Grid imageelhombredenegro – Crackers (flickr.com), CC BY 2.0
Das BKA darf Staatstrojaner einsetzen
11.597
25.000

Kein Staatstrojaner!
Schon 11.597 Menschen haben gegen staatliches Hacking unterschrieben. Hier mitmachen und unserer Verfassungsbeschwerde mehr Gewicht verleihen!

Nutzungshinweis:

Um den Text auszuklappen genügt ein Klick auf das gelbe Dreieck neben der Überschrift oder auf die Überschrift selber.

Staatstrojaner sollen Smartphones und Computer ausspionieren, damit Kriminelle gefasst werden können. Allerdings können auch Kriminelle und Geheimdienste die Trojaner-Sicherheitslücken ausnutzen. Hier dokumentieren wir die Entwicklung der staatlichen Spionagesoftware – eine Chronologie.

Chronologie: Gesetze, Fälle und Stellungnahmen

Wann wurden Staatstrojaner gesetzlich verankert? Welche Firmen entwickeln die Spionageprogramme? Was sagen Sicherheitsexpert.innen und Datenschützer in ihren Stellungnahmen zum staatlichen Hacking? Welche Fälle sind bekannt, in denen Staatstrojaner eingesetzt wurden? Wir dokumentieren hier chronologisch die Entwicklung von Staatstrojanern. Fehlt eine Information? Gern eine E-Mail mit Link auf verlässliche Quellen an uns schicken.
(Stand: November 2018)

Staatstrojaner machen all unsere Geräte unsicher:

Die Staatstrojaner werden über Sicherheitslücken installiert, die dafür in jedem Smartphone, Computer, Tablet und in jeder Spielekonsole vorhanden sein müssen. Diese Hintertüren können neben der Polizei auch alle möglichen Geheimdienste und Kriminelle nutzen, um in unsere Geräte einzusteigen. Diese Chronologie zeigt: Staatstrojaner sind eine Gefahr für Behörden, kritische Infrastruktur, Zivilgesellschaft und Unternehmen. Darum werden wir gegen die deutschen Staatstrojaner eine Verfassungsbeschwerde beim Bundesverfassungsgericht in Karlsruhe einreichen.

Dezember 2018

Bundesregierung verweigert Auskunft zu Staatstrojanern beim Bundesamt für Verfassungsschutz

07.12.2018: Die Bundesregierung weigert sich, Auskunft über die Nutzung von Staatstrojanern durch den Verfassungsschutz zu erteilen. In einer kleinen Anfrage hatte der Bundestagsabgeordnete Konstantin von Notz zuvor entsprechende Informationen angefordert. Die Beantwortung gefährde in besonderem Maße das Staatswohl, so die Bundesregierung.

November 2018

Das Bundeskriminalamt hält Sicherheitslücken geheim

12. Oktober 2018: Das Bundeskriminalamt verweigert die Beantwortung einer Anfrage nach dem Infromationsfreiheitsgesetz von netzpolitik.org. Als Begründung führt die Behörde an, dass andernfalls Hard- und Softwarehersteller von Sicherheitslücken in ihren Produkten erfahren könnten.

Oktober 2018

Verfassungsbeschwerde gegen „Hessentrojaner“ angekündigt

19. Okober 2018: Kurz vor der Landtagswahl hat die Piratenpartei Hessen angekündigt, in Karlsruhe gegen die Verankerung von Staatstrojanern im neugefassten hessischen Polizeigesetz zu klagen. Zitat: „Die Landesregierung [hat] nicht begriffen, dass der Einsatz von staatlicher Trojanern an sich einen eklatanten Verstoß gegen die Vorsorgeprinzipien des Staates bezüglich des Schutzes der Zivilbevölkerung darstellt, grundgesetzlich garantierte Rechte massiv und unverhältnismäßig einschränkt und unser aller Sicherheit gefährdet.“

„haurus“ verkaufte Zugang zur nationalen Polizeidatenbank

08. Oktober 2018: Während in Deutschland überall über die Einführung von Staatstrojanern und Onlinedurchsuchung in den Polizeigesetzen diskutiert wird, verkauft ein Französischer Geheimdienstmitarbeiter Zugriff zur nationalen Polizei-Datenbank für 300€. Unter dem Codenamen „haurus“ bot der Angestellte zu beliebigen Telefonnummern die Anruflisten und Aufenhaltsorte feil.

