Hintergrund

Wenn die Polizei das Handy anzapft – alles rund um Staatstrojaner

Bild: Zypern, Aya Napa Skulpturenpark, Trojanisches Pferd. CC0 Pixabay / dimitrisvetsikas 1969

Polizei, Zoll und Geheimdienste fordern seit langem mehr Befugnisse, Handys zu überwachen. In diesem Zusammenhang fällt oft der Begriff „Staatstrojaner“. Wir erklären, was das ist, wer ihn wann einsetzen darf und warum die Überwachung per Schadsoftware die IT-Sicherheit insgesamt gefährdet.

Veröffentlicht am
Autor
Drucken

Auf einen Blick

Was ist ein Staatstrojaner?

Unter einem „Trojaner“ versteht man eine bestimmte Art von Schadsoftware, mit der man Computer, Smartphones und andere Geräte infizieren kann. Trojaner öffnen auf dem infizierten Gerät einen Zugang, über den Dritte dann zum Beispiel heimlich Daten auslesen können.

Nicht nur Menschen mit kriminellen Absichten setzen solche Trojaner ein, sondern auch staatliche Stellen wie Polizei, Geheimdienste oder Zoll. Wenn staatliche Stellen diese Schadsoftware einsetzen, spricht man vom „Staatstrojaner“. In den letzten Jahren kamen als weitere Begriffe „Bundestrojaner“, „Eurotrojaner“ und „Polizeitrojaner“ auf, die jeweils anzeigen, auf welcher staatlichen Ebene eine Spionagesoftware eingekauft oder eingesetzt wurde.

Unterschied zur „normalen“ Telefonüberwachung

In Gesetzen taucht der „Staatstrojaner“-Begriff nicht auf. Jurist*innen sprechen stattdessen von „Quellen-Telekommunikationsüberwachung“ (Quellen-TKÜ). Warum fordern Behörden zusätzlich zur konventionellen Telefonüberwachung – der Telekommunikationsüberwachung (TKÜ) – auch noch eine Quellen-TKÜ in Form eines Schadprogramms?

Bei der klassischen Telefonüberwachung greift der Telefonprovider die Gesprächsdaten eines überwachten Telefons ab und zwar während die Daten zwischen den Gesprächspartnern übertragen werden. Die Daten liefert er dann an die überwachende Behörde.

Ist der Inhalt der Nachrichten verschlüsselt, kann auch der Provider an dieser Stelle nur unlesbaren Datensalat abgreifen. Weil inzwischen ein großer Teil der Kommunikation über verschlüsselte Chats wie zum Beispiel WhatsApp oder Signal verläuft, sehen Behörden wie Polizei und Geheimdienste ihre Überwachungsmöglichkeiten schwinden.

Hier soll die Quellen-TKÜ helfen. Sie heißt so, weil diese Überwachung nicht auf der Datenleitung zwischen den Geräten, sondern direkt auf dem überwachten Gerät stattfindet, also an der „Daten-Quelle“. Ein eingeschleustes Spionageprogramm kann dort Textnachrichten auslesen, noch bevor sie verschlüsselt werden.

Wer darf was? Gesetzgebung rund um den Staatstrojaner

Warum Staatstrojaner die IT-Sicherheit für alle gefährden

Die Forderung nach einer Quellen-TKÜ mag zunächst plausibel klingen. Sie hat aber im Gegensatz zur herkömmlichen Telefonüberwachung so viele Nachteile, dass der tatsächliche gesellschaftliche Nutzen höchst fraglich ist.

Um einen Trojaner unbemerkt auf ein Smartphone einzuschleusen, muss man Schwachstellen in der Sicherheitsarchitektur der Geräte finden und nutzen. Das führt zu der paradoxen Situation, dass die Polizei selbst nach Lücken in der Sicherheit von Smartphones und anderen Geräten suchen und diese offen halten wird.

Das gefährdet am Ende die IT-Sicherheit aller Nutzer*innen, wie der Fall „WannaCry“ eindrücklich zeigte. Im Mai 2017 hat eine Hacker-Gruppe 300 000 Windows-Computer lahmgelegt, um Geld zu erpressen. Betroffen war auch kritische Infrastruktur, darunter Krankenhäuser in Großbritannien. Die Gruppe nutze eine Schwachstelle im Betriebssystem Windows, um den Trojaner „WannaCry“ aufzuspielen. Das Brisante: Diese Schwachstelle war dem US-Geheimdienst NSA seit Jahren bekannt. Anstatt den Herstellern davon zu berichten, damit sie geschlossen wird, hielt die NSA die Lücke aber geheim, um sie selber nutzen zu können. Das ermöglichte es der Hacker-Gruppe erst, die Sicherheitslücke zu ihren Zwecken zu nutzen.

