Unsichere IT serienmäßig? – Ein Backdoor-Gesetz soll den staatlichen Datenzugriff schon ab Werk ermöglichen

von Prof. Dr. Dennis-Kenji Kipker, veröffentlicht am 31.12.2017

Die rechtspolitische Debatte um den staatlichen, insbesondere sicherheitsbehördlichen Zugriff auf (personenbezogene) Datenbestände ist althergebracht. Wo hierzulande beispielsweise die Vorratsdatenspeicherung schon mittlerweile seit über zehn Jahren ein heiß umstrittenes Thema ist, geht es in den USA schon seit Jahren bei dem Thema „Key Escrowing“ darum, den Behörden einen Zugriff auf verschlüsselte Datenbestände zu ermöglichen, indem die Schlüssel bei Treuhandstellen aufbewahrt werden und so im Zweifelsfall von Sicherheitseinrichtungen abgerufen werden können. Der Hintergrund: Heutzutage sind viele Datenspeicher und Kommunikationsvorgänge schon „serienmäßig“ derart gut gesichert, dass ein Zugriff auf diese nicht selten nur mit einem erheblichen technischen Aufwand möglich ist. Was für den Nutzer so zunächst einmal gut und sinnvoll klingt, eben weil „Security by Design“ damit nicht nur eine bloße Losung, sondern gelebte Realität wird, bereitet den Sicherheitsbehörden zunehmend Bedenken, da auf diese Weise für die Ermittlung relevante Datenbestände – sei es nun zu Zwecken der Gefahrenabwehr oder aber der Sicherstellung einer effektiven Strafverfolgung – immer schwerer erlangt werden können. So wird nicht selten argumentiert, dass selbst die Kommunikation über Mainstream-Dienste wie WhatsApp oder Skype mittlerweile verschlüsselt stattfindet, wodurch es jedermann ermöglicht wird, selbst ohne vertiefte Computerkenntnisse eine grundlegend sichere Kommunikation zu betreiben. Anders für die E-Mail-Verschlüsselung, die im Regelfall eben noch nicht „ab Werk“ stattfindet, sondern vom Nutzer zumeist noch selbst eingerichtet werden muss.

IoT-Plattformen als staatliche Informationsquelle und Fernabschaltung von Computersystemen

