Internet-Law

Onlinerecht und Bürgerrechte 2.0

29.1.18

Der Staatstrojaner: Überwachung von Smartphones direkt beim Nutzer

Seit einigen Tagen wird in den Medien darüber berichtet, dass das Bundeskriminalamt Überwachungssoftware einsetzt, um Smartphones oder Computer zu überwachen und dort gespeicherte Informationen auszulesen.

Während die klassische Telefonüberwachung bei TK-Anbietern wie Telekom oder Vodafone ansetze und dort Telefonate belauschte, tritt im Zeitalter der internetgestützten Telekommunikation an deren Stelle ein Instrumentarium, das man gerne verharmlosend als Quellen-TKÜ bezeichnet. Die Überwachung findet hier an der Quelle, also direkt beim Nutzer statt. Für diese Form der Telekommunikationsüberwachung ist es allerdings grundsätzlich erforderlich, das Computersystem des Gesprächsteilnehmers heimlich mit einer speziellen Überwachungssoftware zu infiltrieren, die anschließend die Kommunikation überwacht und die Kommunikationsinhalte an die Strafverfolgungsbehörden übermittelt.

In technischer Hinsicht eng verwandt ist die sog. Online-Durchsuchung, bei der es ebenfalls erforderlich ist, auf dem Rechner des Betroffenen heimlich eine Spionagesoftware zu installieren. Diese Software überwacht dann allerdings nicht nur die laufende Kommunikation, sondern durchsucht die Festplatte des Betroffenen oder erfasst andere Kommunikationsvorgänge, wie beispielsweise die Nutzung des WWW.

Um zu verstehen, warum auch die neugeschaffene gesetzliche Regelung zur sog. Quellen-TKÜ in § 100a Abs. 1 S. 2 StPO nicht den verfassungsrechtlichen Anforderungen genügt, reicht die Lektüre folgender Passage aus der Entscheidung des BVerfG zur Onlinedurchsuchung:

Die Quellen-TKÜ ist in technischer Hinsicht also eine Online-Durchsuchung, die vom Gesetzgeber im Käfig der Telefonüberwachung gehalten werden muss, um rechtmäßig sein zu können. Dies hat der Gesetzgeber durch die Abs. 5 und 6 von § 100a StPO versucht. Juristisch interessant ist hierbei u.a. die Frage, was bei einer Kommunikation mittels eines Messenger wie WhatsApp konkret unter laufender Kommunikation verstanden werden soll. Bei der Sprachtelefefonie ist die laufende Kommunikation klar durch den Anfang und das Ende eines Telefonats begrenzt. In einem Messenger erfolgt die Kommunikation nicht in Echtzeit, so dass allein hierdurch eine massive qualitative Ausweitung erfolgt. Ist eine Unterhaltung via WhatsApp, die sich über Tage hinweg fortsetzt und immer wieder durch längere Pausen unterbrochen wird, noch laufend?

Den Vorgaben des BVerfG hätte der Gesetzgeber auch nur dann gerecht werden können, wenn er konkrete Vorgaben an die Anforderungen der einzusetzenden Software definiert hätte. Dies wird stattdessen den Ermittlungsbehörden überlassen, so dass faktisch kein Unterschied zwischen Quellen-TKÜ und Onlinedurchsuchung besteht. Der Einsatz multifunktionaler Programme wird vom Gesetzgeber gerade nicht unterbunden. Das Gesetz macht keinerlei Vorgaben zur Qualitätssicherung und Überprüfung der eingesetzten Software.

Die vom BVerfG vorgegebene Differenzierung zwischen Online-Überwachung und Quellen-TKÜ wird vom Gesetzgeber nicht nachvollzogen. Es stellt sich aber auch ganz generell die Frage, ob dies in technischer Hinsicht überhaupt trennscharf und zuverlässig möglich ist, denn die Quellen-TKÜ ist in technischer Hinsicht stets eine Onlinedurchsuchung. Der Begriff des Staatstrojaners erscheint daher mehr als passend.

Schwer wiegt auch der Umstand, dass die gesetzliche Regelung die Ermittlungsbehörden ermutigt, vorhandene  Sicherheitslücken auszunutzen, um fremde informationstechnischen Systeme mit Schadsoftware zu infiltrieren. Der Staat verhält sich also wie ein Cyberkrimineller. Das schafft, wie Ulf Buermeyer in seiner sachverständigen Stellungnahme für den Bundestag beklagt, fatale Fehlanreize, weil die Behörden damit ein erhebliches Interesse daran haben, Sicherheitslücken in informationstechnischen Systemen nicht an die Hersteller zu melden, sondern sie vielmehr gezielt aufrecht zu erhalten. Das läuft dem Allgemeininteresse an möglichst sicheren informationstechnischen System zuwider und begründet eine Gefährdung der IT-Sicherheit, die sich auf allen Ebenen (Staat, Unternehmen, Bürger) auswirkt und insgesamt eine Gefahr gerade für sicherheitskritische Infrastrukturen begründet. Aufgabe des Staates wäre es freilich, derartige Gefahren zu vermeiden und abzuwehren. Wer die Fortsetzung der GroKo für vernünftig hält, sollte auch derartige Gesetze in seine Betrachtung einbeziehen.

posted by Stadler at 21:50  

13 Comments

  1. Nehmen wir mal an, wir leben zwar unter dem GG, aber technisch im Mittelalter. Da wurde der reitende Bote erfunden und die Verschlüsselung mittels Buchstaben, die codiert werden, indem man sie aus einem bei Sender und Empfänger vorhandenen Buch mit Seitenzahl, Zeilenzahl und Platzzahl des Wortes in der Zeile bezeichnet. Der Anfangsbuchstabe dieses Wortes ist dann der codierte Buchstabe.
    Nun gibt es Leute, die meinen, das Vertrauen in die Schönheit der Buchlektüre verbiete es, eine abgefangene Nachricht zu decodieren, indem man die Bibliotheken von Sender und Empfänger beschlagnahmt und das für die codierung vewendete Buch sucht. So in etwa kommt mir die Diskussion darüber vor,ob man Kriminellen (und anders als bei der VDS ist beim Trojaner idR eben nicht jeder Bürger betroffen…) tatsächlich ein simples abhörsicheres Tool in die Hand geben soll, auf das die Strafverfolger keinerlei Zugriff haben,nur weil man jetzt eben etwas anderes als die reine Telefonfunktion oder SMS nutzt.
    Dass das Aufspielen eines Trojaners auf einige wenige Endgeräte gleich mal eine Gefahr für sicherheitskritishe Infrastrukturen begründen soll, ist mE an den Haaren herbeigezogen.

    Comment by meine5cent — 29.01, 2018 @ 22:22

  2. @meine5cent:
    das Sicherheitsproblem sind nicht die paar infizierten „Kriminellen“ (besser „Verdächtigen“), sondern der Vorgang des Aufspielens benötigt eine bekannte, nicht-gefixte Sicherheitslücke, um überhaupt funktionieren zu können

    Comment by meine10cent — 30.01, 2018 @ 10:00

  3. Es ist nicht unüblich, dass ein Handy von mehreren Personen benutzt wird. Wie ist sichergestellt, dass nur die Zielperson ausgespäht wird?
    Andere Möglichkeit wie bei mir: Mein Handy ist zwar unter meinem Namen angemeldet, wird aber von meiner Frau genutzt.

    Comment by Michael — 30.01, 2018 @ 16:17

  4. @meine10cent
    Und wieso sollte der Staat verpflichtet sein, die Bevölkerung auf nicht gefixte Sicherheitslücken aufmerksam zu machen oder diese auszunutzen? Das ist mE eher Sache der sehr sehr gut an Apps, Betriebssystemen und Smartphones verdienenden Unternehmen…
    @Michael: Das ist dann aber das Problem dieser Leute. EIn Smartphone weiterzugeben an andere setzt schon sehr sehr sehr großes Vertrauen voraus.oder etwas fortgeschrittenere User-Kenntnisse um bestimmte Zugriffe zu sperren .Umgekehrt wird auch ein Schuh daraus: Verdächtige, die bewusst kein auf sie registriertes Handy/SIM benutzen, kann man über das Aufspielen des Trojaners gezielter aufspüren und ausspähen.