Hierin liegt ein wichtiger Unterschied zwischen herkömmlicher Telekommunikationsüberwachung (TKÜ) und Überwachung mittels Trojaner: Sogar in dem Fall, dass die Polizei einen Trojaner niemals oder nur sehr selten einsetzen würde, wird die gesamte IT-Sicherheit bereits durch die Bereithaltung der offenen Sicherheitslücken geschwächt. Sicherheitslücken müssen entweder gefunden oder eingekauft werden. Wenn der Staat nun Sicherheitslücken einkauft, dann macht er es attraktiver, entdeckte Sicherheitslücken zu Überwachungszwecken zu verkaufen, statt sie dem Hersteller zu melden.

In der Praxis: Übermotorisiert, teuer und kompliziert

Aktivist*innen fordern regelmäßig, dass die eingesetzte Software offengelegt und damit nachvollziehbar wird. Denn technisch ist mittels Trojaner auch das Aufspielen und Verändern von Daten auf dem Zielgerät möglich. Damit ist fraglich, ob die gewonnen Daten vor Gericht überhaupt als Beweismaterial gelten können.

Bekannt geworden ist etwa der Staatstrojaner von der Firma DigiTask aus Hessen. Aktivist*innen vom Chaos Computer Club haben 2011 die Spionagesoftware untersucht und gezeigt, dass sie unzureichend vor dem Zugriff von Dritten geschützt ist und viel mehr Funktionen nachgeladen werden können, als rechtlich zulässig.

In der Praxis scheint der rechtskonforme Einsatz der Überwachungstechnologie zudem recht schwierig und teuer zu sein. So kaufte das Land Berlin 2012 einen Trojaner der Münchner Firma FinFisher, für 400.000 Euro. Er musste mehrfach nachbearbeitet werden, kam dann aber nie zum Einsatz. Für die Eigenentwicklung des Bundeskriminalamtes namens „Remote Communication Interception Software Version 1.0 und 2.0“ (RCIS), gab die Behörde 5,8 Millionen Euro aus und brauchte über vier Jahre. Die erste Version galt zudem als Flop: Sie konnte lediglich Skype-Gespräche auf Windows-PCs abhören.

Ungeklärt: Wie kommt der Trojaner aufs Telefon?

Im ersten Schritt müssen die Ermittler*innen das Zielgerät identifizieren und feststellen welches Betriebssystem darauf läuft. In der Vergangenheit wurden Gesetze bereits so angepasst, dass die Polizei zu diesem Zweck in die Wohnung der Betroffenen eindringen darf. Im zweiten Schritt wird die Spionagesoftware auf das Zielgerät eingeschleust und ausgeführt. Die Frage, auf welchem Weg dies geschieht, ist rechtlich bislang ungeklärt. Technisch gesehen können Trojaner entweder mit physischen Zugriff zum Gerät oder aus der Ferne aufgespielt werden.

Für das Aufspielen aus der Ferne gibt es zahlreiche Möglichkeiten. Denkbar sind alle Wege, auf denen Daten auf ein System gelangen, etwa Messenger- oder E-Mail-Anhänge, manipulierte Webseiten oder andere Formen von Manipulation, die Betroffene dazu bringen, ein Programm auszuführen. Auch Updates können bereits beim Hersteller so präpariert worden sein, dass sie die Schadsoftware gleich mitliefern.

Bekannt geworden sind zudem Fälle, in denen Ermittler*innen kurzzeitig physischen Zugriff auf das Gerät erlangten, etwa bei fingierten Zollkontrollen. Die Betroffene*n werden in der Regel nichts von dem eingenisteten Trojaner bemerken, er kann wochen- und monatelang dort bleiben.


Thematisch verwandte Artikel auf mobilsicher.de

Sie haben einen Fehler entdeckt oder vermissen einen Artikel zu einem bestimmten Thema?
Schreiben Sie uns eine E-Mail an hinweis@mobilsicher.de!