Posi­ti­on zur Ände­rung des nie­der­säch­si­schen Poli­zei- und Ord­nungs­be­hör­den­ge­set­zes (NPOG)

Online Durch­su­chun­gen sowie Quel­len-Tele­kom­mu­ni­ka­ti­ons­über­wa­chung basie­ren auf einem fun­da­men­ta­len Ein­griff in die tech­ni­schen Gerä­te, denen Bür­ge­rin­nen und Bür­ger im All­tag ver­trau­en. Sie basie­ren tech­nisch auf den­sel­ben Metho­den, eine Ein­gren­zung einer „Durch­su­chungs­soft­ware“ auf die­se oder jene Inhal­te bleibt auf die Art der Daten­aus­lei­tung beschränkt, und eine Unter­schei­dung der Inhal­te ist nicht klar defi­nier­bar.

Die Nut­zung von Tech­no­lo­gie schafft vie­le neue Mög­lich­kei­ten und Chan­cen, ist aber immer auf Ver­trau­en ihrer Nut­ze­rin­nen und Nut­zern ange­wie­sen. Die­ses Ver­trau­en wird durch den mani­pu­la­ti­ven Ein­griff in all­täg­lich genutz­te Gerä­te unter­gra­ben. Die miss­bräuch­li­che Nut­zung von Infor­ma­ti­ons- und Kom­mu­ni­ka­ti­ons­tech­nik hat weit­rei­chen­de Fol­gen für die Kern­be­rei­che der Pri­vat­sphä­re Ein­zel­ner, aber auch für die Funk­ti­ons­fä­hig­keit der Gesell­schaft und der Wirt­schaft ins­ge­samt.

Für die sinn­vol­le und effi­zi­en­te Nut­zung von IKT muss daher Ver­trau­en in die Tech­nik gestärkt wer­den, dies kann nicht auf lee­ren Ver­spre­chen beru­hen, son­dern muss auf nach­voll­zieh­ba­ren Tat­sa­chen grün­den. Die­ses Ver­trau­en durch eine soli­de tech­ni­sche Basis zu stär­ken ist unser täg­li­ches Brot. Die Anwen­dung von Online-Durch­su­chun­gen und Quel­len-TKÜ basiert aber immer auf einer lücken­haf­ten Sicher­heit infor­ma­ti­ons­tech­ni­scher Gerä­te, und unter­wan­dert damit ganz grund­sätz­lich die Infor­ma­ti­ons­si­cher­heit im All­ge­mei­nen. Die dafür benö­tig­te Soft­ware unter­gräbt die Ver­trau­lich­keit und Inte­gri­tät der anvi­sier­ten Sys­te­me und ist somit selbst Schad­soft­ware, deren Scha­den nicht auf die anvi­sier­ten Betrof­fe­nen begrenzt bleibt.

Sicher­heits­lü­cken scha­den allen

Für einen Fern­zu­griff auf infor­ma­ti­ons­tech­ni­sche Gerä­te ist ent­we­der die Instal­la­ti­on von Hard­ware oder von Soft­ware erfor­der­lich. Eine ver­deck­te Instal­la­ti­on wird übli­cher­wei­se soft­ware­sei­tig durch­ge­führt, und erfor­dert eine lis­ti­ge Täu­schung der Betrof­fe­nen, die Mani­pu­la­ti­on der Netz­werk­in­fra­struk­tur, die Zusam­men­ar­beit mit Soft­ware­her­stel­lern oder, und vor allem, die Aus­nut­zung von Sicher­heits­lü­cken.[1]

