Manfred Kloiber: Von einem Rechner mitten aus dem CIA Center for Cyber Intelligence stammten die Dokumente, die Wikileaks veröffentlicht habe, lobte Julian Assange in einer Pressekonferenz am Donnerstag die neueste Aktion seiner Leak-Plattform. Er sprach mehrfach von der umfangreichsten Veröffentlichung, betonte deren unglaubliche Wichtigkeit. Deshalb die Frage an meinen Kollegen, Peter Welchering: Sie haben sich durch die 8761 Dateien auf Wikileaks gewühlt. Was haben Sie Neues erfahren?

Welchering: So gut wie nichts! Dass die CIA Smartphones abhört, smarte Fernseher als Wanzen einsetzt, in Rechner eindringt, um Spionageprogramme dort aufzuspielen, das ist ja alles nicht neu. Das wissen wir seit vielen Jahren. Wir kennen sogar die Werkzeuge zum großen Teil, die die CIA-Hacker dafür einsetzen. Denn auf verschiedenen Sicherheitskonferenzen ist darüber immer wieder diskutiert worden.

Auch dass die CIA an Software arbeitet für die Remote-Steuerung von Autos, also PKW und LKW hackt, das ist nicht neu. Dafür setzen sie übrigens keine von Grund auf selbstentwickelten Tools ein, das ist im Jahr 2015 auf der Blackhat-Konferenz schon diskutiert worden. Auch dort hat die CIA zugekauft. Nun habe ich noch nicht alle 8761 Dateien auf Wikileaks anschauen können, sondern nur einen Bruchteil. Aber bisher muss man sagen: Nicht Neues im Westen. Was da auf Wikileaks veröffentlicht wurde, kannten Sicherheitsexperten, Nachrichtendienstexperten schon. Auch dass sich die CIA mit einem eigenen Cyber Center von der Zuarbeit der NSA unabhängiger machen will, war bekannt. Erstaunt hat mich, dass viele Medien am Dienstagabend und am Mittwoch so getan haben, als sei das alles völlig neu. Da muss man klar fragen, Kollegen, unter welchem Stein habt ihr während der vergangenen fünf bis sieben Jahre gelebt?

Kloiber: Wir fragen uns aber zunächst etwas anderes, nämlich: Was hat Wikileaks denn da an CIA-Interna veröffentlicht und wie gefährlich sind die Spionagewerkzeuge. Sabotage-Tools und Angriffsprogramme, deren Entwicklung und Einsatz dort beschrieben und die ein Stück weit dokumentiert sind.

Vault 7 nennt Wikileaks-Gründer Julian Assange die neueste Veröffentlichung. Bisher sind 8761 Dokumente und Dateien online. Sie geben Aufschluss über die vielen hundert Spionageprogramme, die das Cyber Center der CIA im Angebot hat, um andere Staaten auszuspionieren und auch den einen oder anderen Sabotageakt begehen zu können.

Eine Angriffssoftware namens Bartender bringt Spähprogramme auf Windows-Rechner, Jukebox macht das für Apple-Hardware und Dancefloor kommt bei Linux zum Einsatz. Die CIA-Hacker können Virenscanner manipulieren, Router von außen kapern und die Smartphones unbescholtener Bürger einfach übernehmen, auslesen und als Wanze einsetzen. Etwa um Gespräche mit dem Smartphone-Mikro zu belauschen oder um heimlich mit der Kamera ein Treffen zu filmen. Die Angriffstechnik dafür ist alt und gut dokumentiert. Der Programmieraufwand sei recht gering, um ein Handy als Wanze umzuprogrammieren, meint der Sicherheitsexperte Professor Hartmut Pohl aus Sankt Augustin.

"Das setzt ja nur voraus ein Programm. Das Programm bekommt man in das Handy hinein, indem man eine der Eingabe Schnittstellen, GSM oder SMS benutzt, um erstens eine Sicherheitslücke zu identifizieren und dann anzugreifen."

Ähnlich läuft das auch beim smarten Fernseher, dessen eingebautes Mikrofon selbst bei ausgeschaltetem Gerät aufnimmt, was im Konferenzraum besprochen wird und an einen Server der CIA sendet. In Sachen Industriespionage konnte der Auslandsgeheimdienst der USA schon immer mit seinen Konkurrenten in Russland oder China mithalten. Egal ob die Software für die Motorsteuerung eines PKW gehackt oder ein Notstromaggregat von außen lahmgelegt werden soll. Alle diese Angriffsprogramme und Spionagetools haben eins gemeinsam: Sie nutzen Sicherheitslücken aus.

"Es gibt keinen Angriff, der nicht eine Sicherheitslücke ausnutzt. Keinen! Zu jeder Sicherheitslücke gibt es eine Vielzahl, 10 bis 50 mögliche Angriffe. Meine Forderung ist eigentlich eine Beratungspflicht der zuständigen Sicherheitsbehörden und die einem Angriff zugrunde liegende Sicherheitslücke zu identifizieren und dann auch zu korrigieren oder korrigieren zu lassen.

Das wäre sehr nützlich für die deutsche Wirtschaft, natürlich auch für den Bürger der über noch gar nicht veröffentlichte Sicherheitslücken, nur Kriminellen und anderen bekannte Sicherheitslücken erfolgreich angegriffen wird."

