Experten warnen vor "Hessen-Trojaner": "IT-Sicherheit weltweit gefährdet"

Der von der schwarz-grünen Koalition im November 2017 vorgelegte "Gesetzesentwurf zur Neuausrichtung des Verfassungsschutzes in Hessen" sieht eine Ausweitung der Befugnisse des Verfassungsschutzes vor. Dabei geht es insbesondere auch um den Einsatz von Staatstrojanern zur sogenannten Quellen-Telekommunikationsüberwachung und zur Online-Durchsuchung. Ein Trojaner ist ein Schadprogramm, das es dem Geheimdienst in bestimmten Fällen ermöglichen soll, heimlich auf Computer zuzugreifen.

In mehreren Erklärungen kritisierte unter anderem der Chaos Computer Club (CCC) das geplante Gesetz scharf. Deratige staatliche Schadsoftware unterminiere die IT-Sicherheit strukturell, da ihre Entwicklung Anreize dafür setze, Sicherheitslücken auf schwarzen Märkten zu handeln, anstatt sie zum Vorteil aller schließen zu lassen, so der CCC in einer Stellungnahme vom 6. Februar 2018.

Staatliche Spionagesoftware wie der nun geplante Hessentrojaner nutzt Sicherheitslücken in alltäglicher Software“, erklärte Marco Holz vom CCC Darmstadt. „Das heißt im Klartext: Das Land Hessen schickt seinen Landesgeheimdienst auf den Schwarzmarkt oder zu fragwürdigen Trojaner-Anbietern, um mit Steuergeldern Sicherheitslücken in weit verbreiteten Programmen aufzukaufen und auszunutzen. Dabei nehmen sie billigend in Kauf, dass diese Lücken nicht geschlossen werden können", so Holz weiter.

Laut dem CCC soll der hessische Geheimdienst auf eine gefährliche Trojaner-Einkaufstour geschickt werden. Der Computer Club verwies in diesem Zusammenhang auf den Cyberangriff im Mai 2017, bei dem mit dem Schadprogramm "WannaCry" weltweit großer Schaden angerichtet wurde. Es entstanden wirtschaftliche Schäden in Milliardenhöhe und unter anderem wurde der Betrieb von britischen Krankenhäusern lahmgelegt. Die von "WannaCry" genutzte Sicherheitslücke war zuvor von der NSA absichtlich jahrelang geheimgehalten worden.

Ähnliche Gefahren sieht der CCC nun auch bei dem neuen Gesetzesvorhaben:

Wenn der Staat Spionagesoftware entwickeln lässt, untergräbt er strukturell die IT-Sicherheit. Schließlich setzt er hier mit Steuergeldern Anreize, Sicherheitslücken nicht zu schließen, um sie dauerhaft ausnutzen zu können. Kollateral- und Folgeschäden für Wirtschaft und Bevölkerung werden dabei schlicht ignoriert oder totgeschwiegen“, erläutert Holz.

Mehr lesen: Mit Künstlicher Intelligenz in den Krieg - Pentagon und Silicon Valley greifen nach den Algorithmen

"Eine solche Regelung gefährdet die Sicherheit Millionen vernetzter Geräte weltweit. Der Einsatz von Staatstrojanern setzt verwundbare Software in Smartphones oder Laptops voraus", hieß es in einer weiteren Erklärung des CCC vom 6. November 2017. Zudem schränke der hessische Gesetzesentwurf den ohnehin fragwürdigen Trojanereinsatz nur unzureichend ein. "Nicht einmal die vom Bundesverfassungsgericht gesetzten Schranken werden eingehalten", kritisiert Dirk Engling vom CCC Berlin.

Die vom Gericht geforderte Zweckbeschränkung der Spionage-Maßnahmen ist schlicht nicht vorgesehen. Die Protokollierungspflichten sind lückenhaft, eine Einsicht in den Quellcode des Trojaners gar nicht erst geplant. Die einzigen vorgesehenen Kontrollinstanzen, das Amtsgericht Wiesbaden und das parlamentarische Kontrollgremium des Landtags, können ihren Aufgaben unter diesen Bedingungen nicht adäquat nachkommen.“

Auch aufgrund der schweren Eingriffe in die Privat- und Intimsphäre von Betroffenen und unbeteiligten Dritten sowie wegen des hohen Missbrauchspotentials von Staatstrojanern sei das hessische Vorhaben abzulehnen.