Die Lücken wolle der BND nutzen, um die verbreitete Verschlüsselung SSL auszuhebeln. Banken, Online-Netzwerke oder Shopping-Seiten verwenden SSL, um Kundendaten und Login-Informationen zu schützen. Der Hackerverein Chaos Computer Club (CCC) reagierte empört. Er warf dem BND vor, Bürger und Unternehmen Gefahren durch Sicherheitslücken in Computerprogrammen auszusetzen. Der CCC forderte, den Kauf der Sicherheitslücken durch deutsche Behörden zu verbieten.

Der Düsseldorfer Strafrechtler Udo Vetter erklärte im Gespräch mit unserer Redaktion, dass sich der Staat auf die gleiche Ebene mit Kriminellen begibt.

Wenn der BND Informationen über Sicherheitslücken einkaufen will, ist das vergleichbar mit der Diskussion um den Kauf von Steuer-CDs?

Udo Vetter Aus meiner Sicht ist das durchaus vergleichbar, denn der Staat begibt sich auf gleiche Ebene mit Kriminellen. Das sind Straftäter, die den Hackerpragaphen erfüllen und deswegen verfolgt werden müssten und eigentlich nicht als Geschäftspartner taugen. Hier werden Geschäfte mit Kriminellen gemacht. Das führt dazu, dass Staat die Geschäfte der Kriminellen fördert und nicht bekämpft. Hier entstehen riesige Interessenkonflikte. Wenn der kriminelle Hacker Geschäftspartner von Verfolgungsbehörden ist, wie wollen die denn da noch dessen Straftaten ernsthaft verfolgen und ihn hinter Schloss und Riegel bringen? Da tun sich riesige Widersprüche auf. Das rührt durchaus auch an rechtstaatliche Grundsätze - und zwar ganz erheblich.

Darf der Staat Informationen über Sicherheitslücken überhaupt einkaufen?

Vetter Aus meiner Sicht Nein. Es handelt sich hier um Ergebnisse von Hacker-Tätigkeiten. Es unterfällt bei uns dem Strafgesetz, wenn Sicherheitslücken konkret erforscht und ausgenutzt, und dann entsprechende Programme erstellt werden. Diese Programme sind illegal. Bei Drogengeschäften darf der Staat zwar verdeckte Ermittler einsetzen. Die verdeckten Ermittler dürfen aber keine eigenen Straftaten begehen, um Mittläufer hochnehmen zu können.

Der Staat überschreitet hier eine kritische Linie, denn er wird vom Strafverfolger, der das Interesse der Bevölkerung vertritt, zum Mitwirkenden im kriminellen Spiel. Wenn sich diese Linien verwischen, kann man nicht mehr nachvollziehen, auf welcher Seite der Staat noch steht. Abgesehen davon ist es in diesem Fall so, dass der Markt, der eigentlich ausgetrocknet werden soll, noch gefördert werden soll. Es wird Geld in illegale Aktivitäten investiert. Mit dem Geld, das der Staat bezahlt, werden deutsche Unternehmen und Privatleute ausspioniert.

Diese Informationen werden nicht ohne Grund gekauft. Sie sollen genutzt werden, um die Internet-Überwachung zu verfeinern. Sicherheitslücken in SSL sollen genutzt werden, um die Kommunikation in geschützten Internetverbindungen zu belauschen. Ist das überhaupt erlaubt?

Vetter Auch der Staat muss sich an die Gesetze halten. Wie in der normalen Kriminalität gilt auch in der Cyberkriminalität der Grundsatz, dass sich auch der Staat an die geltenden Strafgesetze zu halten hat. Wenn man sich auf das Niveau von Hackern herabbegibt und mit ihnen gemeinsame Sache macht, dann macht man sich möglicherweise auch selbst strafbar.

Die Verwendung der Software ist äußerst kritisch, denn auf der anderen Seite will der Staat das Vertrauen in die Integrität von informationstechnologische System fördern. Die Bürger sollen Sicherheit erlangen. Dazu werden sie angeleitet. Auf der anderen Seite müssen sie hören, dass der Staat diese Sicherheitslücken ausnutzt. Hier geht nicht nur juristische Sicherheit verloren, hier geht auch Vertrauen in die Rechtmäßigkeit staatlichen Handelns verloren.

