Dass Datenschutz in Zeiten der umfassenden Telekommunikation immer wichtiger wird, zeigt sich an den aktuellen politischen Debatten. Während es anhand von Diskussionen, wie über den erweiterten Einsatz von Staatstrojanern in der Kriminalitätsbekämpfung, so aussieht, als ob der nationale Sicherheitssektor Datenschutzmaßnahmen eher als Hindernis versteht, scheint sich auf europäischer Ebene zumindest in der Privatwirtschaft ein Paradigmenwandel abzuzeichnen.

Die im Mai 2018 offiziell geltende neue EU-Datenschutzgrundverordnung (EU-DSGVO) trägt den Selbstanspruch, die individuelle Privatsphäre vor unternehmerischen Interessen zu stellen. Im Klartext sollen so Verbraucher mehr Informationen über die Nutzung ihrer Daten erhalten. Wie relevant die Frage nach der Datenhoheit ist, geht auch aus einer Eurobarometer-Umfrage hervor, nach der 7 von 10 Europäern gerne wüssten, was die Unternehmen überhaupt mit ihren gesammelten Daten anfangen.

Die Grundsätze der Datenverarbeitung in der neuen EU-DSGVO orientieren sich an der Rechtmäßigkeit und Transparenz, sowie an der Integrität und Vertraulichkeit. Unter anderem wird nun ein „Recht auf Vergessenwerden“ implementiert – Nutzer können also bei Unternehmen die Löschung ihrer Daten erwirken, solange es keine legitimen Gründe für eine fortwährende Speicherung gibt. Produkte sollen zudem fortan unter dem Motto „Privacy by Design“ schon bestmöglich gegen Sicherheitslücken gefeilt sein, bevor sie auf den Markt kommen.

In einer Welt, in der fast wöchentlich über neue Datenschutzverstöße und Schadsoftware berichtet wird, stellt dies sicherlich eine enorme Herausforderung für die Unternehmen dar. Von Experten wird die EU-DSGVO als „Hybrid zwischen Verordnung und Richtlinie“ gesehen, da sich alle Mitgliedsstaaten an die Datenschutzrichtlinien zu halten haben, aber durch bestimmte Öffnungsklauseln auch nationale Souveränität und damit nationale Regelungen ermöglicht werden. Wie zu erwarten gehören dazu auch die gesamte Strafverfolgung und geheimdienstliche Aktivitäten.

Hohes Strafmaß bei Datenschutzvergehen

Um die Verordnung durchzusetzen, können Unternehmen bei einem Verstoß mit drakonischen Strafen belegt werden. Bei Pflichtverletzungen gegenüber den Kontrollinstanzen drohen Geldstrafen von bis zu 10.000.000 € oder 2 Prozent des Jahresumsatzes. Bei gravierenden Verstößen drohen Strafen von bis zu 20.000.000 € oder 4 Prozent des Jahresumsatzes. Unter Letztere fällt auch die Übermittlung von personenbezogenen Daten an Empfänger in einem Drittland. Die EU-DSGVO will hier nicht nur für europäische Unternehmen in Europa oder dem Ausland gelten, sondern auch internationale Firmen mit einbeziehen, die einen Firmensitz in Europa haben. Aber gerade hier wird es interessant: Wie kann ein international agierendes Unternehmen wie Google, Facebook und Co. durch europäisches Recht sanktioniert werden? Datenaustausche über das Internet bevorzugen nicht die Verbindungen mit den geringsten physischen Distanzen, sondern orientieren sich nach der optimalsten und schnellsten Leitung. Und diese kann mitunter auch den Umweg über einen anderen Kontinent nehmen – zumal die sogenannten „backbones“ des Internets immer noch in den USA liegen. Wenn die Verordnung nur für die Datenverarbeitung in den europäischen Niederlassungen gilt, wie kann dann effektiv der Austausch mit anderen Ländern auf die Durchsetzung der Gesetze kontrolliert werden? Kann europäisches Recht auch dann durchgesetzt werden, wenn personenbezogene Daten über Umwege auf ausländischen Servern landen?

