Staatstrojaner – Worum handelt es sich genau?

Ein Staatstrojaner ist ein Computerprogramm zum Ausspähen von Rechnern, das von staatlichen Behörden zur Überwachung von Kriminellen eingesetzt wird. Aktuell (Stand: 04.06.2021) diskutiert der Bundestag über die Ausweitung solcher Überwachungsprogramme. In diesem Beitrag erklären wir sämtliche Aspekte dieser Software.

Wie funktioniert ein Trojaner?

Trojaner haben als Malware (Schadsoftware, in diesem Fall Spionagesoftware) ihren Namen aus der griechischen Mythologie: Bei der Belagerung der antiken Stadt Troja durch die Griechen (historisch wahrscheinlich um 1330 – 1130 v. Chr.) bauten diese ein großes hölzernes Pferd, in welchem sich ihre Soldaten verbargen, und stellten es vor die Tore der belagerten Stadt. Dann simulierten sie ihren Rückzug. Die Trojaner zogen das Pferd freiwillig in ihre Stadt, die danach von den Soldaten aus dem Trojanischen Pferd erobert wurde.

So funktioniert auch das Computerprogramm: Nutzer laden es sich freiwillig herunter. Es tarnt sich als nützliches Programm und führt dann auf dem infizierten Rechner das Schad- bzw. Spionageprogramm durch.




Diskussion um den aktuellen Staatstrojaner

Das BKA und andere Dienste setzen schon länger Trojaner zur Onlineüberwachung ein, allerdings nach verschiedenen Quellen nicht sehr erfolgreich, weil die Schadsoftware von Antivirenprogrammen in der Regel erkannt wird. Offenkundig wollen die Behörden aber nun aufrüsten und die Effizienz dieser Programme verbessern, wogegen sich eine bemerkenswerte Allianz gebildet hat: Facebook, Google und der Chaos Computer Club, aber auch Industrieverbände wie VATM, eco und Bitmi sowie Mittelständler und weitere Organisationen protestierten gemeinsam gegen die neuen Pläne für einen Staatstrojaner.

Dabei geht es um eine geplante Gesetzesänderung, die unmittelbar ansteht und noch vor dem Ende dieser Legislaturperiode im Herbst 2021 umgesetzt werden könnte. Sie enthält drei bemerkenswerte Aspekte:

  • Das Verfassungsschutzgesetz und das Bundespolizeigesetz sollen so angepasst werden, dass alle deutschen Geheimdienste künftig die Erlaubnis zum Hacken erhalten.
  • Sie sollen dabei auch Personen überwachen dürfen, die weder eine Straftat begangen haben noch im Verdacht stehen, eine zu planen.
  • Die Internetkonzerne wie Google und Facebook, aber auch sonstige Anbieter sollen verpflichtet werden, das Aufspielen der Staatstrojaner auf die Geräte der Nutzer aktiv zu unterstützen. Möglich wäre das, weil beispielsweise Google einen großen Vertrauensvorschuss genießt und es sich bislang wohl niemand vorstellen kann, sich durch eine Google-Suche einen Trojaner auf den Rechner zu laden.

Die Auswirkungen wären bemerkenswert: Das Gesetz würde das Grundrecht auf Privatsphäre beeinträchtigen, zu der auch die Integrität und Vertraulichkeit informationstechnischer Systeme gehört. Gleichzeitig würde es unser Vertrauen in kommerzielle Internetdienstleistungen massiv beschädigen. Bislang sind Onlinedurchsuchungen jedenfalls in Deutschland (und den meisten demokratischen Staaten) streng reglementiert.

Es muss der Verdacht einer Straftat bestehen, es bedarf einer richterlichen Anordnung, die Überwachung muss bestimmte Bereiche der Privatsphäre ausklammern. Auch darf bislang kein privates Unternehmen verpflichtet werden, bei dieser Überwachung mitzuwirken. All das würde sich durch das neue Gesetz ändern, das daher auch für Datenschützer eine Horrorvorstellung ist.

Wie effizient kann der Bundes- oder Staatstrojaner funktionieren?

Die tatsächliche Effizienz, über die sich die Behörden ausschweigen, wird von Experten bezweifelt: Immerhin haben die Geheimdienste in den letzten Jahren schwere Straftaten der rechtsextremen Szene oder von Islamisten trotz dieser Methoden nicht verhindern können. Bekannt wurde unter anderem, dass das bayerische LKA von 2008 bis 2011 versuchte, mit einem durch eine Privatfirma entwickelten Trojaner Skype-Gespräche abzuhören, was wegen des sehr schwachen Programms wohl misslang.