September 2018

Deutscher Staatstrojaner „FinFisher“ in neuer Qualität

24. September 2018: Deutsche Wissenschaftler haben eine neue Variante des in München entwickelten Staatstrojaners „FinFisher“ entdeckt. Im Gegensatz zu den bisher bekannten Versionen benötigt diese keine Interaktion durch den Nutzer mehr, um ihre Opfer zu infizieren. Stattdessen manipuliert die Schadsoftware den Download von Updates bekannter Programme, um Zugriff auf die Geräte zu erhalten. FinFisher wurde in der Vergangenheit unter Anderem in der Türkei zur Überwachung von Dissidenten eingesetzt. 

Staatstrojaner „Pegasus“ wird in 45 Ländern eingesetzt.

18. September 2018: Sicherheitsforscher des Citizen Lab der Munk School of Global Affairs an der University of Toronto haben in einer drei Jahre andauernden Untersuchung Einsätze des Staatstrojaner „Pegasus“ in 45 Ländern nachweisen können. Damit kam die Schadsoftware in deutlich mehr Ländern zum Einsatz, als offiziell über den Trojaner verfügen. Das Citizen Lab unterstellt daher, dass Pegasus auch zur illegalen grenzübergreifenden Überwachung Verwendung findet.

Staatstrojaner sollen vorwiegend gegen Drogen eingesetzt werden

17. September 2018: Über die Hälfte der Fälle, in denen das Bundeskriminalamt (BKA) Staatstrojaner einsetzen möchte, sind Drogendelikte, das geht aus einer internen Erhebung der Polizeibehörde hervor. Die Ausweitung des Einsatzes der Schadsoftware war im Bundestag mit der Bekämpfung schwerster Verbrechen gerechtfertigt worden.

August 2018

Weitere Verfassungsbeschwerde gegen Staatstrojaner

22. August 2018: Die Gesellschaft für Freiheitsrechte (GFF) hat in Karlsruhe eine Verfassungsbeschwerde gegen den Einsatz von sogenannten Staatstrojanern und den unverantwortlichen staatlichen Umgang mit IT-Sicherheitslücken eingelegt.

Digitalcourage reicht Verfassungsbeschwerde gegen Staatstrojaner ein

7. August 2018: Digitalcourage hat in Karlsruhe vor dem Bundesverfassungsgericht Verfassungsbeschwerde gegen die sogenannten Staatstrojaner eingereicht. „Das Gesetz dient nicht der Sicherheit, es gefährdet sie. Der Staat  sollte  Sicherheitslücken nicht ausnutzen, sondern dafür sorgen, dass  sie geschlossen werden“, sagt padeluun, Vorstandsmitglied und Gründer von Digitalcourage. Weitere Zitate sind im Artikel unten.

Trojaner-Angriff auf Mitarbeiter von Amnesty International

1. August 2018: Zitat: „Ein Mitarbeiter von Amnesty International ist nach Angaben der Menschenrechtsorganisation mit Spionagesoftware der israelischen Sicherheitsfirma NSO Group angegriffen worden. Man glaube, "dass dies ein bewusster Versuch einer Regierung war, die unserer Menschenrechtsarbeit feindlich gegenüber steht, bei Amnesty International einzudringen“

Juli 2018

Vertrag zum Kauf von Staatstrojanern durch das Land Berlin veröffentlicht

27. Juli 2018: Als Antwort auf eine IFG-Anfrage von netzpolitik.org veröffentlichte das Land Berlin den Nutzungsvertrag „über die Pflege von Standardsoftware Quellen-TKÜ“. Auch wenn das Dokument großzügig geschwärzt wurde, offenbart es interessante Details zu den Nutzungsbedingungen, unter denen deutsche Behörden Staatstrojaner verwenden. So durften im Fall von Berlin auch schriftlich authorisierte Personen oder „Sicherheitspersonal“ die Schadsoftware einsetzen. Zudem verweigerte der Anbieter die Herausgabe des Quellcodes des Überwachungsinstruments. 

