Netzpolitik
14.04.2016

Experte: "Der Staatstrojaner trägt kein Schild"

Was denkt eigentlich die IT-Security-Branche über Staatstrojaner? Und was können Bürger dagegen tun? Die futurezone hat mit Experten aus der Branche darüber gesprochen.

Österreich plant die Einführung einer staatlichen Überwachungssoftware, die eigens für den Zweck der Online-Durchsuchung angeschafft werden soll. Justizminister Wolfgang Brandstetter (ÖVP) hat dazu vor kurzem die Änderung der Strafprozessordnung (StPO) zur Überwachung von Online-Kommunikation in Begutachtung geschickt. Anfang 2017 soll das geplante Gesetz in Kraft treten.

Damit wird die Überwachung von Nachrichten und von Personen sowie Überwachung von Nachrichten, die im Wege eines Computersystems übermittelt werden, möglich. Konkret können damit eMails von Verdächtigen ausspioniert werden, ebenso wie sämtliche Chat-Nachrichten oder die privaten Fotos, die Nutzer auf externen Festplatten oder in der Cloud speichern. Der Einsatz der Maßnahme soll auf „schwere Straftaten“ beschränkt bleiben, aber es soll schon vorgekommen sein, dass auch Unschuldige ins Visier der Behörden kommen.

Kann man Trojaner erkennen?

Die futurezone hat deshalb bei Experten aus der IT-Security-Branche nachgefragt, was der Einsatz einer staatlichen Spionagesoftware für Bürger bedeutet und wie und ob man sich davor schützen oder die Software selbst erkennen kann. Gerade das mit dem „selbst erkennen“ wird für herkömmliche Nutzer von Computern eher schwierig. „Der Staatstrojaner trägt kein Schild, dass er der Staatstrojaner ist“, sagt Marco Preuss, Leiter des europäischen Forschungs- und Analyse-Teams bei Kaspersky Lab.

"Fortgeschrittene können durch die Kontrolle der laufenden Prozesse und Apps mögliche Anhaltspunkte dafür finden. Wenn diese plötzlich neu im System erscheinen oder von anderen Orten ausgeführt werden, als gewohnt, dann sollten die Alarmglocken klingeln. Das gilt für den Staatstrojaner ebenso wie für jede andere Malware", sagt dazu Thomas Uhlemann, Security Specialist bei Eset.

Schutz mit Sicherheitslösungen

„Sogenannte Staatstrojaner sind aktuell als gezielt eingesetzte Maßnahmen geplant, was einfache Internet-Nutzer in erster Linien nicht betreffen sollte. Aber grundsätzlich sollten Nutzer ihre Betriebssysteme und Software immer aktuell durch angebotene Updates halten und eine aktuelle Sicherheitssoftware einsetzen, wie etwa die Kaspersky Internet Security, um sich damit vor Schadsoftware zu schützen“, sagt der Experte.

Uhlemann von Eset ist überzeugt davon, dass die hauseigene Anti-Viren-Software von Eset Staatstrojaner erkennen wird. „Wir als Hersteller von Sicherheitslösungen analysieren generell jeden verdächtigen Code und stoppen und beseitigen ihn. Dabei spielt der Hersteller überhaupt keine Rolle. Da Malware so gut wie nie einen Absender ausweist, besteht zudem kaum eine Chance, zwischen Staatstrojanern und anderen Schädlingen exakt zu unterscheiden.“ Eset habe einige Varianten von FinFisher, einem Dienstleister für staatlich beauftragte Überwachungssoftware, als erstes erkannt, fügt der Experte als Beispiel an.

Laut Joe Pichlmayr, Geschäftsführer von Ikarus Security aus Österreich, ist es nicht ganz so sicher, dass Anti-Viren-Scanner den Staatstrojaner wirklich sofort erkennen. „Es wird Zufall sein, dass der Scanner, etwas erkennt. Wenn, dann erkennt er bestenfalls einen Virus. Das wird nicht „Bundespolizeitrojaner Nr. 1“ heißen.“ Der Markt für entsprechende staatliche Spyware sei zudem äußerst groß. „Da werden Milliarden ausgegeben und deswegen gibt es genug Anbieter.“

Kein Zurückhalten von Updates

Dass Staaten mit Herstellern von Anti-Viren-Software und Sicherheitslösungen Kontakt aufnehmen, um bestimmte Updates zurückzuhalten, glaubt keines der befragten IT-Sicherheitsunternehmen. „Bei uns gab es solche Anfragen nicht. Es ist wesentlich plausibler, dass hier mit den gleichen Methoden wie bei anderen Malware-Autoren gearbeitet wird: Man schraubt so lange am Code, bis dieser von Anti-Viren-Produkten nicht mehr erkannt wird“, sagt Uhlemann von Eset.

„Eine solche Abfrage würden wir direkt ablehnen. G Data hat bereits 2011 eine freiwillige Selbstverpflichtungserklärung der TeleTrust-Arbeitsgruppe „IT-Security made in Germany“ unterzeichnet. Hier hat sich G DATA dazu verpflichtet, keine Hintertüren in seine Software einzubauen“, heißt es seitens des deutschen Sicherheitsunternehmens G Data.

Die russische Anti-Viren-Firma Kaspersky, die bereits von Regierungen (in Österreich vom Innenministerium) wegen ihrer Expertise um Rat gefragt worden sind, gibt sich da als einzige Firma eher zurückhaltend auf die Frage, ob Firmen auf Anfrage bewusst Sicherheitsupdates zurückhalten könnten: „Das Risiko, dass entsprechende Anfrage publik werden, ist sehr groß. Als Unternehmen der Privatwirtschaft unterhalten wir keine politischen Verbindungen zu irgendeiner Regierung. Wir sind allerdings stolz darauf, bei der Bekämpfung von Cyberkriminalität mit den Behörden vieler Länder und mit internationalen Strafverfolgungsbehörden zusammenzuarbeiten.“

"Aus Sicherheitssicht bedenklich"

Generell gelte aber auch bei Kaspersky der Grundsatz, dass jeder Angriff bekämpft werde und es keine richtige oder falsche Malware gebe. Der Sicherheitsexperte von Eset äußerte jedoch generelle Kritik an der Einführung derartiger Software: „Es ist aus Sicherheitssicht bedenklich, wenn staatliche Behörden auf dem Schwarzmarkt Sicherheitslücken mit staatlichem Budget kaufen. Möglicherweise machen sie diese Geschichten überhaupt erst lukrativ für Kriminelle. Zusätzlich werden auf solchem Wege erlangte Erkenntnisse eben nicht dazu verwendet, Sicherheitslücken zu schließen, da sie ja so lange wie möglich verwendet werden sollen.“ Ähnliches hat auch der Datenschutz-Experte Andreas Krisch bereits vergangene Woche in Wien kritisiert.

Auch G-Data warnt: „Es besteht die Gefahr, dass ein solcher Staatstrojaner in die falschen Hände gerät, weiterentwickelt und zu kriminellen Zwecken verwendet wird. Auch die genutzten Sicherheitslücken können in der Folge von Kriminellen weiterverwendet werden.“ Lediglich Kaspersky äußert sich auf die Frage, ob sich Behörden auf das „Katz- und Mausspiel“ einlassen sollen folgendermaßen: „Sollten die Behörden aufhören, Einbrecher, Gewaltverbrecher oder Wirtschaftsdelikte zu verfolgen? Eine wirksame Strafverfolgung muss also auf internationaler Ebene stattfinden. Cyber-Einrichtungen wie bei Europol und Interpol sind hier erste Ansätze.“