Für ein „Recht auf Vergessen werden“ wurde bereits 2014 durch den EUGH der Stein ins Rollen gebracht. Auslöser waren die Klagen von Betroffenen, deren Insolvenzverfahren auch noch nach ihrem Abschluss über Suchmaschinen unter dem Personennamen auffindbar waren. Ein weiterer Meilenstein war die Einstellung von „Safe Harbor“ im Jahr 2015. Das Abkommen zwischen den USA und der EU sah vor, dass der Austausch von personenbezogenen Daten aus Europa nur mit Ländern, die über ein angemessenes Datenschutzniveau verfügen, passiert. Durch den österreichischen Studenten Max Schrems und seinen Mitstreitern wurde im Lichte der Snowden-Enthüllungen Klage gegen Facebook in Irland eingereicht und das „Safe Harbor“ Abkommen letztendlich aufgrund von geringen Schutzmechanismen gegen Datenschutzverstöße eingestellt. Allerdings wird das 2016 eingesetzte „Privacy Shield“ Abkommen, demnach Europäer eigentlich in den USA Klagemöglichkeiten bei Datenmissbrauch hätten, von der Zivilgesellschaft und Teilen des EU-Parlaments ebenfalls als durchsetzungsschwach kritisiert. Unter der Trump-Administration ist es zudem höchst zweifelhaft, ob sich europäische Klagen in Amerika zu bindenden Urteilen übertragen lassen.

Dark Data und Identity Theft

Ein Risiko besteht für Unternehmen auch in den sogenannten „Dark Data“. Dabei handelt es sich um Datensätze, die firmenintern mittels Netzwerkoperationen über Sensoren und Telematik generiert werden, aber unstrukturiert sind. Die Unternehmen wissen meist selbst nicht, was zu welchem Zweck gespeichert wurde. Oder der Zweck hat sich, wie beispielsweise bei der GPS-Lokalisierung eines Kunden, schon längst erfüllt. Im schlimmsten Fall geraten vermeintlich triviale Daten durch Sicherheitslücken in die Hände von Cyber-Kriminellen, die damit Identitätsraub begehen können. Wie damit nach EU-DSGVO umzugehen ist, steht noch in den Sternen, denn der Risikobereich für personenbezogene Daten, der festlegen soll, wann eine Verletzung gemeldet wird, ist Auslegungssache der europäischen Aufsichtsbehörden.

Parallel zur EU-DSGVO setzt auch die neue ePrivacy Verordnung ein, die die alte ePrivacy Richtlinie von 2002 ablöst. Während diese noch Messenger wie WhatsApp nicht berücksichtigte und unter Sanktionsdefiziten litt, schließt die neue Verordnung Messenger, Chats, Internettelefonie und Webmail mit ein. Die Sanktionen für Datenschutzverletzungen orientieren sich dabei ebenfalls an den veranschlagten Bußgeldern der EU-DSGVO. Prinzipiell ist der Wandel von einer Richtlinie zu der erweiterten Verordnung zu begrüßen. Allerdings merkt Ingo Dachwitz von netzpolitik.org kritisch an, dass noch Optimierungsbedarf bei den Fragen nach Tracking in sensiblen Bereichen wie dem Gesundheitswesen oder der Auswertung von Metadaten besteht. Auch die Vorratsdatenspeicherung ist als nationale sicherheitspolitische Maßnahme von den neuen europäischen Verordnungen unberührt.

Hier zeigt sich ab, dass noch viele Fragen zu klären sind. Während die europäischen Unternehmen in der Umsetzung der EU-DSGVO weiter unter Zugzwang stehen, bleibt ungewiss, wie international agierende Firmen sich verhalten werden. Datenminimierung, Zweckbindung und Transparenz sind wichtige Eckpfeiler der neuen Verordnung – stehen aber auch im Widerspruch zu den Geschäftsmodellen der großen Datenverarbeitungsmaschinerie. Auch das Gelegenheitsfenster zur Kontrolle und Eindämmung von ausufernden Überwachungspraktiken der Sicherheitsbehörden bleibt ungenutzt. Eine genaue Beurteilung der EU-Datenschutzgrundverordnung und ePrivacy-Verordnung ist erst nach der europaweiten Durchsetzung möglich. Dennoch lässt sich schon jetzt festhalten, dass beide Verordnungen richtige Tendenzen zu einem konsequenteren Datenschutz sind. Ob ihre Ausgestaltung aber beim Verbraucher für mehr Nachvollziehbarkeit über die Nutzung seiner Daten sorgt, wird sich daran messen, ob die Regelungen auch außerhalb von Europa akzeptiert werden.

