Staatstrojaner sollen Smartphones und Computer ausspionieren, damit Kriminelle gefasst werden können. Allerdings können auch Kriminelle und Geheimdienste die Trojaner-Sicherheitslücken ausnutzen. Hier dokumentieren wir die Entwicklung der staatlichen Spionagesoftware – eine Chronologie.

Chronologie: Gesetze, Fälle und Stellungnahmen

Wann wurden Staatstrojaner gesetzlich verankert? Welche Firmen entwickeln die Spionageprogramme? Was sagen Sicherheitsexpert.innen und Datenschützer in ihren Stellungnahmen zum staatlichen Hacking? Welche Fälle sind bekannt, in denen Staatstrojaner eingesetzt wurden? Wir dokumentieren hier chronologisch die Entwicklung von Staatstrojanern. Fehlt eine Information? Gern eine E-Mail mit Link auf verlässliche Quellen an uns schicken.
(Stand: Juli 2018)

Staatstrojaner machen all unsere Geräte unsicher: Die Staatstrojaner werden über Sicherheitslücken installiert, die dafür in jedem Smartphone, Computer, Tablet und in jeder Spielekonsole vorhanden sein müssen. Diese Hintertüren können neben der Polizei auch alle möglichen Geheimdienste und Kriminelle nutzen, um in unsere Geräte einzusteigen. Diese Chronologie zeigt: Staatstrojaner sind eine Gefahr für Behörden, kritische Infrastruktur, Zivilgesellschaft und Unternehmen. Darum werden wir gegen die deutschen Staatstrojaner eine Verfassungsbeschwerde beim Bundesverfassungsgericht in Karlsruhe einreichen.


Staatstrojaner: Chronologie des staatlichen Hackings


7. August 2018: Digitalcourage reicht Verfassungsbeschwerde gegen Staatstrojaner ein
Digitalcourage hat in Karlsruhe vor dem Bundesverfassungsgericht Verfassungsbeschwerde gegen die sogenannten Staatstrojaner eingereicht. „Das Gesetz dient nicht der Sicherheit, es gefährdet sie. Der Staat  sollte  Sicherheitslücken nicht ausnutzen, sondern dafür sorgen, dass  sie geschlossen werden“, sagt padeluun, Vorstandsmitglied und Gründer von Digitalcourage. Weitere Zitate sind im Artikel unten.
Digitalcourage: Verfassungsbeschwerde gegen Staatstrojaner eingereicht
Verfassungsbeschwerde unterstützen


1. August 2018: Trojaner-Angriff auf Mitarbeiter von Amnesty International
Zitat: „Ein Mitarbeiter von Amnesty International ist nach Angaben der Menschenrechtsorganisation mit Spionagesoftware der israelischen Sicherheitsfirma NSO Group angegriffen worden. Man glaube, "dass dies ein bewusster Versuch einer Regierung war, die unserer Menschenrechtsarbeit feindlich gegenüber steht, bei Amnesty International einzudringen“
Amnesty: Mitarbeiter mit Spionagesoftware der NSO Group attackiert


12. Juli 2018: Verfassungsschutz warnt vor Cyberangriffen u.a. auf deutsche Chemiewaffenforschung
Zitat: „Dem Bundesamt für Verfassungsschutz (BfV) liegen Erkenntnisse zu einer Spear-Phishing Angriffswelle mit mutmaßlich nachrichtendienstlichem Hintergrund vor. Diese Angriffe richten sich aktuell gegen deutsche Medienunternehmen und Organisationen im Bereich der Chemiewaffenforschung.“ Digitalcourage kritisiert auf Twitter: „(…) Darum sind Staatstrojaner​ eine schlechte Idee. IT-Sicherheitslücken schließen, nicht ausnutzen!“
verfassungsschutz.de: BfV Cyber-Brief Nr. 02/2018 – Hinweis auf aktuelle Angriffskampagne (PFD)


12. Juli 2018: Regierung verweigert Auskunft über Staatstrojaner-Firmen
Netzpolitik.org berichtet: „Der Staatstrojaner ist der bisher größte Eingriff in die Privatsphäre und müsste eigentlich am intensivsten kontrolliert werden. Die Bundesregierung gibt jedoch nur widerwillig Auskunft, erklärt viele Informationen zu Geheimnissen und verweigert manche Antworten vollständig.“
netzpolitik.org: Regierung verweigert jede Auskunft über Staatstrojanerfirmen – eingestufte Protokolle veröffentlicht


21. Juni 2018: Hessen: Untersuchungsausschuss zu Auftragsvergabe an Palantir
Das Land Hessen kauf ohne offene Ausschreibung Staatstrojaner-Software vom umstrittenen US-Hersteller Palantir. Oppositionsparteien (FDP, Linke & SPD) im hessischen Landtag haben einen parlamentarischen Untersuchungsausschusses erzwungen, der am 03.07.2018 seine Tätigkeit aufgenommen hat.
hessischer-landtag.de: Untersuchungsausschuss 19/3 (UNA 19/3)


14. Mai 2018: Access Now: Türkei nutzte deutsche Spionagesoftware gegen Oppositionelle
Die Bürgerrechteorganisation Access Now kann belegen, dass türkische Behörden die Software FinSpy der deutschen Finfisher eingesetzt haben, um Oppositionelle auszuspionieren.
Acces Now: European-made FinSpy malware is being used to target critics in TurkeyBericht als (PDF)


28. März 2018: Anfrage der Grünen u.a. zu BKA und zur Prüfung von FinSpy
Zitat: „Die Zulassung staatlichen Hackings verschiebt das Interesse zumindest der Sicherheitsbehörden auch auf die systematische Geheimhaltung, Offenhaltung und Nutzung von Schwachstellen und Sicherheitslücken in IT-Systemen, Hardund Software. Besonders brisant erscheint, dass für das Aufspielen von Spionagesoftware auf Zielrechner oftmals nicht allein kriminalistische List, sondern erst der staatliche Ankauf von Schwarzmarktinformationen über bislang unerkannte Sicherheitslücken ausreicht (vgl. u. a. dazu Veröffentlichung der Konrad Adenauer Stiftung (PDF)
Antwort auf die Kleine Anfrage der Abgeordneten Dr. Konstantin von Notz, Luise Amtsberg, Canan Bayram, et al. (PDF)


9. März 2018: Türkischer Internetanbieter ersetzt Downloads durch Spionagesoftware
Das kanadische Forschungsprojekt Citizen Lab (University of Toronto) berichtet in einer Recherche, dass Türk Telekom Downloads durch Spionagesoftware ersetzt habe.
Citizen Lab: Bad Traffic: Sandvine’s PacketLogic Devices Used to Deploy Government Spyware in Turkey and Redirect Egyptian Users to Affiliate Ads?
Martin Holland (heise.de): Opera, VLC, WinRAR, 7-Zip, Skype: Türkischer Provider ersetzt Downloads durch Spyware


6. März 2018: Windows Defender von Microsoft erkennt Staatstrojaner FinFisher
Nach eigenen Angaben konnte Microsoft den Staatstrojaner FinFisher erkennen und analysieren. FinFisher (auch FinSpy) ist ein Trojaner der britisch-deutschen Gamma Group der von vielen Saaten für heimliche Überwachung eingesetzt wird.
Stefan Beiersmann (zdnet.de): Microsoft: Windows Defender erkennt Staatstrojaner FinFisher
cloudblogs.microsoft.com: FinFisher exposed: A researcher’s tale of defeating traps, tricks, and complex virtual machines
BigBrotherAward 2012 für FinFisher
Wikipedia-Artikel zu FinFisher


8. Februar 2018: Protest gegen geplanten „Hessentrojaner“
Bürgerrechtsorganisationen demonstrieren gegen den Hessentrojaner und kritisieren das geplante Gesetz mit Stellungnahmen im hessischen Landtag. netzpolitik.org kommentiert: „Die große Mehrheit der Experten bewertet das Vorhaben der schwarz-grünen Regierung als verfassungswidrig und gefährlich.”
Stellungnahmen: Mobiles Beratungsteam gegen Rassismus und Rechtsextremismus, Hessischer Jugendring, Die Datenschützer Rhein-Main, Bund Deutscher Kriminalbeamter – Landesverband Hessen, Dr. Rolf Gössner, Hessischer Datenschutzbeauftragter
Stellungnahme des CCC
Stellungnahme des FIfF


