Zum Hauptinhalt springen
21.10.2021

IT-Sicherheit und das Offenhalten von Sicherheitslücken

Anlass

Über das Offenhalten und Nutzen von Software-Sicherheitslücken durch Behörden und Nachrichtendienste wird schon lange eine Grundsatzdebatte geführt. Die Abwägung ist bekannt: Auf der einen Seite möchten Nachrichtendienste und Behörden einige Sicherheitslücken nicht melden, sondern selbst nutzen, um ihre Kapazitäten und ihre Handlungsfähigkeit in der digitalen Welt zu stärken. Auf der anderen Seite kann jede offene Lücke auch von Nachrichtendiensten anderer Länder oder von Kriminellen genutzt werden. Dadurch, dass die Sicherheitslücken nicht gemeldet und somit auch nicht geschlossen werden, wird also die allgemeine IT-Sicherheit gefährdet.

Auch in dem aktuellen Bericht des Bundesamtes für Sicherheit in der Informationstechnik (BSI) zur Lage der IT-Sicherheit in Deutschland 2021 [I] wird die Gefahr durch Sicherheitslücken mehrmals betont, das Offenhalten durch Behörden und Nachrichtendienste aber offenbar nicht thematisiert.

Eines der bekanntesten Beispiele für Probleme, die aus dem Offenhalten von Sicherheitslücken entstehen können, ist der Fall um „EternalBlue“. EternalBlue ist ein Exploit – Code, mit dem Sicherheitslücken in Software ausgenutzt werden können – im Betriebssystem Windows, der jahrelang vom US-amerikanischen Auslandsgeheimdienst, der NSA, verwendet wurde [II]. Im April 2017 veröffentlichte die Hackergruppe „Shadow Brokers“, die seit 2016 Exploits und Hacking-Werkzeuge von einer wahrscheinlich der NSA unterstellten Gruppe veröffentlicht hatte, unter anderem Details zu EternalBlue. Die Sicherheitslücke wurde in den folgenden Monaten von der Ransomware WannaCry und der Malware NotPetya ausgenutzt [III]. Der Schaden, den die beiden Programme anrichteten, war groß. Die NSA hatte die betroffene Schwachstelle zwar vor der Veröffentlichung durch die Shadow Broker an Microsoft gemeldet – und Microsoft hatte sie auch behoben. Zum Zeitpunkt der Angriffe waren viele Systeme aber noch nicht aktualisiert und daher angreifbar.

Trotzdem ist unbestritten, dass Strafverfolgungsbehörden Möglichkeiten brauchen, auch digital effektiv zu ermitteln. Wie das gewährleistet werden kann, ist aber umstritten. Welchen Nutzen hat die zunehmende Ausweitung digitaler Kompetenzen von Polizei und Geheimdiensten, wie in den letzten Jahren beispielsweise durch das IT-Sicherheitsgesetz 2.0 (IT-SiG 2.0) [IV] oder den Entwurf zur Änderung des BND-Gesetzes [V] geschehen? Das ist unklar, auch aufgrund der fehlenden – obwohl eigentlich beschlossenen – Evaluierung des ersten IT-Sicherheitsgesetzes. Oder reichen die gesetzlichen Kompetenzen bereits aus und das Augenmerk sollte viel mehr auf eine korrekte und kompetente Nutzung dieser Möglichkeiten liegen – gegebenenfalls durch mehr und besser geschultes Personal?

Umstritten ist auch, welche Kompetenzen verschiedene Behörden haben sollten. Sollte jede Behörde intern über die Verwendung von Sicherheitslücken entscheiden dürfen? Sollte es eine zentrale Behörde mit dieser Kompetenz geben – gegebenenfalls eine unabhängige Instanz, die über diese Fälle entscheidet? Und welche Rolle sollte das BSI bei alledem spielen?

Die Redaktion des SMC hat den Experten folgende Fragen gestellt:

1. Inwiefern können durch das Offenhalten von Sicherheitslücken Gefahren entstehen? Gibt es Beispiele dafür?

2. Wie beurteilen Sie die Abwägung zwischen Interessen der Behörden und Nachrichtendienste (Offenhalten und Nutzen von Sicherheitslücken) auf der einen Seite und das Interesse an verbesserter IT-Sicherheit (Melden und Schließen eben dieser Sicherheitslücken) auf der anderen Seite?

