Informatikexperte über Staatstrojaner: "Unabhängige Kontrolle nötig"

Der Professor für Informationssicherheit Hartmut Pohl wundert sich über veraltete Spähprogramme, mangelnde Prüfung und fehlendes Fachwissen in Behörden.

Bayerntrojaner unter der Lupe. Bild: dapd

taz: Herr Pohl, die Firma DigiTask programmierte Trojaner, die extrem unsicher sind. Waren da inkompetente Informatiker am Werk?

Hartmut Pohl: Sicherheitslücken ausfindig zu machen, ist ein Sonderfeld der Informationssicherheit. Es gibt nur wenige Lehrstühle, die darauf spezialisiert sind, ähnlich sieht es bei den Unternehmen aus. Eigentlich müsste das Fachwissen bei Herstellern von Überwachungssoftware auf jeden Fall vorhanden sein. Entsprechende Programmierer, ihre Erfahrung und die aufwendigen Prüfungen, die sie durchführen müssen, kosten aber in jedem Fall viel Geld.

Was halten Sie von der Aussage von DigiTask, der gelieferte "Bayerntrojaner" sei damals der Stand der Technik gewesen?

Ich habe schon vor zehn Jahren asymmetrische Verschlüsselungssysteme empfohlen. Insofern war das verwendete symmetrisch verschlüsselte Programm auch 2008 nicht der neueste Stand, andere Produkte waren auf dem Markt vorhanden. Es muss aber jeder Fall einzeln bewertet werden: Wie sensibel sind die Daten, und wer sind potenzielle Angreifer? Sollen Informatikstudierende im vierten Semester abgewehrt werden, organisierte Kriminelle oder gar Zugriffe ausländischer Sicherheitsbehörden? Dann wäre die höchste Sicherungsstufe nötig, nicht die verwendete. Das betrifft genau diesen Fall, da die Daten auch über einen Server in den USA umgeleitet wurden.

Beim Bundeskriminalamt sind laut Innenministerium nicht die Kompetenzen vorhanden, um die Software zu überprüfen. Wie kann das sein?

Es sollte in jedem Fall eine externe Instanz eingerichtet werden, die unabhängig prüft. Und zwar unter Sicherheits-, Qualitäts- und Finanzaspekten. Denn ein Programmierer ist nicht ausgebildet, eine gerichtliche Anordnung oder ein Gesetz korrekt zu interpretieren und dann als Programm umzusetzen. Hier braucht es unabhängige Experten, die eine Bestellung vorab genau definieren, Also Juristen, die beschreiben, was das Programm können darf. Und Techniker, die konkrete Details vorgeben, etwa Verschlüsselungslängen.

ist Professor für Informationssicherheit, Hochschule Bonn-Rhein-Sieg, und Sprecher des Arbeitskreises Datenschutz und IT-Sicherheit der Gesellschaft für Informatik.

Wer käme als Kontrollinstanz infrage?

Entsprechende Kompetenzen sollten bei bestehenden Institutionen wie dem Bundesrechnungshof - für Finanzielles - oder den Datenschutzbeauftragten des Bundes und der Länder aufgebaut werden. Es könnte auch die Expertise des Bundesamts für Sicherheit in der Informationstechnik genutzt werden: Stichwort IT-Grundschutz. Es könnte einen Orientierungsrahmen setzen, nach dem dann Bundestrojaner und ähnliche Software konzipiert werden könnte.

Befürchten Sie nach der Trojaneraffäre nun einen Imageschaden für Informatiker?

Ein erfahrener Informatiker wird, wenn er freundlich ist, über die ganze Sache nur schmunzeln. Der Staat muss sich neu fragen, wie viel Geld und Manpower er für die Sicherheit seiner Behördenaktivitäten einsetzen will. Da müssen einige Stellschrauben neu justiert werden.

Einmal zahlen
.

Fehler auf taz.de entdeckt?

Wir freuen uns über eine Mail an fehlerhinweis@taz.de!

Inhaltliches Feedback?

Gerne als Leser*innenkommentar unter dem Text auf taz.de oder über das Kontaktformular.

Wir würden Ihnen hier gerne einen externen Inhalt zeigen. Sie entscheiden, ob sie dieses Element auch sehen wollen.

Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.

Bitte registrieren Sie sich und halten Sie sich an unsere Netiquette.

Haben Sie Probleme beim Kommentieren oder Registrieren?

Dann mailen Sie uns bitte an kommune@taz.de.