Warum Whatsapp-Überwachen ohne Trojaner nicht funktioniert

    Hintergrund24. Juli 2017, 09:42
    335 Postings

    Für Lücken in Betriebssystemen sind oft Millionen zu zahlen. Mit einem Neuaufsetzen des Geräts ist die Spyware wieder futsch

    Was schlägt das Justizministerium eigentlich vor?

    Künftig sollen Ermittler heimlich eine Software auf den Geräten von Verdächtigen installieren dürfen, die dann den Internetverkehr des Geräts ausleitet. Das Ministerium argumentiert, dass diese sogenannte Spyware nötig sei, da immer mehr Verdächtige etwa über Whatsapp oder Skype kommunizieren, die eine sogenannte Ende-zu-Ende-Verschlüsselung einsetzen.

    Warum können sich Ermittler diese Daten nicht auf anderen Wegen besorgen?

    Theoretisch könnten Nachrichten auf dem Weg zwischen zwei Nutzern abgefangen oder direkt von den Betreibern der Dienste verlangt werden. Ermittler erhalten dann jedoch nur eine verschlüsselte Version der Nachricht, die aus einer sinnfreien Zahlen- und Buchstabenkombination besteht. Um die Information lesbar zu machen, müsste die eingesetzte Verschlüsselung geknackt werden. Das dürfte bisher aber nicht einmal US-Geheimdiensten gelungen sein.

    Deshalb forderten Innenminister der EU in den vergangenen Monaten immer wieder, dass Dienste wie Whatsapp sogenannte Hintertüren in ihre Verschlüsselung einbauen sollen, durch die Ermittler dann schlüpfen können. Derartige absichtliche Lücken würden wohl bald auch von Kriminellen entdeckt werden, weshalb Verschlüsselung per se keinen Sinn mehr ergäbe. Deshalb verstummten derartige Forderungen nun wieder. SPÖ-Justizsprecher Otto Pendl sagte auf Anfrage des STANDARD vor wenigen Tagen jedoch, dass er eine "Einigung mit Betreibern" einem Bundestrojaner vorziehe. Eine Whatsapp-Überwachung ohne Bundestrojaner sei aber nicht möglich, sagte der IT-Sicherheitsexperte Sebastian Schrittwieser, Leiter des Josef-Ressel-Zentrums an der Fachhochschule St. Pölten, am vergangenen Wochenende.

    Was ist das Problem, wenn gefährliche Verdächtige überwacht werden?

    Dass Telefone, Briefe und SMS von potenziellen Straftätern ausgespäht werden, ist schon lange Usus und sinnvoll. Das Justizministerium argumentiert, dass die Überwachung von Whatsapp und Skype in dieselbe Kategorie fällt. "Es liegt kein Wertungsunterschied beim Eingriff in die Privatsphäre dahingehend vor", ob SMS oder Whatsapp verwendet würden, heißt es in den Erläuterungen zum Gesetzesentwurf mit Bezug auf die Diskussionen einer Expertengruppe.

    Doch auch wenn es keine Unterschiede in Bezug auf die Privatsphäre gibt, gibt es erhebliche technische Differenzen. Reguläre Telefonate und SMS sind unverschlüsselt. Sie können also von außen abgefangen und gelesen werden. Für das Eindringen in Smartphones, Tablets und Computer müssen Sicherheitslücken ausgenutzt werden. Diese Lücken bestehen bei allen ähnlichen Geräten fort, anstatt gestopft zu werden – also auch auf Geräten normaler Bürger. Über diese Lücken können dann fremde Geheimdienste oder Kriminelle eindringen.

    Wie kommt der Staat überhaupt an solche Sicherheitslücken?

    Einige heftig kritisierte Firmen wie Zerodium – dessen Gründer die Branche mit der Firma Vupen aufgemischt hatten – handeln mit derartigen Lücken. Zu Vupens Klienten gehörten angeblich Geheimdienste wie die NSA und der deutsche BND. Außerdem verkaufte Vupen Sicherheitslücken an das italienische "Hacking Team". Diese Firma vertreibt wiederum Überwachungssoftware, die Lücken ausnutzt.

