Die Quadratur des Kreises: Bundesregierung und „Backdoor-Gesetz“

von Prof. Dr. Dennis-Kenji Kipker, veröffentlicht am 27.03.2018

Rechtsgebiete: ComplianceDatenschutzrechtStaatliche DatenverarbeitungIT-RechtIT-Sicherheitsrecht|6140 Aufrufe

Dennis-Kenji Kipker/Dario Scholz

Auf der letzten Konferenz der Innenminister, die im November 2017 stattfand, stellte der damalige Bundesinnenminister Thomas de Maizière einen Antrag mit dem Titel „Handlungsbedarf zur gesetzlichen Verpflichtung Dritter für Maßnahmen der verdeckten Informationserhebung nach §§ 100c und 100f StPO“. Wie bereits im dazu gehörigen Beitrag vom 31.12.2017 im Blog (https://community.beck.de/2017/12/31/unsichere-it-serienmaessig-ein-backdoor-gesetz-soll-den-staatlichen-datenzugriff-schon-ab-werk-ermoeglichen) besprochen, war zentraler Gedanke dieses Antrags, die Befugnisse der staatlichen Sicherheitsbehörden im Rahmen von Lauschangriffen durch den „Einsatz technischer Mittel gegen Einzelne“ weiter auszubauen. Dies sollte vor allem dadurch geschehen, dass die Industrie verpflichtet wird, in die von ihr hergestellten IuK-Produkte so genannte „Backdoors“ einzubauen. Bei dieser „Hintertür“ handelt es sich, wie der Name ebenfalls preisgibt, um einen gewollten, aber grundsätzlich verdeckten Zugang zu einem Computersystem, der im Regelfall nur von den Entwicklern eines bestimmten Produkts intern eingesetzt wird, zum Beispiel zu Wartungszwecken, oder aber falls der Nutzer sich einmal selbst „ausgeschlossen“ haben sollte. Der Vorschlag von de Maizière legte jedoch nahe, die Backdoors nicht nur dem Produkthersteller, sondern vor allem auch den Sicherheitsbehörden zur Verfügung zu stellen, sodass zahlreiche IoT-Devices wie PKWs, Computer, Unterhaltungs- und Haushaltsgeräte sowie Kommunikationsendgeräte einer leichteren und umfassenderen Überwachung durch die Sicherheitsbehörden zugänglich sind. Seit Ende letzten Jahres ist es still geworden um den Vorstoß des Innenministeriums – was ist seither geschehen?

Doch keine allgemeine Auskunfts- und Mitteilungspflicht der Hersteller?

Im Januar 2018 stellte die Fraktion der FDP im Bundestag eine Kleine Anfrage „Verpflichtungen Dritte für Maßnahmen der verdeckten Informationserhebung“ (BT-Drs. 19/514) an die Bundesregierung, in welcher diese aufgefordert wird, verschiedene Fragen zum damals angekündigten Gesetzesvorhaben zu beantworten. In der entsprechenden Antwort (BT-Drucksache 19/662) wird zunächst festgestellt, dass die in Frage stehenden Maßnahmen in einem ersten Schritt überhaupt auf ihre technische und rechtliche Realisierbarkeit hin geprüft werden müssen, bevor weitere Schritte zu planen sind. Für diese Prüfung ist der Arbeitskreis Innere Sicherheit (AK II) zuständig. Untersucht werden sollen vor allem die technischen und rechtlichen Möglichkeiten zur Umsetzung von Maßnahmen der akustischen Überwachung, wozu möglicherweise auch die Verpflichtung Dritter im Rahmen eines „Backdoor-Gesetzes“ gehören kann. Die Bundesregierung betont dabei, dass es ausdrücklich nicht um den Einbau von Hintertüren in IT-Systeme geht, sodass dementsprechend auch keine weitgehende Schwächung der IT-Sicherheit zu befürchten sei. Mit dieser Relativierung wird in gewisser Hinsicht auch den zahlreichen Bedenken für die Cybersicherheit im IoT-Bereich Rechnung getragen, die schon im letzten Jahr von verschiedenen Kritikern für das ursprüngliche gesetzgeberische Vorhaben geltend gemacht wurden. Deutlich gemacht wird überdies, dass der Einsatz von Backdoors nur im Einzelfall erforderlich sei. Eine allgemeine Auskunfts- und Mitteilungspflicht von Herstellern zur verdeckten Überwindung von Sicherheitssystemen sei momentan nicht Gegenstand der Überprüfung.

