[:de]Überwachungspaket: warum der Bundestrojaner eine (sehr) schlechte Idee ist[:]

23rd Feb 2018Blog

[:de]

In der ZIB2 vom 22.2.2018 argumentiert Innenminister Kickl, dass der geplante Bundestrojaner zur Überwachung von Whatsapp und Skye nur gegen Schwerkriminelle eingesetzt werden soll. Da man aber nicht weiß, wer ein Schwerkrimineller ist (oder vielleicht mal werden wird), müssen potentiell die Geräte ALLER Bürger überwachbar sein. Da sich niemand freiwillig eine solche Überwachungssoftware auf sein Gerät installiert, braucht man entweder physischen Zugriff darauf oder man muss eine Sicherheitslücke kennen, mit der man unbemerkt eine derartige Software installieren kann. Hersteller haben logischerweise kein Interesse daran, dass ihre Software Sicherheitslücken hat – im Gegenteil: viele Hersteller betreiben sogenannte Bug Bounty Programme, mit denen Sicherheitsforscher Geld verdienen können, wenn sie Lücken entdecken und diese an den Hersteller melden.

Nun gibt es aber auch einen „grauen“ Markt, wo Sicherheitslücken ohne Wissen der Hersteller gehandelt werden – die zu erzielenden Preise sind in Folge wesentlich höher. Ohne Sicherheitslücken also kein Bundestrojaner. D.h. der Staat muss entweder selbst oder über externe Dritte/ bzw. „Security“-Firmen Sicherheitslücken kaufen/besorgen, die im Idealfall dem Hersteller noch nicht bekannt sind & für die noch kein Fix existiert (= Zero Day Exploits). Dadurch erhöhen die Behörden die Chance, den Bundestrojaner am Gerät der Zielperson überhaupt installieren zu können.

Der Staat fördert also indirekt diesen grauen Markt mit Steuergeld, indem er Drittfirmen beauftragt, Exploits für den Bundestrojaner zu besorgen. Dies hat zur Folge, dass die Attraktivität (für Personen ohne ethische Grundsätze) erhöht wird, Sicherheitslücken nicht an die Hersteller zu melden sondern wesentlich mehr Geld damit am grauen Markt zu verdienen. Die Folge ist natürlich, dass ein Fix für diese Sicherheitslücken erst später (bzw. wenn überhaupt) vom Hersteller entdeckt und gefixed wird & so ALLE Bürger vor den jeweiligen Auswirkungen der Sicherheitslücke geschützt sind.

Die Aufgabe des Staates in Zeiten von Internet of Things und Smart Homes sollte es sein, die (IT-)Sicherheit für alle BürgerInnen zu erhöhen und nicht durch Maßnahmen wie den Bundestrojaner aktiv zu untergraben. Darüber hinaus bin ich der Meinung, dass es ein ordentlichen Begutachtungsverfahren im Parlament braucht – die Logik der Befürworter erschließt sich mir hier nicht: einerseits ist das Überwachungspaket der letztjährigen ersten Version des abgelehnten Überwachungspakets so ähnlich, dass es keine Begutachtung braucht – andererseits ist es so anders als das letztjährige, dass die FPÖ dem Paket jetzt zustimmen kann?[:]