6. Februar 2018: Eine kurze Geschichte zu Hintertüren in der Hardware
Das Heinz Nixdorf MuseumsForum hat eine kurze Geschichte zu Hintertüren in Hardware geschrieben. Hardware-Lücken entstehen unbeabsichtigt oder werden gezielt durch Geheimdienste geschaffen. Beispielsweise Lenovo: „Demnach fand der chinesische IT-Hersteller Lenovo undokumentierte Zugänge in seinen eigenen Netzwerk-Schaltern. Sie führten in das Jahr 2004, als die Geräte noch von der kanadischen Firma Nortel gefertigt wurden. 2009 ging Nortel mit einem Riesenskandal bankrott.” Insofern wird manipulierte Hardware auf absehbare Zeit ein Problem bleiben.
HNF (HNF Blog): Hardware mit Hintertür


2. Februar 2018: Der neue Bundestrojaner im Einsatz
Die vom BKA entwickelte „Remote Control Interception Software” ist untauglich, daher wurde der Trojaner FinSpy von der FinFischer GmbH gekauft. Mit diesem sind die Behörden in der Lage zum Beispiel verschlüsselte Chats zu speichern.
Florian Flade (welt.de): Ministerium gibt neuen Bundestrojaner für den Einsatz frei
Matthimon (twitter)


29. Januar 2018: Bundesregierung schweigt zum Staatstrojaner
Auf eine Anfrage der Partei die LINKE zum Bundestrojaner kam die Antwort, dass viele Fragen aufgrund der Brisanz nicht beantwortet wurden. Bei der Anfrage ging es darum, ob das BKA und der Verfassungsschutz die gleiche Technik zur Spionage benutzen. Der Staatstrojaner muss ebenfalls extern auf seine Verfassungskonformität hin geprüft werden. Es ist allerdings unklar, wie das Ergebniss aussieht, da es nur Ergebnisse zur ersten Version (ebenfalls Geheimsache) gibt.
▶ [Patrick Beuth (Spiegel.de): Der Staatstrojaner bleibt im Dunkeln] http://www.spiegel.de/netzwelt/netzpolitik/staatstrojaner-die-bundesregierung-schweigt-sich-aus-a-1190424.html


19. Januar 2018: Trojaner – vermutlich aus Italien und dem Libanon – entdeckt
Zwei mutmaßliche Staatstrojaner wurden entdeckt. Der aus Italien stammende Trojaner „Skygofree” ist eine sehr weit entwickelte Malware für Android. Diese spioniert z.B. gezielt die Standortdaten des Nutzers sowie Gespräche aus und wird über gefakte Seiten verbreitet. Bei diesen handelt es sich um Seiten, die denen von großen Telefonanbietern nachempfunden sind. Bei dem Trojaner der mutmaßlich aus dem Libanon stammt, werden hauptsächlich Anwälte, Aktivisten o.ä. ausspioniert. Der Trojaner ist in gefakte Messenger eingebettet und fällt den Benutzern somit nicht auf. Es werden Messenger wie Signal, Threema und Whatsapp imitiert. Die Hacker haben es ebenfalls auf Windows, Mac und Linux abgesehen. Dem Trojaner wurde der Name Pallas gegeben.
▶ [Peter Schmitz (securityinsider.de): Kaspersky Lab entdeckt möglichen Staatstrojaner] https://www.security-insider.de/kaspersky-lab-entdeckt-moeglichen-staatstrojaner-a-677599/ ▶ [Dennis Schirrmacher (heise.de): Dark Caracal: Große Spionage-Kampagne setzt auf manipulierten WhatsApp-Messenger] https://www.heise.de/security/meldung/Dark-Caracal-Grosse-Spionage-Kampagne-setzt-auf-manipulierten-WhatsApp-Messenger-3946585.html


16. Januar 2018: Mächtiges Spionageprogramm Skygofree für Android analysiert
Die Schadsoftware soll kriminellen Tonaufzeichnungen, Ausleitungen von WhatsApp-Nachrichten und den Verbindungsaufbau zu fremdkontrollierten WLAN-Netzwerken ermöglichen. Verteilt wird die Software, laut Bericht, über nachgebaute Webseiten von Telekommunikationsanbietern. Nach Einschätzung von Digitalcourage, sollte der deutsche Staat Bürgerinnen und Bürger vor solchen Programmen schützen, und nicht im Geschäft mit Unsicherheit mitspielen.
Kaspersky Lab: Skygofree: Following in the footsteps of HackingTeam


Januar 2018: Heinrich-Böll-Stiftung: „Zum staatlichen Umgang mit Verschlüsselung“
„Verschlüsselung schützt täglich die Daten von Milliarden von Menschen und Organisationen, inklusive einer Vielzahl an staatlichen Stellen. Gerade vor dem Hintergrund der zunehmenden Abhängigkeit von digitalen Technologien gewinnt dieser Aspekt weiter an Relevanz. Eine mögliche Regulierung durch Vorder- oder Hintertüren würde nicht nur die breite Masse an Nutzern gefährden und Cyberkriminellen die Arbeit vereinfachen. Sie riskiert auch die Reputation der eigenen IT-Wirtschaft und vereinfacht es autoritären Regimes, ähnliche Forderungen zu stellen, was wiederum die Meinungs- und Pressefreiheit weltweit unter Druck setzen würde. “ (S. 29)
Mirko Hohmann: E-Paper der Heinrich-Böll-Stiftung: „Vorder-, Hinter- & Falltüren: Zum staatlichen Umgang mit Verschlüsselung“


22. Dezember 2017: Gemeinsame Erklärung von Grundrechteorganisationen: „Geplante Verschärfungen des hessischen Verfassungsschutzgesetzes schädigen Demokratie und Grundrechte“
Gemeinsam mit anderen Organisationen appellieren 15 Grundrechteorganisationen an die Abgeordneten des hessischen Landtages: “Der Gesetzentwurf vom 14. November 2017 sieht den heimlichen Einsatz sogenannter "Trojaner" vor. Sie nutzen Lücken in Programmen und Apps, um unbemerkt vom angegriffenen Nutzer Smartphones, Computer oder andere – mit dem Internet verbundene – Geräte zu kontrollieren. (…) Finanziert mit Steuergeldern, werden sie möglichst lange vor den Herstellern der Programme und Apps geheim gehalten. Weil deshalb nicht nur der Verfassungsschutz, sondern auch Internet-Kriminelle diese Lücken ausnutzen können, ermöglicht und fördert der Staat damit letztlich auch ihre Verbrechen.
Landtag in Hessen: Stimmen Sie gegen das geplante Verfassungsschutzgesetz!
Pressemitteilung: 15 Organisationen gegen neues Verfassungsschutzgesetz für Hessen – Gemeinsame Erklärung warnt vor schw arz-grüner Gesetzesnovelle


6. Dezember 2017: Kommerzielle Spyware außer Kontrolle
Die gezielte Auslieferung von spywareverseuchten Mails an äthiopische Dissidenten zeigt, wie leicht solche Überwachungsprogramme missbraucht werden können. Diese kommerzielle Spyware wird u.a. Geheimdiensten und Sicherheitsbehörden angeboten. Im hier aufgeführten Falle wurde die Spyware in vielen Ländern an die Betreffenden verteilt.
Anna Biselli (netzpolitik.org): Äthiopien setzt international Spyware gegen Dissidenten ein
CitizenLab (TheCitizenLab)
Ron Deibert (wired.com): Evidence That Ethiopia Is Spying on Journalists Shows Commercial Spyware Is Out of Control


Dezember 2017: Studie des FIfF: Cyberoffensive erhält deutlich mehr staatliche Mittel als Schutzmaßnahmen
Eine Studie des Forum InformatikerInnen für Frieden und gesellschaftliche Verantwortung (FIfF) hat ergeben, „dass Deutschland und die USA circa 15-mal mehr Geld in die Cyberoffensive stecken als in die -Defensive. Außerdem sind die Ausgaben wenig transparent.“
Christiane Schulzki-Haddouti (heise.de): Studie: Cyberoffensive erhält deutlich mehr staatliche Mittel als Schutzmaßnahmen