„Sicherheit durch Verschlüsselung“ und „Sicherheit trotz Verschlüsselung“

Auf die Frage hin, welchen gesetzgeberischen Handlungsbedarf die Bundesregierung zur Verpflichtung Dritter für die Durchführung von Maßnahmen der verdeckten Informationserhebung nach den §§ 100c (Akustische Wohnraumüberwachung) und 100f StPO (Akustische Überwachung außerhalb von Wohnraum) sieht, antwortet diese, dass die Innenministerkonferenz bestimmte Probleme zur Umsetzung entsprechender Maßnahmen in der Anwendung gegen organisierte Kriminalität identifiziert habe, und spezifiziert in diesem Zusammenhang verschiedene Einzelfälle für mögliche behördlich veranlasste Mitwirkungspflichten der Hersteller.

Besonders problematisch sei demnach, dass die Polizei in vielen Fällen trotz des Vorliegens der tatbestandlichen Voraussetzungen der §§ 100c, 100f StPO verdeckte Überwachungsmodule nicht in Wohnungen oder Kfz installieren könne, da moderne technische Sicherungs- und Alarmeinrichtungen die – zwingend notwendige – unbemerkte Installation verhinderten. Nur mit einer entsprechenden Unterstützung des Herstellers sei es hier noch möglich, einen unbemerkten Zugriff zum Beispiel auf ein Kfz zu erlangen. Ausgehend von dieser Problemlage müsse nach Auffassung der Bundesregierung geprüft werden, in welchem Umfang ein Bedarf für Rechtsänderungen bestehe, die den Hersteller in die Durchführung der Überwachungsmaßnahmen mit einbeziehen. Ein mögliches Gesetzesvorhaben solle dabei technikoffen formuliert werden, damit eine regelmäßige Anpassung des Gesetzes an die technische Entwicklung nicht fortlaufend notwendig wird.

Auf die Frage hin, wie die Bundesregierung mit Informationen über die IT-Sicherheit von Hard- und Software umgeht und ob diese Informationen zum verdeckten Zugriff auf IT-Geräte genutzt werden, wird geantwortet, dass die Relevanz und Bedeutung des Umgangs mit diesen Sicherheitslücken bekannt ist. Insbesondere die Möglichkeiten durch den Kauf, die Entwicklung und letztlich durch die Nutzung von Exploits durch Strafverfolgungs- und Sicherheitsbehörden würden von der Bundesregierung zurzeit untersucht. Dabei stünden vor allem die zwei Grundsätze „Sicherheit durch Verschlüsselung“ und „Sicherheit trotz Verschlüsselung“ im Mittelpunkt der Betrachtungen. Hier sei es Aufgabe des Rechtsstaates, beide Grundsätze miteinander in Einklang zu bringen. Sicherheitslücken seien deshalb regelmäßig zu bewerten und auf ihr Schadenspotenzial hin zu untersuchen. Für eine genauere Beurteilung der Problematik sei jedoch die Untersuchung des zuständigen Gremiums abzuwarten.

Mindestsicherheitsstandards für IoT-Devices trotz der Ausnutzung von Backdoors?

