Warum Staatstrojaner eine schlechte Idee sind

Staatstrojaner - Öffne den Port ein wenig!Politiker und Polizeicorps in der Schweiz fordern die Beschaffung und den Einsatz von sogenannten Staatstrojanern. Diese sollen der „Online-Durchsuchung“ dienen und zwar in Fällen, denen mit den üblichen Ermittlungsmethoden nicht beizukommen sei.

Jeder der sich etwas mit Computersicherheit befasst, kann darüber nur den Kopf schütteln. Es ist ein ähnliches Phänomen wie mit anderen „magischen“ Software-Lösungen: Nur dieses Programm installieren und schon ist den PC gegen Computerviren (Antivirensoftware) und böse Angreifer aus dem Internet (Firewall-Software) geschützt. Und nun soll also der staatlich eingesetzte Trojaner unseren Staat vor bösen Terroristen retten.

Warum ist das also aus Sicht von Computerfachleuten so eine schlechte Idee? Übertragen wir einmal das Problem des Staatstrojaners auf ein anderes Feld um den Sachverhalt etwas aufzuklären:

Nehmen wir an, die Menschen in der Schweiz beginnen damit, einen Raum in Ihren Wohnungen speziell abzusichern und dieser Raum könnte nur per Fingerabdruckleser aufgeschlossen und betreten werden. Die Polizei hat den Verdacht, dass in einigen dieser Räume konspirative Treffen stattfinden, an denen sich Staatsfeinde organisieren. Oder es wird bei gewissen Personen vermutet, dass sie in diesem Raum irgend ein Verbrechen vorbereitet haben, z.B. einen Bankraub.

Wenn ein solcher Verdacht stark genug ist, könnte die Polizei eine Durchsuchung der Wohnung des Verdächtigen bei der Staatsanwaltschaft beantragen. Bei den Personen mit dem gesicherten Raum hat sie ein Problem. Der Schlüsselservice kriegt den Fingerabdruck-Leser nicht geknackt.

An dieser Stelle fängt der Vergleich mit dem Computer zu hinken an: In der realen Welt würde die Polizei an dieser Stelle halt die Tür aufbrechen oder man könnte sich auch den Einsatz von schwerem Gerät gegen Türe oder gar Wände vorstellen. Ganz abgesehen davon, dass der Verdächtigte bei einem Durchsuchungsbeschluss mit der Polizei zu kooperieren hat und von sich aus die Türe öffnen müsste. Aber auf jeden Fall würde die Polizei schliesslich den Raum betreten können und allfällige Indizien und Beweise sichern.

Im Falle des Computers (= PC, Laptop, Tablet, Handy, etc.) ist es bereits jetzt möglich, diesen im Rahmen einer Durchsuchung zu beschlagnahmen. Und üblicherweise kann dieser dann in Ruhe von Spezialisten forensisch untersucht werden.

Ausser er ist verschlüsselt: Dann bringt die Beschlagnahmung nichts und wenn der Verdächtige klug ist, schweigt er sich dann über das Passwort respektive den Schlüssel aus.

Zurück zum Gedankenexperiment: Wir nehmen nun an, dass es durch fortschreitende Technologie plötzlich ein leichtes ist einen Raum in der Wohnung so abzusichern, dass man mit konventionellen Mitteln nicht mehr rein kommt. Die Polizei (oder vielleicht ist es hier schon eher der Geheimdienst) würde nun auf die Idee kommen, dass man nun eine Wanze in den Raum schmuggeln müsste. Eine Durchsuchung kommt nun nicht mehr in Frage, da der Verdächtige dadurch ja gewarnt wird und danach seinen Raum und alles was er oder sie hinein trägt auf Wanzen prüfen würde. Man muss die Wanze also verdeckt einem Gegenstand anbringen, der in den Raum gebracht wird. Oder man setzt einen verdeckten Ermittler ein, der sich mit dem Verdächtigen gut stellt und von diesem in den Raum mitgenommen wird.

Verdeckte Ermittler sind, neben dem immensen Aufwand, auch ein Problem in sich selbst, weil Sie als eigenständige Agenten auch Spuren und Handlungen selbst beeinflussen, ob absichtlich oder nicht. Eine passive Wanze macht das eher weniger. Daher hätte vor Gericht eine belastende Ton-Aufnahme des Verdächtigen aus einer Wanze eine höhere Aussagekraft als die Aussage eines verdeckten Ermittlers.