3. Wie kann eine sinnvolle Regelung zum Umgang von Behörden und Nachrichtendiensten mit Sicherheitslücken aussehen?

4. Wie beurteilen Sie die Rolle des Bundesamts für Sicherheit in der Informationstechnik (BSI)? Ist das BSI ein „zahnloser Tiger“? Inwiefern ist es problematisch, dass das BSI nicht unabhängig ist, sondern eine Behörde des Innenministeriums? Wie kann das BSI am besten eine sinnvolle Rolle einnehmen, sollte es zum Beispiel weisungsunabhängig werden?

5. Wie ist das Offenhalten und Nutzen von Sicherheitslücken durch Behörden und Nachrichtendienste momentan gesetzlich geregelt?

Übersicht

     

  • Prof. Dr. Dennis-Kenji Kipker, Professor für IT-Sicherheitsrecht, Hochschule Bremen

  •  

  • Martin Schallbruch, Direktor des Digital Society Institute, ESMT European School of Management and Technology; bis 2016 Leiter der Abteilung Informationstechnik, Digitale Gesellschaft und Cybersicherheit beim BMI, sowie 14 Jahre lang BSI-Fachaufsicht

  •  

  • Jun.-Prof. Dr. Sebastian Golla, Juniorprofessor für Kriminologie, Strafrecht und Sicherheitsforschung im digitalen Zeitalter, Ruhr-Universität Bochum

  •  

  • Prof. Dr. Tibor Jager, Professor für IT-Sicherheit und Kryptographie, Bergische Universität Wuppertal

  •  

Statements der Experten zu den Fragen

1. Inwiefern können durch das Offenhalten von Sicherheitslücken Gefahren entstehen? Gibt es Beispiele dafür?


Martin Schallbruch

„Sicherheitslücken in Software sind die Grundlage für Cyberangriffe. Werden gravierende Lücken nicht geschlossen, können die jeweiligen Systeme erfolgreich angegriffen werden – mit potenziell schweren Schäden, vom Diebstahl vertraulicher Daten über das Lahmlegen von Produktionsanlagen bis zur Störung kritischer Infrastrukturen wie der Wasser- und Stromversorgung.“

„Ein Beispiel für einen Angriff, der auf einer offen gehaltenen Sicherheitslücke beruhte, ist der Verschlüsselungstrojaner ‚WannaCry‘. Damit wurden 2017 weltweit mehr als 100.000 Computer erfolgreich angegriffen. Auf den betroffenen Systemen wurden wichtige Dateien verschlüsselt, sodass die weitere Arbeit der Systeme häufig nicht mehr möglich war. Die Angreifer verlangten ein Lösegeld, um die Dateien wieder zu entschlüsseln. Betroffen waren unter anderem Automobilhersteller, Ölkonzerne und staatliche Einrichtungen in vielen verschiedenen Ländern. In Deutschland war beispielsweise die Deutsche Bahn betroffen.“

„Für WannaCry wurde eine Sicherheitslücke im Windows-Betriebssystem von Microsoft genutzt. Diese Lücke war dem US-amerikanischen Nachrichtendienst NSA seit fünf Jahren bekannt gewesen. Erst nachdem die NSA erfuhr, dass ihr auf der Lücke basierende Hacker-Werkzeuge gestohlen wurden, informierte sie Microsoft über die Sicherheitslücke. Microsoft entwickelte einen Patch, um die Lücke zu schließen. Zum Zeitpunkt des WannaCry-Angriffes lag der Patch erst acht Wochen vor und war von den betroffenen Unternehmen noch nicht eingespielt worden.“

Prof. Dr. Tibor Jager

„Wenn Sicherheitslücken bewusst offen gelassen werden, dann ist es nur eine Frage der Zeit, bis diese böswillig ausgenutzt werden. Darauf zu hoffen, dass nur die ‚Guten‘ eine Lücke finden, die ‚Bösen‘ diese jedoch übersehen, erscheint mir völlig naiv und realitätsfern. Natürlich gibt es bestimmte Lücken, die schwieriger zu finden sind als andere, aber auch dann ist es nur eine Frage der Zeit. Insofern ist jede offen gelassene Lücke eine tickende Zeitbombe.“

