Kassel(flipddot hackerspace kasselnh). CDU und Grüne planen derzeit eine Reform des hessischen Verfassungsschutz-Gesetzes. Das Landesamt für Verfassungsschutz soll in diesem Zuge mit neuen Befugnissen ausgestattet werden. Die Motivation dahinter ist, dass es dem Verfassungsschutz in der Vergangenheit technisch möglich war, die Inhalte von Kommunikation via SMS abzuhören, bei aktuellen Messengern wie WhatsApp, Signal und Co. diese Möglichkeit aufgrund der eingebauten Ende-zu-Ende-Verschlüsselung allerdings nicht gegeben ist, da Nachrichten nur auf den Endgeräten in lesbarer Form vorliegen. Um diese grundlegende Sicherheitsmaßnahme umgehen, ist im Gesetzesentwurf die Nutzung eines sogenannten Staatstrojaners vorgesehen. Dabei handelt es sich um eine unberechenbare digitale Waffe, die auf PCs, Smartphones und ähnlichen Geräten heimlich zum Einsatz kommen soll, um deren Besitzer unbemerkt überwachen zu können. Dies stellt eine Gefährdung für die weltweite IT-Sicherheit dar: In den falschen Händen, kann eine solche Waffe auch zu einem Angriff auf unsere kritische Infrastruktur, wie beispielsweise Krankenhäuser, Windparks, Atomkraftwerke oder Logistikinfrastuktur, genutzt werden. Grund hierfür ist, dass ein Staatstrojaner Sicherheitslücken erfordert, die bisher nicht vom Hersteller der verwundbaren Software geschlossen wurden und somit noch ausgenutzt werden können (sogenannte „Zero-Day“-Lücken). Solche dem Hersteller nicht bekannten Sicherheitslücken werden in der Regel auf einem Schwarzmarkt für teilweise sechs- bis siebenstellige Eurobeträge gehandelt. Diese Tatsache macht es im operativen Betrieb unmöglich, eine solche Schwachstelle geheimzuhalten. Eine verantwortungsbewusste Sicherheitspolitik setzt jedoch darauf, dass Sicherheitslücken schnellstmöglich geschlossen werden. Bereits im Mai 2017 kritisierte der Chaos Computer Club in einer Stellungnahme zur Erweiterung des Einsatzes von staatlicher Schadsoftware diese Maßnahme in einer Anhörung im Rechtsausschuss des Deutschen Bundestages.
Wie funktioniert ein Staatstrojaner?
Der Einsatz eines Staatstrojaners erfordert, dass dieser unbemerkt auf den Geräten der überwachten Person installiert werden kann. Wie jeder andere Computervirus benötigt der Staatstrojaner daher eine Sicherheitslücke als Einfallstor. Sicherheitslücken gibt es in quasi jeder Software. Attraktiv für Verfassungsschutz, Geheimdienste und Kriminelle sind aber vor allem Lücken in weit verbreiteten Programmen und Betriebssystemen wie z.B. Microsoft Windows, Android oder Apple iOS. Wer Kenntnis einer solchen Lücke hat, kann alle Geräte, auf denen die entsprechende Software läuft, manipulieren und unter seine Kontrolle bringen. Auf dem Schwarzmarkt für Sicherheitslücken trifft die Nachfrage von Nachrichtendiensten und Kriminellen auf ein Angebot. IT-Experten mit zweifelhaften Moralvorstellungen verkaufen dort Informationen über Sicherheitslücken an den meistbietenden Käufer. Dieser digitale Waffenhandel auf Schwarzmärkten wird durch den Staat als finanzkräftigen Abnehmer noch attraktiver.
Wie sieht ein verantwortungsvoller Umgang mit einer Sicherheitslücke aus?
Da Nachrichtendienste und Kriminelle bereit sind, große Summen für diese Informationen auszugeben, erfahren die Hersteller der betroffenen Software lange Zeit nichts von den gefundenen Sicherheitsmängeln. Nachrichtendienste haben ein Interesse daran, dass ihnen bekannte Lücken möglichst lange offen bleiben und nicht durch ein Software-Update behoben werden. Schließlich haben sie auf dem Schwarzmarkt viel Geld für die Lücke bezahlt. Auch wenn ein Nachrichtendienst bei seinem Trojanereinsatz einen legitimen Zweck verfolgt, bringt die fortdauernde Existenz der Lücke alle Anwender der betroffenen Software in Gefahr: Jederzeit könnte die selbe Lücke ebenfalls von Kriminellen entdeckt und ausgenutzt werden. Auch kann der Verfassungsschutz selbst Opfer eines Hacks werden und so unabsichtlich eine mächtige Cyberwaffe an Kriminelle verlieren. Daher ist es wünschenswert, Sicherheitslücken in Software unverzüglich an deren Hersteller zu melden, damit die Nutzer durch ein Update geschützt werden können. https://www.hessentrojaner.de/
