Ratgeber

Wenn die Polizei das Handy anzapft – alles rund um Staatstrojaner

Ein Artikel von , veröffentlicht am 09.10.2019
Bild: Zypern, Aya Napa Skulpturenpark, Trojanisches Pferd. CC0 Pixabay / dimitrisvetsikas 1969

Polizei, Zoll und Geheimdienste fordern seit langem mehr Befugnisse, Handys zu überwachen. In diesem Zusammenhang fällt oft der Begriff „Staatstrojaner“. Wir erklären, was das ist, wer ihn wann einsetzen darf und warum die Überwachung per Schadsoftware die IT-Sicherheit insgesamt gefährdet.

Was ist ein Staatstrojaner?

Unter einem „Trojaner“ versteht man eine bestimmte Art von Schadsoftware, mit der man Computer, Smartphones und andere Geräte infizieren kann. Trojaner öffnen auf dem infizierten Gerät einen Zugang, über den Dritte dann zum Beispiel heimlich Daten auslesen können.

Nicht nur Menschen mit kriminellen Absichten setzen solche Trojaner ein, sondern auch staatliche Stellen wie Polizei, Geheimdienste oder Zoll. Wenn staatliche Stellen diese Schadsoftware einsetzen, spricht man vom „Staatstrojaner“. In den letzten Jahren kamen als weitere Begriffe "Bundestrojaner“, „Eurotrojaner“ und „Polizeitrojaner“ auf, die jeweils anzeigen, auf welcher staatlichen Ebene eine Spionagesoftware eingekauft oder eingesetzt wurde.

Unterschied zur „normalen“ Telefonüberwachung

In Gesetzen taucht der „Staatstrojaner“-Begriff nicht auf. Jurist*innen sprechen stattdessen von „Quellen-Telekommunikationsüberwachung“ (Quellen-TKÜ). Warum fordern Behörden zusätzlich zur konventionellen Telefonüberwachung – der Telekommunikationsüberwachung (TKÜ) – auch noch eine Quellen-TKÜ in Form eines Schadprogramms?

Bei der klassischen Telefonüberwachung greift der Telefonprovider die Gesprächsdaten eines überwachten Telefons ab und zwar während die Daten zwischen den Gesprächspartnern übertragen werden. Die Daten liefert er dann an die überwachende Behörde.

Ist der Inhalt der Nachrichten verschlüsselt, kann auch der Provider an dieser Stelle nur unlesbaren Datensalat abgreifen. Weil inzwischen ein großer Teil der Kommunikation über verschlüsselte Chats wie zum Beispiel WhatsApp oder Signal verläuft, sehen Behörden wie Polizei und Geheimdienste ihre Überwachungsmöglichkeiten schwinden.

Hier soll die Quellen-TKÜ helfen. Sie heißt so, weil diese Überwachung nicht auf der Datenleitung zwischen den Geräten, sondern direkt auf dem überwachten Gerät stattfindet, also an der "Daten-Quelle". Ein eingeschleustes Spionageprogramm kann dort Textnachrichten auslesen, noch bevor sie verschlüsselt werden.

Wer darf was? Gesetzgebung rund um den Staatstrojaner

Die Gesetzgebung zur Quellen-TKÜ hat sich in den vergangenen Jahren laufend geändert. War der Einsatz zunächst stark beschränkt, steht sie inzwischen vielen Polizeibehörden und auch bei mittlerer Alltagskriminalität zur Verfügung.

  • Seit 2017 darf der Staatstrojaner laut Strafprozessordnung (StPO) auch bei mittlerer Alltagskriminalität, wie Urkundenfälschung, eingesetzt werden. Zuvor war der Einsatz nur bei schweren Straftaten erlaubt, zum Beispiel zur Abwehr von Terrorismus.
  • Aktuell darf die Polizei in acht von 16 Bundesländern mindestens eine Version des Staatstrojaners einsetzen. In Bayern seit Mai 2018 sogar ohne konkreten Verdacht - es genügt, dass eine Person als gefährlich gilt. Es bleibt abzuwarten, ob diese Regelung vor den Verfassungsgerichten Bestand haben wird.
  • Derzeit liegt ein Gesetzesentwurf aus dem Innenministerium vor, der dem Verfassungsschutz erlauben würde, Staatstrojaner einzusetzen. Zeitgleich gibt es einen Gesetzentwurf aus dem Finanzministerium, der dem Zoll den Einsatz von Staatstrojanern zur Quellen-TKÜ erlauben würde.

Warum Staatstrojaner die IT-Sicherheit für alle gefährden

Die Forderung nach einer Quellen-TKÜ mag zunächst plausibel klingen. Sie hat aber im Gegensatz zur herkömmlichen Telefonüberwachung so viele Nachteile, dass der tatsächliche gesellschaftliche Nutzen höchst fraglich ist.

Um einen Trojaner unbemerkt auf ein Smartphone einzuschleusen, muss man Schwachstellen in der Sicherheitsarchitektur der Geräte finden und nutzen. Das führt zu der paradoxen Situation, dass die Polizei selbst nach Lücken in der Sicherheit von Smartphones und anderen Geräten suchen und diese offen halten wird.

Das gefährdet am Ende die IT-Sicherheit aller Nutzer*innen, wie der Fall „WannaCry“ eindrücklich zeigte. Im Mai 2017 hat eine Hacker-Gruppe 300 000 Windows-Computer lahmgelegt, um Geld zu erpressen. Betroffen war auch kritische Infrastruktur, darunter Krankenhäuser in Großbritannien. Die Gruppe nutze eine Schwachstelle im Betriebssystem Windows, um den Trojaner „WannaCry“ aufzuspielen. Das Brisante: Diese Schwachstelle war dem US-Geheimdienst NSA seit Jahren bekannt. Anstatt den Herstellern davon zu berichten, damit sie geschlossen wird, hielt die NSA die Lücke aber geheim, um sie selber nutzen zu können. Das ermöglichte es der Hacker-Gruppe erst, die Sicherheitslücke zu ihren Zwecken zu nutzen.

