Digitalcourage-Stellungnahme: Offenhalten von Sicherheitslücken erhöht Gefahr für Einzelne und Unternehmen angegriffen zu werden

Digitalcourage verweist auf Zusammenhang zwischen aktuellem Beschluss des Bundesverfassungsgerichts und Pegasus

[datensicherheit.de, 21.07.2021] Die aktuelle Berichterstattung über die „Pegasus“-Staatstrojaner und das Urteil des Bundesverfassungsgerichts vom 21. Juli 2021 (1 BvR 2771/18) hängen nach Ansicht des Digitalcourage e.V. zusammen – sie zeigten, dass dringender Handlungsbedarf bestehe: „Es ist höchste Zeit, dass der Bundestag der Überwachungsindustrie einen Riegel vorschiebt, welche auf Kosten der Grundfreiheiten von Bürgerinnen und Bürgern Profite macht.“ Staatliche Behörden dürften sich nicht länger daran beteiligen, die IT-Sicherheit in Deutschland zu schwächen, indem sie unbekannte Sicherheitslücken („Zero-Days“) für die eigene Nutzung geheimhielten.

Digitalcourage-Kritik: Erwerb kommerzieller Staatstrojaner finanziert Ausspähung

„Das Urteil macht klar, dass ein Zusammenhang besteht zwischen dem Offenhalten von Sicherheitslücken und der Gefahr für Einzelne und Unternehmen, zunehmend Opfer von Angriffen zu werden. Wer jetzt auf der einen Seite die ,Pegasus‘- und ,Candiru‘-Angriffe kritisiert, darf auf der anderen Seite bei den deutschen Sicherheitsbehörden nicht wegschauen. Wer Demokratie und Menschenrechte ernstnimmt, kann sich nicht weiter an der Förderung von Staatstrojanern und den ihnen zugrunde liegenden Sicherheitslücken beteiligen“, kommentiert Konstantin Macher von Digitalcourage.
Wenn eine Behörde einen kommerziellen Staatstrojaner erwerbe, dann finanziere sie damit auch die Entwicklung von Technologien, mit denen z.B. Journalisten ausgespäht würden. „Wenn Schwachstellen zur Entwicklung eigener Staatstrojaner gekauft werden, dann beflügeln deutsche Sicherheitsbehörden diesen Markt und schaffen damit die Anreize, um neue Schwachstellen zu finden und an die höchstbietenden zu verkaufen“, warnt Macher.

Digitalcourage warnt vor Gefahren für Demokratiebewegungen, die Pressefreiheit, öffentliche Infrastruktur wie auch für Unternehmen oder Stalking-Opfer

Solche Sicherheitslücken beträfen nicht nur Macron, Khashoggi oder Journalisten in Ungarn, sondern gefährdeten auch die Sicherheit der breiten Bevölkerung. Macher erinnert: „Im Jahr 2017 wurden weltweit IT-Systeme – auch in Krankenhäusern – durch die ,WannaCry‘-Erpressungssoftware lahmgelegt, weil die NSA Sicherheitslücken lieber selbst nutzte als diese zu melden.“
Jeden Zugang, den sich Behörden für digitale Systeme offenhielten, stehe auch Kriminellen zur Verfügung. „Wenn das BKA also Sicherheitslücken für den eigenen Gebrauch zurückhält, dann trägt es eine Mitverantwortung dafür, wenn diese auch für bösartige Angriffe gegen uns alle eingesetzt werden“, stellt Macher klar. Diese Praxis gefährde gleichermaßen Demokratiebewegungen, Pressefreiheit, öffentliche Infrastruktur wie auch Unternehmen oder Stalking-Opfer.

Urteil des BVerfG macht laut Digitalcourage gesetzliche Regelung zum Schutz der deutschen IT-Landschaft und Bevölkerung notwendig

„Das heutige Urteil des Bundesverfassungsgerichts bekräftigt, dass die Nutzung geheimgehaltener Sicherheitslücken ein Sicherheitsrisiko darstellt und es eine konkrete staatliche Schutzpflicht gibt. Das Gericht hält fest, dass für die Nutzung von ,Zero-Days‘ für Staatstrojaner erhöhte Rechtfertigungsanforderungen gelten, da aus der Offenhaltung von Sicherheitslücken eine erhebliche Gefahr für die Sicherheit informationstechnischer Systeme resultiert“, sagt Macher. Damit erkenne es explizit an, dass diese Praxis im Konflikt mit mehreren Grundrechten stehe, nämlich dem Fernmeldegeheimnis, dem Recht auf Informationelle Selbstbestimmung und dem Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme.
Digitalcourage fordert daher nach eigenen Angaben, dass der Gesetzgeber seinen Gestaltungsspielraum nutzt, um zu Gunsten der Sicherheit von Bürgern und Unternehmen eine behördliche und kommerzielle Nutzung von „Zero-Days“ für den Staatstrojaner zu verbieten und stattdessen eine Meldepflicht für Behörden einführt.

Weitere Informationen zum Thema:

datensicherheit.de, 19.07.2021
Pegasus – Spyware für gezieltes Ausforschen / Seit 2016 hat Avast mehrere Versuche von Pegasus, in Android-Telefone einzudringen, verfolgt und blockiert

datensicherheit.de, 10.06.2021
Staatstrojaner: Einsatz im Bundespolizeigesetz massiv ausgeweitet / Gregor Voht kritisiert unkontrollierte Ausweitung der Befugnisse zum Einsatz des Staatstrojaners als Verstoß gegen Bürgerrechte

datensicherheit.de, 10.06.2021
Staatstrojaner: Reporter ohne Grenzen und Prof. Niko Härting streben Verfassungsbeschwerde an / Reporter ohne Grenzen warnt vor gravierendem Schaden für Pressefreiheit und digitalen Quellenschutz