Sicherheits-News

Risiko Staatstrojaner: Weniger Sicherheit und Privatsphäre für alle

Avast Security News Team, 25. Juni 2021 14:50:42 MESZ

Die Bundespolizei und Geheimdienste sollen Staatstrojaner gegen Personen einsetzen dürfen, die noch gar keine Straftat begangen haben. Darauf hat sich die große Koalition im Bundestag geeinigt.

Sicher haben Sie schon einmal vom sogenannten Staatstrojaner gehört, im Amtsdeutsch Quellen-TKÜ (Quellen-Telekommunikationsüberwachung) genannt. Er dient dazu, Strafverfolgern  die Möglichkeit zu geben, ohne das Wissen der betroffenen Menschen Programme auf deren Geräten zu installieren, um so an Daten zu gelangen und die Nutzer*innen zu überwachen. Jetzt hat die große Koalition sich dazu geeinigt, die Befugnisse der Sicherheitsbehörden rund um den Staatstrojaner massiv zu erweiterten. 

Staatstrojaner: Künftig präventive Überwachung möglich

Konkret hat der Bundestag im Juni für das „Gesetz zur Anpassung des Verfassungsschutzrechts“ gestimmt. Der Gesetzesentwurf muss nun noch durch das weitere Gesetzgebungsverfahren.  Der wichtigste Gesichtspunkt: Verfassungsschutz und Bundespolizei ist es künftig gestattet, eine sogenannte Quellen-Telekommunikationsüberwachung durchführen. Dazu kommt der bereits erwähnte Staatstrojaner zum Einsatz. Einfach ausgedrückt handelt es sich dabei um Software, die heimlich auf Computern und Smartphones installiert werden kann. Diese ist in der Lage, Nachrichten und Gespräche auszuwerten, bevor sie durch Apps wie WhatsApp verschlüsselt werden. Vor allem drei Punkte sind dabei heikel:

  • Die Technik war bislang allein der Polizei vorbehalten. Jetzt dürfen sie auch Geheimdienste einsetzen.
  • Bislang war ein gerichtlicher Beschluss fürs „staatliche Hacken“ nötig. Durch die verabschiedete Gesetzesreform fällt dieser weg, allein ein Straftatverdacht genügt. Die Behörden dürfen die Kommunikation von Menschen künftig also auch präventiv bespitzeln, bevor sie eine Straftat begangen haben. Im Klartext: Nicht nur bereits bekannte Schwerverbrecher und Terroristen dürfen gehackt und überwacht werden, sondern im Prinzip jeder Verdächtige.
  • Um den Staatstrojaner aufzuspielen, greifen die Ermittlungsbehörden auf die gleichen fragwürdigen Hack-Methoden wie Cyberkriminelle zu. Dies bedeutet: Zum Aufspielen des Spionageprogramms dienen in der Regel Sicherheitslücken in Betriebssystemen oder anderen Programmen.

Internetprovider als „Komplizen“

Ein weiterer diskussionswürdiger Punkt:  Die Bundesregierung holt für derartige Überwachungsmaßnahmen die Internetprovider mit ins Boot. Die sollen dazu verpflichtet werden, dem Bundesamt für Verfassungsschutz oder anderen berechtigten Behörden (…) Zugang zu den Räumlichkeiten zu gewähren sowie die Aufstellung und den Betrieb von Geräten für die Durchführung der Quellen-TKÜ zu ermöglichen. Bedeutet: Unternehmen wie die Deutsche Telekom oder Vodafone werden verpflichtet, dem Staat beim Hacken zu unterstützen.

Der Staatstrojaner von FinFisher

FinSpy ist eine Spionagesoftware für PCs und Smartphones, die entwickelt und vertrieben wird von der britisch-deutschen Firma FinFisher GmbH, die ihren Sitz in München hat und zur Gamma Group gehört. Immer wieder schaffte es FinFisher in den vergangenen Jahren in die Schlagzeilen. 