Wegen solcher Fehlschläge wurde schließlich durch das BKA etwa ab 2012 ein eigener Bundestrojaner entwickelt, dessen Einsatz erstmals ab 2017 gesetzlich legitimiert wurde. Das bedeutet: Neu ist der Versuch des Staates nicht, seine Bürger*innen online auszuspähen. Doch es fehlt offenkundig die technische Kompetenz. Daher sollen nun neben dem BKA und der Polizei auch der BND, der MAD und das BfV solche Mittel einsetzen dürfen.

Wahrscheinlich hoffen die Initiatoren des neuen Gesetzes, dort mehr technische Expertise zu finden. Außerdem sollen nun die privaten Anbieter zur Mitwirkung verpflichtet werden: Das könnte in der Tat einen Durchbruch schaffen. Wer glaubt schon, sich via Google oder Facebook einen Staatstrojaner auf den Rechner zu laden?

Was sagen Experten zum staatlichen Ausspähen?

Experten verschiedener Anbieter von Antivirenprogrammen, darunter der Unternehmen Kaspersky und Avira, stellen klar: Jeder Trojaner wird von ihren Abwehrprogrammen grundsätzlich gleich behandelt. Wenn seine Struktur den Sicherheitsexperten bekannt wird, entwickeln sie dagegen Abwehrmaßnahmen. Gleichzeitig lehnten zumindest Kaspersky und Avira in einem Statement gegenüber Journalisten von Zeit online eine Kooperation mit den Behörden strikt ab.

Gleichzeitig wiesen sie allerdings darauf hin, dass Virenschutzprogramme immer nur gegen bekannte Malware bzw. gegen bestimmte typische Muster von Malware wirken. Staatliche Hacker seien jedoch manchmal durchaus sehr fähig und würden auch atypische Trojaner entwickeln. Es könnte also durchaus geschehen, dass die Anbieter von Antivirenprogrammen die staatlich entwickelten Virensignaturen erst spät erkennen. Einen gewissen Schutz bieten jedoch Antivirenprogramme und Firewalls immer. Nur sollten die Nutzer sich strikt hüten, mit einem ungesicherten Rechner Softwaredownloads durchzuführen. Sie würden sich damit der Gefahr eines Man-in-the-Middle-Angriffs aussetzen.

Wenn aber der Trojaner erst einmal auf dem Rechner ist, kann eine später installierte Firewall nichts mehr ausrichten. Auch mit Antivirenprogramm sollten Anwender bei Downloads stets nur signierte Dateien herunterladen. So eine Signatur vergibt beispielsweise der GNU Privacy Guard, der für die meisten Betriebssysteme die Voraussetzung ist, damit sie überhaupt einen Download zulassen. Das funktioniert wiederum nur, wenn der Nutzer auf seinem Rechner ein offiziell lizenziertes Betriebssystem nutzt, dessen Support auch noch nicht abgelaufen ist.

Positionierung des CCC

Die Mitglieder des CCC gelten in Deutschland und anderen Staaten als unabhängige Instanz mit hoher Expertise. Sie nehmen die jüngsten Pläne für den gesetzlich neu geregelten Einsatz von Staatstrojaner offenbar sehr ernst. In einer Pressemitteilung erklärte der CCC-Sprecher Linus Neumann, das Gesetzesvorhaben sei, wenn es tatsächlich umgesetzt würde, der „Todesstoß für das Anbieter-Nutzer-Verhältnis“.

Die Pläne würden technisch bedeuten, dass der Staat die Ende-zu-Ende-Verschlüsselung bricht, indem er in die technische Integrität der Geräte eingreift. Dies wiederum sei ein Grundrechtseingriff, dessen weitreichende Konsequenzen wahrscheinlich unter den Abgeordneten des Deutschen Bundestages kaum jemand überblicke. Der Bundesregierung warf Neumann Beratungsresistenz vor. Sie nehme sämtliche Kritik in dieser Angelegenheit nicht zur Kenntnis und wolle private Unternehmen zu Hilfsdiensten für Geheimdienste zwingen. Diese könne das Vertrauen in die Demokratie gründlich untergraben. Bislang seien solche Methoden von Diktaturen bekannt.


Sevencast – der IT-Security Podcast

Von unterwegs, im Büro oder zu Hause hören und auf dem aktuellen Stand bleiben!

Sevencast bei Spotify
Sevencast bei Apple Podcast
Sevencast bei Overcast


Schreibe einen Kommentar