Deutschland

Staatstrojaner auf Verdacht: Welcher Schutz bleibt dem Bürger?

Verschlüsselte Nachrichten mitlesen und auslesen, sogar auf Verdacht: Das und mehr ist den deutschen Geheimdiensten nun erlaubt. Die Begründung: Man wolle der zunehmenden Gefahr des Rechtsextremismus und -terrorismus begegnen. Wachsame Bürger können sich jedoch schützen.
Staatstrojaner auf Verdacht: Welcher Schutz bleibt dem Bürger?Quelle: www.globallookpress.com © dpa/Zentralbild

Die Bundespolizei darf es nicht, die Geheimdienste jetzt schon: sogenannte "Staatstrojaner" gegen verdächtige Bürger einsetzen. Dem Gesetz zur Anpassung des Verfassungsschutzrechts hat der Bundesrat in seiner Sitzung am 25. Juni zugestimmt. Demnach dürfen der Bundesnachrichtendienst, der Militärische Abschirmdienst sowie das Bundesamt für Verfassungsschutz und seine 16 Länderbehörden ab sofort eine Quellen-Telekommunikationsüberwachung (Quellen-TKÜ) durchführen – sogar auf Verdacht.

In der Begründung des Gesetzentwurfs heißt es, dass aktuelle Herausforderungen, insbesondere Bedrohungen durch Rechtsextremismus und -terrorismus, zeitgemäße Befugnisse zum Schutz von Freiheit und Sicherheit bedürften. Die Quellen-TKÜ soll unter bestimmten Umständen auch gegen Einzelpersonen eingesetzt werden, heißt es unter Verweis auf die Anschläge von Hanau vom Februar 2020 und Halle vom Oktober 2019.

Ein Gesetz, das auch der Bundespolizei entsprechende Befugnisse eingeräumt hätte, wurde durch den Bundesrat gestoppt. Bisher hatten nur die Kriminalämter die Erlaubnis zum Einsatz von Staatstrojanern. Das neue Gesetz verpflichtet zudem Netzanbieter zur Kooperation. Auf Anfrage staatlicher Ermittler müssen sie Hilfestellung leisten.

Quellen-TKÜ oder Quellen-TKÜ-Plus: Was darf der neue Staatstrojaner?

Das Wort "Staatstrojaner" ist zunächst eine Umschreibung für die Befugnis einer Behörde, ein Spionageprogramm auf einem Endgerät wie einem Smartphone, Tablett oder PC zu installieren. Es handelt sich dabei um einen der stärksten Eingriffe in das Grundrecht auf Privatsphäre, den eine Behörde gegen einen Bürger einsetzen kann.

Rechtlich unterscheidet sich die Quellen-TKÜ von einer erweiterten Quellen-TKÜ plus in ihrem Überwachungsziel. Die einfache Quellen-TKÜ zielt auf das Abfangen verschlüsselter Telefonate und Messenger-Nachrichten. Die Quellen-TKÜ plus entspricht schon fast einer Onlinedurchsuchung: Auch die Kommunikation, die vor dem Angriff auf dem Gerät abgelegt wurde, darf durchsucht werden. Das gehackte Gerät könnte von den Geheimdiensten praktisch komplett ausgelesen werden.

Technisch ist es dem Spionageprogramm aber sowieso egal, ob gerade eine TKÜ oder eine TKÜ plus durchgeführt wird. Ist die Schadsoftware einmal auf dem Gerät installiert, könnten die juristischen Beschränkungen leicht umgangen werden, schreibt das IT-Portal Golem. Bisher allerdings setzten Behörden einen Trojaner zur Überwachung nur selten ein. Im Jahr 2019 wurde sie 31-mal angeordnet und sogar nur dreimal durchgeführt.

Trojaner kommen von Top-Programmierern

Dass Trojaner aus dunklen Ecken des Internets stammen, ist ein überholtes Klischee. Die Entwicklung von Spionagesoftware ist ein lukratives Geschäft mit vielfältigen Anbietern und Abnehmern. Ein Beispiel ist das Technologieunternehmen NSO Group Technologies.

Die Softwarefirma aus Israel steht schon länger für ihre Produkte in der Kritik. Von ihr stammt das Spionageprogramm Pegasus, das Saudi-Arabien geholfen haben soll, den Journalisten Jamal Khashoggi auszuspionieren. Der wurde vor drei Jahren im saudischen Konsulat in Istanbul ermordet.

"Ich sage nur, dass wir Pegasus verkaufen, um Kriminalität und Terror zu verhindern", sagte der Gründer und CEO der NSO Group, Shalev Hulio, im Jahr 2019. Die Vorwürfe einer Mitverantwortung in Fällen wie dem Tod des saudi-arabischen Journalisten wies der Firmenchef indirekt zurück:

"Jeder unserer Kunden, an den wir verkauft haben, hat eine klare Definition, was Terrorismus ist. Das sind im Grunde böse Menschen, die böse Dinge tun, um unschuldige Menschen zu töten, um die politische Agenda zu ändern."

Das deutsche Innenministerium kaufte dagegen einen Trojaner beim deutsch-britischen Unternehmen FinFisher. Das BKA entwickelte gleich seinen eigenen Trojaner. Für Qualität und Gesetzeskonformität soll künftig die Zentrale Stelle für Informationstechnik im Sicherheitsbereich sorgen. Die Behörde wurde 2017 als Dienstleister der deutschen Sicherheitsbehörden gegründet.

Trojaner nutzen Sicherheitslücken – und halten diese offen

Allgemein nutzt Schadsoftware Sicherheitslücken auf dem Endgerät. Diese können sich in der Hardware, dem Betriebssystem oder in Anwendungsprogrammen befinden.

Der Missbrauch klassischer Sicherheitslücken setzt oft noch auf die Zustimmung der Installation durch den Nutzer. Dazu gehören präparierte Word- oder PDF-Dokumente. Diese können einen sogenannten Makro-Code beinhalten. Mit einem Klick auf "Inhalt aktivieren" wird der Code gestartet, das bösartige Programm installiert. Ein ebenfalls alter Trick sind Betrugs-SMS, die zur Installation einer App auffordern. Was diese Tricks gemeinsam haben: Sie setzen auf die Naivität der Nutzer – und dürften für Ermittler zunehmend uninteressant sein.

Bedeutender für den Staatstrojaner werden allerdings Sicherheitslücken bei Programmen sein, die noch nicht entdeckt wurden. Diese können bei praktisch jedem Programm auftreten. Entsprechend hat sich auch hierfür ein Markt sogenannter Exploit-Händler entwickelt. Bleiben die Lücken unentdeckt und werden sie zum Verkauf angeboten, könnten sich auch Behörden bei den findigen Firmen umsehen und darauf ihre Spyware aufsetzen.

Diese sogenannten Zero-Day-Attacken machen die breite Masse der Nutzer verwundbar und sind daher sehr effektiv. So nutzte das Unternehmen NSO bereits einen solchen sogenannten Zero-Day-Hack für den Messenger WhatsApp. Um in das Gerät einzudringen, hatte ein Anruf genügt – und der musste nicht einmal angenommen werden. Der Schaden durch Sicherheitslücken, die aus kommerziellen Gründen absichtlich geheim gehalten werden, kann also letzten Endes alle Nutzer treffen.

Mithilfe der Netzanbieter, die nun gesetzlich zur Kooperation mit den Sicherheitsbehörden verpflichtet sind, lassen sich sogenannte Man-in-the-middle-Angriffe durchführen. Für einen erfolgreichen Angriff muss ein Nutzer eine Seite im Netz mit einer unsicheren Verbindung aufrufen, also mit unverschlüsseltem HTTP-Protokoll. Über den Netzanbieter wird der Nutzer dann unbemerkt auf eine andere Seite umgeleitet, von der aus wiederum die Schadsoftware installiert werden kann.

Schließlich haben Behörden auch noch die Möglichkeit, ihre Trojaner direkt zu installieren, wenn ihnen das Gerät physisch vorliegt. Wem die Polizei das Smartphone zum Beispiel auf einer Demonstration abnimmt, sollte bei der Rückgabe vorsichtig sein – falls man es denn zurückbekommt.

Schutz für Nutzer: Wachsam bleiben, Updates installieren, Risiken minimieren

Für den Schutz persönlicher Daten gilt daher allgemein: keine Installation von Programmen von unbekannten Seiten, auf Verschlüsselung achten und sichere Passwörter einsetzen. Aber nicht jedes Betriebssystem ist gleich sicher. Und auch für Smartphones gilt: Android ist nicht gleich Android. Hier empfiehlt das IT-Nachrichtenportal Golem, beim Kauf eines Smartphones auf einen möglichst langen zugesicherten Update-Zeitraum zu achten. Läuft der aus, sollte man ein neues Handy kaufen.

Besonders hinsichtlich des Staatstrojaners sollten Nutzer darauf achten, dass sie Software nur aus seriösen Quellen installieren. Im Fall von Smartphones ist das der jeweilige App-Store, bei Linux-Distributionen sind das die offiziellen Paketquellen. Bei normalen Trojanern wird auch bei kommerziellen App-Stores zur Vorsicht geraten. Am besten ist die Nutzung von Open-Source-Software. Hier können Sicherheitslücken von einer großen Netzgemeinde eigenständig und schnell entdeckt werden.

Bei der Nutzung des Browsers sollte der HTTPS-Only-Modus eingeschaltet sein, den beispielsweise Firefox und Chrome zur Verfügung stellen. So geht man sicher, dass der Browser nur verschlüsselte Verbindungen aufbaut.

Umstritten ist dagegen der Wert von Antivirensoftware oder VPN, also die Umleitung des Datenverkehrs über ein virtuelles privates Netz. Beim VPN kann sich der Nutzer nicht sicher sein, ob der Anbieter die Protokolldateien nicht doch speichert – und gegebenenfalls mit den Sicherheitsbehörden teilt. Antivirensoftware kann unter Umständen sogar zusätzliche Sicherheitslücken bedeuten.

Ein Restrisiko bleibt aber immer – der Mensch. Es ist schließlich zeitaufwändig, für Sicherheit auf den eigenen Geräten zu sorgen, und nicht jeder hat darauf Lust. Bequemlichkeit beim Umgang mit den eigenen Daten sollte aber der letzte Grund für einen gelungenen Angriff sein. Wer sich vor den neugierigen Augen Fremder schützen will, sollte daher regelmäßig auch das eigene Verständnis der genutzten Technik updaten. Bereits mit wenigen Handgriffen und routinierter Sorgfalt kann der Durchschnittsnutzer viel hinzugewinnen.

Mehr zum ThemaVerfassungsschutz wird verschlüsselte Messengerdienste mitlesen dürfen