Falscher Staatstrojaner 24.09.2015, 12:58 Uhr

Kapo Züri wird 'lukrative Ware' für Cyberkriminelle

Überwachungssoftware ist gefährlicher Unsinn. Denn sie eröffnet auch Cyberkrinimellen neue Missbrauchsoptionen. Das angenommene Überwachungsgesetz BÜPF sollte dringend überdacht werden.
Polizisten und Verfassungsschützer, die Staatstrojaner einsetzen, werden Teil des organisierten Verbrechens. Teil der Wertschöpfungskette, die Cyberkriminelle länderübergreifend aufgebaut haben, um ihren lukrativen Geschäften nachzugehen. Natürlich ist das überhaupt gar nicht ihre Absicht. Aber "einen Angriffsvektor, einen Zeroday Exploit, haben Sie nie nur für sich allein, das ist eine gefährliche Illusion", sagte Volker Birk von CCC Winterthur auf dem Sicherheitspodium security-zone 2015. Kantonspolizisten, die Staatstrojaner und Sicherheitslücken zur Strafverfolgung einsetzen, halten damit auch Cyberkriminellen die Türen offen und gefährden die Sicherheit der Schweiz, die sie eigentlich schützen wollen. Denn die Backdoors, die Sicherheitsorgane benutzen, können auch von Kriminellen missbraucht werden.

Diktatoren - Mafia - Kapo Züri

Unwissenheit und Halbwissen treiben mitunter gefährliche Blüten. Die Kapo Zürich etwa hatte eine Angriffs-Software vom italienischen Hacking Team gekauft. Heimlich, still und leise, aber der Kauf flog auf, als die italienischen Hacking Team selbst gehackt und der Kaufvertrag publik wurde. Da wurde klar: Die Firma verkaufte ihre Angriffs-Software nicht nur an die Kapo, sondern auch an afrikanische Diktatoren und die osteuropäische Mafia. Eine gefährliche Melange. Alle benutzen die gleiche Software, die gleichen Angriffstechniken, die gleichen Exploits, die mittlerweile auf dem Schwarzmarkt gehandelt werden. Die Ermittlungsergebnisse der Kantonspolizei würden dadurch zur lukrativen Ware, die auf dem Schwarzmarkt gegen gutes Geld verkauft würde.  Und die Beweiskraft der Ermittlungsergebnisse, die Staatstrojaner liefern, sei praktisch Null, argumentiert Birk. Denn mit dem Trojaner von Hacking Team können Ermittler, der Hersteller selbst und andere Kunden nicht nur Computer ausspionieren, sondern auch Beweise fälschen. So enthielt die Software zum Beispiel ganz offiziell die Funktion "KiPo" - für Kinderpornographie. Unliebsamen Personen könne damit leicht kinderpornographisches Material unterschoben werden. Technisch sei das überhaupt gar kein Problem. Da habe jemand etwas nicht zu Ende gedacht.

Staatstrojaner spielen Kriminellen in die Hände

Das Problem ist prinzipieller Natur. Birk argumentiert nicht bürgerrechtlich, sondern technologisch. Angenommen, die ETH Zürich programmiert, mit den besten und seriösesten Absichten, einen Trojaner für die Strafverfolgungsbehörden. Von den 10 Millionen Codezeilen würden Software-Entwickler etwa 100'000 Zeilen selbst programmieren. Der Rest des Quellcodes, der Software stammt aus Bibliotheken und Projekten, die nicht der direkten Kontrolle der ETH unterliegen. Das ist heute in der Software-Entwicklung die gängige Vorgehensweise. Die in den zehntausenden Software-Bibliotheken versteckten Backdoors - also Einfallstore - werden von den ETH-Entwicklern dadurch gleich mit implementiert. Eine 100prozentige Kontrolle ist nicht mehr möglich. Er verstehe die Staatsanwälte und ihre guten Absichten, aber dies sei ein gefährlicher Weg, betont Birk. Tekkies wie Birk haben es anscheinend schwer, sich beim weniger technikaffinen Publikum Gehör zu verschaffen. Am 17. Juni hat der Nationalrat das Bundesgesetz zur Überwachung des Post- und Fernmeldeverkehrs (BÜPF) angenommen. In Zukunft dürfen Ermittler auch Staatstrojaner einsetzen und damit - so die Argumentation von Volker Birk - Schützenhilfe für die Cyberkriminellen leisten. "Wir haben uns die Finger wund telefoniert", sagte Rafael Cruz von consul&ad, dem Organisator der security-zone 2015. Aber keiner der Staatsanwälte und Strafverfolgungsbehörden sei bereit gewesen, einen Vortrag zu halten und auf die sicherheitskritischen Bedenken einzugehen.



Das könnte Sie auch interessieren