Tech

Warum der Staatstrojaner für uns alle gefährlich ist

Der Bundestag hat über ein Gesetz abgestimmt, das dem Staat das Hacken erlaubt. Ein solcher Eingriff hat nicht nur Folgen für Terrorverdächtige, sondern macht die Smartphones und Computer von jedem User unsicherer.

von Daniel Mützel
27 April 2017, 8:46am

Bild: Imago

Der Staatstrojaner ist da. Nachdem Ende April mit den Stimmen der großen Koalition die neuen Überwachungsmöglichkeiten für Polizeibehörden in Terrorermittlungen durchgewunken wurden, darf das Tool nach einem am 22.6. beschlossenen Gesetz nun auch gegen Dutzende weitere schwere Straftaten eingesetzt werden.

Tatsächlich sind diese Gesetze mehr als eine technische Kleinigkeit: Jahrelang beschränkte sich die staatliche Überwachung von Telefonen und dann auch Computern im Wesentlichen darauf, sich von Anbietern wie der Telekom oder WhatsApp einen Zugang zu Chats oder Telefonaten zu besorgen. Der Staatstrojaner geht einen Schritt weiter: Ermittler dringen in die Geräte der Zielpersonen ein und installieren ein Lauschprogramm für das ganze System.

Folgt Motherboard auf Facebook, Instagram, Snapchat und Twitter

Die Begründung der Bundesregierung für den Einsatz staatlicher Hackersoftware geht ungefähr so: Da in Zeiten des Internets ein großer Teil der Kommunikation digital abläuft und es mittlerweile ein Leichtes ist, seine Gespräche und Chats zu verschlüsseln, muss der Staat die Kommunikation mutmaßlicher Terroristen auslesen können, bevor sie verschlüsselt wird. Bisher fangen die Ermittler bei einer Überwachung die Daten erst während der Übertragung ab – Chat-Nachrichten wie zum Beispiel bei WhatsApp oder iMessage sind dann jedoch längst so verschlüsselt, dass sie für das BKA nicht zu knacken sind. Der Plan mit dem Staatstrojaner: Tief in die Geräte der Nutzer eindringen und die Daten schon abfangen, während sie eingetippt werden und noch bevor sie von anderen verschlüsselt werden. Eingesetzt werden darf die Spähsoftware laut des neuen Gesetzes allerdings nur zur Abwehr terroristischer Gefahren.

Damit die Polizisten an ihren Monitoren wirklich nur Skype-Gespräche über die nächsten Anschläge belauschen und nicht zugleich im Fotoalbum von Omas 80. herumstöbern, will der Gesetzgeber „durch technische Maßnahmen" sicherstellen, dass „ausschließlich laufende Telekommunikation überwacht und aufgezeichnet" wird, heißt es im Entwurf. Das heißt: Der Trojaner soll überhaupt nur Kommunikation, also Chats, SMS oder Anrufe, überwachen können und alle anderen Daten – Fotos vom Oma, Notizen, Videos, Terminkalender, Surfverhalten, Kontakte – unberührt lassen.

Der Staatstrojaner war schon einmal verfassungswidrig

Es ist übrigens nicht das erste Mal, dass staatliches Hacken per Gesetz legalisiert wird. Schon im Jahr 2009 fand sich eine entsprechende Regelung in der Neufassung des BKA-Gesetzes. Letztes Jahr erklärte das Bundesverfassungsgericht diesen Versuch jedoch für gescheitert: Große Teile des Gesetzes seien verfassungswidrig, da es den Einsatzradius des Trojaners nicht klar begrenze und somit unverhältnismäßig in die Privatsphäre eingreife, erklärten die Karlsruher Richter. Vor diesem Hintergrund verwundert, dass der neue Gesetzesentwurf sich an den zentralen Stellen kaum von dem Text unterscheidet, der erst im letzten April höchstrichterlich abgeschmettert wurde.