14. Dezember 2017: Triton – gravierender Angriff auf kritische Infrastruktur
Im Nahen Osten wurde die Schadsoftware Triton entdeckt, mit der Sicherheitssysteme in der Industrie angegriffen werden können. Ziele können Kraftwerke oder Einrichtungen der Öl- und Gasindustrie sein. Triton ist spezialisiert auf das Ausschalten von Sicherheitssystemen, die kritische Infrastruktur vor tödlichen Katastrophen schützen sollen. Nach Stuxnet und Industroyer/Crash Override ist Triton die dritte Schadsoftware dieses Ausmaßes.
FireEye: Attackers Deploy New ICS Attack Framework “TRITON” and Cause Operational Disruption to Critical Infrastructure
arstechnica.com: Game-changing attack on critical infrastructure site causes outage


7. November 2017: Regionales Bündnis engagiert sich gegen den „Hessen-Trojaner“
Am 7. November 2017 ist die Infoseite hessentrojaner.de online gegangen: „hessentrojaner.de ist ein Gemeinschaftsprojekt von Organisationen in Hessen, die sich für die Sicherheit von IT-Systemen und gegen den geplanten Staatstrojaner engagieren.“
hessentrojaner.de


10. Oktober 2017: Polizei in Baden-Württemberg will Staatstrojaner, Video-Verhaltensüberwachung und Handgranaten
Die grün-schwarze Landesregierung in Baden-Württemberg plant ein Gesetz zur Änderung des Polizeigesetzes. Der Entwurf stammt aus dem Ministerium für Inneres, Digitalisierung und Migration Baden-Württemberg. Das Gesetz soll unter anderem den Einsatz von Staatstrojanern auch bei Allgemeinkriminalität erlauben. Der baden-württembergische Landesbeauftragte für Datenschutz, Stefan Brink, erklärte in seiner Stellungnahme: „Ob das Sicherheitspaket einer Überprüfung auf Kosten und Nutzen standhält, wird das Parlament entscheiden. Aus Sicht des LfDI ist sein Nutzen offen - sicher sind bereits jetzt seine Kosten: Wir alle bezahlen die Hoffnung auf mehr Sicherheit mit der realen Einbuße an Freiheit.“
Gesetz zur Änderung des Polizeigesetzes und des Gesetzes über die Ladenöffnung in Baden -Württemberg (PDF)
Stellungnahme des baden-württembergischen Landesbeauftragten für Datenschutz Stefan Brink (PDF)
Stellungnahme des Richtervereins Baden-Württemberg


4. Oktober 2017: Hessen will Staatstrojaner für Verfassungsschutz
Ein geplantes Verfassungsschutzgesetz der schwarz-grünen Regierung in Hessen soll dem Verfassungsschutz des Landes den Einsatz von Staatstrojanern erlauben. (Am Rande: Im hessischen Haiger hat die Digi Task GmbH (siehe Wikipedia), ein Hersteller von Staatstrojanern, ihren Sitz.)
Entwurf für eine Reform des Hessischen Verfassungsschutzgesetzes und des zugehörigen Kontrollgesetzes


27. September 2017: Bundesregierung zu Lieferungen von Überwachungstechnologie und Zensursoftware an Drittstaaten
Auf Anfrage der Fraktion BÜNDNIS 90/DIE GRÜNEN hat die Bundesregierung geantwortet, dass zwischen 2014 und 2016 in neun Fällen Spähtechnik an Ägypten, Algerien, Marokko, Nigeria, Saudi-Arabien und die Vereinigten Arabischen Emirate geliefert wurde.
Kleine Anfrage der Abgeordneten Omid Nouripour, Agnieszka Brugger,
Dr. Konstantin von Notz, weiterer Abgeordneter und der Fraktion BÜNDNIS 90/DIE GRÜNEN

netzpolitik.org: Überwachungsexporte: EU legt Reform vor, doch Regierungen und Industrie drohen mit Blockade


14. September 2017: Offizielle ZITiS-Eröffnung
Bundesinnenminister Thomas de Maizière eröffnete in München die Zentrale Stelle für Informationstechnik (ZITiS) im Sicherheitsbereich. „Als Dienstleister der deutschen Sicherheitsbehörden bündelt ZITiS das technische Know-how mit Cyberbezug und unterstützt sie mit Forschung, Entwicklung und Beratung“, heißt es auf der Website. Konkret bedeutet dies auch, dass ZITiS Staatstrojaner entwickeln wird. Der Ankauf von IT-Sicherheitslücken sei dabei nicht ausgeschlossen, erklärte de Maizière bei der Eröffnung.
Website von ZITiS
Monika Ermert (heise.de): IT für Sicherheitsbehörden: Schwachstellen kann Zitis auch kaufen


13. September 2017: Microsoft schließt Sicherheitslücke, die vom Staatstrojaner FinFisher ausgenutzt wurde
Die Sicherheitsfirma FireEye, die das Problem (fireeye.com mit technischen Infos) aufgedeckt hatte, vermutet, dass nicht nur der deutsch-englische Staatstrojaner-Hersteller Gamma Group mit seinem Produkt FinFisher (alias FinSpy oder WingBird) diese Sicherheitslücke ausgenutzt hat, sondern auch gewöhnliche Kriminelle. MS-Windows-Systeme wurden über MS-Office-Dokumente infiziert.
Fabian A. Scherschel (heise.de): Microsoft-Patchday schließt FinFisher-Zero-Day und große Bluetooth-Lücke


9. August 2017: Der IT-Sicherheitsverband TeleTrusT will gegen Staatstrojaner klagen
Der Bundesverband IT-Sicherheit e.V. (TeleTrusT), dem auch BKA und BSI angehören, will nach Konsultation seiner Mitglieder Klage gegen die Staatstrojaner vor dem Bundesverfassungsgericht einreichen. In der Pressemitteilung heißt es: „Die vom Gesetzgeber legalisierten Maßnahmen führen dazu, das Vertrauen in moderne IT-Systeme im Allgemeinen und in die angebotenen vertrauenswürdigen Lösungen zu erschüttern. Sie sind damit industriepolitisch kontraproduktiv und schädigend für den weiteren notwendigen Digitalisierungsprozess. [...] Die Eignung zur Verbrechensaufklärung ist fragwürdig, weil Straftäter beispielsweise auf andere Kommunikationsmöglichkeiten ausweichen werden. Die Beeinträchtigung des Grundvertrauens der Öffentlichkeit in den Schutz der kommunikativen Privatsphäre steht in keinem vernünftigen Verhältnis zur möglichen Ausbeute bei Strafverfolgungsmaßnahmen.“
Pressemitteilung (teletrust.de): "Bundestrojaner": TeleTrusT - Bundesverband IT-Sicherheit e.V. kündigt Verfassungsbeschwerde an


9. August 2017: IT-Verbände in Österreich positionieren sich gegen „Bundestrojaner“
In einem offenen Brief wenden sich Vertreter.innen der österreichischen IT-Branche an den Nationalrat und kritisieren das geplante Sicherheitspaket der Regierung und insbesondere den darin enthaltenen sogenannten Bundestrojaner. Durch das Ausnutzen und Offenhalten von IT-Sicherheitslücken schwäche der Bundestrojaner die IT-Sicherheit und das Vertrauen in den Wirtschaftsstandort Österreich. Es wäre unverantwortlich, den Markt für Sicherheitslücken zu fördern, was Cyberkriminellen zugute käme. Außerdem sei es technisch nicht zu realisieren, dass die Überwachung nur auf die zulässigen Bereiche beschränkt wird.
Vertreter.innen der österreichischen IT-Branche (PDF): Offener Brief zur Gefährdung der Cybersicherheit durch das geplante Sicherheitspaket


2. August 2017: Citizen Lab deckt auf, dass Staatstrojaner gegen mexikanische Anwält.innen eingesetzt wurden
Citizen Lab hat aufgedeckt: In Mexiko wird die Schadsoftware gegen Anwält.innen eingesetzt. Bisher wurden über 20 Fälle aufgedeckt, bei denen in den letzten Jahren eine Software names „Pegasus“ der Firma NSO Group missbräuchlich gegen mexikanische Regierungskritiker.innen eingesetzt wurde (darunter Oppositionspolitiker.innen, Anwält.innen und Journalist.innen). Die Infektion läuft in der Regel so ab, dass die Opfer dazu gedrängt werden, einen Link in einer SMS zu öffnen, der das Smartphone mit der Software infiziert. Obwohl keine eindeutigen Beweise vorliegen, spricht eine Reihe von Indizien für die mexikanische Regierung als Auftraggeber.
John Scott-Railton et. al. (citizenlab.ca): Lawyers for Murdered Mexican Women’s Families Targeted with NSO Spyware
sueddeutsche.de: Wie der Staatstrojaner eine Demokratie aushöhlt


