Mittlerweile haben in Deutschland alle Geheimdienste (BND, MAD, Verfassungsschutz), die Länderpolizeien und auch das Bundeskriminalamt die Befugnis, Staatstrojaner im Sinne einer sogenannten Quellen-Telekommunikationsüberwachung oder der Onlinedurchsuchung einzusetzen. Damit wurde die herkömmliche Telekommunikationsüberwachung, also das Abfassen von Kommunikationsdaten und Inhalten bei Handys erweitert. In der Logik der Sicherheitsbehörden ein notwendiger Schritt, angesichts der fortschreitenden technischen Möglichkeiten vor allem der Smartphones. Rechtliche Grundlage ist § 100a und § 100b der Strafprozessordnung (https://www.gesetze-im-internet.de/stpo/__100a.html ; https://www.gesetze-im-internet.de/stpo/__100b.html)
Dabei gibt es unterschiedliche Eingriffsstufen bei der Quellen-TKÜ. Bei der einfachen QTKÜ dürfen Geheimdienste nur live Kommunikation auslesen. Ein Beispiel wäre das Abhören eines Telefons oder das Lesen von SMS. Die QTKÜ+ soll das Auslesen von Kommunikation live aber auch rückwirkend ab dem Moment des Eingriffs ermöglichen. Von diesen beiden Methoden unterscheidet sich dann noch die Onlinedurchsuchung. Dabei wird gleich der gesamte Speicher des betroffenen Gerätes abgegriffen. Bei der Quellen-TKÜ+ hingegen soll nur ein bestimmtes Programm oder mehrere die der Kommunikation dienen betroffen sein, nicht aber bspw. auf dem Gerät gespeicherte Daten.
Dabei ist diese Trennung einerseits extrem unscharf: gilt etwa der Moment des Eingreifens, als der Moment ab dem mitgehört werden darf? Oder gilt der Moment in dem Beamt*innen einen Antrag aufsetzen? Die Überwachung solcher operativen Maßnahmen ist gleich ganz unmöglich. Ob nach einmal erfolgtem Zugriff nicht auf andere Programme geschaut wird, um nachträglich weitere Beschlüsse für diese zu erwirken kann niemand nachvollziehen. Schon 2011 wurde beim Bayrischen Staatstrojaner außerdem eine Funktion zum Nachladen von Dateien und zur De-/Aktivierung von Gerätefunktionen nachgewiesen, obwohl das illegal war.
Auch bei der Installation des Trojaners auf dem Endgerät der Betroffenen ist der Willkür Tür- und Tor geöffnet. Verschiedene Softwarevarianten mussten als nicht rechtssicher verworfen werden. Nun hat das Zentrum für Informationstechnik im Sicherheitsbereich (ZITIS) die Aufgabe einen Trojaner zu entwickeln. Nach wie vor besteht aber auch die Möglichkeit, dass die Behörden eigenständig Software ankaufen.
Es gibt einige Varianten, den Staatstrojaner auf ein Gerät zu spielen, die alle in etwa den Methoden gleichen, die auch andere Parteien im Internet haben.
1. durch Überredung in Emails oder Nachrichten bestimmte Software zu installieren: etwa als DHL getarnt zur Sendungsverfolgung
2. SMS, Nachrichten, Emails mit präparierten Anhängen (vor allem PDF und Office)
3. Ausnutzen von Sicherheitslücken in Programmen oder Systemen
Außerdem können Behörden natürlich durch Beschlagnahmungen an Geräte gelangen und diese dann in aller Ruhe infiltrieren. Voraussetzung dafür ist zumindest bisher, dass Geräte eingeschaltet und entsperrt sind. Sollte das nicht der Fall sein, machen sich auch Behörden an die Entschlüsselung. Dafür arbeiten sie häufig mit privaten Anbietern von Entschlüsselungssoftware zusammen. Außerdem kann natürlich auch beschlagnahmtes Material: Aufzeichnungen, Blöcke, Zettel, etc. das bei Hausdurchsuchungen gefunden wurde nach niedergeschriebenen Passwörtern durchsucht werden.
