Ratgeber

Wenn die Polizei das Handy anzapft – alles rund um Staatstrojaner

Ein Artikel von , veröffentlicht am 09.10.2019
Bild: Zypern, Aya Napa Skulpturenpark, Trojanisches Pferd. CC0 Pixabay / dimitrisvetsikas 1969

Polizei, Zoll und Geheimdienste fordern seit langem mehr Befugnisse, Handys zu überwachen. In diesem Zusammenhang fällt oft der Begriff „Staatstrojaner“. Wir erklären, was das ist, wer ihn wann einsetzen darf und warum die Überwachung per Schadsoftware die IT-Sicherheit insgesamt gefährdet.

Was ist ein Staatstrojaner?

Unter einem „Trojaner“ versteht man eine bestimmte Art von Schadsoftware, mit der man Computer, Smartphones und andere Geräte infizieren kann. Trojaner öffnen auf dem infizierten Gerät einen Zugang, über den Dritte dann zum Beispiel heimlich Daten auslesen können.

Nicht nur Menschen mit kriminellen Absichten setzen solche Trojaner ein, sondern auch staatliche Stellen wie Polizei, Geheimdienste oder Zoll. Wenn staatliche Stellen diese Schadsoftware einsetzen, spricht man vom „Staatstrojaner“. In den letzten Jahren kamen als weitere Begriffe "Bundestrojaner“, „Eurotrojaner“ und „Polizeitrojaner“ auf, die jeweils anzeigen, auf welcher staatlichen Ebene eine Spionagesoftware eingekauft oder eingesetzt wurde.

Unterschied zur „normalen“ Telefonüberwachung

In Gesetzen taucht der „Staatstrojaner“-Begriff nicht auf. Jurist*innen sprechen stattdessen von „Quellen-Telekommunikationsüberwachung“ (Quellen-TKÜ). Warum fordern Behörden zusätzlich zur konventionellen Telefonüberwachung – der Telekommunikationsüberwachung (TKÜ) – auch noch eine Quellen-TKÜ in Form eines Schadprogramms?

Bei der klassischen Telefonüberwachung greift der Telefonprovider die Gesprächsdaten eines überwachten Telefons ab und zwar während die Daten zwischen den Gesprächspartnern übertragen werden. Die Daten liefert er dann an die überwachende Behörde.

Ist der Inhalt der Nachrichten verschlüsselt, kann auch der Provider an dieser Stelle nur unlesbaren Datensalat abgreifen. Weil inzwischen ein großer Teil der Kommunikation über verschlüsselte Chats wie zum Beispiel WhatsApp oder Signal verläuft, sehen Behörden wie Polizei und Geheimdienste ihre Überwachungsmöglichkeiten schwinden.

Hier soll die Quellen-TKÜ helfen. Sie heißt so, weil diese Überwachung nicht auf der Datenleitung zwischen den Geräten, sondern direkt auf dem überwachten Gerät stattfindet, also an der "Daten-Quelle". Ein eingeschleustes Spionageprogramm kann dort Textnachrichten auslesen, noch bevor sie verschlüsselt werden.

Wer darf was? Gesetzgebung rund um den Staatstrojaner

Die Gesetzgebung zur Quellen-TKÜ hat sich in den vergangenen Jahren laufend geändert. War der Einsatz zunächst stark beschränkt, steht sie inzwischen vielen Polizeibehörden und auch bei mittlerer Alltagskriminalität zur Verfügung.

  • Seit 2017 darf der Staatstrojaner laut Strafprozessordnung (StPO) auch bei mittlerer Alltagskriminalität, wie Urkundenfälschung, eingesetzt werden. Zuvor war der Einsatz nur bei schweren Straftaten erlaubt, zum Beispiel zur Abwehr von Terrorismus.
  • Aktuell darf die Polizei in acht von 16 Bundesländern mindestens eine Version des Staatstrojaners einsetzen. In Bayern seit Mai 2018 sogar ohne konkreten Verdacht - es genügt, dass eine Person als gefährlich gilt. Es bleibt abzuwarten, ob diese Regelung vor den Verfassungsgerichten Bestand haben wird.
  • Derzeit liegt ein Gesetzesentwurf aus dem Innenministerium vor, der dem Verfassungsschutz erlauben würde, Staatstrojaner einzusetzen. Zeitgleich gibt es einen Gesetzentwurf aus dem Finanzministerium, der dem Zoll den Einsatz von Staatstrojanern zur Quellen-TKÜ erlauben würde.