    Die Preise für sogenannte Exploits können ein paar tausend Euro, aber in einigen Fällen auch Millionenbeträge ausmachen. Hersteller zahlen selbst viel, um über Lücken in ihren eigenen Programmen informiert zu werden. Eine andere Möglichkeit wäre, dass das Innenministerium selbst nach Lücken in Betriebssystemen sucht. Dass dafür die nötigen Ressourcen bereitstehen, kann jedoch bezweifelt werden. Im Endeffekt bedeutet das, dass der Staat auch mit und gegen Kriminelle um Lücken verhandelt und den Bestand unsicherer IT-Systeme fördert. "Verglichen mit einer Wohnung, die durchsucht wird, muss man von Sollbruchstellen in Haustüren und Fenstern sprechen", sagte der IT-Experte Rene Pfeiffer vergangenen Herbst zum STANDARD.

    Der Staat kauft also das Wissen über eine Lücke und installiert dann die Spyware?

    So einfach ist das nicht. Eine einzige Lücke bringt den Ermittlern wenig. Es gibt viele Varianten von Betriebssystemen. Es existieren ja nicht nur Windows, Linux, Apples iOS und Googles Android, sondern zig Versionen davon. Der Bundestrojaner müsste also eine Lücke bei exakt jener Betriebssystem-Version nutzen, die auf dem Smartphone, Tablet oder Computer – oder sogar der Spielkonsole – des Verdächtigen installiert ist. Mathias Vogl, Sektionschef im Innenministerium, gab deshalb in der Expertengruppe zum Bundestrojaner an, dass wohl "für jeden Fall eine individuelle Software er- beziehungsweise zusammengestellt werden muss". Kauft der Staat eine Lücke um zehntausende Euro, und der Verdächtige aktualisiert sein Smartphone, schauen die Ermittler durch die Finger.

    Außerdem bedeutet das, dass Nutzer von Smartphones mit aktuellem Betriebssystem besser geschützt sind. Vor allem für Lücken in aktuellen iOS-Versionen, die auf iPhones und iPads laufen, werden Unsummen verlangt.

    Auch trotz Bundestrojaner werde das Katz-und-Maus-Spiel weitergehen, es werde nur deutlich schwieriger und aufwendiger, unbeobachtet zu kommunizieren, etwa mittels digitaler Steganografie, sagt Verschlüsselungsexperte Schrittwieser. Eine andere Möglichkeit wäre, auf ältere Telefone zurückzugreifen, mit denen die Trojanersoftware nicht kompatibel ist. Allerdings funktionierten Whatsapp und Co auf veralteten Betriebssystemen oft ebenfalls nicht.

    Wie funktioniert die Installation?

    Der Verdächtige könnte mit Tricks selbst dazu gebracht werden, ein derartiges Programm zu installieren – etwa über sogenanntes Phishing. Damit wird der gezielte Versand von E-Mails oder SMS an den Verdächtigen bezeichnet, deren Anhänge er dann öffnet. Auf den Smartphones von mexikanischen Oppositionellen wurden etwa Spionageprogramme mit SMS installiert, die auf die Zielperson maßgeschneidert waren. Der Ehefrau eines Aktivisten wurden etwa Fotos über dessen Affären versprochen, wenn sie auf den angegebenen Link klickt.