„Ein Beispiel, das mir dazu spontan einfällt, ist die Geschichte um den Zufallszahlengenerator ‚Dual-EC-DRGB‘. Zufallszahlen sind in der Kryptographie oft essenziell, um Sicherheit zu garantieren. Wenn jemand eine Schwachstelle in einem solchen Zufallszahlengenerator kennt, dann kann er möglicherweise die Sicherheit aushebeln. Dual-EC-DRGB wurde in zahlreichen Standards und Produkten verwendet, obwohl Kryptographieexperten bereits 2007 davor warnten.“

„Und tatsächlich ist es dann dramatisch schief gegangen, besonders populär geworden ist der Juniper-Vorfall aus 2015. Juniper ist der zweitgrößte Netzwerkausrüster weltweit, vermutlich hat fast jede Organisation, die größere Netzwerke betreibt, irgendwo auch wenigstens ein Juniper Gerät stehen.“

„Laut Medienberichten (zum Beispiel [1] [2]) wissen wir heute, dass Juniper den schwachen Zufallszahlengenerator auf Drängen der NSA in seinen Produkten einsetzte. Juniper behauptete zwar zunächst, dass der Zufallszahlengenerator auf eine Weise genutzt würde, dass die bekannten Angriffe aus 2007 nicht anwendbar seien, aber genau das Gegenteil war der Fall: Andere Systemkomponenten wurden sogar so angepasst, dass der Angriff besonders gut funktioniert. Der Effekt davon war, dass die NSA zahlreiche Juniper-Geräte angreifen konnte.“

„So weit so gut, zumindest aus Sicht der NSA. Aber das fundamentale Problem von Sicherheitslücken ist, dass sie im Prinzip jeder ausnutzen kann. Und genau das ist dann bei Dual-EC-DRBG auch geschehen. Ein anderer Geheimdienst, laut Medienberichten wohl chinesische Hacker [1] [2], haben die Backdoor unbemerkt ‚übernommen‘, und zwar gleich für über drei Jahre. Aufgefallen ist dies erst einem Team aus unabhängigen Security-Forschern, zur Weihnachtszeit 2015.“

„Das zeigt eindrücklich, dass offensichtlich noch nicht einmal die NSA in der Lage ist, solche Backdoors ‚exklusiv‘ für sich zu behalten. Wie groß der Schaden, der dadurch entstanden ist, konkret gewesen ist, lässt sich schwer beziffern. Geheimdienste verraten ja nicht, was sie mit den Sicherheitslücken machen.“

„Vielleicht ist nicht jede Organisation das Ziel eines Geheimdienstes – auch wenn eine der Aufgaben der NSA ja auch Industriespionage ist. Trotzdem sollte man in der Diskussion um Backdoors nicht vergessen: Bei der nächsten Sicherheitslücke, die ein Geheimdienst bewusst offen lässt, könnten es keine chinesischen Hacker sein, sondern zum Beispiel Ransomware-Erpresser, wie damals bei dem Verschlüsselungstrojaner WannaCry. Diese würden dann nicht im Verborgenen agieren, wie ein Geheimdienst, sondern eher versuchen, Firmen lahmzulegen und um Millionenbeträge zu erpressen oder kritische Infrastrukturen wie Krankenhäuser oder die Energieversorgung angreifen, um Schutzgeld zu erhalten. Die dadurch entstehenden Schäden könnten immens sein und wären dann eine direkte Folge von Sicherheitslücken, die bewusst nicht geschlossen wurden.“

2. Wie beurteilen Sie die Abwägung zwischen Interessen der Behörden und Nachrichtendienste (Offenhalten und Nutzen von Sicherheitslücken) auf der einen Seite und das Interesse an verbesserter IT-Sicherheit (Melden und Schließen eben dieser Sicherheitslücken) auf der anderen Seite?


