Mindeststandards für staatliches Hacking

Disclaimer: Das nachfolgende Papier wurde im Rahmen des Cybersicherheitsexpert:innen-Netzwerks "Transatlantic Cyber Forum" erarbeitet. Die hier getätigten Empfehlungen sind allgemeiner Natur und sollen weltweit anwendbar sein. Sie reflektieren daher nicht ausschließlich den Umsetzungsbedarf in Deutschland, sondern beinhalten auch Empfehlungen die hier bereits umgesetzt sind. Die folgende Executive Summary hat das Ziel, die Empfehlungen des Papiers besser in den deutschen Kontext einzuordnen.

Seit 1999 gilt: Verschlüsselung soll in Deutschland nicht geschwächt oder reguliert werden, gleichzeitig muss den hiesigen Strafverfolgungsbehörden aber ermöglicht werden, ihren Aufgaben in Zeiten omnipräsenter Verschlüsselung weiterhin nachzukommen. Dieser scheinbare Gegensatz wurde 2016 in der Cyber-Sicherheitsstrategie für Deutschland mit den Worten "Sicherheit durch Verschlüsselung" und "Sicherheit trotz Verschlüsselung" nochmalig untermauert. Bei näherer Betrachtung lässt sich dieser Widerspruch aber auflösen, denn neben anderen Möglichkeiten an digitale Beweismittel zu gelangen, sollen Strafverfolger:innen hacken dürfen – und dazu muss Verschlüsselung nicht geschwächt oder reguliert werden. Zur genauen Auslegung der (technischen) Befugnisse gibt es seit über einer Dekade einen politischen und rechtlichen Streit in Deutschland. Dies ist aber nur möglich, weil es hierzulande etwas gibt, was in vielen anderen Ländern – auch den Vereinigten Staaten – fehlt: einen dedizierten Rechtsrahmen für staatliches Hacken (Quellen-TKÜ und Online-Durchsuchung auch wahlweise als "Bundestrojaner" beschrieben).

Die Debatte entwickelt sich jedoch weiter und auch in Deutschland müssen bisher nicht berücksichtigte Aspekte wie zum Beispiel die Verpflichtung Dritter (unter anderem Internet- und App-Anbieter) zur Unterstützung beim staatlichem Hacking, der Einsatz besonders gefährlicher unbekannter Schwachstellen ("Zero-Days") oder die Beschaffung von Hacking-Werkzeugen und -Dienstleistungen aus dubiosen Quellen betrachtet und gegebenenfalls reguliert werden.

In dem vorliegenden Papier wird zwischen Rahmenbedingungen (strukturelle Anforderungen) und Aspekten bei der Durchführung (operative Anforderungen) von staatlichem Hacken unterschieden.

Es wurden neun strukturelle Herausforderungen identifiziert, die wenn umgesetzt, einen sinnvollen Rahmen für den Einsatz von staatlichem Hacken schaffen.

1. Schaffen eines verbindlichen Rechtsrahmens für staatliches Hacken
2. Staatliche Unterstützung von Forschung zu Verschlüsselung und alternativen Beschaffungsmethoden digitaler Beweismittel
3. Aufbau eines Fähigkeitenaufbauprogramms (unter anderem für die Judikative)
4. Implementierung von Richtlinien zum Umgang mit digitalen Beweismitteln (dazu gehört die sichere Übermittlung und digitale Signaturen)
5. Aufbau eines behördenübergreifenden Dialogs (in Kooperation mit der Landesebene)
6. Begrenzung vom staatlichem Hacken auf “schwere Straftaten”
7. Veröffentlichung von Transparenzberichten
8. Verabschiedung von klaren Richtlinien für die Anbieter von Hacking-Werkzeugen und -Dienstleistungen
9. Schaffung eines staatlichen Schwachstellenmanagement-Verfahrens

Ergänzt werden diese strukturellen Komponenten durch die operativen Anforderungen beim Einsatz von Hacking-Werkzeugen und -Dienstleistungen durch Strafverfolger:innen. Hierzu gehören zum Beispiel der Schutz privilegierter Kommunikation, die Ausgestaltung richterlicher Anordnungen und das Testen sowie der Schutz von Hacking-Werkzeugen. Diese Aspekte lassen sich in die drei Bereiche Anforderungen für einen rechtssicheren Rahmen, Anforderungen um ein hohes Maß an Datenschutz und IT-Sicherheit zu gewährleisten und Anforderungen an Kontrollmechanismen gliedern.