Hierin liegt ein wichtiger Unterschied zwischen herkömmlicher Telekommunikationsüberwachung (TKÜ) und Überwachung mittels Trojaner: Sogar in dem Fall, dass die Polizei einen Trojaner niemals oder nur sehr selten einsetzen würde, wird die gesamte IT-Sicherheit bereits durch die Bereithaltung der offenen Sicherheitslücken geschwächt. Sicherheitslücken müssen entweder gefunden oder eingekauft werden. Wenn der Staat nun Sicherheitslücken einkauft, dann macht er es attraktiver, entdeckte Sicherheitslücken zu Überwachungszwecken zu verkaufen, statt sie dem Hersteller zu melden.

In der Praxis: Übermotorisiert, teuer und kompliziert

Aktivist*innen fordern regelmäßig, dass die eingesetzte Software offengelegt und damit nachvollziehbar wird. Denn technisch ist mittels Trojaner auch das Aufspielen und Verändern von Daten auf dem Zielgerät möglich. Damit ist fraglich, ob die gewonnenen Daten vor Gericht überhaupt als Beweismaterial gelten können.

Bekannt geworden ist etwa der Staatstrojaner von der Firma DigiTask aus Hessen. Aktivist*innen vom Chaos Computer Club haben 2011 die Spionagesoftware untersucht und gezeigt, dass sie unzureichend vor dem Zugriff von Dritten geschützt ist und viel mehr Funktionen nachgeladen werden können, als rechtlich zulässig.

In der Praxis scheint der rechtskonforme Einsatz der Überwachungstechnologie zudem recht schwierig und teuer zu sein. So kaufte das Land Berlin 2012 einen Trojaner der Münchner Firma FinFisher, für 400.000 Euro. Er musste mehrfach nachbearbeitet werden, kam dann aber nie zum Einsatz. Für die Eigenentwicklung des Bundeskriminalamtes namens „Remote Communication Interception Software Version 1.0 und 2.0“ (RCIS), gab die Behörde 5,8 Millionen Euro aus und brauchte über vier Jahre. Die erste Version galt zudem als Flop: Sie konnte lediglich Skype-Gespräche auf Windows-PCs abhören.

Ungeklärt: Wie kommt der Trojaner aufs Telefon?

Im ersten Schritt müssen die Ermittler*innen das Zielgerät identifizieren und feststellen welches Betriebssystem darauf läuft. In der Vergangenheit wurden Gesetze bereits so angepasst, dass die Polizei zu diesem Zweck in die Wohnung der Betroffenen eindringen darf. Im zweiten Schritt wird die Spionagesoftware auf das Zielgerät eingeschleust und ausgeführt. Die Frage, auf welchem Weg dies geschieht, ist rechtlich bislang ungeklärt. Technisch gesehen können Trojaner entweder mit physischen Zugriff zum Gerät oder aus der Ferne aufgespielt werden.

Für das Aufspielen aus der Ferne gibt es zahlreiche Möglichkeiten. Denkbar sind alle Wege, auf denen Daten auf ein System gelangen, etwa Messenger- oder E-Mail-Anhänge, manipulierte Webseiten oder andere Formen von Manipulation, die Betroffene dazu bringen, ein Programm auszuführen. Auch Updates können bereits beim Hersteller so präpariert worden sein, dass sie die Schadsoftware gleich mitliefern.

Bekannt geworden sind zudem Fälle, in denen Ermittler*innen kurzzeitig physischen Zugriff auf das Gerät erlangten, etwa bei fingierten Zollkontrollen. Die Betroffene*n werden in der Regel nichts von dem eingenisteten Trojaner bemerken, er kann wochen- und monatelang dort bleiben.

Kennen Sie schon unseren Newsletter? Einmal im Monat schicken wir Ihnen aktuelle mobilsicher-Lesetipps direkt ins Postfach. Hier geht's zur Anmeldung.

Weitere Artikel

Ratgeber 

Eingeschränkte Profile (Android)

Sie teilen Ihr Tablet mit der Famlie, der WG oder den Kollegen im Büro? Dann können Sie eingeschränkte Profile für die Mitnutzer einrichten. Anders als bei den normalen Nutzerkonten kann man hier den Funktionsumfang stark einschränken.

Mehr
Ratgeber 

Schritt für Schritt: Bluetooth ausschalten

Ein ausgeschaltetes Bluetooth-Gerät kann niemand angreifen oder sich heimlich damit verbinden. Daher sollte die Funktion bei Smartphone oder Tablet nur an sein, wenn sie auch genutzt wird. Doch Vorsicht: Aus ist nicht gleich aus.

Mehr
Ratgeber 

Contact-Tracing international: Corona-Apps im Vergleich

Tracing-Apps sollen dabei helfen, Kontakte zu Corona-Infizierten nachvollziehen zu können. In vielen Ländern sind sie schon im Einsatz, wobei unterschiedlichste technische Ansätze verfolgt werden. Wir stellen einige Apps vor und schätzen ihre Wirksamkeit und ihr Datenschutzrisiko ein.

Mehr
YouTube-Video 

App Flora Incognita: Blumen & Bäume bestimmen live getestet

Unsere Redakteurin Inga war zum Blumen bestimmen im Park. Das Video von 2020 ist auch in diesem Frühling ein guter Einstieg in die App Flora Incognita. Sie wird von der Uni Ilmenau entwickelt und hilft beim Erkennen heimischer Wildpflanzen und Bäume.

Ansehen