In der Diskussion um die öffentliche Sicherheit wird immer wieder der Wunsch nach einem Staatstrojaner geäußert. In diesem Artikel will ich erklären, was ein Staatstrojaner ist, wie dieser funktioniert und wie er auf die Computer und Telefone von Verdächtigen kommt. Abschließend betrachte ich diesen Wunsch aus der Perspektive der IT-Sicherheit.
Was ist der Staatstrojaner
In kaum einer Diskussion wird genau definiert, was der Staatstrojaner alles können soll. Im Allgemeinen wird damit ein Programm gemeint, welches auf dem Rechner, Tablet oder Smartphone der Zielperson installiert wird und dort verschiedene Dinge verdeckt überwacht. Interessante Daten gibt es dabei viele. Kontakte im Adressbuch, Anruflisten, aber auch Kameraaufnahmen der Umgebung oder Chats.
Begründet wird die vermeintliche Notwendigkeit des Staatstrojaners dadurch, dass die Kommunikation immer häufiger verschlüsselt erfolgt und so durch eine normale Telefonüberwachung keine verwertbaren Daten mehr mitgeschnitten werden können.
Einfallsvektoren
Damit der Staatstrojaner eingesetzt werden kann, muss dieser zuvor auf dem Zielsystem installiert werden. Das kann über verschiedene Techniken erfolgen. Der physischen Zugang zum Gerät erlaubt in den meisten Fällen am Einfachsten die Installation. Aber dafür muss entweder in die Räume der Zielperson eingebrochen oder auf andere Art und Weise das Gerät möglichst unauffällig entwendet und wieder zurückgebracht werden.
Mittlerweile gehen Hersteller aber dazu über ohne Identifikation keinerlei Zugriff auf das Gerät mehr zuzulassen, so dass selbst der physikalische Zugriff keinen Erfolg mehr garantiert. Auch werden auf vielen mobilen Geräten nur noch kryptografisch signierte Programme zugelassen. Daher soll für den Staatstrojaner der Rückgriff auf die Ausnutzung von Sicherheitslücken erfolgen. Diese gibt es immer wieder, da Software komplex ist und nicht immer jede erdenkliche Kombination aus Eingaben an diese getestet werden kann.
Die Probleme
Mit den oben dargestellten Funktionen unterscheidet sich der Staatstrojaner nicht von einem üblichen Schadprogramm. Rechtlich gesehen ist er auch absolut ungeeignet einen Beweis zu führen, da - wie wir eigentlich alle wissen - ein Schadprogramm immer das Zielgerät auch beschreiben, also verändern kann. Damit wird es schwierig zu beweisen, dass die Zielperson wirklich eine Tat geplant hat, da die Beweise dafür einfach gefälscht werden können und es keine Möglichkeit gibt das Gegenteil zu beweisen.
Auch die Installation über Sicherheitslücken wirft Fragen auf. Die öffentlich bekannten Lücken werden von den Herstellern in der Regel innerhalb weniger Wochen geschlossen und nur wenige davon erlauben einen so direkten Zugriff auf das System, der notwendig wäre, um den Staatstrojaner zu installieren. Daher wurde und wird darüber diskutiert, ob Sicherheitslücken nicht erkauft werden können.
Hierfür muss ich kurz ausholen. Es gibt einen Schwarzmarkt um das Wissen um Sicherheitslücken in Geräten. Dieser Markt besteht hauptsächlich deshalb, weil es ein lukratives Geschäft ist Geräte im großen Stil zu übernehmen und für sich zu missbrauchen. Der Missbrauch findet für den Benutzer des missbrauchten Geräts oft unbemerkt statt, weil es nicht um die persönlichen Daten der Benutzer geht, sondern zum Beispiel um Klickbetrug bei Onlinewerbung. Auffälliger sind sogenannte DoS-Attacken (Denial of Service, eine Überlastung eines Internetangebots), jedoch lässt sich damit kein Geld verdienen und die Benutzer bemerken sehr schnell, dass ihr Gerät missbräuchlich benutzt wird.
Der Ankauf von Sicherheitslücken von öffentlichen Stellen zementiert diesen Markt, weshalb diese Idee bereits moralisch abzulehnen ist. Des Weiteren muss ein Staat, der wirklich um den Schutz seiner Bürger bemüht ist, Sicherheitslücken veröffentlichen, wenn jener davon erfährt. Denn wie oben bereits beschrieben werden diese Sicherheitslücken sonst auch von Kriminellen gekauft und ausgenutzt und gefährdet damit verhältnismäßig sehr viele Bürger.
Fazit
Der Staatstrojaner wird gerne als Kampfbegriff von Politikern ohne Kenntnisse des technischen Hintergrunds benutzt. Der Nutzen ist fraglich und die erkauften Probleme bedenklich. Meiner Meinung nach handelt es sich nur um den Versuch von der eigenen Unfähigkeit abzulenken und ein hölzernes Sicherheitsgefühl zu verkaufen.