Verfassungsschutz warnt vor Cyberangriffen u.a. auf deutsche Chemiewaffenforschung

12. Juli 2018: Zitat: „Dem Bundesamt für Verfassungsschutz (BfV) liegen Erkenntnisse zu einer Spear-Phishing Angriffswelle mit mutmaßlich nachrichtendienstlichem Hintergrund vor. Diese Angriffe richten sich aktuell gegen deutsche Medienunternehmen und Organisationen im Bereich der Chemiewaffenforschung.“ Digitalcourage kritisiert auf Twitter: „(…) Darum sind Staatstrojaner​ eine schlechte Idee. IT-Sicherheitslücken schließen, nicht ausnutzen!“

Regierung verweigert Auskunft über Staatstrojaner-Firmen

12. Juli 2018: Netzpolitik.org berichtet: „Der Staatstrojaner ist der bisher größte Eingriff in die Privatsphäre und müsste eigentlich am intensivsten kontrolliert werden. Die Bundesregierung gibt jedoch nur widerwillig Auskunft, erklärt viele Informationen zu Geheimnissen und verweigert manche Antworten vollständig.“

Juni 2018

Untersuchungsausschuss zu Auftragsvergabe an Palantir

21. Juni 2018: Hessen: Das Land Hessen kauf ohne offene Ausschreibung Staatstrojaner-Software vom umstrittenen US-Hersteller Palantir. Oppositionsparteien (FDP, Linke & SPD) im hessischen Landtag haben einen parlamentarischen Untersuchungsausschusses erzwungen, der am 03.07.2018 seine Tätigkeit aufgenommen hat.

Mai 2018

Access Now: Türkei nutzte deutsche Spionagesoftware gegen Oppositionelle

14. Mai 2018: Die Bürgerrechteorganisation Access Now kann belegen, dass türkische Behörden die Software FinSpy der deutschen Finfisher eingesetzt haben, um Oppositionelle auszuspionieren.

März 2018

Anfrage der Grünen u.a. zu BKA und zur Prüfung von FinSpy

28. März 2018: Zitat: „Die Zulassung staatlichen Hackings verschiebt das Interesse zumindest der Sicherheitsbehörden auch auf die systematische Geheimhaltung, Offenhaltung und Nutzung von Schwachstellen und Sicherheitslücken in IT-Systemen, Hardund Software. Besonders brisant erscheint, dass für das Aufspielen von Spionagesoftware auf Zielrechner oftmals nicht allein kriminalistische List, sondern erst der staatliche Ankauf von Schwarzmarktinformationen über bislang unerkannte Sicherheitslücken ausreicht (vgl. u. a. dazu Veröffentlichung der Konrad Adenauer Stiftung (PDF)

Türkischer Internetanbieter ersetzt Downloads durch Spionagesoftware

9. März 2018: Das kanadische Forschungsprojekt Citizen Lab (University of Toronto) berichtet in einer Recherche, dass Türk Telekom Downloads durch Spionagesoftware ersetzt habe.

Windows Defender von Microsoft erkennt Staatstrojaner FinFisher

6. März 2018: Nach eigenen Angaben konnte Microsoft den Staatstrojaner FinFisher erkennen und analysieren. FinFisher (auch FinSpy) ist ein Trojaner der britisch-deutschen Gamma Group der von vielen Saaten für heimliche Überwachung eingesetzt wird.

Februar 2018

Protest gegen geplanten „Hessentrojaner“

8. Februar 2018: Bürgerrechtsorganisationen demonstrieren gegen den Hessentrojaner und kritisieren das geplante Gesetz mit Stellungnahmen im hessischen Landtag. netzpolitik.org kommentiert: „Die große Mehrheit der Experten bewertet das Vorhaben der schwarz-grünen Regierung als verfassungswidrig und gefährlich.”

 

Eine kurze Geschichte zu Hintertüren in der Hardware

6. Februar 2018: Das Heinz Nixdorf MuseumsForum hat eine kurze Geschichte zu Hintertüren in Hardware geschrieben. Hardware-Lücken entstehen unbeabsichtigt oder werden gezielt durch Geheimdienste geschaffen. Beispielsweise Lenovo: „Demnach fand der chinesische IT-Hersteller Lenovo undokumentierte Zugänge in seinen eigenen Netzwerk-Schaltern. Sie führten in das Jahr 2004, als die Geräte noch von der kanadischen Firma Nortel gefertigt wurden. 2009 ging Nortel mit einem Riesenskandal bankrott.” Insofern wird manipulierte Hardware auf absehbare Zeit ein Problem bleiben.