Bundesinnenminister Thomas de Maizière hat deshalb auf der letzten Konferenz der Innenminister, die im November 2017 stattfand, einen neuen Antrag mit dem Titel „Handlungsbedarf zur gesetzlichen Verpflichtung Dritter für Maßnahmen der verdeckten Informationserhebung nach §§ 100c und 100f StPO“ gestellt. In diesem Antrag wird vorgeschlagen, die Befugnisse der staatlichen Sicherheitsbehörden im Rahmen von Lauschangriffen durch den „Einsatz technischer Mittel gegen Einzelne“ weiter auszubauen. Konkret soll insbesondere die Industrie gesetzlich dazu verpflichtet werden, so genannte „Backdoors“ in die Sicherheitssysteme neu hergestellter Informations- und Kommunikationstechnik zu verbauen. Bei einer so genannten „Hintertür“ handelt es sich, wie der Name auch schon preisgibt, um einen gewollten, aber grundsätzlich verdeckten Zugang zu einem Computersystem, der im Regelfall nur von den Entwicklern eines bestimmten Produkts intern eingesetzt wird, zum Beispiel zu Wartungszwecken, oder aber falls der Nutzer sich einmal selbst „ausgeschlossen“ haben sollte. Nun sollen derlei Backdoors aber, will man den gesetzgeberischen Plänen de Maizières Glauben schenken, nicht nur den Entwicklern in Ausnahmefällen zur Verfügung stehen, sondern gesetzlich reguliert auch Dritten, nämlich den Sicherheitsbehörden, zugänglich gemacht werden. Erfasst von den neuen Plänen werden gleichermaßen offensichtliche Geräte wie Tablets oder PCs, aber auch sämtliche Geräte des so genannten „Internet of Things“ (IoT), wie zum Beispiel PKWs, intelligente Kühlschränke oder Smart-TVs. Da speziell in diesem Segment von Jahr zu Jahr mehr Geräte neu auf den Markt kommen, ist davon auszugehen, dass der Plan der staatlichen Backdoors auf diese Weise mittelfristig nahezu sämtliche Lebensbereiche erfassen wird, in denen Computertechnik eingesetzt wird – was, wie man zugeben wird, mittlerweile deutlich mehr Bereiche als solche ohne IuK-Technik betrifft. Allein bei den Hintertüren soll es aber nicht bleiben: So ist unter anderem geplant, die von den gesetzlichen Regelungen betroffenen Unternehmen einer noch nicht näher bestimmten Auskunfts- und Mitteilungspflicht auszusetzen. Auch soll es den Behörden ermöglicht werden, private Computer per Remote-Control herunterzufahren. Damit vergleichbare Funktionen wurden in den vergangenen Jahren auch schon häufiger diskutiert, hier speziell bezogen auf die Kriminalitätsbekämpfung im Rahmen des vernetzten Automobils, um den Fahrzeugmotor flüchtiger Straftäter während der Fahrt über einen Fernzugriff des Herstellers abzuschalten. Nicht zuletzt soll durch den geplanten Vorstoß des Bundesinnenministeriums auch die flächendeckende IT-Sicherheit verbessert werden, indem die Sicherheitsbehörden einen Datenzugriff auf private Computer-Systeme erhalten, um die Nutzer vor  „Hacker-Zugriffen auf ihre Rechner“ zu warnen.

Ein Backdoor-Gesetz als berechtigte staatliche Reaktion auf die aktuelle technologische und sicherheitspolitische Entwicklung?

Obwohl die geplanten Regelungen zunächst wie eine Hiobsbotschaft für die Privatsphäre und die IT-Sicherheit klingen, sollen auch die Argumente ins Feld geführt werden, die für die gesetzliche Implementierung eines solchen Maßnahmenpakets sprechen. Denn hierbei geht es längst nicht mehr nur darum, dass es für Ermittlungsbehörden zunehmend schwieriger wird, IT-Sicherheitssysteme verdeckt zu überwinden und sich klassischer Überwachungsmethoden wie zum Beispiel dem Anbringen von Abhörwanzen zu bedienen. Auch führt die zunehmende Vernetzung von Computersystemen eben dazu, dass entsprechende Netzwerke technisch vulnerabel werden, weshalb ein möglicher Fernzugriff auf privat genutzte Computersysteme zunächst sinnvoll erscheinen könnte. Ein vergleichbarer gedanklicher Ansatz, der zwar technisch nicht derart weit greifend ist, aber doch in eine ähnliche Richtung geht, wurde schon im Jahre 2015 mit dem damaligen IT-Sicherheitsgesetz (IT-SiG) vorgestellt und kontrovers als „kleine Vorratsdatenspeicherung“ diskutiert: So dürfen Telekommunikationsdiensteanbieter zu Zwecken der IT-Sicherheit nicht nur die Verkehrsdaten ihrer Nutzer wie zum Beispiel Nummer oder Kennung der am Kommunikationsvorgang beteiligten Anschlüsse  (Anrufender und Angerufener), Standortdaten bei der Mobilfunk-Kommunikation, Beginn und Ende der jeweiligen Verbindung und die übermittelten Datenmengen verarbeiten, sondern im Zweifelsfall gar den Kommunikationsverkehr von die gesamte Netzsicherheit und -funktionsfähigkeit beeinträchtigenden TK-Anlagen unterbinden, soweit nicht zu erwarten ist, dass der (End)nutzer die von seinem System ausgehende Störung unverzüglich selbst beseitigt.

