Schwachstellen: Sind deutsche Geheimdienste auf ausländische Hilfe angewiesen?

Manchmal hacken sich Sicherheitsbehörden in Handys von gefährlichen Personen, um dort zu spionieren und die Sicherheit Deutschlands zu gewährleisten. Um das machen zu können, brauchen sie das Wissen um Sicherheitslücken in Systemen, die sie dafür ausnutzen können: sogenannte Schwachstellen. Mithilfe dieser „schwachen Stellen“ können sie in Handysysteme schlüpfen und Nachrichten mitlesen.

In Cybersicherheitskreisen sieht man das kritisch. Die Debatte um das Ausnutzen von Schwachstellen ist hochpolitisch. Denn jede offene Sicherheitslücke ist gleichzeitig eine Gefahr für die IT-Sicherheit in Deutschland. Schließlich können sie auch von Kriminellen ausgenutzt werden, was fatale Auswirkungen haben kann. Deshalb sind die Bundesbehörden gesetzlich dazu verpflichtet, neu gefundene Sicherheitslücken an das Bundesamt für Sicherheit in der Informationstechnik (BSI) zu melden.

Laut BSIG § 4 müssen Behörden seit 2010 Schwachstellen unverzüglich an das BSI melden. Nach der entsprechenden Verwaltungsvorschrift gelten zwar Ausnahmen für Polizeien und Nachrichtendienste, aber diese müssen mit Ausnahme des Bundesnachrichtendienstes (BND) die Anzahl von Fällen, in denen sie von ihrer Ausnahmeregelung Gebrauch gemacht haben, dem BSI trotzdem halbjährlich melden. Das bedeutet: Die Sicherheitsbehörden können damit die gefundenen Schwachstellen für ihre Zwecke ausnutzen, müssen das aber dem BSI immerhin jedes halbe Jahr mitteilen, ohne zu nennen, um welche Schwachstelle es sich konkret handelt. Im Fachjargon spricht man von einer Nicht-Meldung.