FM4-Logo

jetzt live:

Aktueller Musiktitel:

Ein trojanisches Pferd auf einer Flagge der Bundesrepublik Deutschland

CC0

Erich Moechel

Deutschland wird zur Bundestrojanerrepublik

Alle 19 Geheimdienste haben ab nun die Lizenz zum Einsatz von Schadsoftware. IT-Sicherheitslücken können deshalb offengehalten werden, präventive Cyberangriffe sind die beste Verteidigung - Sicherheitsexperte Manuel Atug über die neue deutsche „Cybersicherheitsstrategie.“

Von Erich Moechel

Seit Freitag ist in Deutschland das „Gesetz zur Anpassung des Verfassungsschutzrechts“ in Kraft. Alle 19 Bundes- und Landesgeheimdienste dürfen nun Trojaner-Schadsoftware einsetzen. Ein weiteres Gesetz ist bereits im Bundesrat, das die Polizeibehörden ermächtigt, Trojaner bereits einzusetzen, noch bevor eine Straftat vorliegt.

Deutsche Polizei- und Zollbehörden verfügen schon seit 2017 über die gesetzliche Lizenz, solche Schadsoftware in Umlauf zu bringen. Parallel dazu ist eine neue Cybersicherheitsstrategie in Ausarbeitung, die unter anderem vorsieht, dass neu entdeckte Sicherheitslücken nicht veröffentlicht, sondern im Bedarfsfall an die Entschlüsselungs- und Bundestrojanerbehörde ZiTis weitergegeben werden.

Text

Public Domain

Im deutschen Bundesgesetzblatt heißt der Bundestrojaner schlicht „technisches Mittel“ und das Verseuchen eines Geräts mit Schadsoftware wird als „Eingriff in ein technisches System“ beschrieben. Die „Cybersicherheitstrategie“ wird da schon ѕehr viel deutlicher.

Einerseits Sicherheit, andererseits nicht

Bei den laufenden Ransomware-Angriffen handelt es sich zum Teil um militärische Tests, sagt der französische Cyberabwehrkommandant General Tisseyre

Prinzipiell gelte zwar, „dass erkannte Schwachstellen grundsätzlich geschlossen beziehungsweise zu diesem Zweck an die Hersteller gemeldet werden“ heißt es da inhaltlich weitgehend gleich quer durch die neue deutsche „Cybersicherheitsstrategie“. Das große „aber“ kommt jedoch auf Seite 89 von 128, vor dem Ziel „größtmöglicher IT-Sicherheit“ ist plötzlich ein „einerseits“ platziert. Denn „andererseits (bestehe) die Notwendigkeit Strafverfolgungs- und Sicherheitsbehörden die Erfüllung ihres gesetzlichen Auftrags zu ermöglichen“ und dieses „Spannungsverhältnis... ist aufzulösen“.

Hier wird also ganz nach den Lehrbüchern der Juristik versucht, in denen „Ausgewogenheit“ eine zentrale Rolle spielt, einerseits Sicherheit zu gewährleisten, andererseits darf Sicherheit nicht gewährleistet werden. Die Systeme sollen „ein bisschen unsicher sein, dass die Kräfte des Guten, nämlich die Sicherheitsbehörden, mitlesen können, aber erwarten, dass die Mächte des Bösen sich auch daran halten und diese Lücken nicht für Angriffe benützen werden, das ist doch beknackt“, schrieb Manuel Atug, IT-Sicherheitsexperte der unabhängigen AG Kritis dazu an ORF.at.

Text

Public Domain

Der Entwurf der Cybersicherheitsstrategie für Deutschland 2021 wurde von Juristen des deutschen Bundesministeriums für Inneres, Bau und Heimat verfasst. Diese Passage stammt aus Punkt 8.3.8 mit dem Titel: Den verantwortungsvollen Umgang mit 0-day-Schwachstellen und Exploits fördern

Kompromisse zwischen Null und Eins

Da die Cyberstrategien der Mitgliedsstaaten teilweise inkompatibel sind, hat die EU-Kommission Mühe, die auseinanderstrebenden Ansätze wenigstens irgendwie zu korrdinieren

„Computer können nur mit den Zuständen Null oder Eins umgehen und Software oder auch Kryptographie sind daher entweder sicher oder eben nicht“, so Atug weiter. Im deutschen Innenministerium ist man hingegen der Ansicht, dass durch gezieltes Offenhalten bestimmter Sicherheitslücken „das Niveau der allgemeinen IT-Sicherheit erhöht“ werde, indem „ein verbindliches Vorgehen etabliert" wird, das den verantwortungsvollen Umgang mit 0-day-Schwachstellen und Exploits regelt.“

Während die rollenden Angriffe von Verschlüsselungserpressern bis hin zu Akteuren unfreundlich gesinnter Staaten mittlerweile drohen, die IT-Systeme des Westens über neu entdeckte und bekannte Schwachstellen zu destabilisieren, plant Deutschland eine interinstitutionelle Kommission, die nach einem Regelwerk entscheidet, ob eine bestimmte, neu entdeckte Sicherheitslücke neutralisiert oder doch für eigene Überwachungszwecke offengehalten wird. „Diese Annahme ist einfach kindlich. Der Cyberraum ist ein großes globales Ganzes, hier gibt es keine regionale Wirkungen, sondern alles wirkt sich weltweit aus“, so kommentiert dies Atug.

