Informatikexperte über Staatstrojaner: "Unabhängige Kontrolle nötig"
Der Professor für Informationssicherheit Hartmut Pohl wundert sich über veraltete Spähprogramme, mangelnde Prüfung und fehlendes Fachwissen in Behörden.
taz: Herr Pohl, die Firma DigiTask programmierte Trojaner, die extrem unsicher sind. Waren da inkompetente Informatiker am Werk?
Hartmut Pohl: Sicherheitslücken ausfindig zu machen, ist ein Sonderfeld der Informationssicherheit. Es gibt nur wenige Lehrstühle, die darauf spezialisiert sind, ähnlich sieht es bei den Unternehmen aus. Eigentlich müsste das Fachwissen bei Herstellern von Überwachungssoftware auf jeden Fall vorhanden sein. Entsprechende Programmierer, ihre Erfahrung und die aufwendigen Prüfungen, die sie durchführen müssen, kosten aber in jedem Fall viel Geld.
Was halten Sie von der Aussage von DigiTask, der gelieferte "Bayerntrojaner" sei damals der Stand der Technik gewesen?
Ich habe schon vor zehn Jahren asymmetrische Verschlüsselungssysteme empfohlen. Insofern war das verwendete symmetrisch verschlüsselte Programm auch 2008 nicht der neueste Stand, andere Produkte waren auf dem Markt vorhanden. Es muss aber jeder Fall einzeln bewertet werden: Wie sensibel sind die Daten, und wer sind potenzielle Angreifer? Sollen Informatikstudierende im vierten Semester abgewehrt werden, organisierte Kriminelle oder gar Zugriffe ausländischer Sicherheitsbehörden? Dann wäre die höchste Sicherungsstufe nötig, nicht die verwendete. Das betrifft genau diesen Fall, da die Daten auch über einen Server in den USA umgeleitet wurden.
Beim Bundeskriminalamt sind laut Innenministerium nicht die Kompetenzen vorhanden, um die Software zu überprüfen. Wie kann das sein?
Es sollte in jedem Fall eine externe Instanz eingerichtet werden, die unabhängig prüft. Und zwar unter Sicherheits-, Qualitäts- und Finanzaspekten. Denn ein Programmierer ist nicht ausgebildet, eine gerichtliche Anordnung oder ein Gesetz korrekt zu interpretieren und dann als Programm umzusetzen. Hier braucht es unabhängige Experten, die eine Bestellung vorab genau definieren, Also Juristen, die beschreiben, was das Programm können darf. Und Techniker, die konkrete Details vorgeben, etwa Verschlüsselungslängen.
ist Professor für Informationssicherheit, Hochschule Bonn-Rhein-Sieg, und Sprecher des Arbeitskreises Datenschutz und IT-Sicherheit der Gesellschaft für Informatik.
Wer käme als Kontrollinstanz infrage?
Entsprechende Kompetenzen sollten bei bestehenden Institutionen wie dem Bundesrechnungshof - für Finanzielles - oder den Datenschutzbeauftragten des Bundes und der Länder aufgebaut werden. Es könnte auch die Expertise des Bundesamts für Sicherheit in der Informationstechnik genutzt werden: Stichwort IT-Grundschutz. Es könnte einen Orientierungsrahmen setzen, nach dem dann Bundestrojaner und ähnliche Software konzipiert werden könnte.
Befürchten Sie nach der Trojaneraffäre nun einen Imageschaden für Informatiker?
Ein erfahrener Informatiker wird, wenn er freundlich ist, über die ganze Sache nur schmunzeln. Der Staat muss sich neu fragen, wie viel Geld und Manpower er für die Sicherheit seiner Behördenaktivitäten einsetzen will. Da müssen einige Stellschrauben neu justiert werden.
taz lesen kann jede:r
Als Genossenschaft gehören wir unseren Leser:innen. Und unser Journalismus ist nicht nur 100 % konzernfrei, sondern auch kostenfrei zugänglich. Texte, die es nicht allen recht machen und Stimmen, die man woanders nicht hört – immer aus Überzeugung und hier auf taz.de ohne Paywall. Unsere Leser:innen müssen nichts bezahlen, wissen aber, dass guter, kritischer Journalismus nicht aus dem Nichts entsteht. Dafür sind wir sehr dankbar. Damit wir auch morgen noch unseren Journalismus machen können, brauchen wir mehr Unterstützung. Unser nächstes Ziel: 40.000 – und mit Ihrer Beteiligung können wir es schaffen. Setzen Sie ein Zeichen für die taz und für die Zukunft unseres Journalismus. Mit nur 5,- Euro sind Sie dabei! Jetzt unterstützen
meistkommentiert
Grünen-Abgeordneter über seinen Rückzug
„Jede Lockerheit ist verloren, und das ist ein Problem“
Historiker Traverso über den 7. Oktober
„Ich bin von Deutschland sehr enttäuscht“
Elon Musk greift Wikipedia an
Zu viel der Fakten
Hoffnung und Klimakrise
Was wir meinen, wenn wir Hoffnung sagen
Nach dem Anschlag in Magdeburg
Das Weihnachten danach
Die Wahrheit
Glückliches Jahr