nd-aktuell.de / 24.04.2021 / Politik / Seite 7

Wer hacken darf

Bundesbehörden in Deutschland erhalten immer mehr Freiheit beim Ausspähen von Daten

Maximilian Henning

Hacken bedeutet: etwas auf eine Art benutzen, für die es nicht gedacht ist. In der IT-Sicherheit heißt das oft, sich ohne Erlaubnis Zutritt zu Daten zu verschaffen. Das ist in Deutschland laut Strafgesetzbuch verboten – aber nicht jedem. Unter bestimmten Bedingungen dürfen Behörden hacken, und diese Bedingungen werden immer zahlreicher. Seit letztem Monat darf der Bundesnachrichtendienst Internet-Anbieter wie Google oder Facebook hacken. Die Bundespolizei darf vielleicht bald in IT-Geräte von Personen eindringen, die noch gar keine Straftat begangen haben. Und: Abgesehen davon, was die staatlichen Institutionen dürfen, tun sie auch noch einiges, was sie nicht dürfen.

Zentrale Stelle für alles, was in Deutschland »IT« oder »Cyber« im Behördennamen trägt, ist das Bundesamt für Sicherheit in der Informationstechnik (BSI). Die Behörde hat ein Vertrauensproblem: Eigentlich soll sie Sicherheitslücken schließen. Nun ist aber bekannt, dass das Amt zwischen 2007 und 2009 an der Entwicklung eines Staatstrojaners für das Bundeskriminalamt beteiligt war[1], also einer Software, mit der Computer gehackt und überwacht werden können. Und solche Software braucht gerade Sicherheitslücken, um wirksam zu sein. Dass dieser Interessenkonflikt zu einem großen Imageschaden für das BSI führen könnte, war dem Amt damals klar – und so ist es auch gekommen.

Seitdem gibt es immer wieder Forderungen, das Amt aus der direkten Kontrolle des Innenministeriums zu lösen[2]. Denn in Sachen IT-Sicherheit läuft viel über Reputation, so Sven Herpig, der bei der Stiftung Neue Verantwortung zu Cybersicherheitspolitik forscht[3], im Gespräch mit Die Woche. »Deshalb würde es Sinn machen, dem BSI da ein wenig mehr Unabhängigkeit zuzugestehen.«

Polizei hackt gegen Drogen, kaum gegen Terrorismus

Die verschiedenen Polizeibehörden nutzen solche Spionagesoftware seit einiger Zeit. Das Bundeskriminalamt darf sie seit 2009 zur Prävention von Terrorismus einsetzen. 2017 hat der Bundestag den Einsatz von Staatstrojanern für eine lange Liste von Straftaten erlaubt[4], darunter unter anderem die Anstiftung zur missbräuchlichen Stellung eines Asylantrags, Hehlerei und Drogendelikte.

Und wofür werden die Trojaner tatsächlich eingesetzt? Die aktuellsten Zahlen zum Hacken durch die deutsche Polizei stammen von 2019[5]. In diesem Jahr haben verschiedene Gerichte in Deutschland 64-mal den Einsatz von Staatstrojanern angeordnet, in 15 Fällen hat die Polizei sie dann auch tatsächlich eingesetzt – also etwas mehr als einmal pro Monat. In mehr als der Hälfte davon ging es um Erpressung und Drogen. »Terror« tauchte zwar nur zwei Mal als Anlass auf, dennoch steht er auf der Seite des BKA zum Staatstrojaner immer noch an erster Stelle: »Für die effektive Durchführung von Ermittlungen, insbesondere im Bereich des Terrorismus und der Organisierten Kriminalität, ist das Instrument der Quellen-TKÜ unverzichtbar.« Das entspricht nicht den Tatbeständen, für die die Polizei tatsächlich Staatstrojaner einsetzt.

Neben dem, was die Polizei darf, gibt es dann noch das, was sie tut. Im Januar war das BKA an der internationalen Aktion gegen das Emotet-Botnet beteiligt[6]. Dabei nutzte das Amt den beschlagnahmten Computer eines Administrators, um eine Bereinigung der Schadsoftware auf infizierten Systemen zu installieren. Das mag zwar im Sinn der Betroffenen sein, eine rechtliche Grundlage gab es dafür aber nicht[7], so Dr. Herpig in einem Gastbeitrag bei netzpolitik.org.

Nachrichtendienste dürfen offensiv mithören

Neben den Polizeibehörden dürfen seit letztem Jahr auch noch die neunzehn deutschen Nachrichtendienste hacken[8]: der Bundesnachrichtendienst, der Militärische Abschirmdienst und Verfassungsschutz in Bund und Ländern. Zunächst einmal hören die Nachrichtendienste zu. So zum Beispiel beim Internetknotenpunkt DE-CIX in Frankfurt am Main bei bis zu 1,2 Billionen Internetverbindungen – pro Tag. Das geht ganz einfach auf Anweisung des Bundeskanzleramts, der die Betreiber von DE-CIX nachkommen müssen.

