Regie: Frank Merfort
Technik: Hermann Leppich
Sprecher: Eva Meckbach und Timo Weisschnur
Redaktion: Carsten Burtke
Politik und Gesellschaft müssen sich mal entscheiden
30:08 Minuten
Energiewirtschaft, Wasserversorgung, Verkehr – ohne Digitalsysteme funktioniert all das nicht und ist permanent von Hackerangriffen bedroht. Behörden sollten diese kritische Infrastruktur deshalb maximal schützen. Das tun sie aber nicht.
"Ja, nehmen wir mal an, ich wäre Mitarbeiter oder Mitglied in einer organisierten Kriminalität-Truppe ..."
Manuel Atug ist IT-Sicherheitsexperte. Er stellt einen Hackerangriff nach.
"... und versuche jetzt über Emotet in ein deutsches Unternehmen einzudringen, um die zu erpressen ..."
Emotet ist eine Schadsoftware. Sie wirft den Enterhaken in das Opfersystem aus.
"... weil eben der Auftrag lautet: Dieses Unternehmen haben wir ausgemacht, das ist jetzt unser Ziel."
Angriff mit scheinbar persönlicher E-Mail
Drei von vier Unternehmen sind von solchen Angriffen in Deutschland betroffen. Inzwischen setzt die Organisierte Kriminalität damit mehr Geld um als mit Drogen.
"Dann ist der erste Schritt: Ich gehe hin und versuche, jemandem per Spearfishing ganz gezielt eine E-Mail zu schicken, die individuelle Ansprache hat. Dann sage ich: Lieber Hans-Peter, ich hab hier ein total witziges Video gesehen, musste dir angucken, lachst du dich weg."
Absender ist die Kollegin aus der gleichen Abteilung, scheinbar. Das Opfer klickt auf den Link. Emotet öffnet sich. Aber dabei bleibt es nicht.
Absender ist die Kollegin aus der gleichen Abteilung, scheinbar. Das Opfer klickt auf den Link. Emotet öffnet sich. Aber dabei bleibt es nicht.
"Jetzt geht also Emotet als Dropper hin und lädt Trickbot als tatsächliche Schadsoftware runter."
Dann ist es um das Opfer so gut wie geschehen. Denn Trickbot ermöglicht dem Angreifer die Fernsteuerung des Systems.
"Ich lade also ein entsprechendes Modul innerhalb von Trickbot nach, weil wir da eine ganze Modulserie haben für alle möglichen Angriffsoptionen und so weiter, führe das aus, prüfe, ob ich meine erweiterten Rechte habe und jetzt sogar Admin geworden bin, und stelle fest: Upsi, hat funktioniert, sehr schön!"
Immenser finanzieller Schaden
Nicht so schön für die Opfer. Die Schadenssumme von Cyberangriffen beträgt inzwischen über 100 Milliarden Euro pro Jahr. Schon 2019 waren 70 Prozent der Unternehmen betroffen. In der Coronapandemie haben die Angriffe noch zugenommen. Die Zahl der Schadprogramme übersteigt inzwischen die Milliardengrenze. Das weiß auch die Bundesregierung. Sie will der Lage mit einem neuen Gesetz Herr werden: dem IT-Sicherheitsgesetz 2.0.
Bundesinnenminister Horst Seehofer bei einer Pressekonferenz im Oktober vergangenen Jahres:
"Ein Ausfall der IT-Infrastruktur kann zu immensen wirtschaftlichen und gesellschaftlichen Schäden führen. Und das schließt Gefahren für Leib und Leben ein. Deshalb schaffen wir nach dem ersten IT-Sicherheitsgesetz im Jahre 2015 nunmehr ein zweites IT-Sicherheitsgesetz."
Evaluiert hat die Bundesregierung die Maßnahmen des IT-Sicherheitsgesetzes 1.0 bisher nicht. Verabschiedet hat sie Version 2.0 trotzdem. Der Gesetzentwurf der Regierung liegt jetzt in Brüssel zur Begutachtung. Dann muss er durch den Bundestag. Seehofer fasst die Schwerpunkte des geplanten Vorhabens zusammen:
"Der Gesetzesentwurf sieht Verbesserungen für die Cyber- und Informationssicherheit in drei Bereichen vor: Schutz der Verbraucherinnen und Verbraucher, Schutz der kritischen Infrastrukturen und weiterer Unternehmen im besonderen öffentlichen Interesse, denken Sie an Kraftwerke, und der Schutz der Bundesverwaltung."
