Christina Janssen: Ist die Skepsis über und die Kritik an den Plänen zur Online-Durchsuchung berechtigt?
Hartmut Pohl: Also, diese Reaktionen sind noch viel zu schwach. Wir reden über diesen sogenannten Bundestrojaner, exakt ist es so eine
Online-Durchsuchung oder, besser noch, Remote-Durchsuchung, von ferne wird der Computer durchsucht. Wir reden darüber seit einem Jahr und Herr Schäuble sagt immer, nein, nein, das ist es nicht, und nein, nein, so geht es auch nicht, und ein Virus ist es nicht, anstatt nur einmal auf den Tisch zu legen, wie es tatsächlich funktioniert.
Janssen: Ja, wie funktioniert das, und ist das wirklich eine nützliche Idee, wenn man Terroristen auf die Spur kommen will?
Pohl: Also, da sind zwei Fragen. Die Mails unter falschem Namen zu verschicken, als Behörde, und noch unter falschem Behördennamen zu verschicken ist natürlich eine Unverschämtheit, in Zukunft werde ich keine Mail mehr von einer Behörde ernst nehmen können. Und so geht es auch der gesamten Bevölkerung natürlich. So kann man nicht vorgehen. Wenn Sie nach den Terroristen fragen, meine Güte, die haben schon vor … Nehmen wir mal ein einziges Beispiel. Die Taliban in Afghanistan haben bereits vor fünf Jahren erkannt, dass das Internet unsicher ist und haben ihre Computer abgehängt vom Internet, damit ja keiner aus dem Internet in ihre Computer eindringen kann. Das heißt, die Terroristen wissen längst, dass man das kann und haben Schutzmaßnahmen aufgebaut.
Janssen: Welche anderen Mittel, die Sie unter Umständen auch kritisch einschätzen, will das Innenministerium denn zur Online-Durchsuchung einsetzen?
Pohl: Also, das Hauptmittel ist, und so ist die Online-Durchsuchung bisher praktiziert worden: Man lässt Schwachstellen suchen, Sicherheitslücken im Betriebssystem, in Anwendungssoftware, in der Textverarbeitung und dringt in einen Computer anhand dieser Sicherheitslücken ein. Die Sicherheitslücken werden von Spezialisten gesucht, ausgetestet und dann verkauft. Zum Verkauf gibt es wieder Börsen, Auktionshäuser, und man erzielt mit einer guten Sicherheitslücke Preise in der Größenordnung von 50.000 Dollar bis 100.000 Dollar. Diese Sicherheitslücken werden also gekauft und dann eingesetzt.
Janssen: Das heißt, das Bundesinnenministerium oder aber das BKA würde da sozusagen in Konkurrenz treten, wenn es um den Erwerb einer solchen Sicherheitslücke oder der Information darüber geht, mit allen möglichen – unter Umständen auch kriminellen – Kreisen?
Pohl: Ja, so ist es in der Vergangenheit schon geschehen. Nun wird nicht der Schäuble da auf so einem Auktionshaus antreten, sondern man wird direkt mit den Spezialisten in Kontakt treten und sie beauftragen, eine Sicherheitslücke für ein bestimmtes Betriebssystem, für eine Textsoftware, für eine Firewall zu suchen und honoriert das. Dass die Preise dabei mit der Nachfrage steigen, ist richtig, und der Hinweis auf kriminelle Aktivitäten ist auch richtig. Das wird von Unternehmen schon weltweit praktiziert, um Wirtschaftsspionage zu treiben.
Moderatorin: Was halten Sie denn von dieser Methode?
Pohl: Die ist sehr wirkungsvoll und funktioniert grundsätzlich.
Janssen: Ist es also ratsam, dass das Bundesinnenministerium das vorschlägt?
Pohl: Nein, im Gegenteil, das ist sehr kritikwürdig, weil mit Hilfe dieser Sicherheitslücken genau dann unsere deutschen Unternehmen wieder ausspioniert werden, und da gehen Arbeitsplätze verloren, immer wenn ein anderes Unternehmen einem anderen Land unsere Produkte geklaut hat.
Janssen: Wie also sollte das Bundesinnenministerium aus Ihrer Sicht mit der Tatsache umgehen, dass es diese Schwachstellen gibt und die tatsächlich auch genutzt werden können?
Pohl: Also, die Gesellschaft für Informatik fordert dazu, dass unverzüglich die den Behörden bekannten Sicherheitslücken veröffentlicht werden, damit sich Unternehmen und auch Private schützen können gegen derartige Angriffe. Zum Zweiten fordern wir, dass die einschlägigen Behörden nach solchen Sicherheitslücken selbstständig suchen. Derzeit werden wir ja immer nur informiert über irgendwelche Viren, das hören wir von allen Seiten. Das sind ganz normale Risiken. Entscheidend und viel tiefergehend und schadensträchtiger sind derartige Sicherheitslücken im Betriebssystem, die ja noch nicht veröffentlicht sind, die nur bestimmten Behörden oder Personen, aber auch deutschen Behörden eben, bekannt sind.
Janssen: Herr Professor Pohl, wenn Sie das Projekt Online-Durchsuchung insgesamt bewerten würden, Sie hatten ja gerade schon das Beispiel der Taliban in Afghanistan genannt, wie hilfreich ist die Online-Durchsuchung insgesamt im Kampf gegen organisierte Kriminalität und Terroristen? Sind die nicht alle viel zu clever und technisch zu versiert, als dass man ihnen sozusagen online beikommen könnte?
Pohl: Also, diese Online-Durchsuchung hat nur Erfolg bei doofen Terroristen und es wird völlig die Intelligenz, die Fähigkeiten, die technischen Kenntnisse der Terroristen, völlig unterschätzt. Und das Beispiel Taliban, vor fünf Jahren haben die sich schon derart geschützt. Die können durch eine Online-Durchsuchung überhaupt nicht erreicht werden.
Janssen: Professor Hartmut Pohl von der Gesellschaft für Informatik in Bonn, vielen Dank für das Gespräch.
Hartmut Pohl: Also, diese Reaktionen sind noch viel zu schwach. Wir reden über diesen sogenannten Bundestrojaner, exakt ist es so eine
Online-Durchsuchung oder, besser noch, Remote-Durchsuchung, von ferne wird der Computer durchsucht. Wir reden darüber seit einem Jahr und Herr Schäuble sagt immer, nein, nein, das ist es nicht, und nein, nein, so geht es auch nicht, und ein Virus ist es nicht, anstatt nur einmal auf den Tisch zu legen, wie es tatsächlich funktioniert.
Janssen: Ja, wie funktioniert das, und ist das wirklich eine nützliche Idee, wenn man Terroristen auf die Spur kommen will?
Pohl: Also, da sind zwei Fragen. Die Mails unter falschem Namen zu verschicken, als Behörde, und noch unter falschem Behördennamen zu verschicken ist natürlich eine Unverschämtheit, in Zukunft werde ich keine Mail mehr von einer Behörde ernst nehmen können. Und so geht es auch der gesamten Bevölkerung natürlich. So kann man nicht vorgehen. Wenn Sie nach den Terroristen fragen, meine Güte, die haben schon vor … Nehmen wir mal ein einziges Beispiel. Die Taliban in Afghanistan haben bereits vor fünf Jahren erkannt, dass das Internet unsicher ist und haben ihre Computer abgehängt vom Internet, damit ja keiner aus dem Internet in ihre Computer eindringen kann. Das heißt, die Terroristen wissen längst, dass man das kann und haben Schutzmaßnahmen aufgebaut.
Janssen: Welche anderen Mittel, die Sie unter Umständen auch kritisch einschätzen, will das Innenministerium denn zur Online-Durchsuchung einsetzen?
