Zero-Day-Exploits und Überwachungssoftware sollen stärker reguliert werden – eine lobenswerte Idee, deren Umsetzung sich aber sehr schwierig gestalten dürfte. Bei einem Fachgespräch einigten sich Experten des deutschen Bundestages darauf, den Handel mit und die Nutzung von Überwachungstechnik und Exploits (also Programm-Lücken, die zum Eindringen in fremde Rechner genutzt werden können) stärker zu regulieren. Das ist eine gute und lobenswerte Idee, die dem destruktiven Potential dieser Technologien in der Informationsgesellschaft Rechnung trägt. Die praktische Umsetzung allerdings dürfte sich herausfordernd gestalten, halten sich doch gerade staatliche Akteure oft nicht an Recht und Gesetz.
Das Problem “menschenrechtsverachtende Technologie”
Die Experten waren sich einig, dass sogenannte “menschenrechtsverachtende Technologie” in die Schranken gewiesen werden muss. Darunter fällt für sie Software, die eine unangemessene Überwachung von Menschen ermöglicht (zu recht, denn Überwachung ist in mehr als einer Hinsicht ein massives Menschenrechtsproblem. Wie genau das allerdings am besten umgesetzt werden kann, waren sich auch die Experten nicht sicher. Die Problematik ist komplex.
Mit sicherer Software gegen Überwachung
Ein zweifellos sinnvoller Vorschlag der IT-Sicherheits-Fachleute ist es, die Cybersicherheit allgemein zu stärken und vor allem beim Entwickeln neuer Software stärker auf Sicherheit zu achten. Diesbezüglich hat sich in den letzten Jahren bereits viel getan, aber noch immer beachten nicht alle Entwickler die Design-Richtlinien für sichere Software im notwendigen Ausmaß. “Je sicherer ein Produkt ist, desto schwerer ist es auch, in dieses einzudringen und Nutzer zu überwachen”, erklärte in diesem Zusammenhang Michael Weidner vom Fraunhofer-Institut für Sichere Informationstechnologie. Schwachstellen sollten daher bestenfalls “von Anfang an vermieden” oder die Forschung befähigt werden, einschlägige Fehler möglichst schnell zu finden: “Die Good Guys müssen schneller sein als die Bad Guys.”
Diese Ansätze können zweifellos die Situation verbessern. Eine sinnvolle Ergänzung wäre eine stärkere Förderung von Verschlüsselung, denn auch diese schützt effektiv vor Überwachung und stärkt zudem die Menschenrechte auf andere Art und Weise.
Handel mit Exploits soll verboten werden
Weidner sprach sich zudem dafür aus, den Handel mit Exploits (also dokumentierten Software-Schwachstellen und dazu passender Angriffs-Software) kategorisch zu verbieten. Das ist grundsätzlich keine schlechte Idee. Allerdings darf dieses Verbot nicht so weit gehen, dass die reine Forschung und Lehre im IT-Sicherheits-Bereich, die notwendig auch die Beschäftigung mit Angriffstechniken umfasst, kriminalisiert wird. Hier käme es auf die genaue Formulierung eines entsprechenden Gesetzes an. Untersagt dieses tatsächlich nur, sich an den gefundenen Exploits zu bereichern (von Bug-Bounty-Programmen einmal abgesehen), ist es eine gute und hilfreiche Maßnahme (wenn auch mit gewissen Schwächen, auf die dieser Artikel noch näher eingehen wird). Behindert es dagegen durch eine unklare Formulierung die Sicherheitsforschung (wie es zeitweise, bis zu einem entsprechenden Urteil der Gerichte, mit dem “Hackertoolparagraphen” §202c StGB) der Fall war, schadet es mehr, als es nutzt.
Exportkontrolle für Überwachungssoftware
Daneben wurde ein Thema angesprochen, das unter Menschenrechts- und IT-Experten seit Jahren diskutiert wird: Die Einführung von Exportkontrollen für Überwachungs-Technologie und andere “Cyberwaffen”, etwa durch eine Erweiterung des Wassenaar-Abkommens. So soll verhindert werden, dass entsprechende Technologie in die Hände autoritärer Regimes fällt.
Schwierigkeiten bei der Umsetzung
Die Umsetzung dieser durchaus begrüßenswerten Ideen allerdings dürfte sich äußerst schwierig gestalten. Das hat mehrere Gründe.
Zunächst einmal ist der Handel mit (oder der Export von) Software weitaus schwieriger zu kontrollieren, als das bei physischen Gütern der Fall wäre. Ein Programm ist kaum physikalisch zu begrenzen – und, einmal verschlüsselt, noch nicht einmal mehr auffindbar. Hier effektive Kontrollmechanismen zu etablieren, die nicht ihrerseits massiv in die Freiheit Unbeteiligter eingreifen, ist schwierig bis unmöglich.
Daneben stellen Überwachungs-Software und andere Cyberwaffen nicht nur in den Händen autoritärer Regimes oder organisierter Krimineller eine Gefahr dar. Wie die letzten Jahre gezeigt haben, überschreiten auch die Behörden demokratischer Staaten (insbesondere die Geheimdienste) in dieser Hinsicht massiv ihre Kompetenzen und verletzen die Rechte von Millionen von Menschen. Kontrollieren lassen sich die Aktivitäten der Dienste kaum: Ein Großteil der Cyber-Aufrüstung findet im Geheimen statt und entzieht sich sogar parlamentarischer Kontrolle.
Werden die Geheimdienste doch einmal erwischt, hat das kaum Konsequenzen. So stellte sich heraus, dass der BND in der NSA-Affäre massiv gegen geltendes Recht sowie gegen seinen verfassungsmäßigen Auftrag verstoßen hat. Die Folgen: Bislang wurden zwei Mitarbeiter des Geheimdienstes in andere Abteilungen, ein dritter zurück zur Bundeswehr versetzt. Wenn das der Preis für massive Menschenrechtsverletzungen und jahrelanges Lügen ist, ist es kein Wunder, dass viele skrupellose Menschen und Behörden dieses Risiko liebend gern eingehen.
Digitale Selbstverteidigung
Angesichts dieser Hürden, die sich den durchaus sinnvollen Plänen Weidners und seiner Kollegen in den Weg stellen, bleibt Internet-Nutzern nach wie vor vor allem eines: Digitale Selbstverteidigung. Sichere Software, datensparsames Verhalten und die Nutzung verschlüsselter Kommunikation schützen zumindest ein Stück weit vor der ausufernden Überwachung. Bis Recht und Gesetz diese Rolle übernehmen können, wird es dagegen noch lange dauern – falls es überhaupt jemals dazu kommt.
Image “Datenschutz Datensicherheit” by HebiFot (CC0 Public Domain).
Artikel per E-Mail verschicken
Schlagwörter: bundestag, Daten, Gesellschaft, hacker, Internet, IT, sicherheit, software, technik, Technologie, Überwachung, Verschlüsselung