Der Bundestrojaner
Einführung in die Thematik
Im Oktober 2010 entbrannte in Deutschland eine Diskussion über die rechtliche Zulässigkeit eines sogenannten Staatstrojaners. Der Staatstrojaner ist eine von der deutschen Bundesregierung entwickelte Spionagesoftware, die von der Bundesanwaltschaft und anderen Sicherheitsbehörden eingesetzt wird, um die Kommunikation von Verdächtigen im Rahmen von Ermittlungen abzuhören und aufzuzeichnen. Die Spionagesoftware steht immer wieder in der Kritik, da sie einen tiefen Einblick in die Privatsphäre einer überwachten Person ermöglicht, und somit in Konflikt mit dem allgemeinen Persönlichkeitsrecht sowie dem Fernmeldegeheimnis steht. Zusätzlich werden von Kritikern Bedenken hinsichtlich der Sicherheit des Bundestrojaners geäußert, da es technisch möglich ist, diesen für unlautere Zwecke von Dritten zu missbrauchen. Trotzdem wird der Bundestrojaner von den Sicherheitsbehörden als wichtiges Instrument zur Terrorismus- und Kriminalitätsbekämpfung betrachtet [4].
Grundsätzlich handelt es sich hierbei um eine Trojanersoftware, die ohne das Wissen des Nutzers, auf einem Computersystem installiert werden und heimlich Daten ausspähen kann. Ziel ist es, in das IT-System des Bürgers einzudringen und dessen Kommunikations- und Nutzerverhalten zu beobachten. Der Einsatz dieser Software ist Teil von staatlichen Ermittlungsverfahren und wird seit 2017 auch durch die Quellen-Telekommunikationsüberwachung legitimiert. Die Telekommunikationsüberwachung ist ein Instrument, das von Sicherheitsbehörden eingesetzt wird, um die Kommunikation von Personen zu überwachen, die im Rahmen von Ermittlungen verdächtigt werden. Dazu gehört unter anderem das Abhören von Telefongesprächen, das Überwachen von E-Mail-Verkehr und das Überwachen von Internetaktivitäten. Die Telekommunikationsüberwachung kann in verschiedenen Formen erfolgen, wie zum Beispiel durch den Einsatz von Überwachungsgeräten, die direkt an Telefonleitungen oder Internetverbindungen angeschlossen werden, oder durch den Einsatz von Software-Tools, wie dem Bundestrojaner, der auf dem Computer einer verdächtigen Person installiert wird und die Kommunikation aufzeichnet [1].
Die Telekommunikationsüberwachung kann ein wertvolles Instrument sein, um Ermittlungen voranzutreiben und Täter zu überführen. Dennoch dürfen bei diesen Einsätzen nicht die Rechte der Zivilbevölkerung ausgehebelt werden. In vielen Ländern gibt es daher strenge rechtliche Vorschriften, die die Telekommunikationsüberwachung reglementieren und einschränken.
Der Chaos Computer Club (CCC) analysierte im Oktober 2011 mehrere Softwarevarianten eines Bundestrojaners und veröffentlichte seine Ergebnisse. Die Untersuchungen des CCC ergaben, dass Funktionen implementiert wurden, die gegen den Rahmen der Quellen Telekommunikationsüberwachung verstoßen.
Trojaner als Schadprogramm
Die Bezeichnung des Trojanischen Pferdes geht auf die mythische Sage des griechischen Dichters Homers zurück. Demnach die von den Griechen belagerte Stadt Troja durch eine List erobert wurde. Die griechischen Soldaten bauten ein hölzernes Pferd, in dessen Bauch einige Soldaten versteckt waren und boten es den Trojaner als Geschenk an. Nachdem das Pferd in die Stadt Troja gerollt wurde, öffneten die Soldaten in der Nacht das Haupttor und ließen ihr Heer hinein.
In der Computerwissenschaft wird ein Schadprogramm als Trojaner bezeichnet, das eine ähnliche Vorgehensweise, wie die griechischen Soldaten verfolgt. Ein Trojaner wird ohne das Wissen des Nutzers auf dem Computersystem installiert. Ein Trojaner kann sich anders als andere Schadprogramme wie Viren oder Würmer nicht selbst reproduzieren. Daher ist es auf eine aktive Installation auf dem Computersystem angewiesen. Dies kann entweder durch Dritte, die sich unentdeckt Zugriff zu dem System verschaffen oder unwissentlich durch den Nutzer selbst erfolgen. Oft hängen sich Trojaner an, manipulierte Wirtsprogramme und installieren sich bei deren Installation automatisch mit. Für den Nutzer bleiben Sie meist unentdeckt. So können sich Trojaner in E-Mail-Anhängen als Word-Dokumente oder in „Drive-By-Downloads“ von Webseiten verstecken. Im Hintergrund der Datei befindet sich ein Downloader, der automatisch beim Öffnen der Datei den Trojaner lädt und installiert. Alternativ können Trojaner sich auch hinter Download-Programmen aus dem Internet verstecken. Hier wird dem Nutzer ein unauffälliges und nützliches Programm im Vordergrund dargestellt [5,6].
Der Funktionsumfang von Trojanern unterscheidet sich von Trojaner zu Trojaner. Es gibt etwa Krypto-Trojaner, die Daten auf den Rechnern ihrer Opfer verschlüsseln und diese erst nach Zahlung einer Lösegeldforderung wiederhergestellt werden können. Neben dem Krypto-Trojaner gibt es auch Varianten, die lediglich Daten löschen und für den Nutzer unbrauchbar machen wollen. Alternativ gibt es auch Trojaner, die gezielt Daten aus dem infiltrierten System abgreifen und an Dritte senden können. Der Funktionsumfang der Trojaner richtet sich nach dem Ziel der Programmierer oder der Auftraggeber [5,11].
Hardware-Trojaner
Neben dem beschriebenen Software-Trojaner gibt es auch Hardware-Trojaner. Hier wird eine Hintertür in der Hardware der Endgeräte verbaut. Die Bedrohungslage auf der Hardware-Ebene ist deutlich höher als auf der Software-Ebene, da selbst mit modernster Technik die Manipulationen nur schwer entdeckt werden können. Zusätzlich spielen die globalen und oft verzweigten Produktionsketten den Angreifern in die Hände. Die Gruppe der Angreifer kann sowohl aus Kriminellen als auch aus Regierungen verschiedener Länder bestehen [3].
Hardware-Trojaner können auf verschieden Abstraktionsebenen der Hardware installiert werden. Auf der höchsten Abstraktionsebene wird die Verschaltung der einzelnen Bauteile manipuliert. Somit kann durch Hinzufügen und Tauschen der einzelnen Bauteile die Funktionalität beeinflusst werden. Diese Form der Manipulation kann jedoch verhältnismäßig einfach unter der Verwendung von Röntgenstrahlen nachgewiesen werden. Manipulationen auf Chip-Ebene durch den Einsatz von Field Programmable Gate Arrays, bei denen die Funktionalität nach dem Einbau noch verändert werden können, sind deutlich schwerer zu detektieren. Grundsätzlich ist die Detektion von Hardwaretrojanern äußerst schwierig, da es bisher wenig Anwendungsbeispiele gibt und die Hersteller ihre Geheimnisse vor der Öffentlichkeit verbergen [3].
Der Bundestrojaner
Der sogenannten Staats- oder Bundestrojaner dient dazu, das Computersystem eines Bürgers zu infiltrieren und dessen Kommunikation sowie das Nutzungsverhalten zu beobachten. Spionagesoftware gibt es nicht als herkömmliche Ware auf dem Markt zu kaufen. Diese Programme müssen auf die Hard- und Software des Zielsystems angepasst werden. Hierbei ist von Bedeutung, welches Betriebssystem, welcher Virenschutz und welches Kommunikationsprogramm auf dem zu infiltrierenden Computersystem vorhanden ist.
Der Chaos Computer Club (CCC) hat 2011 zwei detaillierte Berichte über den Funktionsumfang verschiedener Staatstrojaner-Varianten veröffentlicht. Es wird sich in den Berichten auf Softwarevarianten aus Jahren 2008–2011 bezogen. Die Software, die später den Namen „0zapftis“ erhalten hat, wurde von der hessischen Firma Digi Task GmbH im Auftrag der Bayerischen Staatsregierung entwickelt. Einige der daraus gewonnen Erkenntnisse werden im folgenden Absatz erläutert [2,13].
Viele Kommunikationsprogramme wie Telegram, WhatsApp oder Signal verwenden eine End-zu-End Verschlüsslung, die es Sicherheitsbeamten nur unter erheblichem Aufwand ermöglicht, die Kommunikation abfangen und lesen zu können. Daher müssen Sicherheitslücken auf dem System des Verdächtigen ausgenutzt werden, um die Kommunikation vor der Verschlüsselung abfangen zu können.
