Cybersicherheit: Seehofer für Nutzung von Zero-Day-Exploits und für Hackbacks

Innenminister Horst Seehofer hat einen Entwurf für eine Cybersicherheitsstrategie vorgelegt. Er plant einen Angriff auf Verschlüsselung und mehr Staatshacking.

Lesezeit: 4 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 144 Beiträge

(Bild: EFKS/Shutterstock.com)

Von
  • Stefan Krempl

Bundesinnenminister Horst Seehofer unternimmt einen neuen Anlauf, um die heftig umstrittenen staatlichen Hackbacks auf Online-Attacken doch noch mithilfe einer Grundgesetzänderung durchzusetzen. Dem CSU-Politiker liegt es am Herzen, die entsprechenden "Möglichkeiten des Bundes zur Gefahrenabwehr bei Cyberangriffen" zu schaffen. Bisher seien dafür die Länder zuständig. Große Hackerattacken stellten jedoch "vielfach eine länderübergreifende Gefahr dar und haben häufig eine internationale Dimension".

Die Forderung nach dem Instrument ist Teil eines Entwurfs für eine "Cybersicherheitsstrategie 2021", die das Bundesinnenministerium (BMI) am Mittwoch veröffentlicht hat. Verbände, zivilgesellschaftliche Organisatoren und andere Interessierte bittet das Ressort zugleich, das 128 Seiten lange Papier bis zum 16. Juni zu kommentieren. Kurze Reaktionsfristen zu komplexen Vorhaben hatten schon bei den Arbeiten zum IT-Sicherheitsgesetz 2.0 zu Protesten geführt.

Für einen digitalen Gegenschlag sei "bei Reaktionen äußerst hohe technische Expertise erforderlich, die effektiv nur an wenigen Stellen in Deutschland aufgebaut werden kann", wirbt Seehofer für seinen Plan. Die bisherige Zuständigkeitsaufteilung "wird der aktuellen und sich absehbar weiter verschärfenden Bedrohungslage im Cyberbereich nicht gerecht". Einschlägigen Gefahren könne so "dauerhaft nicht wirksam begegnet werden".

Das BMI strebt daher an, "im Grundgesetz eine erweiterte Gesetzgebungs- und Verwaltungskompetenz des Bundes zur Abwehr von Gefahren zu verankern, die von besonders schweren und bedeutenden Cyberangriffen auf informationstechnische Systeme und Netze ausgehen". Darauf aufbauend sei zu klären, "ob es entsprechend neuer oder ergänzter Aufgaben und Befugnisse" von Bundesbehörden bedürfe.

Generell schlägt der Minister bereits vor, "die technisch-operativen Einheiten" des Bundesamts für Sicherheit in der Informationstechnik (BSI) zukunftsfähig auszugestalten und zu vernetzen und die Kooperation mit den Ländern zu verbessern. Weiter sollen Aspekte der Cybersicherheit im Rahmen der Landes- und Bündnisverteidigung sowie weitere Möglichkeiten der Reaktion auf Bedrohungen im Cyber- und Informationsraum durch die Bundeswehr "unter Berücksichtigung rechtlicher Fragestellungen" untersucht und konkretisiert werden.

Zugleich will das Innenministerium den von ihm auf EU-Ebene bereits verankerten Leitsatz "Sicherheit durch Verschlüsselung und Sicherheit trotz Verschlüsselung" nun national durchsetzen. "Immer mehr Kommunikationskanäle und Datenspeicherdienste werden durch Ende-zu-Ende- Verschlüsselung gesichert", heißt es dazu. Dies sei prinzipiell gut für "die Privatsphäre und die Sicherheit der Kommunikation".

Gleichzeitig soll für die Sicherheitsbehörden aber die Möglichkeit aufrechterhalten werden, über einen rechtmäßigen Zugang zu Daten im Klartext "für legitime und klar definierte Zwecke im Rahmen der Bekämpfung schwerer und/oder organisierter Kriminalität, Kinderpornographie und Terrorismus – auch in der digitalen Welt – zu verfügen und die Rechtsstaatlichkeit zu wahren". Die bisher etablierten "Ausgleichsmaßnahmen" wie die Quellen-Telekommunikationsüberwachung und heimliche Online-Durchsuchungen seien "wegen den operativen und technischen Herausforderungen in der Praxis" aber auf Einzelfälle beschränkt.

Damit die Polizei ihre gesetzlichen Aufgaben vollständig erfüllen kann, sind laut Seehofer daher "neue Herangehensweisen in Bezug auf den unverschlüsselten Zugriff auf ursprünglich verschlüsselte Kommunikationsinhalte erforderlich". Dazu sollen "zunächst in enger Abstimmung mit den Diensteanbietern, anderen betroffenen Interessenträgern und allen zuständigen Behörden technische und operative Lösungen für den rechtmäßigen Zugang" zu Inhalten im Klartext entwickelt werden. Gegner warnen hier vor einem massiven Angriff auf eine sichere Verschlüsselung.

Auch durch eine "gestärkte Vorfeldaufklärung" durch die Geheimdienste will das BMI das Cybersicherheitsniveau erhöhen. Da Deutschland im Fokus "fortgeschrittener Angriffstechniken" durch staatliche Hacker aus dem Ausland stehe, müssten "sowohl die technischen als auch die fachlichen Fähigkeiten der Nachrichtendienste des Bundes" gestärkt werden.