August 2017: Stiftung Wissenschaft und Politik warnt vor Schwächung der IT-Sicherheit zum Zweck der Terrorismusbekämpfung
Die Stiftung Wissenschaft und Politik (SWP) berät die Bundesregierung in außen- und sicherheitspolitischen Fragen. Matthias Schulze von der SWP kritisiert die Tendenz vieler Staaten, IT-Sicherheitsstandards zur besseren Terrorismusbekämpfung abschwächen zu wollen. Das Dilemma bestehe darin, dass durch schlechtere Verschlüsselung und Sicherheitslücken zwar die Kommunikation von Terrorist.innen oder anderen Straftäter.innen besser verfolgt werden könne. Andererseits leide dadurch aber die IT-Sicherheit für die Bevölkerung und Unternehmen insgesamt, was wiederum von Kriminellen ausgenutzt werden könne. Schulze kommt zu dem Ergebnis, dass der Schaden aufgrund verringerter IT-Sicherheit wesentlich gravierender ist, als der Nutzen. Da Terroristen ohnehin meist sichere Kommunikationswege nutzen, plädiert Schulze für die Entwicklung alternativer Ermittlungsstrategien und gegen die Schwächung der allgemeinen IT-Sicherheit.
Matthias Schulze (swp-berlin.org – PDF): Verschlüsselung in Gefahr


27. Juli 2017: Digitalcourage kündigt Verfassungsbeschwerde gegen die deutschen Staatstrojaner an
Digitalcourage hält das Gesetz, das den Einsatz von Staatstrojanern erlaubt (siehe 22. Juni 2017), aus mehreren Gründen für grundgesetzwidrig: Zum einen widerspreche es einem früheren Urteil des Bundesverfassungsgerichts von 2008, weil Online-Durchsuchungen für einen zu großen Bereich von Gefährdungen zugelassen würden und die Quellen-Telekommunikationsüberwachung nur schwerlich auf die zulässigen Bereiche beschränkt werden könne. Zum anderen verletze der Staat seine Schutzpflicht, weil der Einsatz von Staatstrojanern die Verwendung und Geheimhaltung von Sicherheitslücken voraussetze, die von Kriminellen missbraucht werden können.
Digitalcourage: Wir klagen gegen die Staatstrojaner – Verfassungsbeschwerde unterstützen!


26. Juli 2017: Google entdeckt Trojaner in Android-Apps – vermutlich ein Staatstrojaner
Wie Google bekannt gab, verbarg sich die Spyware Lipizzan in mehreren Apps im Google Play Store. Auf einem infizierten Smartphone hat Lippizan Zugriff auf sämtliche E-Mails, SMS, den Standort, die gespeicherte Dateien, die Kamera und das Mikrofon. Google vermutet die israelische Firma Equus Technologies hinter dem Trojaner. Equus Technologies entwickelt Cyberwaffen für staatliche Organisationen. Sollte sich Googles Vermutung bewahrheiten, zeigt dieser Fall: Staatstrojaner werden nicht nur gezielt an einzelne Personen verteilt. Es wird auch versucht, sie großflächig spionieren zu lassen.
Megan Ruthven et. al. (security.googleblog.com): From Chrysaor to Lipizzan: Blocking a new targeted spyware family


21. Juli 2017: Gesellschaft für Freiheitsrechte: Verfassungsbeschwerde u.a. gegen „Online-Durchsuchungen“ und „Quellen-Telekommunikationsüberwachungen“ im Bayerischen Verfassungsschutzgesetz
Etwa ein Jahr nach Inkrafttreten der Reform des Bayerischen Verfassungsschutzgesetzes legt die Gesellschaft für Freiheitsrechte Verfassungsbeschwerde ein: „Die Überwachungsbedürfnisse, welche die Ermächtigungen zu „Online-Durchsuchungen“ und „Quellen-Telekommunikationsüberwachungen“ auf der Ebene des individuellen Grundrechtseingriffs rechtfertigen mögen, können die erhebliche allgemeine Gefährdung der IT-Sicherheit in der Bundesrepublik nicht legitimieren, die von einer Sammlung von Sicherheitslücken bei den deutschen Sicherheitsbehörden ausgehen.“
freiheitsrechte.org: Verfassungsbeschwerde


18. Juli 2017: Bundesdatenschutzbeauftragte Voßhoff prüft Staatstrojaner
Mindestens seit Juli 2017 prüft die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit Andrea Voßhoff die Staatstrojaner datenschutzrechtlich. Das geht hervor aus einer Antwort auf eine Anfrage von Andre Meister zu Staatstrojanern nach dem Informationsfreiheitsgesetz: „Die von Ihnen verlangten Informationen sind Bestandteil eines noch andauernden Kontroll- und Prüfvorgangs der BfDI. Der Informationsantrag ist daher gemäß § 4 Abs. 1 IFG abzulehnen. […] Nach Abschluss des Verfahrens werde ich auf die Angelegenheit zurückkommen.“
fragdenstaat.de: Kontrolle Quellen-TKÜ und Online-Durchsuchung im BKA


25. Juni 2017: Kommentar von Peter Schaar: Gesetzespaket, „dem die Verfassungswidrigkeit auf die Stirn geschrieben steht“
Der ehemalige Bundesdatenschutzbeauftragte und jetzige Vorsitzende der Europäischen Akademie für Informationsfreiheit und Datenschutz Peter Schaar hält das Staatstrojaner-Gesetz für verfassungswidrig. Es sei nicht mit dem Urteil des Bundesverfassungsgerichts von 2008 vereinbar, weil es das Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme zu stark einschränke. Unter anderem kritisiert er das Ausmaß an Daten, die ausgelesen werden dürfen und dass Staatstrojaner bereits bei wenig schwerwiegenden Delikten eingesetzt werden dürfen. Außerdem kritisiert Schaar, dass es eine Voraussetzung für den Einsatz von Staatstrojanern ist, Sicherheitslücken offenzuhalten und auszunutzen.
Kommentar von Peter Schaar (heise.de): Peter Schaar: Der Staat ist ein feiger Leviathan


23. Juni 2017: Bericht des NSA-Untersuchungsausschusses des Deutschen Bundestages
Netzpolitik.org veröffentlicht am 24. Juni 2017 eine ungeschwärzte Version des Abschlussberichts. Darin wird das Spionageprogramm Regin ab Seite 221 behandelt: „Es handele sich um eine von dem Sicherheitsunternehmen Symantec entdeckte, außergewöhnlich komplexe Spionagesoftware, mit der über Jahre hinweg Unternehmen, Behörden und Forschungseinrichtungen vor allem in Russland und Saudi-Arabien ausgespäht worden seien. Insgesamt seien 27 Ziele in 14 Staaten entdeckt worden, wobei die Zahl der betroffenen einzelnen Computer deutlich höher anzusetzen sei. (…) Ende des Jahres 2014 wurde in den Medien berichtet, REGIN sei bei einem Spionageangriff gegen eine Referatsleiterin aus der Abteilung Europapolitik im Bundeskanzleramt eingesetzt worden. Der Trojaner sei entdeckt worden, als diese einen USB-Stick auf ihrem Dienst-Laptop benutzen wollte. Der Trojaner auf diesem Laptop sei jahrelang unentdeckt geblieben und mutmaßlich schon im Jahr 2012 eingeschleust worden.“ Der Bericht enthält Empfehlungen der Fraktion BÜNDNIS 90/DIE GRÜNEN: „Auch das staatliche Sammeln, Zurückhalten vor der Öffentlichkeit und gezielte Nutzen von so genannten Zero-Day-Sicherheitslücken ist rechtsstaatlich nicht vertretbar. Im Gegenteil führt dies zu insgesamt weniger IT-Sicherheit, da bekannte, aber nicht geschlossene Sicherheitslücken immer auch Dritten gegenüber offen stehen und der Schwarzmarkt für solche Angebote nicht auch noch indirekt gefördert werden darf. Der Staat ist hier in einer Schutzpflicht.“ (S. 1628) Die LINKE empfiehlt: „Das Vertrauensproblem der für Cyberabwehr zuständigen Einrichtung kann nur gelöst werden, wenn die intensive Zusammenarbeit mit BfV, BND und MAD national via Cyber-Abwehrzentrum oder international in der Kooperation mit der NSA durchbrochen wird. Gerade die Kritikalität der bei der Behörde auflaufenden Informationen über Sicherheitslücken und -strukturen sowie der Umgang mit Unternehmens- und Personendaten erfordert zwingend, sie mit unzweideutigem Sicherheitsau ftrag aufzustellen.“ (S. 1618)
netzpolitik.org: Geheimdienst-Untersuchungsausschuss: Wir veröffentlichen den Abschlussbericht – ohne die Schwärzungen (Updates)