IoT-Devices stehen im Mittelpunkt, soweit es um die Ausnutzung von Sicherheitslücken in der IT durch den Staat geht. Dies ist nicht nur allein der zunehmenden Verbreitung ebenjener vernetzten Alltagsgegenstände geschuldet, sondern auch der Tatsache, dass in die Entwicklung immer mehr Hersteller einsteigen, die bisher wenig oder keinerlei Erfahrung mit Informationstechnik haben, was nicht selten Mängel in der IT-Sicherheit der neu entwickelten Produkte zur Folge hat. Die Bundesregierung sieht es deshalb zunächst als große Herausforderung an, für IoT-Anwendungen einen flächendeckenden und transparenten Mindestsicherheitsstandard zu gewährleisten. In diesem Zusammenhang wird in der Beantwortung der Anfrage auf die umfassende Cyber-Sicherheitsstrategie des Bundes aus dem Jahr 2016 verwiesen, sowie unter anderem auf das Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz, IT-SiG). Auch auf europäischer Ebene sei durch die Verhandlungen zur Verordnung über die „EU-Cybersicherheitsagentur“ (ENISA) und zur Aufhebung der Verordnung (EU) Nr. 526/2013 sowie über die Zertifizierung der Cybersicherheit von Informations- und Kommunikationstechnik („Rechtsakt zur Cybersicherheit“, EU Cybersecurity-Verordnung) der richtige Weg in Sachen IT-Sicherheit eingeschlagen. Geradezu paradox mutet es aber an, dass die Ausnutzung von Sicherheitslücken in der IT – und deren mögliche, intendierte Schaffung – einerseits, und die flächendeckende Verbesserung der IT-Sicherheit andererseits, in einem Zuge genannt werden. Deutlich wird damit jedoch auch, dass man sich noch nicht vollständig darüber im Klaren sein kann, in welche Richtung die gesetzgeberische Entwicklung zur Ausnutzung von Backdoors für Zwecke der öffentlichen Sicherheit tatsächlich gehen wird.

Zusammenarbeit von Staat und Industrie = gegenseitiges Vertrauen?

Im selben Sinne fragwürdig scheint es auch zu sein, wenn mit der „Allianz für Cybersicherheit“ und dem „UP KRITIS“ in diesem Zusammenhang zwei Plattformen genannt werden, deren Entwicklung als Public Private Partnership vorangetrieben wurde, um IT-Sicherheitsmaßnahmen in einer Symbiose von Staat und Wirtschaft gemeinsam zu erarbeiten, zu diskutieren und zu implementieren. Die Bundesregierung macht hier deutlich, dass gerade das IoT-Zeitalter ein besonderes Erfordernis dafür schaffe, das „Vertrauen zwischen Unternehmen und Behörden in Diskretion und Professionalität im Umgang mit sensiblen Sachverhalten bei der Schaffung des notwendigen IT-Sicherheitsniveaus“ weiter voranzutreiben. Inwieweit dieses Ziel aber durch die gesetzliche Verpflichtung zum Einbau von Backdoors in private IT-Produkte zu erreichen sein kann, wird offen gelassen.

Fazit und Ausblick

Auch nach wie vor ist die rechtspolitische Entwicklung im Hinblick auf ein geplantes, mögliches „Backdoor-Gesetz“ der Bundesregierung unklar. Gesellschaftliche, wie gleichermaßen technische und wirtschaftliche Interessen kollidieren hier in einem so erheblichen Umfang miteinander, dass Lösungsansätze, die einen angemessenen Interessenausgleich schaffen sollen und können, noch weit entfernt scheinen. Es bleibt deshalb weiterhin abzuwarten, ob, wie und vor allem auch wann der auf der Innenministerkonferenz Ende vergangenen Jahres vorgestellte Antrag zur gesetzlichen Verpflichtung Dritter für Maßnahmen der verdeckten Informationserhebung nach §§ 100c und 100f StPO umgesetzt wird. Fraglich ist auch, ob die neue Bundesregierung das Vorhaben wie geplant weiter verfolgen wird. Das Gutachten des zurzeit befassten Ausschusses und ein eventuell darauf folgender Gesetzesentwurf könnten mehr Klarheit darüber bringen, ob den Herstellern von IoT-Devices nunmehr tatsächlich eine weitergehende Auskunfts- und Mitteilungspflicht auferlegt wird und inwieweit vom Hersteller einzubauende Backdoors tatsächlich technisch umsetzbar und von der Regierung gewünscht sind. In diesem Zusammenhang jedoch auf bestehende Public Private Partnerships zwischen Staat und Wirtschaft zu bauen, die eigentlich die IT-Sicherheit fördern sollen, wäre aber verfehlt, denn auch lange gewachsenes Vertrauen kann man schneller verspielen, als einem lieb ist.