Die viel zitierte „Massenüberwachung“ ist wohl nicht zu befürchten – einen verantwortungsvollen Umgang mit der Backdoor vorausgesetzt

Nichtsdestotrotz macht es aber einen bedeutenden Unterschied, ob – selbst zu Zwecken der IT-Sicherheit – lediglich auf Verkehrsdaten, also auf Kommunikationsprotokolle, oder aber auf Inhaltsdaten, also auf die tatsächlichen Inhalte des jeweiligen Kommunikationsvorganges – Rückgriff genommen wird, was mit den neuen gesetzgeberischen Bestrebungen aber gerade ermöglicht werden soll. Zwar wäre bei realistischer Betrachtung auch hier nicht mit einer unlimitierten „Massenüberwachung“ zu rechnen, sondern vielmehr mit einer der rechtsstaatlichen Kontrolle unterliegenden Einzelfallnutzung der Backdoors für konkrete und begründete Fälle, indem die Maßnahmen grundsätzlich eines vorherigen richterlichen Beschlusses bedürften. Dennoch dürfte allein schon die bloße Möglichkeit des Überwachtwerdens für viele Nutzer eine signifikante Einschränkung in ihrem Kommunikationsverhalten bedeuten – auch dies ist ein Bedenken, das in der Vergangenheit schon in zahlreichen Fällen geäußert wurde, als es um die verfassungsrechtliche Rechtfertigung und um die Verhältnismäßigkeit der staatlichen Überwachungstätigkeit ging. Das geplante ministerielle Vorhaben erscheint auch dadurch noch drastischer, dass die Gesetzesänderung „technikoffen“ formuliert werden soll, sodass auch künftige technologische Entwicklungen fließend von der Befugniserweiterung umfasst würden. Dass der Sprecher des Bundesinnenministeriums, Johannes Dimroth, in diesem Zuge darauf verweist, dass die geplanten Maßnahmen in jedem Falle keine eingebauten Mikrofone in Smart-TVs oder Computern umfassen würden, ist bei einer solchen Perspektive nur wenig tröstlich. Ein weiterer, in der bisherigen Debatte jedenfalls nur unzureichend berücksichtigter Aspekt stellt die Frage dar, wie künftig mit IT-Sicherheitslücken in den Behörden umzugehen sein wird, die derlei Backdoor-Zugänge bei sich verwalten. So wäre es nicht nur nicht das erste Mal, dass eine Behörde unfreiwillig für sich genommen unzugänglich zu Ermittlungszwecken gespeicherte Datenbestände preisgibt; vielmehr würde die Entdeckung der in die Programme implementierten Hintertüren durch (Cyber)kriminelle zu einer allgemeinen Verschlechterung der gesamten IT-Sicherheitssituation führen – eine Entwicklung, der man in den vergangenen Jahren durch die Verabschiedung neuer Cyber-Sicherheitsstrategien und darauf basierender Gesetze ausdrücklich entgegentreten wollte. Letztlich spiegelt sich an dieser Stelle eine ähnliche Problematik wie auch schon für die staatliche Verwendung von bisher ungepatchten IT-Sicherheitslücken in Software wider – so genannten „Zero-Day-Exploits“ – die teils auf dem Grauen Markt erworben werden können: Wo liegt die Grenze zwischen der staatlichen Schutzpflicht einerseits, für sichere IT-Systeme zu sorgen, und andererseits aber gleichermaßen auch den Interessen der öffentlichen Sicherheit gerecht zu werden, indem in solche Computersysteme, die eigentlich gerade geschützt werden sollen, eingebrochen wird oder aber zumindest die Voraussetzungen für einen solchen Einbruch intendiert nicht beseitigt werden?

Die ewige Frage nach der Geeignetheit einer Maßnahme...