Prof. Dr. Dennis-Kenji Kipker

„Zu oft wird rechtspolitisch vertreten, dass die Sicherheitsinteressen den Vorrang vor IT-Sicherheit genießen, und es werden mit dieser Begründung schleichend immer weitergehende Eingriffsbefugnisse geschaffen. Dabei sollte eigentlich schon seit Langem bekannt sein, dass insbesondere Online-Zugriffe auf IT-Systeme den höchsten verfassungsrechtlichen Anforderungen genügen müssen und daher legitimerweise nur in absoluten Ausnahmefällen in Betracht zu ziehen sind. Dem wird die gegenwärtige Interessenabwägung zwischen öffentlicher Sicherheit und IT-Sicherheit keineswegs gerecht, indem von staatlicher Seite für eine sehr geringe Zahl von potenziellen Eingriffen die Option offengehalten wird, unzählige IT-Systeme durch den inkonsequenten Umgang mit Sicherheitslücken in der Breite zu schwächen. Dies birgt nicht nur erhebliche Risiken für deren Funktionsfähigkeit, sondern auch für die verfassungsrechtlich geschützten Persönlichkeitsrechte aller Bürger. Dass derlei Erwägungen explizit Eingang in die neue Cybersicherheitsstrategie 2021 gefunden haben, zeigt wieder einmal mehr, dass IT-Sicherheit in der Politik noch nicht wirklich verstanden wurde.“

Martin Schallbruch

„Digitale Kommunikation wird zunehmend verschlüsselt, seien es Messenger-Dienste oder Cloud-Zugriffe. Damit werden persönliche Daten der Bürgerinnen und Bürger sowie Geschäftsgeheimnisse von Unternehmen wirksam geschützt. Moderne Verschlüsselungsverfahren sind so mächtig, dass ein Entschlüsseln nahezu unmöglich ist. Diese Tatsache nutzen organisierte Kriminelle und terroristische Gruppierungen aus. Sie verwenden für die Organisation ihrer Taten starke Kryptografie, die Strafverfolgungsbehörden und Nachrichtendienste nicht brechen können.“

„Weil zunehmend die gesamte Vorbereitung solcher schweren Straftaten über verschlüsselte Kommunikation erfolgt, müssen die Sicherheitsbehörden Anstrengungen unternehmen, gleichwohl in diesem Umfeld erfolgreich zu ermitteln und Straftaten zu verhindern. Ein wichtiges Instrument ist das Eindringen in Computersysteme solcher mutmaßlichen Straftäter. Hierzu werden Werkzeuge genutzt, die zwingend auf Sicherheitslücken aufbauen. Insofern gibt es ein legitimes Interesse des Staates an der Nutzung solcher Lücken.“

„Dieses Interesse muss abgewogen werden mit dem wichtigen Interesse der Bürgerinnen, Bürger und Unternehmen vor Cyberangriffen, also dem Schließen von Sicherheitslücken. Werden besonders schwerwiegende Sicherheitslücken dem Staat bekannt, müssen sie durch Unterrichtung des Herstellers schnell geschlossen werden. Dies wird aber nicht auf jede Sicherheitslücke zutreffen, die von Sicherheitsbehörden genutzt wird.“

Jun.-Prof. Dr. Sebastian Golla

„Es ist schwer zu rechtfertigen, eine Sicherheitslücke bewusst offen zu halten und auszunutzen, statt auf ihre Schließung hinzuwirken. Bei einer Abwägung wäre unter anderem mit einzubeziehen, wie viele Menschen und welche Art von Systemen von der Lücke betroffen sind, wie schwer die Lücke zu finden und auszunutzen ist, welchen Schaden ihre Ausnutzung bedeuten könnte, wie sich dieser kompensieren ließe und wie leicht sie zu schließen wäre. All dies ist nicht leicht zu beurteilen. Auf der anderen Seite ist es auch schwer einzuschätzen, welche positiven Effekte für die Sicherheitsgewährleistung und Strafverfolgung vom Offenhalten einer Lücke zu erwarten wären. Diese müssten sich plausibel darlegen lassen, damit eine Rechtfertigung überhaupt in Betracht kommt.“

Prof. Dr. Tibor Jager

„Ich denke, dass das Melden und Schließen von Sicherheitslücken in Zeiten der Digitalisierung und angesichts der immensen potenziellen Schäden für unsere Wirtschaft und Zivilgesellschaft absolut alternativlos ist. Stattdessen erscheint es mir wesentlich weniger riskant, zur Verbrechensbekämpfung auf klassische Ermittlungsmethoden zu setzen.“

„Wenn man IT-Sicherheit schwächt, um ein Verbrechen zu bekämpfen, dadurch aber vielen weiteren Verbrechen Tür und Tor öffnet, dann ist damit am Ende auch niemandem geholfen.“

