Für einen kurzen Moment kommt Wilfried Karl ins Stocken. Hat da jemand über seine Aussage gelacht - oder war das nur ein Husten? Der Satz, den der Chef der Entschlüsselungs-Behörde Zitis auf der Bühne gerade gesagt hat, lautet: "Der Staat betreibt keine anlasslose Massenüberwachung."
Deutschlands oberster Codeknacker besucht in Berlin eine Fachkonferenz: das Internet Governance Forum Deutschland. Gesprochen wird hier über das digitale Gemeinwohl, im Publikum sitzen interessierte Bürger und Aktivisten. Es ist erst das zweite Mal, dass Karl öffentlich auftritt. Das erste Mal sprach er eher im Behörden-Umfeld. Die Menschen, die hier sitzen, sind Zitis, also der im April neu geschaffenen "Zentrale Stelle für Informationstechnik im Sicherheitsbereich" gegenüber kritischer eingestellt. Sie wollen wissen, wie der Staat sich die Arbeit der Behörde genau vorstellt.
Als wichtigste Aufgabe bezeichnet Karl die digitale Forensik, also das Auslesen von beschlagnahmten Festplatten und Smartphones. Die Behörde selbst arbeitet nicht operativ, sondern im Auftrag von Bundespolizei, Bundesamt für Verfassungsschutz und Bundeskriminalamt.
Karl sagt, dass die Sicherheitsbehörden technisch auf den aktuellsten Stand gebracht werden müssen. Dass in Deutschland die Überwachung der Telekommunikation (TKÜ) derzeit von 39 Behörden durchgeführt werde und es für Steuerzahler "nicht die bevorzugte Lösung" sei, wenn jede Behörde für sich selbst entscheide, wie sie mit der Digitalisierung - auch im Verbrechen - umgehe.
Und: Es dürfe keinen Unterschied machen, ob ein Terroranschlag am Telefon geplant werde - und damit für Ermittler abhörbar ist - oder in Chat-Apps, bei denen die Nachrichten Ende-zu-Ende verschlüsselt sind, also Ermittler draußen bleiben. Diesen Zugriff, also das Aufbrechen von Smartphones, sicherzustellen, sei eine der vier Aufgaben von Zitis.
EX-BND-Mitarbeiter als Chef
Gemeinsam auf der Bühne mit Karl sitzt Constanze Kurz vom Chaos Computer Club (CCC). Sie bezeichnet es als "Richtungsentscheidung", dass ein Ex-BND-Mitarbeiter an die Spitze der Behörde gesetzt wurde. Karl leitete dort die Abteilung Technische Aufklärung. Es sehe also nicht danach aus, so Kurz, als ob das Innenministerium - dort ist Zitis angesiedelt - auf Transparenz setze.
Die promovierte Informatikerin kritisiert, dass es eine "Normalisierung" in der Diskussion um staatliches Hacken gebe. Sie weist darauf hin, dass die gesetzliche Grundlage für den Einsatz von Staatstrojanern - also dem technischen Mittel, um Schadsoftware auf Smartphones zu spielen - am Ende der vergangenen Legislaturperiode deutlich erweitert wurde. Die Quellen-Telekommunikationsüberwachung, also das Abfangen von Gesprächen und Mails in Echtzeit, darf nun bei insgesamt 40 Straftaten eingesetzt werden - darunter fallen auch leichtere Delikte wie Drogenbesitz (mehr dazu hier).
Karl hatte kurz zuvor noch gesagt: "Was der Staat und seine Sicherheitsbehörden nicht macht, ist Schadsoftware, Viren, Trojaner, Würmer. Das sind die Werkzeuge von Kriminellen, die diese zum Teil im großen Stil unkontrolliert, massenhaft, anlasslos verteilen." Karl wehrt sich also gegen den Begriff Staatstrojaner und zielt auf die rechtliche Grundlage ab. Diese legt fest, wie genau die Werkzeuge von Ermittlern funktionieren dürfen und wie nicht. "Qualitätssicherung", wie Karl es nennt. Will der Staat Verdächtige überwachen, gibt es außerdem Hürden, zum Beispiel einen Richtervorbehalt. Ein krimineller Hacker hingegen legt einfach los.
Doch auf technischer Ebene müssen sowohl kriminelle Hacker als auch der Staat beide auf dieselbe Methode zurückzugreifen. Sie müssen Sicherheitslücken finden und anschließend ausnutzen - eben mit Schadcode, also Trojanern.
