Vorschläge für Mindeststandards:

Staatliches Hacking

Foto: CC BY 2.0 Credit Bitsfrombytes.com. Ausschnitt bearbeitet.

Mit einem Papier zu Regierungshacking hat die Stiftung Neue Verantwortung (SNV) Vorschläge für einen Rechtsrahmen zu staatlichem Hacking unterbreitet. Das Papier mit dem Namen “A Framework for Government: Hacking in Criminal Investigations” wurde im Rahmen des Transatlantic Cyber Forums erstellt, das sich als Netzwerk von Cybersicherheitsexperten versteht. 16 Personen aus Wissenschaft, Wirtschaft und Gesellschaft unterschrieben die Empfehlungen, die am 2. November veröffentlicht wurden. Dabei haben die Vorschläge den Anspruch allgemeingültig und weltweit anwendbar zu sein. Im Weiteren werden die Punkte vorgestellt und die wichtigsten Aspekte für die deutsche Politik noch einmal genauer erläutert. Anschließend werden die Positionen der Parteien zu Governmental Hacking den Forderungen des Papiers gegenübergestellt.

Rechtsrahmen für Governmental Hacking

Unterschieden wird in dem Papier zwischen neun strukturellen Anforderungen, die für das Hacking allgemein gelten sollen und vierzehn operativen Anforderungen, die von den staatlichen Stellen während der Hackings erfüllt werden müssen. Die strukturellen Voraussetzungen sind dabei:

  1. Einen verbindlichen Rechtsrahmen für staatliches Hacken
  2. Staatliche Unterstützung von Forschung zu Verschlüsselung und alternativen Beschaffungsmethoden digitaler Beweismittel
  3. Ein Fähigkeitenaufbauprogramm, um Beamten in Polizei und Justiz den Prozess des Hackings verständlich zu machen.
  4. Die Implementierung von Richtlinien zum Umgang mit digitalen Beweismitteln (dazu gehört die sichere Übermittlung und digitale Signaturen)
  5. Der Aufbau eines behördenübergreifenden Dialogs in Kooperation mit der Landesebene
  6. Die Begrenzung von staatlichem Hacken auf “schwere Straftaten”
  7. Die Veröffentlichung von Transparenzberichten
  8. Die Verabschiedung von klaren Richtlinien für die Anbieter von Hacking-Werkzeugen und -Dienstleistungen
  9. Die Schaffung eines staatlichen Schwachstellenmanagement-Verfahrens, in der Sicherheitslücken bewertet und gegebenenfalls an die Softwarehersteller weitergeleitet werden können

Was die operativen Anforderungen anbelangt enthält das SNV-Papier Vorschläge zum konkreten Einsatz staatlichen Hackings, zum Datenschutz im Rahmen des Einsatzes und zu möglichen Kontrollmechanismen. Aus Sicht der SNV sollte Hacking etwa immer als letztes Mittel in der Strafverfolgung eingesetzt werden und meist auch nur ex-post, also zur Aufklärung eines Verbrechens und nicht zur Verhinderung dessen. Dabei sollte das Gerät auch im besten Fall physisch vorliegen und nicht aus der Ferne geknackt werden. Ebenfalls sollen staatliche Hacker dabei nicht auf die Hilfe von Internet Providern und Software Herstellern zurückgreifen können. Auch ein “automatisiertes Hacking” oder ein Hacking, dass mehr Nutzer als das wirkliche Ziel betreffen, sollten laut den Autoren verboten sein.

Zur Einhaltung eines hohen Datenschutzes sollten laut SNV Daten sofort gelöscht werden, die mit dem momentanen Fall nichts zu tun haben, aber mit abgeschöpft werden. Auch der Zugriff auf “Sensoren” wie etwa die Kamera eines Handys, sollen besonderen Auflagen unterliegen. Dabei sollen nur “bekannte Schwachstellen” von Geräten genutzt werden.

Was Kontrollmechanismen anbelangt, geht es vor allem um die Frage, wie staatliches Hacking genehmigt wird. Aus Sicht der Autoren sollte dies immer nur mit richterlichem Beschluss möglich sein und nach drei Monaten auslaufen. Ebenfalls schlagen sie vor, dass die Person, deren Gerät gehackt wird über dieses Hacking informiert werden muss.

