Unsichere IT serienmäßig? – Ein Backdoor-Gesetz soll den staatlichen Datenzugriff schon ab Werk ermöglichen
Gespeichert von Prof. Dr. Dennis-Kenji Kipker am
Die rechtspolitische Debatte um den staatlichen, insbesondere sicherheitsbehördlichen Zugriff auf (personenbezogene) Datenbestände ist althergebracht. Wo hierzulande beispielsweise die Vorratsdatenspeicherung schon mittlerweile seit über zehn Jahren ein heiß umstrittenes Thema ist, geht es in den USA schon seit Jahren bei dem Thema „Key Escrowing“ darum, den Behörden einen Zugriff auf verschlüsselte Datenbestände zu ermöglichen, indem die Schlüssel bei Treuhandstellen aufbewahrt werden und so im Zweifelsfall von Sicherheitseinrichtungen abgerufen werden können. Der Hintergrund: Heutzutage sind viele Datenspeicher und Kommunikationsvorgänge schon „serienmäßig“ derart gut gesichert, dass ein Zugriff auf diese nicht selten nur mit einem erheblichen technischen Aufwand möglich ist. Was für den Nutzer so zunächst einmal gut und sinnvoll klingt, eben weil „Security by Design“ damit nicht nur eine bloße Losung, sondern gelebte Realität wird, bereitet den Sicherheitsbehörden zunehmend Bedenken, da auf diese Weise für die Ermittlung relevante Datenbestände – sei es nun zu Zwecken der Gefahrenabwehr oder aber der Sicherstellung einer effektiven Strafverfolgung – immer schwerer erlangt werden können. So wird nicht selten argumentiert, dass selbst die Kommunikation über Mainstream-Dienste wie WhatsApp oder Skype mittlerweile verschlüsselt stattfindet, wodurch es jedermann ermöglicht wird, selbst ohne vertiefte Computerkenntnisse eine grundlegend sichere Kommunikation zu betreiben. Anders für die E-Mail-Verschlüsselung, die im Regelfall eben noch nicht „ab Werk“ stattfindet, sondern vom Nutzer zumeist noch selbst eingerichtet werden muss.
IoT-Plattformen als staatliche Informationsquelle und Fernabschaltung von Computersystemen
Bundesinnenminister Thomas de Maizière hat deshalb auf der letzten Konferenz der Innenminister, die im November 2017 stattfand, einen neuen Antrag mit dem Titel „Handlungsbedarf zur gesetzlichen Verpflichtung Dritter für Maßnahmen der verdeckten Informationserhebung nach §§ 100c und 100f StPO“ gestellt. In diesem Antrag wird vorgeschlagen, die Befugnisse der staatlichen Sicherheitsbehörden im Rahmen von Lauschangriffen durch den „Einsatz technischer Mittel gegen Einzelne“ weiter auszubauen. Konkret soll insbesondere die Industrie gesetzlich dazu verpflichtet werden, so genannte „Backdoors“ in die Sicherheitssysteme neu hergestellter Informations- und Kommunikationstechnik zu verbauen. Bei einer so genannten „Hintertür“ handelt es sich, wie der Name auch schon preisgibt, um einen gewollten, aber grundsätzlich verdeckten Zugang zu einem Computersystem, der im Regelfall nur von den Entwicklern eines bestimmten Produkts intern eingesetzt wird, zum Beispiel zu Wartungszwecken, oder aber falls der Nutzer sich einmal selbst „ausgeschlossen“ haben sollte. Nun sollen derlei Backdoors aber, will man den gesetzgeberischen Plänen de Maizières Glauben schenken, nicht nur den Entwicklern in Ausnahmefällen zur Verfügung stehen, sondern gesetzlich reguliert auch Dritten, nämlich den Sicherheitsbehörden, zugänglich gemacht werden. Erfasst von den neuen Plänen werden gleichermaßen offensichtliche Geräte wie Tablets oder PCs, aber auch sämtliche Geräte des so genannten „Internet of Things“ (IoT), wie zum Beispiel PKWs, intelligente Kühlschränke oder Smart-TVs. Da speziell in diesem Segment von Jahr zu Jahr mehr Geräte neu auf den Markt kommen, ist davon auszugehen, dass der Plan der staatlichen Backdoors auf diese Weise mittelfristig nahezu sämtliche Lebensbereiche erfassen wird, in denen Computertechnik eingesetzt wird – was, wie man zugeben wird, mittlerweile deutlich mehr Bereiche als solche ohne IuK-Technik betrifft. Allein bei den Hintertüren soll es aber nicht bleiben: So ist unter anderem geplant, die von den gesetzlichen Regelungen betroffenen Unternehmen einer noch nicht näher bestimmten Auskunfts- und Mitteilungspflicht auszusetzen. Auch soll es den Behörden ermöglicht werden, private Computer per Remote-Control herunterzufahren. Damit vergleichbare Funktionen wurden in den vergangenen Jahren auch schon häufiger diskutiert, hier speziell bezogen auf die Kriminalitätsbekämpfung im Rahmen des vernetzten Automobils, um den Fahrzeugmotor flüchtiger Straftäter während der Fahrt über einen Fernzugriff des Herstellers abzuschalten. Nicht zuletzt soll durch den geplanten Vorstoß des Bundesinnenministeriums auch die flächendeckende IT-Sicherheit verbessert werden, indem die Sicherheitsbehörden einen Datenzugriff auf private Computer-Systeme erhalten, um die Nutzer vor „Hacker-Zugriffen auf ihre Rechner“ zu warnen.
