Hacker-Software für den BND?

"Das macht unsere Gesellschaft bedeutend angreifbarer"

Ein Mann arbeitet an der Tastatur eines Laptops.
Kauf von Hacker-Software? "Ich kann der Bundeskanzlerin nur raten, diesen Schritt nicht mitzugehen", sagt Norbert Pohlmann. © dpa / picture alliance / Karl-Josef Hildenbrand
Norbert Pohlmann im Gespräch mit Korbinian Frenzel |
Die Ankündigung des Bundesnachrichtendienstes, Hacker-Software einzukaufen, um Verschlüsselungen im Internet aushebeln zu können, hält der Informatikprofessor Norbert Pohlmann für hochproblematisch.
Korbinian Frenzel: "Abhören unter Freunden, das geht gar nicht!" – die Kanzlerin hat's gesagt, und wunderbar: Man könnte denken, wir sind uns da mal alle einig in der Frage hierzulande. Ausspähen, Daten absaugen – all diese Eingriffe in die Privatsphäre sollen und dürfen nicht sein.
Es gibt aber auch eine andere Lesart, und die findet zumindest die Duldung der Kanzlerin – wir haben den Regierungssprecher gehört – die Lesart des Bundesnachrichtendienstes. Der möchte gern Geld in die Hand nehmen, um Sicherheitslücken im Internet zu knacken, zum Beispiel Software, wie sie Banken verwenden fürs Onlinebanking. Wie sicher ist das Internet, wenn seine Sicherheit ganz offiziell ausgehöhlt werden soll?
Norbert Pohlmann ist am guten alten analogen Telefon. Er leitet das Institut für Internetsicherheit an der Westfälischen Hochschule in Gelsenkirchen. Einen schönen guten Morgen!
Norbert Pohlmann: Schönen guten Morgen!
Frenzel: Was erleben wir da gerade? Wird der Staat zum Hacker?
Pohlmann: Es scheint so. Wenn wir erst mal sehen, was ist denn das Bedürfnis, das wir haben, dann müssen wir sagen, okay, das Angriffspotenzial, das wir haben, ist sehr unterschiedlich, wir müssen uns vor kriminellen Organisationen schützen, die halt versuchen, an unsere Bankdaten zu kommen, um uns dann zu schädigen. Aber wir müssen uns auch vor Wirtschaftsspionage schützen oder halt vor Cyberwar, dass also andere Gesellschaften auf uns zugreifen. Und ein legitimes Mittel ist halt die Verschlüsselung, und das ist das, was wir tun.
Wir nutzen eine Verschlüsselung zum Beispiel zwischen unserem Browser und dem Webserver, und genau damit können wir halt alle Daten, die wir eingeben, also PINs, Kreditkarten oder geheime Informationen, die Werte darstellen in Unternehmen, verschlüsseln. Und das ist erst mal eine legitime Möglichkeit für uns, das zu tun.
Frenzel: Und wenn es dann jetzt den Staat gibt, der sagt, diese legitime Verschlüsselung, an die wollen wir ran – ist das ein Sicherheitsbedürfnis, das wir auch haben sollten – der Staat kann sich um so was kümmern –, oder wäre das der Dammbruch?
"Jedes siebte Paket im Internet wird schon verschlüsselt"
Pohlmann: Ich glaube, nicht. Also, was wir sehen – also im Institut für Internetsicherheit messen wir, wie viele Pakete verschlüsselt werden, und jetzt bei der speziellen Art, hier SSL-Verschlüsselung, sehen wir, dass zurzeit jedes siebte Paket im Internet schon verschlüsselt wird. Und wir sehen auch, dass seit Snowden wir eine Steigerungsrate von 90 Prozent haben. Das Bedürfnis der Bevölkerung, der Firmen, ist halt sehr groß, sich zu schützen, und das, was der Staat jetzt tut, ist, er möchte jetzt quasi Schwachstellen, die in allen Softwaresystemen vorhanden sind, dazu quasi Software kaufen, wie man die ausnutzen kann, um die Verschlüsselung auszuhebeln.
Frenzel: Das heißt, wenn ich das gerade mal übersetze, das ist so, als würde die Polizei Verbrecher bitten, ihnen mal zu zeigen, wie man Türen aufbricht?
Pohlmann: Ja, genau, eigentlich sind das Tools, die in Deutschland auch nach Gesetzen verboten sind, also von daher könnte man das vielleicht sogar so formulieren. Aber es ist halt eine Software, mit der man dann in der Lage ist, die Verschlüsselung auszuhebeln. Und das Problem, das ich sehe, ist, dass man mit dem Kauf solcher Software natürlich Personenkreise, Firmen, motiviert, genau solche Schwachstellen zu suchen. Und die verkaufen die ja jetzt nicht nur an Staaten, sondern auch an kriminelle Organisationen, an Wirtschaftsspione. Also wir bezahlen quasi Hacktechnologie, die auch andere nutzen können. Und das macht eigentlich unsere Gesellschaft insgesamt bedeutend angreifbarer. Und das ist, glaube ich, ganz fatal, weil wir wollen ja sicherer sein, und das muss eigentlich verboten werden.
