Die Digital Society veranstaltete am Mittwoch den 21.2.2018 eine Podiumsdiskussion mit Vertretern der Software Industrie, Firmenvertretern sowie der Internet Industrie zum Thema Bundestrojaner. Just an diesem Tage wurde das vor der Wahl von ÖVP und SPÖ geschmiedete Sicherheitspaket nun mit kleinen Adaptionen im Ministerrat beschlossen und ohne weitere Begutachtung ins Parlament geschickt. Im Sicherheitspaket, das mittlerweile nach dem Inhalt auch Überwachungspaket genannt wird, beinhaltet auch den Bundestrojaner.
In der ZIB2 vom 22.2.2018 argumentiert Innenminister Kickl, dass der geplante Bundestrojaner zur Überwachung von WhatsApp und Skype gegen Schwerkriminelle eingesetzt werden soll. Die Ermittler wünschten sich Waffengleichstand mit den Kriminellen.
Das Problem mit den genannten (und vielen anderen) Messaging Diensten ist, dass die Übertragung der Nachrichten (und Sprache) bei den Messengern beinahe ausnahmslos mittlerweile Ende zu Ende verschlüsselt erfolgt. Aus diesem Grund kann eine Kommunikation weder auf der Leitung – noch auf den Servern der Anbieter abgehört werden. Diese Entwicklung wurde vor allem durch die Enthüllungen von Edward Snowden beschleunigt. Die Kommunikationsanbieter hatten nach den Enthüllungen ein Glaubwürdigkeitsproblem. Ihnen wurde teilweise unterstellt mit der NSA zusammen zu arbeiten. Durch die Verschlüsselung konnte man das Vertrauen wiederherstellen. Denn wenn der Anbieter den Inhalt einer Kommunikation nicht entschlüsseln kann, kann er ihn auch nicht an die Behörden weitergeben.
Wie kann nun die Kommunikation abgehört werden, wenn die Informationen verschlüsselt übertragen werden? Dazu gibt es mehrere Möglichkeiten:
- Man begibt sich in die Nähe des Verdächtigen bzw. bricht in dessen Wohnung ein und hört die Kommunikation über Mikrofone (Wanzen) etc. ab
- Man bricht in die Wohnung ein, und installiert eine Überwachungssoftware am Gerät des Verdächtigen (das wird bei mobilen Geräten zunehmend schwieriger)
- Man überredet den Verdächtigen die Software selbst zu installieren (Social Engineering bzw. Zusendung von E-Mails)
- Man manipuliert die Kommunikationskanäle des Verdächtigen unter Unterstützung seines Internet Providers, und verbiegt die Kommunikation so, dass statt legitimen Inhalten, die präparierte Überwachungssoftware installiert wird.
- Man dringt über eine Sicherheitslücke in das Gerät des Verdächtigen ein und installiert die Überwachungssoftware auf diese Weise.
Die Sicherheitsbehörden werden die Software natürlich nicht selbst entwickeln. In Deutschland war um Millionenbeträge versucht worden eine eigene Software zu entwickeln. Dabei ist man aber gescheitert. Danach soll laut Medienberichten die Software FinSpy der Firma FinFisher im Einsatz sein. FinFisher wird von der Deutsch-Englischen Firma Gamma entwickelt. 2014 wurde die Software auf WikiLeaks veröffentlicht. Es gibt Versionen für Windows, Linux, sowie für iPhone, Android, Blackberry, Windows Phone.
FinFisher muss für seinen Trojaner sogenannte Zero Day Exploits (also Sicherheitslücken die nicht bekannt sind) zukaufen. Die Betriebssystemhersteller zahlen Forschern Finderlohn meist mehrere 100.000 USD pro gefundener Lücke. Es gibt aber einen Graumarkt. So bietet z.B. Zerodium für einen Exploit für das aktuelle iPhone 1,5 Mio USD. Solche Sicherheitslöcher sind nur so lange verwendbar, bis sie entdeckt und geschlossen wird. Dann muss wieder eine neue Lücke angeschafft werden.
Das Problem dabei ist, dass der Staat durch den Einsatz der Staatstrojaner den Markt mit Sicherheitslücken anheizt, statt ihn zu bekämpfen. Durch diese Sicherheitslücken sind natürlich nicht nur die Verbrecher die man überwachen will betroffen, sondern alle. Unternehmen gleichermaßen wie Privatanwender. Betriebssystemhersteller (darunter auch Microsoft und RedHat) sind natürlich nicht begeistert von der Entwicklung. Sie können und wollen natürlich nicht mit den astronomischen Summen die mittlerweile am Graumarkt für Sicherheitslücken bezahlt werden mithalten.
Dass diese Sache ins Auge gehen kann und nicht fiktiv ist, hat die WannaCry Ransomware gezeigt. WannaCry hatte eine Zero Day Exploit verwendet, den die NSA gesammelt hatte und der dann abhandengekommen ist. Medienberichten zufolge hatte man die entwendete Sicherheitslücke der NSA in einem Erpressungsversuch auch zum Rückkauf angeboten. (Der Staat macht sich hier also sogar erpressbar). Nachdem der geforderte Preis nicht gezahlt wurde, wurde die Sicherheitslücke veröffentlicht. Daraufhin wurde von jemandem WannaCry – eine Malware entwickelt, die sich über das File Sharing Protokoll (SMB) von Windows verbreitet. Die Schadsoftware verbreitete sich in Windeseile in mindestens 99 Ländern und legte den spanischen Telefonprovider Telefonica sowie das englische Gesundheitssystem (NHS) sowie Anzeigetafeln der Deutschen Bahn und das chinesische Tankstellennetz lahm.
Der Staat sollte bestrebt sein, die digitale Infrastruktur so sicher wie möglich zu machen – ist doch das derzeit einzig wachsende Segment der Kriminalstatistik die Cyberkriminalität. Stattdessen fördert er diese dadurch, dass er darauf angewiesen ist, dass die Infrastruktur unsicher bleibt, damit er in vermutlich wenigen Fällen (der Einsatz des Staatstrojaners wird aus o.g. Gründen extrem teuer) Kriminelle überwachen kann, die er auf andere Weise auch überwachen könnte.
- Über den Autor
- Artikel
Werner Illsinger ist systemischer Coach, Unternehmensberater sowie Lektor an der FH-Kärnten. Sein Herzensanliegen ist es, dass Arbeit Spaß macht.
Ja, es ist eine traurige Entwicklung… dass der Staat Trojaner auf die Handys schleust, aber das Innenministerium wochenlang braucht, um die eigenen Seite via SSL zu verschlüsseln, zeigt recht drastisch, wo die Prioritäten liegen.