Mit der Massenüberwachung durch Geheimdienste und das Bekanntwerden immer neuer, schwerwiegender IT-Sicherheitslücken, steigt der Druck auf die Bundesregierung wirksame Schutzmaßnahmen für sichere Kommunikation und Nutzung von Computern von Bürger/innen und Wirtschaft zu ergreifen.
Dazu ist nötig zu verstehen, wie Sicherheitslücken zustande kommen und wie sie verhindert werden können. Aus diesem Verständnis heraus können die notwendigen politischen Weichenstellungen folgen, die weiter unten vorgestellt werden.
Wie entstehen Sicherheitslücken und welche Typen gibt es?
Der einfache Bug
Die große Mehrheit von Sicherheitslücken in heutigen Software- und Kommunikationssystemen entsteht durch simple Programmierfehler (Bugs). Die komplexe Logik der Programme bildet sich in Millionen von Zeilen Programmcode ab, die von großen Teams geschrieben werden. Sie alle zu lesen und ihre gegenseitigen Abhängigkeiten und Referenzierungen vollständig zu durchdringen, ist Einzelpersonen kaum möglich. Einzelne Programmteile (Routinen) der Software verlassen sich auf das korrekte Funktionieren anderer, bestimmte Vorbedingungen werden angenommen, aber an anderer Stelle nicht sichergestellt. So entstehen Bedingungen, die ein Angreifer durch vom Programm unerwartetes Verhalten auslösen, und so seine Integrität unterwandern kann. Häufig ist der notwendige "Fix", also die Reparatur des Programms, nur das Löschen oder Hinzufügen einer einzelnen Zeile, wie der inzwischen berühmt gewordenen Zeile "goto fail;" in Apples Implementierung der SSL-Verschlüsselung, die das gesamte Sicherheitsmodell in sich zusammenbrechen ließ.
Backdoors und "Bugdoors"
Oft werden in Programme, Anwendungen und Apps auch absichtliche Hintertüren eingebaut, die den Entwicklern oder staatlichen Stellen eine Möglichkeit des Fernzugriffs (also die Umgehung aller Sicherheitsmaßnahmen) bieten sollen. Da immer auch mit dem Entdecken solcher Backdoors gerechnet werden muss, werden diese oft so gestaltet, dass ihre absichtliche Platzierung glaubhaft abzustreiten ist. Äußerlich ähneln sie daher nicht selten versehentlichen Bugs (Programmierfehlern), was den schönen Begriff der "Bugdoor" geprägt hat.
Absichtliche Design-Schwächen
Insbesondere in Kommunikationssystemen werden Angriffsflächen jedoch häufig schon spezifiziert (geplant), bevor überhaupt eine Zeile Programmcode geschrieben ist: Selbstverständlich ist jeder Telefonanbieter in der Lage, alle Telefonate aller Kunden abzuhören und selbstverständlich sind alle E-Mail-Anbieter in der Lage, alle E-Mails aller Kunden zu lesen. Das gilt natürlich ebenso für die Sicherheitsbehörden, mit denen der Anbieter kooperiert, wie für staatliche Stellen oder kriminelle Angreifer, die den Anbieter unterwandern. Da die Massenüberwachung möglich ist, findet sie auch statt.
Doch das muss nicht so sein: Kommunikationssysteme, die ihre Nutzer auch vor dem Zugriff durch den Mail- oder Telekommunikationsanbieter schützen, sind zwar möglich, aber ihre Verbreitung von keiner Regierung dieser Welt wirklich gewünscht. Zu groß ist die Sorge, allen Menschen ein nicht überwachbares Kommunikationsmittel zur Verfügung zu stellen und die eigenen und freundschaftlich verbundenen Geheimdienste in ihrer Überwachung zu beschränken.
Das System De-Mail, als "sichere Alternative zur E-Mail" beworben, ist hierfür das beste Bespiel: Nicht nur bietet es keine sichere Verschlüsselung, es wurde zudem unter Beteiligung der gleichen US-amerikanischen Firma entwickelt , die auch an der Entwicklung des Staatstrojaners beteiligt ist, und in den USA einer der größten Zulieferer der NSA ist: Der Computer Sciences Corporation, kurz CSC.
Sichere Kommunikation braucht politische Lösungen
Um eine verlässliche und sichere Kommunikation zu ermöglichen, müssen alle drei Arten von Sicherheitslücken eingedämmt werden: Unabsichtliche Bugs, absichtliche Backdoors und schon im Design eingeplante Schwächen.
Hierzu gibt es mehrere Ansätze, die eine Politik, die IT-Sicherheit und sichere Kommunikation fördern will, umsetzen sollte:
1) Open Source Software fördern
Das Finden von Bugs und Backdoors ist eine sehr mühselige Arbeit, die enorm erleichtert wird, wenn nicht erst das fertige Programm geprüft, sondern sein zugrundeliegender Programm-Quelltext gelesen werden kann. Nur bei einer Software, deren vollständiger Quelltext offen liegt, besteht überhaupt die Basis für ein Vertrauen in deren Integrität. Denn wie wir alle wissen ist Vertrauen gut, aber Kontrolle besser. Genau diese öffentliche Kontrolle verweigern jedoch die meisten kommerziellen Anbieter, da sie das Abfließen ihrer Entwicklungen an die Konkurrenz fürchten: Wer den Quelltext hat, kann die Software weiterentwickeln, verbessern oder verändern. Das wäre zwar im Interesse der Allgemeinheit, nicht jedoch im Interesse des Anbieters.