3. Wie kann eine sinnvolle Regelung zum Umgang von Behörden und Nachrichtendiensten mit Sicherheitslücken aussehen?


Prof. Dr. Dennis-Kenji Kipker

„Überhaupt stellt sich die Frage, ob es hier eine ‚sinnvolle‘ Regelung geben kann. So wie derzeit die Interessenabwägung auch in der Cybersicherheitsstrategie 2021 geführt wird, sollen staatliche Sicherheitsinteressen und die Interessen an der Integrität von IT-Systemen in einen angemessenen Ausgleich gebracht werden. Wenn dabei aber Sicherheitslücken zurückgehalten werden, die sich auch andere Angreifer zunutze machen können, kann dabei keineswegs von einem angemessenen Ausgleich gesprochen werden. So kann es nicht sein, dass Behörden unter der Ägide des Bundesinnenministeriums einerseits die IT-Sicherheit befördern, andererseits aber aktiv unterminieren sollen. Konsequent wäre daher nur, für alle staatlich bekannt gewordenen Sicherheitslücken eine unverzügliche Meldepflicht an Betroffene vorzusehen und sich Sicherheitslücken zur bewussten Kompromittierung von IT-Systemen nicht zunutze zu machen. Auf diese Weise könnte auch verhindert werden, dass sich Behörden auf dem ‚grauen Markt‘ bewusst Zero-Day-Exploits beschaffen. Nicht zuletzt ist es auch so, dass staatliche Einrichtungen von den Schwachstellen, die zurückgehalten werden, ebenfalls betroffen sein können.“

Martin Schallbruch

„Die verschiedenen Interessen an der Nutzung von Sicherheitslücken für Zwecke der Sicherheitsbehörden und an ihrer Schließung zum Schutz der Bürgerinnen, Bürger und Unternehmen müssen in einem rechtsstaatlich organisierten Prozess abgewogen werden. In den Abwägungsprozess sind die verschiedenen staatlichen Einrichtungen einzubeziehen, die die unterschiedlichen Interessen vertreten, also mindestens das Bundesamt für Sicherheit in der Informationstechnik (BSI) als Interessenträger der IT-Sicherheit, das Bundeskriminalamt und Nachrichtendienste des Bundes als Interessenträger der Kriminalitätsbekämpfung. Als Geschäftsstelle für die Durchführung dieses Prozesses ist eine dritte Einrichtung vorzusehen, etwa das Bundeskanzleramt.“

„Jede Sicherheitsbehörde des Bundes sollte verpflichtet werden, diejenigen Sicherheitslücken bei der Geschäftsstelle zu melden, die für eigene Operationen genutzt werden (sollen). Unter Berücksichtigung aller Aspekte, der Schwere der Sicherheitslücke, der von potenziellen Angriffen betroffenen Einrichtungen und der Bedeutung der Sicherheitslücke für konkrete Strafverfolgungsmaßnahmen, sollte dann entschieden werden, ob und für welchen Zeitraum die Lücke genutzt werden darf oder ob die Lücke dem Hersteller gemeldet werden muss. Die Entscheidungen sind regelmäßig zu überprüfen.“

„Ein solcher Abwägungsprozess ist in anderen Ländern bereits etabliert, zum Beispiel in den USA unter der Bezeichnung ‚Vulnerabilities Equities Process‘.“

Jun.-Prof. Dr. Sebastian Golla

„Eine sinnvolle Regelung für diesen Konflikt zu finden, ist eine echte Herausforderung. Stellte man zum Beispiel schlicht darauf ab, dass die Sicherheitsbehörden es nach ihrer Einschätzung für erforderlich halten müssten, eine Lücke offen zu halten, könnte das zu einer kaum überprüfbaren Praxis führen. Interessanter erscheint mir die Option, den Umgang mit Schwachstellen von einer unabhängigen Stelle kontrollieren zu lassen.“

Prof. Dr. Tibor Jager

Es gibt zum Umgang mit IT-Sicherheitslücken eine seit vielen Jahren erprobte und etablierte Methodik, die in der IT-Security-Community heute Standard ist. Dies ist der Responsible Disclosure Ansatz.“