Etwas schwerer ist es im Ausland, wo Unternehmen nicht einfach machen müssen, was die deutsche Regierung anordnet. Deshalb haben Bundestag und Bundesrat Ende letzten Monats ein neues Gesetz verabschiedet, mit dem der BND nun legal Kommunikationsunternehmen hacken darf[9]. Darunter fallen auch Plattformen wie Google oder Facebook.

Der Bundesnachrichtendienst hatte auch vorher schon, seit mindestens 15 Jahren, eine eigene Hacker-Einheit. Die trug Namen wie »Referat 26E (Opus)« oder »Unterabteilung T4 (Cyber-Intelligence)«[10]. 2006 hackte diese Gruppe ein afghanisches Ministerium und erwischte dabei auch Mails des Spiegel mit[11].

Neue Behörde organisiert Einkauf

Von der Überwachungssoftware der verschiedenen Behörden wird ein großer Teil aus der Wirtschaft geliefert. Bei der Entwicklung des Emotet-Patchs wurde das BKA von der deutschen Firma G Data unterstützt, der 2011 öffentlich vom CCC analysierte Staatstrojaner[12] stammte vom Unternehmen DigiTask. Nebenher kauft das Amt noch von großen, internationalen Unternehmen wie FinFisher, gegen das aktuell ein Strafverfahren wegen des eventuell illegalen Exports von Spionagesoftware läuft[13].

Das BKA hat aber auch eigene Spionagesoftware entwickelt: Die konnte allerdings bei ihrer Fertigstellung 2015 nur in Kommunikation durch die Windows-Version von Skype eindringen. Das war nicht genug, deshalb kam noch eine Version für Smartphones und Tablets dazu. Die Entwicklung in Eigenregie kostete beinahe 6 Millionen Euro[14].

Bald soll die Zentrale Stelle für IT im Sicherheitsbereich, kurz ZITiS,[15] die Beschaffung von Spionagesoftware für Behörden übernehmen. ZITiS, momentan im Aufbau, soll auf dem Campus der Bundeswehr-Universität München angesiedelt werden – in direkter Nähe zum Beispiel zu CODE, dem Forschungsinstitut Cyber Defense an der Universität.

Aktiv an offensiver Hacking-Software forschen soll die Agentur für Innovation in der Cybersicherheit, auch: »Cyberagentur«, eingerichtet zusammen von Innen- und Verteidigungsministerium. Die Agentur soll eigentlich am Flughafen Leipzig/Halle sitzen, der sächsische Ministerpräsident setzt sich jetzt aber anscheinend dafür ein[16], sie dauerhaft in seinem Bundesland zu halten. Der Bundesrechnungshof blickt anscheinend beim Abkürzungssalat nicht mehr durch und hat bereits vor zwei Jahren vor drohender Mehrfachförderung gewarnt[17].

Bundeswehr darf nur im Verteidigungsfall ran

Auch bei der Bundeswehr steckt das Verteidigungsministerium Geld in Cyber. Seit 2017 gibt es dort das Kommando Cyber- und Informationsraum. Aber haben die vergleichbare Möglichkeiten zum Beispiel mit dem Cyber Command der USA? »Nicht mehr«, erklärt Dr. Herpig. »Das ist schwer vergleichbar.« Das zeigt sich schon daran, wann sie aktiv werden dürfen: Die US-Militärhacker dürfen seit 2018 auch ohne Erlaubnis des Präsidenten hacken[18]. Im Rahmen der Doktrin von »persistent engagement«, also »anhaltendem Gefecht«, sind sie dauerhaft in ausländischen Netzwerken aktiv.

Das Kommando Cyber- und Informationsraum darf währenddessen nur im Verteidigungsfall aktiv werden. Diverse Versuche, den »digitalen Verteidigungsfall«[19] oder einen »Hack-Back«[20] zu etablieren, blieben bisher ergebnislos. Die einzige bekannte Operation ist der Hack eines afghanischen [21]Mobilfunkanbieters 2015[22]. Ansonsten sind die IT-Bataillone des Kommandos damit beschäftigt, die Systeme der Bundeswehr zu betreiben und zu schützen.

Kein Mangel an neuen Gesetzen

Schließlich gehört zu einem normalen Tag im deutschen Cyber-Zoo noch eins dazu: Ein neuer Vorschlag für mehr staatliches Hacken. Laut einem Entwurf für das IT-Sicherheitsgesetz 2.0 von 2019 sollte das BSI selbst in Systeme eindringen dürfen[23]. Gerade berät der Bundestag darüber, ob die Bundespolizei auch hacken dürfen soll, wenn noch gar keine Straftat begangen wurde[24].