Ob das Gesetz diesen Bedenken Rechnung trägt? Laut Uli Grötsch, der im Innenausschuss die Position der SPD-Fraktion vertritt, glaubt: Ja. „Ich bin davon überzeugt, dass wir mit dem Gesetzentwurf alle Vorgaben des Bundesverfassungsgerichts umsetzen und damit eine verfassungskonforme Ausgestaltung haben werden", so Grötsch gegenüber Motherboard.

Doch nicht alle sind gleichermaßen zuversichtlich, wie scharf die BKA-Hacker die Grenze ziehen werden zwischen bloßem Mitschneiden von Kommunikation und dem Ausspähen weiterer Daten auf dem Zielgerät. In einem Antrag, der gegen das BKA-Gesetz von den Grünen in den Bundestag eingebracht wurde und der Motherboard vorliegt, wird vor allem die schwammige Formulierung des Trojaner-Paragraphen bemängelt. Das BKA dürfe „keinen Staatstrojaner einsetzen, solange nicht die technischen Anforderungen an die Software klar definiert werden", so die Parlamentarier um Konstantin von Notz.

Auch Notz' Parteikollege Hans-Christian Ströbele kritisiert das Gesetz scharf: „Es gefährdet Datenschutz und Freiheitsrechte der Bürger", so der grüne Politiker auf Anfrage, insbesondere Berufsgeheimnisträger wie Ärzte, Anwälte oder Journalisten seien betroffen. Ein weiteres Problem liege ihm zufolge darin, dass die neuen Befugnisse den BKA-Ermittlern erlaubten, nicht nur „PC und andere Kommunikationsgeräte mit sogenannten Staatstrojanern zu verwanzen", sondern „diese auch fernzusteuern".

"Stärkerer Eingriff in das Privatleben nicht vorstellbar"

Die Gefahr eines Trojaners, der technisch deutlich mehr kann, als er rechtlich darf, zeigt nicht zuletzt ein Gutachten des Chaos Computer Club (CCC) aus dem Jahr 2015, das als Expertise in die Karlsruher Entscheidung zum Bundestrojaner eingeflossen ist.

„Ein stärkerer Eingriff in den Kernbereich des Privatlebens ist kaum mehr vorstellbar", fassen die CCC-Hacker ihre Analyse zusammen. Denn der Staat könne mithilfe eines technisch versierten Trojaners die verfassungsmäßig geschützte Privat- und Intimsphäre einer Zielperson in einem ganz neuen Umfang ausspähen. Im Gegensatz zu einer physischen Abhörwanze etwa, die den Wohnbereich überwacht und nur tatsächlich gesprochene Äußerungen registriert, könnten die Behörden künftig auch auf nicht-Geäußerters, ja nur Gedachtes zugreifen.

„Wir müssen uns fragen, ob es ethisch und rechtlich vertretbar ist, dass unsere Exekutive wissentlich und indirekt den Schwarzmarkt unterstützt, auf dem das Wissen um Sicherheitslücken gehandelt wird."

Computer oder Smartphone verraten ja noch viel mehr über einen Nutzer als es die Nachrichten, die tatsächlich verschickt werden, je tun können. Das Gerät registriert schon die unausgesprochenen Ideen oder Überlegungen, etwa in Form von Text-Entwürfen. Wieder verworfene Chat-Nachricht oder E-Mails verraten oft mehr über jemanden als die letztlich gesendete Nachricht. Mit einem Staatstrojaner können Ermittler nun auch all das abfangen. Jeder nicht gepostete Facebook-Kommentar oder Tweet, der einem dumm oder peinlich erscheint oder zu viel von etwas preisgibt, könnte schon bald auf dem Monitor eines BKA-Analysten auftauchen.

Laut Thorsten Schröder, einer der Autoren des damaligen CCC-Gutachtens, könne auch das neue Gesetz technisch nicht sicherstellen, dass der Trojaner „nur" die Kommunikation überwacht und nicht auch den privaten Kernbereich. Der entsprechende Paragraph sei zwar „gut gemeint", aber ignoriere die technischen Fakten, so Schröder gegenüber Motherboard. „Das Gesetz lädt zu einem Missbrauch regelrecht ein."

Warum der Staatstrojaner nicht nur ein Problem für Terroristen, sondern eine Gefahr für uns alle sein könnte

Mit dem Trojaner-Gesetz droht jedoch nicht nur mutmaßlichen Terroristen Ungemach. Auch wenn das mächtige Späh-Tool wirklich nur gegen Terrorverdächtige eingesetzt werden sollte, gefährdet es indirekt die Sicherheit aller Internetnutzer. Denn um in das Gerät einer Zielperson eindringen und den Trojaner dort einpflanzen zu können, müssen die Ermittler zunächst eine Sicherheitslücke finden und ausnutzen. Dieses Schlupfloch, etwa in einem Betriebssystem oder einem Browser, bleibt auch nach dem Angriff der Behörden so lange offen, wie es von einer Anti-Trojaner-Software nicht gefunden wird – und stellt damit ein Einfallstor für andere Hacker dar.

Selbst wenn der Exploit von einer Sicherheitssoftware gefunden und behoben wird, nimmt das Risiko für normale Nutzer damit nicht ab: Denn der Staatstrojaner braucht immer neue Schwachstellen, um sich Zugang zum Zielgerät zu verschaffen, und sollten die BKA-Hacker mal keine finden, etwa weil die Anbieter von Anti-Trojaner-Software ihnen voraus sind, könnten sie sich auf einem Schwarzmarkt bedienen, auf dem genau solche Schwachstellen für gutes Geld gehandelt werden. Laut CCC-Gutachter Schröder könnte das eine gefährliche Dynamik auslösen: „Wir müssen uns fragen, ob es ethisch und rechtlich vertretbar ist, dass unsere Exekutive wissentlich und indirekt den Schwarzmarkt unterstützt, auf dem das Wissen um Sicherheitslücken gehandelt wird."

Die stetige Jagd nach Sicherheitslücken, um den Staatstrojaner unterzubringen, könnte das Innenministerium selbst in ein echtes Dilemma stürzen: Neben dem Bundeskriminalamt untersteht dem Innenminister nämlich auch das Bundesamt für Sicherheit in der Informationstechnologie (BSI). Die zentrale Aufgabe der Behörde, die regelmäßig Tipps veröffentlichen, wie sich die Bürger gegen Hacker und Cyberkriminelle schützen können, erklärt sich schon im Namen. Solche Aufklärung könnte im Extremfall dem Interesse des BKA diametral gegenüberstehen. „Das BKA könnte ein Interesse daran haben, dass von den Behörden genutzte Schwachstellen in verbreiteter Software länger offen bleiben", erklärt Schröder dazu. Aktuelle Sicherheitslücken könnten dann von den Tech-Firmen schlicht nicht geschlossen werden, weil diese länger nichts davon wissen. Wie staatliche Hacker Sicherheitslücken in weit verbreiterter Software ausnutzen, zeigte vor wenigen Wochen erst der Fall eines Zero-Day-Exploits, der gegen Ziele in Russland eingesetzt wurde. Die betroffene Software dürfte jeder kennen: Microsoft Word.

Der Einsatzradius des Staatstrojaners soll übrigens schon Mitte Mai ausgeweitet werden. Im Gewand der etwas dröge klingenden Reform der Strafprozessordnung könnte er schon bald bei der Verfolgung nicht-terroristischer Straftaten eingesetzt werden – und damit in vielleicht nicht allzu ferner Zukunft Tausende Computer und Handys infizieren.

Update 23.6.: Nach einem gestrigen Beschluss ist der Staatstrojaner auch in die Strafprozessordnung aufgenommen worden und darf auch bei zahlreichen weiteren Delikten eingesetzt werden. Wir haben den Text entsprechend aktualisiert.

Update: 27.4.: Die Überschrift und der Texteinstieg waren in einer früheren Version missverständlich formuliert und legten nahe, dass es sich um ein vollkommen neues Gesetz handelt. Wir haben die Überschrift und die entsprechenden Textpassagen so aktualisiert, dass deutlich wird, dass der Staatstrojaner zwar eine neue Qualität der Überwachung markiert, aber die Regelung selbst zuvor schon rechtlich legal war.

Redaktionelle Mitarbeit: Max Hoppenstedt