Titelbild: Jana Donat/politik-digital, CC-BY-SA 3.0

Nach der weltweiten Ransomwareattacke mit „WannaCry“ werden sicherheitspolitische Forderungen nach häufigen Backups und Updates laut. Dabei wird die Kritik an der eigentlichen Herkunft der Schadsoftware seitens der Politik zumeist ausgeklammert.

Aufgrund der starken Vernetzung kritischer Infrastrukturen, öffentlicher Verwaltung und privater Telekommunikationsunternehmen genießt das Thema Cyber-Sicherheit einen enorm hohen Stellenwert – schließlich geht es nicht nur um den Schutz sensibler Daten, sondern auch um das Funktionieren gesellschaftsrelevanter Bereiche des Zusammenlebens.

Die Cyber-Sicherheitsstrategie der Bundesregierung sieht den Schutz Kritischer Informationsinfrastrukturen, sichere IT-Systeme in Deutschland und die Stärkung der IT-Sicherheit in der öffentlichen Verwaltung als oberste Zielsetzungen. Die zentrale IT-Sicherheitsbehörde des Bundes, das Bundesamt für Sicherheit in der Informationstechnik (BSI) definiert dabei die Gefahrenlage. Als Bedrohungsszenarien werden neben DDOS-Angriffen, die gezielt Systeme überlasten oder einschränken, auch das Aufspielen von Schadsoftware und die Verwendung von Spionagemethoden benannt. Doch wie wahrscheinlich sind diese Szenarien im Rahmen von großangelegten Cyberangriffen?

Ransomware als Gefahr für kritische Infrastrukturen

Seit letztem Freitag gibt es einen neuen Präzedenzfall von internationaler Reichweite, der klar macht, wie fragil die vermeintlichen Sicherheitsstrukturen sein können. Die Ransomware „WannaCry“, ein Kryptotrojaner, der auf betroffenen Computersystemen Daten verschlüsselt, hat sich in Windeseile weltweit in 150 Ländern auf über 220.000 Rechnern ausgebreitet. Opfer werden dazu genötigt, den Erpressern Geldbeträge in Bitcoins zu überweisen – andernfalls werden ihre Daten gelöscht.

Im Gegensatz zu anderer Ransomware wie etwa „Locky“, der letztes Jahr durch das Internet wütete, verbreitet sich „WannaCry“ von einem infizierten Computer auf andere erreichbare Windows-Systeme. Während sich in Deutschland die Schäden bei der Deutschen Bahn und anderen Unternehmen in Grenzen halten, ist der National Health Service in Großbritannien empfindlich getroffen worden. Viele medizinische Daten standen über das Wochenende nicht mehr zur Verfügung und Patienten  mussten verlegt werden oder nach Hause gehen. Auch andere Länder wie die Schweiz, Frankreich, die USA, Schweden und Portugal sind betroffen. Ob es sich bei den Angreifern wirklich um Cyberkriminelle aus Nordkorea handelt, wie die New York Times titelt, ist zurzeit noch völlig unklar.

Allerdings gibt es bereits jetzt Forderungen, für größere Sicherheit und ein besseres Krisenmanagement zu sorgen. Neben den allgemeinen Empfehlungen an Verbraucher, Systeme durch Updates auf den neusten Stand der Technik zu bringen und mittels regelmäßiger Backups abzusichern, kommt auch die Politik zu Wort: Bundesverkehrsminister Alexander Dobrindt fordert Nachbesserungen am IT-Sicherheitsgesetz und die sofortige Meldung von Störungen an das BSI. Innenminister Thomas de Maizière hat bereits letztes Jahr in einem Gastbeitrag auf SPIEGEL Online mehr Koordination, „praktische Hilfe durch mobile Einsatzkräfte“ und eine stärkere Zusammenarbeit zwischen Staat und Wirtschaft gefordert. Entscheidend für de Maiziere ist dabei ein „vernünftiger Austausch von Informationen“.

Sicherheit durch Käufe auf dem Schwarzmarkt?

