slider

Strafverfolgung darf die IT-Sicherheit im Internet nicht schwächen - Prof. Dr. Norbert Pohlmann

Strafverfolgung darf die IT-Sicherheit im Internet nicht schwächen

368-Strafverfolgung-darf-die-IT-Sicherheit-im-Internet-nicht-schwächen-Bundestrojaner-Prof.-Norbert-Pohlmann

Wenn der Staat digitale Schwachstellen ausnutzt –
Quellen-TKÜ gefährdet mit dem Bundestrojaner eine nachhaltige Digitalisierung

Der aktuellen politischen Situation rund um die steigende Anzahl von terroristischen Anschlägen geschuldet, hat der Deutsche Bundestag in einem Schnellverfahren das „Gesetz zur effektiven und praxistauglichen Ausgestaltung des Strafverfahrens“ am Ende der auslaufenden Legislaturperiode beschlossen, und damit den Weg für den sog. Bundestrojaner / Staatstrojaner freigemacht. Dieses Gesetz gibt den Strafverfolgungsbehörden unter anderem die Möglichkeiten, Softwareschwachstellen auf dem Endgerät eines Verdächtigen auszunutzen, um mittels aufgespielter Schadsoftware die Daten bereits vor der Verschlüsselung oder spätestens nach der Entschlüsselung abzugreifen.

Negative Beeinflussung der IT-Sicherheit aller Bürgerinnen und Bürger, sowie aller Unternehmen, Behörden und weiteren Organisationen

Die gute Absicht, Kriminelle so effektiver abhören zu können, läuft dabei jedoch konträr zum Schutz der wachsenden Digitalisierung mit ihrem Ziel, eine vertrauenswürdige und sichere IT zu stärken. Die Quellen-TKÜ bringt mit dem sogenannten Bundestrojaner oder Staatstrojaner große Risiken für die so dringend notwendige vertrauenswürdige IT-Sicherheit. Der zunehmende Einsatz von Verschlüsselung im Internet stellt die Strafverfolgungsbehörden aktuell vor eine neue Herausforderung: Um an die Klartextdaten von potentiellen Straftätern zu kommen, soll zukünftig die staatlich geförderte Schadsoftware eingesetzt werden. Der Bundestrojaner / Staatstrojaner ist in der Gesamtbetrachtung nicht beherrschbar und verursacht wahrscheinlich mehr Cyberkriminalität als echte Aufklärung.

Staat sucht Alternativen zur TKÜ

Im Internet werden zunehmend die Daten von Kommunikationsanwendungen verschlüsselt, z.B. bei WhatsApp, Skype, usw. Aus Sicht der IT-Sicherheit ist dieser Trend äußerst positiv zu bewerten, denn die Schutzziele: Vertraulichkeit, Integrität und Authentizität werden durch die Verwendung von Verschlüsselung nachhaltig gestärkt. Insgesamt folgt daraus ein höheres Schutzniveau im Internet. Für die Strafverfolgungsbehörden und die öffentliche Sicherheit ergibt sich jedoch zeitgleich das Dilemma, dass die aktuellen Verschlüsselungstechnologien zunehmend auch von Kriminellen verwendet werden. Somit ist die klassische Telekommunikationsüberwachung (TKÜ) bereits heute überwiegend nicht nutzbar, weil die Daten nur in verschlüsselter Form abgegriffen werden können.

Da die Strafverfolgung einen wesentlichen Bestandteil des Schutzes der Gesellschaft darstellt, müssen die Strafverfolgungsbehörden bestehende Alternativen zur TKÜ weiter vorantreiben oder neue Ansätze entwickeln. Dazu hat der Deutsche Bundestag das neue Gesetz erlassen: Dies wird als Quellen-TKÜ, z.B. mittels Bundestrojaner bezeichnet. Aus technischer Sicht kann Quellen-TKÜ bei verschlüsselter Kommunikation prinzipiell gewährleisten, die Kommunikationsdaten im Klartext abzugreifen, z.B. bei WhatsApp, Skype, usw.

Schwachstellen in Software sind eine Gefahr für die Digitalisierung

Die konkrete Umsetzung ist jedoch nur mit einer grundsätzlichen Schwächung der IT-Sicherheit aller Nutzer im Internet möglich. Die eigentliche Maxime unserer Gesellschaft sollte aber das Gegenteil von Schwächung der IT und des Internets sein. Denn zurzeit haben wir jährlich einen finanziellen Schaden im Bereich der Wirtschaftsspionage von 55 Milliarden Euro nur in Deutschland /Bitk17/. Außerdem müssen wir bezüglich der immer größer werdenden Gefahr durch Cyberwar, unsere Kritischen Infrastrukturen deutlich sicherer und vertrauenswürdiger gestalten, um unsere Gesellschaft angemessen zu schützen.
Der Artikel befasst sich neben dem Prinzip des Bundestrojaners / Staatstrojaner auch mit den daraus resultierenden negativen Entwicklungen, wie etwa dem Einkauf von Schwachstellen oder schädlichen Einschränkung von „Bug Bounty“- Programmen.

Autoren

Rene Riedel

Prof. Norbert Pohlmann

N. Pohlmann, R. Riedel:
“Strafverfolgung darf die IT-Sicherheit im Internet nicht schwächen”,
DuD Datenschutz und Datensicherheit – Recht und Sicherheit in Informationsverarbeitung und Kommunikation,
Vieweg Verlag,
1/2018

kostenlos downloaden
368-Strafverfolgung-darf-die-IT-Sicherheit-im-Internet-nicht-schwächen-Bundestrojaner-Prof.-Norbert-Pohlmann
Strafverfolgung darf die IT-Sicherheit im Internet nicht schwächen Prof. Dr. Norbert Pohlmann - Cyber-Sicherheitsexperten