Mehr Schutz von Unternehmen, von Behörden und Infrastruktur – das hört sich erst einmal gut an. Doch das geplante Gesetz schützt unsere IT nicht so, wie es könnte. Im Gegenteil: Es hält sie extra unsicher. Und zwar systematisch wie strategisch. Denn die Sicherheitsbehörden halten Informationen zu Sicherheitslücken in Soft- und Hardware zum Teil bewusst zurück.
Schwachstellen öffnen Kriminellen Tür und Tor
Sie brauchen sie für ihre Arbeit, um in Geräte von Tätern einzudringen. Die Sache hier ist nur: IT-Infrastruktur ist sicher für alle oder für keinen. Behalten die Behörden die Schwachstellen für sich, und ein Hersteller weiß nichts von dem Einfallstor in seinem Code, so ist das so etwas wie eine offene Tür: Jeder kann durch sie hindurchgehen. Auch Kriminelle.
Wir haben es also mit einem Spannungsfeld zu tun, einer Abwägungsfrage: Wie soll man damit umgehen? Was ist uns als Gesellschaft wichtiger: Eine möglichst sichere IT oder möglichst handlungsfähige Strafverfolgungsbehörden und Nachrichtendienste? Klarheit ist notwendig. Denn die Cyberkriminellen werden immer professioneller. Die Hackerangriffe auf deutsche Unternehmen und öffentliche Einrichtungen hören überhaupt nicht mehr auf.
"Das ist in den letzten Jahren nicht weniger geworden, sondern mehr", bestätigt Manuel Atug. Neben seiner Tätigkeit für die IT-Sicherheitsfirma HiSolutions ist er Sprecher der AG Kritis, einem unabhängigen Verband von Fachleuten aus dem Bereich der kritischen Infrastruktur.
"Weil die Kriminellen natürlich auch erkannt haben: In diesem Cyberraum kann man viel Geld für wenig physisches Risiko machen", sagt Atug. "Ich werde nicht persönlich Hopps genommen. Jede IP kann weltweit mit jeder reden. Ich hüpfe über ein paar Länder, wenn ich den Angriff mache, und schon ist der internationale Austausch noch katastrophaler als lokal."
Nationale Behörden gegen internationale Cybermafia
Die nationalen Sicherheitsbehörden hätten gegen die international organisierte Cybermafia kaum eine Chance. Der IT-Experte meint: Das Zurückhalten von Sicherheitslücken mache die Situation nur noch schlimmer.
"Wenn also der Staat selber mit Sicherheitslücken handelt oder verhandelt oder sie ausnutzt und hin- und herspielt, statt sie zu schließen, konsequent, dann haben wir ein Problem", bekräftigt Atug. "Und das ist jetzt nur Deutschland. USA macht das auch. Israel macht das auch. Russland macht das auch. China macht das auch. Es ist vor vier Monaten von den USA festgestellt worden: Es sind 100 bis 130 Staaten, die Sicherheitslücken zurückhalten."
Das Thema hätte die Bundesregierung mit dem neuen IT-Sicherheitsgesetz natürlich angehen können. Tat sie aber nicht. Manuel Atug regt sich darüber auf:
"Das höchste der Gefühle von Politikern, die sich da die Frage stellen, 'was müssen wir tun?', ist auf dem digitalen Souveränitätsniveau von einem Faxgerät. Und die versuchen dann zu verstehen, was eigentlich Cyberkriminelle da tun, und warum die so gefährlich sind."
"Wir sind bestimmt 20 Jahre hinterher"
Konstantin von Notz ist Mitglied bei den Grünen im Bundestag. Bei seiner Partei ist er zuständig für Themen der inneren Sicherheit. Auch er kritisiert die Cybersicherheitspolitik der Großen Koalition.
"Wir sind bestimmt 20 Jahre hinterher mit der IT-Sicherheit, und das ist vor allem deswegen bedauerlich, weil wir eigentlich seit mindestens zwölf Jahren wissen: Die Hütte brennt lichterloh. Wir haben ganz massive Probleme, und die Digitalisierung schreitet voran - und die IT-Sicherheitspolitik nicht. Das ist ein massives Problem."
Eine der großen Baustellen der deutschen IT-Sicherheit ist die unübersichtliche bis dysfunktionale Behördenstruktur: Über 100 zuständige Behörden gibt es allein auf europäischer und nationaler Ebene. Dazu kommen noch die der Bundesländer. Dabei kocht jedes Ministerium sein eigenes Süppchen – vom Auswärtigen Amt über das Bildungs- und Finanzministerium bis hin zum Ministerium der Verteidigung machen alle "irgendwas mit Cyber".