Egal für welche Behörde, die Vorschläge reißen nicht ab. Manche Entwürfe kommen durch[25], manche werden auch mal wieder eingestampft[26]. Gegen andere tritt das Bundesverfassungsgericht an[27], dann werden sie einfach umgeschrieben und nochmal beschlossen[28]. Das Ende der Legislaturperiode ist nah – ob sich danach etwas ändert, wird sich zeigen.

Links:

  1. https://netzpolitik.org/2015/geheime-kommunikation-bsi-programmierte-und-arbeitete-aktiv-am-staatstrojaner-streitet-aber-zusammenarbeit-ab/
  2. https://www.stiftung-nv.de/de/publikation/die-unabhaengigkeit-des-bundesamtes-fuer-sicherheit-der-informationstechnik
  3. https://www.stiftung-nv.de/de/publikation/deutschlands-staatliche-cybersicherheitsarchitektur
  4. https://www.heise.de/newsticker/meldung/Bundestag-gibt-Staatstrojaner-fuer-die-alltaegliche-Strafverfolgung-frei-3753530.html
  5. https://netzpolitik.org/2021/justizstatistik-2019-polizei-nutzt-staatstrojaner-vor-allem-bei-erpressung-und-drogen/
  6. https://www.heise.de/news/Emotet-Strafverfolger-zerschlagen-Malware-Infrastruktur-5038233.html
  7. https://netzpolitik.org/2021/emotet-takedown-der-zweck-heiligt-nicht-die-mittel/
  8. https://netzpolitik.org/2020/bundesregierung-beschliesst-staatstrojaner-fuer-alle-geheimdienste/
  9. https://netzpolitik.org/2021/bnd-gesetz-bundesnachrichtendienst-erhaelt-so-viele-ueberwachungsbefugnisse-wie-noch-nie/
  10. https://netzpolitik.org/2017/geheime-dokumente-der-bnd-hat-das-anonymisierungs-netzwerk-tor-angegriffen-und-warnt-vor-dessen-nutzung/
  11. http://www.spiegel.de/spiegel/print/d-56756328.html
  12. https://www.ccc.de/de/updates/2011/analysiert-aktueller-staatstrojaner
  13. https://netzpolitik.org/2020/unsere-strafanzeige-razzia-bei-staatstrojaner-firma-finfisher-in-muenchen/
  14. https://netzpolitik.org/2018/geheime-dokumente-das-bundeskriminalamt-kann-jetzt-drei-staatstrojaner-einsetzen/
  15. https://netzpolitik.org/2020/zitis-hacker-behoerde-bekommt-66-millionen-euro/
  16. https://www.mdr.de/nachrichten/sachsen-anhalt/halle/halle/haseloff-besucht-cyberagentur-100.html
  17. https://netzpolitik.org/2019/bundesrechnungshof-bezweifelt-sinn-der-neuen-cyberagentur/
  18. https://www.politico.com/story/2018/08/16/trump-cybersecurity-cyberattack-hacking-military-742095
  19. https://dipbt.bundestag.de/dip21/btd/19/122/1912235.pdf
  20. https://netzpolitik.org/2019/geheimes-bundestagsgutachten-attackiert-hackback-plaene-der-bundesregierung/
  21. https://www.spiegel.de/politik/ausland/cyber-einheit-bundeswehr-hackte-afghanisches-mobilfunknetz-a-1113560.html
  22. https://www.spiegel.de/politik/ausland/cyber-einheit-bundeswehr-hackte-afghanisches-mobilfunknetz-a-1113560.html
  23. https://netzpolitik.org/2019/it-sicherheitsgesetz-2-0-wir-veroeffentlichen-den-entwurf-der-das-bsi-zur-hackerbehoerde-machen-soll/
  24. https://netzpolitik.org/2021/bundespolizeigesetz-grosse-koalition-will-staatstrojaner-gegen-personen-einsetzen-die-noch-keine-straftat-begangen-haben/
  25. https://www.heise.de/newsticker/meldung/Bundestag-Auch-Zollfahnder-duerfen-kuenftig-den-Bundestrojaner-einsetzen-4620790.html
  26. https://netzpolitik.org/2020/hackback-bundespolizei-seehofer-will-den-digitalen-gegenangriff-starten/
  27. https://www.sueddeutsche.de/politik/bnd-gesetz-bundesverfassungsgericht-1.4912291
  28. https://www.golem.de/news/auslandsspionage-bundestag-beschliesst-neue-kontrollbehoerde-fuer-bnd-2103-155272.html