Am 24. November hat sich der Untersuchungsausschuss des EU-Parlaments PEGA, der die Skandale rund um den Einsatz von Staatstrojanern in Europa untersucht, mit dem Handel von Sicherheitslücken beschäftigt. Das Parlament ist selbst betroffen, da auch Smartphones von EU-Abgeordneten mit Staatstrojanern gehackt und ausspioniert wurden.

Für den Chaos Computer Club (CCC) war Thorsten Schröder als Sachverständiger in der PEGA-Ausschuss-Sitzung. Seine Stellungnahme im Untersuchungsausschuss veröffentlichen wir hier (pdf).

Wenn das EU-Parlament Konsequenzen aus den Staatstrojaner-Skandalen ziehen und den Markt für IT-Sicherheitslücken endlich eindämmen will, könnte die EU eine wichtige Vorreiterrolle einnehmen. Wir schlagen folgende Maßnahmen vor:

Forderungen für nachhaltig sicherere Computersysteme

1) Keine Illegalisierung von Sicherheitsforschung

Um die fortwährende Bedrohung einer kleinen und skrupellosen Clique an den Drehscheiben des Zero-Day-Handels einzudämmen, muss zuerst die Prohibition der Sicherheitsforschung durch den sogenannten Hackerparagraph und vergleichbare Regelungen in anderen Ländern beendet werden. Wer im Rahmen der Ausübung seines IT-Sicherheitsberufs in die Nähe von Kriminellen gerückt wird, ist potentiell viel anfälliger, von besagten Kriminellen umarmt zu werden.

2) Ende der Käufe durch Geheimdienste und Polizeien

Das Horten ungeflickter IT-Sicherheitsprobleme durch diverse Behörden macht das Netz und unsere Computer zu einem unsicheren Ort für uns alle. Die Illusion, man sei im alleinigen Besitz des eingekauften Wissens um Schwachstellen, wirkt kindisch im Angesicht der tatsächlichen und weit dokumentierten Schäden, die in Diktaturen um die Welt durch die genau gleichen Lücken bei Journalisten, Juristen und Oppositionellen angerichtet werden.

Die einzigen tatsächlichen Gewinner dieser nutzlosen Subventionierung eines Schattenmarkts der Sicherheitslücken sind moralisch abgestumpfte digitale Söldnertruppen. Sie statten weltweit die Feinde der Demokratie mit den Zero-Days aus – aber versorgen auch gewöhnliche Cyberkriminelle, denen die abfallenden Krümel der Zero-Day-Schacherer ausreichen, um regelmäßig weltweite Erpressungstrojaner-Stürme anzufachen.

3) Verpflichtende Prozesse zum sofortigen Beheben bekanntgewordener Lücken

Alle Sicherheitslücken – egal auf welchem Wege oder welcher staatlichen Stelle sie bekannt geworden sind – müssen umgehend und in nachdrücklicher Zusammenarbeit mit dem Hersteller behoben werden. Außerdem muss ein zügiges Einspielen der Korrekturen bei allen Anwendern der betroffenen Projekte und Produkte forciert werden. Nur so kann sichergestellt werden, dass der auf Neuheit der Zero-Days angewiesene Schwarzmarkt effektiv auf seinen gammeligen Lücken von gestern sitzenbleibt.

4) Ankaufstelle für Sicherheitslücken zum Marktwert einrichten

Die EU muss neue Sicherheitslücken (Zero-Days) vom (Grau-)Markt abkaufen, um sie sofort und ohne Umweg über Geheimdienste oder Polizeien schließen zu lassen. Solange unsere Behörden und staatliche Stellen anderer Länder den Schwarzmarkt befeuern, wird es immer Hacker aus der Zwischenwelt geben, die ihre moralischen Bedenken beiseiteschieben und die Zwischenhändler mit Nachschub versorgen. Informationen über Schwachstellen müssen finanziell attraktiver entlohnt werden, als es der Zero-Day-Markt tut.

Hier kann die EU unter Aufwendung vergleichsweise übersichtlicher finanzieller Mittel einen Schutzschirm aufspannen und die Zero-Days vom Markt kaufen, bevor sie überhaupt erst zu Angriffswerkzeugen weiterentwickelt werden können. Firmen, die sich auf das sogenannte „weaponizen“ spezialisieren – also das Entwickeln vom Wissen um eine Sicherheitslücke zum fertig ausnutzbaren Infiltrationswerkzeug –, kann so das Wasser abgegraben werden. Günstiger als die wirtschaftlichen Schäden durch unregulierte oder gar subventionierte Zero-Day-Börsen ist ein solcher Schutzschirm allemal.

Solche Bug-Bounty-Programme sind nicht neu, können aber konzertiert eingesetzt die schattigen Dienstleister nachhaltig daran hindern, Diktatoren und Cyberkriminelle mit frischen Spionagewerkzeugen zu versorgen.

Links und weiterführende Informationen

• 2022: PEGA-Ausschuss-Sitzung
• 2022: CCC-Stellungnahme an den Untersuchungsausschuss zum Einsatz von Pegasus und ähnlicher Überwachungs- und Spähsoftware (PEGA) des Europäischen Parlaments (pdf)
• 2011: CCC veröffentlicht Staatstrojaner 0zapftis (Digitask-Trojaner)
• 2013: CCC veröffentlicht Hacken, Fressen & Moral
• 2014: CCC-Stellungnahme zu Fragen der IT-Sicherheit in der Post-Snowden-Ära: „Effektive IT-Sicherheit fördern“
• 2014: CCC verurteilt den Ankauf von „0days“ durch den BND
• 2015: CCC-Stellungnahme für das Bundesverfassungsgericht zum BKA-Gesetz und dem Einsatz von Staatstrojanern in Deutschland (pdf)
• 2016: CCC-Stellungnahme zur „Quellen-TKÜ“ (pdf)
• 2017: CCC-Stellungnahme: Risiken für die innere Sicherheit beim Einsatz von Schadsoftware in der Strafverfolgung
• 2018: Chaos Computer Club fordert strikt defensive Cyber-Sicherheitsstrategie
• 2018: Hessentrojaner: CCC veröffentlicht Stellungnahme zum Gesetz zur Neuausrichtung des Verfassungsschutzes in Hessen (pdf)
• 2019: CCC veröffentlicht Analyse zur Einschätzung des Verstoßes gegen EU-Exportrichtlinien durch die FinFisher GmbH in Deutschland
• 2019: Noch mehr Verfassungsbeschwerden: Hessentrojaner landet in Karlsruhe
• 2021: Stellungnahme zum ITSIG2: „Sicherheit gestalten statt Unsicherheit verwalten”
• 2021: Offener Brief: Alle gegen noch mehr Staatstrojaner
• 2022: CCC veröffentlicht Formulierungshilfe für Digitales im neuen Regierungsprogramm
• 2022: Etappensieg: Finfisher ist pleite