Interview mit Datenschutz-Experte Chaos Computer Club: "Kein Zugriff vom Staat auf die Geräte"

Innenminister Strobl (CDU) will erneut das Polizeigesetz verschärfen, auch mit Hilfe von Online-Durchsuchungen. SWR-Reporterin Iris Volk hat darüber mit Stefan Leibfarth vom Chaos Computer Club Stuttgart (CCC) gesprochen.

Iris Volk, SWR: Innenminister Strobl (CDU) will das Polizeigesetz erneuern und unter anderem die Möglichkeit der Online-Durchsuchung einführen. Was stört Sie daran?

Stefan Leibfarth, CCC: Online-Durchsuchung heißt konkret, man dringt aus der Ferne auf ein Endgerät ein, also auf einen Computer, ein Smartphone oder einen Server. Und um das machen zu können, braucht man eine Sicherheitslücke in den Geräten. Diese Sicherheitslücke darf dem Hersteller nicht bekannt sein, sonst würde er sie schließen und der Angriff wäre nicht mehr möglich.

Die Regierung kennt somit Sicherheitslücken, die uns alle betreffen: die Bürger, die Industrie - letztlich die Regierung selbst, die auch Computer und Smartphones verwendet. Diese Lücken halten sie geheim, weil sie die für ihre Maßnahmen brauchen. Und dadurch wird im Prinzip die IT-Sicherheit, die die Landesregierung auch anstrebt, konterkariert.

Für IT-Sicherheit ist auch Minister Strobl zuständig, denn er ist nicht nur Innenminister, sondern auch Minister für Digitalisierung. Ist das ein Widerspruch?

Wir haben in den letzten Jahren gesehen, dass IT-Sicherheit ein immer größeres Problem ist. Es gibt immer wieder Schwachstellen, die massive Auswirkungen haben. Wir sehen große Krankenhäuser, die den Betrieb fast einstellen müssen. Wir sehen Angriffe auf kritische Infrastrukturen. Das alles ist in der Regel nur möglich durch Sicherheitslücken.

Eine IT- Politik sollte als oberstes Ziel haben, IT-Sicherheit in den Vordergrund zu stellen. Ich kann nicht beides haben. Ich kann nicht als Regierung auf der einen Seite sagen, ich möchte sichere Systeme haben, und auf der anderen Seite aber selbst für die Unsicherheit sorgen, indem ich Sicherheitslücken in Besitz habe, die ich geheim halte. 

Und es handelt sich dabei gerade um sehr schwerwiegende Sicherheitslücken und nicht um irgendwelche Kleinigkeiten. Denn die Sicherheitslücken müssen so groß sein, dass das Gerät übernommen werden kann. 

Was kann denn passieren, wenn so eine Sicherheitslücke von Kriminellen genutzt wird?

Prinzipiell kann derjenige, der so eine Sicherheitslücke hat, in ein System eindringen und alles machen, was er will. Genau das heißt ja Online-Durchsuchung: Zugriff auf alles.

Gerade Krankenhäuser, Behörden oder Firmen sind ständig online. Und so eine Sicherheitslücke würde einem Angreifer von außen ermöglichen, in das System einzudringen und erheblichen Schaden anzurichten. Wir haben das in den letzten Jahren auch immer wieder gesehen.

Ganz vielen sollten diese Verschlüsselungstrojaner ein Begriff sein, die in den letzten Jahren gehäuft aufgetreten sind. Ein Verschlüsselungstrojaner verschlüsselt alle Daten auf der Festplatte und gibt sie nur heraus, wenn der Betreiber oder Benutzer des Geräts ein Lösegeld zahlt.

Aber prinzipiell wäre alles möglich. Man könnte sich auch einfach geheim auf dem System einnisten, Daten mitlesen, Daten manipulieren, das System einfach abschalten… ab dem Zeitpunkt ist alles möglich. 

Wie könnte so ein Fall zum Beispiel in einem Krankenhaus aussehen? 

In einem Krankenhaus in Neuss gab es so einen Fall. Dort waren massiv viele Rechner verschlüsselt und damit nicht mehr betriebsfähig. Die mussten ihre IT herunterfahren und haben angefangen, wieder mit Zettel und Papier zu arbeiten. Mussten OPs absagen, mussten die Notaufnahme vorübergehend schließen.

Ich denke, damit sind große Gefahren verbunden. Ich glaube auch ganz ausdrücklich, dass damit mehr Gefahren verbunden sind, als der Innenminister vorgibt, beheben zu wollen.

Was fordern Sie im Hinblick auf das geplante Polizeigesetz?


Prinzipiell wünschen wir uns keine weitere Einschränkung der Freiheit der Bürger zu Lasten einer angeblichen Erhöhung der Sicherheit. Dazu sehen wir erstmal keine Notwendigkeit. Im Gegenteil: Wir sehen eine starke Notwendigkeit, die IT-Sicherheit und die Rechte der Bürger so gut wie möglich zu schützen. Wir halten es für zwingend erforderlich, zum einen die Online-Durchsuchung erst gar nicht einzuführen und auch die 2017 eingeführte Quellen-Telekommunikationsüberwachung zurückzunehmen. Also: kein Zugriff vom Staat auf die Geräte.

STAND