Geheimdienste und Polizei wollen den Staatstrojaner auf (verschlüsselten und anderen) Computern einsetzen, weil sie sich diesen wie eine passive Wanze vorstellen. Computer-Spezialisten wissen aber, dass ein Stück Software welches auf dem zu untersuchenden Computer läuft, dessen Ergebnisse verfälschen kann und wird.

Um es in einem drastischen Bild auszudrücken: Um Fingerabdrücke im gesicherten Raum als Beweismittel zu sichern, fordert die Polizei die Entwicklung und den Einsatz von Fingerabdrucks-Fälschungs-Werkzeugen um den Fingerabdruckleser am Eingang zu überwinden. Was dann aber die Aussagekraft der dadurch sichergestellten Fingerabdrücke in Frage zieht.

Halten wir zuerst einmal fest, wo der Einsatz eines Trojaners unnötig ist: Wenn das Gerät nicht verschlüsselt ist.

Bei einem unverschlüsselten Rechner kann eine forensische Untersuchung durchgeführt werden, bei der Garantiert wird, dass nichts verändert wird. Das Gerät wird dazu eingefroren, in der Regel indem es abgeschaltet wird. Danach wird eine nicht verändernde Kopie der Datenträger gezogen und nur diese Kopien werden untersucht.

Auch bei einem verschlüsselten Rechner ist dies möglich, jedoch nur wenn der Schlüssel bekannt ist. Es gibt Länder wie die USA und Grossbritannien in denen Verdächtige verpflichtet sind Schlüssel für verschlüsselte Geräte herauszurücken, was notfalls mit Beugehaft erzwungen wird. Statt eine solche Pflicht und entsprechende Druckmittel einzuführen (was in sich selbst nochmals eine ganz eigene Diskussion mit sich bringt) soll nun also in der Vorstellung der schweizerischen Strafverfolger eine elektronische Wanze das Passwort verraten oder gleich die (sehr aufwändige) forensische Untersuchung überflüssig machen.

Naive Politiker fordern manchmal auch den Verbot von Verschlüsselung, wenn sie begreifen, dass per Trojaner gesammelte Indizien zu wenig Beweiskraft haben. Nur funktioniert das halt auch nicht, da ein grosser Teil unserer heutigen Wirtschaft auf durch Verschlüsselung garantiertem Vertrauen beruht. Ein Verbot von Verschlüsselung würde grosse Teile der heutigen Wirtschaft lahmlegen. Banken und Läden müssten wieder Filialnetze aufbauen, etc. Verschlüsselung geht also nicht mehr weg, dieser Geist ist längst aus der Flasche entwichen.

Und letztlich geht es hier auch um Sparmassnahmen: Dank Staatstrojaner kann man sich teure Computerforensiker sparen und somit weitere Stellen im Polizeicorps abbauen.

Aus Sicht von Computer-Fachleuten bringt ein auf diese Art und Weise eingesetzter Trojaner zudem folgende Probleme mit sich:

  • Sicherheitstechnisch – Hier gibt es mehrere Aspekte:
    • Der Trojaner muss, wie andere Schadsoftware auch, an den vorhandenen Barrieren des Betriebssystems und allenfalls vorhandener sonstiger Sicherheitssoftware, ins System eindringen. Dadurch müssen dem Trojaner-Hersteller Sicherheitslücken bekannt sein, die den Herstellern der Betriebssysteme und Sicherheitsprogramme (noch) nicht bekannt sind. Diese kann er mit extremen Mitteln (siehe die geleakten NSA-Programme) selber entdecken oder muss sie auf den Schwarzmarkt illegal beschaffen. Der Staat unterstützt also damit die Computerkriminalität, welcher er doch eigentlich bekämpfen sollte.
    • Nachdem der Trojaner, unter Ausnutzung einer Sicherheitslücke, in ein System eingedrungen ist, darf er nicht gelöscht werden. Weder durch ein Sicherheitsprogramm (Betriebsystem-Mechanismen oder Antivirensoftware)  oder durch den Benutzer selbst. Daher muss er sich tarnen indem er die Sicherheitsmechanismen des Systems oder Antivirensoftware infiziert. Dadurch werden diese Löchrig und anfällig nicht nur für den Trojaner selbst, sondern auch für weitere Schadprogramme, vor denen sich das Opfer (also hier der Verdächtige) sicher wähnte.
    • Schliesslich ist auch der Trojaner selbst eine weitere Angriffsfläche. Um typische Sicherheitsmassnahmen zu umgehen und eine Steuerung des Trojaners von aussen zu erlauben, bauen diese in der Regel eine Verbindung aus dem befallenen System heraus zu einem Kommando-Server (sog. Command and Control Server oder kurz CnC) auf. Solche Kommando-Server sind wiederum interessante Angriffsziele, da man darüber in der Regel gleich Zugriff auf alle derzeit verbundenen Trojaner erhält und diese z.B. als Botnetz für Angriffe auf Dritte weiter missbrauchen kann.
    • Per Definition sind Datei-Zeitstempel oder Benutzerrechte bereits durch den Trojaner selbst als manipuliert anzusehen, da er diese zur eigenen Tarnung manipulieren musste. Daher ist auch bei einer nachfolgenden forensischen Untersuchung nicht mehr zweifelsfrei nachzuvollziehen, ob ein Indiz vom Verdächtigen selbst, dem Trojaner oder von Dritten platziert wurde. Die so gesammelten Indizien sind also weit weniger Wert als diejenigen aus einer forensischen Untersuchung.
  • Juristisch – Derzeit würde der Einsatz eines Trojaners einen klaren Verstoss gegen Artikel 143bis des Schweizerischen Strafgesetzbuches (Unbefugtes Eindringen in ein Datenverarbeitungssystem) erfüllen, welches mit einer Freiheitsstrafe bis zu drei Jahren sanktioniert werden kann. Daher muss das Gesetz angepasst werden, um Strafbehörden deren Einsatz zu erlauben. Auch muss gesichert sein, dass ein Sicherheitsspezialist der einen Staatstrojaner im Rahmen seiner Arbeit auf einem System findet und diesen beseitigt sich dadurch nicht der Strafvereitelung schuldig macht.
  • Beweistechnisch – Sobald ein Tatort verändert wird (siehe Sicherheitstechnisch oben), können dort gewonnene Indizien nur noch eingeschränkt verwertet werden.
  • Haftungstechnisch – Wenn aufgrund der Kompromittierung eines Systems mit einem Trojaner dieses andere Daten „leckt“ und infolgedessen Schäden entstehen (z.B. weil dadurch der Zugang zum Online-Banking geknackt wurde, Zugangsdaten zu weiteren Systemen in fremde Hände gelangen, etc.), haftet dann der Staat, der zuständige Beamte, dessen Abteilung oder der beauftragende Richter respektive Staatsanwalt dafür? Oder kann man sich gegen Trojaner-Folgeschäden versichern lassen?
  • Geopolitisch – Wenn wir solche Programme von schweizerischen Strafverfolgungsbehörden akzeptieren, wie können diese dann noch von denen von Drittstaaten unterschieden werden? Da ein Benutzer die Herkunft eines Trojaners nicht erkennen kann, muss er dann auch chinesische oder israelische Trojaner auf seinem System tolerieren? Wie kann beim Einsatz solcher Programme durch den eigenen Staat noch zwischen (fremder) Spionage und (rechtmässiger) Strafverfolgung unterschieden werden?

Fazit: Staatstrojaner sind (rechts-)staatgefährdend.

Daher muss auch das revidierte Nachrichtendienstgesetz, welches deren Einsatz dem Nachrichtendienst des Bundes erlauben würde, in dieser Form verhindert werden. Wer für das Referendum noch nicht unterschrieben hat, hätte diese Woche die letzte Gelegenheit dazu.

Aber der Kampf gegen den Trojanerwahn muss auch darüber hinaus weitergehen. Es werden derzeit Gesetze aufgegleist, welche auch der Polizei den Einsatz dieses Mittels offiziell erlauben, auch wenn z.B. ein Herr Fehr in Zürich der Meinung ist, dass er dies jetzt schon dürfe.