Text

Public Domain

Ganz nebenbei wird im selben Kapitel 8.3.8 eine Änderung der deutschen Verfassung alias Grundgesetz verlangt, nämlich die Lizenz für präventive Angriffe auf Drittstaaten im Cyberraum

Sicherheit trotz Verschlüsselung

Im EU-Außenamt (EEAS) und anderen Teilen der Kommission ist genügend Cyber-Knowhow längst vorhanden, das auf den nationalen Ebenen offensichtlich fehlt.

Kryptographie wird denn auch gleich im Anschluss ebenso janusköpfig thematisiert, dafür muss wieder der sattsam bekannte Slogan „Sicherheit durch Verschlüsselung und Sicherheit trotz Verschlüsselung“ herhalten. Damit wird einer der ältesten bekannten Sophistentricks der Antike instrumentalisiert, ein Wort in zwei verschiedenen Bedeutungen in einem Satz zu bringen. Diese rhetorische Volte wurde damals dazu eingesetzt, um „ein schwaches Argument zu einem starken zu machen“ - so der platonische Sokrates - und den gegnerischen Anwalt damit vor Gericht aus dem Konzept zu bringen.

Diese Masche wird vom deutschen BMI nun benutzt, um der Öffentlichkeit juristische Ausgewogenheit vorzuspiegeln, während der ganze technische Ansatz darunter schlichtweg Unsinn ist. Doch davon gibt es noch deutlich mehr, denn auch die „Möglichkeiten des Bundes zur Gefahrenabwehr bei Cyberangriffen“ sollen verbessert werden, aber wie? Ganz einfach durch „die Schaffung einer erweiterten Gesetzgebungs- und Verwaltungskompetenz des Bundes für die Gefahrenabwehr“.

Text

Public Domain

Da es zu Punkt 5 aus ersichtlichen Gründen nicht viel zu erwähnen gibt, wird Punkt 8.3.9 Sicherheit durch Verschlüsselung und Sicherheit trotz Verschlüsselung gewährleisten zur Ansicht empfohlen.

Präventive Angriffe erhöhen die Sicherheit

„Gegen die Ursachen schwerer Cyberangriffe“ könne nämlich „aktiv vorgegangen werden, um deren schädliche Wirkung im besten Fall komplett zu unterbinden.“ Es wird also behauptet, dass durch präventive Angriffe auf IT-Infrastukturen in anderen Staaten „das gesamtstaatliche Cybersicherheitsniveau (in Deutschland) steigt“. Das wohl schlagendste Beispiel dafür, wie diese „Cybersicherheitsstrategie“ zustande kam, aber ist ein leeres Blatt im Text, das nur den Titel „Cyberbedrohungslage“ und den Hinweis „noch in Bearbeitung“ enthält.

Manuel Atug

Manuel Atug

Manuel Atug, IT-Sicherheitsexperte der AG Kritis und hält regelmäßig Vorträge zu IT-Sicherheitsstrategien

Manuel Atug dazu: „Das ist gar keine Strategie, weil nämlich jede Sicherheitsstrategie von der Analyse einer Bedrohungslage auszugehen hat. Wie man sieht, ist man sich nicht einmal über Art und Weise der Bedrohung im Klaren, konstruiert aber auf Basis dieses Nicht-Wissens gleich eine ganze Abwehrstrategie. Des weiteren hat jede Strategie widerspruchsfrei zu sein, sonѕt verdient sie diese Bezeichnung nicht. Hier reiht sich aber Widerspruch an Widerspruch, denn das ist keine Strategie, sondern ein Sammelsurium von Wünschen aller Sicherheitsbehörden, ein ‚Wünsch dir was‘ unter der Regie des Innenministeriums.“

Epilogos

Wenn der geneigten Leserschaft aufgefallen sein sollte, dass - bis auf einen - sämtliche Hyperlinks unter den Screenshots zu ein- und demselben Dokumente führen, so geschah das aus Zwecken einer notwendigen Katharsis. Nämlich in der Hoffnung, dass der/die eine oder andere das Dokument auch öffnet und wenigsten in Teilen liest und so das Leid von Autor und Kommentator an der Lektüre durch Mitleid mildert.

Es gibt wieder einen RSS-Feed für diesen Blog. Sachdienliche Informationen, Metakritiken et al. sind über dieses Formular verschlüsselt und anonym beim Autor einzuwerfen. Wer eine Antwort will, gebe tunlichst eine Kontaktmöglichkeit an.

Aktuell: