Der Bundesnachrichtendienst soll, so Presseberichte, verschlüsselte Daten zukünftig besser knacken können. Der Auslandsgeheimdienst will Software-Fehler einkaufen, um damit seine Zwecke erreichen zu können.
Am Samstag meldete „Der Spiegel“ vorab:
Geheimen Unterlagen zufolge hat der Bundesnachrichtendienst (BND) bis 2020 rund 4,5 Millionen Euro eingeplant, um auf dem grauen Markt Informationen über Software-Schwachstellen einzukaufen
Software-Schwachstellen, das klingt eher harmlos. Gemeint sind aber Fehler in Software, die ausgenutzt werden können, um die Sicherheit eines Systems in Frage zu stellen. Das kann ein Computer-Betriebssystem wie Windows, MacOSX oder Linux-Varianten sein, ein Smartphone- oder Tablet-Betriebssystem wie Android oder iOS, es kann aber auch das Ausnutzen von Sicherheitslücken in Industriesteuerungsanlagen wie im berühmten Fall Stuxnet sein.
Und als wäre das nicht schon genug, können auch Programmierfehler in ganz grundlegender Infrastruktur des Netzes für die Dienste interessant sein, beispielsweise im sogenannten SSL-Protokoll, das jeden Tag milliardenfach für „sichere“ Datenübertragung genutzt wird, zum Beispiel für Onlinebanking, für das Einloggen in Webmail oder in das Intranet einer Firma.
Solche Lücken werden von IT-Sicherheitsexperten entdeckt, manche direkt an Herstellerfirmen gemeldet (viele davon zahlen für solche „Fehlerjagd“ Geld), andere werden von spezialisierten Dienstleistern verkauft – an Strafverfolgungsbehörden, Geheimdienste oder auch an Kriminelle, genaues dazu ist in vielen Fällen unbekannt. Und häufig muss man damit rechnen, dass Sicherheitslücken nicht nur von einem Spezialisten entdeckt werden, sondern von mehreren – zum Beispiel von bezahlten IT-Sicherheitsexperten in Deutschland und von russischen oder chinesischen Geheimdienstlern.
Ab hier beginnt dann die inhaltliche Diskussion. Der BND ist ein Dienst, der Angriff auf bestimmte Ziele durchführen möchte, der Kommunikation entschlüsseln möchte und der in der Lage sein will, dass ihm möglichst wenig von dem durch die Lappen geht, was für seine Arbeit relevant ist. Oder, wie es das BND-Gesetz, §1 beschreibt:
(2) Der Bundesnachrichtendienst sammelt zur Gewinnung von Erkenntnissen über das Ausland, die von außen- und sicherheitspolitischer Bedeutung für die Bundesrepublik Deutschland sind, die erforderlichen Informationen und wertet sie aus.
Die Nutzung von Softwarefehlern ist also für den BND Mittel zum Zweck. Die Kritiker sagen nun: wenn auch große Teile der IT, die in Deutschland verwendet wird, genau die gleiche Software verwendet, dann muss der BND solche Softwarefehler helfen zu stopfen, statt sie für seine Zwecke ausnutzen. Es kollidieren hier also offensichtlich zwei Schutzziele, die gegeneinander abgewogen werden müssen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hatte in den vergangenen Jahren von einem französischen Anbieter Softwarelücken gekauft. Und es hat bestätigt:
Das BSI hat die durch VUPEN erlangten Erkenntnisse nicht an andere Behörden und Einrichtungen weitergegeben.
Also einerseits nicht an den BND, aber auch nicht an die Hersteller. Ob und wie hier eine Abwägung zwischen den Schutzzielen durch dei Bundesregierung vorgenommen wird, wollte ich gestern in der Bundespressekonferenz von Regierungssprecher Steffen Seibert, zuständig für den BND, und vom Sprecher des Innenministeriums Johannes Dimroth, zuständig für das BSI, wissen.
FRAGE STEINER: Die Frage geht an Herrn Seibert und an das BMI. Nachdem der „Spiegel“ zum Thema BND und SSL-Schwachstellen sowie BSI/SSL-Schwachstellen berichtet hat, interessiert mich, ob es in der Bundesregierung eine gemeinsame Auffassung dazu gibt, wie mit solchen Schwachstellen, die am Ende all diejenigen betreffen, die Transportverschlüsselungen im Netz benutzen, umgegangen wird, und wenn solche Schwachstellen eingekauft werden, ob diese Schwachstellen dann auch den Herstellern gemeldet werden, um gegebenenfalls diese Schwachstellen zu schließen. Ich möchte wissen, ob es eine generelle Policy gibt und wie der Umgang mit der Problematik ist.
STS SEIBERT: Haben Sie jetzt nach der „strategischen Initiative Technik“ des BND gefragt, über die berichtet wurde?
ZUSATZFRAGE STEINER: Das ist ein Teil davon, geht aber auch darüber hinaus. Es geht um die Frage der „strategischen Initiative Technik“ des BND und um Sicherheitslücken, um das BSI und die Sicherheitslücken sowie um die Frage des Umgangs damit und ob es Ihrerseits eine generelle Policy gibt.
STS SEIBERT: Danke, Herr Steiner. Ich kann Ihnen dazu Folgendes sagen: Es trifft zu, dass der BND plant, seine vorhandene technische Basis zu stärken. Diese sogenannte „strategische Initiative Technik“ SIT beinhaltet mehrere Maßnahmenpakete. Diese reichen vom Aufbau eines Systems zur Früherkennung von Cyberangriffen bis hin zum besseren Schutz für das eigene im Ausland operativ eingesetzte Personal. Das zentrale Element dieser „strategischen Initiative Technik“ ist der Aufbau eines Frühwarnsystems, das Deutschland zum ersten Mal in die Lage versetzen wird, Angriffe auf die deutsche IT-Infrastruktur zu erkennen, bevor diese Angriffe wirksam werden und bevor diese Angriffe Schaden anrichten können.
Außerdem ist es Absicht, die Abhängigkeit von ausländischen Herstellern und Lieferanten weiter zu vermindern und damit einen aktiven Beitrag zur Förderung der deutschen Spitzenforschung und Hochtechnologie zu leisten. Ich kann Ihnen weitere Details über das Programm, die natürlich der Geheimhaltung unterliegen, hier nicht offen legen. Das ist das, was ich dazu sagen kann.
Die Bundesregierung hält – das kann ich gern hinzufügen – diese mit der „strategischen Initiative Technik“ eingeleitete Modernisierung für notwendig. Nur mit Hilfe dieser genannten technischen Innovationen kann der BND in Zukunft seinen gesetzlichen Auftrag effektiv erfüllen und auch international zur Zusammenarbeit fähig bleiben.
DR. DIMROTH: Ich kann ergänzen, dass sich in Bezug auf die konkret von Ihnen genannte Berichterstattung aus dem Artikel zutreffend ergibt, dass inzwischen die Zusammenarbeit mit diesem französischen Unternehmen auch BSI-seitig nicht mehr stattfindet. Es ist völlig klar geworden, dass das BSI solche Erkenntnisse ausschließlich zur Erfüllung der ihm gesetzlich zugewiesenen Aufgaben genutzt hat, das heißt in dem Fall vor allem zum Schutz der Sicherheit der Regierungsnetze, nicht aber zur Weitergabe an Dritte.
Grundsätzlich lässt sich, wenn Sie nach einer strategischen Ausrichtung fragen, sagen, dass sich diese für das BSI auch aus dem gesetzlichen Rahmen ergibt. Es gibt zwei Aufgaben, die das BSI vor allem wahrnehmen muss: Das eine ist im Kern der Schutz der Sicherheit der Regierungsnetze. Das andere ist, auch insgesamt einen validen Beitrag zur IT-Sicherheit zu leisten. Dafür gibt es Vorschriften im BSI-Gesetz sowohl für das erste wie für das zweite. Im zweiten Bereich geht es beispielsweise auch um die Frage, unter welchen Voraussetzungen bestimmte Erkenntnisse über Schwachstellen zu veröffentlichen sind.
Das bringt mich zum Thema IT-Sicherheitsgesetz. Auch dazu wird es, zumindest dem Entwurfsstand nach, klarstellende Regelungen im Gesetz geben. Es wird noch deutlicher, wann und unter welchen Voraussetzungen das BSI an die Öffentlichkeit gehen kann, um auch selbst generierte Erkenntnisse – das ist in dieser Deutlichkeit in dem Entwurf anders als bisher – an Dritte weitergeben zu können, was Schwachstellen anbetrifft.
Das bedeutet zusammengefasst: Die Bundesregierung hat keine grundsätzlichen solchen Erwägungen und Abwägungen getroffen und erlaubt dem BND wohl zu Offensivzwecken Schwachstellen einzukaufen. Das BSI hat zu Verteidigungszwecken bei VUPEN Schwachstellen eingekauft, um die Regierungsnetze besser abzusichern, eine Information der Hersteller beziehungsweise der Standardisierungsgremien fand nicht statt.
Die Unsicherheit der Terroristen, Spione und Organisierten Kriminalität ist für den BND demnach wichtiger als der Schutz der Kommunikation von Firmen und Bürgern.
Dem BSI wiederum ist der Schutz der Regierungsnetze wichtiger als der Schutz von Firmen und Bürgern. Das kann man gut finden – oder es lassen. Ich tendiere dann doch stark zum zweiten.
