“Staat selbst als Hacker unterwegs” – Staatshaftungsfragen: “Für viele Zero Days ist der Tag X nämlich noch nicht gekommen”

Screenshot youtube.com Screenshot youtube.com

Ein “Zero Day” stellt eine äußerst mächtige Waffe dar, die sogar überlegen ist im Vergleich zu einem Maschinengewehr, Abfangjäger, Panzer oder einer Militärdrohne. Denn ein Zero Day bezeichnet eine Sicherheitslücke, welche von Hackern ebenso wie vom Militär, der Polizei und Geheimdiensten genutzt werden kann, um ein oder mehrere Systeme anzugreifen.

“Der Staat selbst als Hacker unterwegs ist, ist sehr umstritten”

>>Nachts im Kanzleramt von Marietta Slomka (Buch) <<

“Von einem Staatstrojaner ist die Rede, wenn staatliche Geheimdienste und die Polizei damit Verdächtige beschatten. Dass der Staat selbst als Hacker unterwegs ist, ist sehr umstritten. Denn Staatstrojaner und andere Schnüffelinstrumente sind super, solange damit die wirklich Bösen bekämpft werden, wie Terroristen oder Mafiosi. Aber was, wenn sie in die falschen Hände geraten? Oder der Staat selbst den Boden der Verfassung verlässt und Lust hat, Oppositionspolitiker, Journalisten und normale Bürger ohne guten Grund zu bespitzeln?”

“Staat selbst den Boden der Verfassung verlässt und Lust hat, Oppositionspolitiker, Journalisten und normale Bürger ohne guten Grund zu bespitzeln”

Und wie sieht es mit Staatstrojaner und die ungeklärten Haftungsfragen aus? Die Nutzung von Staatstrojanern zur Überwachung von Computersystemen bleibt umstritten. Obwohl Sicherheitslücken in solchen Systemen weiterhin existieren, werden diese Lücken häufig nicht ausreichend behoben. Das birgt ein erhebliches Schädigungspotenzial für die Bürger.

“Zero-Day-Attacke, auch Exploit genannt, nutzt eine bis dato unbekannte Schwachstelle in einer Computeranwendung”

>>Global Hack von Marc Goodman (Buch) <<

“Eine Zero-Day-Attacke, auch Exploit genannt, nutzt eine bis dato unbekannte Schwachstelle in einer Computeranwendung, die Entwickler und Sicherheitsleute noch nicht beseitigt haben. Statt proaktiv selbst nach solchen Schwachstellen zu suchen, berücksichtigen Antivirus-Softwarefirmen in der Regel nur bekannte Datenpunkte.”

Staatstrojaner und die ungeklärten Haftungsfragen

Der Hauptgrund dafür ist das Fehlen einer klaren Regelung bezüglich der Haftungsfrage bei Missbrauch oder Schadensfällen durch staatliche Eingriffe mittels Trojaner-Software. Es besteht eine große Unsicherheit darüber, wer im Fall eines Vorfalls verantwortlich gemacht werden kann. Diese Situation öffnet Tür und Tor für möglichen Missbrauch seitens krimineller Hacker, die ebenfalls auf diese Sicherheitslücken zugreifen können.

“Solche Lücken hätten ein erhebliches Schädigungspotenzial”

>>Süddeutsche Zeitung<<

“Wenn Behörden “von einer Sicherheitslücke wissen, die der Hersteller nicht kennt, trifft den Staat eine konkrete grundrechtliche Schutzpflicht”. Denn solche Lücken hätten ein erhebliches Schädigungspotenzial. Zwar bestehe kein grundrechtlicher Anspruch darauf, jede Sicherheitslücke sofort und unbedingt dem Hersteller zu melden. Aber zumindest müsse geregelt werden, wie Behörden diesen Zielkonflikt zwischen dem Schutz informationstechnischer Systeme und der Offenhaltung solcher Lücken zum Einsatz der Quellen-TKÜ aufzulösen haben.”

“Wie Behörden diesen Zielkonflikt zwischen dem Schutz informationstechnischer Systeme und der Offenhaltung solcher Lücken zum Einsatz der Quellen-TKÜ” 

Die unklare rechtliche Lage verstärkt dieses Risiko zusätzlich. Um diesem Problem effektiv entgegenzuwirken, ist es dringend erforderlich, dass sowohl Politik als auch Rechtssystem Maßnahmen ergreifen. Ein konkretes Beispiel: Wenn einem Geheimdienst ein Zero Day in einem Betriebssystem bekannt ist, so ermöglicht es ihm diese Schwachstelle Computer auszuspionieren durch das Einschleusen von Viren, Würmern oder Trojanern auf dem betreffenden Rechner sowie das Absaugen des Datenflusses und die Auswertung der Kommunikation.

