CTO-Kommentar: Handel mit Cyber-Waffen wie Pegasus stellt ernstzunehmende Sicherheitsbedrohung dar
Der mediaTest digital CTO Wulf Bolte liefert einen Kommentar zu den Gefahren vom Handel mit Schwachstellen wie der Pegasus-Sicherheitslücke.
Das Medienecho um Pegasus ist verhallt und die Menschen sind wieder beruhigt. Apple hat vermeintlich die Sicherheitslücke behoben, die es dem Trojaner “Pegasus” ermöglicht hat, auf iOS-Geräte zuzugreifen. Nun gelten Apple–Geräte wieder als Fels in der Brandung der Sicherheitslecks. Aber woher kommt eigentlich diese gefühlte Sicherheit? Und wieso ist das eigentliche Problem noch lange nicht gelöst?
Pegasus nur ein Beispiel von vielen
Bei genauerer Betrachtung ist es äußerst irreführend, dass sich die mediale Pegasus-Berichterstattung insbesondere auf die von Apple geschlossene Pegasus-Sicherheitslücke konzentriert. Im Zuge dessen sollte man jedoch über das grundsätzliche, strukturelle Problem sprechen: “Weaponised Exploits” und ein völlig falscher Umgang der Politik mit diesen Themen. Denn die moralischen Versprechen der Trojaner-Hersteller sind faktisch falsch. Wie zum Beispiel, dass Pegasus „ausschließlich an Strafverfolgungsbehörden und Geheimdienste von geprüften Regierungen verkauft [wird], mit dem alleinigen Ziel, durch Verhinderung von Verbrechen und Terrorakten Menschenleben zu retten“¹. Ein Realitätsabgleich offenbart jedoch, dass das Pegasus-Projekt mehr als 80 Journalist:innen aus 17 Medienorganisationen in zehn Ländern umfasste, darunter auch Die Zeit und Die Süddeutsche Zeitung.² Und das ist keineswegs überraschend: Menschenrechts- und netzpolitische Organisationen warnen regelmäßig vor den verheerenden Folgen einer auf Überwachung ausgerichteten Sicherheitspolitik.³
Staat missachtet seine Pflichten
In einem freiheitlich demokratischen System muss es die Pflicht des Staates sein, seine Bürger:innen vor derartigen Sicherheitslücken zu schützen: “Das Recht auf Leben schützt den Grundrechtsträger gegen Verletzungen seines Lebens durch den Staat sowie durch Dritte und verpflichtet den Staat, Eingriffe nicht nur zu unterlassen, sondern aktiv zum Schutz gegen solche tätig zu werden.”⁴ Allerdings fordert das Innenministerium stets vor dem Hintergrund eines Kontrollbedürfnisses der Sicherheitsbehörden, Hintertüren in Software und Verschlüsselung bereit zu halten. Diese sollen die Behörden im Verdachtsfall verwenden können. Doch es gibt kein Szenario, in dem Staaten Sicherheitslücken nutzen können und Kriminelle nicht. Verschlüsselung und sichere Software werden also strukturell untergraben, indem der Staat Überwachungsmöglichkeiten und Zugriffe auf informationstechnische Systeme (z.B. Telefone) von vermeintlichen Verdächtigen fordert.
Die Macht der Schwachstellen
Um Zugriffsmöglichkeiten auf mobile Geräte und Computer zu erhalten, muss immer eine Sicherheitslücke (Schwachstelle) gefunden werden. Für diese wird dann ein spezifisches Programm geschrieben (“Exploit”). Dieses verwendet die Lücke dazu, eine Überwachungssoftware zu installieren. Derartige Schwachstellen sind schwierig zu finden und werden – solange sie der Allgemeinheit und dem Hersteller unbekannt sind – für viel Geld auf dem Schwarzmarkt gehandelt. Das heißt, dass die Nachfrage von Sicherheitsbehörden nach solchen Schwachstellen zum einen den Schwarzmarkt ankurbelt. Zum anderen verwenden die Behörden Steuergelder und Energie des Staates darauf, Schwachstellen für Überwachungszwecke zu nutzen und diese nicht den Herstellern bekannt zu machen. Dadurch werden die Sicherheitslücken nicht behoben, sondern für die Überwachung der eigentlich zu schützenden Bevölkerung genutzt.
