Das passiert nur selten: „Chaos Computer Club“ (CCC) und Branchenrisen wie Google und Facebook protestieren geneinsam gegen eine geplante Gesetzesänderung der Bundesregierung: Die will Bundespolizei und Geheimdienste mit mehr Kompetenzen ausstatten – auch, mit Hilfe von Internet-Anbietern gezielt Staatstrojaner zu verteilen. Dagegen gibt es Widerstand.
Auch Kriminelle nutzen moderne Messenger wie WhatsApp oder Telegram. Clan-Kriminelle, islamische Terroristen, organisiertes Verbrechen. Für Polizei und Behörden ist das eine schwierige Sache, denn sie müssen auch observieren können, Gespräche belauschen, Kontakte ermitteln. Diese Woche hat die Bundesregierung beschlossen, den 19 Geheimdiensten den Einsatz von Staatstrojanern zu erlauben. Doch der Vorstoß ist alles andere als unumstritten. Auch Journalisten fürchten, möglicherweise abgehört zu werden.
Auch der Staat setzt Trojaner ein – die heißen dann Bundestrojaner oder Staatstrojaner. Einige Bürgerrechtler, Netzaktivisten und Journalisten setzen sich nun dafür ein, dass der Staat gar keine Staatstrojaner mehr verwenden darf. Gut – oder schlecht?
Die Hack-Aktion in unserem Regierungsnetzwerk war in den letzten Tagen immer wieder Thema. Mit Hilfe eines über Sicherheitslücken eingeschleusten Trojaner konnten die Hacker auf das Netzwerk zugreifen. Ein Trick, den durchaus auch Behörden und Regierungen verwenden.
Zum Beispiel, wenn sogenannte Staatstrojaner zum Einsatz kommen. Klappt aber nur, wenn die Schnüffelprogramme nicht entdeckt werden. Microsofts Schutz-Software jedoch warnt jetzt vor einem Staatstrojaner – sowas ist neu.
Alle reden vom Bundestrojaner, dabei haben die Experten vom Chaos Computer Club die von ihnen analysierte Software aus gutem Grund von Anfang an als Staatstrojaner bezeichnet. Sie sollten Recht behalten: Die untersuchte Schnüffel-Software kam nicht vom Bund, sondern aus einem Bundesland. Doch an der Sache ändert sich dadurch rein gar nichts: Es sind Staatstrojaner im Einsatz, und zwar im großen Stil.
Nahezu alle Bundesländer und verschiedene Behörden, ob Polizei, Zoll, Staatsschutz haben den Einsatz von Trojanern mittlerweile zugegeben. Die große Zahl, die Häufigkeit, mit der solche Trojaner offensichtlich eingesetzt werden, die hat dann doch viele überrascht. Mich auch. Und die Sorglosigkeit, mit der diese Trojaner programmiert werden, die überrascht nicht, die schockiert.
Alle, die schon vor Jahren davor gewarnt haben, Staatstrojaner ließen sich nicht wirklich steuern und kontrollieren, sollten Recht behalten – leider. Nun wird einem normal lebenden Bürger wohl nie gezielt oder versehentlich ein Staatstrojaner untergejubelt. Trotzdem ist die Verunsicherung gigantisch. Fast alle Computerbenutzer beschleicht ein mulmiges Gefühl, nach dem Motto: Der Staat kann das, dann macht er es wahrscheinlich auch – vielleicht auch bei mir. Vielleicht auch das Finanzamt, das Wohnungsamt, die Stadtverwaltung. Warum auch nicht…
Irgendwie trauen viele dem Staat alles zu – und das ist wirklich erschreckend. Es liegt vielleicht daran, dass es auch den Staatstrojaner so nie hätte geben dürfen. Wenn man selbst das Urteil des Bundesverfassungsgerichts ignoriert, dann womöglich auch die Rede des kleinen Mannes.
Brisante Entwicklung: Der Chaos Computer Club will den Staatstrojaner analysiert haben. Das Bundeskriminalamt (BKA) hingegen entgegnet, bei der vom CCC untersuchten Software handele es sich gar nicht um den sogenannten „Bundestrojaner“, sondern um irgend eine Software. Kontrollieren lässt sich derzeit weder das eine, noch das andere.
Vielleicht setzt eine andere Behörde die von der FAZ am Sonntag veröffentlichte Software ein? Es scheint jedenfalls definitiv eine Schnüffel-Software einer Behörde zu sein, kein kommerzieller Trojaner. Jedenfalls wird zu klären sein, was der Chaos Computer Club da in die Finger bekommen hat. Denn eins scheint klar: Es handelt sich um Schnüffel-Software.
Der vom Chaos Computer Club analysierte Trojaner ist jedenfalls schlampig programmiert. Eine Software, die eindeutig nicht den strengen Anforderungen genügt, die das Bundesverfassungsgericht aus gutem Grund als Voraussetzung definiert hat, um eine solche brisante Software überhaupt einsetzen zu dürfen. Schließlich dringt der Staatstrojaner tief in die Privatsphäre von Menschen ein, eine Art Online-Lauschangriff. Er soll deshalb nur in wirklich ausgewählten Situationen eingesetzt werden, ein Missbrauch soll komplett ausgeschlossen sein.
Anscheinend waren die Sorgen aller Kritiker mehr als berechtigt. Wenn es sich bei der untersuchten Software wirklich um den Staatstrojaner handelt, dann ist er lückenhaft wie ein Schweizer Käse. So ist es offensichtlich ohne weiteres möglich, auf entsprechend präparierten Computern jederzeit beliebigen Programmcode nachzuladen. Man könnte auch sagen: Solche Rechner lassen sich fernsteuern. Der Trojaner sieht dafür eine Hintertür (Backdoor) vor.
So etwas ist nötig, um andere, vorher nicht absehbare Aufgaben zu bewältigen. Das kann nicht wirklich überraschen, nahezu jeder Trojaner geht so vor. Klar, dass auch der Staatstrojaner diese Möglichkeit vorsieht. Die Behörden wollen mit dem Trojaner infiltrierte Rechner nach eigenen Vorstellungen überwachen können: Internet-Telefongespräche, Chats, E-Mails, angesteuerte Webseiten – lässt sich dann alles mitschneiden, protokollieren.
Das alleine ist schon problematisch genug, weil sich so nicht kontrollieren lässt, ob die nachgeladenen Funktionen den strengen Anforderungen des Bundesverfassungsgerichts genügen. Noch problematischer ist in meinen Augen aber, dass die Backdoor-Funktion dilettantisch programmiert zu sein scheint: Offensichtlich kann jeder mehr oder weniger dieses Einfallstor nutzen, um einen mit dem Staatstrojaner infiltrierten Rechner nach eigenen Vorstellungen zu überwachen oder zu manipulieren. Er oder sie muss lediglich wissen, dass auf dem Computer ein Staatstrojaner untergebracht ist.
Sorgfalt und verantwortungsvolles Handeln sehen anders aus. Das Mindeste wäre gewesen, eine aufwändige Verschlüsselung zu verwenden, damit nur autorisierte Stellen Programmcode nachladen können. So etwas wäre keineswegs ein Meisterstück der Programmierkunst, sondern angesichts der Brisanz wirklich selbstverständlich. Doch die Programmierer haben offenbar darauf verzichtet
Der Bundestrojaner kommt nach offizieller Auskunft des BKA bislang kaum zum Einsatz. Wenn die Auskunft stimmt. Aber niemand kann wissen, welche anderen Behörden den Trojaner nutzen. Und jetzt, wo bekannt ist wie er aussieht, ist es gut möglich, dass er variiert wird und im großen Stil die Runde macht.
Die Behörden sind nun in einer Zwickmühle. Wenn sie sich verteidigen, ist es peinlich, dass sie eine derartig schlampige Software einsetzen. Wenn sie sich nicht verteidigen, ebenso – vermutlich wird dann sogar Schlimmeres vermutet. Nun behauptet das BKA, die analysierte Software wäre gar nicht der Bundestrojaner. Bleibt die Frage: Was hat der CCC dann untersucht?
Für alle Kriminellen enthält die jüngste Entdeckung des Chaos Computer Club übrigens noch eine weitere, aus ihrer Sicht nützliche Information: Bislang scheint es den Bundestrojaner nur für Windows-Rechner zu geben. Wer einen Mac benutzt, mit Linux arbeitet, einen Tablet-PC verwendet oder ein Smartphone, ist also offensichtlich fein raus. Eine Überwachung ist dann nicht möglich – und eine missbräuchliche Nutzung des Staatstrojaners ebenso wenig.