Warum Staatstrojaner die IT-Sicherheit für alle gefährden

Die Forderung nach einer Quellen-TKÜ mag zunächst plausibel klingen. Sie hat aber im Gegensatz zur herkömmlichen Telefonüberwachung so viele Nachteile, dass der tatsächliche gesellschaftliche Nutzen höchst fraglich ist.

Um einen Trojaner unbemerkt auf ein Smartphone einzuschleusen, muss man Schwachstellen in der Sicherheitsarchitektur der Geräte finden und nutzen. Das führt zu der paradoxen Situation, dass die Polizei selbst nach Lücken in der Sicherheit von Smartphones und anderen Geräten suchen und diese offen halten wird.

Das gefährdet am Ende die IT-Sicherheit aller Nutzer*innen, wie der Fall „WannaCry“ eindrücklich zeigte. Im Mai 2017 hat eine Hacker-Gruppe 300 000 Windows-Computer lahmgelegt, um Geld zu erpressen. Betroffen war auch kritische Infrastruktur, darunter Krankenhäuser in Großbritannien. Die Gruppe nutze eine Schwachstelle im Betriebssystem Windows, um den Trojaner „WannaCry“ aufzuspielen. Das Brisante: Diese Schwachstelle war dem US-Geheimdienst NSA seit Jahren bekannt. Anstatt den Herstellern davon zu berichten, damit sie geschlossen wird, hielt die NSA die Lücke aber geheim, um sie selber nutzen zu können. Das ermöglichte es der Hacker-Gruppe erst, die Sicherheitslücke zu ihren Zwecken zu nutzen.

Hierin liegt ein wichtiger Unterschied zwischen herkömmlicher Telekommunikationsüberwachung (TKÜ) und Überwachung mittels Trojaner: Sogar in dem Fall, dass die Polizei einen Trojaner niemals oder nur sehr selten einsetzen würde, wird die gesamte IT-Sicherheit bereits durch die Bereithaltung der offenen Sicherheitslücken geschwächt. Sicherheitslücken müssen entweder gefunden oder eingekauft werden. Wenn der Staat nun Sicherheitslücken einkauft, dann macht er es attraktiver, entdeckte Sicherheitslücken zu Überwachungszwecken zu verkaufen, statt sie dem Hersteller zu melden.

In der Praxis: Übermotorisiert, teuer und kompliziert

Aktivist*innen fordern regelmäßig, dass die eingesetzte Software offengelegt und damit nachvollziehbar wird. Denn technisch ist mittels Trojaner auch das Aufspielen und Verändern von Daten auf dem Zielgerät möglich. Damit ist fraglich, ob die gewonnenen Daten vor Gericht überhaupt als Beweismaterial gelten können.

Bekannt geworden ist etwa der Staatstrojaner von der Firma DigiTask aus Hessen. Aktivist*innen vom Chaos Computer Club haben 2011 die Spionagesoftware untersucht und gezeigt, dass sie unzureichend vor dem Zugriff von Dritten geschützt ist und viel mehr Funktionen nachgeladen werden können, als rechtlich zulässig.

In der Praxis scheint der rechtskonforme Einsatz der Überwachungstechnologie zudem recht schwierig und teuer zu sein. So kaufte das Land Berlin 2012 einen Trojaner der Münchner Firma FinFisher, für 400.000 Euro. Er musste mehrfach nachbearbeitet werden, kam dann aber nie zum Einsatz. Für die Eigenentwicklung des Bundeskriminalamtes namens „Remote Communication Interception Software Version 1.0 und 2.0“ (RCIS), gab die Behörde 5,8 Millionen Euro aus und brauchte über vier Jahre. Die erste Version galt zudem als Flop: Sie konnte lediglich Skype-Gespräche auf Windows-PCs abhören.