 

Der neue Bundestrojaner im Einsatz

2. Februar 2018: Die vom BKA entwickelte „Remote Control Interception Software” ist untauglich, daher wurde der Trojaner FinSpy von der FinFischer GmbH gekauft. Mit diesem sind die Behörden in der Lage zum Beispiel verschlüsselte Chats zu speichern.

Januar 2018

Bundesregierung schweigt zum Staatstrojaner

29. Januar 2018: Auf eine Anfrage der Partei die LINKE zum Bundestrojaner kam die Antwort, dass viele Fragen aufgrund der Brisanz nicht beantwortet wurden. Bei der Anfrage ging es darum, ob das BKA und der Verfassungsschutz die gleiche Technik zur Spionage benutzen. Der Staatstrojaner muss ebenfalls extern auf seine Verfassungskonformität hin geprüft werden. Es ist allerdings unklar, wie das Ergebniss aussieht, da es nur Ergebnisse zur ersten Version (ebenfalls Geheimsache) gibt.

Trojaner – vermutlich aus Italien und dem Libanon – entdeckt

19. Januar 2018: Zwei mutmaßliche Staatstrojaner wurden entdeckt. Der aus Italien stammende Trojaner „Skygofree” ist eine sehr weit entwickelte Malware für Android. Diese spioniert z.B. gezielt die Standortdaten des Nutzers sowie Gespräche aus und wird über gefakte Seiten verbreitet. Bei diesen handelt es sich um Seiten, die denen von großen Telefonanbietern nachempfunden sind. Bei dem Trojaner der mutmaßlich aus dem Libanon stammt, werden hauptsächlich Anwälte, Aktivisten o.ä. ausspioniert. Der Trojaner ist in gefakte Messenger eingebettet und fällt den Benutzern somit nicht auf. Es werden Messenger wie Signal, Threema und Whatsapp imitiert. Die Hacker haben es ebenfalls auf Windows, Mac und Linux abgesehen. Dem Trojaner wurde der Name Pallas gegeben.

Mächtiges Spionageprogramm Skygofree für Android analysiert

16. Januar 2018: Die Schadsoftware soll kriminellen Tonaufzeichnungen, Ausleitungen von WhatsApp-Nachrichten und den Verbindungsaufbau zu fremdkontrollierten WLAN-Netzwerken ermöglichen. Verteilt wird die Software, laut Bericht, über nachgebaute Webseiten von Telekommunikationsanbietern. Nach Einschätzung von Digitalcourage, sollte der deutsche Staat Bürgerinnen und Bürger vor solchen Programmen schützen, und nicht im Geschäft mit Unsicherheit mitspielen.

Heinrich-Böll-Stiftung: „Zum staatlichen Umgang mit Verschlüsselung“

Januar 2018: „Verschlüsselung schützt täglich die Daten von Milliarden von Menschen und Organisationen, inklusive einer Vielzahl an staatlichen Stellen. Gerade vor dem Hintergrund der zunehmenden Abhängigkeit von digitalen Technologien gewinnt dieser Aspekt weiter an Relevanz. Eine mögliche Regulierung durch Vorder- oder Hintertüren würde nicht nur die breite Masse an Nutzern gefährden und Cyberkriminellen die Arbeit vereinfachen. Sie riskiert auch die Reputation der eigenen IT-Wirtschaft und vereinfacht es autoritären Regimes, ähnliche Forderungen zu stellen, was wiederum die Meinungs- und Pressefreiheit weltweit unter Druck setzen würde. “ (S. 29)

 

Dezember 2017

Gemeinsame Erklärung von Grundrechteorganisationen: „Geplante Verschärfungen des hessischen Verfassungsschutzgesetzes schädigen Demokratie und Grundrechte“

22. Dezember 2017: Gemeinsam mit anderen Organisationen appellieren 15 Grundrechteorganisationen an die Abgeordneten des hessischen Landtages: “Der Gesetzentwurf vom 14. November 2017 sieht den heimlichen Einsatz sogenannter "Trojaner" vor. Sie nutzen Lücken in Programmen und Apps, um unbemerkt vom angegriffenen Nutzer Smartphones, Computer oder andere – mit dem Internet verbundene – Geräte zu kontrollieren. (…) Finanziert mit Steuergeldern, werden sie möglichst lange vor den Herstellern der Programme und Apps geheim gehalten. Weil deshalb nicht nur der Verfassungsschutz, sondern auch Internet-Kriminelle diese Lücken ausnutzen können, ermöglicht und fördert der Staat damit letztlich auch ihre Verbrechen.