Nicht zuletzt stellt sich – wie schon so oft, wenn es um die Einführung neuer staatlicher Überwachungsinstrumente geht – die Frage nach deren Geeignetheit, also die Beurteilung der Zweckdienlichkeit, ob eine bestimmte Maßnahme tatsächlich auch praktisch dazu in der Lage ist, das gesetzgeberisch angestrebte Ziel zu erreichen. Für das von de Maizière vorgeschlagene Gesetzespaket dürften hier zumindest berechtigte Zweifel bestehen: So bringt der IT-Experte Hadmut Danisch den Einwand hervor, dass nahezu jeder (potenzielle) Straftäter mit etwas Anstrengung eine geeignete Firewall oder eine Intrusion Detection nutzen könne, um die Sicherheitsbehörden von ihrem Überwachungsvorhaben abzuhalten oder aber um überhaupt festzustellen, dass er unter staatlicher Beobachtung steht.

Wie geht es weiter im neuen Jahr?

Ein rechtspolitischer Plan ist noch längst kein Gesetz, so viel steht fest. Die auf der Innenministerkonferenz geäußerten Vorschläge werden deshalb sicherlich an vielen Stellen noch umfassende Änderungen erfahren – und möglicherweise auch wieder zur Gänze verworfen werden. Die Erfahrung der vergangenen Jahre aber hat gezeigt, dass Sicherheit in jedweder Hinsicht – sei es nun zu Zwecken der Kriminalitätsbekämpfung oder zu Zwecken der IT-Sicherheit – vom Gesetzgeber hierzulande ernst genommen wird. So, wie beispielsweise die schon tot geglaubte Vorratsdatenspeicherung wieder auf dem Parkett staatlicher Eingriffsbefugnisse auftauchte, ist deshalb nicht auszuschließen, dass es irgendwann auf absehbare Zeit auch ein Backdoor-Gesetz geben wird – wann und in welchem Umfang, steht aber noch in den Sternen. Das Jahr 2018 dürfte aber auch unabhängig davon in jedem Falle spannend werden – und deshalb möchte ich an dieser Stelle kurz die Gelegenheit nutzen, um mich bei Ihnen, liebe Leserinnen und Leser, ganz herzlich für das zahlreiche Feedback und die guten Diskussionen im vergangenen Jahr zu bedanken. Kommen Sie gut und sicher in das neue Jahr 2018 – wir schreiben uns!

Diesen Beitrag per E-Mail weiterempfehlenDruckversion

Hinweise zur bestehenden Moderationspraxis
Kommentar schreiben

14 Kommentare

Kommentare als Feed abonnieren

Wenn wir nur “grundsätzlich” einen Richtervorbehalt haben und unseren schlecht kontrollierten Geheimdiensten den Zugriff erlauben, bekommen wir damit eine Massenüberwachung, von der die Stasi nur träumen konnte. Richtig problematisch wird dies aber, wenn man berücksichtigt, dass es viele weitere Länder gibt, die ähnliches fordern. Also Zugriff auch durch NSA, türkische, russische oder chinesische Dienste.

Nationale “Lösungen” funktionieren da nicht. Im Rahmen einer Digital Geneva Convention könnte so etwas international gelöst werden.

0

Lieber Herr Erbguth,

haben Sie vielen Dank für Ihren Kommentar - ich sehe die Gefährdungslage genau so wie Sie. Zum gegenwärtigen Zeitpunkt stehen zwar noch keine konkreten gesetzlichen Vorschriften zu den rechtspolitischen Plänen, gleichwohl ist das Risiko aber nicht zu vernachlässigen, dass wenn einmal bestimmte neue Datenbestände bzw. Zugriffsmethoden vorhanden sind, auch die Begehrlichkeiten von Seiten anderer Behörden geweckt werden. Nicht zuletzt dürfte allein schon die technische Handhabbarkeit der Backdoors kein unerhebliches Problem darstellen.

Beste Grüße!

