Smartphone-Trojaner?

Publiziert am 29. Juni 2017 von JeanLuc7

Werte Lerserinnen und Leser,

in der vergangenen Woche hat der Bundestag im Schnellverfahren und auf sehr trojanische Weise beschlossen, die sogenannte Telekommunikationsüberwachung (TKÜ) auf Smartphones zu erlauben. Das Gesetz gilt bundesweit, und die Länder sind aufgerufen, ihre Polizeigesetze anzupassen. Der Katalog der Straftaten, bei denen ein Einsatz möglich ist, ist lang und umfasst auch minderschwere Straftaten und nicht etwa nur Terrorismus, jenes Argument, mit dem seit Jahren alle neuen Überwachungsmaßnahmen begründet werden.

Allein, mir fehlt nach wie vor der Glaube, dass die Theorie („Einsatz des Bundestrojaners beschlossen“) und die Praxis („Bundestrojaner erfolgreich eingesetzt“) jemals wirklich zusammenpassen werden. Denn vor dem Einsatz des Trojaners stehen ein paar technische Hürden, die dieses Instrument nur in Sonderfällen einsetzbar macht:

  • Die Ende-zu-Ende-Verschlüsselung der Smartphones ist derzeit nicht knackbar. Die Hersteller haben keine Hintertüren eingebaut und lehnen dies aus guten Gründen weiterhin ab. Also bleibt den Behörden lediglich, die Nachrichten anzuschauen, *bevor* sie verschlüsselt werden – das geht nur auf dem Endgerät, auf dem sie geschrieben werden. Deshalb die Diskussion und die Einführung des Trojaners für Smartphones.
  • Der Trojaner muss laut Gesetz am Gerät selbst eingerichtet werden – das Verschicken präparierter Mails scheint nicht erlaubt zu sein, weil damit nicht sichergestellt werden kann, dass tatsächlich nur der zu Beobachtende die Software bekommt. Alo muss die Polizei sich Zugriff aufs Handy verschaffen. Ein Gang ins Hinterzimmer am Flughafen könnte genügen, erregt aber gerade bei wirklichen Straftätern Verdacht.
  • Der Trojaner muss zum Endgerät passen. Je außergewöhnlicher das Endgerät, desto geringer die Chance, dass dafür ein Trojaner vorhanden bzw. entwickelt wird. Ein Windows-8-Handy oder ein iPhone 3G sind eher unwahrscheinliche Angriffspunkte, weil irgendjemand den Trojaner bezahlen muss. Bisher gibt es zudem gar keinen solchen Trojaner im Bundesbesitz. Man stelle sich die Situation vor, was gescheiht, wenn die örtliche Kriminalpolizei die Nutzung des Trojaners anordnet und dann ein vielstelliger Betrag auf dem Angebot des Trojanerprogrammierers erscheint. Es stellt sich schlicht und einfach die Frage, ob klassische ermittlungsarbeit nicht effizienter ist.
  • Ein gerne gezogener Vergleich mit den NSA-Überwachungsmethoden hinkt. Denn dort werden massenweise Daten an Internetknotenpunkten ausgeleitet. Zwar sind darunter auch die Daten von WhatsApp & Co, aber eben Ende-zu-Ende verschlüsselt, so dass man dort nicht zugreifen kann. Der Trojaner eignet sich gerade nicht zur Massenüberwachung, weil man unmöglich unbemerkt eine größere Zahl Handys infizieren kann (und auch nicht darf).
  • Sobald der Hersteller die ausgenutzte Lücke behebt, ist Feierabend für den Trojaner. Dann muss ein neuer entwickelt werden. Die Verfügbarkeit eines Jailbreaks oder einer gerooteten Version des Betriebssystems ist ein ganz guter Indikator: gibt es keinen Jailbreak, ist auch die Chance auf einen unsichtbaren Trojaner recht gering.
  • Der Einsatz muss auch aus einem anderen Grund beschränkt bleiben: je mehr Handys infiziert sind, desto größer die Chance, dass der Trojaner entdeckt wird – das haben wir beim PC-Bundestrojaner bereits erlebt. Und de facto heißt das dann wieder, dass die teuer eingekaufte Zero-day-Lücke nutzlos wird, weil die Hersteller bekannte Einfallstore recht schnell beheben.
  • Ein neues Handy bedeutet für Überwachte meist auch das Ende des Trojaners. Man sollte aber nicht vergessen, dass Messenger inzwischen cloudbasiert arbeiten und man auf einem Handy schreibt, die Texte aber auch auf allen anderen Endgeräten mit demselben Account auftauchen (*unverschlüsselt*).

Die größere Gefahr stellt für mich hier daher wenige die technische Umsetzung aus – ob es je mehr als 100 solcher überwachter Geräte geben wird, halte ich für durchaus fraglich. Wirklich gefährlich ist die Art und Weise, in der der Bundestag dieses Gesetz „trojanisch“ beschlossen hat. Gesetze dieser Art, die nicht einmal diskutiert wurden, sind abzulehnen – und dieses landet hoffentlich bald vorm BVerfG.

Es grüßt herzlich

Ihr JL7

Dieser Beitrag wurde unter Allgemein veröffentlicht. Setze ein Lesezeichen auf den Permalink.