Kategorien
Cybercrime Blog: IT-Strafrecht & Technologiestrafrecht IT-Recht & Technologierecht IT-Sicherheit

Ausnutzen von IT-Sicherheitslücken durch Behörden

Das Bundesverfassungsgericht (1 BvR 2771/18) hat sich zur Frage geäußert, wie damit umzugehen ist, wenn Ermittlungsbehörden Kenntnis von Zero-Day-Schwachstellen erhalten – und dies ggfs. für eigene Ermittlungsmaßnahmen nutzen wollen. In einem solchen Fall sind Sicherheitsbehörden zur Abwägung der gegenläufigen Belange und unter Umständen zur Meldung an den Hersteller verpflichtet.

Abwägung bei Ausnutzung von Sicherheitslücken

Dabei abzuwägen sind die Interessen der Strafverfolgung gegenüber dem Grundrecht auf Integrität informationstechnischer Systeme:

  1. Art. 10 Abs. 1 GG begründet neben einem Abwehrrecht einen Auftrag an den Staat, vor dem Zugriff privater Dritter auf die dem Fernmeldegeheimnis unterfallende Kommunikation zu schützen.
  2. a) Die grundrechtliche Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme verpflichtet den Staat, zum Schutz der Systeme vor Angriffen durch Dritte beizutragen.

    b) Die grundrechtliche Schutzpflicht des Staates verlangt auch eine Regelung zur grundrechtskonformen Auflösung des Zielkonflikts zwischen dem Schutz informationstechnischer Systeme vor Angriffen Dritter mittels unbekannter Sicherheitslücken einerseits und der Offenhaltung solcher Lücken zur Ermöglichung einer der Gefahrenabwehr dienenden Quellen-Telekommunikationsüberwachung andererseits. 
  3. Für die Geltendmachung einer gesetzgeberischen Schutzpflichtverletzung bestehen spezifische Darlegungslasten. Eine solche Verfassungsbeschwerde muss den gesetzlichen Regelungszusammenhang insgesamt erfassen. Dazu gehört, dass die einschlägigen Regelungen des beanstandeten Normkomplexes jedenfalls in Grundzügen dargestellt werden und begründet wird, warum diese verfassungsrechtlich unzureichend schützen.
  4. Richtet sich eine Verfassungsbeschwerde unmittelbar gegen ein Gesetz, kann nach dem Grundsatz der Subsidiarität auch die Erhebung einer verwaltungsgerichtlichen Feststellungs- oder Unterlassungsklage zu den zuvor zu ergreifenden Rechtsbehelfen gehören. Das ist nicht erforderlich, wenn die Beurteilung einer Norm allein spezifisch verfassungsrechtliche Fragen aufwirft und von einer vorausgegangenen fachgerichtlichen Prüfung keine verbesserte Entscheidungsgrundlage zu erwarten wäre (stRspr). Dies gilt auch im Falle der Rüge einer gesetzgeberischen Schutzpflichtverletzung.

Grundsätzlich, so das Ergebnis dieser Entscheidung, werden Ermittlungsbehörden in der Lage sein, Sicherheitslücken für sich zu nutzen, ohne diese zwingend melden zu müssen. Die Entscheidung spielt noch keine größere Rolle, wird aber erhebliche Auswirkungen in Zukunft haben, speziell bei Quellen-TKÜ und Online-Durchsuchung.

Meldepflichten von Sicherheitslücken durch Behörden

Unter Geltung des Vertrags über die Errichtung des IT-Planungsrats und über die Grundlagen der Zusammenarbeit beim Einsatz der Informationstechnologie in den Verwaltungen von Bund und Ländern ‒ Vertrag zur Ausführung von Artikel 91c GG (IT-Staatsvertrag in der Fassung der Bekanntmachung vom 13. Dezember 2019, BGBl I S. 2852) hat der IT-Planungsrat am 5. Oktober 2017 ein „Verbindliches Meldeverfahren zum Informationsaustausch über IT-Sicherheitsvorfälle im VerwaltungsCERT-Verbund (VCV) ‒ (Meldestandard)“ beschlossen (Nr. 2017/35).

Damit wurde für den Informationsaustausch für Bund und Länder als IT-Sicherheitsstandard im Sinne von § 3 Abs. 1 (jetzt § 2 Abs. 1) des IT-Staatsvertrags verbindlich (vgl. § 2 Abs. 2 Satz 2 IT-Staatsvertrag) vereinbart, dass IT-Sicherheitsvorfälle, bei denen Auswirkungen auf die Länder oder den Bund nicht ausgeschlossen werden können oder die auch für andere als relevant eingeschätzt werden, zu melden sind (§ 2 Abs. 1 des Beschlusses).

Die Meldung erfolgt unter anderem an das Bundesamt für Sicherheit in der Informationstechnik. Unter die Meldepflicht fallen auch neuartige Sicherheitslücken in IT-Produkten (vgl. § 2 Abs. 2 in Verbindung mit Anlage 1 des Beschlusses). Meldepflichtig sind nach § 3 des Beschlusses Bund und Länder.

Insofern erscheint es für das Bundesverfassungsgericht denkbar, dass das Bundesamt für Sicherheit in der Informationstechnik seine Ermessensspielräume bei der Entscheidung über den weiteren Umgang mit derartigen Kenntnissen – insbesondere bei der Erteilung von Warnungen vor Sicherheitslücken in informationstechnischen Systemen an die Öffentlichkeit oder die betroffenen Kreise nach § 7 Abs. 1 Satz 1 Nr. 1 lit. a BSIG und der Information der Hersteller – unter Berücksichtigung der grundrechtlichen Schutzpflichten ausfüllen könnte und müsste.

Avatar of Anwaltskanzlei Ferner Redaktion

Von Anwaltskanzlei Ferner Redaktion

Unsere Kanzlei existiert seit 25 Jahren und ist hochspezialisiert – wir bieten Ihnen Strafverteidiger & IT-Anwälte, die diskret und em­pa­thisch mit etabliertem Namen im Strafrecht & IT-Recht an Ihrer Seite stehen. Bei uns finden Sie einen Fachanwalt für Strafrecht und Fachanwalt für IT-Recht – ganz bewusst auf dem Land angesiedelt, um einen spezialisierten Kontrapunkt zu Großstadt und klassischer Großkanzlei zu setzen. Unsere Anwälte verteidigen kompromisslos und hochqualifiziert im gesamten Strafrecht, Ordnungswidrigkeitenrecht und IT-Recht – speziell bei Cybercrime, BTMG, Wirtschaftsstrafrecht, Verkehrsstrafrecht, Jugendstrafrecht, Revision + bei Cybersecurity, Softwarerecht und Geschäftsgeheimnis.

Strafverteidiger-Notruf:: 01579-2374900