Das Bundesverfassungsgericht hat den bisherigen Ideen der Bundesregierung einen Riegel vorgeschoben, Computer hierzulande ausforschen zu dürfen auf der Suche nach Straftätern – und bei unbeteiligten Personen aus dem Umfeld der Zielpersonen gleich mit.
Eine andere Geschichte: Anfang des Monats hat die Süddeutsche Zeitung gemeldet, dass sie im Besitz von elf Millionen geleakten Dokumenten der Steuerbetrüger-Anwaltskanzlei Mossack Fonseca ist, den sogenannten „Panama Papers“.
Und eine dritte Geschichte: Anfang des Jahres erreichte uns der Aufreger, dass das FBI Zugriff auf iPhones bekommen könnte (oder zumindest wolle), um Straftäter dingfest zu machen.
Was haben die drei Fälle gemein?
Politisch geht es jeweils um konkurrierende Interessen, etwa zwischen Staat und Kriminellen oder gar Terroristen, aber auch zwischen Staat und unbescholtenen Bürgern oder zwischen Steuerbetrügern und Öffentlichkeit. Und in allen Fällen geht es darum, dass heimlich Daten gestohlen werden. Von im Zweifelsfall unbeteiligten und nur zufällig betroffenen Personen, von Steuerbetrügern, von iPhone-Besitzern. Oder zumindest um die Möglichkeit, dies zu tun. Denn eigentlich können Windows-Computer ja durchaus sichere Aufbewahrungsorte sein für Urlaubsfotos, aber auch Unternehmensdaten. Eigentlich können Webserver eine recht zuverlässige Angelegenheit sein und eigentlich ist die Verschlüsselungstechnik eines iPhones eine ganz ordentliche Sache.
Auf technischer Ebene gibt es in allen drei Fällen einen Wettlauf mit großen Ähnlichkeiten, einen Wettlauf zwischen Betreibern technischer Systeme und Angreifern. Wobei die Angreifer stets versuchen, Schwachstellen auszunutzen. Einen Windows-Computer mit verwundbarer Software oder wenig bedachten Benutzern, einen Webserverbetreiber, der zwar hochkriminelle Inhalte auf seinen Geräten lagert sich aber wenig Gedanken macht um die Sicherheit seiner Infrastruktur. Oder Gerätehersteller, die fehlerhafte Betriebssysteme auf ihren Kundengeräten laufen lassen.
Was tun?
- Windows aktuell halten, Softwareupdates einspielen und: Finger weg von dubiosem Kram aus eben so dubiosen Quellen. Und so zynisch es klingen mag: Selbst Software aus staatlichen Quellen („Elster“) trägt offensichtlich nicht zwingend das Label „unbedenklich“.
- Lieber ein mal mehr nachdenken, wem man seine Daten anvertraut. Die Rede ist nicht von Dropbox oder Facebook. Offensichtlich sind selbst Anwaltskanzleien von Personenkreisen mit gut gefüllten Brieftaschen keine Garantie für solides (IT-)Handwerk.
- Geräte, Betriebssysteme und Anwendungsprogramme benutzen, denen man wirklich vertrauen kann. Apple hat sich ja weit aus dem Fenster gelehnt und heimlichem Zugriff auf aktuelle Geräte nicht zugestimmt. Allerdings haben ältere Betriebssystem-Versionen offensichlich einen Schwachstelle, die das FBI zufrieden stellt. Und selbst im Profi-Umfeld an zentralen Stellen genutztes Equipment wie Juniper VPN-Geräte sind keineswegs so koscher, wie man vermuten würde.
Bedenklich hierbei: Die diffuse Gemengelage aus organisierter Kriminalität und staatlichem Handeln.
Der Handel mit Sicherheitslücken blüht
Unter diesem Titel hat der WDR erst vor wenigen Tagen erneut gezeigt, wie sich Geheimdienste und kriminelle Banden Sicherheitslecks zuspielen oder eher unter Einsatz hoher Summen dealen. Das Wissen um ein Sicherheitsleck im Betriebssystem iOS ist staatlichen Ermittlern schon mal eine halbe Million Euro wert. Wer eine Sicherheitslücke findet wird bei solchen Summen schon ins Nachdenken kommen, ob er den Entwicklern Bescheid gibt, damit diese ihre Software-Fehler korrigieren – oder lieber im Darknet sein Know-How vergoldet. BND, FBI und Konsorten heizen diesen Markt gerade nach Kräften an.
Dirk Engling vom Chaos Computer Club warnt: „Wenn auch deutsche Geheimdienste diesen Schwarzmarkt mit unseren Steuergeldern noch anheizten, würde das erhebliche Folgekosten für die Wirtschaft haben, die schon heute kaum hinterherkommt, ihre technische Infrastruktur gegen Angriffe zu verteidigen.“ In der Zeitung „Die Zeit“ liest sich solches Vorgehen recht harmlos: „Das FBI (…) hat einen Tipp erhalten, wie sich die Sicherheitsvorkehrungen des iPhone auch ohne Apples Unterstützung aushebeln lassen könnten.“ Mit anderen Worten: Staatliche Stellen wissen um Schwachstellen, kaufen das Wissen ein, informieren den Hersteller nicht – Schwachstelle und Knowhow bleiben im kriminellen Milieu im Umlauf. Na denn: Auf, auf zur Suche nach Software-Fehlern!