Frenzel: Das heißt also, der BND könnte mit seinem Bedürfnis, Sicherheit herzustellen, um Terror abzuwehren oder andere Dinge, letztendlich eine Technologie verbreiten, auch bei anderen, die das Internet einfach nicht mehr sicher macht, oder es unsicherer macht?
Pohlmann: Genau. Das ist natürlich nicht direkt – die werden die Technologie natürlich nicht weitergeben, aber die Firmen, die das für sie machen, werden die natürlich auch anders verkaufen, und damit machen sie das indirekt. Und das ist ganz fatal, und das kann nicht sein, dass also der BND finanziell eigentlich die Ausnutzung von Schwachstellen finanziell indirekt fördert. Und das ist alles, was wir haben wollen. Das kann gar nicht sein. Das muss wirklich aktiv verboten werden.
Frenzel: Man könnte doch vermuten, dass es da einen ganz einfachen Weg gibt: Wenn die Ermittlungsbehörden vermuten, dann nicht der BND, sondern eben die Polizeibehörden, dass es Straftaten gibt, dann kommt man doch an diese Daten ran über gerichtliche Wege. Oder ist das im Moment nicht möglich, muss es diesen Weg geben für den BND?
"Es kann nicht sein, dass staatliche Organisationen das Internet aushebeln"
Pohlmann: Natürlich haben die kriminellen Organisationen oder die politischen Akteure, was ja der BND ausspionieren möchte, natürlich haben die auch Verschlüsselungstechnologien und wollen sich dagegen schützen. Und sagen wir mal, auch wenn Strafverfolgungsbehörden mit richterlichem Beschluss das machen können, dann kommen die natürlich an die Daten nicht ran, weil die verschlüsselt sind.
Aber ich glaube, in der realen Welt ist das ja auch so, dass Kriminelle sich vor der Strafverfolgung verbergen können. Also ich glaube, da müssen wir mit leben und müssen andere Methoden finden. Es kann auf jeden Fall nicht sein, dass wir hier staatliche Organisationen haben, die das Internet aushebeln und dafür sorgen, dass die Sicherheit, aber auch die Vertrauenswürdigkeit, die wir ja brauchen, um diese zukunftsorientierte Technologie nutzen zu können, dass die geschwächt wird.
Frenzel: Was bedeutet das denn für uns als User, als Computernutzer? Welche Schlüsse sollten wir daraus ziehen, können wir überhaupt ziehen?
Pohlmann: Wir können eigentlich nur politisch dagegen ankämpfen und sagen, das kann nicht sein, dass die Bundesrepublik Geld ausgibt, um das Internet insgesamt zu schwächen. Wir müssen möglicherweise darüber nachdenken, wie man der Strafverfolgung helfen kann, aber es kann nicht sein, dass es über die Ausnutzung von Technologien ist.
Wir als Benutzer sind ja auch angehalten, wenn wir Schwachstellen in Software entdecken, diese den Herstellern zu geben, damit die Hersteller so schnell wie möglich in der Lage sind, diese Schwachstellen zu stopfen. Das ist das normale Verhalten, das man von uns als User verlangt oder von den Firmen verlangt. Und der Staat muss genauso handeln, und der Staat kann das Geld ausgeben, aber diese Informationen müssen dann den Herstellern gegeben werden, damit sie die Schwachstellen stopfen können.
Frenzel: Nun wissen wir ja, dass der BND nicht immer gerade so vorne mit dabei ist bei solchen Entwicklungen. Was bedeutet das denn? Sind die anderen, NSA natürlich allen voran, schon viel weiter? Machen die das schon längst, was der BND jetzt möchte?
Pohlmann: Klar, das machen die schon länger, und die Zahlen kennt man ja auch. Dass der BND jedes Jahr, glaube ich, 22 Millionen ausgibt für den Kauf von Zero-Day-Exploits – genau, das machen die ganz professionell. Und ich kann einfach nur dem BND raten oder der Bundeskanzlerin raten, den Schritt nicht mitzugehen, weil er einfach ein Signal ist, das wir nicht sehen wollen, sondern wir wollen halt sehen, dass die Kanzlerin hilft, das Internet sicherer zu machen, damit wir alle vertrauenswürdig das Internet weiter nutzen können.
Frenzel: Norbert Pohlmann, Leiter des Instituts für Internetsicherheit an der Westfälischen Hochschule Gelsenkirchen. Ich danke Ihnen für das Gespräch!
Pohlmann: Gerne!
Äußerungen unserer Gesprächspartner geben deren eigene Auffassungen wieder. Deutschlandradio Kultur macht sich Äußerungen seiner Gesprächspartner in Interviews und Diskussionen nicht zu eigen.
Mehr zum Thema