Star Wars auf Erden

Mehr Sicherheit durch Kryptografie oder mehr Sicherheit trotz Kryptografie?

Am 21. März 2018 reichte die Fraktion BÜNDNIS 90/DIE GRÜNEN den Antrag „IT-Sicherheit stärken, Freiheit erhalten, Frieden sichern“ (BT Drs. 19/1328)[1] ein. Es dauerte mehr als ein Jahr, bis sich der Ausschuss des Deutschen Bundestages für Inneres und Heimat mit dem Antrag befasste: Am 8. April 2019 lud nun der Innenausschuss zur öffentlichen Anhörung zum Thema IT-Sicherheit ein. Zum Anlass nahm man dann gleich drei Anträge der Bundestagsfraktionen: den bereits mehr als einen Jahr alten Antrag der Fraktion BÜNDNIS 90/DIE GRÜNEN und zwei Anträge erheblich jüngeren Datums der Fraktion DIE LINKE (19/7705), „Umsetzung effektiver Maßnahmen für digitale Sicherheit statt Backdoors“[2], und der Fraktion der FDP (19/7698), „Digitalisierung ernst nehmen – IT-Sicherheit stärken“[3].

IT-Sicherheit stärken, Freiheit erhalten, Privatsphäre stärken, effektive Maßnahmen einführen, hinreichende Ressourcen bereitstellen, Ende-zu-Ende-Verschlüsselung als Recht gewährleisten – lautete der Tenor der Anträge. Allesamt tolle Ideen, Lösungsansätze und Vorschläge, wie man IT-Sicherheit – diese „Achillesferse des Informationszeitalters“[4], wie die Fraktion der FDP sie in ihrem Antrag nannte ‒ in Deutschland und Europa stärken solle. Während sich der Bundestag relativ viel Zeit für die Befassung mit dem Antrag der Fraktion BÜNDNIS 90/DIE GRÜNEN und dem Thema IT-Sicherheit insgesamt ließ, behandelten und analysierten wir kritisch die Inhalte und potenziellen Auswirkungen der Vorschläge und Forderungen aus dem Antrag in „Recht Innovativ“ bereits in der Ausgabe Ri 02/2018 („Operation Hack Back: Von wehrhafter Demokratie und einem Krieg, den man nicht gewinnen kann“). Die Anhörung des Innenausschusses ermöglichte eine weitere Befassung mit dem Thema im Kontext neuerer Anträge sowie in einem diskursiven Austausch zwischen den eingeladenen Sachverständigen und den Mitgliedern des Ausschusses. Da der Autorin des Ri-Beitrags diese Ehre zuteilwurde, folgt eine aktuelle Betrachtung des Themas aus Sachverständigenperspektive.    

Auch wenn Kryptografieexportverbote und der Fall Phil Zimmermann schon Jahre zurückliegen, scheint die Frage, ob nun mehr Sicherheit durch die Kryptografie oder mehr Sicherheit trotz Kryptografie möglich sei, an die auch in dieser Anhörung Konstantin von Notz von der Fraktion BÜNDNIS 90/DIE GRÜNEN erinnern sollte, für den Bundestag immer noch nicht endgültig beantwortet. Der Bundestag ist nach wie vor im Konflikt befangen, ob man eher mehr vermeintliche Sicherheit durch stärkere Überwachung und Zugriff auf vertrauliche Kommunikation der Bürger mittels Schwächung der Kryptografie, Einkauf und Einsatz von Hintertüren bzw. Backdoors etc. schaffen möchte oder mehr Sicherheit für die Bürger gewährleistet, indem er ihnen Mittel an die Hand gibt, ihre Kommunikation mittels kryptografischer Verfahren und sicherer Software zu schützen. Straftaten in Computernetzen können bspw. weniger durch Verbot oder Schwächung von Verschlüsselung oder Aufhebung von Anonymität, sondern „nur vermieden werden, wenn die Vertraulichkeit der Kommunikation mittels sicherer Verschlüsselung gewährleistet ist“[5], hielt die Enquetekommission in ihrem Schlussbericht fest. Dies war im Jahr 1998. Eine dezidierte Stellungnahme des Bundestages fehlt bis dato. Infolge dessen würden die „getroffenen Regelungen, Ausgestaltungen und Maßnahmen des Sicherheitsmanagements […] einander teilweise selbst“ unterlaufen, bemerkte in ihrem Antrag die Fraktion DIE LINKE.

Konkret standen der Frage des Einsatzes (oder gezielten Einkaufs) von Sicherheitslücken wie Backdoors (Hintertüren, bspw. in der Software) oder Zero-Day-Exploits die Fraktionen, wenn auch differenziert, dennoch insgesamt negativ gegenüber: Die Fraktion der FDP forderte, „sich gegen gesetzliche Beschränkungen oder Verbote kryptografischer Sicherungssysteme auszusprechen; den Einsatz von sogenannten Backdoors zu verurteilen und eine staatliche Beteiligung an digitalen Grau- und Schwarzmärkten für Sicherheitslücken abzulehnen“[6]. Noch dezidierter war die Forderung der Fraktion DIE LINKE: „[…] den Einsatz von Staatstrojanern zu unterbinden und Sicherheitslücken wie Backdoors oder Zero-Day-Exploits weder zu nutzen noch anzuschaffen“[7].

Zwar würden beide Anträge vermutlich nicht verhindern können, dass der Staat den Einsatz, Einkauf oder die Nutzung von Backdoors oder anderen Sicherheitslücken und/oder Schwachstellen an private Subunternehmen auslagert. Auch wollte man deren Einsatz nicht explizit sanktionieren. Doch in der Tendenz zeigte sich eine durchaus kritische Einstellung der Opposition solchen Maßnahmen gegenüber. Denn auch wenn es im Einzelfall gute Gründe geben kann, eine Backdoor zu nutzen, spricht aus gesamtgesellschaftlicher Perspektive alles dagegen: Sicherheitslücken jeder Art machen das Internet nicht sicherer – das Gegenteil davon trifft zu. Bedauerlich, dass sich diese Erkenntnis auch 20 Jahre nach der Enquetekommission noch immer nicht als Allgemeingut durchgesetzt hat. Wie der US-Sicherheitsguru Bruce Schneier konstatierte: Wenn man Hintertüren einbaut oder für etwaige Gegenangriffe offen hält, sollte man dafür sorgen, dass nur die „guten Jungs“ sie nutzen, und zwar nur dann, wenn sie es sollen. Die Welt wäre allerdings viel sicherer, wenn es sie gar nicht gäbe.[8]

Entsprechend kritisch fiel auch die Bewertung der geplanten „aktiven Gegenmaßnahmen“, populär bekannt als „Hackbacks“, der Bundesregierung im Fall eines Cyber-Angriffs auf deutsche Anlagen und/oder Infrastruktur aus. Laut Dr. Sven Herpig von der Stiftung Neue Verantwortung (SNV) würde der Bundesregierung „eine kohärente und umfassende Strategie“ fehlen, „wie politisch auf Cyberoperationen zu reagieren ist“. Damit sei auch ein „allgemeingültiges Verständnis von ‚Aktiver-Abwehr‘ (bekannt als ‚Hackbacks‘)“ wie auch „gemeinsame, international harmonisierte Attributionsstandards“ gemeint. Für die Fraktion BÜNDNIS 90/DIE GRÜNEN seien die „bisherigen gesetzgeberischen Aktivitäten der Bundesregierung zum Schutz digitaler Infrastrukturen und Kommunikation […] absolut unzureichend“[9] und die „IT-Sicherheitspolitik […] von zahlreichen Widersprüchen gekennzeichnet“[10].  

Während die Fraktion BÜNDNIS 90/DIE GRÜNEN in ihrem Antrag vom März 2018 noch eine „hinreichend konkrete gesetzliche Grundlage“ und ein „rechtsstaatskonformes Verfahren“ für die „behördliche Ausnutzung von Schwachstellen (‚vulnerabilities‘)“ und Hackbacks forderte, wurden diese im Antrag der Fraktion DIE LINKE bereits alternativlos ausgeschlossen. Man forderte explizit, „sogenannte Hackbacks durch staatliche Institutionen auszuschließen und zu ächten“. Mit dem bis dato nicht eindeutig lösbaren Problem einer eindeutigen Zuordnung einer Cyberattacke zu einem bestimmten Angreifer (sogenannte Attribution), um diesen ggf. als Ziel eines potenziellen Gegenanschlags (bzw. Hackback) zu identifizieren, gehen die Fraktionen sehr unterschiedlich um: Die Fraktion BÜNDNIS 90/DIE GRÜNEN schlug die Einrichtung einer unabhängigen Organisationseinheit zur „Bewertung einer etwaigen Zurechenbarkeit von Angriffen“ vor. Die Fraktion der FDP forderte: „Die Bundesregierung soll […] die weitere Prüfung zur Schaffung einer rechtlichen Grundlage für Hack Backs umgehend einstellen.“ Die Fraktion DIE LINKE forderte die Bundesregierung auf, sie solle „sogenannte Hackbacks durch staatliche Institutionen“ ausschließen und ächten.

Statt Strategien für Kriege der Zukunft zu ersinnen, wäre es für alle vermutlich besser, wenn Unternehmen und Behörden ihre Systeme und Netzwerke angemessen, gemäß dem Stand der Technik, absichern, in Firewalls und Perimeter-Sicherheit und in gut ausgebildete sowie erfahrene Spezialisten investieren, damit externe Angreifer nicht mehr mit gewohnter Nonchalance in die Systeme eindringen, sie sabotieren, Organisationen oder ganze Städte erpressen oder Informationen entwenden können. „Zu lange hat die Bundesregierung die im Mittelpunkt stehenden Fragen der IT-Sicherheit der Selbstregulierung der Wirtschaft überlassen und eine Politik verfolgt, die die Interessen von Sicherheitsbehörden vor den effektiven Schutz von Grundrechten und sichere digitale Angebote stellt“[11], kritisierte die Fraktion BÜNDNIS 90/DIE GRÜNEN in ihrem Antrag.

Sollte sich der Bundestag doch noch zeitnah zu einer Entscheidung durchringen und eine Strategie beschließen, könnte es dennoch bereits zu spät sein. Andere Länder, so scheint es, sind inzwischen weitergekommen und rüsten für den intergalaktischen Krieg auf: Nach dem US-Präsidenten Donald Trump und seinen Plänen für „United States Space Force“ will nun auch der französische Präsident, Emmanuel Macron, uns im Weltraum verteidigen[12]. Beziehungsweise nicht „uns“, sondern vielmehr Frankreich und vor allem französische Satelliten. Noch im Herbst 2019 soll ein „Raumfahrtkommando“ innerhalb der Luftwaffe geschaffen werden. Weltraum, nicht mehr Cyberspace, sei der neue Bereich der Konfrontation.    

Wenn der Bundestag noch länger mit der Entscheidung zögert und dezidierte Schritte zu den Themen bzw. gegen den Cyberkrieg oder Hackback hinausschiebt, könnte er bald direkt zu einer „Iron-Sky“-Strategie übergehen und für die Star Wars aufrüsten, um mit dem internationalen Fortschritt Schritt zu halten. „Überholen ohne einzuholen“, nennt man diese Vorgehensweise. Sie wurde erstmalig von Walter Ulbricht in den 70er-Jahren für die Forschungsstrategie der DDR propagiert.[13]

A

A


[1] BT Drs. 19/1328 – Antrag: IT-Sicherheit stärken, Freiheit erhalten, Frieden sichern – 21.03.2018, http://dip21.bundestag.de/dip21/btd/19/013/1901328.pdf.

[2] BT drs. 19/7705 – Antrag: Umsetzung effektiver Maßnahmen für digitale Sicherheit statt Backdoors – 13.02.2019, http://dip21.bundestag.de/dip21/btd/19/077/1907705.pdf.

[3] BT Drs. 19/7698 – Antrag: Digitalisierung ernst nehmen – IT-Sicherheit stärken – 13.02.2019, http://dip21.bundestag.de/dip21/btd/19/076/1907698.pdf.

[4] BT Drs 19/7698, S. 1.

[5] BT Drs. 13/1104. 1998. Schlussbericht der Enquete-Kommission Zukunft der Medien in Wirtschaft und Gesellschaft ‒ Deutschlands Weg in die Informationsgesellschaft*) zum Thema Deutschlands Weg in die Informationsgesellschaft, http://dip21.bundestag.de/dip21/btd/13/110/1311004.pdf, S. 16 (172).

[6] BT Drs. 19/5764.

[7] BT Drs. 19/7705.

[8] https://www.schneier.com/blog/archives/2011/10/fbi-sponsored_b.html (letzter Zugriff: 5.3.2018).

[9] BT Drs. 19/1328, S. 2.

[10] BT Drs. 19/1328, S. 1.

[11] BT Drs. 19/1328, S. 2.

[12] https://taz.de/Frankreich-will-Weltraumkommando/!5606834/, https://deutsch.rt.com/europa/90185-emmanuel-macron-kuendigt-aufbau-eines-militaerischen-weltraumkommandos-an/, letzter Zugriff:17.72019

[13] https://www.mdr.de/zeitreise/quiz-sprueche-sozialismus-100.html, letzter Zugriff: 17.7.2019

Über die Autorin

Dr. Aleksandra Sowa ist zertifizierte Datenschutzbeauftragte, Datenschutzauditor und IT-Compliance-Manager (ITCM). Sie gründete und leitete zusammen mit dem deutschen Kryptologen Hans Dobbertin das Horst Görtz Institut für Sicherheit in der Informationstechnik, ist Autorin diverser Bücher und Fachpublikationen, Dozentin, Essayistin für das Debattenmagazin „The European“ („Kryptomania“) und Kolumnistin der Zeitschrift „Neue Gesellschaft – Frankfurter Hefte“. Zuletzt erschien im Dietz-Verlag: „Digital Politics. So verändert das Netz die Demokratie“.

Titelhintergrundbild: © IgorZh via Adobe Stock, #177671904