Ein Backdoor-Gesetz als berechtigte staatliche Reaktion auf die aktuelle technologische und sicherheitspolitische Entwicklung?
Obwohl die geplanten Regelungen zunächst wie eine Hiobsbotschaft für die Privatsphäre und die IT-Sicherheit klingen, sollen auch die Argumente ins Feld geführt werden, die für die gesetzliche Implementierung eines solchen Maßnahmenpakets sprechen. Denn hierbei geht es längst nicht mehr nur darum, dass es für Ermittlungsbehörden zunehmend schwieriger wird, IT-Sicherheitssysteme verdeckt zu überwinden und sich klassischer Überwachungsmethoden wie zum Beispiel dem Anbringen von Abhörwanzen zu bedienen. Auch führt die zunehmende Vernetzung von Computersystemen eben dazu, dass entsprechende Netzwerke technisch vulnerabel werden, weshalb ein möglicher Fernzugriff auf privat genutzte Computersysteme zunächst sinnvoll erscheinen könnte. Ein vergleichbarer gedanklicher Ansatz, der zwar technisch nicht derart weit greifend ist, aber doch in eine ähnliche Richtung geht, wurde schon im Jahre 2015 mit dem damaligen IT-Sicherheitsgesetz (IT-SiG) vorgestellt und kontrovers als „kleine Vorratsdatenspeicherung“ diskutiert: So dürfen Telekommunikationsdiensteanbieter zu Zwecken der IT-Sicherheit nicht nur die Verkehrsdaten ihrer Nutzer wie zum Beispiel Nummer oder Kennung der am Kommunikationsvorgang beteiligten Anschlüsse (Anrufender und Angerufener), Standortdaten bei der Mobilfunk-Kommunikation, Beginn und Ende der jeweiligen Verbindung und die übermittelten Datenmengen verarbeiten, sondern im Zweifelsfall gar den Kommunikationsverkehr von die gesamte Netzsicherheit und -funktionsfähigkeit beeinträchtigenden TK-Anlagen unterbinden, soweit nicht zu erwarten ist, dass der (End)nutzer die von seinem System ausgehende Störung unverzüglich selbst beseitigt.
Die viel zitierte „Massenüberwachung“ ist wohl nicht zu befürchten – einen verantwortungsvollen Umgang mit der Backdoor vorausgesetzt
Nichtsdestotrotz macht es aber einen bedeutenden Unterschied, ob – selbst zu Zwecken der IT-Sicherheit – lediglich auf Verkehrsdaten, also auf Kommunikationsprotokolle, oder aber auf Inhaltsdaten, also auf die tatsächlichen Inhalte des jeweiligen Kommunikationsvorganges – Rückgriff genommen wird, was mit den neuen gesetzgeberischen Bestrebungen aber gerade ermöglicht werden soll. Zwar wäre bei realistischer Betrachtung auch hier nicht mit einer unlimitierten „Massenüberwachung“ zu rechnen, sondern vielmehr mit einer der rechtsstaatlichen Kontrolle unterliegenden Einzelfallnutzung der Backdoors für konkrete und begründete Fälle, indem die Maßnahmen grundsätzlich eines vorherigen richterlichen Beschlusses bedürften. Dennoch dürfte allein schon die bloße Möglichkeit des Überwachtwerdens für viele Nutzer eine signifikante Einschränkung in ihrem Kommunikationsverhalten bedeuten – auch dies ist ein Bedenken, das in der Vergangenheit schon in zahlreichen Fällen geäußert wurde, als es um die verfassungsrechtliche Rechtfertigung und um die Verhältnismäßigkeit der staatlichen Überwachungstätigkeit ging. Das geplante ministerielle Vorhaben erscheint auch dadurch noch drastischer, dass die Gesetzesänderung „technikoffen“ formuliert werden soll, sodass auch künftige technologische Entwicklungen fließend von der Befugniserweiterung umfasst würden. Dass der Sprecher des Bundesinnenministeriums, Johannes Dimroth, in diesem Zuge darauf verweist, dass die geplanten Maßnahmen in jedem Falle keine eingebauten Mikrofone in Smart-TVs oder Computern umfassen würden, ist bei einer solchen