Doch gerade im Informationsaustausch liegt ein Problem, das momentan kaum thematisiert wird. Grundlage für „WannaCry“ ist eine Sicherheitslücke in der Windows-Dateifreigabe, die aus dem Exploits-Kanon der NSA stammt und von der Hackergruppe „The Shadow Brokers“ veröffentlicht wurde. Exploits bezeichnen Schwachstellen in Programmen, die bei der Entwicklung nicht berücksichtigt wurden. Besonders tückisch sind Zero-Day-Exploits, durch die Angreifer Sicherheitslücken nutzen, bevor überhaupt ein Patch dagegen programmiert wurde. Zero-Day-Exploits von noch unbekannten Schwachstellen in weit verbreiten Programmen können auf dem Schwarzmarkt mehrere tausend US-Dollar kosten. Auch die Geheimdienste kaufen diese Exploits munter auf, ohne die jeweiligen Unternehmen über diese Schwachstellen in ihrer Software zu informieren.

Im Jahr 2014 wurde bekannt, dass der BND unter der „Strategischen Initiative Technik“ für bis zu 4,5 Millionen Euro gezielt Softwareschwachstellen aus dem Dark Web aufkaufen wollte. Schon damals kritisierte der Chaos Computer Club, dass der Schwarzmarkt durch solche, mit Steuergeldern finanzierten dubiosen Geschäfte noch zusätzlich angeheizt werde und dies erhebliche Folgekosten für die deutsche Wirtschaft habe.

Mass Surveillance vs. Strategical Surveillance

Während der BND Exploits aufkauft, kann die NSA ihren Jahresetat von über 10 Milliarden US-Dollar unter anderem dazu nutzen, mit Hilfe von staatlichen Hackern selbst im großen Stil Späh- und Schadsoftware zu programmieren. Der Exploit EternalBlue, welcher der Ransomware „WannaCry“ zugrunde liegt, kommt aus dem Portfolio der NSA-internen Equation Group – eine Gruppe von Elitehackern. Von dieser Gruppe wird auch angenommen, dass sie an dem Stuxnet-Wurm, der gezielt programmiert wurde, um die Leittechnik von Urananreicherungsanlagen im Iran anzugreifen, mitgewirkt habe. In einem Artikel der US-Today von 2013 hat die damalige Senatorin Dianne Feinstein das massenhafte Abgreifen und Speichern von Daten mit der Terrorbekämpfung und der nationalen Sicherheit gerechtfertigt – ein Motiv, das sich als Todschlagargument in allen Debatten um Cyber-Security finden lässt. Schon damals sagte sie, die Mass Surveillance-Methoden der digitalen Überwachung seien legitim, um „die Nadel im Heuhaufen zu finden“.  Die dahinterstehende Logik, dass der Heuhaufen noch um ein Vielfaches vergrößert werden muss, wenn die Nadel nicht gefunden werden kann, erschließt sich allerdings nicht. Hinzu kommt, dass wir an Phänomenen wie „WannaCry“ erkennen können, dass die ungezügelte Datensammelwut der Geheimdienste über zweifelhafte oder gar unrechtliche Methoden nicht zu mehr Sicherheit führt, sondern vielmehr gegenteilig wirkt.

Der Leak durch die Shadow Broker ist dabei kein Einzelfall. Auch die Enthüllungen durch Edward Snowden oder der Diebstahl streng geheimer Dokumente durch den NSA-Kontraktor Harold Thomas Martin III  zeigen, dass sich immer wieder große Sicherheitslücken bei den Geheimdiensten auftun. Selbst wenn ihr Sicherheitsauftrag legitim ist, scheint eine Strategical Surveillance, die bei der Datensammlung auf Indizien statt auf Massenspeicherung setzt, eher dem rechtsstaatlichen Charakter einer modernen Demokratie zu entsprechen. Obendrein hilft sie durch mehr Kontrollen, auch Unsicherheiten, wie sie durch „WannaCry“ verursacht wurden, zu vermeiden. In diese Richtung zielt auch die Kritik von Linus Neumann vom Chaos Computer Club, der die fünfjährige Schweigsamkeit der NSA über die Sicherheitslücke als absolute Verantwortungslosigkeit wertet.  Nicht umsonst hat der US-Senator Frank Church im Jahr 1975 davor gewarnt, dass die Möglichkeiten der Geheimdienste einer Diktatur in die Hände spielen würden, sollte das demokratische System jemals einstürzen. Er folgerte, dass wenn es keine Privatsphäre mehr gebe, jede Form von Widerstand im Keim erstickt werden könne.  Church forderte daher eine stärkere parlamentarische Regulierung der amerikanischen Geheimdienste, die in dem Foreign Intelligence Surveillance Act ihre Umsetzung fand. Ironischerweise bilden eben die Erweiterung dieses Gesetzes die Grundlage für die späteren Ausspähprogramme der NSA.

