Manfred Kloiber: In Sachen Online-Durchsuchung haben sich vergangene Woche die Ereignisse regelrecht überschlagen. Freitag trafen sich die Unterhändler von SPD und CDU/CSU, um über das weitere Vorgehen der großen Koalition in Sachen Online-Durchsuchung zu beraten. Zuvor hatte die Gesellschaft für Informatik am Donnerstag davor gewarnt, Sicherheitslücken in Software und Betriebssystemen zu verheimlichen. Hintergrund: der Sicherheitsspezialist Professor Hartmut Pohl hatte in einer Untersuchung zur Online-Durchsuchung die Methode genau beschrieben, wie die Sicherheitsbehörden die Spionagesoftware auf die Zielrechner bringen wollen. Und in diesem Zusammenhang sind schließlich Anfang der Woche die Antwortschreiben des Bundesinnenministeriums an die SPD-Bundestagsfraktion und an das Justizministerium bekannt geworden, die einen ganzen Fragenkatalog zur Online-Durchsuchung vorgelegt hatten. Es wurde ein wenig undurchschaubar. Wir wollen da mal ein wenig Ordnung hineinbringen. Konnten sich denn die Unterhändler der großen Koalition gestern auf ein gemeinsames Vorgehen einigen, Peter Welchering?
Peter Welchering: Nein, sie haben recht fruchtlos hin- und her diskutiert. Dabei schien zunächst in einem Punkt sogar eine Annäherung Schäubles an die SPD-Position realisierbar. Es wurde nämlich länger diskutiert wurde, inwieweit die Sicherheitsbehörden mit gekauften Sicherheitslücken und erworbenen Angriffsprogrammen, das sind so genannte Exploits, arbeiten sollen und dürfen. Der Hintergrund dabei: Betriebssysteme und Kommunikationssoftware haben Fehler in der Programmierung. Das ist bei so komplexer Software, wie wir die heute haben, unvermeidlich. Ein Teil dieser Fehler offenbart erhebliche Sicherheitslücken. Computer werden durch diese Fehler angreifbar. Und es gibt weltweit ungefähr 30.000 Schwachstellenanalytiker, so genannte Expolit-Researcher. Die verkaufen ihr Wissen um Fehler, Sicherheitslücken und Angriffspunkte an Betriebssystemhersteller, Produzenten von Antivirensoftware, aber auch an Geheimdienste, an Organisationen, die Wirtschaftsspionage betreiben und die versteigern diese Sicherheitslücken und Angriffsprogramme, die solche Sicherheitslücken ausnutzen, in regelrechten Geheimauktionen im Internet. Die strittige Frage dabei: Sollen die deutschen Sicherheitsbehörden solche Exploits einsetzen? Und da hatte das Innenministerium der SPD-Bundestagsfraktion geantwortet, der Erwerb solcher Zero-Day Exploits sei nicht geplant! In diesem Punkt wären sich also SPD und CDU/CSU einig. Aber leider nur auf den ersten Blick. Professor Hartmut Pohl von der Gesellschaft für Informatik hat einen zweiten Blick gewagt, und der offenbart anderes:
"Also hier argumentiert das Innenministerium oder Schäuble sehr unfair. Wir können gern ins Detail gehen. Zero-Day-Sicherheitslücken sind diejenigen Sicherheitslücken, die an einem Tag bekannt werden, an dem auch die Korrektur veröffentlicht wird. Und für diese Sicherheitslücken gibt es also nur einen sehr begrenzten Zeitraum, in dem ein Angreifer diese Sicherheitslücke ausnutzen kann, nämlich bis zu dem Zeitpunkt, wo der Private oder das Unternehmen die Korrektur, den Patch einfährt."
Welchering: Das ist aber gar nicht das Thema der Verhandlungen, hat Professor Pohl herausgefunden:
"Das Thema ist: Was ist in der Zeit, bis diese Sicherheitslücke dem Hersteller überhaupt bekannt wird. Er erfährt ja nicht alle, er kann nicht alle korrigieren. Es gibt einen Markt, der diese Sicherheitslücken verkauft. Es gibt Versteigerungshäuser, da werden Sicherheitslücken verkauft, bevor sie in die Öffentlichkeit kommen."
Welchering: Und diese Exploits können sehr wohl Grundlage für die geplanten Online-Untersuchungen etwa des Bundeskriminalamtes sein.
Kloiber: Aber aus dem Innenministerium hieß es doch, es würde kein Geld aus dem Etat für Online-Durchsuchungen für diese Exploits ausgegeben werden. Hat sich da das Innenministerium nicht eindeutig festgelegt?
Welchering: Zunächst einmal dürfte der bisher diskutierte Etat für die Online-Durchsuchungen kaum reichen. Denn Experten wie Professor Pohl gehen von ungefähr 300.000 Euro pro Online-Durchsuchung aus, das sind bei einem Dutzend Online-Durchsuchungen im Jahr fast vier Millionen Euro. Zum Zweiten ist tatsächlich häufiger von unterschiedlichen Sprechern in der Politik betont worden, dass das BKA solche Sicherheitslücken und Zero-Day-Exploits nicht ankauft. Erstens heißen die Sicherheitslücken und die darauf abzielenden Angriffsprogramme, um die es bei der Online-Durchsuchung gehen muss, also die Exploits, auch etwas anders: die nennen sich nämlich Less-than-zero-day-explots. Zero-Day-Exploits, übersetzt Nulltag-Angriffsprogramme, sind ja solche Angriffsprogramme, die am Tag der Veröffentlichung der Sicherheitslücke programmiert und eingesetzt werden. Solche Angriffsprogramme habe eine kurze Einsatzdauer, weil in der Regel nach ein, zwei oder drei Tagen, ein Patch da ist, der diese Sicherheitslücke, die da veröffentlicht wurde, stopft. Less-than-Zero-Day-Exploits sind Angriffsprogramme, die geheime, nicht veröffentlichte Sicherheitslücken ausnutzen. Zu denen hat sich das Bundesinnenministerium nicht geäußert. Aber auch diese Angriffsprogramme muss nicht in jedem Fall das BKA kaufen. An solche Sicherheitslücken kommt das BKA auf anderen Wegen, meint Professor Pohl.
"Ich kann Ihnen einen Weg schildern, der natürlich funktioniert: Der BND schenkt dem BKA eine und der BND bezahlt sie. Also als Schäuble zu sagen: Ich gebe dafür kein Geld aus, ist zwar richtig, aber es ist gleichzeitig falsch, denn er kriegt sie von einer anderen Behörde. Fakt ist ja, dass deutsche Behörden über derartige unveröffentlichte Sicherheitslücken Bescheid wissen, dass sie sie kennen, aber nicht veröffentlichen."
Welchering: Und da ist die strittige Frage: Sollen Sicherheitsbehörden bei uns Sicherheitslücken aufkaufen und geheim halten dürfen, um sie für Online-Durchsuchungen einzusetzen?
Peter Welchering: Nein, sie haben recht fruchtlos hin- und her diskutiert. Dabei schien zunächst in einem Punkt sogar eine Annäherung Schäubles an die SPD-Position realisierbar. Es wurde nämlich länger diskutiert wurde, inwieweit die Sicherheitsbehörden mit gekauften Sicherheitslücken und erworbenen Angriffsprogrammen, das sind so genannte Exploits, arbeiten sollen und dürfen. Der Hintergrund dabei: Betriebssysteme und Kommunikationssoftware haben Fehler in der Programmierung. Das ist bei so komplexer Software, wie wir die heute haben, unvermeidlich. Ein Teil dieser Fehler offenbart erhebliche Sicherheitslücken. Computer werden durch diese Fehler angreifbar. Und es gibt weltweit ungefähr 30.000 Schwachstellenanalytiker, so genannte Expolit-Researcher. Die verkaufen ihr Wissen um Fehler, Sicherheitslücken und Angriffspunkte an Betriebssystemhersteller, Produzenten von Antivirensoftware, aber auch an Geheimdienste, an Organisationen, die Wirtschaftsspionage betreiben und die versteigern diese Sicherheitslücken und Angriffsprogramme, die solche Sicherheitslücken ausnutzen, in regelrechten Geheimauktionen im Internet. Die strittige Frage dabei: Sollen die deutschen Sicherheitsbehörden solche Exploits einsetzen? Und da hatte das Innenministerium der SPD-Bundestagsfraktion geantwortet, der Erwerb solcher Zero-Day Exploits sei nicht geplant! In diesem Punkt wären sich also SPD und CDU/CSU einig. Aber leider nur auf den ersten Blick. Professor Hartmut Pohl von der Gesellschaft für Informatik hat einen zweiten Blick gewagt, und der offenbart anderes:
"Also hier argumentiert das Innenministerium oder Schäuble sehr unfair. Wir können gern ins Detail gehen. Zero-Day-Sicherheitslücken sind diejenigen Sicherheitslücken, die an einem Tag bekannt werden, an dem auch die Korrektur veröffentlicht wird. Und für diese Sicherheitslücken gibt es also nur einen sehr begrenzten Zeitraum, in dem ein Angreifer diese Sicherheitslücke ausnutzen kann, nämlich bis zu dem Zeitpunkt, wo der Private oder das Unternehmen die Korrektur, den Patch einfährt."