Der BND erklärt, dass die Kommunikation von Ausländern überwacht werden soll. Die Kommunikation von Deutschen soll nicht betroffen sein. Trauen Sie diesem Versprechen?

Vetter Ich traue diesem Versprechen schon lange nicht mehr. Die bisher aufgedeckten Überwachungsaktivitäten des BND haben ja gezeigt, dass man sich in der Regel nur pro forma an die geltende Rechtslage hält. Schon wegen der technischen Umsetzung stellen sich Fragen: Was ist ein Auslandsgespräch? Was ist eine deutsche Mail? Wenn ich einen GMAIL-Account verwende, ist dieser deutsch oder international? Es ist letztendlich nur Augenwischerei, wenn gesagt wird, wir wollen nur ausländische Bürger abhören.

Das ganze hat schon deswegen einen schalen Beigeschmack, wenn Geheimdienste kooperieren. Wenn die Deutschen für die Italiener die Italiener abhören und die Italiener dann im Gegenzug die Deutschen, dann macht das im Kern keinen großen Unterschied mehr. Ich habe kein Vertrauen, dass die indivituellen Rechte der Bürger in nötiger Weise darauf Rücksicht genommen wird. Was technisch möglich ist, wird auch technich umgesetzt. Das geht zu Lasten des einzelnen Nutzers, und zu Lasten von Unternehmen.

Was ist denn das für ein Signal, wenn Informationen von Sicherheitslücken vom Bundesnachrichtendienst und nicht vom Bundesamt für Sicherheit in der Informationstechnik gekauft werden?

Vetter Wir haben in Deutschland eine Aufweichung des Trennungsverbots zwischen Geheimdiensten und polizeilicher Tätigkeit. Hier ist es ähnlich, da man nicht mehr weiß, wer hier handelt oder agiert, wie kooperieren die Dienste wiederrum intern miteinander. Schon alleine der Umstand, dass so ein Dienst solche Informationen oder solche Software erwirbt, und eine andere staatliche Einrichtung dem Bürger dann sagt, wir bieten bei der Abwehr solcher Softwareangriffe Hilfestellung, führt das zu einem Paradoxon. Am Ende ist immer der Bürger der Dumme, weil dann gar nicht mehr festgestellt werden kann, von wem dieser Angriff ausgeht. Diese Angriffe werden nicht unbedingt dadurch besser, dass sie angeblich staatlich legitimiert sind.

Könnte es nicht positiv für uns in Deutschland sein, dass in besonders sensiblen Fällen, wenn wir an den Heartbleed-Fall denken, der Staat über Sicherheitslücken bescheid weiß, um dann auch uns Bürger zu schützen?

Vetter Die Kernfrage ist: Will man kurzfristigen Profit daraus schlagen, dass man zum Beispiel selber solche Software nutzen kann, und unterstützt damit die Leute, die sie illegal verwenden? Oder sagt man: Der Staat, der die Kriminalität bekämpfen muss, muss das mit rechtstaatlichen Mitteln tun. Es ist zum Beispiel völlig undenkbar, dass deutsche Polizeibeamte sagen "unsere Pistolen reichen nicht mehr aus, wir kaufen uns jetzt irgendwelche Waffen auf dem Schwarzmarkt." Da darf auch nicht mit Kanonen auf Spatzen geschossen werden. Man überschreitet hier eine juristische Grenze. Es hilft nichts, wenn man das mit dem Ergebnis rechtfertigt.

Natürlich ist es so, wenn der Staat alles darf und hart durchgreifen kann und nicht an Recht und Gesetz gebunden ist, dann werden in der Tat Straftaten vielleicht verhindert, aber der Rechtsstaat bleibt dann auf der Strecke. Wenn man den Ermittlungsbehörden alles erlaubt, dann werden sie a) nicht nur korrumpierbar, sondern b) auch unberechenbar. Unberechenbare Ermittlungsbehörden führen weg von einem Rechtsstaat, hin zu einem Willkürstaat.

Udo Vetter bloggt unter www.lawblog.de und ist hierfür zum Beispiel mit dem Grimme Online Award ausgezeichnet worden.