    Comment by meine5cent — 31.01, 2018 @ 10:53

  5. „Für diese Form der Telekommunikationsüberwachung ist es allerdings grundsätzlich erforderlich, das Computersystem des Gesprächsteilnehmers heimlich mit einer speziellen Überwachungssoftware zu infiltrieren, die anschließend die Kommunikation überwacht und die Kommunikationsinhalte an die Strafverfolgungsbehörden übermittelt. In technischer Hinsicht eng verwandt ist die sog. Online-Durchsuchung, bei der es ebenfalls erforderlich ist, auf dem Rechner des Betroffenen heimlich eine Spionagesoftware zu installieren.“

    Ich habe mal die wirklich wichtigen Sätze oben kopiert, damit klar wird, worum es geht, nämlich um erstmal gar nichts.

    Die Überwachungstools müssen auch weiterhin auf den Rechner kommen. Wie kommen sie dorthin? Das ist die Frage! Bei unseren verblödeten Nutzern kann ich mir Fahrlässigkeit jederzeit vorstellen. Ein User aber, der sich mit seinem Rechner auskennt, wird sich keine Wanze einfangen. Wie immer sitzt der Idiot vor dem Rechner (welcher Art auch immer).

    Ohne Nachlässigkeit der Besitzer kommt kein Überwachungstool auf die Maschine, davon bin ich fest überzeugt. Beweist mir das Gegenteil!

    Comment by Edgar Rohlmann — 31.01, 2018 @ 20:36

  6. Allgemein, etwas abweichend vom grundsätzlichen Thema, können Ermittler bei LAN alles abfangen, weil der Provider nach einem Gerichtsbeschluss mitspielen muss, sie sind in Echtzeit dabei, und bei W-LAN braucht man sich mit seiner Maschine (weiterhin welcher Art auch immer) nur an den Nachbartisch zu setzen, dann fliegen die privaten Daten geradezu auf jeden Rechner, der von Neugierigen genutzt wird. Das ist doch seit Jahren bekannt. Die Tools gibt es kostenlos im Netz. Wo es funkt, kann alles abgefangen werden, was nicht bei drei verschlüsselt ist. Ich bleibe dabei in jeder Hinsicht: Nur Idioten fangen sich was ein, sie poppen einfach zu viel. Aids kann auch der Rechner bekommen. Schade drum, aber auch nicht wirklich tragisch, sondern selber schuld.

    Comment by Edgar Rohlmann — 31.01, 2018 @ 20:55

  7. Wie machen es die Ermittler? Klare Aussage von denen ist es, einen Dummen (das fällt nicht schwer) zu finden, dem man einen manipulierten Link unterschieben kann. Der postet das an seine WhatsApp-Gruppe im Automatismus. Und alles, was von den Kumpels kommt, wir auch angeklickt, fertig ist der Lack.

    Warum regen sich darüber eigentlich alle auf, während mittlerweile jede miese App auf den Phones als Voreinstellung erstmal den gesamten Inhalt des Rechners, vornehmlich Adressbücher und Fotos, an den Hersteller schickt. Das interessiert offensichtlich niemanden! Wo doch jeder weiß, dass gerade Kinder auf rein gar nichts achten bei Spiele-Apps und Co.!

    Zu keiner Zeit mussten sich Ermittler so wenig anstrengen, wie in Zeiten der smarten Phones. Ist doch schön, wenn die kluge Wanze mitdenkt.

    Comment by Edgar Rohlmann — 2.02, 2018 @ 14:37

  8. oder kein Smartphone mehr benutzen? Ob die Onlineüberwachung mal wieder zurückgedreht werden kann?
    Geht wahrscheinlich nur mit Smartphones ohne Internetanbindung, die nur zum Telefonieren verwendet werden.

    Comment by Jürgen — 2.02, 2018 @ 15:16

  9. In einer demokratie muß es möglich sein, daß der Bürger Geheimnisse vor dem Staat hat. Auch iost niemenden vorgeschrieben in offener Sprache zu kommunizieren. Das Militär benutzt doch auch Kryptographie. Da es nicht gut kommt, wenn ein Staat diese verbietet, will er sich durch andere Maßnahmen, wie TKÜ, genau diesen Effekt sichern. Wie wurden denn früher Kriminelle überführt? Durch professionelle Polizeiarbeit! genau das ist bei den heutigen Ermittlern wohl nicht mehr gefragt, sei es, weil man unbedingt Personal sparen will, oder entsprechend intelligente und fähige Personen gar nicht mehr zur Polizei gehen.

