Quantensprung für Computerspionage?
»Spectre« und »Meltdown« setzen den Bemühungen der Staaten wider IT-Sicherheit die Krone auf
Die als »Spectre« und »Meltdown« bezeichneten Chip-Schwachstellen sollen Zugriffe auf geschützte Informationen zulassen. Für geheime Dienste und andere Kriminelle öffnet sich ein Schlaraffenland! Seit Jahren fordern Polizeien und Geheimdienste aller Couleur, dass für ihre Bedürfnisse in Softwareprogrammen »geheime Hintertüren« eingebaut werden. Das ist so, als ob der Staat von seinen Bürgern verlangt, stets eine Wohnungs- oder Haustür unverschlossen zu halten. Oder bei staatlichen Sicherheitsdiensten einen Generalschlüssel zu hinterlegen. Absurd? Ja, doch in Zeiten, da die Organisierte Kriminalität wie auch Ter- roristen immer stärker das Internet nutzen, um schwerwiegende kriminelle Taten vorzubereiten oder durchzuführen, sind viele Bürger bereit, solche Forderungen zu akzeptieren.
Dass bei der Nutzung der elektronischen Hintertüren alles rechtsstaatlich zugeht, ist angesichts der Enthüllungen über die kriminellen Machenschaften von NSA, GCHQ und BND mehr als blindes Vertrauen. Zudem sind sich Experten einig: Eine Backdoor bliebe niemals nur Behörden vorbehalten. Derartige Sicherheitslücken lassen sich nicht geheim halten. Im Grunde könnte man gleich auf jeglichen Schutz verzichten.
Wissend, dass man mit einer zu kräftigen Backdoor-Forderung noch schlafende Hunde auch außerhalb von Bürgerrechtsgruppen wecken könnte, hat die Bundesregierung im vergangenen Jahr den sogenannten Bundestrojaner sogar durch eine politische Hintertür in das deutsche Strafrecht eingeschleust. Die neuen Regelungen für Onlinedurchsuchungen und für Kommunikationsüberwachung wurden in einem anderen Gesetz versteckt, das Parlament segnete die »Ergänzungen« ab. So dürfen Ermittlungsbehörden heimlich Schadsoftware auf private Geräte spielen, um Kommunikation an der Quelle mitzulesen. Außerdem sind Onlinedurchsuchungen erlaubt
Dass der Bundesnachrichtendienst und das Bundesamt für Verfassungsschutz (BfV) sowie das Bundeskriminalamt (BKA) schon seit Jahren über eine solche Schadsoftware verfügen, ist bekannt. Doch funktionier- te zumindest die des BKA bislang nur auf Windows-Geräten. Damit waren ein Großteil der Computer und iPhones immun.
Was tun? Man unternimmt beispielsweise das, was Kriminelle in solchen Fällen machen: Man kauft das Wissen über Schwachstellen ein. Und dazu eine komplette Software, die in der Lage ist, solche kritischen Möglichkeiten auszunutzent. Denkbar ist auch, dass man eigene Kompetenzzentren bildet, die solche Schwachstellen in fremder Software herausfinden. Dafür hat das Bundesinnenministerium vor exakt einem Jahr die Zentrale Stelle für Informationstechnik im Sicherheitsbereich, kurz ZITiS, gegründet.
Nach eigener Darstellung orientiert sich die Arbeit von ZITiS »am Be- darf der Sicherheitsbehörden und umfasst die Bereiche digitale Forensik, Telekommunikationsüberwachung, Krypto- und Big-Data-Analyse«.
Eigentlich müsste man von Sicherheitsbehörden eines Rechtsstaates, wie die Bundesrepublik sich sieht, erwarten, dass sie alles unternehmen, um Schwachstellen zu beseitigen. Das ließe sich zum Beispiel durch Informationen an die Hersteller der löchrigen Software unterstützen. Doch es liegt im Interesse der Dienste, dass es diese Schwachstellen gibt. Zudem arbeiten Polizei- und Geheimdienstbehörden – zumindest theoretisch – so direkt gegen das Bundesamt für Sicherheit in der Informationstechnik (BSI). Diese Haltung ist nur mit dem Begriff Schizophrenie zu beschrei- ben. Denn deutsche Strafverfolgungsbehörden wie das BKA sind so indirekt schuld daran, dass erkannte Schwachstellen offen bleiben – auch in den elektronischen Geräten von Bundesbürgern, in der kritischen Infrastruktur deutscher Firmen und Kommunen, in Banken wie in deutschen Auslandsvertretungen, bei den Bundeswehrsoldaten, die irgendwo auf der Welt im Einsatz sind.
Dass die für Computersicherheit in Deutschland verantwortlichen Behörden, Gremien und Ministerien dann noch massiv Kritik an Bürgern und Unternehmen üben, weil die zu wenig Vorsorge treffen gegen Cyberangriffe, gehört zum »System Wahnsinn«. Dem nun »Spectre« und »Meltdown« offensichtlich die Krone aufsetzen.