Titelbild: Encrypted via pixabay, CC0 Public Domain

Mit den Innovationsprozessen der Digitalisierung verbinde ich stets eine seltsame Ambivalenz. Der IT-Begeisterte in mir ist beeindruckt von den technologischen Fortschritten und den kreativen Einsatzmöglichkeiten, die neue IT-Produkte mit sich bringen. Der Skeptiker in mir hinterfragt allerdings, ob diese schnellen und dynamischen Entwicklungen am Ende nicht unsere langsamere und komplexe Gesellschaft überfordern. Auch mein Besuch auf der diesjährigen CeBIT ist von dieser Ambivalenz geprägt.

Als weltweit größte Messe für Informationstechnik steht die CeBIT 2017 unter dem Motto „d!conomy – no limits“. Ursprünglich als Messe für Büro- und Informationstechnik gedacht, hat sich das Ausstellungsspektrum der CeBit seit den 2000er Jahren stark erweitert, sodass sämtliche Aspekte der Digitalisierung bedient werden. Neben E-Commerce, Gaming, VR-Technologien, Big Data und Entwicklungen des Internet of Things haben zwischen bekannten Branchenriesen auch kleine Unternehmen und deutsche Start-Ups Raum, ihre Ideen und Produkte vorzustellen. Interessante Ansätze lassen sich vor allem bei Verschlüsselungsmethoden vorfinden. Das Start-Up Cryptomator hat ein gleichnamiges Open Source-Programm geschrieben, welches erlaubt, Daten zu verschlüsseln, bevor sie auf Clouddiensten wie Google Drive, Dropbox oder OneDrive zwischengespeichert werden. Andere Sicherheitsfirmen nutzen bekannte kryptografische Methoden wie Block Chain. Dabei werden Daten durch eine eindeutig identifizierbare Prüfsumme (Hashwert) innerhalb eines Parameterblocks verschlüsselt und als solche auch in folgenden Datensätzen gespeichert. Eine Manipulation der Daten ist ohne eine Änderung der Prüfsumme also nicht mehr möglich, eine Änderung des Hashwerts wiederum würde sofort auffallen.

Virtual Reality: Anwendungen noch begrenzt

Interessante Entwicklungen gibt es auch auf dem Gebiet der Virtual Reality Technologien. Neben Gaming werden Anwendungen wie das geplante Google Earth 3D vorgestellt, welches zu einem virtuellen Rundflug über bekannte Weltmetropolen einlädt. Trotzdem entsteht bei mir der Eindruck, dass sich die Möglichkeiten bisher vor allem auf Entertainment konzentrieren. Medizinische Anwendungsmöglichkeiten für VR sind eher die Ausnahme. Wettrennen zwischen Drohnen, welche über VR-Brillen gesteuert werden und sich über den Livestream direkt mit verfolgen lassen, wirken zwar beeindruckend, veranschaulichen aber auch Manövrier- und Überwachungsfähigkeiten. Dabei wird deutlich, wie notwendig Reglements zum Einsatz von Drohnen über Privatgrundstücken sind.

In den Kinderschuhen stecken auch noch die Anwendungsmöglichkeiten für RFID-Implantate, was einige technikbegeisterte Messebesucher aber nicht davon abschreckt, sich vor Ort einen Chip implantieren zu lassen – und mir gleichzeitig kalte Schauer über den Rücken jagt. Interessanter sind da schon industrielle Drohnen, die systematisch nach Schäden unter Brücken oder an Häuserfassaden suchen oder autonom Bergungsmissionen in Katastrophengebieten fliegen. Nicht nur hier finden sich die Schlagworte artificial intelligence und deep learning wieder. Es entsteht der Eindruck, dass jeder zweite Stand auf der CeBIT sich darauf konzentriert.

Viel Show, wenig Finesse

Da das Partnerland der diesjährigen Messe das technikverliebte Japan ist, liegt zudem ein besonderer Fokus auf der Robotik. Gerade die Präsentation Letzterer ist aber enttäuschend. Auch weil es abseits von dystopischen Phantasien à la „Terminator“ oder „I, Robot“ sinnig ist, Robotik und künstliche Intelligenz zusammen zu denken, ist es schade wenn sich die Präsentationen auf der CeBIT zum Großteil auf Showeinlagen reduzieren. Tanzende Roboterarme und humanoide Roboter, die sich zu Musik von Michael Jackson bewegen, sind zwar Publikumsmagneten, lassen aber die technische Finesse vermissen, die die verheißungsvolle Suche nach einer künstlichen Intelligenz verspricht.