22. Juni 2017: Internetverband Bitkom kritisiert Staatstrojaner
Für Bitkom-Hauptgeschäftsführer Dr. Bernhard Rohleder geht es bei der Frage um den Einsatz von Staatstrojanern nicht um das Abwägen zwischen mehr Sicherheit und dem Schutz der Privatsphäre. Ein Mehr an Sicherheit sei nämlich gar nicht gegeben, da die Sicherheit dadurch beeinträchtigt werde, dass für Staatstrojaner Sicherheitslücken geschaffen oder offen gehalten werden müssen, die auch von Kriminellen genutzt werden könnten.
Pressemitteilung (bitkom.org): Bitkom zum so genannten „Staatstrojaner“


22. Juni 2017: Bundestag beschließt Staatstrojaner zur Strafverfolgung
Das „Gesetz zur Änderung des Strafgesetzbuchs, des Jugendgerichtsgesetzes, der Strafprozessordnung und weiterer Gesetze“ führt die Möglichkeit zur Durchführung von Quellen-Telekommunikationsüberwachungen (Quellen-TKÜ) und Online-Durchsuchungen ein. Bei einer Quellen-TKÜ wird durch einen Trojaner das direkte Abhören der laufenden Kommunikation auf dem Zielgerät ermöglicht (und somit bevor eine mögliche Verschlüsselung greift oder nachdem eine Entschlüsselung erfolgte). Online-Durchsuchungen gehen noch einen Schritt weiter und ermöglichen das Auslesen sämtlicher auf dem Zielgerät gespeicherten Daten (ebenfalls durch den Einsatz eines Trojaners). Die Änderung der Strafprozessordnung, die den Einsatz von Staatstrojanern ermöglichen soll, wurde nicht etwa in einem eigenständigen Gesetzesverfahren beschlossen, sondern durch einen Verfahrenstrick an ein laufendes Verfahren angehängt, in dem es um Regelungen zum Führerscheinentzug ging. Eine öffentliche Debatte im Vorhinein blieb dadurch aus.
Gesetzentwurf der Bundesregierung (PDF)


18. Juni 2017: E-Privacy-Verordnung: Entschlüsselung von Kommunikation soll verboten werden
Marju Lauristin, die Verhandlungsführerin des EU-Parlaments zur ePrivacy-Verordnung, wagte in ihrer ersten Stellungnahme einen schwerwiegenden Vorstoß: Verschlüsselte Kommunikation darf unter keinen Umständen durch Hintertüren oder Reverse Engineering wieder in Klartext umgewandelt werden. Mit dieser Forderung formuliert Marju Lauristin einen klaren Schlag gegen die Pläne der deutschen Politik und anderer europäischer Regierungen zu Staattrojanern. Ausnahmen, wie etwa innere Sicherheit oder Strafverfolgung, sind nicht vorgesehen. Lauristins Vorstoß ist mutig und die weiteren Verhandlungen im EU-Parlament und später mit EU-Rat und EU-Kommission müssen zeigen, ob und inwieweit dies in die ePrivacy-Verordnung Einzug erhält.
Stefan Krempl (heise.de): E-Privacy-Verordnung: Entschlüsselung von Kommunikation soll verboten werden


31. Mai 2017: Expertenanhörung zum Staatstrojaner im Bundestag
In einer öffentlichen Anhörung des Ausschusses für Recht und Verbraucherschutz wurde das Pro und Contra zum Staatstrojaner von sieben Sachverständigen diskutiert. Die vertretenen Juristen, Richter und Staatsanwälte äußerten sich überwiegend positiv zur geplanten Gesetzesänderung, die den Einsatz von Staatstrojanern ermöglichen soll. Diese seien insbesondere deshalb so wichtig, weil Kommunikation zunehmend verschlüsselt ablaufe und ein Trojaner so die einzige Möglichkeit sei, diese dennoch abzuhören. Eine Ausnahme bildete der Berliner Richter Ulf Buermeyer, der vor allem den schweren Eingriff in die Persönlichkeitsrechte für bedenklich hält. Der schärfste Kritiker unter den Sachverständigen war Linus Neumann vom Chaos Computer Club. Er hält den Einsatz von Staatstrojanern für unverantwortlich, weil das Offenhalten der benötigten Sicherheitslücken eine Schwächung der IT-Sicherheit insgesamt zur Folge hätte.
Pressemitteilung (bundestag.de): Pro und Contra Staatstrojaner
bundestag.de: Stellungnahmen der Sachverständigen


29. Mai 2017: Die Bundesdatenschutzbeauftragte übt scharfe Kritik am Gesetzesentwurf zum Einsatz von Staatstrojanern
Die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit Andrea Voßhoff hält das Gesetz wegen der Ermöglichung weitreichender Überwachungsmaßnahmen für einen „klaren Verfassungsverstoß“. Insbesondere kritisiert sie, dass neben der Überwachung laufender Kommunikation (z.B. ein- und ausgehender SMS) auch auf dem Gerät gespeicherte Kommunikation (z.B. früher versendete SMS) abgegriffen werden sollen. Des Weiteren sieht Voßhoff die Gefahr, dass mit der Infiltration des Systems der entscheidende Schritt für eine unkontrollierte Überwachung genommen ist, da es technisch schwer möglich ist, die Überwachung nur auf die erlaubten Bereiche zu beschränken. Außerdem befürchtet Voßhoff, dass die für den Einsatz des Staatstrojaners notwendigen Sicherheitslücken von anderen missbraucht werden könnten.
Andrea Voßhoff (PDF): Stellungnahme der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit zum Entwurf eines Gesetzes zur Änderung des Strafgesetzbuchs ...


Mai 2017: Die Ransomware WannaCry legt weltweit zahlreiche Unternehmen und staatliche Organisationen lahm
Die Schadsoftware verschlüsselte die Dateien der betroffenen Rechner und verlangte zur Entschlüsselung eine Zahlung bestimmter Höhe in der Kryptowähung Bitcoin. Die Infektion und schnelle Weiterverbreitung von WannaCry setzte das Ausnutzen einer Sicherheitslücke in Windowssystemen voraus. Das war nur deshalb möglich, weil die NSA, die diese Sicherheitslücke entdeckt hatte, Microsoft nicht darüber informierte. Stattdessen hielt die NSA das Vorhandensein der Sicherheitslücke für mehrere Jahre geheim – unter anderem für die Verwendung von Staatstrojanern.
Wikipedia (wikipedia.org): WannaCry


April 2017: FireEye meldet eine Sicherheitslücke, die sowohl für Staatstrojaner als auch für finanziell motivierte Systemeinbrüche genutzt wird
Mindestens seit Januar 2017 wurde die Sicherheitslücke vom Staatstrojaner FinSpy der englisch-deutschen Firma Gamma Group ausgenutzt. Seit März wurde die offiziell immer noch unbekannte Sicherheitslücke auch von der Malware LatentBot ausgenutzt, die ähnlich programmiert ist. Daher vermutet FireEye, dass beide den Code, der die Schwachstelle ausnutzt, aus derselben Quelle bezogen haben. Ab April nutzte auch das Botnet DRIDEX diese Lücke, um massenhaft Spam zu versenden. Verbreitet hatte sich der Trojaner durch speziell präparierte RTF-Dokumente, wenn sie mit Microsoft Office geöffnet wurden. ▶ golem.de: Office 0-Day zur Verbreitung von Finfisher-Trojaner genutzt ▶ [fireeye.com: Sicherheitslücke (CVE-2017-0199)


3. März 2017: Zero-Days-Exploits
Solche Exploits, also Sicherheitslücken, die der Hersteller selbst nicht kennt und mit der fertigen Software ausliefert, sind für Geheimdienste u.a. ein gefundenes Fressen. Da solche Exploits im Mittel 7 Jahre verbleiben, können diese von Hackern ohne größeren Aufwand ausgenutzt werden, um auf Informationen zuzugreifen. Darüber hinaus können solche Lücken willentlich erkauft werden und werden somit weiter verbreitet.
Jürgen Schmidt (heiseSecurity):Vom Leben und Sterben der 0days


März 2017: Studie des Europaparlaments zu Staatstrojanern
Die Studie basiert auf der Analyse der Gesetzeslage zum Einsatz von Staatstrojanern in sechs EU-Ländern und drei Nicht-EU-Ländern. Es werden unter anderem die folgenden Risiken identifiziert: Wegen der Invasivität von Staatstrojanern stellten diese ein hohes Risiko für die Privatsphäre dar. Außerdem bestünde die Gefahr, dass die Internetsicherheit insgesamt geschwächt wird. Weiterhin benennt die Studie einige wichtige Voraussetzungen für den Einsatz von Staatstrojanern, unter anderem: eine richterliche Anordnung, Einschränkung auf die Verfolgung schwerer Verbrechen sowie das Informieren der „Opfer“ im Nachhinein.
Mirja Gutheil et. al. (PDF): Legal Frameworks for Hacking by Law Enforcement: Identification, Evaluation and Comparison of Practices
netzpolitik.org: Studie des Europaparlaments: Staatstrojaner bergen erhebliche Risiken für das Grundrecht auf Privatsphäre


20. Januar 2017: Start der Zentralen Stelle für Informationstechnik im Sicherheitsbereich (ZITiS), die sich an der Entwicklung von Staatstrojanern beteiligen soll
ZITiS soll dem Bundesinnenministerium unterstehen und die Sicherheitsbehörden mit technischem Know-how bei Themen mit Cyberbezug forschend und beratend unterstützen. Konkret gehören zu den Aufgabenbereichen von ZITiS: digitale Forensik, Telekommunikationsüberwachung, Kryptoanalyse, Massendatenauswertung sowie technische Fragen von Kriminalitätsbekämpfung, Gefahrenabwehr und Spionageabwehr. Für ZITiS ist ein Budget von 10 Millionen Euro sowie 400 Stellen bis 2022 vorgesehen.
Pressemitteilung (bmi.bund.de): Start­schuss für ZI­TiS


28. September 2016: EU-Entwurf für neue Dual-Use-Verordnung (u.a. Regulierung d. Exports von Überwachungssoftware)
Daniel Moßbrucker von Reporter ohne Grenzen schrieb dazu am 15. November 2017 auf netzpolitik.org: „Nach den Plänen soll der Schutz der Menschenrechte ein explizites Kriterium werden bei der Entscheidung, ob Exporte in Drittländer genehmigt werden oder nicht. Bei allen Schwächen, die der an vielen Stellen noch vage Entwurf hat, ist dies die bisher größte Chance, den Handel mit Überwachungssoftware von europäischen Unternehmen ansatzweise in den Griff zu bekommen.“
EU-Parlament und EU-Rat: Vorschlag für eine Unionsregelung für die Kontrolle der Ausfuhr, der Verbringung, der Vermittlung , der technischen Unterstützung und der Durchfuhr betreffend Güter mit doppeltem Verwendungszweck


25. September 2016: Neues Nachrichtendienstgesetz der Schweiz erlaubt Staatstrojaner
Das Nachrichtendienstgesetz erlaubt dem Nachrichtendienst NDB: „das Eindringen in Computersysteme und Computernetzwerke, um: 1. dort vorhandene oder von dort aus übermittelte Informationen zu beschaffen, 2. den Zugang zu Informationen zu stören, zu verhindern oder zu verlangsamen, falls die Computersysteme und Computernetzwerke für Angriffe auf kritische Infrastrukturen verwendet werden (…).“ Si­mon Gan­ten­bein von der Digi­ta­len Ge­sell­schaft Schweiz erklärt: „Ein Trojaner nutzt Sicherheitslücken aus. Für bisher unbekannte Sicherheitslücken, sogenannte Zero-Day-Exploits, gibt es einen Schwarzmarkt. Durch den Kauf von Trojanern unterstützt der Staat diesen Schwarzmarkt und fördert damit das organisierte Verbrechen. Der Staat begibt sich auch in einen Interessenkonflikt: Wenn er die Schließung von Sicherheitslücken anstrebt, gefährdet er damit den Einsatz des teuer gekauften Staatstrojaners: Sicherheitslücken bleiben bestehen, statt dass diese so schnell wie möglich gemeldet und geschlossen werden. Trojaner werden von Firmen hergestellt (…). Dieselben Hersteller, die auch die Schweiz beliefern, verkaufen ihre Schadenssoftware auch an nicht demokratisch geführte Staaten.“ Das Gesetz trat am 1. September 2017 in Kraft.
parlament.ch: Chronologie des schweizer Nachrichtendienstgesetzes
Bundesgesetz über den Nachrichtendienst (Nachrichtendienstgesetz, NDG) vom 25. September 2015 (PDF)


10. August 2016: Citizen Lab untersucht Staatstrojaner, dem Menschenrechtler Ahmed Mansoor nur knapp entgangen ist:
Ahmed Mansoor ist ein weltweit anerkannter Menschenrechtsaktivist aus den den Vereinigten Arabischen Emiraten. Anfang August 2016 erhält er eine SMS mit dem Versprechen, Informationen zur Folter politischer Gefangener zu erhalten, wenn er auf den angefügten Link klickt. Mansoor klickt nicht, sondern schickt die Nachricht zu Citizen Lab. Nach einer Untersuchung stellt sich heraus, dass sich dahinter ein Trojaner der NSO Group verbirgt, der drei Sicherheitslücken von iOS ausnutzt. Citizen Lab vermutet die VAE-Regierung hinter der versuchten Infizierung.
Bill Marczak, John Scott-Railton (citizenlab.ca): The Million Dollar Dissident


Juli 2016: Reform des Bayerischen Verfassungsschutzgesetzes
Gegen die Reform wird die Gesellschaft für Freiheitsrechte am 21. Juli 2017 Verfassungsbeschwerde einlegen.


20. April 2016: Bundesverfassungsgericht: Teile des deutschen BKA-Gesetzes sind nicht verfassungskonform:
Im Grundsatz hält das Bundesverfassungsgericht das BKA-Gesetz mit seinen Regelungen zum Einsatz von Staatstrojanern zum Zwecke der Terrorimsusbekämpfung für verfassungskonform. An einigen Stellen verlangen die Verfassungsrichter jedoch Nachbesserungen. Insbesondere mahnen sie die Einhaltung des Verhältnismäßigkeitsgrundsatzes: „Befugnisse, die tief in das Privatleben hineinreichen, müssen auf den Schutz oder die Bewehrung hinreichend gewichtiger Rechtsgüter begrenzt sein, setzen voraus, dass eine Gefährdung dieser Rechtsgüter hinreichend konkret absehbar ist, dürfen sich nur unter eingeschränkten Bedingungen auf nichtverantwortliche Dritte aus dem Umfeld der Zielperson erstrecken, verlangen überwiegend besondere Regelungen zum Schutz des Kernbereichs privater Lebensgestaltung sowie einen Schutz von Berufsgeheimnisträgern, unterliegen Anforderungen an Transparenz, individuellen Rechtsschutz und aufsichtliche Kontrolle und müssen mit Löschungspflichten bezüglich der erhobenen Daten flankiert sein.“ Außerdem stellt das Gericht sehr hohe Anforderungen an die Übermittlung der erhobenen Daten an ausländische und andere inländische Behörden.
BVerfG, Urteil des Ersten Senats vom 20. April 2016


** 17. August 2015: Anfrage der Grünen: „Das Bundeskriminalamt und das gehackte Hacking Team”**
Das BKA hat sich bei der italienischen Firma Hacking Team über Software zur Überwachung informiert. In der Anfrage wird auf die Antworten 1 u. 2. verwiesen d.h. es sei keine Software gekauft worden.
Anfrage der Grünen/B90: Das Bundeskriminalamt und das gehackte Hacking Team

8. Juli 2015: WikiLeaks: Schweizer Polizei und Hacking Team – Zielbetriebssysteme
„Today, 8 July 2015, WikiLeaks releases more than 1 million searchable emails from the Italian surveillance malware vendor Hacking Team, which first came under international scrutiny after WikiLeaks publication of the SpyFiles. These internal emails show the inner workings of the controversial global surveillance industry.“
Dokument auf WikiLeaks: E-Mails von Hacking Team


