"Die Politik geht das Risiko bewusst ein"

DW: Hunderttausende Computer weltweit wurden am vergangenen Wochenende mit der Schadsoftware "WannaCry" infiziert. Microsoft schiebt nun der NSA und der US-Regierung die Schuld in die Schuhe: Geheimdienste würden ihnen bekannte Sicherheitslücken "horten" und entsprechende Informationen nicht an IT-Unternehmen weitergeben, hieß es in einem Blogbeitrag von Microsoft-Präsident Brad Smith. Der Hackerangriff sei ein "Weckruf" für Regierungen auf der ganzen Welt. Was ist dran an dem Vorwurf?

Falk Garbsch: Grundsätzlich deckt sich das mit dem, was wir seit Jahren bemängeln. Wir wissen, dass Geheimdienste Sicherheitslücken sammeln, um sie als digitale Waffen einsetzen zu können. Sie kaufen diese Lücken auf dem Schwarzmarkt, den es in diesem Bereich gibt, oder heuern Leute an, die die Sicherheitslücken für sie finden. Dann benutzen sie sie, um gezielt Systeme anzugreifen. Für die US-Geheimdienste sind etwa Industriespionage, Wirtschafts- und Wissenschaftsspionage interessante Felder, in denen sie sehr aktiv sind. Es geht aber auch darum, persönliche Daten zu sammeln und diese digitalen Waffen gezielt einzusetzen, um Systeme zu infizieren und in Rechnernetze einzudringen.

Das heißt, die Behörden verschweigen der IT-Branche Informationen über Schwachstellen, weil sie sie selbst nutzen wollen?

Richtig. Wenn man auf diesem Markt solche Sicherheitslücken kauft, hat man natürlich ein großes Interesse daran, dass diese möglichst lange offen bleiben und man sie möglichst lange nutzen kann, weil da eben auch sehr viel Geld fließt. Wenn aber kritische Sicherheitslücken in Betriebssystemen nicht geschlossen werden und Systeme weltweit unsicher sind, können sie eben auch von Kriminellen missbraucht werden.

Und dieses Risiko nehmen die Geheimdienste vorsätzlich in Kauf?

Nicht nur die Geheimdienste. Auch die Politik geht das Risiko bewusst ein. Wir sehen im Rahmen der Diskussion um Wahlmanipulation in den vergangenen Monaten ein digitales Aufrüsten. Sicherheitslücken werden unter dem Deckmantel der Verteidigung gehortet und die tatsächlichen Verteidigungsmechanismen dadurch ausgehebelt. Die jüngste Cyberattacke war nur die erste Welle. Wenn das so weitergeht, wenn wir Geheimdienste weiter mit digitalen Waffen ausstatten, anstatt die Sicherheitslücken zu beseitigen, müssen wir damit rechnen, dass das schlimmer wird. Die einzige Möglichkeit, sich vor Hackerangriffen zu schützen, ist eine Defensivpolitik.

Aber müssten Regierungen nicht ein Interesse daran haben, die Sicherheitslücken zu schließen, damit sie selbst nicht Opfer von Hackerangriffen werden?

Ja, natürlich. Deswegen wundert es mich, dass sie den Geheimdiensten diese Möglichkeiten einräumen. Die Politik muss endlich verstehen, dass man sich nicht auf einem nationalen Markt bewegt, sondern dass es sich hier um ein internationales Konstrukt handelt. Natürlich profitieren alle davon, wenn man Sicherheitslücken schließt. Aber es ist nun einmal nicht wie bei der klassischen Verteidigungspolitik, bei der man sich Dinge kauft und dann in ein Wettrüsten abrutscht und sagt: Hauptsache man hat die besseren Waffen. Wenn man verwundbar ist, ist man verwundbar. Wenn ich in mein Haus die besten Fenster einbaue, aber keine Tür, kann der Einbrecher trotzdem reinkommen.

Aber macht es sich Microsoft nicht zu leicht, wenn es der Politik den Schwarzen Peter zuschiebt? Schließlich ging es um eine Schwachstelle im eigenen Betriebssystem…

Es ist natürlich klar, dass Microsoft jetzt mit dem Finger auf andere zeigt und sagt: Guckt mal, die haben uns nicht informiert! Die Sicherheitslücke war ja geschlossen. Anstatt sie still und heimlich zu schließen, hätte Microsoft parallel an die Öffentlichkeit gehen und auch über die Medien kommunizieren können, dass Nutzer bitte ihre Updates installieren sollen. Das haben sie nicht getan. Andererseits haben sie natürlich damit recht, dass das, was die NSA da tut, nicht geht. Der NSA war meines Wissens seit dem vergangenen Jahr bewusst, dass ihnen die Informationen zu diesen Sicherheitslücken abhanden gekommen sind. Seitdem hätten sie Microsoft informieren können.

Glauben Sie, dass aufgrund des riesigen Ausmaßes der "WannaCry"-Attacke jetzt ein Umdenken stattfindet?

Es gibt natürlich die Hoffnung, dass auch die Politik das jetzt versteht. Aber wenn man sich die Äußerungen der letzten Tage anschaut, bin ich wenig optimistisch. Herr Dobrindt fordert wieder, dass man das IT-Sicherheitsgesetz verbessern sollte, was eigentlich nur eine Simulation von Sicherheit darstellt und überhaupt keinen faktischen Nutzen hat. Man müsste die politischen Konzepte und Ansätze, die es in diese Richtung gab, verwerfen und wirklich darüber nachdenken, an einer Veröffentlichungspflicht von Sicherheitslücken zu arbeiten und auch an einer Pflicht, diese zu melden, und zwar den Endkunden. Anders wird man den Geheimdiensten diesen Markt nicht abgraben können. Nur so können Systeme auf Dauer geschützt werden.

Regierungen, Geheimdienste und die IT-Branche tragen also alle Verantwortung. Muss auch der Nutzer stärker in die Pflicht genommen werden?

Natürlich. Wir alle nutzen diese Technologien und müssen uns damit auseinandersetzen, was wir da eigentlich tun. Wir müssen verstehen, dass diese Sicherheitsupdates wirklich wichtig sind und dass wir sie nicht Monate lang schleifen lassen können, sondern dass wir sie installieren müssen, sobald sie da sind. Wir müssen Kompetenzen entwickeln und lernen, wo die Gefahren herkommen und wie wir uns davor schützen können. Diese Verantwortung trifft jeden Einzelnen. 

Falk Garbsch ist studierter Informatiker, Softwareentwickler und Sprecher des Chaos Computer Clubs. Die Nichtregierungsorganisation beschäftigt sich mit Fragen der Computersicherheit und ist nach eigenen Angaben die größte Hackervereinigung Europas.

Das Gespräch führte Helena Kaschel.