Fasst jede Software, die wir im Alltag nutzen, hat Fehler oder Sicherheitslücken. Staatliche Behörden halten diese bewusst offen, um selbst Zugriff zu haben.

Smartphones, Router, Betriebssysteme wie Windows oder Netzwerke: Fast jede Software, die wir nutzen, hat Sicherheitslücken. Die Entwickler-Community entdeckt diese Fehler im Laufe der Zeit. Softwares werden oft von Version zu Version verbessert.

Sicherheitslücken können Millionen wert sein

Es kommt aber auch vor, dass bekannte Sicherheitslücken nicht repariert, sondern bewusst offen gehalten werden. Das passiert, wenn jemand, der solche eine Sicherheitslücke entdeckt, diese lieber im Darknet für viel Geld verkauft, statt sie zu melden. Denn manche dieser Lücken sind unter Umständen Millionen wert.

"Das passiert, wenn jemand, der so eine Sicherheitslücke entdeckt hat, sie - statt sie zu melden - lieber zum Beispiel im Darknet verkauft."
Martina Schulte. Deutschlandfunk Nova

Interessenten für Sicherheitslücken gibt es im Darknet nicht nur, weil Kriminelle diese kaufen wollen. Auch Regierungen, Geheimdienste, Sicherheitsbehörden haben weltweit ein Interesse daran, dass es diese geheime Zugänge zu den IT-Systemen gibt.

Geheimdienste und die Polizei können dadurch bei Kriminellen oder vermeintlichen Gegnern Spionagesoftware aufspielen oder auch die verschlüsselte Kommunikation überwachen.

Viele Beispiele für bekannte Sicherheitslücken

Beispiele für Sicherheitslücken, die nicht geschlossen werden, gibt es viele: Die litauische Cyberabwehr hat gerade noch vor Sicherheitslücken und Zensur-Software in chinesischen Mobiltelefonen gewarnt, betroffen waren zum Beispiel Smartphones von Xiaomi, OnePlus und Huawei.

Es ist beispielsweise auch bekannt, dass die NSA, der Auslandsgeheimdienst der USA, systematisch Sicherheitslücken in Produkte und Software US-amerikanischer Firmen eingebaut hat. In die Router der US-Firma Cisco beispielsweise oder auch bei Juniper. So heißt der weltgrößte Netzwerkausrüster.

NSA konnte systematisch ausspionieren

Die NSA hat, wie heute bekannt ist, Juniper 2015 dazu gedrängt, eine Software in seinen Produkten einzusetzen, bei der eine bestimmte Sicherheitslücke schon länger bekannt war, sagt Deutschlandfunk-Nova-Reporterin Martina Schulte.

Das hatte zur Folge, dass die NSA in fast jeder Firma, jeder Organisation mit einem größeren Netzwerk weltweit, eine sogenannte Backdoor, also Hintertüre, offen hatte. Mittlerweile ist diese Lücke geschlossen.

Hintertüre zum Atomprogramm des politischen Gegners

Eine Zeit lang war es allerdings so, dass der US-amerikanische Geheimdienst mithilfe dieser kompromittierten Netzwerk-Software das perfekte Werkzeug dazu besaß, um zum Beispiel das Atomprogramm des Irans auszuspionieren oder zu sabotieren.

Nicht nur Spionagebehörden nutzen solche Möglichkeiten, auch Strafverfolgungsbehörde, wie die Polizei machen von diesen Sicherheitslücken Gebrauch.

Potenziell große Schäden für Wirtschaft und Zivilgesellschaft

Auch Privatpersonen können diese Sicherheitslücken schaden, wenn Kriminelle diese für ihre Zwecke missbrauchen. Deswegen fordern einige Sicherheitsexperten seit Langem, dass sie behoben werden müssen.

Der Professor für Informationstechnik, Tibor Jager, von der Universität Wuppertal plädiert beispielsweise dafür, dass solche bekannten Lücken gemeldet und geschlossen werden sollten. Er befürchtet, dass dadurch potenziell große Schäden für die Wirtschaft und die Zivilgesellschaft verursacht werden können.

Fehlende Regelung macht es möglich

Bisher gibt es keine grundsätzlich Regelung dafür, dass Sicherheitsbehörden und Nachrichtendienste Sicherheitslücken bewusst offenhalten und nutzen ist nicht grundsätzlich geregelt.

Was es allerdings gibt, sind Bestimmungen in einzelnen Polizeigesetzen, die die sogenannte "Quellen-Telekommunikationsüberwachung" gestatten. Das bedeutet, dass staatliche Stellen Schwachstellen in Software ausnutzen dürfen, um Kriminelle zu überwachen.

Mehrfach Klagen gegen solche Gesetze

Gegen solche Gesetze hat es immer wieder Klagen gegeben. Das Bundesverfassungsgericht hat inzwischen deutlich gemacht, dass diese Praxis so nicht weitergeführt werden sollte. Die nächste Bundesregierung wird sich also damit befassen müssen, sagt unsere Reporterin Martina Schulte.

Sehr hoffnungsvoll ist sie allerdings nicht, grundsätzlich geht sie davon aus, dass sich nichts an den offen gehaltenen Sicherheitslücken ändern wird, weil das Interesse der Geheimdienste und Sicherheitsbehörden weltweit an diesem Thema zu groß ist.