"Der Bundestrojaner ist staatliche Schadsoftware"

Interview14. April 2016, 10:37
15 Postings

Für den IT-Experten René Pfeiffer ist die staatliche Spionagesoftware kein taugliches Mittel zur Bekämpfung von Verbrechen

Der Bundestrojaner galoppiert wohl bald durch Österreich. Wenige Tage nach den Anschlägen von Brüssel präsentierte Justizminister Wolfgang Brandstetter (ÖVP) seinen Gesetzesentwurf, der die "Überwachung von Nachrichten, die im Wege eines Computersystems übermittelt werden", regeln soll. Dafür sollen Ermittler Spionagesoftware auf Handys, Computern und Spielekonsolen von Verdächtigen installieren können, die so sämtliche Kommunikation, auch verschlüsselte, auf den Geräten ausspäht. Sie soll ausschließlich bei schweren Delikten, wie Terrorismus, zum Einsatz kommen.

Kritiker befürchten eine Einschränkung von Grundrechten durch die Software, und verweisen darauf, dass unter ähnlichen Vorzeichen schon gegen Tierschützer, "Väterrechtler" sowie Antifaschisten ermittelt wurde.

Kein taugliches Mittel

Polizisten preisen die Software als "Wunderwaffe gegen den Terror". Für den IT-Experten René Pfeiffer ist die geplante Einführung von staatlicher Spionagesoftware kein taugliches Mittel zur Bekämpfung von Verbrechen.

STANDARD: Was spricht gegen den Einsatz einer staatlicher Spionagesoftware?

Pfeiffer: Der Einsatz setzt voraus, dass das auszuspionierende Gerät manipuliert wird. In Verbindung mit polizeilichen Ermittlungen ist diese Manipulation im Hinblick auf einen Beweischarakter der erhobenen Informationen und Daten fragwürdig. Ein Staatstrojaner bedarf einer Infrastruktur, die Computersysteme absichtlich verwundbar hält. Verglichen mit einer Wohnung muss man daher Sollbruchstellen in Haustüren und Fenstern erhalten, damit die Software eingesetzt werden kann. Das widerspricht allen Prinzipien der IT-Sicherheit.

STANDARD: Kann es einen "kontrollierten" Einsatz einer solchen Software geben?

Pfeiffer: Man kann Schadsoftware sehr gut mit deren biologischen Pendants, Bakterien und Viren, vergleichen. Wer an einen kontrollierten Einsatz des Staatstrojaners glaubt, der glaubt auch an einen kontrollierten Einsatz von biologischen Waffen. Sobald man den Code freilässt, kann man ihn untersuchen und damit neue Schädlinge programmieren.

STANDARD: Wie kann man sich gegen einen Bundestrojaner überhaupt technisch schützen?

Pfeiffer: Ein Staatstrojaner ist letztlich staatliche Schadsoftware und verhält sich exakt genau so wie die digitalen trojanischen Pferde, vor denen man sich mit Antivirusprogrammen und anderer Software schützt. Die digitale Infrastruktur, die ausgespäht werden soll, kann nicht feststellen, ob es ein staatlicher oder krimineller Trojaner ist. Die Wirkung ist dieselbe, und da man die bisherige Schadsoftware nicht völlig ausrotten kann, wird man sich auch nicht zuverlässig technisch schützen können.

STANDARD: Wie kommt man an Sicherheitslücken, mit deren Hilfe solche Überwachungssoftware programmiert werden kann?

Pfeiffer: Es gibt Firmen, die gezielt nach Schwachstellen in allen Arten von Software suchen, um diese Informationen zu verkaufen. Je nach Effektivität zahlt man einen bestimmten Preis und erhält eine Schwachstelle, teilweise mit Code zum Angriff, für bestimmte Betriebssysteme oder Applikationen. Je nach Budget gibt es sogar Gewährleistung, wenn eine Lücke entdeckt wird, bekommt man dann also per Garantievertrag eine neue. Mittlerweile ist der Handel mit Schwachstellen gesellschaftsfähig. Früher war das die alleinige Domäne der Kriminellen.

STANDARD: Hat sich der Einsatz von Staatstrojanern schon mal bewährt?

Pfeiffer: Mir ist kein einziger Fall bekannt, in dem eine solche Software zur Aufklärung oder Verhinderung einer Straftat gedient hat. Bei den nach jedem Terrorakt geforderten Maßnahmen geht es aber leider nie um wirkliche Aufklärung. Man sichert sich so das Budget für die nächsten Jahre. Da die IT momentan sehr sexy ist und sich alle darauf verlassen, ist der Ruf nach Spionagesoftware eben zeitgemäßer als jener nach mehr kompetentem Personal oder besserer Ausbildung. Obendrein muss man weniger erklären, denn digitale Werkzeuge haben einen magischen Klang und rechtfertigen ihre Existenz durch den Trend. Fakten waren gestern. (Das Gespräch führte Markus Sulzbacher)

  • René Pfeiffer (44) ist Experte für IT-Sicherheit und Mitorganisator der Security-Konferenz Deepsec.
    privat

    René Pfeiffer (44) ist Experte für IT-Sicherheit und Mitorganisator der Security-Konferenz Deepsec.

Share if you care.