Ausnutzen von IT-Sicherheitslücken durch Behörden

Das (1 BvR 2771/18) hat sich zur Frage geäußert, wie damit umzugehen ist, wenn Ermittlungsbehörden Kenntnis von Zero-Day-Schwachstellen erhalten – und dies ggfs. für eigene Ermittlungsmaßnahmen nutzen wollen. In einem solchen Fall sind Sicherheitsbehörden zur Abwägung der gegenläufigen Belange und unter Umständen zur Meldung an den Hersteller verpflichtet. Diese Rechtsprechung wurde in einer weiteren Entscheidung noch weiter ausgebaut, die in einem Update 2022 hier (am Ende) aufgenommen wurde.

Abwägung bei Ausnutzung von Sicherheitslücken

Dabei abzuwägen sind die Interessen der Strafverfolgung gegenüber dem Grundrecht auf Integrität informationstechnischer Systeme:

  1. Art. 10 Abs. 1 GG begründet neben einem Abwehrrecht einen Auftrag an den Staat, vor dem Zugriff privater Dritter auf die dem Fernmeldegeheimnis unterfallende Kommunikation zu schützen.
  2. a) Die grundrechtliche Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme verpflichtet den Staat, zum Schutz der Systeme vor Angriffen durch Dritte beizutragen.

    b) Die grundrechtliche Schutzpflicht des Staates verlangt auch eine Regelung zur grundrechtskonformen Auflösung des Zielkonflikts zwischen dem Schutz informationstechnischer Systeme vor Angriffen Dritter mittels unbekannter Sicherheitslücken einerseits und der Offenhaltung solcher Lücken zur Ermöglichung einer der Gefahrenabwehr dienenden Quellen- andererseits. 
  3. Für die Geltendmachung einer gesetzgeberischen Schutzpflichtverletzung bestehen spezifische Darlegungslasten. Eine solche Verfassungsbeschwerde muss den gesetzlichen Regelungszusammenhang insgesamt erfassen. Dazu gehört, dass die einschlägigen Regelungen des beanstandeten Normkomplexes jedenfalls in Grundzügen dargestellt werden und begründet wird, warum diese verfassungsrechtlich unzureichend schützen.
  4. Richtet sich eine Verfassungsbeschwerde unmittelbar gegen ein Gesetz, kann nach dem Grundsatz der Subsidiarität auch die Erhebung einer verwaltungsgerichtlichen Feststellungs- oder Unterlassungsklage zu den zuvor zu ergreifenden Rechtsbehelfen gehören. Das ist nicht erforderlich, wenn die Beurteilung einer Norm allein spezifisch verfassungsrechtliche Fragen aufwirft und von einer vorausgegangenen fachgerichtlichen Prüfung keine verbesserte Entscheidungsgrundlage zu erwarten wäre (stRspr). Dies gilt auch im Falle der Rüge einer gesetzgeberischen Schutzpflichtverletzung.

Grundsätzlich, so das Ergebnis dieser Entscheidung, werden Ermittlungsbehörden in der Lage sein, Sicherheitslücken für sich zu nutzen, ohne diese zwingend melden zu müssen. Die Entscheidung spielt noch keine größere Rolle, wird aber erhebliche Auswirkungen in Zukunft haben, speziell bei Quellen-TKÜ und Online-.

Meldepflichten von Sicherheitslücken durch Behörden

Unter Geltung des Vertrags über die Errichtung des IT-Planungsrats und über die Grundlagen der Zusammenarbeit beim Einsatz der Informationstechnologie in den Verwaltungen von Bund und Ländern ‒ Vertrag zur Ausführung von Artikel 91c GG (IT-Staatsvertrag in der Fassung der Bekanntmachung vom 13. Dezember 2019, BGBl I S. 2852) hat der IT-Planungsrat am 5. Oktober 2017 ein „Verbindliches Meldeverfahren zum Informationsaustausch über IT-Sicherheitsvorfälle im VerwaltungsCERT-Verbund (VCV) ‒ (Meldestandard)“ beschlossen (Nr. 2017/35).

Damit wurde für den Informationsaustausch für Bund und Länder als IT-Sicherheitsstandard im Sinne von § 3 Abs. 1 (jetzt § 2 Abs. 1) des IT-Staatsvertrags verbindlich (vgl. § 2 Abs. 2 Satz 2 IT-Staatsvertrag) vereinbart, dass IT-Sicherheitsvorfälle, bei denen Auswirkungen auf die Länder oder den Bund nicht ausgeschlossen werden können oder die auch für andere als relevant eingeschätzt werden, zu melden sind (§ 2 Abs. 1 des Beschlusses).

Die Meldung erfolgt unter anderem an das Bundesamt für Sicherheit in der Informationstechnik. Unter die Meldepflicht fallen auch neuartige Sicherheitslücken in IT-Produkten (vgl. § 2 Abs. 2 in Verbindung mit Anlage 1 des Beschlusses). Meldepflichtig sind nach § 3 des Beschlusses Bund und Länder.

Insofern erscheint es für das Bundesverfassungsgericht denkbar, dass das Bundesamt für Sicherheit in der Informationstechnik seine Ermessensspielräume bei der Entscheidung über den weiteren Umgang mit derartigen Kenntnissen – insbesondere bei der Erteilung von Warnungen vor Sicherheitslücken in informationstechnischen Systemen an die Öffentlichkeit oder die betroffenen Kreise nach § 7 Abs. 1 Satz 1 Nr. 1 lit. a BSIG und der Information der Hersteller – unter Berücksichtigung der grundrechtlichen Schutzpflichten ausfüllen könnte und müsste.

2022: BVerfG zur Ermächtigungsgrundlage für Ermittler

Im Jahr 2022 konnte sich das BVerfG erneut zu der Thematik äussern. Dabei ging es um zwei Ermächtigungen nach dem Hessischen Gesetz über die öffentliche Sicherheit und Ordnung (HSOG) zu verdeckten Zugriffen auf informationstechnische Systeme mit technischen Mitteln. Die Beschwerdeführer beanstandeten vor dem Bundesverfassungsgericht im Kern ein Regelungsdefizit für den behördlichen Umgang mit IT-Sicherheitslücken, die den Programmherstellern noch unbekannt sind (sogenannte Zero-Days) und die der Staat für Online-Durchsuchung und Quellen-Telekommunikationsüberwachung (Quellen-TKÜ) ausnutzen könnte.

Das Bundesverfassungsgericht sah bereits eine Unzulässigkeit der Verfassungsbeschwerde, äußerte sich aber gleichwohl dieser bedeutsamen Frage. Dabei konkretisierte es die bisherige Entscheidung.

In §15b HSOG ist ausdrücklich vorgesehen, dass das eingesetzte Mittel nach dem Stand der Technik gegen unbefugte Nutzung zu schützen ist – dies ist im Zuge der Auslegung so zu verstehen, dass eine Meldung erfolgen kann und ggfs. sogar muss:

Auf eine mögliche Auslegung der angegriffenen sowie weiterer Normen dahingehend, dass ihnen im Wege der (verfassungskonformen) Auslegung Elemente eines Regelungskonzepts für die Erfüllung der Schutzpflicht zugewiesen werden können, gehen die Beschwerdeführer nicht ein. Denkbar wäre etwa, die gesetzliche Vorgabe zum Schutz des eingesetzten Mittels gegen unbefugte Nutzung (so ausdrücklich § 15b Abs. 2 Satz 2 HSOG) in dem Sinne zu deuten, dass dies (auch) durch eine Meldung an den Hersteller geschehen könne

Der Ansatz ist augenscheinlich überzeugend, es verbleibt aber ein erhebliches Risiko: mit dieser Art der Auslegung wird der Gesetzgeber in diesem sensiblen Bereich „belohnt“ wenn er die eingriffsintensiven Gesetze ungenau formuliert. Das Ansinnen der Beschwerdeführer, zu verlangen, dass möglichst klar gesetzgeberisch konturiert sein muss, wie man mit Lücken umgeht, ist naheliegend und sinnvoll. Leider war die Beschwerde wohl nicht ausreichend formuliert – das BVerfG macht aber zugleich deutlich, dass es keinen zwingenden Regelungsbedarf sieht.

Insgesamt sehe ich in dieser Rechtsprechung eine äußerst gefährliche Entwicklung, sie ist ein Freifahrtschein für die Behörden, Lücken dauerhaft auszunutzen und die Aufforderung an den Gesetzgeber, durch schwammige Gesetze die Möglichkeiten hierfür zu schaffen. In einem von Bürokratie geprägtem Rechtsstaat, wie wir ihn heute erleben, in dem die kleinsten Details des Alltags geregelt sind, erscheint es fragwürdig, warum gerade dieser hochsensible Bereich ausgenommen wird.

Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht)
Letzte Artikel von Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht) (Alle anzeigen)
Benutzerbild von Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht)

Von Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht)

Ich bin Fachanwalt für Strafrecht + Fachanwalt für IT-Recht und widme mich beruflich ganz der Tätigkeit als Strafverteidiger und dem IT-Recht. Vor meinem Leben als Anwalt war ich Softwareentwickler. Ich bin Autor sowohl in einem renommierten StPO-Kommentar als auch in Fachzeitschriften. Dabei bin ich fortgebildet in Krisenkommunikation und Compliance.

Erreichbarkeit: Per Mail, Rückruf, Threema oder Whatsapp.

Unsere Kanzlei ist spezialisiert auf Starke Strafverteidigung, seriöses Wirtschaftsstrafrecht und anspruchsvolles IT-Recht + Kunst & Medien - ergänzt um Arbeitsrecht.