Der amerikanische Schriftsteller und Futurist Ray Kurzweil beschreibt in seiner These der „künstlichen Singularität“ einen Zeitpunkt, an dem die Computer anfangen, sich rasant selbst zu verbessern und dann letztendlich sogar ihren menschlichen Schöpfern überlegen sind. Von dieser Form der künstlichen Intelligenz ist auf der CeBIT allerdings noch nicht viel zu erahnen. Stattdessen versagt das Vorführmodell einer autonomen Produktionskette beim Zusammenbasteln von Spielzeugautos. Dann braucht es doch den Menschen, der unter Schweißperlen vor amüsiertem Publikum dem Programm wieder auf die Beine hilft. Die Werbebanner und Hochglanzbroschüren der IT-Unternehmen erwecken zudem den Eindruck, dass artificial intelligence“ und „best solution practise“ nun beinah jedem Produkt innewohnen, ohne jemals zu definieren, was Intelligenz nun eigentlich ist und ob die Probleme eine Lösung durch sie überhaupt rechtfertigen.

Ray Kurzweil, Futurist und Chef-Entwickler bei Google, war ebenfalls zur diesjährigen CeBIT geladen und versprühte Optimismus aufgrund der fortschreitenden Automatisierung der Arbeitswelt. Zwar würden dadurch Jobs wegfallen aber eben auch neue Arbeitsfelder entstehen. Wer allerdings auf der Messe vor einem autonomen Bagger steht, der Gestein weitaus effizienter abtragen kann als jeder menschliche Maschinenführer, fragt sich zwangsläufig, was mit all den Arbeitsplätzen passieren soll, die nicht den hochspezialisierten Profilen der IT-Branche entsprechen. Letztendlich müssen die Begleiterscheinungen einer „Industrie 4.0“ immer noch durch Menschen getragen werden. Nur durch clevere Reformen und eine faire Arbeitsmarktpolitik lässt sich vermeiden, dass künstliche Intelligenz, wie auch immer sie zukünftig aussehen mag, den Menschen und nicht kurzfristigen ökonomischen Interessen dient.

Titelbild:artificial-intelligence von geralt via pixabay, CC0 public domain

Als Antwort auf die steigende Bedrohung durch Cyberkriminalität und Terrorismus hat die Bundesregierung reagiert. Um auch in Zukunft gegen Cyber-Angriffe gewappnet zu sein, setzt das Bundesinnenministerium von Thomas de Maiziére (CDU) auf Entwicklungen der deutschen IT-Sicherheitsforschung. Dazu soll die Zentrale Stelle für Informationstechnik im Sicherheitsbereich (ZITiS) mit dem Standortsitz in München noch in diesem Jahr ihre Arbeit aufnehmen. ZITiS soll nach Angaben der Cyber-Sicherheitsstrategie in enger Zusammenarbeit mit den Sicherheits- und Fachbehörden des Bundes stehen. Gemeinsam mit den Nachrichtendiensten sollen „bedarfsbezogen und zukunftsorientiert Methoden, Produkte und übergreifende Strategien zur operativen Umsetzung in den Sicherheitsbehörden“ entwickelt werden. Die Behörde selbst soll allerdings nicht operativ tätig werden. Die Befugnisse der ZITiS sind laut Innenministerium auf die Forschung und Entwicklung von Methoden limitiert. Dazu gehören neben der digitalen Forensik, wo Minister de Maiziére vor allem Nachholbedarf bei der biometriegestützten Gesichtserkennung sieht , auch Telekommunikationsüberwachung, Big-Data Auswertungen und Kryptoanalysen.

Ein zahnloser Papierkrieg im Crypto-War?

