Was Staat und Kriminelle gemeinsam haben

Es war wie ein Paukenschlag im Frühjahr, als die Erpressersoftware “Wannacry” Millionen von Computern lahm legte, darunter auch die des britischen Gesundheitssystems. Zahlreiche OPs wurden verschoben, Patienten wieder heim geschickt, es war einfach nicht sicher genug zu operieren, wenn kein Rechner mehr geht, keine Patientenakte mehr nachgeschlagen werden kann.

Nur wenig später war klar, dass Kriminelle (sehr wahrscheinlich geheimdienstnah) Sicherheitslücken ausgenutzt hatten, die die NSA jahrlang geheim gehalten hatte. Und auch, wenn gewiss, die Schuld für dieses Millionen teure Comouterdesaster in erster Linie den Kriminellen zuzurechnen ist, stellt sich doch die Frage, ob diese Sicherheitslücken nicht schon längst gemeldet und geschlossen gehört hätten.

An dieser Stelle steht Deutschland am Anfang einer Debatte. Wie soll der Staat mit Sicherheitslücken umgehen? Auf dem Hackerkongress, dem 34C3, habe ich Frank Rierger vom Chaos Computer Club dazu befragt. Die Haltung des CCC ist klar: “Sicherheitslücken gehören nicht in staatliche Hände”. Mein Bericht in den Tagesthemen dazu:

Doch die Szene der IT-Security Spezialisten ist in dieser Frage keineswegs einheitlich entschieden. In den vier Tagen, die der Kongress in Leipzig statt fand, hatte ich Gelegenheit mit vielen Spezialisten zu sprechen und ihre Haltung ist durchweg divers.

Rakete im Messegelände

Einige von ihnen befürworten den Einsatz von Sicherheitslücken durch staatliche Dienste, manche wünschen sich einen Abwägungsprozess, eine Regulierung. Natürlich fragt man sich sogleich, wie so ein Abwägungsprozess aussehen könnte? Ab wann ist eine Sicherheitslücke “schlimm” genug, so dass sie sofort geschlossen gehört? Und ab wann “darf” man sie offen lassen. Populistisch lassen sich schnell Antworten darauf geben: “Ja, wenn die Energieversorgung dadurch bedroht wäre, dann natürlich sofort schließen.” - doch wir wissen alle, dass die Realität selten so einfach ist.

Eine Debatte darüber, das ist es, was sich viele Spezialisten wünschen. Ich habe meinen Beitrag, zumindest ein bisschen dazu beigetragen und bin sicher, sie wird andauern.

Meine Schalte zu tagesschau24 vom Hackerkongress in Leipzig: