Staatstrojaner: Lieber verwanz’ ich als G20

In seiner letzten Sitzung vor der Sommerpause hat der Bundesrat die Änderungen der Strafprozessordnung passieren lassen, mit denen der Einsatz von Staatstrojanern zur Strafverfolgung legitimiert wird. Der federführende Innenausschuss hatte erwartungsgemäß keine Bedenken gegen den Entwurf, schließlich hatten die Innenminister der Länder die polizeiliche Lizenz zum Hacken von Computern und Smartphones explizit gefordert.

Sobald die Änderungen in Kraft treten, dürfen Ermittler solche “informationstechnischen Systeme” von Verdächtigen und auch anderen Personen infiltrieren. Im Rahmen der Quellentelekommunikationsüberwachung (Quellen-TKÜ) können sie dann zum Beispiel standardmäßig verschlüsselte WhatsApp-Chats mitlesen, indem sie einzelne Nachrichten vor Verschlüsselung beziehungsweise nach dem Entschlüsseln erfassen. Mit der Onlinedurchsuchung können sie die von ihnen gehackten Geräte nun auch komplett ausspionieren (was die geänderten Paragrafen der StPO im Einzelnen bedeuten, erklären wir hier ausführlich).

Wie heise online berichtet, wurden Bedenken des mitberatenden Verbraucherausschusses nicht berücksichtigt. Der hatte empfohlen, den Vermittlungsausschuss anzurufen, um “die Regelungen zur Onlinedurchsuchung und Quellentelekommunikationsüberwachung zu streichen”.

Online-Überwachung

Bei der Quellen-Telekommunikationsüberwachung (Quellen-TKÜ) wird auf einem Computer ein Überwachungsprogramm installiert. Dieses schneidet Kommunikation vor der Verschlüsselung mit und übermittelt diese vom Nutzer unbemerkt an die Ermittler. Bei der Quellen-TKÜ darf nur die laufende Kommunikation (zum Beispiel Skype-Gespräche oder WhatsApp-Chats) überwacht werden. “Ruhende” Dateien auf dem Computer dürfen nicht kopiert werden, ebenso wenig dürfen Screenshots gemacht werden.

Die Onlinedurchsuchung geht über eine einfache Quellen-TKÜ hinaus. Ein heimlich installierter Trojaner durchsucht dabei den Rechner eines Verdächtigen auf zweifelhafte Dateien ? ganz egal welche. Eine solche Onlinedurchsuchung greift erheblich in die Grundrechte der Betroffenen ein. Daher hat das Bundesverfassungsgericht sie nur in absoluten Ausnahmefällen genehmigt: bei Gefahr für Leib und Leben oder staatsbedrohender Kriminalität.

So wie auch viele IT-Sicherheitsexperten befürchtet der Ausschuss, dass die im Gesetz vorgesehenen Befugnisse “zu einer massiven Schwächung der IT-Sicherheitsinfrastruktur und damit auch zu einer Gefährdung der Nutzerinnen und Nutzer informationstechnischer Systeme beitragen kann”.

Denn um ein Gerät hacken zu können, müssen Strafverfolger eine Schwachstelle in der Hard- oder Software kennen und ausnutzen. Solang sie diese Schwachstelle nicht dem Hersteller melden, bleiben alle Geräte desselben Typs verwundbar, auch für kriminelle Hacker. Was im Extremfall passiert, wenn eine Behörde lieber Sicherheitslücken hortet, statt sie offenzulegen, hat in den vergangenen Monaten die NSA eindrucksvoll vorgemacht. Mächtige Hackerwerkzeuge und -methoden, die dem US-Geheimdienst abhandengekommen waren, wurden erst für die WannaCry-Ransomware-Kampagne und zuletzt für einen massiven Angriff in der Ukraine verwendet.

Das Bundeskriminalamt besitzt bereits mindestens eine selbst programmierte einsatzbereite Überwachungssoftware. Weitere Varianten können die Behörden allein oder irgendwann auch zusammen mit der neuen Zentralen Stelle für Informationstechnik im Sicherheitsbereich (ZITiS) entwickeln ? oder von spezialisierten Unternehmen kaufen. 

Manche Sicherheitslücken sind sechsstellige Summen wert

Auf dem freien Markt sind solche Exploits genannten Programme mitunter teuer, insbesondere wenn sie gegen Apples Betriebssystem iOS eingesetzt werden können. Die Verkäufer verdienen so gut daran, dass sie einem Bericht von Motherboard zufolge wenig Lust haben, sich an Apple zu wenden. Das Unternehmen belohnt die Meldung von Sicherheitslücken vergleichsweise niedrig mit bis zu 200.000 US-Dollar. Verkäufer können Exploits hingegen auch mehrfach gegen Geld anbieten, selbst wenn das der IT-Sicherheit insgesamt noch mehr schadet.

Die nun verabschiedeten Regelungen zum Einsatz der Staatstrojaner in Deutschland waren von der Bundesregierung lange nach dem eigentlichen Entwurf zur Änderung der StPO in Form eines Formulierungsvorschlags in den parlamentarischen Prozess eingebracht worden. Auf diese Weise wurde die öffentliche Debatte schon im Bundestag verkürzt. Nun hat der Rechtsausschuss auch im Bundesrat dafür gesorgt, dass das Thema wenig Beachtung findet.

Die Gesellschaft für Freiheitsrechte hat allerdings schon eine Verfassungsbeschwerde gegen die Gesetzesänderungen angekündigt. Möglicherweise wird also Karlsruhe der Ort, an dem die Debatte um hackende Strafverfolger nachgeholt wird.

Online Blog-URL

  • Hackerangriffe auf US-Wahlsysteme angeblich umfangreicher als bisher angenommen

    Einem Bericht von BloombergView zufolge waren die Hacker-Angriffe des russischen Geheimdienstes GRU keinesfalls isolierte Einzelfälle. Angeblich habe der Geheimdienst in mindestens 39 Bundesstaaten der USA versucht, via Hacking Zugriff auf sensible Daten des US-Wahlsystems zu erhalten. Dabei beruft sich BloombergView auf Insider-Informationen. Der von The Intercept veröffentlichte NSA-Bericht über Manipulationsversuche der US-Wahl durch den GRU […]

  • Fliesen im Wohnbereich ? Sexy, schick und pflegeleicht

    Sie sind modern. Sie sind schick, sie sind pflegeleicht und äußerst langlebig: Fliesen! Zusammen mit den richtigen Möbeln können Sie auch mit Fliesen ein behagliches Wohnzimmer einrichten, von dem ihre Freunde und Gäste beeindruckt sein werden. Fliesen in toller und ungewöhnlicher Optik Dank umfangreicher Auswahl an Farben, Formen und Mustern lassen sich mit Fliesen individuelle […]

  • Gewaltvideos: Facebook stellt 3.000 neue Kontrolleure ein

    Nach der Veröffentlichung mehrerer Videos von Gewalttaten will Facebook die von seinen Nutzern hochgeladenen Inhalte besser überprüfen. Wie Unternehmenschef Mark Zuckerberg in einem Blogeintrag mitteilte, wird das Unternehmen seine Prüfabteilung für Videos um 3.000 Stellen erweitern. Derzeit arbeiten 4.500 Mitarbeiter weltweit daran, den laut Zuckerberg “Millionen Hinweisen pro Woche” nachzugehen. Dies ermögliche eine “sicherere Gemeinschaft” […]

  • Pwned per Untertitel: Viele Mediaplayer führen Schadcode in Subtitle-Dateien aus

    (Bild: Checkpoint) Forscher haben Lücken in Kodi, VLC, Popcorn Time und Stremio entdeckt, über die sie mit Hilfe von Untertitel-Daten Schadcode ausführen können. Auf diesem Wege gelang es ihnen, den Rechner des Opfers zu kapern. Viele beliebte Mediaplayer sind über Schwachstellen bei der Verarbeitung von Untertitel-Dateien angreifbar. Auf diesem Wege lässt sich mit den Playern von […]

  • Irreführung: 2000 Euro Schadenersatz nach Textnachricht mit Emojis

    Emojis sind nicht nur lustige Bilder. Wer Emojis in eine Nachricht einbaut, muss damit rechnen, dass Richter sie als Teil des Textes verstehen – zumindest in Israel. Dort urteilte ein Gericht zu Ungunsten einer Israelin und erklärte, dass die von ihr verwendeten Emojis eine bestimmte Intention ausdrücken. Ein Vermieter war gegen sie vor Gericht gezogen, […]