Wie bereits erwähnt kann die Installation eines Bundestrojaners aktiv durch eine dazu berechtigte Person oder passiv durch einen versteckten Download geschehen. Anschließend wird eine Kommunikation zu einem externen Server aufgebaut. Aus den Berichten des CCC geht hervor, dass die IP-Adresse des Command and Control Servers fest in das Programm einkodiert wurde. Der angesprochenen Server befindet sich in einem Rechenzentrum in Ohio in den USA. Über diese Verbindung kann nun der Überwacher mit dem Rechner kommunizieren. Die Kommunikation zwischen dem Trojaner und dem Server wurden durch ein Block-Cipher-Verfahren verschlüsselt. Auffällig ist, dass die Kommunikation nur vom Trojaner zum Server verschlüsselt wurde. Die Kommunikation vom Server zum Trojaner war hingegen unverschlüsselt. In späteren Varianten wurde die Schwachstelle korrigiert und eine Verschlüsselung in beide Richtungen integriert [2,8].
Der Funktionsumfang des untersuchten Bundestrojaners beinhaltet die Möglichkeit, „Screenshots“ vom Bildschirm des betroffenen Systems erstellen zu können. Weiterhin gibt es Schnittstellen, die eine Überwachung von Skype ermöglichen. Eine Möglichkeit, um die Tastaturanschläge aufzeichnen zu können, wurde in der untersuchten Variante nicht gefunden. Weiterhin wurde vom CCC offengelegt, dass in den untersuchten-Programmvarianten eine Hintertür eingebaut ist. Demnach ist im Programmcode ein Funktionserweiterer vorhanden, der ermöglichen soll weitere Programmfunktionen einspielen und installieren zu können. Die untersuchten Varianten des Trojaners wurden von keinem der verwendeten Virenprogramme identifiziert [2].
Abschließend muss darauf hingewiesen werden, dass sich in den vergangenen 11 Jahren die Informationstechnologie weiterentwickelt hat. Die durch den CCC aufgedeckten Funktionen sind nicht identisch mit denen aktueller Varianten von Staatstrojanern, wie die Software mit dem Namen Pegasus (Oktober 2021) vorhanden sein.
Pegasus ist der Name einer aktuelleren Spyware der in Israel ansässigen Firma NSO Group. Diese Software ist darauf ausgelegt, unbemerkt Daten auf iOS und Android-Geräten erheben und über das Internet verschicken zu können. Besonderheit an dieser Spionagesoftwarevariante ist, dass Sie durch einen „No-Click-Exploit“ ausgelöst werden kann. Das bedeutet, dass weder das Opfer die Software aktivieren muss noch eine dritte Person sich Zugriff zum mobilen Endgerät des Opfers verschaffen muss. Ein iMessage reicht schon zum Infiltrieren des Systems aus. Softwarevarianten des NSO Group wurden in viele verschiedenen Länder verkauft. 2021 wurde bekannt, dass sie auch vom Bundeskriminalamt sowie dem Bundesnachrichtendienst verwendet wird [24].
Rechtliche Grundlagen
Wie bereits in der Einleitung angedeutet, wird das Verwenden von Spionagesoftware gegen Verdächtige seit 2017 durch die Quellen-Telekommunikationsüberwachung (nachfolgende Quellen-TKÜ) legitimiert. Zu finden ist dieses Gesetz in der Strafprozessordnung (StPO) § 100a Telekommunikationsüberwachung. Im folgenden Abschnitt wird kurz auf den Inhalt sowie das Ziel dieses Gesetzes eingegangen.
Die Quellen-TKÜ ist eine Ergänzung zur konservativen Telekommunikationsüberwachung. Hierbei wird technisch in das Zielsystem eingegriffen, mit der Intention der Überwachung und Aufzeichnung laufender Telekommunikation sowie gespeicherter Kommunikationen. Hierbei wird eine staatliche Überwachungssoftware auf dem Zielsystem ohne das Wissen des Verdächtigen installiert. Ziel ist, die Kommunikation vor der weiteren Verschlüsslung durch ein Kommunikationstool, oder nach der Entschlüsselung abfangen zu können und somit Informationen zu erhalten, die mit der bisherigen TKÜ nicht nutzbar waren. Da es sich hierbei um eine heimliche Ermittlungsmaßnahme handelt, die einen deutlichen Eingriff in das Fernmeldegeheimnis bedeutet, sind in § 100a StPO hohe Anforderungen an die Zulässigkeit dieser Überwachung vorhanden. Ähnlich wie in der Schweiz, darf die Quellen-TKÜ nur zum Einsatz kommen, um schwere Straftaten zu verhindern sowie zur Erforschung des Sachverhaltes oder wenn die Ermittlung des Aufenthaltsortes auf andere Weise nicht möglich ist. Eine Vermutung zur Begehung einer schweren Straftat reicht im Übrigen nicht aus, um eine Online-TKÜ durchführen zu können [17,22].
Neben Computersystemen von tatverdächtigen Personen können seit 2017 auch Computersysteme von Personen überwacht werden, bei denen die Vermutung naheliegt, dass auch deren Systemen von den Verdächtigen verwendet werden [16].
Weiterhin wird hier deutlich geregelt, dass die Spionagesoftware nur verwendet werden darf, wenn technisch sichergestellt ist, dass auf keine weiteren Daten auf dem Zielsystem zugegriffen werden kann. Somit grenzt sich die Quellen-TKÜ von einer Online-Durchsuchung ab.
Bei der Online-Durchsuchung wird der Zugriff auf das Zielsystem erweitert, mit dem Absicht, Daten auf dem Langzeitspeicher sicherstellen zu können. Hierfür kann ebenfalls eine Spionagesoftware wie der Bundestrojaner verwendet werden. Die Online-Durchsuchung wird in § 100 b StPO erläutert. Anwendung finden darf dieser weitergehende Eingriff in die Privatsphäre der Zielperson nur bei dem Vorliegen einer besonders schweren Straftat [18].
Ergänzend dazu muss auf §100g StPo Erhebung von Verkehrsdaten eingegangen werden. Zur Aufklärung von Straftaten können auch die näheren Umstände der Kommunikation von Bedeutung sein. Diese Verkehrsdaten dürfen bei Verdacht auf das Vorliegen einer Straftat mit erheblicher Bedeutung unter Bezugnahme auf § 100a StPO erhoben werden. Zu diesen Verkehrsdaten gehören unter anderem die Nummer der beteiligten Anschlüsse, Start- und Endzeitpunkt der jeweiligen Verbindung sowie der verwendete Telekommunikationsdienst. Diese Daten können ebenfalls durch den Einsatz einer Spionagesoftware (Bundestrojaner) aufgezeichnet werden.
Der Bundestrojaner in Österreich
Eines der ersten Beispiele für Verwendung eines Bundestrojaners in Österreich lässt sich bereits im Jahr 2008 finden. In diesem Fall wurde ein junger Mann (Mohammed M.) beschuldigt, eine terroristische Organisation gegründet zu haben und Anschläge auf die europäische Fußballmeisterschaft 2008 in Österreich geplant zu haben. Im Zuge der Überwachung wurden 98 Gigabyte an Daten vom österreichischen Bundesamt für Verfassungsschutz und Terrorismusbekämpfung aufgezeichnet. Die Beamten brachen in die Wohnung des Verdächtigen ein und verwanzen die Telefone. Ergänzend dazu installierten Sie auf dem Rechner der Zielperson eine Software, die alle Tastaturanschläge aufzeichnet und zusätzlich alle 60 Sekunden den Bildschirminhalt festhielt. Auf Daten im Langzeitspeicher wurde laut Ermittlungsbehörden nicht zugegriffen. Die so aufgezeichneten Daten wurden im später folgenden Gerichtsverfahren als Beweise von der Staatsanwaltschaft verwendet [10,12].
Die Installation der Überwachungssoftware soll laut Bundesministerium für Justiz, vor Ort auf dem Zielrechner stattfinden, um zu gewährleisten, dass nur die Zielperson von der Überwachung betroffen ist. Zusätzlich darf sich die Überwachung nur auf Nachrichten und Daten beziehen, die von einem Computersystem übertragen werden sowie auf Kontaktverzeichnisse und Adressbücher. Eine weitere Durchsuchung des Computersystems von der Überwachungssoftware ist nicht vorgesehen, da hier die Grenze zu einer Online-Durchsuchung überschritten wird. Nach Beendigung der Ermittlungsmaßnahmen muss die Software vollständig entfernt werden, ohne das Zielsystem zu beeinflussen. Die Umsetzbarkeit dieser Vorgaben wurde in der Vergangenheit immer wieder stark kritisiert [9].