„Erkannte Sicherheitslücken werden zunächst vertraulich den betroffenen Herstellern oder Entwicklern gemeldet. Diesen wird dann angemessen Zeit gegeben, die Lücken zu schließen – ein Embargo von 30 bis 180 Tagen ist hier zum Beispiel nicht unüblich. Ob es länger oder kürzer ist, das hängt davon ab, wie aufwändig es ist, die Lücke zu schließen.“

„Gleichzeitig wird jedoch von Anfang an kommuniziert, dass das Vorhandensein der Sicherheitslücke nach Ende des Embargos transparent und öffentlich kommuniziert wird. Die Erfahrung zeigt, dass sich dann Hersteller wesentlich mehr Mühe geben, die Sicherheitslücke zu schließen. Dass Lücken vom Hersteller geschlossen werden, ist nämlich sonst leider nicht immer der Fall, auch wenn es eigentlich selbstverständlich sein sollte.“

„Das BSI könnte bei einem solchen Verfahren als unabhängige, vertrauenswürdige Partei moderierend mitwirken und zum Beispiel eine angemessene Dauer des Embargos vorschlagen.“

4. Wie beurteilen Sie die Rolle des Bundesamts für Sicherheit in der Informationstechnik (BSI)? Ist das BSI ein „zahnloser Tiger“? Inwiefern ist es problematisch, dass das BSI nicht unabhängig ist, sondern eine Behörde des Innenministeriums? Wie kann das BSI am besten eine sinnvolle Rolle einnehmen, sollte es zum Beispiel weisungsunabhängig werden?


Prof. Dr. Dennis-Kenji Kipker

„Mit den Neuerungen der deutschen und europäischen IT-Sicherheitsgesetzgebung inklusive des jüngst in Kraft getretenen IT-Sicherheitsgesetzes 2.0 (IT-SiG 2.0) ist das BSI kein zahnloser Tiger mehr. Problematisch ist aber nach wie vor die fehlende Unabhängigkeit der Behörde. Obwohl mit dem IT-SiG 2.0 nunmehr gesetzlich das ‚Feigenblatt‘ eingeführt wurde, dass das BSI ‚auf Grundlage wissenschaftlich-technischer Erkenntnisse‘ arbeitet, so kann dies dennoch nicht darüber hinwegtäuschen, dass das Bundesinnenministerium (BMI) durchaus auch andere Ziele verfolgt, wie anhand der neuen Cybersicherheitsstrategie wieder einmal mehr als deutlich wird. Nicht das BSI ist deshalb das Problem, sondern das BMI. Mit diesem Ministerium an der Spitze wird es nie möglich sein, eine lupenreine Strategie für sichere IT-Systeme in Deutschland – auch als wirtschaftlicher Standortfaktor – zu betreiben, da immer sicherheitspolitische Ziele hineinspielen werden. Auch die gegenwärtig geführte Diskussion um die Selbstständigkeit des BSI dürfte da aber noch nicht der Weisheit letzter Schluss sein.“

Martin Schallbruch

„Das BSI hat durch stetige Aufgabenerweiterung mittlerweile eine zentrale Rolle für die IT-Sicherheit. Durch das IT-Sicherheitsgesetz 2.0 hat das Amt weitergehende Befugnisse erhalten, etwa das Erteilen von Weisungen gegenüber Kritischen Infrastrukturen oder Internet-Providern. Das Amt kann sich mit hohen Bußgeldern durchsetzen, ist also keinesfalls ein ‚zahnloser Tiger‘. Schon wegen dieser erheblichen Rechte gegenüber Wirtschaft und Verwaltung wäre eine Unabhängigkeit des BSI von dem Ministerium verfassungsrechtlich höchst problematisch.“

„Die Unterstellung von Behörden unter ein Ministerium dient der Sicherstellung einer demokratisch legitimierten Steuerung der Verwaltung mit Hilfe der politischen Verantwortung der Regierung und der Kontrolle durch das Parlament. Durch die Unterstellung unter das Ministerium wird der gesetzlich festgelegte Auftrag des BSI zur Gewährleistung der IT-Sicherheit nicht beeinträchtigt. So muss das BSI beispielsweise Sicherheitslücken dem Hersteller melden und darf sie nicht zurückhalten.“