Hier gilt es, einerseits kommerzielle Anreize zur Open-Source-Entwicklung zu bieten, andererseits entsprechende Bedingungen für die Anbieter von sicherheitsrelevanter Software zu setzen: Auch heute noch operieren sie größtenteils frei von jeglicher Haftung für ihr intransparentes Produkt, und somit ohne Anreiz zur nennenswerten Qualitätssicherung.
2) Den Schwarzmarkt trockenlegen
Wer mit seiner Fähigkeit zum Finden von Sicherheitslücken den Lebensunterhalt bestreiten möchte, dem bieten sich heute zwei Möglichkeiten:
Ein solides mittelständisches Auskommen hat, wer als Dienstleister Sicherheitsprüfungen bei Dienstanbietern und Software-Schmieden durchführt, und sich im Anschluss an seine Untersuchung den bürokratischen und firmen-politischen Diskussionen um die Behebung der entdeckten Probleme stellt.
Wer ethisch flexibler ist, dem winken auf dem Schwarzmarkt sechsstellige Beträge für das Finden von großen Sicherheitslücken in weit verbreiteter Software. Die fürstliche Entlohnung entschädigt für die Gewissenbisse, weil die entdeckte Lücke künftig nicht geschlossen, sondern von Kriminellen und/oder Geheimdiensten ausgenutzt wird. Letztere sind dabei die treibende Kraft hinter den hohen Preisen auf diesem moralisch verwerflichen Markt.
Hier gilt es, einen Riegel vorzuschieben: Die staatliche Subventionierung des Schwarzmarkts muss unterbunden, und alle staatlichen Stellen verpflichtet werden, beim Bekanntwerden von Sicherheitslücken kompromisslos auf ihre Beseitigung hinzuarbeiten – und nicht auf ihre Ausnutzung.
3) Eine offene Sicherheitskultur pflegen
Natürlich werden Sicherheitslücken nicht nur wegen kommerzieller Anreize entdeckt. Eine weltweite Community begeisterter Hacker, Nerds und Sicherheitsforscher/innen sucht, findet und beseitigt Sicherheitslücken ohne direkte monetäre Kompensation. Namentliche Erwähnungen in "Security Bulletins", die Nutzer auf Lücken und erhältliche Updates hinweisen, sind oft der einzige Dank, der ihnen für ihre Dienste an der Gemeinschaft zuteil wird.
Immer beliebter wird daher das Ausloben von "Kopfgeld" ("Bug Bountys") auf Sicherheitslücken in kritischer Open-Source-Software: Wer einen Fehler definierter Schwere findet, wird dafür entlohnt. Vom entstehenden Wettkampf der Forschenden profitiert die Allgemeinheit.
Um dies zu stärken, könnte das Bundesamt für Sicherheit in der Informationstechnik (BSI), sich an der Finanzierung dieser „Bug Bountys“ beteiligen und so Open Source Software sicherer machen.
4) Eine unabhängige Sicherheitspolitik ermöglichen
Mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) verfügt die Bundesregierung über eine Institution, die aktuell viele Möglichkeiten ungenutzt lässt, auf den überfälligen Paradigmenwechsel in der IT-Sicherheit hinzuwirken. Dem Verantwortungsbereich des Innenministeriums unterliegend, kann das BSI in seinen Empfehlungen, Spezifizierungen und Zertifizierungen nie wirklich frei agieren. Das mit einer staatlichen Abhörschnittstelle versehene und zusammen mit einem NSA-Dienstleister entwickelte De-Mail-System ist mit Fug und Recht zur Blamage für das BSI geworden.
Solange das BSI dem Innenminister untersteht, ist trotz aller Lippenbekenntnisse nicht damit zu rechnen, dass dort künftig Spezifikationen ohne absichtliche Design-Schwächen entwickelt werden. Ein starkes, unabhängiges BSI mit unzweideutigem Sicherheitsauftrag – und zwar auch gegen staatliche Angreifer – ist der einzige Weg, das notwendige Vertrauen im Bereich der IT-Sicherheit aufzubauen und Sicherheitsversprechen auch halten zu können.
2008 formulierte das Bundesverfassungsgericht das Grundrecht auf Gewährleistung Vertraulichkeit und Integrität informationstechnischer Systeme, das so genannte Computergrundrecht. Bisher haben staatliche Stellen nur halbherzige und unglaubwürdige Schritte zu seiner Sicherung unternommen. Das schockierende Ausmaß der Snowden-Enthüllungen ist eine direkte Folge der bisherigen Politik und ein weiteres Warnsignal an die Bundesregierung, die Sicherheit der Bürgerinnen und Bürger in Sachen Computernutzung und Kommunikation nicht unnötig der vermeintlichen Sicherheit des Staates zu opfern.