Kommerzielle Spyware außer Kontrolle

6. Dezember 2017: Die gezielte Auslieferung von spywareverseuchten Mails an äthiopische Dissidenten zeigt, wie leicht solche Überwachungsprogramme missbraucht werden können. Diese kommerzielle Spyware wird u.a. Geheimdiensten und Sicherheitsbehörden angeboten. Im hier aufgeführten Falle wurde die Spyware in vielen Ländern an die Betreffenden verteilt.

Studie des FIfF: Cyberoffensive erhält deutlich mehr staatliche Mittel als Schutzmaßnahmen

Dezember 2017: Eine Studie des Forum InformatikerInnen für Frieden und gesellschaftliche Verantwortung (FIfF) hat ergeben, „dass Deutschland und die USA circa 15-mal mehr Geld in die Cyberoffensive stecken als in die -Defensive. Außerdem sind die Ausgaben wenig transparent.“

Triton – gravierender Angriff auf kritische Infrastruktur

14. Dezember 2017: Im Nahen Osten wurde die Schadsoftware Triton entdeckt, mit der Sicherheitssysteme in der Industrie angegriffen werden können. Ziele können Kraftwerke oder Einrichtungen der Öl- und Gasindustrie sein. Triton ist spezialisiert auf das Ausschalten von Sicherheitssystemen, die kritische Infrastruktur vor tödlichen Katastrophen schützen sollen. Nach Stuxnet und Industroyer/Crash Override ist Triton die dritte Schadsoftware dieses Ausmaßes.

November 2017

Regionales Bündnis engagiert sich gegen den „Hessen-Trojaner“

7. November 2017:  Die Infoseite hessentrojaner.de ist online gegangen: „hessentrojaner.de ist ein Gemeinschaftsprojekt von Organisationen in Hessen, die sich für die Sicherheit von IT-Systemen und gegen den geplanten Staatstrojaner engagieren.“

 

Oktober 2017

Polizei in Baden-Württemberg will Staatstrojaner, Video-Verhaltensüberwachung und Handgranaten

10. Oktober 2017: Die grün-schwarze Landesregierung in Baden-Württemberg plant ein Gesetz zur Änderung des Polizeigesetzes. Der Entwurf stammt aus dem Ministerium für Inneres, Digitalisierung und Migration Baden-Württemberg. Das Gesetz soll unter anderem den Einsatz von Staatstrojanern auch bei Allgemeinkriminalität erlauben. Der baden-württembergische Landesbeauftragte für Datenschutz, Stefan Brink, erklärte in seiner Stellungnahme: „Ob das Sicherheitspaket einer Überprüfung auf Kosten und Nutzen standhält, wird das Parlament entscheiden. Aus Sicht des LfDI ist sein Nutzen offen - sicher sind bereits jetzt seine Kosten: Wir alle bezahlen die Hoffnung auf mehr Sicherheit mit der realen Einbuße an Freiheit.“

Hessen will Staatstrojaner für Verfassungsschutz

4. Oktober 2017: Ein geplantes Verfassungsschutzgesetz der schwarz-grünen Regierung in Hessen soll dem Verfassungsschutz des Landes den Einsatz von Staatstrojanern erlauben. (Am Rande: Im hessischen Haiger hat die Digi Task GmbH (siehe Wikipedia), ein Hersteller von Staatstrojanern, ihren Sitz.)

 

September 2017

Bundesregierung zu Lieferungen von Überwachungstechnologie und Zensursoftware an Drittstaaten

27. September 2017: Auf Anfrage der Fraktion BÜNDNIS 90/DIE GRÜNEN hat die Bundesregierung geantwortet, dass zwischen 2014 und 2016 in neun Fällen Spähtechnik an Ägypten, Algerien, Marokko, Nigeria, Saudi-Arabien und die Vereinigten Arabischen Emirate geliefert wurde.