    Comment by mw — 3.02, 2018 @ 20:33

  10. Jürgen, smart sind wir selber, wir brauchen keine Smartphones. Wir brauchen auch keine Haushaltsgeräte mit Internet-Anschluss. Ich halte diese Entwicklung mittlerweile nicht mehr nur für krank, sondern entartet. Ich kenne ein paar Leute, die sich im Laden neuerdings tatsächlich nach einem Mobiltelefon umsehen. Was soll es können, fragt der Verkäufer. Antwort: Telefonieren!

    Es wird irgendwann einen massiven Gegentrend der Totalverweigerer geben. Dann ist es wieder hipp, eine Waschmaschine ohne W-Lan zu besitzen.

    Manchmal denke ich, die Leute verblöden so schnell, wie der Anschluss. Je mehr Schnelligkeit und Vernetzung geboten wird, desto mehr geht es hirnmäßig bergab. Wobei man aber berücksichtigen muss, dass Leute, die sich sowas anschaffen, eine grundsätzliche Blödheit inne haben. Mit diesem Bodensatz muss eine Gesellschaft leider leben.

    Comment by Edgar Rohlmann — 7.02, 2018 @ 20:10

  11. Es kann sich doch jeder an die Trump-Kampagne der letzten Monate erinnern, wo Trump Tools der Firma Kaspersky als Spionagemittel verunglimpft hat. Großkunden in den USA sind abgesprungen und haben diesen Mist geglaubt. Warum macht Trump sowas?

    Seit Jahren postuliert Kaspersky, jeden Staatstrojaner aufzuspüren und die Kunden zu schützen. Das hat er auch in Richtung USA klar gesagt. Bei Obama gab es keine Probleme, Trump sieht allerdings in jedem Russen eine Gefahr für die USA, daher hat er die Firma Kaspersky mit Schmutz überzogen. Heute hört man gar nichts mehr davon, die Kampagne ist ins Leere gelaufen. Eine Nullnummer.

    Die Kunden stehen treu zu ihrem Anbieter. Kaspersky garantiert weiterhin allen Kunden, jeden „Staatstrojaner“ aufzufinden, egal, aus welchem Land er kommt, auch die aus Russland.

    Kaspersky kann es, er macht es, er hat es genügend bewiesen. Wenn ich wählen kann, wem ich mehr glaube, Trump oder Kaspersky, dann entscheide ich mich für den Russen.

    Die Verkaufszahlen von Kaspersky sind nach den Trump-Vorwürfen in die Höhe geschossen. Ich bin daher sicher, es sind nicht alle User blöd. Das Freund-Feind-Gedöns der Amis wirkt nicht mehr, und das ist auch gut so.

    Comment by Edgar Rohlmann — 9.02, 2018 @ 14:28

  12. Als der Sohn von Kaspersky entführt wurde und nach Lösegeldzahlung frei kam, hat der Vater gesagt: Ab heute ist jeder Kunde mein Kind. Wir suchen und finden alles. Eine glaubhafte Aussage, auf die alle Kunden vertrauen können.

    Comment by Ludger Falter — 9.02, 2018 @ 15:46

  13. Da war doch noch was, lass mich überlegen….ach ja, die Blöden. Ein Trojaner fliegt auch heute noch nicht durch Fenster.

    Wenn sich Kaspersky erst gar nicht kümmern müsste, wäre das schon ein Erfolg. Vorsorge ist besser, als Nachsorge jeder Art. Trojaner waren schon vor fünfzehn Jahren eigentlich ein Witz, weil jeder wusste, den fängt man sich nicht ein, den besorgt man sich durch Blödheit.

    Daran hat sich nichts geändert. Geradezu altmodisch, diese Trojaner. Eigentlich niedlich.

    Comment by Edgar Rohlmann — 9.02, 2018 @ 16:17

RSS feed for comments on this post.

Sorry, the comment form is closed at this time.