Platte mit Sprung

Normalerweise ist es ja wesentlich angenehmer morgens vom Radiowecker geweckt zu werden, als von einem piependen Alarmton. Hat man allerdings Deutschlandfunk als Sender eingestellt, kann man auch ein böses Erwachen erleben.

Zum Beispiel wenn einen ein Interview mit dem innenpolitischen Hardliner der CDU, Wolfgang Bosbach, aus den Träumen reißt. Bosbach tritt seit Jahren als kompromissloser Verfechter der Vorratsdatenspeicherung auf. Befragt wurde er zu der Entscheidung von Justizminister Heiko Maas, einstweilen keinen Gesetzesvorschlag zur Vorratsdatenspeicherung vorzulegen, sondern stattdessen zunächst die Entscheidung des EuGH zur Richtline zur Vorratsdatenspeichrung abzuwarten.

Nun muss man, angesichts der Tatsache dass der EU-Gerneralanwalt Pedro Cruz Villalón zumindest Probleme bei der Vereinbarkeit der derzeitigen Richtline und der Grundrechtscharta der Europäischen Union sieht, kein erklärter Gegner der Vorratsdatenspeicherung sein, um zu erkennen, dass Maas vorgehen sinnvoll ist. Da die Rechtssprechung des EuGH sehr häufig den Empfehlungen der Generalanwälte folgt, kann man zumindest eine Änderung der Richtline erwarten.

Selbst ein Befürworter der Vorratsdatenspeicherung wie Bosbach sollte erkennenen, dass es unsinnig ist, jetzt einen Gesetzgebungsprozess in Gang zu setzen, nur um in drei oder vier Monaten von vorne zu beginnen, weil die Richtline sich ändert.

Der Rest des Interviews ließ mich für einen Moment glauben, ich sei in einer Zeitschleife gefangen, wie Bill Murray in Groundhog Day.

Bosbach wiederholt dieselben Phrasen, die er seit Jahren wiederholt. Zunächst mal sind da armen Polizeien und Staatsanwaltschaften, die, wenn man Bosbach glaubt, gleich geschlossen werden können, weil sie ohne die Vorratsdatenspeicherung gar nichts mehr ermitteln können. Als Kronzeugen fährt er den Kölner Oberstaatsanwalt Egbert Bülles auf, von dem er behauptet dieser wäre der „bekannteste Staatsanwalt Deutschlands“. Nun hat sich Bülles unbestreitbar einen Namen als Ermittler gemacht, viele Erfolge im Kampf gegen die organisierte Kriminalität, besonders im Bereich Menschenhandel, sind ihm zuzuschreiben. Aber gerade das macht ihn nicht gerade zu einem glaubwürdigen Zeugen in Sachen Vorratsdatenspeicherung: Das ein Staatsanwalt, der sich der Bekämpfung von organisiertem Verbrechen verschrieben hat, gern mehr Befugnisse für sich und seine Behörde hätte, verwundert nicht.

Abgesehen davon, dass das Argument, die Aufklärungsquote steige durch die Vorratsdatenspeicherung längst widerlegt ist, benötigten die Ermittler ja auch mit der Vorratsdatenspeicherung einen Verdacht, sonst wüssten sie ja gar nicht, wo sie suchen sollen. Und, auch wenn das Herrn Bosbach vielleicht überrascht, bei einem begründeten Anfangsverdacht Kommunikationsverbindungen abhören, dürfen die Behörden schon lange.

Nur, eine Begründung warum das die Vorratsdatenspeicherung  richtig macht, ist da nicht. Wenn man der Polizei das Recht gäbe, verdächtige Personen einfach festzunehmen und beliebig lange einzusperren, oder im Zweifelsfall einfach zu erschießen ohne sich dafür rechtfertigen zu müssen, würde dies zweifelsfrei der Polizei ihre Arbeit noch mehr erleichtern. In solch einem Polizeistaat würde aber vermutlich nicht mal Herr Bosbach leben wollen.

Und dann wiederholt Bosbach, was er seit nunmehr fast acht Jahren regelmäßihg wiederkäut:

Es geht um die Datenspeicherung als solche, getrennt von den übrigen Daten, die gespeichert  werden zu Abrechnungszwecken. Es geht um Regelungen des Zugriffs auf diese Daten. Es geht ja nicht um die Inhaltsspeicherung. Die Inhalte von Kommunikation werden nicht gespeichert. Es geht nur um die sogenannten Verkehrsdaten.

Ganz so als wären gerade die Verkehrsdaten nicht das Problem. Um es noch mal deutlich zu sagen: Das Speichern der Verkehrsdaten ist das eigentliche Problem! Aus ihnen kann man die sozialen Beziehungen zwischen Menschen herauslesen, ihre Vorlieben und Abneigungen, ihre politischen Einstellungen, ihre sexuelle Orientierung. Verkehrsdaten sind eben die Daten, die das PRISM Programm der NSA im großen Stil abfängt und auswertet. Man muss sich schon Fragen unter welchem Stein Herr Bosbach im letzten halben Jahr gelebt hat, dass er das offenbar alles nicht mitbekommen hat.

Am Schluß des Interviews wird es dann völlig lächerlich, wenn Bosbach Heiko Maas vorwirft gegen die Vorratsdatenspeicherung zu sein obwohl doch im Koalitionsvertrag was anders steht. Es gilt also allein der Koalitionsvetrag, nicht etwa die Gewissensfreiheit der Abgeordneten. Zumindest wenn es nach Herrn Bosbach geht.