Die beiden zentralen Organisationen der deutschen IT-Sicherheit, der Cybersicherheitsrat und das Nationale Cyberabwehrzentrum, sind laut Experten dabei so gut wie nicht handlungsfähig. Der Cybersicherheitsrat ist das höchste politisch-strategische Gremium. Hier kommen die Ministerien und Vertreter von Wirtschaft und Wissenschaft zusammen. Der Rat hat aufgrund diverser Interessenkonflikte große Schwierigkeiten sich abzustimmen.
Das operative Gegenstück dazu ist das Nationale Cyberabwehrzentrum. Es soll für einen permanenten Informationsaustausch zwischen allen sicherheitsverantwortlichen Bundesbehörden sorgen. Es wird seit Jahren reformiert.
Wer schützt die kritische Infrastruktur?
Einigermaßen klar sticht aus diesem Durcheinander nur das BSI heraus, das Bundesamt für Sicherheit in der Informationstechnik. Es sitzt in Bonn und untersteht dem Bundesinnenministerium. Das BSI ist das Amt, das verantwortlich ist für die Sicherheit der IT der Bundesbehörden. Hinzu kommen private Unternehmen, sobald diese zur sogenannten kritischen Infrastruktur zählen. Das sind die Bereiche Energie, Wasser, Ernährung, Transport, Finanzen, Versicherungen, Gesundheit, Telekommunikations- und Informationstechnik.
Sind hier Unternehmen oder Organisationen von größeren Cyberangriffen betroffen, rücken sogenannte Mobile Incident Response Teams vom BSI aus. Sie helfen vor Ort und versuchen, die Fälle aufzuklären – gemeinsam mit den zuständigen Sicherheitsbehörden. Bei Angriffen von Kriminellen sind dies vor allem die jeweiligen Behörden der Polizei. Wenn ausländische Geheimdienste oder politische Motive hinter den Hack-Attacken stehen, dann arbeiten auch die Nachrichtendienste mit.
Konstantin von Notz sieht in dieser Zusammenarbeit ein Problem. Während das BSI die IT sicher machen soll, hätten die Dienste Interesse an einer unsicheren Infrastruktur. Von Notz fordert: Das BSI müsse unabhängig werden – vor allem vom BMI:
"Wir sagen, das BSI ist eine gute Institution, und die haben gute Leute und gutes Fachwissen. Sie sind aber im Weisungsstrang des Bundesministeriums des Inneren eingebunden. Das ist eine Behörde, für die auch verschiedene Sicherheitsbehörden unterwegs sind. Diese Sicherheitsbehörden wiederum sind derzeit häufig auf der Suche nach Sicherheitslücken in der IT. Und deswegen sagen wir, es gibt da schon lange einen Interessen- und einen Vertrauenskonflikt."
Debatte über Zuständigkeiten
Wäre das Bundesamt für Sicherheit in der Informationstechnik unabhängig, wäre es allerdings nicht mehr am Kabinettstisch vertreten. Das geht in der Regel nur, wenn es einem Ministerium zugeordnet ist. Außerdem müssen sich die Kontroll- und Eingriffsrechte des BSI demokratisch zurückführen lassen – also an einer durch Wahlen begründeten Regierung hängen, einem Ministerium.
Eine Alternative könnte eine geteilte Ministerienaufsicht sein, wie es zum Beispiel beim Statistischen Bundesamt der Fall ist. Aber das würde einen erhöhten Abstimmungsaufwand bedeuten. Glaubt man außerdem dem Bundesinnenministerium, ist der Vorwurf des Weitergebens von Schwachstellen durch das Bundesamt für Sicherheit in der Informationstechnik sowieso nichts als Paranoia.
Ein Sprecher des Ministeriums betont, dass das BSI keine Sicherheitslücken an andere Behörden weiterreiche:
"Es ist die Aufgabe des BSI, dass Schwachstellen und Sicherheitslücken unverzüglich erkannt und beseitigt werden. Eine Weitergabe von Schwachstellen oder Sicherheitslücken würde diesem Zweck nicht dienen und ist daher auch nicht vorgesehen."
Im Griff haben die Behörden die Lage trotzdem nicht.
"Düsseldorf. Nach den gravierenden IT-Ausfällen am Universitätsklinikum müssen Patienten weiterhin mit starken Einschränkungen rechnen. Die Telefonanschlüsse funktionieren größtenteils wieder, aber ambulante Behandlungen können nicht stattfinden. Die Notaufnahme ist seit über 24 Stunden geschlossen. Die Ursache für das IT-Problem ist noch unbekannt. Experten für Cyber-Kriminalität aus Köln wurden bereits eingeschaltet."
Cyberattacke lähmt eine Klinik
Im November vergangenen Jahres fielen an der Uniklinik in Düsseldorf plötzlich die Computer aus. Der WDR berichtete, Erpresser hätten fast 900.000 Euro gefordert. In der Kryptowährung Bitcoin. Die Zentral- und Ansprechstelle Cybercrime "ZAC" Nordrhein-Westfalen nahm sofort die Ermittlungen auf. Aufgrund des Hackerangriffs musste die Klinik die Notaufnahme schließen. Patienten wurden verlegt. Eine Frau starb.
Zuständig für die Ermittlungen ist Oberstaatsanwalt Markus Hartmann. Er erklärt, wie die Behörden bei einem Hackerangriff vorgehen:
"Wir müssen zunächst mal an einen Tatort und wenn ich 'wir' sage, dann meine ich das Team aus Strafverfolgung, aus polizeilichen Einheiten und Kollegen aus meinem Team. Es werden Daten gesichert, es werden Beweismittel gesichert. Man nimmt etwa die Schadsoftware, analysiert die um festzustellen: Welche Qualität hatte die? Gibt es Spuren auf den Angreifer? Und man analysiert alles das, was an IT-Infrastruktur da ist - um den Tathergang festzustellen."
Dann geht es an die computerforensische Auswertung. Das macht in der ersten Stufe die Polizei, in dem Fall das LKA Nordrhein-Westfalen.
"Man nimmt das Programm, das die Verschlüsselung bewirkt hat", erklärt Hartmann, "analysiert das, guckt, was macht das, lässt es auf einem virtuellen Rechner laufen, um zu gucken: Welche Spuren kann ich gewinnen?"
Spuren führen nach Russland
In dem Fall des Hackerangriffs auf die Uniklinik in Düsseldorf kam die Staatsanwaltschaft zu dem Schluss, dass die Frau sehr wahrscheinlich auch verstorben wäre, wenn sie nicht hätte verlegt werden müssen. Doch wegen des erpresserischen Hackerangriffs selbst ermitteln Hartmann und seine Kollegen weiter. Medienberichten zufolge führen die Spuren nach Russland. Hartmann will das nicht bestätigen. Er will nur so viel sagen:
"Anhand eines so komplex aufeinander abgestimmten Arbeitsverhaltens sehen Sie, dass da nicht ein Einzelner irgendwo in Muttis Keller irgendeinem Unternehmen mal zeigen will, wie gut er programmieren kann, sondern dass das ein rein kommerzielles Geschäftsfeld ist."
Das sei auch der dominante "Täterblock": die Kriminellen, denen es schlicht und ergreifend ums Geld ginge. Sie arbeiten strategisch und langfristig. Oft sind sie bis zu sechs Monate im Netz, lesen mit, greifen Daten ab, bevor sie angreifen.
"Wir sehen etwa, dass, wenn Sicherheitslücken publik werden, für die es noch keinen Sicherheitspatch gibt, also bei denen die Leute, die diese Software oder das Programm einsetzen, noch gar nichts tun können, um sich zu schützen, dass diesen kurzen Zeitraum organisierte Strukturen ausnutzen, um erst mal Netzwerke zu kompromittieren und eine kleine Basis zu schaffen", erläutert Hartmann. "Und dann später wird peu à peu abgearbeitet."
Auch Staaten hacken und spionieren
In einem zweiten großen Block sind Täter, hinter denen wahrscheinlich Staaten stehen. Ihnen geht es um die Daten selbst, die Informationen.
"Was es sehr schwierig macht, ist, dass beide Blöcke sich in einem mittleren Bereich überschneiden und miteinander vermischen. Wir müssen auch davon ausgehen, dass kriminelle Strukturen gezielt staatlich eingesetzt werden, um bestimmte Angriffe zu begehen."
Um die Kriminellen dingfest zu machen, arbeiten die Ermittler und Staatsanwälte dabei nicht nur forensisch und defensiv. Für ihre Arbeit dringen sie auch in Infrastrukturen ein: Sie hacken die Täter. Dafür nun bräuchten die Strafverfolger Zugang zu Sicherheitslücken, sagt Hartmann. Gerade wenn man keine flächendeckende Überwachung wolle.
"Wenn ich mich, und das tun wir, dagegen ausspreche, anlasslos in der Masse Sicherheit zu schwächen, muss ich den Ermittlungsbehörden aber umgekehrt für den Einzelfall auch Instrumente zubilligen, dass sie an Daten kommen."
Hartmann betont, dass der Umgang mit Sicherheitslücken und deren Nutzung immer im Einzelfall verantwortungsvoll sein müsse und auszutarieren sei. Denn die Nachteile von offen gehaltenen Sicherheitslücken sieht man bei seiner Behörde auch.
"Die Erfahrung zeigt, dass da, wo Hintertüren sind, diese Hintertüren mindestens ebenso schnell von den Kriminellen gefunden werden, wie sie von den Berechtigten, also von den Sicherheitsbehörden genutzt werden", so Hartmann. "Wir haben heute noch zahlreiche Ermittlungsverfahren, in denen Schwachstellen ausgenutzt werden, bei denen zumindest der konkrete Verdacht besteht, dass diese Schwachstellen ursprünglich mal mit der Intention einer Hintertür in Software oder Produkte eingefügt wurden."
IT-Sicherheitsgesetz zieht sich seit Jahren hin
Dieses Spannungsfeld zwischen IT-Sicherheit und Strafverfolgung spiegelt sich in der Genese des IT-Sicherheitsgesetzes 2.0 wieder. Diese zieht sich seit Jahren hin. Federführend ist das Bundesinnenministerium. Doch natürlich müssen sich die Ministerien abstimmen. Und die finden in dem Interessenkonflikt zwischen IT-Sicherheit und Strafverfolgung bisher keine Lösung.
Schon beim ersten Entwurf im März 2019 kam es zum Grundsatzstreit. Das BMI hatte so viele erweiterte Befugnisse für die Sicherheitsbehörden hineingeschrieben, dass das Justizministerium Insidern zufolge jegliche Gespräche ablehnte. Der Entwurf sei in Teilen verfassungswidrig. Das BMI erarbeitete also einen neuen Entwurf.
Über den zweiten Entwurf vom Mai 2020 wurde dann so heftig diskutiert, dass ebenfalls keine Einigung in Sicht war. Diesmal ging es vor allem um Außenhandelsbeziehungen - und zwar um die Frage, inwiefern zum Beispiel chinesische Unternehmen wie Huawei sich an dem Ausbau der Netze, also kritischer Infrastrukturen, beteiligen dürfen.
Den dritten Entwurf legte das Bundesinnenministerium schließlich Anfang Dezember 2020 vor. Experten bezeichnen ihn als ein Sammelsurium von verschiedenen Maßnahmen, teilweise sachfremder Wünsche einzelner Behörden. Viel Kritik gab es auch deshalb, weil das BMI den Verbänden aus Zivilgesellschaft und Wirtschaft weniger als eine Woche Zeit gab, um zu dem 92 Seiten umfassenden Entwurf Stellung zu nehmen: Die Regierung habe offenbar wenig Interesse an der Position der Experten aus der Praxis, hieß es.
Bis zu einem Kabinettsentwurf hat man es schon geschafft
Am 16. Dezember ging der Entwurf dann durchs Kabinett. Übrig geblieben sind vor allem zwei große Neuerungen: erstens eine Ausweitung der kritischen Infrastruktur auf mehr Wirtschaftsbereiche, zweitens mehr Befugnisse für das Bundesamt für Sicherheit in der Informationstechnik. Zum Beispiel kann das BSI jetzt Unternehmen mit empfindlichen Geldstrafen drohen, folgen sie seinen Anweisungen nicht.
Außerdem soll das Amt zur Abwehr von Angriffen in einigen Fällen in den Netzwerkverkehr eingreifen dürfen. In den Medien hat diese Erweiterung der Befugnisse dem Bundesamt den Spitznamen "Hackerbehörde" eingetragen. Für die Strafverfolgungsbehörden wiederum steht nur noch wenig drin. Das Bundesinnenministerium wollte noch durchbekommen, dass Dienstanbieter, also alles von Telekommunikationsunternehmen bis hin zu Social-Media-Plattformen, dem Bundeskriminalamt straffällige Inhalte melden. Ein Richtervorbehalt war dabei nicht vorgesehen. Am Kabinettstisch flog der Vorschlag jedoch dann raus.
"Ja, man hat manchmal so ein bisschen das Gefühl, dass die Bundesregierung in Sachen Cybersicherheit strategie-avers ist", sagt Sven Herpig, Leiter für Internationale Cybersicherheitspolitik bei der Stiftung Neue Verantwortung. Das habe auch strukturelle Gründe. Zum Beispiel im Bundesinnenministerium:
"Das Ministerium selbst ist gespalten, weil das Ministerium auf der einen Seite dafür verantwortlich ist, dass IT- und Cybersicherheit eingehalten wird. Gleichzeitig hat das Ministerium aber auch die Aufgabe, dass öffentliche Sicherheit, also Strafverfolger und das Bundesamt für Verfassungsschutz zum Beispiel, ihren Job machen können. Und deswegen gibt es seit jeher eine Spaltung im Ministerium selbst, ob man eben die IT-Sicherheit stärken sollte oder ob man die IT-Sicherheit halt eben in bestimmten Bereichen schwächen sollte, damit die Strafverfolger und Nachrichtendienste an ihre Informationen kommen."
Kritik kommt auch aus der Privatwirtschaft
Letztere Position hat sich in der Vergangenheit meistens durchgesetzt. Nicht zum Vorteil der IT-Sicherheit, meint Herpig. Er hat früher selbst beim Bundesamt für Sicherheit in der Informationstechnik gearbeitet:
"Was wir gesehen haben in den letzten zehn, 20 Jahren, ist, dass es immer mehr und mehr Befugnisse für die Strafverfolger, für die Nachrichtendienste gibt. Und jedes Mal sagen sie nach ein paar Jahren: Naja, diese Befugnisse haben uns nicht ausgereicht, wir wollen noch mehr haben. Und wir sind bald an einem Punkt, wo es einfach keine Befugnisse mehr gibt, die wir unseren Nachrichtendiensten und Polizeien noch geben können, ohne dass empirisch dargelegt wird, dass sie diese neuen Befugnisse brauchen. Das ist extrem problematisch, und damit schwächen wir in Deutschland einfach die Sicherheit."
Das sieht man auch in der Wirtschaft so. Es finde eine "inhaltliche Überdehnung" beim IT-Sicherheitsgesetz statt, sagt Sebastian Artz vom Branchenverband Bitkom.
"Das IT-Sicherheitsgesetz sollte in erster Linie ganz klar die Schutzziele Vertraulichkeit, Integrität und Verfügbarkeit nennen und dann auch wirklich die gesetzgeberische Umsetzung daran ausrichten."
In anderen Worten: Die Wirtschaft will sich geschützt sehen. Nicht eng kontrolliert durch das BSI oder verwundbar durch zurückgehaltene Sicherheitslücken.
Artz kritisiert außerdem die fehlende Evaluierung des ersten IT-Sicherheitsgesetzes. So wisse man heute gar nicht, welche Maßnahmen besonders sinnvoll gewesen seien und welche nicht. Das sei aber wichtig, IT-Sicherheit sei für die Unternehmen ein großer Kostenfaktor:
"Die Ausgaben für IT-Sicherheitsprodukte, seien es jetzt Hardware, Software oder eben auch Dienstleistungen, die steigen kontinuierlich an und befinden sich im letzten Jahr circa bei fünf Milliarden Euro."
Ein Rechnercluster forscht nach Sicherheitslücken
Die Kritik hält die Sicherheitsbehörden nicht davon ab, weiter nach Sicherheitslücken zu suchen. Zum Beispiel am Stadtrand von München in einem grau-weißen Bürogebäude, wenig malerisch direkt neben der A94. Hier sitzt die Zentrale Stelle für Informationstechnik im Sicherheitsbereich, kurz ZITiS. Sie ist eine relativ junge Behörde. Thomas de Maizière, damals Bundesinnenminister, gründete sie 2017 per Erlass. Die ZITiS soll die Behörden des Bundes in IT-Fragen unterstützen, vor allem bei Offensiven: Überwachung, Hacking und Entschlüsselung. Kein Stacheldraht oder Zaun lässt die sicherheitsrelevante Arbeit vermuten.
Drinnen gibt es allerdings dann Sicherheitsschleusen. Und im Keller steht der HPC, der Hochleistungsrechner-Cluster. Der Präsident der ZITiS, Wilfried Karl schließt die Tür auf:
"Was Sie jetzt hier sehen werden, ich sag’s Ihnen vorher, denn wenn wir jetzt die Tür aufmachen, wird es ganz schön laut, ist ein Hochleistungsrechencluster auf verschiedenen Rechnerarchitekturen von einem deutschen Hersteller, da will ich jetzt gar nicht ins Detail gehen."
"Deutscher Hersteller. Wie viele Rechner, können Sie so was sagen? Ungefähr?"
"Was Sie hier sehen, was da war, sind Tausende von Einzelprozessoren, verschiedener Art, nicht nur der Standardprozessor, den man in seinem PC zu Hause hat, sondern auch Spezialprozessoren, mit denen wir hier versuchen, Dinge zu entschlüsseln, Methoden zu finden, um damit Dinge entschlüsseln zu können für Polizei und Nachrichtendienste."
