Das Aushängen der Klotüren ist nicht die Lösung

„Der Wert des menschlichen Lebens besteht zu einem sehr großen Teil aus einer Intimsphäre, die nicht transparent sein darf. Eigentlich hatten diese Erfahrung schon die 68er gemacht. Das Aushängen der Klotüren ist nicht die Lösung.“

Am heutigen Europäischen Datenschutztag, der auf die Unterzeichnung der Europäischen Datenschutzkonvention am 28. Januar 1981 zurückgeht, ist in der Süddeutschen Zeitung ein bemerkenswerter Kommentar von Chefredakteur Heribert Prantl zum „Gesetz zur effektiveren und praxistauglicheren Ausgestaltung des Strafverfahrens“, dem sogenannten Staatstrojaner-Gesetz, erschienen. Prantl geißelt die schrankenlosen Überwachungsmöglichkeiten der Strafverfolgungsbehörden auf IT- und TK-Systemen als „digitale Inquisition“. Die harsche Beschneidung des durch Grundgesetz, Europäische Menschenrechtskonvention und UN-Menschenrechtscharta garantierten Selbstbestimmungsrechts durch den Verlust jeglicher Intimität soll hier nicht weiter thematisiert werden. Richard David Precht hat in der ihm eigenen Art alles gesagt, was gesagt werden muss, wenngleich in etwas anderem Kontext.

Ob sich der Staat mit dem Aushängen der Klotüren (und seine Bürger sich mit der Duldung des Selbigen) einen Gefallen tut, steht auf einem anderen Blatt. Zu Ursache und Wirkung dieses und anderer seit 9/11 erlassenen Sicherheitsgesetze sind zahllose Publikationen erschienen, von denen zur thematischen Vertiefung die nachfolgenden drei besonders herauszustellen sind:

Hier und heute wollen wir uns nicht mit Grundrechtsbeschneidungen, sondern mit den Konsequenzen des Staatstrojaner-Gesetzes auf die Sicherheit und den Schutz von Unternehmensdaten beschäftigen. Wie SZ-Chefredakteur Prantl feststellt, befindet sich der Staat in einem Zielkonflikt: Einerseits hat er seine Bürger, nichtstaatlichen Organisationen, Unternehmen, Betriebe und andere Wirtschaftsteilnehmer vor in- und ausländischer Spionage und diversen weiteren Internet-Straftaten zu schützen, zum Beispiel vor der Plage der Erpresser-Schadsoftware, auch „Ransomware“ genannt. Andererseits soll er sein qua (Staats-) Trojanergesetz verbrieftes Recht auf Online-Quellenüberwachung durchsetzen, um seine Bürger vor der Plage des Terrorismus zu schützen.

Wenn das Bundesamt für Sicherheit in der Informationstechnik in Bonn auf der einen Seite vor Sicherheitslücken in Hard- oder Software warnt, kann man mutmaßen, dass das Bundeskriminalamt in Wiesbaden darüber weniger erfreut ist. Dass in anderen Staaten jahrelang bekanntgewordene Sicherheitslücken zurückgehalten und für geheimdienstliche Zwecke ausgenutzt wurden, ist spätestens seit Edward Snowden „common sense“.

Sich als Unternehmen seinem Schicksal fatalistisch zu ergeben, kann und darf nicht die richtige Strategie sein, siehe Titel dieses Blogbeitrags. Zur Rücknahme des Staatstrojaner-Gesetzes durch eine gesellschaftliche Sammlungsbewegung, die den Schutz der Bürgerrechte wieder mehr in den Fokus politischen Handelns rückt, wird es so schnell auch nicht kommen. Bleibt als einzig praktikable Lösung der bestmögliche wirtschaftlich darstellbare Schutz der eigenen technischen Infrastrukturen. Um eines klarzustellen: Dieser Artikel soll aufrütteln, sensibilisieren – er ist keine Anleitung zum Aufspüren oder Blockieren des Staatstrojaners. Dem Autor ist keine Sicherheitssoftware bekannt, die derartigen „Schadcode“ entdecken kann, solange dieser nicht aktiv ist. Und selbst wenn es sie irgendwo gäbe, so wäre ihre Verwendung in Deutschland illegal.

Es geht nicht darum, den Staat auszusperren. Ihm können, müssen wir vertrauen, solange unsere Grundordnung auf einem rechtsstaatlichen Fundament ruht. Aber der oben geschilderte Zielkonflikt des Staates hat nolens volens zur Folge, dass Sicherheitslücken nicht aufgedeckt werden und sich somit nicht nur Staatsorgane, sondern auch Hacker oder Wirtschaftsspione ihrer bemächtigen können. Es ist bekannt, dass mehrere Dutzend Staaten weltweit Wirtschaftsspionage betreiben. Jeder dieser Staaten möchte Informationen auf Zielsystemen unerkannt mitlesen und abgreifen. Daraus kann man ableiten, dass es mutmaßlich eine hohe zweistellige bis dreistellige Zahl an sogenannten „Zero-Day-Exploits“ gibt, „Tag-Null-Bedrohungen“, also Sicherheitslücken, die der Allgemeinheit nicht bekannt sind, dafür aber jeweils mindestens einem in- oder ausländischen Geheimdienst.

Dazu kommen die Zero Days, die bislang „nur“ in den Händen von Kriminellen sind. Das organisierte Verbrechen hat das Internet längst als stabile, verglichen mit den anderen „klassischen“ Betätigungsfeldern weniger gefährliche, Einnahmequelle für sich entdeckt. Man schätzt, dass mit Internetkriminalität weltweit inzwischen mehr umgesetzt wird als mit Drogen, Schutzgelderpressung und Prostitution zusammengenommen. Insgesamt dürfte sich also eine veritable dreistellige Zahl an – mehr oder weniger kritischen – Zero Days in der Kontrolle potenzieller Datendiebe befinden. Zero Days sind deshalb so problematisch, weil darauf aufsetzende Schadsoftware, ob nun Staatstrojaner oder nicht, vom betroffenen System schwer bis gar nicht erkannt – und damit auch nicht abgewehrt – werden kann.

Es bedarf vielmehr einer intelligenten Sicherheitslösung, die die gesamte IT-Infrastruktur durchleuchtet, Anomalien im Datenverkehr entdeckt, die Quelle aufspürt und sicher vom restlichen Netz abtrennt sowie jegliche Kommunikation nach außen blockiert. Ein sicherheitstechnischer Maßanzug, der in puncto Planung, Umsetzung und Betrieb durchaus anspruchsvoll ist. Aber dennoch mach- und bezahlbar.

Ganz gleich, ob Sie schützenswertes intellektuelles Eigentum, also Patente, Software, Rezepturen, Verfahrensanleitungen usw. haben und es vor Kompromittierung oder Abgriff durch Wettbewerber schützen möchten, oder ob Sie verhindern möchten, ein willkürlich ausgewähltes bzw. „gefundenes“ Angriffsziel von Straftätern zu werden, die nach Ihrem sauer Verdientem trachten und dabei weitreichende, existenzbedrohende Datenverluste als Kollateralschäden billigend in Kauf nehmen: Ergreifen Sie Schutzmaßnahmen! Hängen Sie Ihre Toilettentür wieder ein! Jedes andere Vorgehen stinkt zum Himmel.