Diktaturen wie z.B. Ägypten, Äthiopien, Bahrain und Uganda schätzen die Dienste der Software und setzen sie zur gezielten Überwachung von Aktivist*innen und Journalist*innen ein. Netzpolitik.org meldete 2019, dass auch das Landeskriminalamt Berlin die FinFisher-Software gekauft habe. Das Gefährliche an der Software ist, dass es unklar ist, in welchen Händen sie sich befindet. Es ist davon auszugehen, dass neben Staaten und Geheimdiensten auch Cyberkriminelle mit der Spionagesoftware arbeiten. Sicherheitsforscher von Avast und andere Antiviren-Software-Hersteller sehen immer wieder abgewandelte Versionen von FinSpy im Umlauf.

Mehr Schaden als Nutzen?

Sicher, die Behörden benötigen Mittel, die sie beim Kampf gegen Kriminalität, Kinderpornografie im Netz, Terrorismus und Extremismus unterstützen. Es ist kein Geheimnis, dass sich solche Gruppen schon lange nicht mehr vorrangig per Telefon oder Post austauschen, sondern vielmehr über verschlüsselte Messenger-Dienste übers Internet. Trotzdem sind Werkzeuge wie der Staatstrojaner kein probates Mittel, sondern ein großes Risiko. Warum, erklärt Jaya Baloo, Chief Information Security Officer bei Avast:

„Das Dilemma des Staatstrojaners ist exemplarisch für das digitale Zeitalter, da die datenschützende Kryptografie die Möglichkeit der Behörden, auf entschlüsselte Kommunikation zuzugreifen, einschränkt. Die Regierung greift dann zu Lösungen, die die Sicherheit und Privatsphäre für uns alle verringern, indem sie versuchen, die Verschlüsselung zu schwächen, Schwachstellen auszunutzen oder Unternehmen anweisen, ihnen Zugriff zu gewähren. Oder sie greifen auf den Markt für dubiose Werkzeuge zurück, und wie wir schon am Beispiel von FinSpy gesehen haben, können solche Tools schnell in die falschen Hände geraten. Dann können sie weltweit nicht nur zur Terrorismusbekämpfung oder zur Ergreifung von Pädophilen eingesetzt werden, sondern zum Beispiel zur Überwachung der Kommunikation von Journalist*innen.

Wir haben uns dem Schutz der digitalen Privatsphäre unserer Nutzer*innen verschrieben, und der Staatstrojaner ist technisch gesehen ein Trojaner wie jeder andere, der versucht, Nutzer*innen ohne ihr Wissen auszuspionieren. Für eine Antiviren-Software spielt es keine Rolle, ob eine Regierung sie zur potenziellen Vereitelung von Straftaten einsetzt, ein Regime sie nutzt, um kritische Staatsgegner zu verfolgen, oder Cyberkriminelle sie nutzen, um persönliche Daten abzugreifen. Jeder Trojaner, jede Spyware und Stalkerware wird durch moderne Technologien wie maschinelles Lernen automatisch als unerwünschte Malware auf einem Computer oder Smartphone erkannt, blockiert und unseren Nutzer*innen gemeldet.“

Auch wenn Sie vermeintlich nichts zu befürchten haben, alle User*innen haben ein Recht auf Privatsphäre und auf private Kommunikation. Mit unseren Produkten sind Sie auf der sicheren Seite und vor allen Arten von Malware geschützt, d.h. auch vor dem Staatstrojaner.

Interessiert an mehr News von uns? Folgen Sie uns auf Facebook und auf Twitter!

Update zur Thematik vom 28.06.21: Das neue Bundespolizei-Gesetz zum Einsatz des Staatstrojaners erhielt im Bundesrat nicht die nötige Mehrheit und ist somit vorerst gestoppt.
Das Thema Staatstrojaner wird uns aber mit Sicherheit weiterhin begleiten.