Governmental Hacking in Deutschland

Um das Papier in den deutschen Kontext einzuordnen, gibt Dr. Sven Herpig, Leiter Transatlantisches Cyber-Forum, in einem “Executive Summary”, das dem eigentlichen Text vorangestellt ist, eine kurze Einführung. Denn einige der Forderungen sind in Deutschland schon umgesetzt, andere wiederum nicht. Im Gespräch mit dem Tagesspiegel Politikmonitoring sieht Herpig besonders drei Themen, die für den aktuellen Diskurs in Deutschland von besonderer Bedeutung sind. Diese sind erstens, die Diskussion, ob Internet Provider und Software Firmen dazu verpflichtet werden sollen, infizierte Updates auf Geräte zu spielen. Aus Sicht des Papiers sollte eine solche Verpflichtung verboten werden, da so das Vertrauen in Service-Updates insgesamt geschwächt werden würde.

Zweitens müsse in Deutschland geregelt werden, mit welchen Herstellern von Hacking-Tools der Staat zusammenarbeiten sollte. So könnte verhindert werden, dass Deutschland mit Unternehmen zusammenarbeitet, die mit Staaten kooperieren in denen staatliches Hacking als Repressionsmaßnahme eingesetzt wird.

Drittens müsse ein Schwachstellenmanagementmodell etabliert werden, damit IT-Schwachstellen erkannt werden und diese je nach Einschätzung geschlossen werden.

Positionen der Parteien

An ein solches Schwachstellenmanagement, etwa über eine Plattform auf die Behörden und Unternehmen zugreifen könnten, denkt auch die CDU/CSU-Fraktion. Christoph Bernstiel, Mitglied in der Enquete-Kommission KI und im Innenausschuss, erklärte gegenüber dem Politikmonitoring eine solche Idee würde momentan als Teil des zweiten IT-Sicherheitsgesetzes diskutiert. Generell will die CDU/CSU Hacking auch aktiv einsetzen. Dabei lehnt sie aber den Begriff Hackback ab, sondern spricht von einer “aktiven Cyberabwehr”. Wenn Angriffe auf kritische Infrastruktur eingeleitet werden, dann müsse man auch versuchen, diese zu unterbinden. Ebenfalls wird innerhalb der CDU/CSU diskutiert, ob Behörden die Erlaubnis erhalten sollen, gestohlenen Daten von den Servern zu löschen, auf die sie illegaler weise transferiert wurden. Dazu müsste der Server aber erst einmal gehackt werden. Auch wenn diese Diskussion innerhalb der Fraktion noch nicht abgeschlossen ist, wird eine Kompetenzausweitung des BSI als sehr wahrscheinlich erachtet. So soll dieses die Befugnis erhalten, sogenannte “Honeypots” aufzustellen. Hacker sollen durch diese kontrolliert zum Eindringen in ein System verlockt werden. Daraufhin kann das Verhalten des Hackers untersucht und seine Vorgehensweise analysiert werden.

Für eine strikt defensive Ausrichtung der Cyber-Sicherheitsstrategie setzt sich hingegen die SPD um die Bundestagsabgeordneten Saskia Esken ein. Aus ihrer Sicht orientiert sich die Argumentation für aktive Maßnahmen, wie Hackbacks, zu oft an Vorstellungen aus der analogen Welt. Cyber-Angriffe würden oft erst nach Wochen erkannt und auch die Verursacher nicht immer sicher ausgemacht. Deshalb plädiert die Informatikerin dafür, den Fokus nicht auf dem Rückschlag zu legen, sondern auf Abwehr durch hohe Standards bei Technik und Organisation der Cyberabwehr. Auch wenn Esken die Vorschläge des Papiers als Sinnvoll erachtet, hält sie die Umsetzung dennoch für unrealistisch.

