IT-Sicherheit:Regierung könnte ihr Hacker-Wissen offenlegen

Eröffnung der Sicherheitsbehörde Zitis

Hacker, die bei Zitis arbeiten, werden Wege suchen, um Messenger-Dienste wie Whatsapp abzuhören.

(Foto: Matthias Balk/dpa)
  • Die Bundesregierung hat sich mit der Eröffnung der Entschlüsselungsbehörde Zitis offiziell auf ein heikles Feld begeben.
  • Dem Innenministerium kommt nun die Aufgabe zu, gleichzeitig IT-Sicherheit zu gewährleisten und das Ausnutzen von IT-Sicherheitslücken zu ermöglichen.
  • Um eine Lösung zu finden, orientiert sich die Behörde nun an den USA.
  • Dort gibt es einen Prozess, bei dem die Dienste abwägen: Wie groß ist das Risiko, dass fremde Hacker eine Lücke ebenfalls ausnutzen, und wie hoch ist der Schaden, der so entstehen könnte?

Von Georg Mascolo, Berlin, und Hakan Tanriverdi

Einen Präsidenten gibt es bereits, Personal wird gesucht. Bundesinnenminister Thomas de Maizière eröffnete in der vergangenen Woche im Münchner Osten offiziell die neueste deutsche Sicherheitsbehörde. Die "Zentrale Stelle für Informationstechnik im Sicherheitsbereich" (Zitis) soll herausfinden, wie verschlüsselte Messenger-Dienste wie Telegram, Whatsapp oder Signal geknackt und abgehört werden können. Nur die Regeln, nach denen Zitis arbeiten soll, sind noch völlig unklar.

Mit der Behörde begibt sich Deutschland nun erstmals offiziell und sichtbar auf ein überaus heikles Feld. Einerseits soll das Internet so sicher wie möglich sein, de Maizière spricht sogar davon, dass Deutschland "Verschlüsselungsstandort Nummer eins" werden wolle.

Wettlauf zwischen Staaten und Unternehmen

Andererseits sucht nun eine Behörde nach Software-Schwachstellen und Hintertüren, damit Polizei und Nachrichtendienste auch weiter abhören können. Für beide Aufgaben ist nun das Innenministerium zuständig. Aber wie soll das zusammengehen?

Die Problematik bereitet auch der Bundesregierung ziemlich viel Kopfzerbrechen. Inzwischen tobt ein regelrechter Wettlauf zwischen großen Internet-Konzernen und Software-Unternehmen auf der einen und Staaten auf der anderen Seite.

Geschockt durch die Enthüllungen des Whistleblowers Edward Snowden, versuchen viele Unternehmen heute, möglichst sichere Anwendungen anzubieten. Regierungen dagegen suchen nach Wegen, dennoch abhören zu können. Manchmal geht es dabei um ganz legitime Interessen, die Bekämpfung des Terrorismus etwa. Oft aber auch einfach nur um Spionage.

Hochspezialisierte Firmen, die mit Schwachstellen handeln

Der Wettlauf hat ein boomendes Geschäft entstehen lassen, Hacker und hochspezialisierte Firmen, viele davon mit Sitz in Israel, suchen nach Schwachstellen im Netz und verkaufen diese an Regierungen. Genannt werden diese Lücken "zero days", weil man bei ihnen null Tage Zeit hat, um sich gegen so einen Angriff zu schützen.

1,3 Millionen Dollar soll das FBI allein dafür gezahlt haben, um die Sicherheitsvorkehrungen eines iPhones eines islamistischen Attentäters zu umgehen. Apple hatte sich zuvor aus Prinzip geweigert, den Behörden zu helfen.

Mehr als 200 solche Händler von Schwachstellen soll es heute weltweit geben. Manche bieten gar kostenlosen Ersatz an für den Fall, dass ein Unternehmen die Software-Schwachstelle entdeckt.

Auch der BND gehört zu den Käufern

Oppositionelle in der arabischen Welt oder zuletzt in Mexiko wurden mithilfe solcher Methoden überwacht. Zu den großen Käufern am Markt gehört auch der Bundesnachrichtendienst (BND), der dafür in der Vergangenheit eigens zusätzliches Geld erhielt.

Winfried Karl, der neue Zitis-Präsident, hat lange beim BND gearbeitet. Von Bürgerrechtlern, aber auch aus der Industrie kommen Forderungen, dass Staaten den Markt nicht anheizen dürften; erkannte Sicherheitslücken müssten konsequent geschlossen werden. So sagt es etwa Telekom-Chef Timotheus Höttges. So sieht es auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) - eine Behörde, die de Maizière untersteht.

Zur Orientierung ein Blick in die USA

Der Innenminister und seine Beamten wissen sehr wohl, wie heikel dieses Geschäftsfeld ist. Karl versicherte in den vergangenen Tagen bereits, man werde nicht mit "unseriösen Firmen" zusammenarbeiten und auch nicht auf dem "Grau- und Schwarzmarkt" ankaufen. Im Innenministerium haben nun die Überlegungen begonnen, wie man mit dem Problem umgehen könnte. Sie orientieren sich dabei an einem amerikanischen Vorbild.

Unter Ex-Präsident Obama etablierten die USA ein Vorgehen namens "Vulnerabilities Equities Process" (VEP). Dabei entscheidet sich die Regierung "im Zweifel für eine verantwortungsbewusste Offenlegung", wie es in einem Blogbeitrag des Weißen Hauses hieß.

Die Dienste wägen also ab: Wie groß ist das Risiko, dass fremde Hacker eine Lücke ebenfalls ausnutzen, und wie hoch ist der Schaden, der so entstehen könnte? Im Rahmen dieses Vorgehens wird jedes Jahr ein Bericht erstellt, der unter anderem festhält, wie nützlich die Informationen gewesen sind, die anhand der Lücken gewonnen werden konnten.

Werkzeugkästen für Cyberangriffe, zum Verkauf im Internet

Viele Jahre operierten Geheimdienste anhand der Prämisse "nobody but us" - niemand außer den Elite-Hackern der USA habe Kenntnisse über bestimmte, schwerwiegende Schwachstellen. Dieser Blick hat sich endgültig gewandelt, nachdem in den vergangenen Jahren zwei US-Nachrichtendiensten - NSA und CIA - ihre Werkzeugkästen für Cyberangriffe entwendet wurden. Wer dahintersteckt, ist bis heute unklar. Sicher ist nur: Das Wissen wird teilweise gegen Geld im Netz versteigert.

Mit Inkrafttreten des VEP muss begründet werden, warum eine Schwachstelle geheim bleiben soll. NSA-Chef Michael Rogers teilte mit, dass 91 Prozent der Schwachstellen, also die überwältigende Mehrheit, an die Hersteller gemeldet werde. Diese können die Lücken nun schließen. Nach Snowden kämpft die NSA um ihr Ansehen, schließlich steht das S in ihrem Namen für Security, Sicherheit. Sie wehrt sich vehement gegen die Darstellung, Sicherheitslücken massenhaft zu horten.

Schwachstellen werden bewertet

Es ist diese Art Kommission, über die auch die Bundesregierung nachdenkt. Es gehe grundsätzlich um verantwortungsvolles Handeln. Wer sich Sicherheitslücken auf dem Grau- oder Schwarzmarkt besorgt, bekommt später eventuell Probleme mit den Verkäufern, wenn die Lücken, nach Entscheidung der Kommission, den Herstellern mitgeteilt werden müssen.

Es ist schwierig, die Nützlichkeit des VEP abschließend zu bewerten, zu viele Details sind unter Verschluss: Weder ist klar, wie das Gremium konkret zusammengesetzt ist, noch, anhand welcher Kriterien die Urteile gefällt werden. Hinzu kommt, dass in den ersten Jahren nach der Einführung der Prozess nicht ausreichend beachtet wurde - 2014 verschärfte die Obama-Regierung die Regeln. Derzeit versuchen Senatoren, das Vorgehen in Form eines Gesetzes zu verabschieden.

Kritiker sehen in Offenlegung "einseitiges Abrüsten"

Auch gibt es Kritiker, die einen solchen Prozess komplett ablehnen. Das komme "einer einseitigen Abrüstung" gleich, sagt ein IT-Sicherheitsforscher, der selbst offensiv arbeitet und nicht namentlich zitiert werden darf. Man wisse schlicht nicht, wie gegnerische Nachrichtendienste arbeiten und welche Wege diese kennen, um sich in fremde Netze einzuschleichen.

Entschieden ist bisher nichts. Was Zitis soll und darf, gehört zu den ungelösten Fragen der deutschen Cyber-Politik. Die nächste Regierung wird sie beantworten müssen.

Zur SZ-Startseite

Lesen Sie mehr zum Thema

Jetzt entdecken

Gutscheine: