Konstantin Macher von Digitalcourage erklärt:
„Das Urteil macht klar, dass ein Zusammenhang besteht zwischen dem Offenhalten von Sicherheitslücken und der Gefahr für Einzelne und Unternehmen, zunehmend Opfer von Angriffen zu werden. Wer jetzt auf der einen Seite die Pegasus- und Candiru-Angriffe kritisiert, darf auf der anderen Seite bei den deutschen Sicherheitsbehörden nicht wegschauen. Wer Demokratie und Menschenrechte ernst nimmt, kann sich nicht weiter an der Förderung von Staatstrojanern und den ihnen zugrunde liegenden Sicherheitslücken beteiligen.“
Wenn eine Behörde einen kommerziellen Staatstrojaner erwirbt, dann finanziert sie damit auch die Entwicklung von Technologien, mit denen z.B. Journalist.innen ausgespäht werden. Wenn Schwachstellen zur Entwicklung eigener Staatstrojaner gekauft werden, dann beflügeln deutsche Sicherheitsbehörden diesen Markt und schaffen damit die Anreize, um neue Schwachstellen zu finden und an die höchstbietenden zu verkaufen.
Solche Sicherheitslücken betreffen nicht nur Macron, Khashoggi oder Journalist.innen in Ungarn, sondern gefährden auch die Sicherheit der breiten Bevölkerung. Im Jahr 2017 wurden weltweit IT-Systeme – auch in Krankenhäusern – durch die WannaCry-Erpressungssoftware lahmgelegt, weil die NSA Sicherheitslücken lieber selbst nutzte als diese zu melden. Jeden Zugang, den sich Behörden für digitale Systeme offen halten, steht auch Kriminellen zur Verfügung. Wenn das BKA also Sicherheitslücken für den eigenen Gebrauch zurückhält, dann trägt es eine Mitverantwortung dafür, wenn diese auch für bösartige Angriffe gegen uns alle eingesetzt werden. Diese Praxis gefährdet gleichermaßen Demokratiebewegungen, Pressefreiheit, öffentliche Infrastruktur wie auch Unternehmen oder Stalkingopfer.
Das Urteil des BVerfG macht gesetzliche Regelung zum Schutz der deutschen IT-Landschaft und Bevölkerung notwendig.
Das heutige Urteil des Bundesverfassungsgerichts bekräftigt, dass die Nutzung geheimgehaltener Sicherheitslücken ein Sicherheitsrisiko darstellt und es eine konkrete staatliche Schutzpflicht gibt. Das Gericht hält fest, dass für die Nutzung von Zero-Days für Staatstrojaner erhöhte Rechtfertigungsanforderungen gelten, da aus der Offenhaltung von Sicherheitslücken eine erhebliche Gefahr für die Sicherheit informationstechnischer Systeme resultiert. Damit erkennt es explizit an, dass diese Praxis im Konflikt mit mehreren Grundrechten steht, nämlich dem Fernmeldegeheimnis, dem Recht auf informationelle Selbstbestimmung und dem Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme.
Digitalcourage fordert, dass die Gesetzgeberin ihren Gestaltungsspielraum nutzt, um zu Gunsten der Sicherheit von Bürger.innen und Unternehmen eine behördliche und kommerzielle Nutzung von Zero-Days für den Staatstrojaner zu verbieten und stattdessen eine Meldepflicht für Behörden einführt.
Digitalcourage engagiert sich seit 1987 für Grundrechte, Datenschutz und eine lebenswerte Welt im digitalen Zeitalter. Wir sind technikaffin; doch wir wehren uns dagegen, dass unsere Demokratie "verdatet und verkauft" wird. Wir klären auf und mischen uns in Politik ein. Digitalcourage ist gemeinnützig, finanziert sich durch private Spenden und lebt durch die Arbeit vieler Freiwilliger.
digitalcourage e.V.
Marktstraße 18
33602 Bielefeld
Telefon: +49 (521) 16391639
Telefax: +49 (521) 61172
http://digitalcourage.de
Telefon: +49 (521) 1639-1639
E-Mail: presse@digitalcourage.de