Sehr umstritten ist die Variante 3, bei der Sicherheitslücken genutzt werden, um Geräte zu infiltrieren. Wenn sich Behörden nicht auf die mühselige Suche nach diesen begeben möchten, dann bleibt ihnen eigentlich nur der Gang zum Schwarzmarkt, auf dem solche Sicherheitslücken gehandelt werden. Allein die Beschaffung wäre also ein Geschäft mit »Kriminellen«.
Außerdem entsteht für den*die Besitzer*in einer Sicherheitslücke das Interesse, dass diese unentdeckt bleibt. Dass aber steht in krassem Wiederspruch zur staatlichen Aufgabe, die Sicherheit seiner Untertanen zu gewährleisten. Und selbst wenn die Sicherheit von Privatpersonen dem Staat des Kapitals in der Regel schnurz ist, dann sind doch auch Unternehmen auf IT-Sicherheit angewiesen. Der Wannacry-Hack 2017 zum Beispiel, war nur möglich, da die NSA diese Sicherheitslücke wissentlich offen gehalten hatte. Die Gesellschaft für Freiheitsrechte bemüht sich, einzelne Gesetzesregelungen zu Staatstrojanern vor Gericht anzugreifen. https://freiheitsrechte.org/staatstrojaner-faelle/
Eine letzte unklare Variable bleiben die Internetanbieter*innen. Diese sind per Gesetz verpflichtet, den Behörden bei der Aufspielung des Trojaners zu unterstützen. Wie genau das Aussehen wird und ob die Anbieter*innen bei diesem Spiel mitmachen, ist unklar.
Zur Häufigkeit von Staatstrojanereinsätzen lässt sich bisher nur wenig sagen. Im Jahr 2019 wurde erstmals eine Statistik veröffentlicht. So wurden im Jahr 2019 insgesamt 380 mal Staatstrojaner eingesetzt: 368 mal als Quellen-TKÜ+ und 12 mal als Onlinedurchsuchung. Angeordnet wurde die Maßnahme 578 mal, doch scheiterte die Maßnahme in 32 Prozent der Fälle. https://posteo.de/news/erste-statistik-zum-einsatz-von-staatstrojanern-ver%C3%B6ffentlicht
Gegenstrategien
Zunächst lässt sich festhalten, dass die Möglichkeiten sich vor dem Trojaner zu schützen recht einfach wirken, wenn man sich halbwegs mit dem eigenen Gerät auskennt. Das wichtigste ist, dass Updates und Neuinstallation immer nur aus vertrauenswürdigen Quellen gemacht werden. Wer also ein ganz neues Programm gefunden hat, möge zunächst einmal recherchieren, wo und wann das Programm veröffentlicht wurde und was die User*innen so dazu sagen. Xbeliebige Dateien und Programme sollten nicht einfach herunter geladen werden. Bei Emails und Nachrichten ist das besonders zu beachten. Den*die Absender*in einer Email zu fälschen und eine schädliche Datei anzuhängen ist extrem einfach. PDF-Dateien sollten zum Beispiel nach Möglichkeit immer im Browser geöffnet werden. Anders als bspw. der Acrobat Reader lädt diese Funktion keinen Code, der zur Installation von Programmen genutzt wird. https://www.golem.de/news/ueberwachung-was-hilft-gegen-den-staatstrojaner-2107-157862.html
Welche Relevanz das Verhalten in sozialen Netzwerken bei der Infiltrierung von Geräten spielen kann, zeigt eine Geschichte eines Angriffs auf Angestellte in der Ölindustrie: https://www.golem.de/news/social-engineering-die-unterschaetzte-gefahr-1908-142812.html
Eine Schwachstelle können auch die Browser selber sein. Unverschlüsselte HTTP-Seiten können eine Angriffsmöglichkeit sein. Dagegen hilft das Browser-Addon HTTPS-everywhere. Außerdem sperrt die Nutzung von VPN-Programmen und dem Tor-Browser Provider und Verfolgungsbehörden effektiv aus. Bei der Wahl des VPN-Betreibers ist allerdings auch Vorsicht angesagt, da diese natürlich alle verschlüsselten Daten bei sich speichern könnten. Wir empfehlen den Riseup-VPN.