Eine Rechtfertigung für die Gründung einer solchen „Hacker-Behörde“ sind jüngste Terroranschläge und Bedrohungspotenziale durch Cyber-Kriminalität. Welche bürgerrechtliche Relevanz dahinter steckt, lässt sich in derzeit in den USA verfolgen. Unter dem Schlagwort „Crypo-Wars“ versteht man dort den Konflikt zwischen Geheimdiensten und Unternehmen bezüglich der Offenlegung von Daten. Deutlich wurde diese Auseinandersetzung während des San Bernardino Attentats im vergangenen Frühjahr. Damals wollte das FBI den Technik-Riesen Apple dazu zwingen, die Verschlüsselung des iPhones des Täters Syed Rizwan Farook offenzulegen. Das Unternehmen weigerte sich mit der Begründung, dass eine Dekryptierung auch den Zugriff auf iPhones anderer Kunden ermöglichen würde.

Dass Telekommunikationsanbieter wie Skype nicht abgehört werden können, bedauert auch Verfassungsschutzpräsident Hans-Georg Maaßen. Das zeigt, dass die Crypto-Wars nun auch in Deutschland angekommen sind.

In Besitz der Verschlüsselungsstrategie eines Soft- oder Hardwaretypens wäre ein Geheimdienst jedoch in der Lage, alle Benutzer auszuspionieren, nicht nur die eigentliche Zielperson. Das Knacken einer Verschlüsselung ist somit ein Eingriff in die Privatsphäre mit Streuwirkung. Da es keinen „digitalen Durchsuchungsbefehl“ gibt, ist der Rechtfindungsprozess eine Gradwanderung zwischen legitimer Polizeiarbeit und der potenziellen Gefahr eines flächendeckenden Missbrauchs von Daten.

Herausforderungen und Probleme

In einer globalisierten Welt stellt sich nun auch die Frage nach Zusammenarbeit auf internationaler Ebene. Die Antwort darauf wird mit einem Verweis auf die nationale Sicherheit und die Geheimhaltungsinteressen des Bundesnachrichtendienstes verwehrt.

Die Relevanz einer solchen Kooperation ist unbestritten. Die größten Anbieter von digitalen Kommunikationstechnologien und Social Media-Plattformen sitzen im Ausland. Da es einen hohen Aufwand bedeutet, sichere Verschlüsselungssysteme zu dekryptieren, wäre auch für ZITiS ein internationaler Ressourcenaustausch sinnvoll. Die Bundesregierung reagiert – eine der Leitlinien der Cyber-Sicherheitsstrategie 2016 empfiehlt die aktive Beteiligung Deutschlands an der europäischen und internationalen Cyber-Sicherheitspolitik.

Dass ein ungezügelter „Crypto-War“ nicht nur ein datenschutzrechtlicher Albtraum ist, sondern auch für die Sicherheitsbehörden selbst verhängnisvoll sein kann, lässt sich an dem Beispiel der „Shadow Brokers“ erkennen. Diese Hackergruppe hatte im August 2016 auf der Softwaretauschplattform GitHub einige der Programme angeboten, mit denen sich die Hackergruppe Tailored Access Operations der National Security Agency (NSA) Zugang zu Computernetzwerken verschafften. Davon waren unter anderem auch in deutschen Unternehmen weitverbreitete Router der Firma CISCO betroffen. Geht es nach der Bundesregierung, soll ZITiS dabei helfen, solche Sicherheitslücken ausfindig zu machen.

Ob diese dann auch zeitnah an die jeweiligen Unternehmen gemeldet und nicht etwa zu einem späteren Zeitpunkt von deutschen Sicherheitsbehörden ausgenutzt werden, bleibt abzuwarten. Da die operativen Befugnisse ausschließlich bei den jeweiligen Sicherheitsbehörden liegen, muss ZITiS theoretisch gesetzlich nicht geregelt werden. Dass die Behörde ohne Errichtungsgesetz zustande kam, verstärkt jedoch die Bedenken über ihre Rechtsmäßigkeit.

Neben der ungeklärten juristischen Lage hat die neue Behörde vor allem mit der Personalbesetzung zu kämpfen. Für qualifiziertes IT-Personal ist ein Jahresgehalt von rund 50.000€ brutto und die Aussicht auf eine Verbeamtung wenig verlockend. In der freien Wirtschaft locken deutlich bessere Verdienstmöglichkeiten. Zudem bleibt offen, wie sich die Zusammenarbeit mit der Polizei und den Sicherheitsbehörden gestalten wird und mit welchem Know-How bei ZITiS zu rechnen ist. Scheitert ZITiS an diesen Problemen, bleibt nur ein zahnloser Papiertiger.

Titelbild: Überwachungskamera by politik-digital