Netzpolitik 19.03.2018

Großes Missbrauchspotenzial beim Bundestrojaner

© Bild: REUTERS / AMIR COHEN

Der Bundestrojaner ist laut Verfassungsjuristen rechtlich "kaum angreifbar". Missbrauch ist nach Meinung von IT-Experten kaum zu kontrollieren.

Bereits zwei Mal lief ein Versuch den sogenannten Bundestrojaner einzuführen, mit dem verschlüsselte Kommunikation Verdächtiger abgehört werden kann, ins Leere. Die entsprechenden Gesetzesvorschläge wurden zurückgezogen.

Die schwarz-blaue Regierung versucht nun, mit ihrem "Überwachungspaket" erneut den Einsatz einer solchen staatlichen Spionagesoftware gesetzlich festzuschreiben. Verfassungsrechtlich gesehen sei der derzeitige Gesetzesvorschlag kaum angreifbar, sagte der Verfassungsjurist Bernd-Christian Funk am Montag bei einem Pressegespräch des Bürgerrechtsvereins epicenter.works in Wien. Man sollte jedoch fragen, wie die Gefahren eines Missbrauchs solcher Programme seien.

"Technisch sehr viel möglich"

Um verschlüsselte Nachrichten auslesen zu können, müssen sich die Ermittler auf den Smartphones oder Rechnern Verdächtiger Spionagesoftware installieren, mit der sie die Nachrichten vor der Ver- oder nach der Entschlüsselung auslesen können. Technisch sei dabei sehr viel möglich, sagte der IT-Experte Otmar Lendl vom Computer Emergency Response Team (CERT).

Mit einer solchen Software könne nicht nur die Kommunikation auf WhatsApp und anderen Messaging-Diensten eingesehen werden. Die Ermittler könnten die Geräte durchsuchen, Files installieren, Programme ausführen, Passwörter auslesen, den Standort Betroffener eruieren und über das im Gerät eingebaute Mikrofon auch Gespräche im Raum abhören. Sogar die Handysignatur könne gefälscht werden, sagte Lendl.

"Nur die kleine Klinge"

Zwar sei es technisch denkbar, den Funktionsumfang der Spionagesoftware einzuschränken, praktisch sei dies aber nur sehr schwer durchführbar: "Man gibt den Ermittlern ein großes Schweizermesser in die Hand und sagt, ihr dürft aber nur die kleine Klinge nutzen."

Die tatsächliche Nutzung der Software sei kaum zu kontrollieren. Der Rechtsschutzbeauftragte sei ebenso wie der Richter oder Staatsanwalt für juristische Fragen zuständig, meinte Verfassungsrechtler Funk. "Dort muss nicht die nötige Sachkenntnis angesiedelt sein." Die Spezialisten, die die Rechtmäßigkeit des Einsatzes der Überwachungssoftware überprüfen könnten", gebe es noch nicht, kritisierte  Angelika Adensamer, Juristin bei epicenter.works

Eine Zertifizierung der Software wäre ein Schritt in die richtige Richtung, meinte Lendl. Sie würde in der Praxis aber auch viele Fragen aufwerfen. Der Trojaner müsse flexibel sein und auf Updates reagieren können, auf der anderen Seite müsste auch sichergestellt werden, dass Beamte nicht überschießend überwachen. "Das ist schwierig."

Unklarheiten gebe es auch, bei der Frage, welche Informationen abefangen werden dürfen, meinte epicenter.works-Juristin Adensamer. Im Gesetzesentwurf sei von "Nachrichten oder Informationen, die von einer natürlichen Person gesendete werden" die Rede. Darunter würden allerdings auch manuelle Speichervorgänge in der Cloud oder das Sichern von E-Mail-Entwürfen fallen.

Interessenskonflikt

Fragen wirft auch die Art und Weise auf, wie die Spionagesoftware auf die Geräte Betroffener geschleust werden soll. Wenn der Staat Informationen über Sicherheitslücken zukauft und diese nutzt, anstatt sie zu schließen, setzt er sich dem Vorwurf aus, dass er genau das Gegenteil dessen tut, was er eigentliche sollte. "Er schafft selbst Gefahren statt die Bevölkerung zu schützen", kritisieren die Bürgerrechtler von epicenter.works.

"Wenn der Staat Sicherheitslücken aufkauft und nutzt, schafft er Unsicherheiten in Bezug auf Kommunikationssysteme", meint Verfassungsjurist Funk. Der Staat müsse Bürger vor Gefahren schützen. Er müsse sie aber auch davor schützen, dass sie Opfer von Ausreißern staatlicher Schutzmaßnahmen werden.

"Zero-Day-Lücken nicht unbedingt notwendig"

Auch Lendl sieht Interessenskonflikte, verweist aber darauf, dass solche Zero-Day-Lücken nicht unbedingt notwendig seien um die Software auf die Geräte zu bekommen. Social Engineering sei ebenso möglich, wie Fake-Apps, falsche Download-Links oder das Ausnützen älterer Sicherheitslücken auf Geräten, die noch nicht upgedatet wurden.

Auf Android-Systemen, die von den Herstellern nur selten mit Software-Updates versorgt werden, könne man wahrscheinlich auch ohne Zero-Days viel erreichen, meint Lendl. Beim iPhone werde es schwieriger. Generell sollte man sich von einer Alles-oder-Nichts-Mentalität verabschieden, meinte der IT-Experte: "Auch mit einem einfachen, trivialen Trojaner, der nicht viel ausnutzt, kann viel erreicht werden." Software zur Fernüberwachung müsse nicht teuer sein, meinte Lendl. Es wäre allerdings ein Aufwand, die Nutzung gemäß des Gesetzes zu beschränken.

( futurezone ) Erstellt am 19.03.2018