Staatstrojaner sind gesetzlich legitimiert, aber viele Unternehmer und Privatpersonen fragen sich natürlich, was es damit im Detail auf sich hat. Und auch: Ob es Schutzmöglichkeiten gibt.
Wir werden nun verraten, unter welchen Umständen staatliche Trojaner eingesetzt werden, welchen Zweck sie haben und ob reguläre Antivirensoftware sie erkennt.
Wenn der Vaterstaat seine eigenen Gesetze umgeht…
Nicht nur der Geheimdienst, sondern auch das Bundeskriminalamt und verschiedene Landespolizeibehörden sind berechtigt, staatliche Trojaner einzusetzen. Dies wurde auch durch Änderungen des Verfassungsschutzgesetzes und des Bundespolizeigesetzes gebührend entschieden. Dennoch ist und bleibt das Instrument — wie der Name schon sagt — ein Trojaner. Und wir alle wissen, dass es bei IT-Sicherheit eigentlich darum geht, Trojaner aller Art von Systemen fernzuhalten.
Darüber hinaus kann ein Trojaner massiv in die Privatsphäre und damit auch in die Grundrechte eingreifen. Gerade an dieser Stelle wird es paradox, denn schließlich ist Vater Staat tatsächlich dafür da, Grundrechte und personenbezogene Daten angemessen zu schützen. Es stellt sich daher die Frage, unter welchen Bedingungen staatliche Behörden ihren eigenen Weg von der gültigen Rechtsprechung oder gar der DSGVO gehen dürfen.
Staatstrojaner: Rechtsgrundlage für den Einsatz
Ob es sich um einen staatlichen Trojaner oder ein Produkt perfider Hacker handelt: Beide sind per Definition nichts anderes als bösartige Software, die sich ungefragt Zugriff auf ein System verschafft. Und führt dann natürlich selbständig Aktivitäten aus, wie zum Beispiel das Abrufen von gespeicherten Daten.
Der Unterschied zwischen einem herkömmlichen Trojaner und einem, der vom Geheimdienst oder einer Strafverfolgungsbehörde verwendet wird, ist in erster Linie legal. Dem Staat stehen hier drei Instrumente und Gründe zur Verfügung, um eine solche Aktion zu legitimieren:
- Onlinedurchsuchung
- Quelle Telekommunikationsüberwachung (kurz: Quelle TKÜ)
- Quelle Telecommunication Monitoring Plus (kurz: Quelle TKÜ – Plus)
Bei der Online-Suche können alle Daten des jeweiligen Geräts gelesen, analysiert und verwendet werden. Es ist daher das schwierigste Instrument, das der Polizei, dem BKA und Co. zur Verfügung steht. Mit der Quell-TKÜ darf der Trojaner dagegen nur die aktuelle Telekommunikation abfangen und gegebenenfalls entschlüsseln. Das Quellen — TKÜ — Plus geht noch einen Schritt weiter — es ermöglicht Behörden und Diensten auch den Zugriff auf frühere Kommunikation.
Wie funktionieren staatliche Trojaner?
Rein technisch gesehen, genau wie bei allen anderen Trojanern. Das gilt übrigens auch für die drei oben genannten Varianten, obwohl sie sich hinsichtlich ihrer (gesetzeskonformen) Zwecke unterscheiden. Ob Staats- oder Hacker-Trojaner: Die Schadsoftware wird auf irgendeine Weise in das gewünschte System geschmuggelt. Und sobald der Zugriff gewährt ist, kann sie dort nach Daten suchen und darauf zugreifen und erweiterte Berechtigungen einholen, mit denen das Gerät ganzheitlich ausgelesen werden kann. Es ist auch möglich, Mikrofon und Kamera unbemerkt einzuschalten, nachdem zusätzliche Anwendungen oder sogar zusätzliche Dateien neu geladen wurden — aber das ist selbst für den Staat nicht legal.
Setzt eine Strafverfolgungsbehörde einen Trojaner ein, muss sie sicherstellen, dass dieser so programmiert ist, dass nur der jeweilige Zweck (also Online-Suche, Quell-TKÜ oder Quell-TKÜ plus) unterstützt wird. Seit 2011 ist es nicht mehr fraglich, ob dies immer der Fall ist. Tatsächlich analysierte der Chaos Computer Club damals den Bayern-Trojaner (0zapftis) und stellte fest, dass er auch die oben genannten unerlaubten Funktionen hatte.
Eine Überwachung durch staatliche Trojaner ist auch präventiv möglich.
Was den Einsatz staatlicher Trojaner als solchen anbelangt, so ist es sogar richtig, dass eine präventive Überwachung durchgeführt werden kann. Nach Angaben des Innenministeriums gibt es jedoch jedes Jahr „einige Fälle“, in denen präventive Maßnahmen ergriffen werden. Das Ziel? Verbrechensverhütung oder Gewährleistung der Sicherheit des Bundes, des Landes oder für Leib und Leben einer oder mehrerer Personen. Präventive Überwachung basiert immer auf begründeten Verdachtsmomenten oder aktiver Bedrohungsprävention. Sollte dies aufgrund früherer Ermittlungen der Fall sein, sollten auch die Kontaktpersonen überwacht werden.
Für Programmierer ist rechtskonformes Design definitiv eine Herausforderung. Denn sobald ein Staatstrojaner mehr tut, als er tun soll, besteht die Gefahr, dass die Beweise vor Gericht ungültig werden. In diesem Zusammenhang hat die Bundesregierung auch mehrfach versäumt zu handeln. Nachdem der bayerische Trojaner abdanken musste, erwies sich auch der Kauf des Trojan Finfisher als problematisch. Es hat lange gedauert, bis es zur Verwendung zugelassen wurde. Ein weiterer staatlicher Trojaner, den das Bundeskriminalamt eigenständig entwickelte, hatte nur wenige Funktionen, war nicht für mobile Geräte geeignet und ausschließlich für Windows-Systeme programmiert.
Schutz vor staatlichen Trojanern — ist das möglich?
Im Prinzip können Sie sich vor staatlichen Trojanern genauso gut oder schlecht schützen wie vor allen anderen Trojanern. Denn die Methoden, mit denen sich staatliche Behörden Zugriff verschaffen, sind dieselben: Sie nutzen beispielsweise bekannte Sicherheitslücken aus, starten Brute-Force-Angriffe, betreiben Phishing oder Social Engineering.
Es gibt nur zwei weitere Wege, die „normalen Hackern“ im Gegensatz zum Staat nicht offenstehen:
- Die Einführung des Trojaners bei einer kurzfristigen Beschlagnahme, Polizei- oder Zollkontrolle
- Zusammenarbeit mit Anbietern, die durch eine Änderung des Verfassungsschutzrechts verpflichtet sind, gegebenenfalls bei der Installation des Staatstrojaners zu helfen
Gegen letzteres kann die Verwendung eines VPN Abhilfe schaffen, da es die Verbindung zwischen Server und Gerät verschlüsselt. Am Ende des Tages ist der beste Schutz vor staatlichen Trojanern jedoch (mit einem Augenzwinkern): Die Vermeidung illegaler Aktivitäten.
Durch den Einsatz einer Vielzahl von IT-Sicherheitsmaßnahmen wie Virenschutz, Firewall, Systemmonitoring und Patchmanagement stellen wir die Weichen, um sicherzustellen, dass Ihre Systeme und Netzwerke trojanerfrei bleiben.
Lesen Sie den Originalartikel auf IT-SERVICE.network