Die Bundesregierung hat gerade einen Entwurf für ein IT-Sicherheitsgesetz beschlossen. Nur: Welchen Sinn macht die Einführung von Sicherheitsgesetzen zur Bekämpfung von Sicherheitslücken, wenn sie es erlauben, Überwachungsmaßnahmen sogar noch zu erweitern? Linus Neumann vom Chaos Computer Club warnt im Jahresrückblick „Das Netz 2014/2015“ vor den Folgen.
Nachdem uns das Jahr 2013 mit dem dumpfen Gefühl zurückgelassen hatte, dass kaum eines unser Computersysteme – und erst recht nicht unsere Online-Kommunikation – sicher ist, bekamen wir 2014 endlich Gewissheit: Mehrere Sicherheitslücken in kritischen Anwendungen wurden entdeckt und öffentlich gemacht. Das bekannteste Beispiel ist wohl „Heartbleed“, eine Schwachstelle im Quellcode von OpenSSL, einer freien Software, die für die Verschlüsselung von Internetverbindungen benutzt wird. Heartbleed ermöglichte das Auslesen der privaten Schlüssel dieser Verbindungen – der GAU für Passwörter, Benutzernamen und Bankgeheimnisse. Als die Sicherheitslücke entdeckt wurde, hatte sie bereits zwei Jahre im System geschlummert.
Es lässt sich nur darüber spekulieren, ob sie in dieser Zeit von Cyber-Kriminellen und Geheimdiensten schon genutzt wurde. Weitaus beängstigender war die Entdeckung der Schwachstelle „Shellshock“, mit deren Hilfe Server aus der Ferne übernommen werden können: Sie war zu diesem Zeitpunkt bereits ein Vierteljahrhundert alt und betraf ein auf beinahe jedem Server verfügbares Standard-Werkzeug – die Unix-Shell „Bash“.
Bei den betroffenen Software-Paketen handelte es sich um weit verbreitete Open-Source-Software. Da der Quellcode einsehbar ist, besteht die Möglichkeit, Sicherheitslücken zu entdecken und zu schließen. Diese Überprüfbarkeit ist in der IT-Sicherheit ein unverzichtbares Gütekriterium. Schade nur, wenn keine Anreize bestehen, eine solche Überprüfung wirklich vorzunehmen.
Heartbleed erwies sich als ein Fiasko für unzählige betroffene Unternehmen weltweit. Darunter waren nicht zuletzt der Onlinehändler Amazon und zahlreiche Banken, für deren Milliardenumsätze OpenSSL eine zentrale Säule der Sicherheit darstellt. Dennoch hatte offenbar keines der Unternehmen eine ausreichend kritische Prüfung von OpenSSL veranlasst. Lieber verließ sich die Wirtschaft darauf, dass ja „alle anderen“ eine solche Prüfung vornehmen könnten, deren Ergebnisse dann automatisch und kostenlos allen zugute kommen würden. Ein klassisches soziales Dilemma.
Die Lösungen liegen auf der Hand
Nicht zuletzt um die eigenen wirtschaftlichen Interessen zu schützen, wurde der Ruf an die Politik lauter, auf eine effektive Förderung der IT-Sicherheit hinzuwirken. Dazu hätte sich eine Reihe an Maßnahmen angeboten: Regelmäßige Überprüfungen von sicherheitsrelevanter Open-Source-Software könnten staatlich oder durch Branchenverbände finanziert werden. Zusätzlich könnten besonders kritische Angriffsszenarien definiert und ein internationales Kopfgeld ausgesetzt werden, das die Entdeckung und Beseitigung einer entsprechenden Schwachstelle großzügig belohnt.
Derartige Anreize bieten die einzige Möglichkeit, finanziell attraktive und gleichzeitig moralisch vertretbare Alternativen zum florierenden Schwarzmarkt für Sicherheitslücken zu schaffen, der durch die internationalen Geheimdienste noch angeheizt wird. Da sich kommerzielle Software nicht selten öffentlichen Prüfungsmöglichkeiten entzieht, könnte eine Anbieterhaftung für Sicherheitslücken Anreize für interne Audits setzen – oder sogar das öffentliche Bereitstellen von Quellcode attraktiv machen.
IT-Sicherheit hört jedoch nicht bei Software-Sicherheit auf: Auch für die Kommunikationsinfrastruktur könnten sinnvolle Sicherheitsmaßnahmen vorgeschrieben werden. Denn Massenüberwachung wird überhaupt erst durch zentrale Knotenpunkte möglich, an denen jede Form von Kommunikation abgehört werden kann – und wird. Darüber hinaus haben insbesondere Mobilfunk-Unternehmen viele Jahre darauf verzichtet, ihre Verschlüsselungsalgorithmen zu verbessern, obwohl deren Unsicherheit längst öffentlich bekannt war.