Bei Smartphones sollte darauf geachtet werden, dass diese immer noch mit Sicherheitsupdates versorgt werden. Ist das nicht der Fall, muss das alte Gerät leider weg. Wer ein Android-fähiges Telefon nutzt, bekommt mit GrapheneOS eine auf Sicherheit ausgelegte Instanz kostenlos zur Verfügung gestellt.
Zuletzt können Daten im Ernstfall einer Infizierung noch sicher aufbewahrt sein, indem man bestimmte verschlüsselte Container nutzt. Sind die Daten im Moment einer Onlinedurchsuchung verschlüsselt, kann der*die Angreifer*in lediglich den verschlüsselten Container abgreifen. Dafür gibt es zahlreiche Verschlüsselungstools.
Zum Absatz: „Eine letzte unklare Variable bleiben die Internetanbieter*innen. Diese sind per Gesetz verpflichtet, den Behörden bei der Aufspielung des Trojaners zu unterstützen. Wie genau das Aussehen wird und ob die Anbieter*innen bei diesem Spiel mitmachen, ist unklar. “
Hier ist nur unklar, wie das in Deutschland umgesetzt wird, in anderen Ländern sind diese zwei Varianten bekannt geworden:
– Die Internetanbieter stellen einen Schnittstelle bereit, um Behörden zu erlauben, bei unverschlüsselten Downloads von Software im vorhinhein präparierte Software auszuspielen. D.h. ich suche nach beispielsweise dem Programm CCleaner für Windows, lade es von einer Seite runter die zwar vielleicht https in der Browserzeile stehen hat, die Dateiübertragung der .EXE datei beim Download aber über http passiert. Der Geheimdienst/Polizeiserver im Rechenzentrum meines Internetanbieters liefert mir sobald die Anfrage unverschlüsselt (weil http) durchgeleitet wird als Antwort die manipulierte Version des CCleaner Programms. Das Programm funktioniert trotzdem aber ich habe zusätzlich den Trojaner installiert, scheinbar von der Originalwebsite, aber mein Internetanbieter hat mir eben nicht die Originaldatei übertragen. Hiergegen hilft das Checken der Checksumme der Datei (Mit SHA256, GNUPG/PGP signatur etc).
– Aufgeflogene Möglichkeit 2, bei Mobiltelefonen insbesondere Android:
Ab dem Stichtag der Maßnahme Stichtag leitet mein Telefonanbieter, bsplw Vodafone, alle meine Aufrufe im Handy-Internetbrowser auf eine Website im Vodafone-Layout um, also egal was ich in die Adresszeile eingebe/welchen Link ich öffne. Dort erscheint eine Meldung (mit Schritt-für-schritt-Anleitung), dass um Mobiles Internet weiter nutzen zu können, die (APN-)Daten aktualisiert werden müssten und man dafür die Anleitung befolgen müsse. Die allermeisten Zielpersonen dieser Variante werden der Anleitung folgen und den Trojaner Installieren, immerhin wissen sie das Sie ja Vodafone Kunde sind und das Mobile Internet scheint nicht zu funktionieren, ohne die Anleitung zu befolgen. Die Anleitung verlangt in den Android Einstellungen Fremdquellen zu erlauben und eine APN datei herunterzuladen und zu installieren. In diesem Schritt deaktiviert man selber erst den Schutzmechanismus dass nur Apps aus dem Google-Store ausgeführt werden können und installiert dann den Virus selber. Bei iOS/Apple Geräten ist es generell nicht möglich, Apps aus dem Internet zu Installieren abseits von dem Monopolmarktpaltz Appstore, hier wird man maximal in den Appstore zu einer Manipulierten App verwiesen, welche aber auf Anhieb ohne ausnutzung von nicht-öffentlichn Sicherheitslücken nicht ganz so viel Schaden auf dem Gerät anrichten können wird.
Forschung zu den wegen die hierfür verwendet werden findet sich in englisch auf https://citizenlab.ca/