Lassen Sie mich aus all diesen Fakten und Details einige Schlussfolgerungen ziehen. Wir müssen zur Kenntnis nehmen, dass jede Software dem „Dual Use“ unterliegt. So kann eine Überwachungssoftware dazu benutzt werden, die Produktionsanlagen einer Erdölraffinerie zu überwachen und dafür zu sorgen, dass bei Normabweichungen einzelne Anlagenteile heruntergefahren werden. Das dient der Sicherheit. Dieselbe Überwachungsroutine kann aber auch eingesetzt werden, um mit einer Man-in-the-Middle-Attacke Zugang zu einem Server mit geheimen Daten zu verschaffen und diesen Server auszuspionieren. Wartungssoftware für Smartphones und Handys sind eine sinnvolle Sache, aber sie kann dazu missbraucht werden, aus einem Handy eine Wanze zu machen. Die Software ist dieselbe oder doch zumindest weitgehend identisch, egal ob sie als Sicherheitswerkzeug oder für einen Angriff eingesetzt wird. Wir haben es hier immer mit der berühmten Dual-Use-Problematik zu tun. Jede Verteidigungswaffe gegen organisierte Kriminalität ist also auch immer eine Angriffswaffe und ein Spionagetool und kann entsprechend eingesetzt werden. Zwei Schutzmaßnahmen helfen hier ein wenig weiter: Wir benötigen zum einen größtmögliche Transparenz über eingesetzte Software und deren Verarbeitungszwecke. Zweitens müssen Sicherheitslücken, so gut es eben geht, aufgedeckt und, wenn Sie aufgedeckt sind, auch sofort veröffentlicht werden, damit anschließend daran gearbeitet werden kann, sie zu schließen. Sicherheitslücken müssen also öffentlich gemacht werden, damit sie geschlossen werden können. Jetzt wird es aber problematisch. Denn die herrschende Sicherheitsdoktrin basiert noch immer auf dem Grundsatz „Sicherheit durch Verschleierung“, als „Security by Obscurity“. Wir alle haben gesehen, dass dieses Paradigma nicht mehr funktioniert. Wir alle haben gesehen, dass dieses Paradigma nicht mehr akzeptable Risiken beinhaltet. Aber es gibt ein sehr großes Interesse der Nachrichtendienste und Sicherheitsbehörden, dass Sicherheitslücken geheim gehalten werden. Zum Beispiel sollte diejenige Sicherheitslücke tunlichst nicht veröffentlicht werden, die der Bundesnachrichtendienst ausnutzte, um den Mailverkehr der Spiegel-Journalistin Susanne Kölbl mit einem afghanischen Minister auszuspähen. Erst recht sollte eine solche Sicherheitslücke nach dem Dafürhalten der BDN-Schlapphüte nicht geschlossen werden. Wenn wir hier nicht endlich zu einem anderen Sicherheitsparadigma kommen, werden wir unsere Sicherheitsprobleme nicht lösen können. Wir brauche nämlich eine strikte Offenlegung und Veröffentlichung aller Sicherheitslücken, damit diese Sicherheitslücken geschlossen werden können. Beim herrschenden Sicherheitsparadigma nehmen wir in Kauf, dass kritische Infrastruktur wie zum Beispiel die Stromversorgung mit einem minimalen Aufwand angegriffen werden kann. Wir müssen unsere kritischen Infrastrukturen besser schützen; wir müssen das Know-How unserer Firmen besser verteidigen; wir müssen den Schaden digitaler Angriffswaffen möglichst gering halten. Dies aber schaffen wir nur, wenn wir sicherstellen können, dass alle bekannten Sicherheitslücken öffentlich gemacht werden. Solange ein Nachrichtendienst oder eine Sicherheitsbehörde eine Sicherheitslücke, die sie für ein Überwachungs- oder Angriffsprogramm nutzt, geheim halten darf, nehmen wir billigend in Kauf, dass Unternehmensnetze und Behördenserver auf Basis dieser Sicherheitslücken angegriffen werden können. Lassen Sie mich mit diesem Appell schließen und noch einmal einen Dank und gleichzeitig mein Erstaunen darüber zum Ausdruck bringen, dass ich auf einer Tagung der Nachrichtendienste, nämlich der Landesämter für Verfassungsschutz in Baden-Württemberg und Bayern, meine These vortragen und begründen konnte, dass die Nachrichtendienste und Sicherheitsbehörden das eigentliche Sicherheitsrisiko darstellen.

Zurück zu Teil 2