 

Offizielle ZITiS-Eröffnung

14. September 2017: Bundesinnenminister Thomas de Maizière eröffnete in München die Zentrale Stelle für Informationstechnik (ZITiS) im Sicherheitsbereich. „Als Dienstleister der deutschen Sicherheitsbehörden bündelt ZITiS das technische Know-how mit Cyberbezug und unterstützt sie mit Forschung, Entwicklung und Beratung“, heißt es auf der Website. Konkret bedeutet dies auch, dass ZITiS Staatstrojaner entwickeln wird. Der Ankauf von IT-Sicherheitslücken sei dabei nicht ausgeschlossen, erklärte de Maizière bei der Eröffnung.

Microsoft schließt Sicherheitslücke, die vom Staatstrojaner FinFisher ausgenutzt wurde

13. September 2017: Die Sicherheitsfirma FireEye, die das Problem (fireeye.com mit technischen Infos) aufgedeckt hatte, vermutet, dass nicht nur der deutsch-englische Staatstrojaner-Hersteller Gamma Group mit seinem Produkt FinFisher (alias FinSpy oder WingBird) diese Sicherheitslücke ausgenutzt hat, sondern auch gewöhnliche Kriminelle. MS-Windows-Systeme wurden über MS-Office-Dokumente infiziert.

 

August 2017

Der IT-Sicherheitsverband TeleTrusT will gegen Staatstrojaner klagen

9. August 2017: Der Bundesverband IT-Sicherheit e.V. (TeleTrusT), dem auch BKA und BSI angehören, will nach Konsultation seiner Mitglieder Klage gegen die Staatstrojaner vor dem Bundesverfassungsgericht einreichen. In der Pressemitteilung heißt es: „Die vom Gesetzgeber legalisierten Maßnahmen führen dazu, das Vertrauen in moderne IT-Systeme im Allgemeinen und in die angebotenen vertrauenswürdigen Lösungen zu erschüttern. Sie sind damit industriepolitisch kontraproduktiv und schädigend für den weiteren notwendigen Digitalisierungsprozess. [...] Die Eignung zur Verbrechensaufklärung ist fragwürdig, weil Straftäter beispielsweise auf andere Kommunikationsmöglichkeiten ausweichen werden. Die Beeinträchtigung des Grundvertrauens der Öffentlichkeit in den Schutz der kommunikativen Privatsphäre steht in keinem vernünftigen Verhältnis zur möglichen Ausbeute bei Strafverfolgungsmaßnahmen.“

 

IT-Verbände in Österreich positionieren sich gegen „Bundestrojaner“

9. August 2017: In einem offenen Brief wenden sich Vertreter.innen der österreichischen IT-Branche an den Nationalrat und kritisieren das geplante Sicherheitspaket der Regierung und insbesondere den darin enthaltenen sogenannten Bundestrojaner. Durch das Ausnutzen und Offenhalten von IT-Sicherheitslücken schwäche der Bundestrojaner die IT-Sicherheit und das Vertrauen in den Wirtschaftsstandort Österreich. Es wäre unverantwortlich, den Markt für Sicherheitslücken zu fördern, was Cyberkriminellen zugute käme. Außerdem sei es technisch nicht zu realisieren, dass die Überwachung nur auf die zulässigen Bereiche beschränkt wird.

 

Citizen Lab deckt auf, dass Staatstrojaner gegen mexikanische Anwält.innen eingesetzt wurden

2. August 2017: Citizen Lab hat aufgedeckt: In Mexiko wird die Schadsoftware gegen Anwält.innen eingesetzt. Bisher wurden über 20 Fälle aufgedeckt, bei denen in den letzten Jahren eine Software names „Pegasus“ der Firma NSO Group missbräuchlich gegen mexikanische Regierungskritiker.innen eingesetzt wurde (darunter Oppositionspolitiker.innen, Anwält.innen und Journalist.innen). Die Infektion läuft in der Regel so ab, dass die Opfer dazu gedrängt werden, einen Link in einer SMS zu öffnen, der das Smartphone mit der Software infiziert. Obwohl keine eindeutigen Beweise vorliegen, spricht eine Reihe von Indizien für die mexikanische Regierung als Auftraggeber.