Kurz weist darauf hin, dass Geheimdienste nicht in der Lage zu sein scheinen, auf ihre Werkzeuge aufzupassen - eine mysteriöse Hackergruppe entwendete dem US-Geheimdienst NSA deren Angriffswerkzeuge und veröffentlichte Teile davon im Netz. Kriminelle Hacker setzten eines dieser Werkzeuge ein, um beim "Wannacry" genannten Angriff weltweit Hunderttausende Rechner mit Erpresser-Software zu infizieren.
Was sind die Alternativen?
Kurz will dem Staat aber "nicht die Hände zusammenbinden", sondern ihn auf das "zurückstufen, was nach unseren Grund- und Menschenrechten akzeptabel ist." Karl fragt zurück: Wie sollen denn Behörden an Daten kommen, was wären denn die Alternativen? Die Frage beantwortet Kurz nicht.
Ein Schwächen von kryptografischen Verfahren und das Einbauen von technischen Hintertüren finden alle Beteiligten sinnlos, da davon alle Bürger gleichermaßen betroffen wären. Schaut man sich die internationale Diskussion an, ist diese Position nicht selbstverständlich.
Noch mehr stört Kurz, dass es beim Innenministerium keine Diskussion darüber gebe, wie mit Sicherheitslücken umgegangen werde. Sie verlangt, dass die Öffentlichkeit in diesem Punkt mitreden dürfe.
Tatsächlich ist es so, dass deutsche Behörden dieses Wissen derzeit noch für sich behalten - die Regierung überlegt derzeit, es preiszugeben. Entschieden ist aber noch nichts.
An diesem Punkt setzt Enno Rey an, Gründer der IT-Sicherheitsfirma ERNW. Auch er will von Karl wissen, wie seine Behörde mit Sicherheitslücken umgehen will. Er finde es "dünn", als Antwort auf diese Frage zu hören, dass die Regierung noch am Anfang stehe: "Da ist explizit Klärungsbedarf in der Industrie". Sollte es erneut zu einem vergleichbaren Vorfall wie Wannacry kommen und sich herausstellen, dass da etwas aus den Laboren von Zitis "entfleucht" sei, also mit Steuergeldern entwickelt wurde, wäre dies nur schwer vermittelbar.
Karl betont in seiner Antwort, dass es Nutzer gebe, die sich bewusst dagegen entscheiden, ihre Systeme auf den aktuellen Stand zu bringen. Das koste Geld. Aber grundsätzlich finde er einen Abwägungsprozess sinnvoll, nach dem Vorbild der USA. In den USA wird geprüft, wie viele Menschen von einer Schwachstelle betroffen sind und wie groß das Risiko ist, dass fremde Hacker eine Lücke ebenfalls ausnutzen. Die Entscheidung liege aber nicht bei der Regierung.
Unsichere Systeme auf der ganzen Welt
Ulf Buermeyer, Vorsitzender der Bürgerrechtsorganisation Gesellschaft für Freiheitsrechte weist darauf hin, dass Behörden Wissen um Sicherheitslücken für sich behalten, um diese Systeme später zu hacken. "Das führt dazu, dass deutsche Behörden einen Anreiz haben, dass alle Menschen auf der Welt mit unsicheren Systemen arbeiten."
Eine Lösung könne sein, lediglich jene Schwachstellen auszunutzen, die bereits den Herstellern gemeldet wurden. Schließlich vergehen mitunter Jahre, bis Lücken geschlossen werden. Ausreichend Zeit für die Behörden, um ihre Mission zu erfüllen.
Diese Position wird auch innerhalb der Regierung diskutiert. Karl teilt die Ansicht nicht. Er findet es praktisch schwierig, sich nur auf Lücken zu verlassen, die den Herstellen bereits bekannt sind. Damit ist er nicht alleine. Befürchtet wird, dass deutsche Geheimdienste Probleme mit Partnerdiensten bekommen könnten. Diese müssten davon ausgehen, dass jede Lücke, die sie an den BND oder das BfV weitergeben, direkt gemeldet wird. Die Kooperation könnte darunter leiden.
Es ist ein Punkt, an dem sich die Beteiligten der Diskussion nicht einigen können. Verabredet wird, sich nächstes Jahr erneut zu treffen - wobei fraglich ist, ob sie sich jemals einigen werden.