Die Experten der finnischen IT-Sicherheitsfirma F-Secure kritisieren die öffentliche Diskussion um den sogenannten "Staatstrojaner" scharf und nennen Presseberichte sowie Politikeraussagen "schlicht lächerlich". Das mangelnde technische Wissen führe bei der Diskussion zu völlig falschen Annahmen.
- Wirtschaft: GESAMT- Weltweite Cyber-Attacke trifft Zehntausende Computer
- Kampf gegen Hacker: 13.500 Soldaten im Cyberkrieg
- Erpresser-Software: Schlüssel für "'Petya"-Software veröffentlicht
- Spionageverdacht: US-Regierung: Kaspersky kein sicherer Anbieter
- 1,25 Mio. "Speedport"-Router lahmgelegt: "Telekom-Hacker" steht vor Gericht
Vor knapp einem Monat hatte nach dem Bundestag auch der Bundesrat dem Gesetzentwurf zum Einsatz des Staatstrojaners zugestimmt. Im Fachjargon spricht man von Quellen-Telekommunikationsüberwachung, kurz TKÜ. Ziel ist es, der Polizei die Befugnis zur Überwachung von Verdächtigen bei "besonders schweren Straftaten" zu geben, indem diese die Computer oder Smartphones mit eigens dafür entwickelten Trojaner-Programmen infiziert.
"Lächerliche" Aussagen von Politikern und Presse
Darüber, ob und inwiefern durch dieses Gesetz auch normale Bürger in ihren Persönlichkeitsrechten oder ihrer IT-Sicherheit betroffen sind, wurde in der Öffentlichkeit viel gestritten. Laut Expertenmeinung nicht immer kompetent: "Leider führt das limitierte technische Wissen einiger Gesetzgeber und Politiker zu Pressemeldungen und Statements, die schlicht lächerlich sind", sagt Tom Van de Wiele, Security-Consultant bei der Firma F-Secure. "Die Aussagen führen dazu, dass die Öffentlichkeit davon ausgeht, dass nur Kriminelle Verschlüsselung nutzen. Dabei wird gerne übersehen, dass Verschlüsselung auch für Banken, das Militär oder zur Sicherung unserer Kommunikation essenziell ist."
Die Verschlüsselung eines Messengers, wie WhatsApp zu knacken und die Informationen mitzulesen, ist nach Meinung der Sicherheitsexperten keinesfalls einfach und würde enorme technische und finanzielle Ressourcen erfordern. Stattdessen wird man versuchen, einen oder mehrere Trojaner in Umlauf zu bringen und Geräte unter Kontrolle zu bringen, noch bevor die Verschlüsselung zum Zuge kommt.
Bürger schützen oder Kriminelle ausspähen? Beides geht nicht
Hierbei stehen die Verfolgungsbehörden vor einem grundlegendem Problem: Um die Geräte wie gewollt anzapfen zu können, benötigen sie Sicherheitslücken, die noch nicht bekannt und behoben sind. Diese Schwachstellen der digitalen Systeme stellen für alle Nutzer in der Bevölkerung eine Gefahr dar und können auch jederzeit von Cyberkriminellen ausgenutzt werden. Die Behörde kann den Fehler also entweder weiter geheim halten und für eigene Zwecke "missbrauchen", oder den jeweiligen Hersteller einen Hinweis geben und zum Wohl der Allgemeinheit auf eine Nachbesserung drängen.
Ein Zwiespalt, der sich nicht auflösen lässt. In diesem Jahr sorgten mit WannaCry und NotPetya schon zwei große Hackerattacken für Aufsehen. Beide hätten verhindert werden können, wenn der amerikanische Geheimdienst NSA die Sicherheitslücken nicht für sich geheim gehalten hätte, um sie für eigene Zwecke zu nutzen. Der weltweit angerichtete Schaden war enorm.
Die Bürger sind die Leidtragenden
Vertreter mehrerer Anbieter für IT-Sicherheitssoftware haben bereits angekündigt, auf staatliche Trojaner und andere Schadprogramme genauso Jagd zu machen, wie auf die Entwicklungen von Kriminellen. Da Programme in der Hackerszene auch gekauft, getauscht oder kopiert werden, steht die Gefahr im Raum, dass höher entwickelte staatliche Versionen als Vorlage für andere Hacker dienen, die dann immer mächtigere Schädlinge für kriminelle Zwecke produzieren. Normale Bürger und Unternehmen, die Computer und Smartphone verwenden, wären die Leidtragenden.
Nutzungsbasierte Online Werbung