Das Bundesamt für Sicherheit in der Informationstechnik (BSI) arbeitete wohl am Staatstrojaner mit – ein Desaster für die IT-Sicherheit in Deutschland. Das BSI soll an der Entwicklung des sogenannten „Staatstrojaners“, einer Software, mit der die Behörden heimlich auf die Rechner Verdächtiger zugreifen können, beteiligt gewesen sein. Das belegen interne Dokumente, die dem Blog Netzpolitik.org  zugespielt wurden. Bisher hatte die Behörde eine Verbindung zu dieser höchst umstrittenen Angelegenheit stets dementiert. Das Verhalten des BSI schadet nicht nur der Freiheit, sondern auch der IT-Sicherheit in Deutschland erheblich.

BSI programmierte am Staatstrojaner mit

Das BSI, so geht aus den Netzpolitik.org vorliegenden Dokumenten hervor, programmierte am Staatstrojaner mit und steuerte Quellcode zu diesem bei. Eigentlich liegt die umstrittene Überwachungssoftware in den Händen des BKA – das sich damit aber in den letzten Jahren mehrfach überfordert zeigte. Angekaufte professionelle Software erwies sich als äußerst fehlerhaft und zudem gesetzeswidrig, die Programmierung eines eigenen Trojaners verlief schleppend. Da nahm man die Hilfe des in Sachen IT-Know-How gut aufgestellten BSI wohl dankbar an.

Das BSI: eine Defensivbehörde

Das BSI allerdings ist nicht, wie etwa die NSA oder das britische GCHQ, ein „technischer Geheimdienst“. Es ist auch keine Cyber-Polizei. Beim BSI handelt es sich vielmehr um eine reine Defensivbehörde – es ist dafür zuständig, die IT-Sicherheit in Deutschland aufrecht zu erhalten und zu verbessern und wendet sich dabei an Verwaltung, Unternehmen und Bürger. Zu seinen Aufgaben zählen die Beobachtung der Bedrohungslage und Herausgabe entsprechender Empfehlungen, die Durchführung von Schulungsprogrammen und die Entwicklung sicherer Software. Von Malware-Programmierung ist in der Aufgabenbeschreibung der Behörde nirgendwo die Rede.

Angreifbar durch Staatstrojaner

Der Staatstrojaner beziehungsweise die sogenannte Online-Durchsuchung ist das Gegenteil einer die IT-Sicherheit fördernden Maßnahme. Die Tatsache, dass der Staat selbst hierbei unautorisiert auf das System einer Zielperson zugreift, ist unter Umständen erst der Anfang. Es ist sehr gut möglich, sogar wahrscheinlich, dass dieser Zugriff auch das Risiko für Angriffe durch Dritte erhöht.

Da ist natürlich zunächst einmal die Tatsache, dass der Staatstrojaner irgendwie ins System kommen muss. Hierzu benötigt es entweder Hardware-Zugriff, gezieltes Social Engineering oder Schwachstellen in Software oder Betriebssystem. Bei letzteren kann es sich entweder um sogenannte Zero-Day-Exploits, also vom Anbieter noch nicht behobene Schwachstellen durch Softwarefehler, oder um eine bewusst eingebaute Hintertüren der Behörden handeln. Variante Eins bedeutet: eine Sicherheitslücke, deren Existenz bekannt ist, wird dem zuständigen Unternehmen nicht gemeldet, um von diesem geschlossen zu werden, sondern absichtlich offen gelassen. Bei Variante Zwei wird die Lücke sogar absichtlich eingebaut. Beides bedeutet eine bewusste Schwächung von IT-Systemen – nicht nur dem des Betroffenen, sondern auch denen vollkommen unbescholtener Menschen, die diese Systeme womöglich produktiv für wichtige Zwecke einsetzen – die dadurch anfälliger für Angriffe durch Dritte werden.

Auf dem System der eigentlichen Zielperson reißt ein Staatstrojaner-Einsatz womöglich sogar noch weitaus mehr Lücken. Seien es Software-Schwachstellen, die das System angreifbarer machen, oder eine zu schlecht gesicherte Netzwerk-Verbindung, über die Angreifer sensible Daten mitlesen können – ein so kompromittiertes System wird schnell zur leichten Beute für IT-Kriminelle.

Gefährlicher Vertrauensverlust

Noch schädlicher für die IT-Sicherheit ist auf lange Sicht die Tatsache, dass das BSI sich durch seine heimliche, mehrfach dementierte Mitarbeit am Staatstrojaner selbst als vollkommen unglaubwürdig und wenig Vertrauen erweckend darstellt. Dies rächt sich, sobald die nächste IT-Sicherheits-Kampagne der Behörde ansteht. Wer glaubt schon dem, der einmal so dreist gelogen hat? Und wer installiert freiwillig Software einer Behörde, die mit der Entwicklung von Schadsoftware in Verbindung gebracht wird?

Unter diesen Umständen kann das BSI seiner Aufgabe, die IT-Infrastruktur in Deutschland sicherer zu machen, kaum nachkommen. Profitieren tun davon wohl in erster Linie IT-Kriminelle, seien es chinesische Wirtschaftsspione, russische Banking-Betrüger oder der scheinbar seriöse deutsche Unternehmer mit der Abzock-Website.

Eine Schande für ein demokratisches Land

Neben den Bedenken um die IT-Sicherheit darf natürlich auch nicht vergessen werden, dass das Verhalten des BSI noch aus ganz anderen Gründen verwerflich ist. Seine Bürger dermaßen anzulügen und über die Aufgaben einer Behörde zu täuschen, sollte unter dem Niveau eines demokratischen Staates sein (dass es das nicht ist, dafür gab es leider in den letzten Jahren schon genug Beispiele) und untergräbt dessen fundamentale Prinzipien. Zudem ist der Staatstrojaner selbst ein undemokratisches und freiheitsfeindliches Instrument, das wie der Rest der staatlichen Total-Überwachung der letzten Jahre unsere Menschenrechte erheblich einschränkt.

Das BSI, so lässt sich wohl festhalten, hat Deutschland mit seinem Verhalten auf ganzer Linie geschadet – ein Beweis dafür, dass, wo der Verlust von Freiheit billigend in Kauf genommen wird, mitunter auch die Sicherheit erheblich leidet.

---

Image (adapted) „Troians keep out!“ by Martin aka Maha (CC BY-SA 2.0)

---

Artikel per E-Mail verschicken
Schlagwörter: BSI, Datenschutz, IT, Netzpolitik, Staatstrojaner