Erst nach dem Skandal um Angela Merkels Handy begannen alle deutschen Anbieter mit den längst überfälligen Modernisierungen. Offenbar können nur regulatorische Vorgaben der Regierung zu Verschlüsselung und zur Dezentralisierung der Infrastruktur Unternehmen dazu motivieren, die notwendigen Mehrinvestionen zu leisten, bevor es zum Desaster kommt.
Wer aber soll diese Vorgaben definieren, ihre Einhaltung und ihre Effizienz prüfen? Zuständig wäre das Bundesamt für Sicherheit in der Informationstechnik (BSI), das bisher vor allem für bürokratische Zertifizierungsverfahren bekannt ist. Die wenigen vom BSI vorgeschlagenen Sicherheitssysteme für die breite Bevölkerung – allen voran De-Mail – wurden bewusst geschwächt, um zentrale Zugriffe durch deutsche Geheimdienste und ihre Partner zu ermöglichen.
Warum wurde billigend in Kauf genommen, dass dadurch auch die Angriffsfläche für ungebetene Eindringlinge zunimmt? Ebenso wie BND und Verfassungsschutz untersteht das BSI dem Innenministerium, das hier in einem klaren Interessenkonflikt zwischen IT-Sicherheit und Überwachungsambitionen steht. Nur eine Herauslösung des BSI als unabhängige Behörde könnte das verlorene Vertrauen wieder herstellen.
Die Politik geht einen anderen Weg
Mit großer Spannung wurde 2014 das „IT-Sicherheitsgesetz“ des Innenministeriums erwartet. Doch das Ergebnis war so enttäuschend wie entlarvend: Da selbst die deutsche Wirtschaft nicht mehr freiwillig mit dem BSI zusammenzuarbeiten scheint, sollen bald in verschiedenen Branchen allerlei Berichtspflichten den Bürokratieaufwand weiter erhöhen. Die Betreiber kritischer Infrastrukturen sollen in Zukunft das BSI regelmäßig darüber in Kenntnis setzen, auf welche Weise sie Mindeststandards für IT-Sicherheit umsetzen und einhalten.
Diese Standards sollen jedoch nicht etwa vom BSI oder unabhängigen Experten vorgegeben, sondern von den Branchenverbänden selbst vorgeschlagen werden. Sie werden also nur den Minimalkonsens der jeweiligen Branche widerspiegeln und zu einem immensen bürokratischen Aufwand für Wirtschaft und BSI führen, der zwar unzählige Papiertürme hervorbringen, aber keine einzige Sicherheitslücke schließen wird.
Doch nicht nur die Bürokraten sahen mit dem IT-Sicherheitsgesetz ihre Zeit gekommen: Natürlich wurde die Gunst der Stunde genutzt, um die Kompetenzen des BKA auszuweiten. Anbieter von Telekommunikations- und Telemediendiensten sollen befugt werden, die Möglichkeiten zur anonymen Nutzung einzuschränken und Nutzungsdaten für die Dauer von sechs Monaten zu speichern – zum „Eingrenzen und Erkennen von Störungen“ wie es heißt. Der Zugriff auf solche Daten ist im Rahmen von Strafverfolgung und ziviler Rechtsdurchsetzung bereits heute gängige Praxis. Das Resultat würde sich also nicht nennenswert von der grundgesetzwidrigen Vorratsdatenspeicherung unterscheiden.
Ohne mit der Wimper zu zucken, wird dieser Ausbau von Bürokratie- und Überwachungsmaßnahmen nun als adäquate Reaktion auf die Krise der IT-Sicherheit vorgestellt. Währenddessen plant der BND bis 2020 rund 4,5 Millionen Euro in öffentlich nicht bekannte Sicherheitslücken zu investieren, um sie zum Infiltrieren und Überwachen von Computersystemen zu nutzen.
Image may be NSFW.
Clik here to view.
Dieser Text erscheint in „Das Netz 2014/2015 – Jahresrückblick Netzpolitik“. Das Magazin versammelt mehr als 70 Autoren und Autorinnen, die einen Einblick geben, was 2014 im Netz passiert ist und was 2015 wichtig werden wird. Bestellen können Sie „Das Netz 2014/2015“ bei iRights.Media.