Perspektive nur wenig tröstlich. Ein weiterer, in der bisherigen Debatte jedenfalls nur unzureichend berücksichtigter Aspekt stellt die Frage dar, wie künftig mit IT-Sicherheitslücken in den Behörden umzugehen sein wird, die derlei Backdoor-Zugänge bei sich verwalten. So wäre es nicht nur nicht das erste Mal, dass eine Behörde unfreiwillig für sich genommen unzugänglich zu Ermittlungszwecken gespeicherte Datenbestände preisgibt; vielmehr würde die Entdeckung der in die Programme implementierten Hintertüren durch (Cyber)kriminelle zu einer allgemeinen Verschlechterung der gesamten IT-Sicherheitssituation führen – eine Entwicklung, der man in den vergangenen Jahren durch die Verabschiedung neuer Cyber-Sicherheitsstrategien und darauf basierender Gesetze ausdrücklich entgegentreten wollte. Letztlich spiegelt sich an dieser Stelle eine ähnliche Problematik wie auch schon für die staatliche Verwendung von bisher ungepatchten IT-Sicherheitslücken in Software wider – so genannten „Zero-Day-Exploits“ – die teils auf dem Grauen Markt erworben werden können: Wo liegt die Grenze zwischen der staatlichen Schutzpflicht einerseits, für sichere IT-Systeme zu sorgen, und andererseits aber gleichermaßen auch den Interessen der öffentlichen Sicherheit gerecht zu werden, indem in solche Computersysteme, die eigentlich gerade geschützt werden sollen, eingebrochen wird oder aber zumindest die Voraussetzungen für einen solchen Einbruch intendiert nicht beseitigt werden?
Die ewige Frage nach der Geeignetheit einer Maßnahme...
Nicht zuletzt stellt sich – wie schon so oft, wenn es um die Einführung neuer staatlicher Überwachungsinstrumente geht – die Frage nach deren Geeignetheit, also die Beurteilung der Zweckdienlichkeit, ob eine bestimmte Maßnahme tatsächlich auch praktisch dazu in der Lage ist, das gesetzgeberisch angestrebte Ziel zu erreichen. Für das von de Maizière vorgeschlagene Gesetzespaket dürften hier zumindest berechtigte Zweifel bestehen: So bringt der IT-Experte Hadmut Danisch den Einwand hervor, dass nahezu jeder (potenzielle) Straftäter mit etwas Anstrengung eine geeignete Firewall oder eine Intrusion Detection nutzen könne, um die Sicherheitsbehörden von ihrem Überwachungsvorhaben abzuhalten oder aber um überhaupt festzustellen, dass er unter staatlicher Beobachtung steht.
Wie geht es weiter im neuen Jahr?
Ein rechtspolitischer Plan ist noch längst kein Gesetz, so viel steht fest. Die auf der Innenministerkonferenz geäußerten Vorschläge werden deshalb sicherlich an vielen Stellen noch umfassende Änderungen erfahren – und möglicherweise auch wieder zur Gänze verworfen werden. Die Erfahrung der vergangenen Jahre aber hat gezeigt, dass Sicherheit in jedweder Hinsicht – sei es nun zu Zwecken der Kriminalitätsbekämpfung oder zu Zwecken der IT-Sicherheit – vom Gesetzgeber hierzulande ernst genommen wird. So, wie beispielsweise die schon tot geglaubte Vorratsdatenspeicherung wieder auf dem Parkett staatlicher Eingriffsbefugnisse auftauchte, ist deshalb nicht auszuschließen, dass es irgendwann auf absehbare Zeit auch ein Backdoor-Gesetz geben wird – wann und in welchem Umfang, steht aber noch in den Sternen. Das Jahr 2018 dürfte aber auch unabhängig davon in jedem Falle spannend werden – und deshalb möchte ich an dieser Stelle kurz die Gelegenheit nutzen, um mich bei Ihnen, liebe Leserinnen und Leser, ganz herzlich für das zahlreiche Feedback und die guten Diskussionen im vergangenen Jahr zu bedanken. Kommen Sie gut und sicher in das neue Jahr 2018 – wir schreiben uns!