“Beispielsweise dürfte die Beschränkung der Beschaffung von Angriffswerkzeugen auf Unternehmen, die nicht in illegale Cyberaktivitäten von staatlicher Hand oder Menschenrechtsverletzungen verwickelt sind, mit Blick auf den Markt, die Dual-Use-Problematik und die großen Player kaum zu erfüllen sein. Auch der Schutz von Geheimnisträgern und andere Beschränkungen scheint im Kontext der Dienste unrealistisch und faktisch nicht kontrollierbar”,

erklärte sie dem Politikmonitoring. Ein Schwachstellenmanagement wird, wie von der CDU/CSU, auch von ihr gefordert. Dieses sollte aber ausschließlich der Beseitigung von Schwachstellen und somit der Erhöhung der allgemeinen IT-Sicherheit dienen.

Noch kritischer wird das staatliche Hacking von Seiten der FDP gesehen. “Ein Staat der hackt, wird zum Risikofaktor für die digitalen Bürgerechte der Bürgerinnen und Bürger”, argumentiert der Digitalpolitische Sprecher Manuel Höferlin auf Anfrage. Das Ausnutzen von Sicherheitslücken durch den Staat lehnt er deshalb ab und unterstützt die Forderung des Papiers, dass Unternehmen nicht dazu verpflichtet werden sollen die Regierung beim Hacken ihrer Kunden durch korrumpierte Softwareupdates zu unterstützen. Die Forderung eines staatlichen Schwachstellenmanagements stößt bei Höferlin auf Zustimmung. Hackbacks hingegen lehnt er klar ab. Besonders attackiert Höferlin dabei die Idee, man könne durch Hackbacks abgeflossene Daten beim Angreifer löschen, wie es die CDU/CSU diskutiert.

“Cyberattacken sind nicht nur mit sehr großem Aufwand nachvollziehbar. Auch die Identifizierung des Angreifers ist oft schwierig bis unmöglich. Erbeutete Daten werden möglichst schnell auf weitere Server verteilt und befinden sich häufig nicht auf den Rechnern der Hacker, sondern vielmehr auf anderen gehackten Systemen. Werden solche Systeme mittels Hackback außer Gefecht gesetzt, so kann ein beträchtlicher Kollateralschaden auftreten”,

argumentiert Höferlin. Obwohl der FDP-Mann einige Forderungen des Papiers unterstütz, geht es aus seiner Sicht aber deutlich zu weit. Zudem sei es nicht praktikabel. Staatliches Hacking könne man seines Erachtens nicht in einen Rechtsrahmen setzen.

Um einiges positiver wird der Ansatz vom stellvertretenden Fraktionsvorsitzenden der Grünen, Konstantin von Notz, bewertet. Aus seiner Sicht setzt das Papier der SNV Themen nochmal auf die politische Agenda, die von den Grünen schon seit Monaten behandelt werden. So hatten die Grünen im März einen Antrag zur IT-Sicherheit geschrieben. Unterstützt wird besonders die im Papier geforderte Meldepflicht für Sicherheitslücken, ein Schwachstellenmanagement und das Verbot der staatlichen Zusammenarbeit mit “fragwürdigen IT-Sicherheitsfirmen”.

Für die Linke gehen die Ideen der SNV hingegen nicht weit genug. Sie “beschreiben die Untergrenze, um die offensichtlichen Formen des Missbrauchs einer staatlichen Hackingbefugnis zu dämpfen”, schreibt die Netzpolitische Sprecherin Domscheit-Berg dem Politikmonitoring. Sie warnt vor allem vor dem Missbrauch von Hacking-Tools. Denn

“ein Hacken, das ‘nur’ zum Sichern von Beweisen geeignet ist und nicht gleichzeitig das Manipulieren oder das Ablegen inkriminierender Inhalte auf den Rechnern erlaubt, ist unmöglich.”

Auch Hackbacks lehnt die Linke kategorisch ab.

Insgesamt gibt es von den Bundestagsfraktionen also für die in dem Papier aufgestellten Forderungen, trotz einiger Kritik, durchaus Sympathien. Auch von Regierungsseite wertet das zuständige Bundesinnenministerium (BMI) das Papier momentan aus, konnte aber zum Redaktionsschluss noch keine offizielle Stellungnahme abgeben.

Der vorstehende Artikel erscheint im Rahmen einer Kooperation mit dem Tagesspiegel Politikmonitoring auf UdL Digital. Martin Müller ist Analyst für Digitalpolitik.