Und da zeigt sich eine weitere, riesige Gefahr: Die Software zum Spionieren und die Werkzeuge zum Sabotieren nutzen nicht nur Nachrichtendienste und Sicherheitsbehörden. Was in deren Labors an fortschrittlicher Überwachungstechnik oder ausgereifter Sabotagetechnologie entwickelt wird, landet früher oder später auch auf dem freien Markt und wird dann zum Spionieren, Zerstören oder Töten zwielichtiger Gestalten eingesetzt. Der Einsatz solcher digitaler Waffen ist unkontrollierbar. Hartmut Pohl beschreibt das so.

"Die Sicherheitsbehörden sagen mir, dass die Tools, die die NSA benutzt, innerhalb von zwei Jahren in den Bereich organisierte Kriminalität abfließen und von der organisierten Kriminalität genutzt werden können. Und wenn sie halbwegs intelligent ist, dann nutzt sie sie auch, und setzt sie ein."

Kloiber: Und was für Tools der NSA gilt, gilt auch für die Cyber-Werkzeuge der CIA. Sind denn die jetzt in den Wikileaks-Dokumenten genannten Programme der CIA schon vorher im Netz bekannt gewesen, Peter Welchering?

Welchering: Wenn man sich den Markt der Software fürs Hacken von Motoren anschaut, da gab es immer mal wieder auf den entsprechenden Handelsplattformen Angebote, die auch darauf hingewiesen haben, dass sie beim Hacking mit dieser oder jener Sicherheitslücke arbeiten, auf die auch ein entsprechendes Schadprogramm der CIA aufsetzt. Aber solche Werbehinweise sind normal. Die gibt es auch in Richtung NSA oder sogar in Richtung des russischen Nachrichtendienstes FSB.

Die Nachrichtendienste kaufen übrigens auf diesen Handelsplattformen im Netz auch ganz ordentlich ein. Da findet ein reger Austausch statt.

Kloiber: Bedeutet Austausch, dass dann zum Beispiel so eine CIA-Software fürs Hacken von Autos auch mal beim russischen Auslandsgeheimdienst landen kann?

Welchering: Über Mittelsmänner passiert das durchaus. Deshalb lässt sich bei einem konkreten Cyberangriff so auch oft nur so schwierig feststellen, wer denn wirklich der Urheber dieses Angriffs ist. Noch häufiger aber landen solche Angriffsprogramme in der Organisierten Kriminalität. und da zeigt sich eben, was wir beim Handel mit analogen Waffen wie Gewehren und schon lange wissen, gilt auch bei den digitalen Waffen: Die Weiterverbreitung von Waffen, auch von digitalen Waffen ist einfach nicht zu kontrollieren. Und das ist einfach eine gefährliche Situation.

Kloiber: Nach den Wikileaks-Veröffentlichungen wurden jetzt ein Verbot von Angriffsprogrammen durch die Vereinten Nationen gefordert. Könnte das helfen?

Welchering: Darum bemüht sich das UN-Büro für Abrüstungsfragen schon seit vielen Jahren - völlig ergebnislos. Und damit kommen wir eigentlich zum Hauptproblem der hier diskutierten Schadsoftware. Sie setzt eben immer auf Sicherheitslücken auf. Und die werden tatsächlich eine wichtige Handelsware geworden. Mit der steigenden Nachfrage durch die Nachrichtendienste steigen hier die Preise.

Kloiber: Ist denn da ein Schutz der Bürger vor digitaler Überwachung und Sabotage überhaupt noch möglich?

Welchering: Technisch ist ein solcher Schutz möglich. Aber er ist nicht gewollt. Auch die Bundesregierung will ihn nicht. Technisch gesehen ist der Fall klar: Wenn eine Sicherheitslücke öffentlich wird, wird sie ziemlich rasch geschlossen. Dann schrieben viele Programmierer Patches, die diese Lücke schließen. Hätten wir also in Deutschland in unser IT-Sicherheitsgesetz hineingeschrieben, dass Sicherheitslücken gemeldet werden müssen, dann wäre damit ein Instrument geschaffen worden, Sicherheitslücken weltweit schnell zu schließen.

Denn es ist egal, wo Sicherheitslücken öffentlich werden. Dann wir immer eine Maschinerie in Gang gesetzt, die dazu führt, dass diese Sicherheitslücke geschlossen wird. Das hat die Bundesregierung beim IT-Sicherheitsgesetz ausdrücklich verhindert. Denn sie wollte ja den eigenen Nachrichtendiensten die Basis ihrer Arbeit nicht wegnehmen.

Kloiber: Welche Konsequenzen wird Ihrer Meinung nach die Veröffentlichung der CIA-Dokumente durch Wikileaks haben?

Welchering: Keine nachhaltigen. Das hat jetzt für ein wenig Aufregung gesorgt, obschon wirklich nichts Neues berichtet wurde. Was die CIA da an digitaler Spionage und Sabotage treibt, ist auf zahlreichen Konferenzen diskutiert worden. Es ist öffentlich. Jetzt gibt es offenbar auch interne Dokumente dazu. Da sich aber niemand an diesen nachrichtendienstlich-industriellen Komplex herantraut, wird das bald vergessen sein. Und die Nachrichtendienste, egal ob es sich um amerikanische, chinesische oder russische handelt, werden diese Spionage- und Sabotage-Tools weiterhin einsetzen wie bisher. Die Werkzeuge werden optimiert, weiterentwickelt. Und in regelmäßigen Abständen regen wir Journalisten uns dann mal darüber auf, zeigen vielleicht auch die Entwicklung auf. Aber das wird nichts ändern.

Kloiber: Peter Welchering über die neuerlichen Wikileaks-Enthüllungen über die Spionagetechnologien der CIA, danke.