Informatikexperte über Staatstrojaner: "Unabhängige Kontrolle nötig"
Der Professor für Informationssicherheit Hartmut Pohl wundert sich über veraltete Spähprogramme, mangelnde Prüfung und fehlendes Fachwissen in Behörden.
taz: Herr Pohl, die Firma DigiTask programmierte Trojaner, die extrem unsicher sind. Waren da inkompetente Informatiker am Werk?
Hartmut Pohl: Sicherheitslücken ausfindig zu machen, ist ein Sonderfeld der Informationssicherheit. Es gibt nur wenige Lehrstühle, die darauf spezialisiert sind, ähnlich sieht es bei den Unternehmen aus. Eigentlich müsste das Fachwissen bei Herstellern von Überwachungssoftware auf jeden Fall vorhanden sein. Entsprechende Programmierer, ihre Erfahrung und die aufwendigen Prüfungen, die sie durchführen müssen, kosten aber in jedem Fall viel Geld.
Was halten Sie von der Aussage von DigiTask, der gelieferte "Bayerntrojaner" sei damals der Stand der Technik gewesen?
Ich habe schon vor zehn Jahren asymmetrische Verschlüsselungssysteme empfohlen. Insofern war das verwendete symmetrisch verschlüsselte Programm auch 2008 nicht der neueste Stand, andere Produkte waren auf dem Markt vorhanden. Es muss aber jeder Fall einzeln bewertet werden: Wie sensibel sind die Daten, und wer sind potenzielle Angreifer? Sollen Informatikstudierende im vierten Semester abgewehrt werden, organisierte Kriminelle oder gar Zugriffe ausländischer Sicherheitsbehörden? Dann wäre die höchste Sicherungsstufe nötig, nicht die verwendete. Das betrifft genau diesen Fall, da die Daten auch über einen Server in den USA umgeleitet wurden.
Beim Bundeskriminalamt sind laut Innenministerium nicht die Kompetenzen vorhanden, um die Software zu überprüfen. Wie kann das sein?
Es sollte in jedem Fall eine externe Instanz eingerichtet werden, die unabhängig prüft. Und zwar unter Sicherheits-, Qualitäts- und Finanzaspekten. Denn ein Programmierer ist nicht ausgebildet, eine gerichtliche Anordnung oder ein Gesetz korrekt zu interpretieren und dann als Programm umzusetzen. Hier braucht es unabhängige Experten, die eine Bestellung vorab genau definieren, Also Juristen, die beschreiben, was das Programm können darf. Und Techniker, die konkrete Details vorgeben, etwa Verschlüsselungslängen.
Wer käme als Kontrollinstanz infrage?
Entsprechende Kompetenzen sollten bei bestehenden Institutionen wie dem Bundesrechnungshof - für Finanzielles - oder den Datenschutzbeauftragten des Bundes und der Länder aufgebaut werden. Es könnte auch die Expertise des Bundesamts für Sicherheit in der Informationstechnik genutzt werden: Stichwort IT-Grundschutz. Es könnte einen Orientierungsrahmen setzen, nach dem dann Bundestrojaner und ähnliche Software konzipiert werden könnte.
Befürchten Sie nach der Trojaneraffäre nun einen Imageschaden für Informatiker?
Ein erfahrener Informatiker wird, wenn er freundlich ist, über die ganze Sache nur schmunzeln. Der Staat muss sich neu fragen, wie viel Geld und Manpower er für die Sicherheit seiner Behördenaktivitäten einsetzen will. Da müssen einige Stellschrauben neu justiert werden.
Leser*innenkommentare
aurorua
Gast
In diesem Artikel wird ein bischen der Eindruck erweckt als hätte niemand so wirklich gewußt was er tut.
Blödsinn!
Die involvierten in Behörden und Softwarefirmen wußten ganz genau was sie wollten und was dafür benötigt wird. Die haben doch bloß auf die Unwissenheit der meisten Bürger und Justizmitarbeiter gehofft um ihre kriminellen polizeistaatlichen Möglichkeiten anzuwenden.
Mnementh
Gast
@Frage: Prinzipiell ist jeder Rechner angreifbar. Linux erschwert das aber aus mehreren Gründen. Einer ist, dass es nicht so verbreitet ist, und damit für Autoren von Schadsoftware nicht so interessant. Aber auch die Architektur an sich, macht insbesondere das Einnisten von Schadsoftware etwas schwieriger. Das ist aber kein Grund sich zurückzulehnen.
Wichtigstes Abwehrmittel gegen Computerschädlinge ist die regelmäßige Aktualisierung aller benutzter Software. Das ist unter Windows etwas schwierig, jedes Programm hat seinen eigenen Autoupdater, an manchen Tagen wird man mit aufpoppenden Dialogboxen geradezu überfallen. Einfacher ist es unter typischen Linuxdistributionen, alle Software wird einheitlich über das Paketsystem aktualisiert.
Frage
Gast
Gibt es eigentlich auch Trojaner, die gute Betriebssysteme wie Linux und halbwegs wache Benutzer angreifen? Oder ist dieser ganze Quatsch nur ein Spielchen zwischen Windows-Fans?
Webmarxist
Gast
Unabhängige Kontrolle ist gut .Aber dass heißt auch, dass es auch unabhängig vom Staat kontrolliert werden muss. Dafür geeignet wären Zwei Planck-Instute .Das Max-Planck-Institut für Informatik in Saarbrücken und das Max-Planck Institut für Softwaresysteme in Kaiserslautern und Saarbrücken.
Jemmy Huegli
Gast
Die Argumente und Themen vernebeln etwas grunsächliches: für die TKÜ
(Skypelauschen) ist kein Trojaner nötig. Mit einer richterlichen Anordnung bei Skype in Luxenbourg können sich Ermittlungsbehörden einklinken. Skype hat auch die dazugehörigen Kryptoschlüssel.
Ein Trojaner ist nur, ich betone nur, für die Onlinedurchsuchung notwendig. Und dazu ist, soviel ich weiß, ausschließlich das BKA ermächtigt.
Das stümperhafte Software eingesetzt wurde ist eine zu belächende Randnotiz.
Heribert Prantl SZ hat recht: "...dies ist eine neue Form der Staatskriminalität."