Neue Publikation thematisiert Mindeststandards für staatliches Hacking

TeleTrusT weist auf  „A Framework for Government Hacking in Criminal Investigations“ hin

[datensicherheit.de, 31.10.2018] Der TeleTrusT – Bundesverband IT-Sicherheit e.V. weist in seiner Mitteilung vom 31. Oktober 2018 auf die aktuelle Publikation der „Stiftung Neue Verantwortung“ mit dem Titel „Mindeststandards für staatliches Hacking“ / „A Framework for Government Hacking in Criminal Investigations“ hin.

Weltweite Anwendbarkeit

Diese Publikation ist laut Dr. Holger Mühlbauer, TeleTrusT-Geschäftsführer, im Kontext des Cyber-Sicherheitsexperten-Netzwerks „Transatlantic Cyber Forum“ erschienen.
Die darin enthaltenen Empfehlungen seien allgemeiner Natur und sollten weltweit anwendbar sein. Sie reflektierten daher nicht ausschließlich den Umsetzungsbedarf in Deutschland, sondern beinhalteten auch hierzulande bereits umgesetzte Empfehlungen.

Verschlüsselung stärken und trotzdem Strafverfolgung ermöglichen

Seit 1999 soll demnach die Verschlüsselung in Deutschland nicht geschwächt oder reguliert werden, gleichzeitig müsse den hiesigen Strafverfolgungsbehörden aber ermöglicht werden, ihren Aufgaben in Zeiten omnipräsenter Verschlüsselung weiterhin nachzukommen.
Dieser scheinbare Gegensatz sei 2016 in der Cyber-Sicherheitsstrategie für Deutschland mit den Worten „Sicherheit durch Verschlüsselung“ und „Sicherheit trotz Verschlüsselung“ nochmalig untermauert worden. Bei näherer Betrachtung lasse sich dieser Widerspruch aber auflösen, denn neben anderen Möglichkeiten an digitale Beweismittel zu gelangen, sollten Strafverfolger hacken dürfen – und dazu müsse Verschlüsselung nicht geschwächt oder reguliert werden.

Politischer und rechtlicher Streit in Deutschland

Zur genauen Auslegung der (technischen) Befugnisse gebe es seit über einer Dekade einen politischen und rechtlichen Streit in Deutschland. Dies sei aber nur möglich, weil es hierzulande etwas gebe, was in vielen anderen Ländern – auch den Vereinigten Staaten – fehle: einen dedizierten Rechtsrahmen für staatliches Hacken (Quellen-TKÜ und Online-Durchsuchung auch wahlweise als „Bundestrojaner“ beschrieben).
Die Debatte entwickele sich jedoch weiter und auch in Deutschland müssten bisher nicht berücksichtigte Aspekte wie zum Beispiel die Verpflichtung Dritter (unter anderem Internet- und App-Anbieter) zur Unterstützung beim staatlichem Hacking, der Einsatz besonders gefährlicher unbekannter Schwachstellen („Zero-Days“) oder die Beschaffung von Hacking-Werkzeugen und -Dienstleistungen aus dubiosen Quellen betrachtet und gegebenenfalls reguliert werden. In dem vorliegenden Papier werde zwischen Rahmenbedingungen (strukturelle Anforderungen) und Aspekten bei der Durchführung (operative Anforderungen) von staatlichem Hacken unterschieden.

9 strukturelle Herausforderungen identifiziert

Es wurden in der Schrift laut TeleTrusT neun strukturelle Herausforderungen identifiziert, die wenn umgesetzt, einen sinnvollen Rahmen für den Einsatz von staatlichem Hacken schaffen würden:

1. Schaffen eines verbindlichen Rechtsrahmens für staatliches Hacken
2. Staatliche Unterstützung von Forschung zu Verschlüsselung und alternativen Beschaffungsmethoden digitaler Beweismittel
3. Aufbau eines Fähigkeitenaufbauprogramms (unter anderem für die Judikative)
4. Implementierung von Richtlinien zum Umgang mit digitalen Beweismitteln (dazu gehört die sichere Übermittlung und digitale Signaturen)
5. Aufbau eines behördenübergreifenden Dialogs (in Kooperation mit der Landesebene)
6. Begrenzung vom staatlichem Hacken auf „schwere Straftaten“
7. Veröffentlichung von Transparenzberichten
8. Verabschiedung von klaren Richtlinien für die Anbieter von Hacking-Werkzeugen und -Dienstleistungen
9. Schaffung eines staatlichen Schwachstellenmanagement-Verfahrens

Operative Anforderungen an das Hacking durch Strafverfolger

Ergänzt würden diese strukturellen Komponenten durch die operativen Anforderungen beim Einsatz von Hacking-Werkzeugen und -Dienstleistungen durch Strafverfolger. Hierzu gehörten zum Beispiel der Schutz privilegierter Kommunikation, die Ausgestaltung richterlicher Anordnungen und das Testen sowie der Schutz von Hacking-Werkzeugen.

Diese Aspekte ließen sich in die drei Bereiche

• Anforderungen für einen rechtssicheren Rahmen,
• Anforderungen um ein hohes Maß an Datenschutz und IT-Sicherheit zu gewährleisten und
• Anforderungen an Kontrollmechanismen

gliedern.

Weitere Informationen zum Thema:

Stiftung Neue Verantwortung, Oktober 2018
Dr. Sven Herpig: „A Framework for Government Hacking in Criminal Investigations“

datensicherheit.de, 29.08.2018
Staatlicher Umgang mit Schwachstellen in Software

datensicherheit.de, 29.06.2018
Ausnutzen von Schwachstellen: Cyber-Kriminelle haben durchschnittlich sieben Tage Zeit

datensicherheit.de, 09.03.2017
Internet der Dinge zeigt Schwachstellen in Business-Netzwerken auf