Die digitale Vernetzung findet ihre Grenzen in der Verlässlichkeit der jeweils eingesetzten Sicherheitstechnologie – das müssen immer mehr Unternehmen in den letzten Monaten schmerzhaft erfahren: Sicherheitslücken gefährden vertrauliche Kommunikation, führen dazu, dass große Datenmengen von Unbefugten einfach ausgelesen werden können. Der wirtschaftliche Schaden beim Betroffenen aber auch der Vertrauensverlust gegenüber einem Diensteanbieter ist enorm. Wenn Geschäftsdaten verloren gehen oder Identitäten gestohlen werden können, wächst das Sicherheitsbedürfnis des Nutzers: Bei der Wahl seines Diensteanbieters spielen Vertraulichkeit und Sicherheit heute eine deutlich wichtigere Rolle als noch vor fünf Jahren, und auch der eigene Computer wird durch immer mehr Sicherheitsprogramme nach außen gegen Angriffe gesichert. Denn inzwischen ist klar: Jedes ungeschützte System kann irgendwo eine Sicherheitslücke enthalten, die von Kriminellen ausgenutzt wird.
Ein nun von Bayerischen Landesbeauftragten für Datenschutz veröffentlichter Prüfbericht zur Quellen-TKÜ, also der Kommunikationsüberwachung von Computern mittels Trojanersoftware, sorgt in diesen Tagen für zusätzliche Anspannung. Denn wenn eine Regierung Trojanersoftware auf ein System einschmuggelt, berührt sie genau dieses Problem: Sie schafft eine neue Sicherheitslücke, die ihren Zugriff auf den Computer ermöglicht. Dass die Zugriffsmöglichkeit der Behörden nicht von Dritten mitgenutzt wird, lässt sich jedoch nie sicher verhindern. Keine Verschlüsselung ist unknackbar, jede Sicherheitssoftware kann selber Sicherheitslücken aufweisen. Anbieter von Überwachungssoftware müssen hier also besondere Sorgfalt walten lassen. Dass dies bislang nicht der Fall war, hat ein Gutachten des Chaos Computer Clubs (CCC) Ende letzten Jahres ergeben. Die in Bayern eingesetzte Trojanersoftware trifft nicht die nach dem Stand der Technik möglichen Vorkehrungen, um Dritte vom überwachten System auszusperren – eine fatale Situation, für jeden Überwachten.
Neben einer Ausspähung durch Dritte ist aber auch die Beweiskraft der Behördenüberwachung zweifelhaft: Denn eine Trojanersoftware kann durchaus in der Lage sein, Veränderungen am Betriebssystem bzw. an der auf dem Computer stattfindenden Kommunikation vorzunehmen. Um einen Zugriff auch bei Veränderungen auf dem befallenen Rechner zu gewährleisten, muss eine Trojanersoftware nämlich in der Lage sein, Updates (also neue Programmteile) nachzuladen um sich an die veränderte Umgebung anzupassen. Was hier von der Sicherheitsbehörde oder einen böswilligen Dritten nachgeladen wird, kann jedoch keiner technischen Kontrolle unterliegen, eine verfassungsmäßig geforderte klare Eingrenzung der Funktionen der Trojanersoftware ist somit unmöglich.
Der nun vorliegende
Bericht des Datenschutzbeauftragten folgt weitestgehend der damaligen Einschätzung des Chaos Computer Clubs, wer die Diskussion Ende letzten Jahres verfolgt hat, wird hier keine Überraschungen erleben. Allerdings wurden die Sorgen der Hacker-Community hiermit von einer neutralen Stelle bestätigt. Ob sich der bayerische Innenminister jetzt den vorgetragenen Warnungen und Ratschlägen öffnet, ist ungewiss. Eine Zusammenarbeit mit den gemeinnützigen IT-Experten lehnte Minister Herrmann damals zunächst ab:
"Der Chaos Computer Club heißt so, weil er genau dieses Selbstverständnis hat. Das kann kein Partner sein für eine Behörde, die für Recht und Sicherheit steht." – wer sich nach eigenem Versagen weiterhin den Ratschlägen von Fachleuten verschließt, ist als Innenminister allerdings untragbar. Es ist daher zu hoffen, dass im Innenministerium ein Neudenken beginnt, denn dieses wichtige Amt darf nicht zur Spielwiese für Dilettantismus werden.