Kleine Anfrage zu NSA Hacking-Programmen: Bundesregierung hält an geplanter Entschlüsselungsbehörde ZITiS fest

Im August 2016 wurden überraschend Hacking-Programme der NSA-Elitehackgruppe TAO auf der Software-Tauschplattform GitHub angeboten, mit denen unter anderem das gezielte Hacking von weit verbreiteten kommerziellen Firewalls von Anbietern wie CISCO und Fortinet, sowie von Routern und Betriebssysteme möglich sein soll. Spiegel Online schrieb am 17. August 2016, dass die Programme mutmaßlich von Hackern erbeutet worden waren.

Zu der Veröffentlichung der zwischenzeitlich am ursprünglichen Ort nicht mehr verfügbaren, aber vielfach an anderer Stelle gespiegelten Dokumenten und Programmen bekannte sich eine Gruppe mit Namen Shadow Brokers. Während zunächst spekuliert wurde, ob die NSA selbst gehackt worden sein könnte, schätzen einige Expertinnen und Experten die angebotenen Programme mittlerweile als das Leak eines Insiders ein, so dass die Möglichkeit diskutiert wird, ob nach Edward Snowden eine weitere Person aus dem weiten Beschäftigtenkreis der NSA gezielt Informationen an die Öffentlichkeit gegeben haben könnte. Darüber berichtete unter anderem das ORF am 23. August 2016.

Wie die Washington Post am 16. August 2016 schrieb, stellen die offenbar unter NSA-internen Codenamen veröffentlichten Hacking-Werkzeuge nach Einschätzung unabhängiger Expertinnen und Experten eine reale und ernstzunehmende Bedrohung für die Sicherheit von Regierungs- und Unternehmensnetzwerken weltweit dar.

Kurz zuvor, im Juni 2016, wurde bekannt, dass die Bundesregierung seit geraumer Zeit eine Bundesbehörde zur Umgehung von Kryptographie plant. Die „Zentrale Stelle für Informationstechnik im Sicherheitsbereich“, kurz ZITiS, soll den Polizeibehörden und Verfassungsschutzämtern helfen, verschlüsselte Kommunikation zu dechiffrieren. Es steht zu befürchten, dass  bewusst Sicherheitslücken in Software offen gehalten werden, damit sie von der Bundesbehörde als Einfallstor genutzt werden können. Statt IT-Sicherheit zu gewährleisten und die private Kommunikation der Bürgerinnen und Bürger zu schützen, soll der Staat also selbst zum Hacker werden. Dabei machte der Leak erneut deutlich: Niemand ist sicher davor, dass Sicherheitslücken veröffentlicht oder missbraucht werden.

In einer Kleinen Anfrage an die Bundesregierung wollten Luise Amtsberg, Volker Beck und ich unter anderem wissen, welche Konsequenzen die Bundesregierung aus den Veröffentlichungen der Hacking-Programme in Hinblick auf das geplante ZITiS zieht. Über die ernüchternden Antworten berichtete netzpolitik.org bereits im September 2016 ausführlich.

Die Bundesregierung betont in ihren Antworten, dass sie sich aktiv für die Schließung etwaiger Sicherheitslücken einsetze:

Die Bundesregierung steht für eine sichere IT-Infrastruktur und spricht sich vor dem Hintergrund einer möglichen missbräuchlichen Verwendung gegen das Offenhalten von Sicherheitslücken aus. In diesem Sinn verfolgt z.B. das BSI eine Responsible-Disclosure-Politik und geht aktiv auf Hersteller zu, damit diese gemeldete Schwachstellen schließen können.

Die Regelungen zum Schutz vor Ausbeutung und Veröffentlichung von Sicherheitslücken seien „bereits heute umfassend“. Eine kühne Behauptung, wie Anna Biselli bereits zurecht auf netzpolitik.org bemerkte, denn sie impliziert, dass deutsche Sicherheitsbehörden vor etwaigen Angriffen besser geschützt seien als die NSA.

Auswirkungen auf das geplante ZITiS werde der Vorfall deshalb nicht haben:

ZITiS wird sehr strengen personellen und materiellen Sicherheitsregeln unterliegen, die im Besonderen auf die IT-Infrastruktur Anwendung findet. Die neue Behörde wird sich damit in die Sicherheitsstandards von BKA (Bundeskriminalamt), BPOL (Bundespolizei), BfV (Bundesamt für Verfassungsschutz), BND und BSI einreihen. Ferner werden auch für ZITiS die Grundsätze der Verschlusssachenanweisung (VSA) gelten, durch die zusätzliche hohe Standards für die Verwahrung schützenswerter Erkenntnisse festgeschrieben sind.

Doch wie der Fall der Veröffentlichung der NSA-Hacking-Tools erneut gezeigt hat, ist niemand davor geschützt, dass geplante Sicherheitslücken an die Öffentlichkeit gelangen. Statt der weiteren Infiltrierung der letzten geschützten Räume für digitale Kommunikation brauchen wir eine massive Aufrüstung von Verschlüsselungsmöglichkeiten. Nur so kann das letzte Stück Vertrauen in die Nutzung der IT-Technik erhalten bleiben.

An dieser Stelle dokumentieren wir die vollständige Antwort der Bundesregierung auf unsere Kleine Anfrage (pdf).

Schreiben Sie einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.