taz.de -- Informatikexperte über Staatstrojaner: "Unabhängige Kontrolle nötig"

Der Professor für Informationssicherheit Hartmut Pohl wundert sich über veraltete Spähprogramme, mangelnde Prüfung und fehlendes Fachwissen in Behörden.
Bild: Bayerntrojaner unter der Lupe.

taz: Herr Pohl, die Firma DigiTask programmierte Trojaner, die extrem unsicher sind. Waren da inkompetente Informatiker am Werk?

Hartmut Pohl: Sicherheitslücken ausfindig zu machen, ist ein Sonderfeld der Informationssicherheit. Es gibt nur wenige Lehrstühle, die darauf spezialisiert sind, ähnlich sieht es bei den Unternehmen aus. Eigentlich müsste das Fachwissen bei Herstellern von Überwachungssoftware auf jeden Fall vorhanden sein. Entsprechende Programmierer, ihre Erfahrung und die aufwendigen Prüfungen, die sie durchführen müssen, kosten aber in jedem Fall viel Geld.

Was halten Sie von der Aussage von DigiTask, der gelieferte "Bayerntrojaner" sei damals der Stand der Technik gewesen?

Ich habe schon vor zehn Jahren asymmetrische Verschlüsselungssysteme empfohlen. Insofern war das verwendete symmetrisch verschlüsselte Programm auch 2008 nicht der neueste Stand, andere Produkte waren auf dem Markt vorhanden. Es muss aber jeder Fall einzeln bewertet werden: Wie sensibel sind die Daten, und wer sind potenzielle Angreifer? Sollen Informatikstudierende im vierten Semester abgewehrt werden, organisierte Kriminelle oder gar Zugriffe ausländischer Sicherheitsbehörden? Dann wäre die höchste Sicherungsstufe nötig, nicht die verwendete. Das betrifft genau diesen Fall, da die Daten auch über einen Server in den USA umgeleitet wurden.

Beim Bundeskriminalamt sind laut Innenministerium nicht die Kompetenzen vorhanden, um die Software zu überprüfen. Wie kann das sein?

Es sollte in jedem Fall eine externe Instanz eingerichtet werden, die unabhängig prüft. Und zwar unter Sicherheits-, Qualitäts- und Finanzaspekten. Denn ein Programmierer ist nicht ausgebildet, eine gerichtliche Anordnung oder ein Gesetz korrekt zu interpretieren und dann als Programm umzusetzen. Hier braucht es unabhängige Experten, die eine Bestellung vorab genau definieren, Also Juristen, die beschreiben, was das Programm können darf. Und Techniker, die konkrete Details vorgeben, etwa Verschlüsselungslängen.

Wer käme als Kontrollinstanz infrage?

Entsprechende Kompetenzen sollten bei bestehenden Institutionen wie dem Bundesrechnungshof - für Finanzielles - oder den Datenschutzbeauftragten des Bundes und der Länder aufgebaut werden. Es könnte auch die Expertise des Bundesamts für Sicherheit in der Informationstechnik genutzt werden: Stichwort IT-Grundschutz. Es könnte einen Orientierungsrahmen setzen, nach dem dann Bundestrojaner und ähnliche Software konzipiert werden könnte.

Befürchten Sie nach der Trojaneraffäre nun einen Imageschaden für Informatiker?

Ein erfahrener Informatiker wird, wenn er freundlich ist, über die ganze Sache nur schmunzeln. Der Staat muss sich neu fragen, wie viel Geld und Manpower er für die Sicherheit seiner Behördenaktivitäten einsetzen will. Da müssen einige Stellschrauben neu justiert werden.

14 Oct 2011

AUTOREN

Grass

TAGS

Schwerpunkt Überwachung
Schwerpunkt Überwachung
Schwerpunkt Überwachung
Schwerpunkt Überwachung
Schwerpunkt Überwachung
Schwerpunkt Überwachung
Schwerpunkt Überwachung
Schwerpunkt Überwachung
Schwerpunkt Überwachung
Schwerpunkt Überwachung

ARTIKEL ZUM THEMA

Datenschützer zum Bundestrojaner: Dealer beim Sexgespräch belauscht

Der Datenschutzbeauftragte Peter Schaar hat den Einsatz von Trojanern durch Bundesbehörden geprüft. Auch ein erotisches Telefonat wurde mitgeschnitten.

Skandal um staatliche Spitzelsoftware: Bund will Trojaner selbst schreiben

Sogar Unionspolitiker fordern eine unabhängige Kontrollinstanz für Staatstrojaner. CSU-Unionspolitiker Uhl strebt an, dass Experten der Regierung die Spitzelsoftware künftig selbst entwickeln.

Neue Spähsoftware-Variante entdeckt: Staatstrojaner kann auch 64 Bit

Mitarbeiter einer IT-Sicherheitsfirma entdeckten eine Trojanerversion, die auch das 64-Bit-System von Windows unterstützt – und noch mehr Programme überwachen kann.

Streit um Folgen aus Trojaner-Einsatz: Koaliton spielt Hü und Hott

Erst fordert die CDU eine klare Gesetzeslage für den Einsatz der Trojaner. Doch als die FDP ihre skeptische Haltung ablegt, ist die Union plötzlich dagegen.

Kolumne Älter werden: Lasst die armen Trojaner aus dem Spiel!

Staatlich lizensierte Spionagesoftware wird jetzt geschichtsbewusstlos nach ahnungslosen Kleinasiaten benannt: Megaquatsch hoch 10.

Streit um Bayerntrojaner: Piraten zeigen Innenminister an

Die Piratenpartei in Bayern hat Strafanzeige gegen den bayrischen Innenminister Joachim Herrmann (CSU) erstattet. Sie gehen davon aus, dass der Tatbestand der Computersabotage erfüllt sei.

Streit um den Staatstrojaner: Zehn Jahre veraltete Technik

Offenbar testen Behörden ihre Staatstrojaner nicht vor dem Einsatz - oder die Tester sind inkompetent. Netzaktivisten und Informatiker fordern nun eine unabhängige Prüfinstanz.

Trojanereinsatz in den Ländern: Der Staat ist geständig

Inzwischen haben sich alle Bundesländer zum Einsatz staatlicher Schnüffelsoftware erklärt. Sie versuchen, sich vom angeprangerten Bayerntrojaner zu distanzieren.

Bundesregierung zum Staatstrojaner: Keine eigene Expertise

Vertreter der Bundesregierung sprechen über den Staatstrojaner und wie sie sich auf die Firma Digitask verlassen. Auszüge aus der Bundespressekonferenz.

Staatliche Überwachung per Trojaner: "Stets im rechtlichen Rahmen"

Die vom Chaos Computer Club untersuchten Trojaner sorgen für Aufregung. Selbst die Kanzlerin fordert Aufklärung. Doch Bayern behauptet, der Einsatz war rechtmäßig.

Überwachung im Netz: Bundestrojaner ist Bayerntrojaner

Das Landgericht Landshut urteilte schon im Januar: Screenshots bei E-Mail-Überwachung sind unzulässig. Dennoch wurden sie in Bayern in mindestens vier Fällen weiter praktiziert.