Sicher­heits­lü­cken in Soft­ware ent­ste­hen auf­grund der prak­ti­schen Unver­meid­bar­keit von Feh­lern und machen die stän­di­ge Über­prü­fung und Wei­ter­ent­wick­lung von Soft­ware not­wen­dig. Ver­ant­wor­tung­vol­le Ent­wick­ler und Ent­wick­le­rin­nen infor­mie­ren die Her­stel­ler über ent­deck­te Sicher­heits­lü­cken, damit die­se sie behe­ben kön­nen. Bedau­er­li­cher­wei­se hat sich aber ein Schwarz­markt ent­wi­ckelt, auf dem ent­deck­te Sicher­heits­lü­cken zur miss­bräuch­li­chen Nut­zung ver­kauft wer­den. Wenn staat­li­che Akteu­re Sicher­heits­lü­cken für eige­ne Schad­soft­ware benö­ti­gen, müs­sen sie ent­we­der selbst neue Sicher­heits­lü­cken fin­den, also eige­ne Res­sour­cen auf­wen­den, oder aber die­se von ande­ren kau­fen. Der Han­del mit Sicher­heits­lü­cken gefähr­det die all­ge­mei­ne Sicher­heit, da dadurch ein Inter­es­se ent­steht die­ses mög­lichst lan­ge offen zu hal­ten, anstatt sie schnellst­mög­lich zu schlie­ßen. Je län­ger eine Sicher­heits­lü­cke besteht, des­to mehr Akteu­re kön­nen Schad­soft­ware ent­wi­ckeln, die die­se Lücken aus­nutzt. Im Fal­le des Ein­sat­zes von staat­li­cher Schad­soft­ware wird damit aktiv gegen die all­ge­mei­ne IT-Sicher­heit gear­bei­tet. Die Fol­gen sol­chen Han­delns wur­den im Zuge des Wan­naCry-Vor­falls deut­lich wo unzäh­li­ge Orga­ni­sa­tio­nen, dar­un­ter auch Kli­ni­ken und die Deut­sche Bahn,[2] lahm­ge­legt wur­den, durch eine Sicher­heits­lü­cke die der NSA lan­ge bekannt war. Eine früh­zei­ti­ge Mel­dung der Schwach­stel­le an den Her­stel­ler hät­te erheb­li­chen öko­no­mi­schen Scha­den abwen­den kön­nen.

Durch die eige­ne Ent­wick­lung von Schad­soft­ware zum Zwe­cke der Online­durch­su­chung und Quel­len-TKÜ unter­stützt der Staat somit struk­tu­rell die Unsi­cher­heit der infor­ma­ti­ons­tech­ni­schen Infra­struk­tur. Durch die struk­tu­rel­le För­de­rung von Schwach­stel­len wer­den nicht zuletzt auch kri­mi­nel­len und ter­ro­ris­ti­schen Akti­vi­tä­ten Mög­lich­kei­ten gege­ben zivi­le Infor­ma­ti­ons­tech­nik anzu­grei­fen und zu miss­brau­chen. Somit wirkt dies dem eigent­li­chen Zweck der Poli­zei, dem Schutz der Bevöl­ke­rung, direkt ent­ge­gen. Vor dem Hin­ter­grund der wach­sen­den Bedeu­tung von IKT in allen gesell­schaft­li­chen Berei­chen ist dies ein Risi­ko, das nicht hin­ge­nom­men wer­den darf.

Späh­soft­ware ent­hält Lücken und kann ver­brei­tet wer­den

Unge­ach­tet der Sicher­heits­lü­cken, an denen Schad­soft­ware ansetzt, kann die­se selbst Schwach­stel­len ent­hal­ten und wei­te­ren Miss­brauch ermög­li­chen.[3] Soft­ware zur Online-Durch­su­chung von Com­pu­tern erfor­dern weit­rei­chen­de Rech­te auf den betrof­fe­nen Gerä­ten, und sind daher im Fal­le eines Miss­brauchs durch drit­te beson­ders pro­ble­ma­tisch, und ber­gen somit zusätz­li­che Sicher­heits­ri­si­ken. Auf­grund der im Vor­feld unbe­kann­ten, unter­schied­li­chen Kon­fi­gu­ra­tio­nen von per­sön­li­chen Gerä­ten, und der feh­len­den Mög­lich­kei­ten die Soft­ware im Vor­feld aus­gie­big zu tes­ten, sind Feh­ler hier sehr wahr­schein­lich.

