Auch auf EU-Ebene wird derzeit über Angriffe auf verschlüsselte Kommunikationsdienste mit dem Ziel der Telekommunikationsüberwachung diskutiert. Zwar geht es in erster Linie um das Ausnutzen vorhandener Schwachstellen, nicht um den absichtlichen Einbau von Hintertüren. Doch auch dieses Vorgehen, das zwangsläufig im Verzicht auf die Behebung von Software-Schwachstellen resultiert, hat sich in den letzten Jahren als sehr gefährlich erwiesen. Im Sinne der IT-Sicherheit wie der Bürgerrechte sollte die EU von ihrem Vorhaben abrücken.
Suche nach Software-Schwachstellen gefordert
Auch auf EU-Ebene stößt die aktuelle Tendenz, private Kommunikation zunehmend zu verschlüsseln, bei Politik und Ermittlungsbehörden auf wenig Begeisterung. Statt diesen Trend als Schritt hin zu besserem Datenschutz und effektiverem Schutz vor Online-Kriminalität zu sehen, befürchten die EU-Behörden vor allem eine Behinderung der Strafverfolgung. Dementsprechend suchen aktuell sowohl der EU-Rat als auch die EU-Kommission nach Lösungen, wie die Verschlüsselung bei populären Kommunikationsdiensten umgangen werden kann.
Das geht aus einem Dokument, welches das Generalsekretariat des Rates an die Mitgliedstaaten versandt hat, hervor. In diesem wird dazu aufgerufen, „Schwächen bei Algorithmen und Implementierungen“ gängiger Kommunikations-Verschlüsselungslösungen zu suchen, um diese im Bedarfsfall ausnutzen zu können. Zu diesem Zweck steht sowohl die Forschung im Bereich der IT-Sicherheit als auch die Investition in moderne, leistungsstarke Hardware im Mittelpunkt der Pläne.
Beteiligung des deutschen ZITiS?
Die Pläne der EU tragen zweifellos die gleiche Handschrift wie die aktuellen Programme einiger nationaler Behörden, darunter der deutschen „Zentralen Stelle für IT im Sicherheitsbereich“ – kurz ZITiS. Vielfach wird spekuliert, dass diese gestaltend mitgewirkt hat.
Auch ohne Behörden-Backdoors gefährlich
Zwar geht es der EU derzeit „nur“ um das Ausnutzen bereits vorhandener Sicherheitslücken, nicht um den absichtlichen Einbau von Hintertüren für die Ermittlungsbehörden – noch, denn einige EU-Länder, insbesondere Frankreich, Großbritannien, Italien, Ungarn und Polen fordern, die Platzierung solcher „Backdoors“ in den Maßnahmenkatalog mit aufzunehmen. Doch auch diese Vorgehensweise hat sich in den letzten Jahren als äußerst riskant erwiesen. Sicherheitslücken, die die Behörden nutzen wollen, werden von diesen bei der Entdeckung nicht an die zuständigen Entwicklerfirmen gemeldet. Dementsprechend bleiben sie oft jahrelang offen. Werden sie dann kriminellen Dritten bekannt – sei es durch deren eigene Forschung oder den Leak von Behörden-Dokumenten -, können sie beispielsweise zur massenhaften Verbreitung von Schadsoftware genutzt werden. So waren die massenhaften Ransomware-Epidemien des letzten Jahres unter anderem Folge des bedenklichen Umgangs der Ermittlungsbehörden mit Software-Schwachstellen.
Eine Politik für die Wissensgesellschaft fordern
Sicherheitslücken offen zu lassen und mit Staatstrojanern oder ähnlichen Werkzeugen zur Telekommunikationsüberwachung auszunutzen, ist angesichts der Bedeutung von IT für unsere Gesellschaft verantwortungslos und gefährlich. Schon im Sinne der IT-Sicherheit und des angemessenen Schutzes kritischer Infrastrukturen sollte die EU von ihren aktuellen Plänen dringend abrücken, bevor sie ernsthaften Schaden anrichtet. Hinzu kommen die psychologischen und sozialen Folgen einer massiven staatlichen Überwachung und die bekanntermaßen oft intransparente und vorschriftswidrige Arbeit der Nachrichtendienste. All das sind Gründe genug, eine andere Politik zu fordern – eine Politik, die die digitale Wissensgesellschaft fördert und schützt, statt sie in Gefahr zu bringen.
Image (adapted) „Women look at security cameras“ by Matthew Henry (CC0 Public Domain)
Artikel per E-Mail verschicken
Schlagwörter: EU, exploit, IT, IT-Sicherheit, kommunikation, sicherheit, software, Software Exploit, Überwachung, Verschlüsselung, Zitis