Geheimdienste:Raubzug mit den Waffen des Staates

Geheimdienste: Illustration: Stefan Dimitrov

Illustration: Stefan Dimitrov

Der jüngste Hackerangriff zeigt, wie riskant digitale Überwachung durch Geheimdienste sein kann. Trotz aller Risiken heizen Staaten den grauen Markt für aggressive Software an.

Von Georg Mascolo, Nicolas Richter und Hakan Tanriverdi

An diesem Mittwoch soll das Kabinett von Kanzlerin Angela Merkel über die Berufung eines Präsidenten für die neueste deutsche Sicherheitsbehörde entscheiden. Wilfried Karl soll künftig die "Zentrale Stelle für Informationstechnik im Sicherheitsbereich", kurz Zitis, leiten. Karl ist vom Fach: Zuletzt war er kommissarischer Leiter der Technischen Abteilung des Bundesnachrichtendienstes, der Abhörtruppe also. Zitis soll nicht selbst abhören, seine laut Plan 400 Mitarbeiter sollen stattdessen Methoden entwickeln oder ausfindig machen, mit denen Polizei und Verfassungsschutz codierte Messenger-Dienste wie Whatsapp knacken und verschlüsselte Mitteilungen lesen oder mithören können. Zitis, angesiedelt im Bereich des Bundesinnenministeriums, soll die Schwachstellen in der Kommunikation und im Internet finden und ausnutzen.

Unter dem Dach des Innenministeriums residiert aber noch eine andere Behörde, das Bundesamt für Sicherheit in der Informationstechnik (BSI). Es soll eben solche Schwachstellen entdecken und die Bürger davor warnen. Zwei Behörden also: Eine, die Sicherheitslücken im Netz ausfindig macht, kultiviert oder ausnutzt. Die andere, die Sicherheitslücken im Netz schließt oder davor warnt. Diese seltsame Arbeitsteilung beweist, dass sich der Staat im Internet mit zwei Gesichtern zeigt. Und zwar nicht nur der deutsche Staat: Regierungen in aller Welt stehen vor dem gleichen Dilemma. Einerseits wünschen sie ein sicheres Netz, um Wissenschaft, Forschung und Industrie vor Hacker-Angriffen zu schützen. Andererseits wollen weder Polizei noch Geheimdienste darauf verzichten, künftig auch Kriminelle und Terroristen abhören zu können. Sie brauchen Sicherheitslücken, die dann allerdings nicht nur von Polizisten und Agenten ausgenutzt werden können, sondern auch von Kriminellen.

Kaum ein Fall der jüngeren Zeit hat dieses staatliche Dilemma so eindrucksvoll illustriert wie der Hackerangriff vom Wochenende, der weltweit etwa 300 000 Rechner lahmgelegt und einen Schaden in Millionenhöhe angerichtet hat. Die Urheber nutzten dabei eine Schadsoftware namens "Wanna Cry", und die stammte nicht so sehr von ihnen selbst als vielmehr von einer Behörde, die eigentlich die Öffentlichkeit schützen soll: vom US-Geheimdienst National Security Agency (NSA). Die NSA wollte damit eine Sicherheitslücke im Betriebssystem Microsoft ausnutzen, um selbst an vertrauliche Daten zu gelangen. Nur kam der NSA ihr Spionagewerkzeug abhanden. Und dann waren es am Ende eben Ganoven, die das Werkzeug gegen Privatpersonen und Konzerne einsetzten.

Inzwischen ist ein Markt für Sicherheitslücken entstanden, auf dem viel Geld verdient wird

Inzwischen ist ein richtiger Markt entstanden, auf dem Sicherheitslücken und Schadsoftware angeboten werden, viele Millionen lassen sich damit weltweit umsetzen. Wo man früher noch mit Maschinengewehren und Raketenwerfern handelte, dealen Staaten und deren Geheimdienste jetzt mit Cyberwaffen. Hacker oder Computer-Fachleute, die auf eine Sicherheitslücke im Netz stoßen, verdienen damit schnell siebenstellige Summen. Sie können sich an die großen Informatikkonzerne wenden, die diese fehlerhafte, also anfällige Software entwickelt haben. Oder sie verkaufen ihr Wissen über Schwachstellen an andere Hacker oder gleich an Regierungen. So nutzte die israelische Firma NSO Group zum Beispiel eine Schwachstelle, mit der die Verteidigung von diversen Smartphone-Betriebssystemen, darunter Apple und Android, ausgehebelt werden konnte. Die Kosten für die Installation lagen bei 500 000 Dollar. Um zehn Leute zu überwachen, wurden weitere 600 000 Dollar fällig, wie die New York Times einmal aus internen E-Mails zitierte.

Firmen wie die NSO Group weisen darauf hin, dass sie ihre Spionage-Werkzeuge nur an Regierungen verkaufen, welche die Menschenrechte achten. Doch auch Dissidenten werden immer wieder mit solcher Software ausgespäht. In Spionage-Firmen wird die Ansicht vertreten, dass Geheimdienste auf diese Expertise angewiesen sind. So erzählt es jemand, der für eine israelische Firma arbeitet und anonym bleiben will: "Eine der besten Möglichkeiten der Gefahrenabwehr ist es, unbemerkt in die Computer von Schwerkriminellen oder Terroristen einzudringen." Verpflichte man einen Geheimdienst dazu, diese Lücken offenzulegen, würde diesem die Fähigkeit genommen, effektiv zu ermitteln. Dann nämlich würde die Softwarefirma die Sicherheitslücke schließen, und der Staat würde gewissermaßen erblinden, weil er die vertraulichen Daten von Schwerkriminellen nicht mehr einsehen könnte. Entscheidend sei es deshalb, dass Geheimdienste auf ihre Angriffswerkzeuge aufpassen.

Im Fall Wanna Cry aber ist genau diese Vorsicht offenbar unterblieben. Der US-Geheimdienst NSA kannte einen sehr effektiven Weg, um aus der Ferne auf Rechner zuzugreifen, die Microsoft Windows installiert hatten und die Datenfreigabe aktiviert. Über diesen Weg konnte die Erpressersoftware Wanna Cry in die Computer eindringen. Zugleich verbreitete sich die Software im Netz selbständig weiter. Bisher unbekannte Hacker konnten sich diese und weitere NSA-Werkzeuge schnappen und ins Internet stellen. Was wiederum Kriminelle aufgriffen, um alle Daten auf den betroffenen Rechnern zu verschlüsseln - und für deren Freigabe ein Lösegeld zu fordern.

Brad Smith, Nummer zwei bei Microsoft, warnte in einem Blogbeitrag davor, das Abhandenkommen von solchen Informationen in Form von Software zu unterschätzen: "Ein vergleichbares Szenario bei konventionellen Waffen wäre es, wenn dem US-Militär Tomahawk-Raketen geklaut worden wären." Smith spricht also von hochwirksamen Cyberwaffen, welche die amerikanische Regierung mit Steuergeld entwickelt - und dann verliert. Das gefährde die Sicherheit von Internetnutzern weltweit. Besser wäre es, betroffene Unternehmen direkt zu warnen, in diesem Fall also Microsoft.

Alle Lücken schließen - oder doch einige nutzen? Es ist eine schwierige Abwägung

Wann also sollen Geheimdienste ihr Wissen über Sicherheitslücken teilen, und wann sollen sie es für sich behalten? Es ist eine schwierige Abwägung: Gibt man das Wissen weiter und schließt die Lücke, hilft man vielleicht Firmen, nimmt sich aber womöglich die Möglichkeit, einen Anschlag zu verhindern. Durch den so genannten "Vulnerability Equities Process" soll die NSA angeblich 91 Prozent aller entdeckten Schwachstellen an betroffene Unternehmen weiterleiten. Sorgfältig werde abgewägt, ob es gerechtfertigt sei, eine Lücke lieber nicht zu melden, sondern auszunutzen. Im Fall Wanna Cry wurde Microsoft sogar benachrichtigt - allerdings erst sehr spät: nachdem Hacker bereits damit geprahlt hatten, die Schwachstelle zu kennen.

Auch der deutsche Weg ist nicht frei von Widersprüchen. Erfährt das BSI von einer Sicherheitslücke, warnt es die Software-Firmen und die Öffentlichkeit. Jedes Loch soll geschlossen werden. Der BND dagegen kauft solche Lücken ein, um Cyber-Waffen zu entwickeln, mit denen er in die Netze von Gegnern eindringen kann. Zuständig hierfür ist Unterabteilung T 4 des BND, eine Art Hacker-Truppe. Der Bundestag gewährte zuletzt für den Ankauf der immer teurer werdenden Zero-Day-Exploits oder Sicherheitslücken eigens zusätzliches Geld. Deutschland solle Standort Nummer eins für Verschlüsselungsfirmen werden, sagt Innenminister Thomas de Maizière. Nun muss er entscheiden, ob seine eigene Entschlüsselungsbehörde Zitis auf Einkaufstour geht und den Markt anheizt. Und was wichtiger ist: Schutz vor Terroristen oder Schutz vor neuen Großangriffen wie dem durch Wanna Cry.

Zur SZ-Startseite

Lesen Sie mehr zum Thema

Jetzt entdecken

Gutscheine: