Bundestag gibt Staatstrojaner für alltägliche Strafverfolgung frei

Ein Kommentar von Richard Werner, Business Consultant

Aktuell beschäftigt der „Staatstrojaner“ wieder die Medien. Das Thema ist bei weitem nicht neu, sondern wurde schon über mehrere Jahre hinweg vielfach in der Öffentlichkeit diskutiert. Doch mit dem Beschluss des Bundestags fiel für viele überraschend eine Hürde für staatliche Verfolgung auf IT-Systemen. Und das sorgt hierzulande nicht nur in der IT-Gemeinde für einen Aufschrei der Empörung.

Ein Blick über den deutschen Tellerrand hinaus zeigt, dass verschiedene Staaten diese Form der Überwachung bereits seit längerer Zeit praktizieren. Der Einsatz gilt häufig nicht nur im Inneren der Verbrechensbekämpfung, sondern wird auch nach außen durch Auslandsgeheimdienste eingesetzt.

In der IT-Security-Gemeinschaft hat sich deshalb der Begriff „Gray Market“ — Grauer Markt — etabliert. Er steht für einen Bereich, in dem Gut und Böse nicht genau voneinander zu unterscheiden ist. Dass sich etwa Staaten gegenseitig darin überbieten, die interessantesten Sicherheitslücken aufzukaufen und sie dann weder mit dem betroffenen Hersteller noch mit den eigenen Verbündeten zu teilen, ist ein offenes Geheimnis. So stammt beispielsweise die Sicherheitslücke zur Ransomware WannaCry, welche jüngst für Schlagzeilen sorgte, aus dem Bestand der NSA.

Als Durchschnittsbürger fällt es einem mitunter schwer, hier klare Meinung zu beziehen. Ja, diese Trojaner werden zur Verbrechens- und Terrorismusbekämpfung verwendet. Damit lässt sich in der Regel gut leben. Aber anders als bei „normalen“ Strafverfolgungsmaßnahmen sind „digitale Waffen“ leider nicht örtlich eingrenzbar. Ein Beispiel dafür lieferte WannaCry. Die Ransomware nutzte eine Sicherheitslücke, die wohl schon länger bekannt war, aber eben nur der NSA. Diese wiederum „verlor“ den Code durch einen Hackerangriff, was sie zumindest dazu bewog, Microsoft über die Sicherheitslücke zu informieren, sodass die Nutzer immerhin Gegenmittel zur Verfügung gestellt bekamen.

Die Gefahr beim „Spiel“ mit diesen digitalen Waffen: Geraten Details an die Öffentlichkeit, wird daraus in der Regel Malware. Wird nun ein Staatstrojaner von den falschen Leuten entdeckt und analysiert, so kann er sehr leicht zu einer potenten Waffe in der Hand von Cyberkriminellen werden – und auch noch finanziert von Steuergeldern.

Ein prominentes Beispiel für eine solche Entwicklung ist die Malware Stuxnet. 2009/2010 wurde mit ihrer Hilfe das Atomprogram des Irans massiv sabotiert. Mittlerweile gilt es als weitgehend gesichert, dass die USA hinter der Erstellung und Verbreitung dieser Malware steckten, die nach Meinung von Experten hierfür mehrere Millionen Dollar investierten — ein Betrag, den nur wenige gewöhnliche Hacker für Malware ausgeben können. Unglücklicherweise verwendete Stuxnet keine Sicherheitslücken, die es allein in Atomkraftwerken gibt, sondern solche, die quasi auf jedem Windows-Rechner zu finden sind. Daher ist es wenig überraschend, dass sich sofort nach Bekanntwerden dieser qualitativ hochwertigen Lücken Cyberkriminelle darauf stürzten, um sie ihrerseits zu verwenden. Auch heute findet sich immer noch Stuxnet-Technologie in Exploit Kits, die für alle Arten von Cyberkriminalität zum Einsatz kommen, beispielsweise bei Ransomware.

Die Vorgehensweise ist prinzipiell gleich, unabhängig davon, ob Staatstrojaner, Bundestrojaner oder Stuxnet. Letztendlich geht es zunächst darum, Zugang zu einem System zu erlangen und dort dann gewisse „Aktionen“ durchzuführen. Die Angreifer graben einen Tunnel, um auf dem Zielsystem eine Aufgabe zu erledigen. Ob der Tunnel nun ins Archiv oder direkt zum Banktresor führt, hängt nur noch von der Absicht des Angreifers ab. Die Technik ist dieselbe.

In diesem Zusammenhang geht es natürlich auch um die Rolle der IT-Sicherheitsindustrie. Verhindern diese Unternehmen bewusst eine Erkennung dieser Angriffstools durch ihre Produkte? Oder helfen sie ihren „staatlichen Kunden“ vielleicht sogar dabei, diese zu entwickeln? Die niederländische Organisation „Bits of Freedom“ fragte 2013 auch Trend Micro und weitere 14 Hersteller, ob sie bei solchen Technologien mit staatlichen Organen zusammen arbeiten oder dies befürworten würden. Trend Micros eindeutige Antwort darauf lautet: Nein!

Neben der rein technischen Betrachtung ist es Trend Micro als Hersteller wichtig, eine grundsätzliche Frage aufzuwerfen: Wenn bei staatlicher Spionagesoftware von einem Kampf „gut“ gegen „böse“ die Rede ist, so stellt sich die Frage, wer definiert, was „böse“ ist. Setzen  beispielsweise die Auslandsgeheimdienste der USA Spionagesoftware ein, um im Zuge einer „America First“-Ideologie den USA informationstechnische Vorteile zu verschaffen, muss man sich als Europäer die Antwort sehr genau überlegen. Gleiches gilt selbstverständlich auch umgekehrt.

Als japanisches Unternehmen hat sich Trend Micro deshalb der Neutralität verschrieben. Es gibt einen Angreifer und einen Angegriffenen. Als Sicherheitsfirma ist es unsere Aufgabe, dem Angegriffenen beizustehen. Gerade weil bei digitalen Waffen der Wirkungskreis nicht eingrenzbar ist.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*