30. April 2015: vermuteter Beginn des Bundestagshacks:
Angreifer sind über einen Computer eines Bundestagsabgeordneten in das Netz des Bundestages eingedrungen.
netzpolitik.org: Wir veröffentlichen Dokumente zum Bundestagshack: Wie man die Abgeordneten im Unklaren ließ


November 2014: NSA-Trojaner Regin im deutschen Kanzleramt entdeckt
Regin ist eine Spionagesoftware die bereits seit 2008 aktiv gewesen sein soll und in verschiedenen Versionen Behörden, Unternehmen und Personen in Russland, Saudi-Arabien, Brasilien, Indien, Indonesien, Deutschland, Österreich und in weiteren Ländern Westeuropas angegriffen hat. Darunter den belgischen Telefonanbieter Belgacom, die EU-Kommission und eine Mitarbeiterin des Kanzleramts. Die Bundesanwaltschaft hat ein Ermittlungsverfahren eingeleitet. Am 27. Januar 2015 veröffentlichte der Spiegel einen Artikel, der Regin als NSA-Werkzeug beschreibt, dass die Five-Eyes-Geheimdienste nutzen. Die Spionagesoftware Regin war Gegenstand im NSA-Untersuchungsausschuss im Bundestag (z.B.: Protokoll von Netzpolitik vom 12.05.2016).
Marcel Rosenbach, Hilmar Schmundt und Christian Stöcker (SPIEGEL-Veröffentlichung): Experten enttarnen Trojaner "Regin" als Five-Eyes-Werkzeug
Kaspersky Lab: Whitepaper Regin platform (PDF)
Symantec: Analysis Regin (PDF)


20. März 2014: NSA-Untersuchungsausschuss des Deutschen Bundestages
Als Reaktion auf die Enthüllungen von Edward Snowden, setzt der Deutsche Bundestag einen Untersuchungsaussuss zum NSA-Skandal ein, in dessen Verlauf auch die Spähsoftware Regin behandelt wird. Nach Ende der Arbeit des Aussusses veröffentlicht Netzpolitik.org am 24.06.2017 eine ungeschwärzte Version des Abschlussberichts.
bundestag.de: Seite des 1. Untersuchungsausschuss ("NSA")
netzpolitik.org: Geheimdienst-Untersuchungsausschuss: Wir veröffentlichen den Abschlussbericht – ohne die Schwärzungen (Updates)


8. Januar 2014: Untersuchungen des EU-Parlaments: Staaten müssen Bevölkerung vor Hacking schützen
Im Untersuchungsbericht des EU-Parlaments zum NSA-Skandal wird unter anderem der staatliche Hackangriff auf den Telekommunikationsanbieter Belgacom als eine von vielen Gefahren für Europa aufgelistet. Der Bericht fordert als Konsequenz alle EU-Staaten dazu auf ihre Pflicht zu erfüllen, die Bevölkerung vor Überwachung zu schützen: „Calls on the Member States immediately to fulfil their positive obligation under the European Convention on Human Rights to protect their citizens from surveillance contrary to its requirements, including when the aim thereof is to safeguard national security, undertaken by third states and to ensure that the rule of law is not weakened as a result of extraterritorial application of a thirdcountry’s law“… Staaten müssen demzufolge die Bevölkerung vor Hacking schützen und dürfen nicht für Unsicherheit sorgen, indem sie selbst Schadsoftware hertellen und einsetzten, die Sicherheitslücken voraussetzt ist. ▶ Europäisches Parlament: Draft Report (2013/2188(INI))


Seit Juni 2013: Enthüllungen von Edward Snowden
Der ehemalige NSA-Mitarbeiter Edward Snowden hat gemeinsam mit dem Guardian und der Washington Post das weltweite Spionagenetzwerk von Geheimdiensten (insbesondere der amerikanischen NSA und des britischen GCHQ) enthüllt. Dabei kam auch der massive Einsatz von Staatstrojanern zum gezielten Ausspionieren einzelner Personen oder von Personengruppen ans Licht. Snowden veröffentlichte unter anderem Informationen über das Schadprogramm QWERTY, dass große Ähnlichkeit aufweist, mit der Schadsoftware Regin, die 2014 unter anderem im deutschen Bundeskanzleramt gefunden wurde. Auch diese Trojaner nutzten Sicherheitslücken aus.
Patrick Beuth (zeit.de): Alles Wichtige zum NSA-Skandal


30. Juli 2012: Bayerischer Landesdatenschutzbeauftragter prüft Staatstrojaner und stellt Unzulänglichkeiten fest
Nachdem bereits der Bundesdatenschutzbeauftragte den Staatstrojanereinsatz durch Bundesbehörden geprüft hatte [siehe 31.1.2012], veröffentliche auch der Bayerische Landesbeauftragte für den Datenschutz Thomas Petri einen Prüfbericht zur Quellen-Telekommunikationsüberwachung durch bayerische Strafverfolgungsbehörden. Die Untersuchung bezieht sich auf 23 Staatstrojaner-Einsätze im Zeitraum 1.1.2008 bis 31.12.2011, wobei auch die Software des Unternehmens DigiTask zum Einsatz kam. Der Bericht dokumentiert eine Vielzahl von technischen und datenschutzrechtlichen Mängeln des Trojaners. So gab es beispielsweise eine mangelhafte Authentisierung, Sicherheitsupdates bei der Überwachungskonsole fehlten und eine technische Begrenzung der Überwachungsfunktion war nicht gegeben. Außerdem hält Petri die unzureichende Dokumentation der Eingriffsintensität für einen Datenschutzverstoß. Weiterhin hätten die Betroffenen nach Abschluss einer Überwachungsmaßnahme informiert werden müssen, was nicht geschehen sei.
Der Bayerische Landesbeauftragte für den Datenschutz: Prüfbericht Quellen-TKÜ (PDF)

13. April 2012: BigBrotherAwards an Gamma Group für FinFisher
Aus der Laudatio von Frank Rosengart (CCC): „Unterlagen, die bei der Erstürmung der Zentrale der ägyptischen Staatssicherheit gefunden wurden, belegen, dass die dortige Geheimpolizei mit Hilfe eines Trojaners der Gamma Group auf die Jagd nach Oppositionellen gehen wollte. Der Behörde testete ausgiebig auf einem Laptop von Gamma und beurteilte das FinFisher-Softwarepaket sehr positiv.“
Text des BigBrotherAwards 2012 in der Kategorie „Technik“
Video der Verleihung ansehen (youtube)


31. Januar 2012: Bundesdatenschutzbeauftragter Schaar prüft Staatstrojaner und bestätigt die vom CCC festgestellten technischen und rechtlichen Mängel
Nach der Untersuchung des Staatstrojaners durch den Chaos Computer Club [siehe 10.8.2011] unternahm der damalige Bundesbeauftragte für den Datenschutz und die Informationsfreiheit Peter Schaar eine Prüfung des Staatstrojaner-Einsatzes zur Quellen-Telekommunikationsüberwachung durch die Bundessicherheitsbehörden (Bundeskriminalamt, Zollkriminalamt und Bundespolizei). Da kein Zugang zum Quellcode gewährt wurde, waren keine abschließenden Aussagen möglich. Dennoch konnten die Ergebnisse der Untersuchung des Chaos Computer Clubs im Grundsatz bestätigt werden. In dem eigentlich nicht für die Öffentlichkeit gedachten Bericht wurden dem Staatstrojaner von DigiTask und dessen Einsatz erhebliche Mängel attestiert. Unter anderem war die Verschlüsselung der ausgeleiteten Daten und die Authentisierung unzureichend. Außerdem wurde der Schutz des Kernbereichs der privaten Lebensgestaltung nicht ausreichend gewährleistet. So wurden in einem Fall sogar Telefonsex-Gespräche aufgezeichnet.
Peter Schaar: Bericht gemäß § 26 Abs. 2 Bundesdatenschutzgesetz über Maßnahmen der Quellen-Telekommunikationsüberwachung bei den Sicherheitsbehörden des Bundes (PDF)
Pressemitteilung (ccc.de): Bericht des Bundesdatenschutzbeauftragten zum Staatstrojaner geleakt
Pressemitteilung (ccc.de): Computer Club: Staatstrojaner-Überprüfung durch Schaar abgeschlossen


