Quellen-TKÜ = Staatstrojaner = Sicherheitslücken für alle
Die CDU/CSU hat so was von gar nichts aus dem “demokratiegefährdenden” Hack gelernt, da möchte man fast meinen, die wollen gar nichts lernen: CDU/CSU fordern nach Datenklau mehr Ermittlungsinstrumente im Netz. Schauen wir uns mal an, was sie da fordern (nachdem CSU-Staatssekretär Stephan Mayer sich bei Maybrit Illner als wahlweise Ignorant oder Lügner geoutet hatte):
Der CDU-Politiker nannte zudem die Quellen-TKÜ, bei der die Kommunikation von Sicherheitsbehörden erfasst wird, bevor diese verschlüsselt wird, oder Online-Durchsuchungen.
Quellen-Telekommunikationsüberwachung, was verbirgt sich hinter diesem Wortungetüm? Mit einem Wort: ein Staatstrojaner. Der Netzpolitik-Artikel zu Stephan Mayer bringt es auf den Punkt:
Tatsache ist, dass die staatlich geförderte Offenhaltung von Sicherheitslücken dazu führt, dass die Rechner von Millionen von Menschen unsicher sind – auch der Computer von Herrn Mayer.
Mein alter PC ab 50-Vortrag “Was ist eigentlich eine Sicherheitslücke?” klärt auf, was es mit diesen Sicherheitslücken auf sich hat. Die Innenministerien brauchen für ihre Staatstrojaner zwingend solche Sicherheitslücken, die der Öffentlichkeit noch nicht bekannt sind (sog. Zero-Days), um die Trojaner auf den Geräten der zu Beschnüffelnden unterzubringen.
Über diesen simplen Zusammenhang schweigen sich die Mainstream-Medien kollektiv aus. Ein Schelm, wer Böses dabei denkt.
Nachtrag vom 22.01.: Nicht mal auf die Linke ist in dem Punkt mehr Verlass – Wie die Linkspartei beim Staatstrojaner einknickt. Und im November hat das BKA offiziell bestätigt, dass es Sicherheitslücken für sich behält, anstatt sie den Herstellern zu melden.
Nachtrag vom 08.02.: Japans Regierung hackt eigene Bürger. Weiterer Nachtrag vom 08.02.: Fefes Empfehlung schliesse ich mich vollumfänglich an:
Der Gesetzgeber sollte sofort den Handel mit Sicherheitslücken unter Strafe stellen, und zwar unter empfindliche Strafe, und ebenso das Ausliefern von Produkten mit Sicherheitslücken oder das Einstellen von Support nach dem Verkauf von unsicheren Produkten. Wer unsichere Produkte verkauft, der sollte dafür haften, und zwar lebenslang. Da darf man sich nicht mit “ist end of life” rausmogeln dürfen. Dann hättet ihr es halt nicht verkaufen dürfen, wenn es so Kacke ist, dass es ohne euren Support nicht sicher betrieben werden kann!
Nachtrag vom 05.03.: Es geschehen noch Zeichen und Wunder – Justizministerin Barley setzt auf eine Updateverpflichtung und Haftung für fehlerhafte Software!
Wer Geräte mit fehlerhafter Software herstelle, “muss insgesamt haften”, unterstrich die Ministerin. Dabei müsse mangelnde IT-Sicherheit einen Produktfehler begründen.
Nachtrag vom 21.03.: Die Bundesregierung betreibt seit 2017 eine eigene Behörde für das staatliche Ausnutzen von nicht veröffentlichten Sicherheitslücken, die Zentrale Stelle für Informationstechnik im Sicherheitsbereich, kurz ZITiS.
Nachtrag vom 08.04.: Der Heimat-Horst setzt noch mal einen drauf mit dem Entwurf des IT-Sicherheitsgesetzes 2.0, der das BSI zur Hackerbehörde machen soll.
Nachtrag vom 29.05.: Seit 5:45 wird zurückgecybert – vom Heimat-Horst!
Nachtrag vom 03.09.: Ein Gutachten des Wissenschaftlichen Dienstes des Bundestags kommt zu dem Schluss, dass “aktive Cyberabwehr” abzulehnen ist:
In technischer Hinsicht kann beim Einsatz digitaler Waffen das anvisierte Ziel grundsätzlich nicht so ausgeschaltet werden, das unintendierten Schäden ausgeschlossen werden können, weil angeschlossene Systeme beim Angriff entweder direkt mitbetroffen oder via Kaskadeneffekt in Mitleidenschaft gezogen werden. Die Entwicklung solcher Fähigkeiten birgt nach Meinung von Experten zudem das Risiko eines Rüstungswettlaufes und einer Militarisierung des Internets – was mehr neue Probleme schaffen als bestehende lösen würde. Die Erfahrung bereits einschlägig agierender Staaten wie den USA, Großbritanniens und Frankreichs wird hier als warnendes Beispiel angeführt.
Anstatt in einen solchen Wettlauf einzutreten werden stattdessen Investitionen in die Hochtechnologie empfohlen, die im Ergebnis zu resilienteren Systemen führen, deren defensive Kraft ausreicht, um vor Schäden zu schützen. Bei der Anwendung offensiver Fähigkeiten, vor allem aggressiver Varianten wie „Hackbacks“, sei die Eskalationsgefahr zu groß, zumal der/die Verursacher regelmäßig nicht zweifelsfrei identifiziert werden könnten.