Ungeklärt: Wie kommt der Trojaner aufs Telefon?

Im ersten Schritt müssen die Ermittler*innen das Zielgerät identifizieren und feststellen welches Betriebssystem darauf läuft. In der Vergangenheit wurden Gesetze bereits so angepasst, dass die Polizei zu diesem Zweck in die Wohnung der Betroffenen eindringen darf. Im zweiten Schritt wird die Spionagesoftware auf das Zielgerät eingeschleust und ausgeführt. Die Frage, auf welchem Weg dies geschieht, ist rechtlich bislang ungeklärt. Technisch gesehen können Trojaner entweder mit physischen Zugriff zum Gerät oder aus der Ferne aufgespielt werden.

Für das Aufspielen aus der Ferne gibt es zahlreiche Möglichkeiten. Denkbar sind alle Wege, auf denen Daten auf ein System gelangen, etwa Messenger- oder E-Mail-Anhänge, manipulierte Webseiten oder andere Formen von Manipulation, die Betroffene dazu bringen, ein Programm auszuführen. Auch Updates können bereits beim Hersteller so präpariert worden sein, dass sie die Schadsoftware gleich mitliefern.

Bekannt geworden sind zudem Fälle, in denen Ermittler*innen kurzzeitig physischen Zugriff auf das Gerät erlangten, etwa bei fingierten Zollkontrollen. Die Betroffene*n werden in der Regel nichts von dem eingenisteten Trojaner bemerken, er kann wochen- und monatelang dort bleiben.

Kennen Sie schon unseren Newsletter? Einmal im Monat schicken wir Ihnen aktuelle mobilsicher-Lesetipps direkt ins Postfach. Hier geht's zur Anmeldung.

Artikel drucken:

Beitrag teilen:

Weitere Artikel

Ratgeber 

Zugriffsrechte: Was darf meine App?

Wer eine neue App auf seinem Smartphone einrichtet, wird meist aufgefordert, Zugriffe zu erlauben - zum Beispiel auf den Speicher, die Kamera oder die Anruf-Funktion. Wann Berechtigungen sinnvoll sind und wann Vorsicht ratsam ist, erklären wir hier.

Mehr YouTube-Video 

Das sind die besten 30 Apps aus dem F-Droid-Store (Android)

F-Droid ist eine Alternative zum Google Play-Store, die voll auf Datenschutz setzt. Apps dürfen nur in den Store, wenn sie quelloffen, kostenlos und werbefrei sind. Gemeinsam mit unserer Community haben wir die besten 30 Apps aus F-Droid ausgesucht.

Ansehen Ratgeber 

Android-Apps ersetzen: Kontakte

Die Kontakte-App bei Android kommt häufig von Google. Standardmäßig landen damit alle Ihre Adressbuchdaten im Internet. Wenn Sie das nicht möchten, sollten Sie die Synchronisation abschalten - oder die App gleich ganz vom Handy werfen.

Mehr Ratgeber 

So stellen Sie Ihre iCloud richtig ein

Wer ein iPhone oder iPad hat, nutzt meistens auch die iCloud. Apple hat den Cloud-Speicher mit vielen Funktionen eng verknüpft, sodass ab Werk viele Daten im Internet landen. Wer einige Daten lieber lokal speichert, kann diese Anleitung nutzen.

Mehr

Kontakt

Institut für Technik und Journalismus e.V.
Linienstraße 13
10178 Berlin

redaktion@mobilsicher.de

Lizenz

Wenn nicht anders gekennzeichnet, stehen alle Inhalte dieser Website unter der Lizenz Creative Commons Namensnennung-Keine Bearbeitung 3.0 Deutschland.

Förderung

Gefördert durch: Bundesministerium für Umwelt, Naturschutz, nukleare Sicherheit und Verbraucherschutz aufgrund eines Beschlusses des Deutschen Bundestages

Träger

Impressum Datenschutz