Wenn jedoch Lücken von staatlichen Institutionen bekannt gemacht werden, wie es von anderen Organisationen und Gruppierungen praktiziert wird (Ethical Hacking etc.) und der Hersteller diese behebt, werden Systeme sicherer gegen Angriffe. Der Staat würde seine Ressourcen somit für die Einschränkung der Möglichkeiten für Kriminelle und die Verhinderung von Kriminalität nutzen.
Auch Deutschland setzt Pegasus ein
Das Geheimhalten von Schwachstellen ermöglicht es Kriminellen überhaupt erst, rechtswidrige Aktivitäten durchzuführen. Wenn Software zur Überwachung von Bürger:innen entwickelt wird, dann wird diese auch eingesetzt. Es handelt sich um ein wiederkehrendes Phänomen, dass Staaten Überwachungstechnik zunächst nur unter strengen Vorgaben und gegen schwerste Verbrechen (z.B. Terrorismus) einsetzen. Doch diese Restriktionen werden nach und nach aufgeweicht. Das von Toll Collect betriebene Mautsystem ist eines von vielen Beispielen dafür, dass technische Nachverfolgungsmöglichkeiten regelmäßig Begehrlichkeiten der Sicherheitsbehörden wecken, diese für Überwachungszwecke zu verwenden. Und auch den Bundestrojaner verwenden Sicherheitsbehörden inzwischen gegen Kleinkriminelle wie Drogendealer.⁵ Seit Juni dürfen Trojaner sogar eingesetzt werden bevor eine Straftat begangen wurde.⁹
Der Schutz der Bevölkerung und das Geheimhalten der Lücken stellt also einen Widerspruch dar. Nur dank diverser NGOs wurde die geschlossene Pegasus-Lücke so dokumentiert, dass überhaupt Gegenmaßnahmen eingeleitet werden konnten. Das bedeutet jedoch nicht, dass Überwachungssoftware wie der in Deutschland illegale Pegasus-Trojaner nun nicht mehr funktionieren. Deutsche Behörden beteuern zwar, dass Pegasus zu mächtig sei und viel mehr könne, als es die deutsche Gesetzeslage erlaubt. Umso interessanter ist jedoch, dass das BKA die Software von NSO im Herbst 2020 gekauft hat. Firmen wie NSO verwahren ein ganzes Arsenal von sogenannten “Zero-Days” (= ungepatchte Sicherheitslücken), um dadurch – wie in diesem Fall – auf andere Einfallstore ausweichen zu können.
Cyberwaffen-Handel muss ernst genommen werden
Das Pegasus-Projekt hat verdeutlicht, dass Weaponised Exploits auch gegen Journalist:innen und Oppositionelle eingesetzt werden. Die eigentliche Diskussion sollte deshalb in folgende Richtung gehen: Das Handeln von Sicherheitslücken in Software muss genauso behandelt werden wie der Waffenhandel. Firmen, die Sicherheitslücken identifizieren, müssen dazu verpflichtet sein, diese zu melden. Unsere Politik hat das Thema grundlegend nicht verstanden. Dies wird zum Beispiel am Umgang mit der Sicherheitsforscherin Lilith Wittmann nach ihrer Entdeckung und Meldung von Sicherheitslücken in der CDU-Connect-App deutlich.⁶ Wenn Politiker:innen mit rechtlichen Schritten gegen Personen vorgehen, die Bürger:innen vor Sicherheitslücken schützen wollen, ist etwas grundsätzlich schief gegangen und ein Beleg für fachliche Inkompetenz.
Empfehlung zum Umgang mit Sicherheitslücken
Die Sicherheitsexperten von mediaTest digital fordern daher:
- Verpflichtung zur Offenlegung von Sicherheitslücken (Responsible disclosure)
- Verbot des Handels mit Cyber-Waffen (Sicherheitslücken)
- Verpflichtung von Herstellern, Sicherheitsprobleme in einem definierten Zeitraum zu lösen
- einen Mindestzeitraum zur weiteren Pflege von Soft- und Hardware nach Ende des offenen Handels
- Verpflichtung zum Veröffentlichen von Entwicklungsschnittstellen und Dokumentation, um abgekündigte Produkte von einer Community weiter pflegen und reparieren zu können und damit das Recht auf Reparierbarkeit auf EU-Ebene zu verankern⁷
- Endgültige Streichung der Maßnahmen 8.3.1, 8.3.7, 8.3.8, 8.3.9, 8.3.11, 8.3.12, 8.3.14, 8.4.7. (Hacker-Paragraph)⁸