Cybersicherheit : Cybersicherheitspolitik: Lauter Zielkonflikte

Die fortschreitende Digitalisierung macht den Cyberraum immer wichtiger – sowohl im beruflichen Alltag als auch privat bewegen wir uns mehr und mehr online. Diese Verschiebung führt unweigerlich dazu, dass auch Cyberkriminalität und Cyberwar zu größeren Problemen werden. Dem großen Nutzen steht somit ein gravierendes Schadenspotenzial entgegen, derzeit über 100 Milliarden Euro jährlich.

Verschlüsselung: Gut für den Einzelnen, problematisch für Sicherheitsbehörden

Um hier Abhilfe zu schaffen, wurde das IT-Sicherheitsgesetz erneuert, unter anderem mit dem Ziel die digitale Zukunft sicherer und vertrauenswürdiger zu gestalten. Einer der – aus Sicht der Cybersicherheit – positiven Aspekte ist, dass zunehmend die privaten und beruflichen Daten von Kommunikationsanwendungen gemäß Stand der Technik verschlüsselt werden.

Für die Strafverfolgungsbehörden und weitere Berechtigte ergibt sich jedoch daraus ein Dilemma. Warum? Zum Beispiel weil bislang bei klassischen Überwachungstechnologien die Kommunikationsdaten direkt aus der Kommunikationsinfrastruktur ausgeleitet und als Kopie an Strafverfolgungsbehörden gesendet werden können, ohne dabei die Integrität und somit die Cybersicherheit aller Endgeräte zu verändern. Wenn die Polizei beispielsweise ein Telefonat über eine herkömmliche Telefonleitung mithören will, ist es technisch gesehen ein vergleichsweise einfacher Vorgang die Daten im Klartext abzufangen. Tauschen sich Kriminelle aber über verschlüsselte Messenger wie WhatsApp oder Telegramm aus, können die Daten überwiegend nur noch in verschlüsselter Form abgegriffen werden können.

Nicht alle digitalen Türen müssen offen sein

Fakt ist, die Überwachung im Cyberraum ist von extrem hoher Relevanz – würde den deutschen Sicherheitsbehörden die Möglichkeit genommen, die verschlüsselte Kommunikation unter bestimmten Voraussetzungen überwachen zu dürfen, wäre digitale Strafverfolgung und Polizeiarbeit erheblich eingeschränkt. Doch dazu bedarf es bestimmter Maßnahmen, die die IT-Sicherheit aller Endgeräte schwächen. Hier ist der Zielkonflikt: Auf der einen Seite gibt es den staatlichen Auftrag zur Gewährleistung einer hohen Cybersicherheit, auf der anderen das staatliche Interesse an dem Zugriff auf potenziell alle IT-Systeme zur Gefahrenabwehr. Letztes kann nicht im Interesse unbescholtener Bürgerinnen und Bürger sein.

Eine gute Analogie aus der Offline-Welt wäre: Es ist allgemein akzeptiert, dass die Polizei unter bestimmten Umständen eine Wohnungstür aufbrechen darf. Weniger akzeptiert wäre es sicher, wenn die Polizei verlangen würde, alle Wohnungstüren offen stehen zu lassen, um einen potenziellen Verbrecher auffinden zu können.

Ein Cybersicherheitsziel: Schwachstellenbeseitigung

Auch Online-Ermittlungsbefugnisse müssen also sorgsam abgewogen werden. Zur Steigerung des Schutzniveaus im Cyberraum ist es wichtig, dass neben dem Einsatz von Cybersicherheitsmechanismen wie Verschlüsselung, Authentifikation oder digitale Signaturen auch sichergestellt wird, dass die genutzte Soft- und Hardware der vielfältigen IT-Systeme robust gegen Angriffe ist. Dazu ist es notwendig, die Anzahl der vorhandenen Schwachstellen zu minimieren. Obwohl sich diese, durch zunehmend verbesserte Entwicklungsprozesse, mittlerweile reduzieren lassen, sind immer noch Angriffspunkte vorhanden, die erst im Betrieb aufgespürt werden. Zum Beispiel durch regelmäßige Penetrationstests seitens der Anwender oder durch, vom Hersteller initiierte, sogenannte „Bug Bounty“-Programme. Das Ziel hierbei ist, Schwachstellen aktiv und kontinuierlich zu identifizieren und den Herstellern zu übermitteln, damit diese so schnell als möglich durch Updates eliminiert – und somit nicht für Angriffe verwendet – werden können.

Überwachung konterkariert Cybersicherheitsziel

Die entstehenden Sicherheitsprobleme bei der Überwachung im Cyberraum sind vielfältig. Das lässt sich unter anderem an der Beschaffung von Klartextdaten aus Kommunikationsanwendungen, die Daten verschlüsseln, dokumentieren. Denn dies ist nur realisierbar, indem eine Abhörsoftware – der Bundestrojaner – unbemerkt auf das Endgerät einer verdächtigen Person implementiert wird. Dafür ist es erforderlich, Schwachstellen in den vorhandenen Softwaresystemen auf dem jeweiligen Endgerät zu nutzen. Hierbei handelt es sich um neu identifizierte Schwachstellen, die dem Hersteller seitens des Staates bewusst verschwiegen werden. Somit ist es nicht möglich, diese zu beheben – was der Hersteller nicht weiß, kann er nicht über ein Update reparieren. Das Zurückhalten von Schwachstellen schwächt also die Cybersicherheit der gesamten IT-Systeme. Dies widerspricht dem staatlichen Auftrag zur Gewährleistung einer hohen Cybersicherheit.

Einfallstore können immer auch von bad actors genutzt werden

Aber auch die – zur Diskussion stehende – Mitwirkungspflicht der Kommunikationsdienstleister im Rahmen staatlicher Überwachung schafft weitere Angriffsflächen. Denn die geforderte Integration von Überwachungstechnologien, mit der aktiv in die Kommunikation eingegriffen werden kann, verändert die Integrität der Kommunikationsinfrastrukturen.

Für die physische Eingriffsmöglichkeit – im Prinzip eine Backdoor – muss den Berechtigten ein Zugriff auf die Kommunikationsinfrastruktur ermöglicht werden. Die somit existierende Option des Zugriffs ist auch von kriminellen Organisationen oder anderen Staaten angreifbar und potenziell nutzbar. Während in Deutschland Gesetzestexte entworfen werden aus Angst davor hat, dass Huawei-Hardware potenzielle Backdoors enthalten könnte, sollen in Deutschland genau die Strukturen eingeführt werden, die wir bei anderen Staaten fürchten. Genau diese Backdoors können von jedem anderen Staat potenziell genutzt werden.

Auf der einen Seite wird durch die systematische Verwendung von Schwachstellen für die Implementierung des Bundestrojaners oder die Integration von Überwachungstechnologien in Kommunikationsinfrastrukturen im Ergebnis die Cybersicherheit aller IT-Systeme und -Infrastruktur reduziert. Auf der anderen Seite stehen intelligente Angreifer, die diese Werkzeuge und Methoden kennen und entsprechend neue Kommunikationsmöglichkeiten finden, um diese effektiv umgehen zu können.

IT-Sicherheit vs. Ermittlungsmöglichkeiten: Ein schwieriger Tausch

Die Lösung dieser politischen Frage kann nicht einseitig sein: Weder kann der Staat darauf verzichten, den Cyberraum zu überwachen, noch ist es angemessen, alle digitalen Türen offen zu lassen. Es muss also zur Diskussion gestellt werden, ob der Bundestrojaner sowie die Mitwirkungspflicht probate Werkzeuge zur Umsetzung einer erforderlichen Überwachung im Cyberraum sind. Die aufgezeigten Problematiken sollen dazu motivieren, Alternativen auf der technischen Ebene zu finden und in den Kontext der Cybersicherheit zu setzen, um deutlich sicherere und vertrauenswürdigere Lösungen für den notwendigen Schutz unserer modernen Gesellschaft nutzen zu können.

Als Cybersicherheitsexperte finde ich es nicht angemessen, dass durch das Abhören die Cybersicherheit der ganzen Gesellschaft– also die aller Bürger, der Wirtschaft sowie auch die der Kritischen Infrastrukturen - geschwächt wird. Daher fordere ich einen gesellschaftlichen Diskurs, mit dem Ziel, Lösungen zu finden, die den Grad an Cybersicherheit nicht reduziert.

Norbert Pohlmann ist Informatikprofessor für Cybersicherheit und Leiter des Instituts für Internet-Sicherheit if(is) an der Westfälischen Hochschule in Gelsenkirchen sowie Vorstandsvorsitzender des Bundesverbands IT-Sicherheit – TeleTrusT und im Vorstand des Internetverbandes eco. Auf seiner Webseite führt Pohlmann ein Glossar mit über 150 Erklärungen zum Thema Cybersicherheit.