen doch die Staatsschutzorgane das auch alles wissen.
Pohl: Ich gehe davon aus, dass das Wissensniveau der deutschen Sicherheitsbehörden nicht nur angemessen ist, sondern sehr hoch ist.
Kloiber: Aber warum werden zum Beispiel dann Firmen nicht in die Lage versetzt, mit diesem Wissen, was die Staatsschutzbehörden vermutlicher Weise haben, ihre Rechner vernünftig zu schützen?
Pohl: Das ist eine politische Frage. Der Gesetzgeber hat zum Beispiel beim BSI-Gesetz klar entschieden, dass Sicherheitslücken, also unveröffentlichte Sicherheitslücken, Zero Day Vulnerabilities, die dem Bundesamt für Sicherheit in der Informationstechnik bekannt sind oder bekannt geworden sind, von ihm nicht veröffentlicht werden müssen. Das macht einen begrenzten Sinn, weil natürlich das BKA für die heimliche Online-Durchsuchung und der BND im Ausland gleichermaßen derartige unveröffentlichte Sicherheitslücken unverzichtbar benötigen, um ihrem gesetzlichen Auftrag nachzukommen. Allerdings muss man auf der anderen Seite sehen, dass diese unveröffentlichten Sicherheitslücken fremden Nachrichtendiensten, der organisierten Kriminalität bekannt sind und von denen ausgenutzt werden können – zu Lasten deutscher Unternehmen, zu Lasten deutscher Arbeitsplätze.
Kloiber: Heißt das dann, dass Sicherheitsbehörden relevante, also für die Sicherheit von Firmen zum Beispiel relevante Informationen unterdrücken, nur, um sie selbst nutzen zu können?
Pohl: Ja, das ist der Fall und das will der Gesetzgeber auch so.
Kloiber: Über Sicherheitslücken und Geheimdienstaktivitäten in deutschen IT-Netzen war das Professor Hartmut Pohl von der Gesellschaft für Informatik. Danke.
Äußerungen unserer Gesprächspartner geben deren eigene Auffassungen wieder. Deutschlandradio macht sich Äußerungen seiner Gesprächspartner in Interviews und Diskussionen nicht zu eigen.
Mehr zum Thema:
"Kontrolle ist ja kein Misstrauen" - Der frühere BND-Präsident Hansjörg Geiger plädiert für klare Grenzen bei der Geheimdienstarbeit
Bosbach: Merkel ist "wirklich im Mark erschüttert" - CDU-Innenpolitiker empört über offensichtliches Abhören des Kanzlerinnen-Handys
Merkel und Hollande sollen NSA-Affäre aufklären -
EU-Gipfel ringt um Antwort auf US-Spähangriffe
Göring-Eckardt: Brauchen eine öffentliche Debatte über NSA-Skandal - Spähaffäre: Grünen-Fraktionschefin fordert Sitzung des Bundestages
Hartmut Pohl: Ich gehe davon aus, dass die Sicherheitsbehörden wissen, dass alle in der Bundesrepublik Deutschland vollständig abgehört werden, dass diese aufgefangenen Gespräche – hier Telefon, Festnetz, Handy, was immer Sie als Beispiel nennen – vollständig gespeichert werden. Und gleichermaßen – ob so ein Gespräch übers Internet geht oder nicht – ebenfalls im Internet alle Dienste, alle Daten vollständig gespeichert werden und irgendwann bei Bedarf, vielleicht auch sofort, ausgewertet werden. Das ist nichts Neues.
Kloiber: Sie haben gerade "alle" gesagt. Wer ist "alle"?
Pohl: Ich gehe davon aus, dass alle Deutschen vollständig abgehört werden.
Kloiber: Das hört sich ja dann nach einem gigantischen Aufwand an. Nun wissen wir ja aus dem bisherigen Verlauf der NSA-Affäre, dass die Geheimdienste tatsächlich einen sehr, sehr großen Aufwand treiben. Sind es eigentlich nur die Geheimdienste, oder meinen Sie, dass die Überwachung umfänglicher ist?
Pohl: Sie sagen ganz richtig "die Geheimdienste". Es ist beileibe nicht nur die NSA, es ist GCHQ, es sind die Franzosen – es ist ja alles veröffentlicht. Es sind die Schweden, es sind die Luxemburger, es sind also die Mitgliedsstaaten der EU. Es sind alle die Staaten weltweit, die es sich finanziell leisten können. Das sind mindestens die G20 oder die 35 finanzstärksten Staaten dieser Welt.