„Gleichwohl hat die Öffentlichkeit durchaus ein Interesse an einer von Regierung und Politik unabhängigen Beratung zu IT-Sicherheitsfragen. Wie in anderen Bereichen, etwa der Lebensmittelsicherheit, kann dies ohne weiteres organisiert werden, indem neben dem BSI ein weisungsunabhängiges Bundesinstitut für IT-Sicherheit errichtet wird. Es sollte wissenschaftliche Beratung durchführen, aber keine operativen Befugnisse haben und keine Bußgelder verhängen.“

Jun.-Prof. Dr. Sebastian Golla

„In den nächsten Jahren wird das bestehende konfuse System der staatlichen Institutionen zum Schutz der IT-Sicherheit insgesamt kritisch zu evaluieren sein. Das dem BMI unterstehende und aus einer Dienststelle des Bundesnachrichtendienstes hervorgegangene Bundesamt für Sicherheit in der Informationstechnik kann nicht sämtliche Aufgaben übernehmen, die mit der Gewährung von IT-Sicherheit zusammenhängen. Das Amt hat in den letzten Jahren zahlreiche neue Befugnisse erhalten. Beim Umgang mit Schwachstellen erschiene es mir aber naheliegender, Institutionen zu beauftragen, die grundrechtssensible Bereiche sicherheitsbehördlichen und nachrichtendienstlichen Handelns insgesamt kontrollieren.“

Prof. Dr. Tibor Jager

„Die Bewertung von Sicherheitslücken ist in erster Linie ja keine politische Frage, sondern eine technische. Daher wäre es sinnvoll, solche Lücken unabhängig von politischem Einfluss bewerten zu lassen. Das BSI verfügt über einige hervorragende Experten, die man meiner Meinung nach nicht an eine politische Leine legen sollte, sondern auf deren Fachkompetenz man vertrauen sollte.“

5. Wie ist das Offenhalten und Nutzen von Sicherheitslücken durch Behörden und Nachrichtendienste momentan gesetzlich geregelt?


Jun.-Prof. Dr. Sebastian Golla

„Das Offenhalten und Nutzen von Sicherheitslücken durch Sicherheitsbehörden und Nachrichtendienste ist gesetzlich grundsätzlich nicht geregelt. Mögliche behördeninterne Vorgaben ersetzen gesetzliche Regelungen zu diesem Problem ebenso wenig wie allgemeine Verpflichtungen zur Gewährleistung von IT-Sicherheit. Aus dem ‚IT-Grundrecht‘ lässt sich aber ableiten, dass ein Offenhalten von derartigen Sicherheitslücken nicht ohne weiteres möglich ist.“

Angaben zu möglichen Interessenkonflikten

Prof. Dr. Tibor Jager: „Keine Konflikte.“

Martin Schallbruch: „Ich habe keine Interessenkonflikte.“

Prof. Dr. Dennis-Kenji Kipker: „Interessenkonflikte bestehen nicht.“

Jun.-Prof. Dr. Sebastian Golla: „Ich habe für die Gesellschaft für Freiheitsrechte (GFF) eine Verfassungsbeschwerde gegen Änderungen der Hamburgischen Gesetze zum Verfassungsschutz und zur Datenverarbeitung durch die Polizei erarbeitet, die unter anderem eine Verletzung des IT-Grundrechts durch fehlende Regelungen zum Umgang mit Sicherheitslücken durch den Verfassungsschutz rügt.“

Literaturstellen, die von den Experten zitiert wurden

[1] Robertson J (02.09.2021): Juniper Breach Mystery Starts to Clear With New Details on Hackers and U.S. Role. Bloomberg.

[2] Menn J (28.10.2020): Spy agency ducks questions about 'back doors' in tech products. Reuters.

Literaturstellen, die vom SMC zitiert wurden

[I] Bundesamt für Sicherheit in der Informationstechnik (2021): Die Lage der IT-Sicherheit in Deutschland 2021.

[II] Nakashima E et al. (16.05.2017): NSA officials worried about the day its potent hacking tool would get loose. Then it did. Washington Post.

[III] Hern A (30.12.2017): WannaCry, Petya, NotPetya: how ransomware hit the big time in 2017. The Guardian.

[IV] Bundesgesetzblatt (2021): Zweites Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme.

[V] Bundeskanzleramt (2020): Gesetzentwurf zur Änderung des BND-Gesetzes.