Das das allgemeine mimimi über eine Polizei, der die Hände gebunden sind, die Arbeit von Ermittlungsbeamten herabwürdigt, fällt da schon nicht mehr ins Gewicht.

Mit dem Bosbach ist es wohl wie mit einer kaputten Schallplatte: Man muss dieselbe Stelle immer wieder anhöhren, und stoppen tut sie auch nicht von allein. Die Platte von Herrn Bosbach wird vermutlich noch solange an derselben Stelle festhängen, wie er im Bundestag vertreten ist.

 

UPDATE 11.01.14:

Fefe meint, dass sich die Anzeichen mehren, dass die EU-Richtline wohl kurz vor dem Aus stehe. Das würde die Eile der Unionsfraktion natürlich erklären: Wenn sie zu dem Zeitpunkt, an dem die Richtline kippt noch kein Gesetz haben, dass man so belassen kann, wird es praktisch unmöglich sein, noch eines durchzusetzen. Wahrscheinlich wird dann sogar die SPD dagegen sein.

Schreibt ordentlichen Code!

Gestern hat Bundesinnenminister Hans-Peter Friedrich das neue Nationale Cyber-Abwehrzentrum offiziell eröffnet. Das klingt erst mal nach James Bond und Hacking, ist aber auf den zweiten Blick eher unspektakulär. In diesem Zentrum arbeiten Experten des BSI,des Bundeskriminalamtes, des Bundesnachrichtendienstes, des Bundesamts für Verfassungsschutz, des Bundesamts für Bevölkerungsschutz und Katasrophenhilfe sowie der Bundespolizei, der Bundeswehr und des Zollkriminalamtes.

Hans-Peter Friedrich umreißt die Aufgaben des Zentrums so:

„Wo immer ein Schadprogramm auftaucht, analysieren wir es im
Cyber-Abwehrzentrum: Wie ist seine Wirkungsweise? Welche Gegenwehr ist
denkbar? Die entwickeln wir“

Das klingt in meinen Ohren arg nach dem, was die Hersteller von Antiviren-Software so tun. Ob die sich wohl über die staatlich finanzierte Konkurrenz freuen? Bedenkt man, dass es Antiviren-Programme schon seit den achtziger Jahren gibt, klingt dieser Ansatz nicht sehr vielversprechend. Schließlich hat die Antiviren-Software gegen viele Attacken nicht geholfen. Generell hat dieser Ansatz den Nachteil, dass er immer nur aus Reaktion besteht.

Wäre es nicht sinnvoller, anstatt auf Angriffe zu reagieren, intensiver daran zu forschen, wie man Code schreibt, der weniger anfällig für Angriffe ist? Die fehlerfreie Software gibt es nicht, dafür ist Softwareentwicklung viel zu komplex.

Aber es sind immer wieder die selben Lücken, die ausgenutzt werden. Ein Großteil der Angriffe auf Webseiten läuft über sogenannte SQL-Injection-Angriffe, bei denen ein Befehl zur Datenbankabfrage in ein übertragenes Feld eingefügt wird. Viele Programme sind noch immer anfällig für Buffer-Overflow Angriffe, bei denen Zeichenketten übergeben werden, die länger sind, als vom Programmierer vorgesehen.

Es gibt noch eine ganze Reihe anderer Angriffe, die im großen und ganzen darauf aufbauen, dass Programmierfehler sich ausnutzen lassen, um sich Zugang zu einem System zu verschaffen.

Hinzu kommt, das vielerorts das Bewusstsein für Softwaresicherheit nicht vorhanden ist. Unternehmen und Behörden wollen, dass die Software möglichst leicht zu bedienen ist, die gewünschten Ergebnisse liefert, und dabei am besten nichts kostet. Bei den Herstellern sieht es nicht anders aus: Qualitätssicherung spielt, besonders bei mittelständischen Unternehmen meist, eine untergeordnete Rolle; sie ist zu teuer. Wenn überhaupt eine Kontrolle stattfindet, dann wird geprüft, ob das Programm tut, was es soll, und dabei nicht abstürzt. Sicherheitstests kommen in der Regel gar nicht vor.

Im Bereich der Unternehmenssoftware sind manche Unternehmen dazu übergegangen ihre Entwickler -ähnlich wie in der Versicherungsbranche- nach einem Prämienmodell zu bezahlen. Neben einem -mageren- Grundgehalt erhalten die Entwickler Prämien, wenn sie die vorgegebenen Termine einhalten. Dies führt natürlich dazu, dass die Entwickler nur noch versuchen ihren Termin zu halten (der meist sehr knapp kalkuliert ist), Sicherheitserwägungen spielen dann keine Rolle mehr, und die allgemeine Codequalität lässt dann auch oft genug zu wünschen übrig.

„Schreibt endlich ordentlichen Code!“, möchte man den Verantwortlichen gern zurufen. Wenn ein Cyber-Abwehrzentrum was bringen soll, muss es hier ansetzen. Bekannte Lücken bekämpfen ist eine Sache, viel wichtiger ist es aber, an Techniken zu forschen, die sicheren Code ermöglichen, Entwicklern die Arbeitsbedingungen zu schaffen, unter denen eine saubere, auf Sicherheit ausgelegte Konzeption machbar ist. Und nicht zuletzt: Das Bewusstsein bei Anwendern und Entscheidern zu stärken.

Ansonsten ist der „Cyber-War“ schon verloren.