Welchering: Das ist aber gar nicht das Thema der Verhandlungen, hat Professor Pohl herausgefunden:
"Das Thema ist: Was ist in der Zeit, bis diese Sicherheitslücke dem Hersteller überhaupt bekannt wird. Er erfährt ja nicht alle, er kann nicht alle korrigieren. Es gibt einen Markt, der diese Sicherheitslücken verkauft. Es gibt Versteigerungshäuser, da werden Sicherheitslücken verkauft, bevor sie in die Öffentlichkeit kommen."
Welchering: Und diese Exploits können sehr wohl Grundlage für die geplanten Online-Untersuchungen etwa des Bundeskriminalamtes sein.
Kloiber: Aber aus dem Innenministerium hieß es doch, es würde kein Geld aus dem Etat für Online-Durchsuchungen für diese Exploits ausgegeben werden. Hat sich da das Innenministerium nicht eindeutig festgelegt?
Welchering: Zunächst einmal dürfte der bisher diskutierte Etat für die Online-Durchsuchungen kaum reichen. Denn Experten wie Professor Pohl gehen von ungefähr 300.000 Euro pro Online-Durchsuchung aus, das sind bei einem Dutzend Online-Durchsuchungen im Jahr fast vier Millionen Euro. Zum Zweiten ist tatsächlich häufiger von unterschiedlichen Sprechern in der Politik betont worden, dass das BKA solche Sicherheitslücken und Zero-Day-Exploits nicht ankauft. Erstens heißen die Sicherheitslücken und die darauf abzielenden Angriffsprogramme, um die es bei der Online-Durchsuchung gehen muss, also die Exploits, auch etwas anders: die nennen sich nämlich Less-than-zero-day-explots. Zero-Day-Exploits, übersetzt Nulltag-Angriffsprogramme, sind ja solche Angriffsprogramme, die am Tag der Veröffentlichung der Sicherheitslücke programmiert und eingesetzt werden. Solche Angriffsprogramme habe eine kurze Einsatzdauer, weil in der Regel nach ein, zwei oder drei Tagen, ein Patch da ist, der diese Sicherheitslücke, die da veröffentlicht wurde, stopft. Less-than-Zero-Day-Exploits sind Angriffsprogramme, die geheime, nicht veröffentlichte Sicherheitslücken ausnutzen. Zu denen hat sich das Bundesinnenministerium nicht geäußert. Aber auch diese Angriffsprogramme muss nicht in jedem Fall das BKA kaufen. An solche Sicherheitslücken kommt das BKA auf anderen Wegen, meint Professor Pohl.
"Ich kann Ihnen einen Weg schildern, der natürlich funktioniert: Der BND schenkt dem BKA eine und der BND bezahlt sie. Also als Schäuble zu sagen: Ich gebe dafür kein Geld aus, ist zwar richtig, aber es ist gleichzeitig falsch, denn er kriegt sie von einer anderen Behörde. Fakt ist ja, dass deutsche Behörden über derartige unveröffentlichte Sicherheitslücken Bescheid wissen, dass sie sie kennen, aber nicht veröffentlichen."
Welchering: Und da ist die strittige Frage: Sollen Sicherheitsbehörden bei uns Sicherheitslücken aufkaufen und geheim halten dürfen, um sie für Online-Durchsuchungen einzusetzen?