Staatstrojaner et al.

Eine der Vorlesungen, die ich Ende der 90er Jahre an der ETH Zürich besuchte, hatte Betriebssystem-Konzepte zum Thema. In der Vorlesung lernte ich u.a. zwischen Politiken (policies) und Mechanismen (mechanisms) zu unterscheiden. Letztere setzen erstere um, so dass für dieselbe Politik (policy) mehrere Mechanismen (mechanisms) in Frage kommen könnten, was eine sorgfältige Abwägung ihrer Vor- und Nachteile notwendig macht.

Im Rahmen der BÜPF-Revision soll nun auch der Einsatz von Staatstrojanern in gewissen Fällen erlaubt werden (Futur I …). Mit der Politik (policy), die Privatheit “der Bösen” einzuschränken, um die Sicherheit “der Guten” zu gewährleisten, habe ich kein grundsätzliches Problem, wenn dabei keine faulen Kompromisse eingegangen werden. Womit ich ein grundsätzliches Problem habe, ist der Mechanismus (mechanism) des Staatstrojaners.

Damit ein Staatstrojaner seinen Zweck erfüllen kann, muss sein Hersteller Sicherheitslücken entdecken, ausnutzen und darüber Stillschweigen bewahren, damit die entsprechenden Sicherheitslücken nicht gestopft werden. Wenn also das EU-Mitglied Zypern und das Schweiz-Mitglied Zürich Staatstrojaner lizenzieren, geben sie dem Hersteller einen wirtschaftlichen Anreiz, Sicherheitslücken nicht aufzudecken. Damit weisen jedoch auch ihre eigenen Systeme die gleichen Sicherheitslücken auf – so dass beispielsweise das organisierte Verbrechen einen “Staats”-Trojaner gegen die Bundesanwaltschaft einsetzen könnte oder ein unfreundlich gesinnter Staat gegen die Armee oder

In Anlehnung an Bruce Schneier: Entweder ist ICT sicher für uns alle, oder ICT ist unsicher für uns alle. Deshalb wäre es wünschenswert, wenn die Schweiz wirtschaftliche Anreize geben würde, Sicherheitslücken aufzudecken und zu stopfen. Natürlich wäre es für die Judikative dann schwieriger, in der Schweiz 8 Personen oder so zu observieren, die nix Gutes im Schilde führen; vor allem wäre es jedoch auch viel schwieriger, 8 Millionen Schweizer zu observieren.