10. August 2011: Chaos Computer Club analysiert Staatstrojaner entwickelt vom hessischen Unternehmen DigiTask – Ergebnis: technisch stümperhaft umgesetzt und verfassungswidrig
Der Trojaner sei eigentlich nur zur Kommunikationsüberwachung gedacht gewesen. Durch beliebige Funktionserweiterungen ließen sich aber fast sämtliche Dateien auf dem Gerät auslesen sowie Kamera, Mikrofon und Tastatur überwachen. Dies sein ein Verstoß gegen das Bundesverfassungsgerichtsurteil von 2008. Des Weiteren legte die Untersuchung gravierende Sicherheitsmängel offen. Ein Sprecher des CCC kommentiert: „Wir waren überrascht und vor allem entsetzt, daß diese Schnüffelsoftware nicht einmal den elementarsten Sicherheitsanforderungen genügt. Es ist für einen beliebigen Angreifer ohne weiteres möglich, die Kontrolle über einen von deutschen Behörden infiltrierten Computer zu übernehmen“. Ein weiteres No-Go: Die ausgleiteten Daten laufen über einen Server in den USA.
Die analysierte Spähsoftware stammt höchstwahrscheinlich vom hessischen Softwareunternehmen DigiTask. Dies bestätigte ein Rechtsanwalt des Unternehmens gegenüber dem Hessischen Rundfunk. DigiTask – nach den Angaben ihrer Website ein Spezialist für leistungsfähige Lösungen zur gesetzeskonformen Telekommunikationsüberwachung – verteidigt sich: Bei einem drei Jahre alten Programm sei es normal, dass es nicht mehr den aktuellen Sicherheitsanforderungen entspricht. Für eine gesetzeskonforme Nutzung seien ausschließlich die Behörden verantwortlich. Die Staatstrojaner von DigiTask kamen in mehreren Bundesländern sowie in Österreich, der Schweiz und den Niederlanden.
Pressemitteilung (ccc.de): Chaos Computer Club analysiert Staatstrojaner
hr-iNFO: "Staatstrojaner" kommt aus Hessen
Konrad Lischka und Ole Reißmann (spiegel.de): DigiTask wehrt sich gegen Inkompetenz-Vorwurf
Konrad Lischka et. al. (spiegel.de): Trojaner-Hersteller beliefert etliche Behörden und Bundesländer
profil.at: Trojanische Sitten
Andreas Schmid und Fabian Baumgartner (nzz.ch): «Staatstrojaner» im Fall Stauffacher eingesetzt


Mitte 2009: Münchner Flughafen: Computer eines Geschäftsmanns wird mit Staatstrojaner infiziert
Das bayerische Landeskriminalamt installiert heimlich am Münchner Flughafen „Franz Josef Strauß“ auf dem Laptop eines bayerischen Geschäftsmanns einen Staatstrojaner. Die Software übermittelte zweimal pro Minute ein Bildschirmfoto an die Ermittler. Ermittelt wurde gegen den Mann wegen „banden- und gewerbsmäßigen Handelns und Ausfuhr von Betäubungsmitteln“. Das Bundesverfassungsgericht hatte 2008 für solche Maßnahmen jedoch viel engere Grenzen gesetzt. Der Spiegel fasst 2011 zusammen: Der Mann „ist in einer Firma angestellt, die Psychopharmaka vertreibt. In Deutschland legal, im Ausland möglicherweise nicht – das ist strittig. Die Polizei nutzte die Spionage-Software jedenfalls nicht zur Gefahrenabwehr, sondern um eine mutmaßliche Straftat aufzuklären.“
Steffen Winter (Spiegel Ausgabe 9/2011): Fahnder Massiver Eingriff


27. Januar 2009: Verfassungsbeschwerde von Bettina Winsemann gegen BKA-Gesetz Bürgerrechtlerin und Journalistin Bettina Winsemann legt Verfassungsbeschwerde ein gegen das BKA-Gesetz aus 2008. Anwalt Frederik Roggan (Humanistischen Union) vertritt die Klage.
Humanistischer Pressedienst: Verfassungsbeschwerde gegen BKA- Gesetz
Telepolis: Text der Verfassungsbeschwerde


19. Dezember 2008: Bundesrat beschliesst BKA-Gesetz Das Bundeskriminalamt darf Staatstrojaner zur Prävention von internationalem Terrorismus einsetzen. Nach geringfügigen Änderungen passierte das umstrittene Gesetz am 17. Dezember 2008 den Vermittlungsauschuss von Bundestag und Bundesrat. (Fassung des Gesetzes zur Abwehr von Gefahren des internationalen Terrorismus durch das Bundeskriminalamt vom 25. Dezember 2008 (Bundesgesetzblatt I Seite 3083))
Kai Biermann (zeit.de): Kosmetische Korrekturen


1. August 2008: Polizei und Verfassungsschutz dürfen in Bayern verdeckt Online-Durchsuchungen durchführen
Stefan Krempl (heise.de, 03.07.2008): Bayerischer Landtag setzt den "Bayerntrojaner" frei


27. Februar 2008: Bundesverfassungsgericht formuliert das „IT-Grundrecht“
In seinem Urteil vom 27. Februar 2008 schafft das Verfassungsgericht das sogenannte „Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme“ (umgangssprachlich: „IT-Grundrecht“). Es stellt eine Erweiterung des allgemeinen Persönlichkeitsrechts dar. Das Urteil beinhaltet unter anderem, dass die Durchführung einer Online-Durchsuchung nur unter sehr strikten Bedinungen mit dem Grundgesetz vereinbar ist: „Die heimliche Infiltration eines informationstechnischen Systems, mittels derer die Nutzung des Systems überwacht und seine Speichermedien ausgelesen werden können, ist verfassungsrechtlich nur zulässig, wenn tatsächliche Anhaltspunkte einer konkreten Gefahr für ein überragend wichtiges Rechtsgut bestehen. [...] Die heimliche Infiltration eines informationstechnischen Systems ist grundsätzlich unter den Vorbehalt richterlicher Anordnung zu stellen. Das Gesetz, das zu einem solchen Eingriff ermächtigt, muss Vorkehrungen enthalten, um den Kernbereich privater Lebensgestaltung zu schützen.“ Damit setzt Karlsruhe dem Einsatz von Staatstrojanern sehr enge Grenzen.
BVerfG, Urteil des Ersten Senats vom 27. Februar 2008


10. Oktober 2007: Schriftliche Stellungnahmen der geladenen Gutachter zur Anhörung des Bundesverfassungsgerichts Quelle: Wikipedia
▶ Andreas Bogk (CCC), PDF (Memento vom 15. Dezember 2007 im Internet Archive)
▶ Dirk Fox (Secorvo), PDF
▶ Felix Freiling (Uni Mannheim), PDF
▶ Andreas Pfitzmann (TU Dresden), PDF
▶ Ulrich Sieber (MPI Freiburg), PDF


20. Dezember 2006: Änderung des Verfassungsschutzgesetzes Nordrhein-Westfalen
Mit der Änderung des Gesetzes über den Verfassungsschutz in Nordrhein-Westfalen vom 20. Dezember 2006 (GVBl NW, S. 620) wird eine Rechtsgrundlage geschaffen für: „heimliches Beobachten und sonstiges Aufklären des Internets, wie insbesondere die verdeckte Teilnahme an seinen Kommunikationseinrichtungen bzw. die Suche nach ihnen, sowie der heimliche Zugriff auf informationstechnische Systeme auch mit Einsatz technischer Mittel.“ ( § 5 Abs. 2 Nr. 11 ([18])). Dagegen wurde erfolgreich Verfassungsbeschwerde beim Bundesverfassungsgericht eingelegt, siehe Eintrag zum 27. Februar 2008.
Gesetz- und Verordnungsblatt für das Land Nordrhein-Westfalen vom 29. Dezember 2006 (PDF), siehe S. 620


Weitere Informationen


Titelbild: elhombredenegro – Crackers (flickr.com) CC BY 2.0

Veröffentlicht am 04.09.2017

Marktstraße 18
33602 Bielefeld

Spendenkonto
IBAN: DE66 4805 0161 0002 1297 99
BIC: SPBIDE3BXXX
Sparkasse Bielefeld