Stiftung Wissenschaft und Politik warnt vor Schwächung der IT-Sicherheit zum Zweck der Terrorismusbekämpfung

August 2017: Die Stiftung Wissenschaft und Politik (SWP) berät die Bundesregierung in außen- und sicherheitspolitischen Fragen. Matthias Schulze von der SWP kritisiert die Tendenz vieler Staaten, IT-Sicherheitsstandards zur besseren Terrorismusbekämpfung abschwächen zu wollen. Das Dilemma bestehe darin, dass durch schlechtere Verschlüsselung und Sicherheitslücken zwar die Kommunikation von Terrorist.innen oder anderen Straftäter.innen besser verfolgt werden könne. Andererseits leide dadurch aber die IT-Sicherheit für die Bevölkerung und Unternehmen insgesamt, was wiederum von Kriminellen ausgenutzt werden könne. Schulze kommt zu dem Ergebnis, dass der Schaden aufgrund verringerter IT-Sicherheit wesentlich gravierender ist, als der Nutzen. Da Terroristen ohnehin meist sichere Kommunikationswege nutzen, plädiert Schulze für die Entwicklung alternativer Ermittlungsstrategien und gegen die Schwächung der allgemeinen IT-Sicherheit.

Juli 2017

Digitalcourage kündigt Verfassungsbeschwerde gegen die deutschen Staatstrojaner an

27. Juli 2017: Digitalcourage hält das Gesetz, das den Einsatz von Staatstrojanern erlaubt (siehe 22. Juni 2017), aus mehreren Gründen für grundgesetzwidrig: Zum einen widerspreche es einem früheren Urteil des Bundesverfassungsgerichts von 2008, weil Online-Durchsuchungen für einen zu großen Bereich von Gefährdungen zugelassen würden und die Quellen-Telekommunikationsüberwachung nur schwerlich auf die zulässigen Bereiche beschränkt werden könne. Zum anderen verletze der Staat seine Schutzpflicht, weil der Einsatz von Staatstrojanern die Verwendung und Geheimhaltung von Sicherheitslücken voraussetze, die von Kriminellen missbraucht werden können.

Google entdeckt Trojaner in Android-Apps – vermutlich ein Staatstrojaner

26. Juli 2017: Wie Google bekannt gab, verbarg sich die Spyware Lipizzan in mehreren Apps im Google Play Store. Auf einem infizierten Smartphone hat Lippizan Zugriff auf sämtliche E-Mails, SMS, den Standort, die gespeicherte Dateien, die Kamera und das Mikrofon. Google vermutet die israelische Firma Equus Technologies hinter dem Trojaner. Equus Technologies entwickelt Cyberwaffen für staatliche Organisationen. Sollte sich Googles Vermutung bewahrheiten, zeigt dieser Fall: Staatstrojaner werden nicht nur gezielt an einzelne Personen verteilt. Es wird auch versucht, sie großflächig spionieren zu lassen.

 

Gesellschaft für Freiheitsrechte: Verfassungsbeschwerde u.a. gegen „Online-Durchsuchungen“ und „Quellen-Telekommunikationsüberwachungen“ im Bayerischen Verfassungsschutzgesetz

21. Juli 2017: Etwa ein Jahr nach Inkrafttreten der Reform des Bayerischen Verfassungsschutzgesetzes legt die Gesellschaft für Freiheitsrechte Verfassungsbeschwerde ein: „Die Überwachungsbedürfnisse, welche die Ermächtigungen zu „Online-Durchsuchungen“ und „Quellen-Telekommunikationsüberwachungen“ auf der Ebene des individuellen Grundrechtseingriffs rechtfertigen mögen, können die erhebliche allgemeine Gefährdung der IT-Sicherheit in der Bundesrepublik nicht legitimieren, die von einer Sammlung von Sicherheitslücken bei den deutschen Sicherheitsbehörden ausgehen.“

Bundesdatenschutzbeauftragte Voßhoff prüft Staatstrojaner

18. Juli 2017: Mindestens seit Juli 2017 prüft die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit Andrea Voßhoff die Staatstrojaner datenschutzrechtlich. Das geht hervor aus einer Antwort auf eine Anfrage von Andre Meister zu Staatstrojanern nach dem Informationsfreiheitsgesetz: „Die von Ihnen verlangten Informationen sind Bestandteil eines noch andauernden Kontroll- und Prüfvorgangs der BfDI. Der Informationsantrag ist daher gemäß § 4 Abs. 1 IFG abzulehnen. […] Nach Abschluss des Verfahrens werde ich auf die Angelegenheit zurückkommen.“

Juni 2017

Kommentar von Peter Schaar: Gesetzespaket, „dem die Verfassungswidrigkeit auf die Stirn geschrieben steht“