Pohl: Also, das Hauptmittel ist, und so ist die Online-Durchsuchung bisher praktiziert worden: Man lässt Schwachstellen suchen, Sicherheitslücken im Betriebssystem, in Anwendungssoftware, in der Textverarbeitung und dringt in einen Computer anhand dieser Sicherheitslücken ein. Die Sicherheitslücken werden von Spezialisten gesucht, ausgetestet und dann verkauft. Zum Verkauf gibt es wieder Börsen, Auktionshäuser, und man erzielt mit einer guten Sicherheitslücke Preise in der Größenordnung von 50.000 Dollar bis 100.000 Dollar. Diese Sicherheitslücken werden also gekauft und dann eingesetzt.
Janssen: Das heißt, das Bundesinnenministerium oder aber das BKA würde da sozusagen in Konkurrenz treten, wenn es um den Erwerb einer solchen Sicherheitslücke oder der Information darüber geht, mit allen möglichen – unter Umständen auch kriminellen – Kreisen?
Pohl: Ja, so ist es in der Vergangenheit schon geschehen. Nun wird nicht der Schäuble da auf so einem Auktionshaus antreten, sondern man wird direkt mit den Spezialisten in Kontakt treten und sie beauftragen, eine Sicherheitslücke für ein bestimmtes Betriebssystem, für eine Textsoftware, für eine Firewall zu suchen und honoriert das. Dass die Preise dabei mit der Nachfrage steigen, ist richtig, und der Hinweis auf kriminelle Aktivitäten ist auch richtig. Das wird von Unternehmen schon weltweit praktiziert, um Wirtschaftsspionage zu treiben.
Moderatorin: Was halten Sie denn von dieser Methode?
Pohl: Die ist sehr wirkungsvoll und funktioniert grundsätzlich.
Janssen: Ist es also ratsam, dass das Bundesinnenministerium das vorschlägt?
Pohl: Nein, im Gegenteil, das ist sehr kritikwürdig, weil mit Hilfe dieser Sicherheitslücken genau dann unsere deutschen Unternehmen wieder ausspioniert werden, und da gehen Arbeitsplätze verloren, immer wenn ein anderes Unternehmen einem anderen Land unsere Produkte geklaut hat.
Janssen: Wie also sollte das Bundesinnenministerium aus Ihrer Sicht mit der Tatsache umgehen, dass es diese Schwachstellen gibt und die tatsächlich auch genutzt werden können?
Pohl: Also, die Gesellschaft für Informatik fordert dazu, dass unverzüglich die den Behörden bekannten Sicherheitslücken veröffentlicht werden, damit sich Unternehmen und auch Private schützen können gegen derartige Angriffe. Zum Zweiten fordern wir, dass die einschlägigen Behörden nach solchen Sicherheitslücken selbstständig suchen. Derzeit werden wir ja immer nur informiert über irgendwelche Viren, das hören wir von allen Seiten. Das sind ganz normale Risiken. Entscheidend und viel tiefergehend und schadensträchtiger sind derartige Sicherheitslücken im Betriebssystem, die ja noch nicht veröffentlicht sind, die nur bestimmten Behörden oder Personen, aber auch deutschen Behörden eben, bekannt sind.
Janssen: Herr Professor Pohl, wenn Sie das Projekt Online-Durchsuchung insgesamt bewerten würden, Sie hatten ja gerade schon das Beispiel der Taliban in Afghanistan genannt, wie hilfreich ist die Online-Durchsuchung insgesamt im Kampf gegen organisierte Kriminalität und Terroristen? Sind die nicht alle viel zu clever und technisch zu versiert, als dass man ihnen sozusagen online beikommen könnte?
Pohl: Also, diese Online-Durchsuchung hat nur Erfolg bei doofen Terroristen und es wird völlig die Intelligenz, die Fähigkeiten, die technischen Kenntnisse der Terroristen, völlig unterschätzt. Und das Beispiel Taliban, vor fünf Jahren haben die sich schon derart geschützt. Die können durch eine Online-Durchsuchung überhaupt nicht erreicht werden.
Janssen: Professor Hartmut Pohl von der Gesellschaft für Informatik in Bonn, vielen Dank für das Gespräch.