Wird die Soft­ware über einen Web­link oder einen Email Anhang ver­brei­tet besteht außer­dem die Gefahr der Ver­brei­tung auf Unbe­tei­lig­te, durch Wei­ter­lei­tung durch den Betrof­fe­nen. Dar­über hin­aus kön­nen die Sicher­heits­lü­cken auf denen die Schad­soft­ware auf­setzt, sowie die Schwach­stel­len der Soft­ware selbst ande­ren bekannt wer­den, und somit wei­te­ren Miss­brauch ermög­li­chen.[4]

Schad­soft­ware schä­digt Wirt­schaft und Gesell­schaft

Die staat­li­che Ent­wick­lung von Schad­soft­ware für die Zwe­cke der Online-Durch­su­chung und der Quel­len-TKÜ wirkt also fun­da­men­tal den Zwe­cken der Bekämp­fung von Kri­mi­na­li­tät und Ter­ro­ris­mus ent­ge­gen. Die Not­wen­dig­keit von Sicher­heits­lü­cken, an denen sie Schad­soft­ware ansetzt, sowie not­wen­di­ger Wei­se ent­ste­hen­de Schwach­stel­len der eige­nen Schad­soft­ware füh­ren zu einem ver­grö­ßer­ten Poten­ti­al von Kri­mi­na­li­tät und Ter­ro­ris­mus.

Über den kon­kre­ten Scha­den, der bei ein­zel­nen Bür­ge­rin­nen und Bür­gern, durch vor­ge­hal­te­ne Sicher­heits­lü­cken zu erwar­ten ist, ergibt sich ein gesamt­ge­sell­schaft­li­ches Gefah­ren­po­ten­ti­al, da zen­tra­le Orga­ni­sa­tio­nen und Infra­struk­tu­ren heu­te auf IKT basie­ren.

Dar­über hin­aus wird das Ver­trau­en der Bür­ge­rin­nen und Bür­ger in Infor­ma­ti­ons­tech­nik gefähr­det, und damit das wirt­schaft­li­che und gesell­schaft­li­che Poten­ti­al der Wei­ter­ent­wick­lung digi­ta­ler Infra­struk­tu­ren ver­min­dert.

Nicht ohne Grund hat das Bun­des­ver­fas­sungs­ge­richt die Ver­trau­lich­keit und Inte­gri­tät infor­ma­ti­ons­tech­ni­scher Sys­te­me als Grund­recht bestä­tigt.[5] Daher appel­lie­ren wir an den Gesetz­ge­ber, die struk­tu­rel­le Ver­brei­tung von Schad­soft­ware durch staat­li­che Behör­den unbe­dingt zu unter­las­sen. Viel­mehr soll­ten Res­sour­cen zur Ver­bre­chens­be­kämp­fung defen­siv ein­ge­setzt wer­den, bei­spiels­wei­se durch das pro­ak­ti­ve Fin­den und Behe­ben von Sicher­heits­lü­cken oder durch die Eta­blie­rung einer Kul­tur der IT-Sicher­heit und eine akti­ve Bekämp­fung des Han­dels mit Sicher­heits­lü­cken.

[1]Vgl. Rehak, Rai­ner. 2014. “Ange­zapft – Tech­ni­sche Mög­lich­kei­ten einer heim­li­chen Online-Durch­su­chung und der Ver­such ihrer recht­li­chen Bän­di­gung”, S. 18ff. https://doi.org/10.18452/19264

[2]https://www.tagesspiegel.de/weltspiegel/ransomware-wanna-cry-wie-hacker-mit-cyber-attacken-millionen-erpressen/19797626.html

[3]Vgl. dazu die Ana­ly­se des Bun­destro­ja­ners 2011 durch den CCC: https://www.ccc.de/de/updates/2011/staatstrojaner

[4]Vgl. Rehak, Rai­ner. 2014. “Ange­zapft“, S. 18.

[5]BVerfG-Urteil vom 27. Febru­ar 2008, 1 BvR 370/07, 1 BvR 595/07.
Vgl. https://www.telemedicus.info/article/677-Das-IT-Grundrecht-im-Detail.html

X