Der Bundestag hat gerade erst ein Gesetz beschlossen, mit dem alle Geheimdienste von Bund und Ländern Staatstrojaner für die Quellen-TKÜ plus mit Zugriffsmöglichkeiten auch auf gespeicherte Nachrichten einsetzen dürfen. Diensteanbieter auf Netzebene werden verpflichtet, die Agenten beim Aufspielen der Schadsoftware auf Zielsysteme zu unterstützen und Datenverkehr umzuleiten. Zudem darf künftig auch die Bundespolizei den Bundestrojaner für die Quellen-TKÜ einsetzen.

Diese rechtlichen Vorschriften will Seehofer nun mit Leben füllen und den eingeschlagenen Weg konsequent ausbauen. Experten warnen aber seit Langem, dass die Behörden für den Einsatz von Staatstrojanern Sicherheitslücken ausnutzen müssen und durch die damit geöffneten Pforten auch Cyberkriminelle und ausländische Geheimdienste gehen können. Diesen Kurs in einer Sicherheitsstrategie zu verfolgen, ist so eine Gratwanderung. Dass das BMI just mit dem Bild eines trojanischen Pferds für die Beteiligung an der Konsultation wirbt, bezeichnete Sven Herpig von der Stiftung Neue Verantwortung als "blanken Hohn".

Bei einer Anhörung hatte der Präsident des Bundesamts für Verfassungsschutz, Thomas Haldenwang, jüngst versichert, dass Exploits für bislang unbekannte Sicherheitslücken (Zero Days) zumindest für seine Behörde keine Rolle spielten. Ausgenutzt würden "bereits vorhandene Lücken". Seehofer will nun einen "verantwortungsvollen Umgang mit 0-day-Schwachstellen und Exploits fördern".

"Die Nutzung von 0-day-Schwachstellen zu Zwecken der nachrichtendienstlichen Aufklärung, Gefahrenabwehr und Strafverfolgung erfolgt aktuell nach den für die jeweilige Sicherheitsbehörde geltenden internen Behördenvorgaben", heißt es dazu in dem Papier. Um diesen Prozess zu verbessern, werde im Rahmen eines Schwachstellenmanagementprozesses "an einer ausgewogenen behördenübergreifenden Strategie" für den Umgang mit Sicherheitslücken für die Strafverfolgungs- und Sicherheitsbehörden gearbeitet.

Kernpunkt sei "die Risikoabwägung zwischen dem Gefährdungspotential" vor allem von Zero Days "bei temporärer Ausnutzung durch die Sicherheits- und Strafverfolgungsbehörden" und dem prognostizierten Nutzen für deren Arbeit, erläutert das BMI. Sicherheitsexperten und Oppositionspolitiker appellieren dagegen schon lange an die Regierung, von öffentlichen Stellen entdeckte Sicherheitslücken in jedem Fall an die Hersteller zu melden und schließen zu lassen.

Ferner schwebt Seehofer vor, die staatliche Hackerstelle Zitis auszubauen und so "die digitale Souveränität der Sicherheitsbehörden" zu erhöhen. Sie soll strategisch neu ausgerichtet werden, "um auch künftig aus eigener Kraft handlungsfähig zu sein" und bei Überwachungslösungen die oft bestehende "große Abhängigkeiten insbesondere vom außereuropäischen Ausland" zu reduzieren. Die Zitis werde daher in die Lage versetzt, selbst besser entsprechende Werkzeuge und Methoden "zu entwickeln, zu bewerten und zentral zur Verfügung zu stellen". Kommerzielle Produkte sollten vorab "möglichst umfassend geprüft werden".

Trotz der Vielzahl an Vorschlägen, mit denen auch die IT-Sicherheit von Wahlen, von Künstlicher Intelligenz oder elektronischen Identitäten gestärkt werden soll, fehlt in dem Entwurf die Darstellung der eigentlichen "Cyberbedrohungslage". Sie ist "noch in Bearbeitung".

Manuel Atug, Sprecher der AG Kritis, warf dem BMI vor, mit der Initiative ein "grundlegend verschobenes Verständnis von Cyberresilienz und defensivem Handeln im Cyberraum" an den Tag zu legen. Es gebe "nur Sicherheit durch Verschlüsselung für die Zivilgesellschaft, Wirtschaft und kritischen Infrastrukturen". Der Elektrotechnikverband VDE monierte bereits anlässlich der Eckpunkte für die Strategie, dass der erwähnte Ansatz "Security by Design" das "Aufbrechen von Ende-zu-Ende-verschlüsselten Kommunikationswegen" ausschließe. Der grüne Fraktionsvize Konstantin von Notz warnte bereits bei der Einrichtung der "rechtlich unregulierten" Zitis vor einem "Frontalangriff auf die Integrität und Vertraulichkeit digitaler Kommunikation".

Eine andere Linie als das BMI fordert das EU-Parlament in einer am Donnerstag angenommenen Entschließung zum Entwurf der EU-Kommission für eine europäische Cybersicherheitsstrategie. Es wirbt darin für einen stärkeren Einsatz gegen Online-Bedrohungen. Vernetzte Produkte und zugehörige Dienste sollen demnach einschließlich der Lieferketten durch ihr Design sicher und widerstandsfähig gegenüber IT-Sicherheitsvorfällen gemacht werden. Entdeckte Schwachstellen müssten rasch beseitigt werden, betonen die Abgeordneten. Wappnen sollte sich die EU für Desinformationskampagnen und Cyberattacken auf Infrastruktur, Wirtschaftsprozesse und demokratische Institutionen.

(bme)