In Österreich hat das Bundesministerium für Justiz (BMJ) das Überwachen von Computersystemen an verschiedene Kriterien gebunden. Die Maßnahme der Computerüberwachung darf nur auf Anordnung der Staatsanwaltschaft erfolgen und nur zum Einsatz kommen, wenn insbesondere die Aufklärung einer mit mehr als zehnjähriger Freiheitsstrafe bedrohten Straftat vorliegt. Weiterhin sollen der Anwendungsbereich der Online-Überwachung der konservativen optischen und akustischen Überwachung von Personen gleichen. Es soll die Verhältnismäßigkeit gewahrt werden und alle Schäden, die einer Person entstehen können, werden vom Bund ausgeglichen [9].
Quellen:
[1] Schmale, W., Tinnefeld, MT. (2012) „Der Bau“ von Kafka oder die (Staats) Trojaner-Architektur. Datenschutz Datensich 36, 401–405 (2012)
[2] Chaos Computer Club (CCC). (2011) ANALYSE EINER REGIERUNGS-MALWARE. Abgerufen unter https://www.ccc.de/system/uploads/76/original/staatstrojaner-report23.pdf am 11.12.2022
[3] Speith, J., Becker, S., Ender, M., Puschner, E., Paar, C. (2020). Hardware-Trojaner. Springer-Verlag, Datenschutz und Datensicherheit (S.446 – 450).
[4] Bundesamt für Sicherheit in der Informationstechnik. (2022). Schadprogramme – Fragen & Antworten. Abgerufen unter https://www.bsi.bund.de/dok/6596284 am 12.12.2022
[5] Bundesamt für Sicherheit in der Informationstechnik. (2018). Schutz vor Ransomware Präventive Maßnahmen zur Absicherung vor Krypto-Trojanern. BSI-CS 124 | Version 2.0
[6] Lehle, B., & Reutter, O. (1997). Viren, Würmer und Trojaner
[8] Gnauer, H. (2017). Weshalb der sogenannte Bundestrojaner eine schlechte Idee ist: Gedanken angesichts eines zunehmenden Überwachungspopulismus. Medienimpulse, 55(3).
[9] Liess, M. Der" Bundestrojaner" Österreichs: Versuch der Implementierung einer neuen strafverfolgungsbehördlichen Ermittlungsmaßnahme zur Überwachung von Computersystemen durch den Ministerialentwurf 192/ME XXV. GP/vorgelegt von Magdalena Liess (Doctoral dissertation, Karl-Franzens-Universität Graz).
[10] Sokolov, D. AJ. (06.03.2008). Österreich: Großer Lauschangriff gegen Computer eines Terrorverdächtigen. Heise Online. Abgerufen unter https://www.heise.de/newsticker/meldung/oesterreich-Grosser-Lauschangriff-gegen-Computer-eines-Terrorverdaechtigen-187614.html.
[11] Holzner, S. (2016). Die Online-Durchsuchung: Entwicklung eines neuen Grundrechts. Springer-Verlag.
[12] Sokolov, D. AJ. (09.04.2008). Österreich: Arbeitsgruppe Online-Durchsuchung legt Bericht vor. Heise Online. Abgerufen unter https://www.heise.de/newsticker/meldung/oesterreich-Arbeitsgruppe-Online-Durchsuchung-legt-Bericht-vor-198121.html.
[13] DER IT, D. J. S. I., & ZEIT, E. W. L. (2011). 0ZAPFTIS–TEIL 2 ANALYSE EINER REGIERUNGS-MALWARE
[16] Freiling, F., Safferling, C., & Rückert, C. (2018). Quellen-TKÜ und Online-Durchsuchung als neue Maßnahmen für die Strafverfolgung: Rechtliche und technische Herausforderungen. Juristische Rundschau, 2018(1), 9–22.
[17] § 100 a Telekommunikationsüberwachung StPO.
[18] § 100 b Telekommunikationsüberwachung StPO
[22] Hilgendorf, E., Kusche, C., & Valerius, B. (2022). § 4 Strafverfahrensrecht. In Computer-und Internetstrafrecht (pp. 279-302). Springer, Berlin, Heidelberg.
[24] Obermaier, F. Mascolo, G. (2021). Auch BND nutzt umstrittene Pegasus-Überwachungssoftware. Süddeutsche Zeitung.