Kloiber: Wie sieht es eigentlich aus mit nicht-staatlichen Stellen, sind die auch aktiv?
Pohl: Ich gehe davon aus, dass die Techniken, die ja seit über zehn Jahren veröffentlicht sind, die hier von den Geheimdiensten genutzt werden, gleichermaßen von der organisierten Kriminalität genutzt werden, dass sie von Wirtschaftskriminellen genutzt werden, wo ja unmittelbar viel mehr Geld zu 'verdienen' ist als bei dieser politischen Spionage, die wesentlich ist für Verträge – zum Beispiel Aushandlung der Freihandelszone.
Kloiber: Zur Wirtschaftsspionage, aber auch zur wirklich gefährlichen Spionage gehört ja auch dazu, dass die Geheimdienste nicht nur eben halt lauschen, was zum Beispiel Regierungsvertreter miteinander zu besprechen haben, sondern auch, dass sie versuchen, in strategische IT-Anlagen reinzukommen, die eben halt nicht nur zu belauschen sind, sondern eventuell auch zu kapern sind. Können Sie da Beispiele nennen?
Pohl: Es ist veröffentlicht, dass die NSA bis zum Jahresende 85.000 Server weltweit gekapert haben will und Hintertüren nachhaltig eingebaut haben will, sodass diese Server jederzeit von ihr wieder kontaktiert und die angeschlossenen Netze ausgelesen und auch manipuliert werden können.
Kloiber: Wenn man das alles weiß, so wie Sie das sagen – welche Geheimdienste da unterwegs sind, mit welchen Methoden sie unterwegs sind –, dann müssen doch die Staatsschutzorgane das auch alles wissen.
Pohl: Ich gehe davon aus, dass das Wissensniveau der deutschen Sicherheitsbehörden nicht nur angemessen ist, sondern sehr hoch ist.
Kloiber: Aber warum werden zum Beispiel dann Firmen nicht in die Lage versetzt, mit diesem Wissen, was die Staatsschutzbehörden vermutlicher Weise haben, ihre Rechner vernünftig zu schützen?
Pohl: Das ist eine politische Frage. Der Gesetzgeber hat zum Beispiel beim BSI-Gesetz klar entschieden, dass Sicherheitslücken, also unveröffentlichte Sicherheitslücken, Zero Day Vulnerabilities, die dem Bundesamt für Sicherheit in der Informationstechnik bekannt sind oder bekannt geworden sind, von ihm nicht veröffentlicht werden müssen. Das macht einen begrenzten Sinn, weil natürlich das BKA für die heimliche Online-Durchsuchung und der BND im Ausland gleichermaßen derartige unveröffentlichte Sicherheitslücken unverzichtbar benötigen, um ihrem gesetzlichen Auftrag nachzukommen. Allerdings muss man auf der anderen Seite sehen, dass diese unveröffentlichten Sicherheitslücken fremden Nachrichtendiensten, der organisierten Kriminalität bekannt sind und von denen ausgenutzt werden können – zu Lasten deutscher Unternehmen, zu Lasten deutscher Arbeitsplätze.
Kloiber: Heißt das dann, dass Sicherheitsbehörden relevante, also für die Sicherheit von Firmen zum Beispiel relevante Informationen unterdrücken, nur, um sie selbst nutzen zu können?
Pohl: Ja, das ist der Fall und das will der Gesetzgeber auch so.
Kloiber: Über Sicherheitslücken und Geheimdienstaktivitäten in deutschen IT-Netzen war das Professor Hartmut Pohl von der Gesellschaft für Informatik. Danke.
Äußerungen unserer Gesprächspartner geben deren eigene Auffassungen wieder. Deutschlandradio macht sich Äußerungen seiner Gesprächspartner in Interviews und Diskussionen nicht zu eigen.
"Kontrolle ist ja kein Misstrauen" - Der frühere BND-Präsident Hansjörg Geiger plädiert für klare Grenzen bei der Geheimdienstarbeit
Bosbach: Merkel ist "wirklich im Mark erschüttert" - CDU-Innenpolitiker empört über offensichtliches Abhören des Kanzlerinnen-Handys
Merkel und Hollande sollen NSA-Affäre aufklären -
EU-Gipfel ringt um Antwort auf US-Spähangriffe
Göring-Eckardt: Brauchen eine öffentliche Debatte über NSA-Skandal - Spähaffäre: Grünen-Fraktionschefin fordert Sitzung des Bundestages