Allein vor Ort gegen die Hacking-Behörde ZITiS

Als Überwachungsminister de Maizière am Donnerstag, 14. September 2017 die Hacking-Behörde ZITiS eröffnete, war unser IT-Security-Spezialist Hartmut Goebel mit einer Mitstreiterin vor Ort. Die bayerische Polizei hat die Zwei-Personen-Versammlung aufgelöst, die Botschaft „Staatstrojaner stoppen!“ kam trotzdem an…
Fotogalerie ansehen

Trotz Regen standhaft gegen ZITiS

Eineinhalb Stunden standen unsere beiden Mitglieder Hartmut und Evi im Regen, um der Presse und dem Innenminister zu erklären, dass die Hacking-Behörde ZITiS ein Risiko für die Sicherheit von Infrastruktur, Bevölkerung und Unternehmen ist:

„Innenminister Thomas de Maizière will, dass ZITiS Sicherheitslücken in Betriebssystemen, Apps, Programmen und Kommunikationsgeräten ausnutzt. Das ist unverantwortlich, denn über diese Lücken werden weltweit täglich kritische Infrastrukturen, Unternehmen, Journalist.innen, Parlamente und Bürger.innen angegriffen. Der Staat hat die Pflicht Sicherheitslücken zu schließen und darf sie nicht fördern, darum werden wir Verfassungsbeschwerde gegen den Staatstrojaner einlegen.“

Von der Polizei aufgelöst

Der Ministertermin fand im ZITiS-Gebäude statt, zu dem Hartmut und Evi keinen Zutritt erhielten. Also positionierten sich die zwei mit ihrem Protest-Schild vor dem Eingang der Behörde. Bereits nach ein paar Minuten wurden sie von einem ZITiS-Mitarbeiter aufgefordert, das Gelände zu verlassen. Da in Bayern eine Demo schon ab zwei Personen unter das bayerische Versammlungsgesetz fällt, wurde sie prompt von der Polizei aufgelöst und die Personalien der zwei Aktivist.innen wurden aufgenommen. Überwachungsgegner.innen haben es nicht leicht: eine Fotografin von Reuters forderte uns auf, aus dem Bild zu gehen, weil die beiden Aktivist.innen und ihr Schild „nicht die Realität“ seien. Also haben wir unsere eigenen Bilder gemacht, siehe unten in der Galerie.

Die Kritik am staatlichen Hacking kam an

Bei einigen Medienvertretern kam unsere Botschaft an, beim Innenmister leider nicht. Der Bayerische Rundfunk berichtete über unsere Aktion: „ZITiS – Deutschlands neues Ohr an der digitalen Masse“ und zitiert Hartmut Goebel:

„Eine der Hauptaufgaben von dieser Behörde wird es sein, den Bundestrojaner zu entwickeln, und der Bundestrojaner ist ein schwerwiegender Eingriff in die Grundrechte der Bürger.“

Monika Ermert schrieb in ihrem Artikel „IT für Sicherheitsbehörden: Schwachstellen kann Zitis auch kaufen“ auf heise.de: „Die zwei Vertreter von Digitalcourage waren bei der Zitis-Eröffnung nicht erwünscht“. Außerdem berichtete sie, dass ZITiS, entgegen früherer Behauptungen, auch IT-Sicherheitslücken kaufen dürfe und damit den Handel mit Schwachstellen aktiv unterstütze:

„(…) de Maizière [erklärte], dass ein Ankauf von Software für Online-Durchsuchung und Quellen-TKÜ keineswegs ausgeschlossen sei. Ab wann eine Schwachstelle in der Software so gefährlich wird, dass das Zitis sie melden statt nutzen sollte, hänge von der Bewertung ab. Einen Bewertungsprozess müsse man am Zitis aber erst noch etablieren“, sagte Zitis-Direktor Wilfried Karl.

Im WDR5 argumentierte der militärische Cybertheoretiker (laut Twitter-Account) Sandro Gaycken in dem Beitrag: „Bundeshacker: Gehälter nicht "sexy", Mission schon“, dass es so viele Sicherheitslücken gäbe, dass schließen sinnlos sei. Sollen also auch Bäcker aufhören Brot zu backen, weil es sowieso nur aufgegessen wird? Da hilft aus unserer Sicht nur noch eine Verfassungsbeschwerde:

Was ist das Problem mit den Staatstrojanern, die ZITiS entwickelt?

Staatstrojaner werden über Sicherheitslücken installiert, die dafür in jedem Smartphone, Computer, Tablet und in jeder Spielekonsole vorhanden sein müssen. Damit bringt der Staat Bürgerinnen und Bürger in Gefahr, anstatt sie vor digitalen Angriffen zu schützen. Diese Hintertüren können neben der Polizei auch Geheimdienste und Kriminelle nutzen, um in Geräte einzubrechen. Der Trojaner-Einsatz kann mittelbar sogar Menschenleben kosten. Denn durch die Sicherheitslücken können nicht nur private Geräte, sondern auch öffentliche Infrastrukturen wie Krankenhäuser, Wasser- oder Stromversorgung lahmgelegt werden.

Staatliche Schutzpflicht verletzt
Schadprogramme wie WannaCry und NoPetya nutzen Sicherheitslücken und können erhebliche Schäden anrichten. Darum ist es Aufgabe des Staates, Sicherheitslücken zu schließen. ZITiS hingegen soll selbst Sicherheitslücken nutzen, um eigene Schadsoftware einzusetzen. Damit verletzt Bundesinnenminister Thomas de Maizière mit seinem Projekt das Grundrecht auf „Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme“.

Weiterführende Informationen

Titelbild: Arno Kral CC BY 4.0
Karikatur: Christiane Pfohlmann