Wie soll die Überwachung der verschlüsselten Chats funktionieren? Will das BKA "schon dieses Jahr Messenger-Apps wie Whatsapp hacken", wie es bei Netzpolitik.org heißt? Tatsächlich ist die Überschrift etwas unglücklich formuliert. Denn sie suggeriert, dass die Behörde die Ende-zu-Ende-Verschlüsselung der Dienste knacken kann. Das ist so aber nicht richtig. Zumindest an der verschlüsselten Übermittlung beißen sich auch ganz andere Überwachungs-Kaliber bisher die Zähne aus.
Whatsapp muss gar nicht gehackt werden
Theoretisch wäre es möglich, Hintertüren in der Software zu finden. Aber die Behörden müssten für jeden Messenger Lücken finden, ausnutzen und dabei sicherstellen, dass die Überwachung auch im rechtlichen Rahmen abläuft, heißt es in einem Blogeintrag des Sicherheitsanbieters F-Secure. "Das dürfte sowohl Budget wie auch Know-how der deutschen Strafverfolgung übersteigen." Die Architektur der meisten sicheren Messenger verhindere auch, dass Angreifer eine modifizierte Version der App in den Umlauf bringen können.
Bei der Quellen-TKÜ lauert ein Staatstrojaner stattdessen auf den Smartphones von Verdächtigen, um die Nachrichten vor oder nach der Verschlüsselung abzugreifen. Dazu kann er beispielsweise heimlich die Eingabe an der Tastatur mitlesen oder Screenshots vom Chatverlauf anfertigen. So ein Spion, der kompletten Zugriff auf das Smartphone hat, ist das Schweizer Messer der Quellen-TKÜ. Er kann neben den Chats den kompletten Datenverkehr, Kontakte, E-Mails, Fotos, Videos, Standortdaten und vieles mehr abgreifen. Sogar das Mikrofon lässt sich aktivieren um Geräte in Wanzen zu verwandeln.
Gekaufte Malware besser, aber nicht erlaubt
Staatliche Trojaner verhalten sich also im Prinzip wie Malware von Kriminellen. Entsprechend müssen auch Hacker im Auftrag der Bundesregierung wie Gangster vorgehen, wenn sie einen Lauschangriff starten wollen. Entweder bekommen sie dafür das Gerät in die Hände oder sie sind auf die Mithilfe ihrer Zielobjekte angewiesen. Beispielsweise bringen sie sie mit Phishing oder bösartigen Links dazu, den Bundestrojaner selbst zu installieren.
Laut vertraulichen Dokumenten des Innenministeriums, die "Netzpolitik.org" zugespielt wurden, will das BKA offenbar zweigleisig in die neue Quellen-TKÜ fahren. Zum einen soll die selbstgebastelte "Remote Communication Interception Software" (RCIS) für den Angriff auf Smartphones aufgerüstet werden. Zum anderen hat das BKA noch das 2012 gekaufte kommerzielle Überwachungs-Paket FinFisher/FinSpy im Arsenal - angeblich nur als Absicherung, falls der eigene Trojaner enttarnt wird.
Staatliche Hacker sind ein Risiko für die Allgemeinheit
"Netzpolitik.org" vermutet allerdings, der wahre Grund sei, dass FinSpy "alles kann, was RCIS nicht kann". Das "Komplettpaket für Hacker" kann sogar mehr, als das deutsche Gesetz erlaubt und darf daher bisher nicht eingesetzt werden. Eine neue, überarbeitete Version werde derzeit auf ihre Rechtmäßigkeit geprüft, schreibt "Netzpolitik.org". Das Innenministerium hoffe, FinSpy bald für den Einsatz freigeben zu können.
So oder so ist eine staatliche Hacker-Aktivität höchst riskant. Denn um ein Gerät zu infiltrieren, benötigen Behörden so wie Gangster Schwachstellen. Am besten handelt es sich dabei um sogenannte Zero-Day-Lücken. Das sind noch unbekannte Sicherheitslücken, für die es noch kein Update gibt. Eigentlich sollten ermittelnde Behörden entdeckte Schwachstellen melden, um Bürger und Unternehmen zu schützen, aber dann entwaffnen sie sich praktisch selbst. Die NSA in den USA hat sich gegen den Schutz der Allgemeinheit und für ein großes Schwachstellen-Arsenal entschieden. Was das für Folgen haben kann, zeigen die diesjährigen Angriffswellen mit den Erpressertrojanern WannaCry und Petya. Beide Schädlinge nutzen Zero-Day-Lücken aus dem großen Fundus des US-Geheimdienstes.
Tags:
