"Hehre Ziele, aber technisch nicht verstanden"
Innenminister de Maizière hat Hintertürpläne für Geräte, die sich mit dem Internet verbinden
Der aktuell nur kommissarisch amtierende Bundesinnenminister Thomas de Maizière will der Innenministerkonferenz nächste Woche ein Beschlusspapier mit dem Titel "Handlungsbedarf zur gesetzlichen Verpflichtung Dritter für Maßnahmen der verdeckten Informationserhebung nach §§ 100c und 100f StPO" vorlegen. Das an die Presse durchgesickerte Dokument sieht neue Rechtsgrundlagen für behördliche IT-Eingriffe vor: Neben der Möglichkeit, private Computer ferngesteuert herunterfahren zu können, fordert es für Polizei und Geheimdienste auch Einsicht in darauf befindliche Daten, um diese "vor Hacker-Zugriffen auf ihre Rechner zu warnen".
Für Unternehmen und andere Entwickler soll es künftig eine "Auskunfts- und Mitteilungspflicht" zur "verdeckten Überwindung von Sicherheitssystemen" geben, weil es "Ermittlern und Geheimdiensten […] zunehmend schwer [falle], Abhörwanzen einzubauen und zu verstecken", wenn moderne Autos "ihre Besitzer schon bei kleinsten Erschütterungen über Messenger-Dienste informieren". Weil eine Protokollnotiz verlangt, dass die Gesetzesänderung dazu "technikoffen" formuliert werden soll, "um eventuelle künftige Entwicklungen mit erfassen zu können", gingen die Zeitungen des Redaktionsnetzwerks Deutschland (RND) davon aus, dass "die Industrie" dem Wortlaut der Vorschrift nach überall dort Hintertüren offen lassen müsste, "wo Geräte mit dem Internet verbunden sind": "Bei privaten Tablets und Computern, Smart-TVs oder digitalisierten Küchengeräten."
Bitkom, eco und Anwaltsverein beunruhigt
Dieser Auslegung widersprach Bundesinnenministeriumsprecher Johannes Dimroth inzwischen. "Maßnahmen in Bezug auf in Computer oder Smart TV eingebaute Mikrofone" wären seinen Worten nach "hiervon nicht betroffen, da hierfür ein Zugriff in informationstechnische Systeme erforderlich wäre". Ob das Papier tatsächlich nicht mehr hergibt, wird sich zeigen, wenn es offiziell veröffentlicht wird.
Bernhard Rohleder, der Chef des IT-Branchenverband Bitkom meinte gegenüber Netzpolitik.org, er befürchtet durch einen "technikoffenen Ansatz" den "staatlichen Zugriff auf schlichtweg alles, jedes und jeden" - und den sollte man seiner Ansicht nach nicht handstreichartig einführen, sondern offen debattieren. Ähnlich äußerte sich Norbert Pohlmann aus dem Vorstand des Internetbranchenverbandes eco. Er forderte de Maizière öffentlich "dazu auf, Abstand von unverhältnismäßigen Gesetzesvorhaben zu nehmen, die der Internetbranche weitreichende Auskunfts- und Mitteilungsverpflichtung auferlegen wollen."
Ein "Implementieren von möglichen Sicherheitslücken" konterkariert seinen Worten nach alle "Bestrebungen der Unternehmen zur Verbesserung der IT-Sicherheit". Solche Lücken können seiner Ansicht nach trotz der Begründung, mit der sie die Politik fordert, leicht für weniger anstatt mehr Sicherheit sorgen, weil sie sich auch von Kriminellen missbrauchen lassen.
Ulrich Schellenberg, der Präsident des Deutschen Anwaltvereins (DAV) verwies außer auf diese Missbrauchsmöglichkeiten auch auf die Verhältnismäßigkeit und die Frage, wie die neuen "Überwachungsmöglichkeiten bei Berufsgeheimnisträgern [...] ausgeschlossen werden" sollen. Seinem Urteil nach übersieht die Politik, "dass es hier nicht nur ein Verbot der Überwachung geben kann, sondern dass [sie] verpflichtet ist, diese Freiräume vor verbotener Überwachung zu schützen." Noch weiter geht Volker Tripp vom Verein Digitale Gesellschaft, für den die Pläne des Hugenotten dem Menschenbild des Grundgesetzes "diametral widersprechen".
An die Zeit der "Kinderpornosperre" erinnert
Eher belustigt gibt sich dagegen der IT-Experte und Blogger Hadmut Danisch, der sich an die Zeit erinnert fühlt, als die Politik eine "Kinderpornosperre" einrichten wollte: "Hehre Ziele, aber technisch nicht verstanden." Bei Kommunikationsprotokollen, die "etwas taugen" - so Danisch mit Verweis auf das Kerckhoffs’sche Prinzip - hilft es den Behörden nämlich nichts, wenn sie sie kennen. Und "jeder Kriminelle, der halbwegs was auf sich hält", wird sich seiner Ansicht nach im Ausland gekaufte Einbruchssicherungen einbauen und "eine Firewall oder eine Intrusion Detection" nutzen. Damit kann er dann auch "gleich erfahren, dass die Polizei hinter ihm her ist."
Für noch weniger durchdacht hält Danisch die Forderung, private Rechner staatlich herunterzufahren. Denn: "Wie geht es dann weiter? Dann ist der Rechner unten. Und nu[n]? Dann schaltet man ihn wieder ein. Oder nicht? Wie kriegt man ihn wieder sauber, wenn man ihn nicht wieder einschalten kann? […] Und wie sollen sie die Leute warnen? Jetzt haben sie eine IP-Adresse des angegriffenen Anschlusses. Und wie informieren sie den dann? Eine E-Mail schicken? Nachdem sie den Rechner runtergeholt haben?"