Danach geht es ins Forensiklabor.
In dem Labor arbeiten zwei Männer in einem Raum mit hellen Tischen und grauen Geräten zu Musik einer Youtube-Playlist. Der eine hat einen weißen Kittel an, der andere ein Sweatshirt. Der weiß getünchte Raum hat das Flair einer Tüftlerwerkstatt, nur sehr sauber. Alles ist kameraüberwacht. Wenn man näher an die Geräte will, muss man sich blassgrüne Schutzsocken über die Schuhe überziehen – um Kurzschlüsse vorzubeugen.
Wenn bei Hausdurchsuchungen das Telefon in die Toilette fällt
"Das ist ein Mikroskop, richtig?"
"Das ist ein Fotoapparat, eine Kamera. Ein Mikroskop haben wir da vorne, eine große Lupe, da kann man Dinge vergrößern. Dies hier ist erst einmal eine Kamera, um Geräte zu inspizieren: Sind die bedruckt, die Chips? Bei einem gut gemeinten Handy ist das so. Wenn das jetzt ein Handy ist, das vielleicht gefälscht ist, eine Produktfälschung aus China oder so, sind die oft angeschliffen, da kann man nicht, da hat man keine Bezeichnung."
Christian Hummert, ein Mann mit krausem Haar im Pferdeschwanz und weinrotem Hemd, ist bei der ZITiS Leiter der Digitalen Forensik.
"Wenn die gut gemeint sind und gut in Ordnung sind, dann gibt es also eben irgendwie kommerzielle Lösungen um solche Daten aus Telefonen auszulesen. Aber wenn eben die Handys beschädigt sind, also häufig werden sie nass, das ist so ein Problem. Also bei erstaunlich vielen Hausdurchsuchungen fallen Telefone in Toiletten, ein Unfall, der sehr häufig passiert, wenn die Polizei kommt, dass dann ganz unglücklich Telefone nass werden."
Herausforderungen, mit denen man bei der ZITiS umgehen kann.
"Dann überlegen wir uns hier Verfahren und würden zum Beispiel so einen Chip, den wir identifiziert haben als interessant von dem Telefon ablöten, also abnehmen. Wir können uns das ja mal angucken."
"Genau, das ist eine sogenannte Reworkstation. Jetzt können wir automatisiert diese Chips von der Platine abheben und die Maße, in denen der Chip platziert werden muss, das ist sehr genau, das sind Bruchteile von Millimetern, die Abstände auf diesen Platinen."
Mögliches Szenario von einem Quantencomputer
Die ZITiS setzt die Werkzeuge, die sie erarbeitet, nicht selbst ein. Sie ist nur Dienstleister für die Sicherheitsbehörden des Bundes. Das sind das BKA, die Bundespolizei und das Bundesamt für Verfassungsschutz. Hinzu kommen der BND, das Zollkriminalamt und der Militärische Abschirmdienst. In einzelnen Fällen leistet die ZITiS auch Landesbehörden Amtshilfe. Als Budget für die Arbeit gab es 2020 rund 54 Millionen Euro. ZITiS-Präsident Wilfried Karl erklärt die Schwerpunkte:
"Unsere Arbeitsbereiche richten sich natürlich an den Aufgaben der Sicherheitsbehörden aus, für die wir arbeiten. Bei Gründung wurden diese, vor allem das BKA, Bundespolizei, das BfV, gefragt: Wenn die ZITiS einmal gegründet wird, wo drückt denn der Schuh am meisten im Cyber-Bereich? Und da ist ein Katalog entstanden mit vielen verschiedenen Themen, von kleinen Themen, die im forensischen Bereich angesiedelt sind, wie zum Beispiel das modernste Smartphone, das als Asservat nicht ausgelesen werden kann, bis hin zu etwas weiter in die Zukunft reichenden Themen, wie: Was machen wir denn, wenn Quantencomputing kommt?"
Dadurch ist es möglich, komplexe Rechenaufgaben zu lösen, bei denen herkömmliche Computer überfordert sind. Im Sicherheitsbereich, ist Wilfried Karl überzeugt, müsse mit diesen Herausforderungen gearbeitet werden. Das trifft auch auf geheime Sicherheitslücken zu. Diese bräuchten die Behörden. Es ginge um die digitale Souveränität, betont der 55-Jährige. Er war ehemals zuständig beim BND für die "Technische Aufklärung", also Telekommunikationsüberwachung:
"Welche Fähigkeiten muss ein Staat selber erhalten können, um handlungsfähig zu bleiben? Und mit 'handlungsfähig' meine ich die Sicherheitsbehörden als einen der wichtigen Informationsgeber für die Regierung. Und dieses Thema, ich mache es mal fest an der Attribution bei Cyberangriffen: Die Feststellung, wer greift mich denn hier an, ist eng verknüpft mit der Fähigkeit in Computernetze eindringen zu können. Und wenn der Staat diese Festlegung getroffen hat, 'das muss ich selber können', dann sehe ich uns auch in der Rolle, das technisch bereitstellen zu müssen, hier entsprechend zu forschen und zu entwickeln."