    Der damalige deutsche Bundesdatenschutzbeauftragte Peter Schaar kritisierte jedoch bereits 2007 derartige Installationsmethoden. "Die Polizei darf sich nicht als Jugendamt Köln ausgeben, um eine Ermittlungssoftware auf dem Computer des Betroffenen aufzuspielen", sagte Schaar. Der damalige grüne Abgeordnete Wolfgang Wiland bezeichnete es als naiv zu glauben, dass "Terroristen, die konspiratives Arbeiten gewohnt sind, sich auf diese Weise foppen lassen". Außerdem wird durch diese Methode das Vertrauen in staatliche Dokumente untergraben. Eine andere Möglichkeit sind gefälschte Apps.

    foto: ap

    Eine zweite Variante ist die händische Installation. In den Erläuterungen zum Gesetzesentwurf wird etwa explizit erlaubt, "das Gerät aus der Kleidung des Betroffenen zu entnehmen". Ermittler sind dann jedoch mit einer weiteren Problematik konfrontiert: dem Zugangsschutz. Deshalb sollen Mobilfunkanbieter künftig den PUK-Code weiterleiten dürfen, mit dem Beamte das Gerät entsperren können. Das ist jedoch nur bedingt zielführend. Das Entsperren der SIM-Karte ist nicht mit dem Entsperren des Geräts gleichzusetzen. Aktuelle Marktführer wie Samsungs Galaxy-Modelle und iPhones setzen auf eigene Passcodes oder Fingerabdruckscanner, die Ermittler dann erst recht vor Probleme stellen. Das FBI musste vergangenes Jahr etwa eine Million Dollar zahlen, um von einem Drittanbieter ein einziges iPhone entsperren zu lassen.

    Was passiert, wenn die Sypware auf dem Gerät ist?

    Die Software soll dann beginnen, Nachrichten auszulesen und an die Ermittler weiterzuleiten – vorausgesetzt, sie wird nicht von einem Antivirenprogramm entdeckt. Die Spyware ist wohl auch futsch, wenn der Verdächtige sein Gerät in den Werkszustand zurücksetzt. Anderenfalls müsste die Spyware so mächtig sein, dass die vorgesehene "Beschränkung des Programms auf die gesetzlich vorgesehenen Funktionen" gesprengt würde.

    Diese abgesaugten Daten sollen allerdings nur bei Ermittlungen verwendet werden, für die der Einsatz von Spyware genehmigt war. Stoßen Behörden also etwa auf finanzrechtliche Delikte oder erfahren sie, dass der Nutzer Drogen besitzt, dann dürfen sie diese Beweise nicht vor Gericht verwenden.

    Mit "Nachrichten" ist laut Erläuterungen "nicht nur zwischenmenschlicher Gedankenaustausch" gemeint, sondern de facto der gesamte Internetverkehr – also auch Bezahlvorgänge, der Upload von Fotos in die Cloud oder synchronisierte Kalendereinträge. Alle offline gespeicherten Inhalte dürfen nicht angetastet werden. Ob eine Spyware überhaupt derart programmiert werden kann, ist unklar. Christian Pilnacek, Sektionschef im Justizministerium, gab im April 2016 an, dass "Experten des BVT zugesichert" hätten, dass Spyware sogar zwischen Nachrichten und laut damaligem Entwurf "nicht zu überwachendem Internetsurfen" unterscheiden könnte. Im aktuellen Gesetzesentwurf wird auch das Internetsurfen als "Nachricht" inkludiert.

    Der aktuelle Versuch ist also nicht der erste Anlauf, eine Spyware einzuführen?

    Nein. Der Streit um einen Bundestrojaner ist fast so alt wie das Gezerre um die Festplattenabgabe im Urheberrecht. Erstmals wollte 2007 der damalige Innenminister Günther Platter eine Spyware einführen. Er sprach damals von "einem Muss". Wer die Notwendigkeit für einen Trojaner nicht erkenne, "nimmt Sicherheitspolitik nicht ernst", so der Innenminister der schwarz-orangen Koalition. In den zehn Jahren seit dieser Ankündigung sind Anläufe zu einer gesetzlichen Fixierung des Trojaners allerdings immer wieder gescheitert. Damals war freilich auch eine Durchsuchung der Inhalte von Festplatten geplant.