“Schwachstellen lassen Staatstrojaner auf das iPhone”

>>Golem<<

“Schwachstellen lassen Staatstrojaner auf das iPhone – Zwei Schwachstellen in iOS 16.6 werden aktiv ausgenutzt, um die Spionagesoftware Pegasus auf iPhones zu installieren. … Einem Bericht von Bleeping Computer zufolge handelt es sich bei CVE-2023-41064 um eine Schwachstelle, mit der sich durch speziell gestaltete Bilder ein Pufferüberlauf erzeugen lässt.”

“Zwei Schwachstellen in iOS 16.6 werden aktiv ausgenutzt, um die Spionagesoftware Pegasus auf iPhones zu installieren”

In diesem Zusammenhang sollte jedem Nutzer bewusst sein, dass seine Geräte möglicherweise gehackt wurden und somit Daten abgelesen bzw. eingespielt werden können. Es gibt zahlreiche solcher Lücken unbekannter Herkunft sowie viele weitere Lücken bekannter Hersteller, jedoch existieren noch weitaus mehr Lücken lediglich im Besitz von Hackern oder Behörden respektive Geheimdiensten sind. Die Hersteller erhalten erst dann Kenntnis über Sicherheitslücken in ihren Systemen wenn diese für Hacker nicht länger attraktiv sind oder wenn – wie beim Fall der Ransomware WannaCry – wo augenscheinlich Informationen aus geheimdienstlichen Abteilungen ungewollt nach außen gelangen.

“Cyberattacke mit WannaCry-Schadprogrammen weltweit über 200000 Computer in 150 Ländern”

>>Nächste Ausfahrt Zukunft von Ranga Yogeshwar (Buch) <<

“Während ich dieses Buch schrieb, infizierte die Cyberattacke mit WannaCry-Schadprogrammen weltweit über 200000 Computer in 150 Ländern. Diese Attacke war ein erster Vorgeschmack auf das, was noch kommen könnte. Krankenhäuser, Energie- und Wasserversorgung, Verkehrssysteme und ganze Produktionsbereiche sind im Internetzeitalter auf neue Weise verwundbar geworden.”

“WannaCry” – “Vorgeschmack auf das, was noch kommen könnte”

Wie würde eine weltweite adäquate Entschädigung für die die Cyberattacke mit WannaCry-Schadprogrammen ausehen? – Es würde vermutlich das Bruttoinlandsprodukt der allermeisten Staaten sprengen. Deswegen ist es auch nicht verwunderlich, warum die Rechtssprechung keine verbindlichen Aussagen zu Haftungsfragen macht. Eine alternative Variante wäre, es sollte eine Rückkehr zur alten IT-Sicherheitskultur stattfinden, wo Sicherheitslücken unmittelbar nach Bekanntwerden geschlossen werden.

“Gibt es unter den Zero Days viele Lücken, die man als eine Art »Schläfer« bezeichnen kann”

>>Internet of Crimes von Gerald Reischl (Buch) <<

“Nicht jede Schwachstelle macht Cyberangriffe möglich. Wie einfach oder schwierig es für Angreifer tatsächlich ist ein System zu hacken, hängt auch von der Beschaffenheit der Sicherheitslücke ab. Wollen Angreifer eine Lücke ausnützen, so schreiben sie eine Art »bösen Code«, diesen nennt man »Exploit« . Der »Zero Day Exploit Attack« (ZETA) ist ein Angriff, der an dem Tag erfolgt, an dem die hierbei ausgenutzte Schwachstelle in der entsprechenden Software entdeckt wird. In diesem Fall wird die Schwachstelle ausgenutzt, bevor sie vom Softwarehersteller durch einen Fix geschlossen werden kann. Allerdings gibt es unter den Zero Days viele Lücken, die man als eine Art »Schläfer« bezeichnen kann. Die entsprechenden Zero Day Exploit Attacks werden erst dann durchgeführt, wenn sie für den Hacker, den Geheimdienst, das Militär oder eine Behörde von Nutzen sind. Für viele Zero Days ist der Tag X nämlich noch nicht gekommen.”

“Für viele Zero Days ist der Tag X nämlich noch nicht gekommen”

Eigentlich müsste im Falle der Staatstrojaner eine klare gesetzliche Regelung zur Klärung von Haftungsfragen geschaffen werden. Es darf nicht sein, dass unsere Privatsphäre gefährdet wird und dass es keinerlei Möglichkeit zum Schutz gebe oder den Verursacher des Schadens haftbar zu machen.