"Welche Fähigkeiten muss ein Staat selber erhalten können, um handlungsfähig zu bleiben? Und mit 'handlungsfähig' meine ich die Sicherheitsbehörden als einen der wichtigen Informationsgeber für die Regierung. Und dieses Thema, ich mache es mal fest an der Attribution bei Cyberangriffen: Die Feststellung, wer greift mich denn hier an, ist eng verknüpft mit der Fähigkeit in Computernetze eindringen zu können. Und wenn der Staat diese Festlegung getroffen hat, 'das muss ich selber können', dann sehe ich uns auch in der Rolle, das technisch bereitstellen zu müssen, hier entsprechend zu forschen und zu entwickeln."
An Schwachstellenmanagement arbeitet das Ministerium noch
Die ZITiS gehe damit sehr verantwortungsvoll um, betont Wilfried Karl:
"Was mir immer nicht gefällt, ist eine Pauschalisierung in der Art wie 'jede Sicherheitslücke gefährdet immer die ganze IT-Sicherheit existenziell'. Das ist ja nicht der Fall. Auch in der Industrie gibt es ein Bewertungssystem für die Schwere von Sicherheitslücken, das sehr wohl zulässt, bis hin zu Sicherheitslücken auch offenzulassen und am anderen Ende der Skala eben dann ein sofortiges Schließen vorsieht. Wir haben auch schon Sicherheitslücken gemeldet, weil wir gesagt haben, die ist nicht nur für unsere Zwecke nicht brauchbar, sondern so kritisch, dass wir sie melden müssen."
Das Bundesinnenministerium arbeitet seit geraumer Zeit an solch einem Schwachstellenmanagement. Wann es kommt, ist nicht klar. Vielleicht im IT-Sicherheitsgesetz 3.0?
Der IT-Sicherheitsexperte Manuel Atug ist jedenfalls der Meinung, dass der bisherige Umgang der Politik und der Sicherheitsbehörden mit Sicherheitslücken fahrlässig ist. Er fordert eine radikale Umkehr:
"Jede Schwachstelle, die irgendwie bekannt wird, einer behördlichen Organisation durch selber Ermitteln, durch Zugespieltbekommen, durch Sicherheitsforscher, durch Nachrichtendienste, die irgendwelche Kenntnisse erlangt haben, die müssen bedingungslos, und zwar wirklich bedingungslos, alle an die Hersteller gemeldet werden."
Informationsdiebstahl bei der CIA
Sicherheitslücken stellten einfach eine zu große Gefahr da. Die Behörden könnten sich kaum selbst schützen. Atug nennt ein Beispiel aus den USA. Dort hat sich die CIA sämtliche digitale Angriffswerkzeuge stehlen lassen. Darunter waren Schadsoftware wie Viren und Trojaner sowie Informationen zu offenen Schwachstellen – zum Beispiel in iPhones, Android-Mobiltelefonen oder Computer-Betriebssystemen. WikiLeaks veröffentlichte das Material 2017 unter dem Titel "Vault7".
"Das heißt, die hat sich ihren digitalen Waffenschrank mit allen Schwachstellen und Exploits, die da drin waren, einmal komplett abgrasen lassen", sagt Atug. "Wenn die es nicht schaffen, das zu schützen, wer zur Hölle auf dieser Welt kann's dann?"
Die fehlende Konsequenz im Umgang mit Schwachstellen gehe am Ende auf Kosten der Opfer – der Bürger und Unternehmen.
"Diese ganzen Zuständigkeiten, Abgrenzungen, wer darf mit wem wann was besprechen oder nicht, ergeben schon sowieso drei Fragezeichen im Kopf", so Atug. "Das ist etwas, was solche Bandenkriminelle hochgradigst ausnutzen, weil sie sagen: 'Hey, wunderbar, solange die sich noch irgendwie ausklamüsern, wer von den 75 Behörden zuständig ist, sind wir schon in Villabajo und schlürfen unser Cocktail-Schirmchen'."