    Eine Expertengruppe zeigte sich jedoch äußerst skeptisch gegenüber derartiger Online-Fahndung, da durch den Einsatz von solcher Software "immer eine Veränderung in den informationstechnischen Systemen stattfindet". Der Gesetzesentwurf wurde daraufhin abgeblasen.

    Erst 2016 brachte Justizminister Wolfgang Brandstetter (ÖVP) den Trojaner wieder ins Spiel – freilich ohne ihn als Trojaner zu bezeichnen. Da er nun keine Inhalte auf der Festplatte mehr durchsuche, gelte er nicht als solcher, argumentierte die ÖVP. Ein erster Entwurf, der im April 2016 erschien, sah etwa keine Möglichkeit zur Ferninstallation der Software vor. Nach teils vernichtender Kritik, etwa durch Informatik-Professoren der TU Wien, wurde der Bundestrojaner wieder auf Eis gelegt.

    Zum Leben erweckte ihn der Koalitionspakt, der Ende Jänner ausgehandelt wurde. Damals stimmte die SPÖ grundsätzlich einem massiven Überwachungspaket zu, dessen Komponenten nun vor der Neuwahl beschlossen werden sollen – darunter eben auch die Nachrichtenüberwachung.

    Zum Einsatz ist der Bundestrojaner bislang also nicht gekommen?

    Doch – aber ohne gesetzliche Grundlage. Der Jihadist Mohammed M., der mittlerweile in Syrien verschollen ist, wurde 2008 mit Überwachungssoftware ausgespäht. Damals installierten Beamte händisch ein Programm, das Screenshots anfertigte und Tastenanschläge aufzeichnete. Der Fall hätte damals vor dem Verfassungsgerichtshof landen können, doch die Beschwerde hätte nur M. einreichen können. Mit ihm habe man sich "in der öffentlichen Wahrnehmung keinen Sympathieträger ausgesucht", kommentierte damals Hans Zeger von der Arge Daten. Außerdem gab es immer wieder Gerüchte, dass es bei den Ermittlungen, die zum Tierschützerprozess geführt haben, zu einem Einsatz des Bundestrojaners gekommen ist. Das ist nicht bewiesen – allerdings existiert zumindest ein Antrag von Ermittlern, diese Methode einzusetzen.

    Die deutsche Firma Digitask bestätigte 2011 zumindest, eine Version ihres Spionageprogramms an Wien verkauft zu haben. Das Innenministerium dementierte jedoch, sie widerrechtlich eingesetzt zu haben. Keylogger und Screenshots wie im Fall Mohammed M. sind im neuen Gesetzesentwurf explizit nicht vorgesehen.

    Wie geht es jetzt weiter?

    Bis zum 21. August können Stellungnahmen zum Gesetzesentwurf abgegeben werden. Rund einen Monat später findet dann eine Plenarsitzung des Nationalrats statt. Bislang haben sich zigtausende Bürger gegen das Überwachungspaket ausgesprochen. Wesentliche Kritikpunkte, die beim letzten Gesetzesentwurf etwa vom Obersten Gerichtshof thematisiert wurden – etwa die Ferninstallation der Software –, bestehen weiter. Die SPÖ hat angekündigt, erst nach den Begutachtungen eine Entscheidung treffen zu wollen. Sämtliche Oppositionsparteien lehnen den Bundestrojaner schlicht ab. Der "wahrscheinlich mit Abstand fleißigste Beamte", wie Brandstetter im März 2016 den Bundestrojaner bezeichnete, könnte also weiter auf sich warten lassen. (Fabian Schmid, APA, 24.7.2017)

    • Das Trojanische Pferd – ein beliebtes Motiv auf Demos, etwa hier bei einer Anti-TTIP-Demo in Wien.
      foto: apa/fohringer

      Das Trojanische Pferd – ein beliebtes Motiv auf Demos, etwa hier bei einer Anti-TTIP-Demo in Wien.

    Share if you care.