Dennis Kipker

"Wir beschließen etwas, stellen das dann in den Raum und warten einige Zeit ab, was passiert. Wenn es dann kein großes Geschrei gibt und keine Aufstände, weil die meisten gar nicht begreifen, was da beschlossen wurde, dann machen wir weiter - Schritt für Schritt, bis es kein Zurück mehr gibt." - in Die Brüsseler Republik, Der Spiegel, 27. Dezember 1999.

Zitiert nach Wikipedia.

 

Sehr geehrter Herr Dr. Kipker,

solange wir regiert werden von Personen, die nach einer Neuen Weltordnung streben (nein, das ist mitnichten eine Verschwörungstheorie), kann man derlei Forderungen nur eine klare und vollständige Absage erteilen. Ihre in Ihrer ausdifferenzierten Argumentation liegende Konzilianz halte ich persönlich für brandgefährlich - aber das liegt daran, dass wir vermutlich von unterschiedlichen Standpunkten aus argumentieren. Hätten wir einen funktionierenden Rechtsstaat, eine aufrichtige Regierung, eine funktionierende Justiz, rechtlich gebunden agierende Behörden, könnte ich Ihren Gedanken sehr zustimmen. Da ich allerdings unterstelle, dass wir all das nicht (mehr) in einem Maße haben, wie es erforderlich wäre, dass man dem Staat Kompetenzen von dieser Tragweite übertragen darf, ist das alles rundweg und ohne jegliches Zugeständnis abzulehnen.

Die damit eröffnete Massenüberwachung wird uns Bürger über kurz oder lang versklaven. Irgendwann wird eine Regierung die Möglichkeiten mit schlechten Absichten nutzen. Damit werden Dinge möglich, von denen Stasi und Nordkorea nur geträumt haben bzw. träumen. Es wäre NICHTS mehr privat (wer dem Gedanken nicht folgen kann: Lautsprecher, die Wohnungsbewohner IN der Wohnung 24/7 belauschen, gibt es schon und waren im Weihnachtsgeschäft ein Renner....Amazon Alexa)

Interessant an dem Vorstoß ist die implizite Aussage, dass es sichere Verschlüsselung zu geben scheint - jedenfalls ggü. den deutschen Diensten. Das wäre eine gute Nachricht.

Mit freundlichen Grüßen!

 

0

Liebe Leserin, lieber Leser,

haben Sie vielen Dank für Ihren umfassenden Kommentar - ich kann Ihre Bedenken durchaus in gewisser Hinsicht teilen: Wenn man sich tatsächlich einmal anschaut, wie stark die Zahl der Überwachungsgesetze seit dem 11. September 2001 angestiegen ist, dann kann man sich durchaus fragen, wie weitgehend wir mittlerweile beobachtet werden, zumal wir immer mehr personenbezogene Daten digital und vernetzt speichern. Und in meinen Augen ist die Vorratsdatenspeicherung immer noch das beste Beispiel dafür, dass die Sicherheitspolitik zwar mehr als populär, nicht aber nachgewiesenermaßen erfolgreich ist: Unlängst für nicht-verfassungskonform erklärt, taucht sie immer wieder auf, ohne dass ihre Effektivität zuvor jemals unter Beweis gestellt worden wäre. Das Maß der gefühlten Sicherheit scheint eine höhere Bedeutung als dasjenige der tatsächlichen Sicherheit zu haben. Unabhängig davon wird man aber natürlich auch irgendwo sagen müssen, dass wir durchaus zahlreiche rechtsstaatliche und auch funktionierende Kontrollsysteme haben, wenngleich das Instrument des Richtervorbehaltes oft überschätzt wird. Das Sinnvollste wäre es in meinen Augen, es zur Voraussetzung zu machen, dass die Einführung neuer technischer Überwachungsinstrumente eben nicht nur eine vornehmlich politische Entscheidung ist, sondern auch von der tatsächlichen Zweckdienlichkeit der Maßnahme abhängig gemacht werden sollte. Und was die Verhältnismäßigkeit anbelangt, ist es eben auch eine Frage, ob man nun sämtliche IuK-Systeme mit Backdoors ausstatten muss, wenn es um die Verfolgung nur weniger Personen geht. Vieles liegt da, wie Sie richtigerweise feststellen, noch oder auch immer mehr im Argen, jedoch meiner Meinung nach vornehmlich mehr auf politischer denn auf rechtsstaatlicher Ebene.

Mit den besten Grüßen!

Dennis Kipker

Kennen Innenminister die geltende Gesetzgebung zur Datensicherheit? Backdoors sind immer Angriffs-Vektoren. Bei solchen Sicherheitslücken in der IT dürfen Unternehmen nicht mehr im Bereich kritische Infrastruktur nach BSI-Gesetz tätig sein: Verkehr, Medizin, Informationstechnik, Energie...

Verfassungsschutz, Landeskriminalämter, Bundesamt für Sicherheit in der Informationstechnik und Bundesnetzagentur könnten ihre Tätigkeiten bezüglich Datensicherheit, Cyber Crime und Cyber War auch direkt einstellen.

Darüber hinaus bezweifele ich einen Einfluss deutscher Politiker auf die IT-Produzenten in den USA und Asien.

0

Lieber Herr Abrell,

haben Sie vielen Dank für Ihren Kommentar! Eigentlich sollte ja zumindest das BMI mit der aktuellen deutschen/europäischen IT-Sicherheitsgesetzgebung vertraut sein, da ja zumindest auch die BSI-KritisV aus dessen Feder stammt. Aber das ist ja letztlich auch das ewige Problem: Der Staat zwischen seiner Schutzpflicht für sichere IT-Systeme einerseits und andererseits das Erfordernis für Maßnahmen, die das Schutzinteresse der öffentlichen Sicherheit betreffen. Problematisch ist dabei in jedem Falle, dass das BMI bisher beide Aufgabenbereiche abdeckt.

Mit den besten Grüßen!

Dennis Kipker

Ich verstehe die Bedenken nicht, und ich mache mir da überhaupt keine Sorgen, denn ganz sicherlich wird es Niemand wagen, in Computern von Rechtsanwälten, die ja schließlich Organe der Rechtspflege sind, einzusteigen, oder besondere elektronische Anwaltspostfächer zu knacken.

Wir und unsere Computer und unsere Mandanten und das Anwaltsgeheimnis werden also garantiert sicher sein und sicher bleiben.

Alles andere wäre ja wohl illegal.

0

Ironie ist bei einem solch ernsten Thema unpassend, wenn sie nicht wenigstens andeutungsweise als solche gekennzeichnet wird.

0

Es ist jetzt schon das Problem, dass viele Daten gesammelt und nur ein Bruchteil ausgewertet wird. Die Menge an Daten die, nicht zuletzt wegen des IoT durchs Netz geht, ist gar nicht mehr komplett kontrollierbar.
Da hilft es dann auch nicht, wenn 3 Monate nach einen Anschlag festgestellt wird, dass das irgendwo schon kommuniziert wurde.
 

Es mag noch auf Hardwareebene funktionieren, eine Backdoorpflicht einzubauen, weil man bestimmte Teile sonst nicht verkaufen bzw importieren darf. Es klappt aber nicht mehr auf Software-Ebene. Eine Verschlüsselungssoftware, ein Mailprogramm etc. kann man sich auch dann herunterladen, wenn die entsprechenden Anbieter kein Interesse an der Kooperation mit dem deutschen Staat haben.

Und selbst wenn man Mails mitlesen kann, bringt das wenig, wenn der mitgeschickte Anhang nochmal extra mit einer weiteren Software verschlüsselt wurde.

Lieber Leser,

und Sie haben völlig Recht: Die Diskussion um die politische Realisierbarkeit überwiegt, wie leider so oft, die Frage der technischen Machbarkeit.

Mit den besten Grüßen!

Dennis Kipker

Kommentar hinzufügen