25. Juni 2017: Der ehemalige Bundesdatenschutzbeauftragte und jetzige Vorsitzende der Europäischen Akademie für Informationsfreiheit und Datenschutz Peter Schaar hält das Staatstrojaner-Gesetz für verfassungswidrig. Es sei nicht mit dem Urteil des Bundesverfassungsgerichts von 2008 vereinbar, weil es das Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme zu stark einschränke. Unter anderem kritisiert er das Ausmaß an Daten, die ausgelesen werden dürfen und dass Staatstrojaner bereits bei wenig schwerwiegenden Delikten eingesetzt werden dürfen. Außerdem kritisiert Schaar, dass es eine Voraussetzung für den Einsatz von Staatstrojanern ist, Sicherheitslücken offenzuhalten und auszunutzen.

Bericht des NSA-Untersuchungsausschusses des Deutschen Bundestages

23. Juni 2017: Netzpolitik.org veröffentlicht am 24. Juni 2017 eine ungeschwärzte Version des Abschlussberichts. Darin wird das Spionageprogramm Regin ab Seite 221 behandelt: „Es handele sich um eine von dem Sicherheitsunternehmen Symantec entdeckte, außergewöhnlich komplexe Spionagesoftware, mit der über Jahre hinweg Unternehmen, Behörden und Forschungseinrichtungen vor allem in Russland und Saudi-Arabien ausgespäht worden seien. Insgesamt seien 27 Ziele in 14 Staaten entdeckt worden, wobei die Zahl der betroffenen einzelnen Computer deutlich höher anzusetzen sei. (…) Ende des Jahres 2014 wurde in den Medien berichtet, REGIN sei bei einem Spionageangriff gegen eine Referatsleiterin aus der Abteilung Europapolitik im Bundeskanzleramt eingesetzt worden. Der Trojaner sei entdeckt worden, als diese einen USB-Stick auf ihrem Dienst-Laptop benutzen wollte. Der Trojaner auf diesem Laptop sei jahrelang unentdeckt geblieben und mutmaßlich schon im Jahr 2012 eingeschleust worden.“ Der Bericht enthält Empfehlungen der Fraktion BÜNDNIS 90/DIE GRÜNEN: „Auch das staatliche Sammeln, Zurückhalten vor der Öffentlichkeit und gezielte Nutzen von so genannten Zero-Day-Sicherheitslücken ist rechtsstaatlich nicht vertretbar. Im Gegenteil führt dies zu insgesamt weniger IT-Sicherheit, da bekannte, aber nicht geschlossene Sicherheitslücken immer auch Dritten gegenüber offen stehen und der Schwarzmarkt für solche Angebote nicht auch noch indirekt gefördert werden darf. Der Staat ist hier in einer Schutzpflicht.“ (S. 1628) Die LINKE empfiehlt: „Das Vertrauensproblem der für Cyberabwehr zuständigen Einrichtung kann nur gelöst werden, wenn die intensive Zusammenarbeit mit BfV, BND und MAD national via Cyber-Abwehrzentrum oder international in der Kooperation mit der NSA durchbrochen wird. Gerade die Kritikalität der bei der Behörde auflaufenden Informationen über Sicherheitslücken und -strukturen sowie der Umgang mit Unternehmens- und Personendaten erfordert zwingend, sie mit unzweideutigem Sicherheitsau ftrag aufzustellen.“ (S. 1618)

Internetverband Bitkom kritisiert Staatstrojaner

22. Juni 2017: Für Bitkom-Hauptgeschäftsführer Dr. Bernhard Rohleder geht es bei der Frage um den Einsatz von Staatstrojanern nicht um das Abwägen zwischen mehr Sicherheit und dem Schutz der Privatsphäre. Ein Mehr an Sicherheit sei nämlich gar nicht gegeben, da die Sicherheit dadurch beeinträchtigt werde, dass für Staatstrojaner Sicherheitslücken geschaffen oder offen gehalten werden müssen, die auch von Kriminellen genutzt werden könnten.

Bundestag beschließt Staatstrojaner zur Strafverfolgung

22. Juni 2017: Das „Gesetz zur Änderung des Strafgesetzbuchs, des Jugendgerichtsgesetzes, der Strafprozessordnung und weiterer Gesetze“ führt die Möglichkeit zur Durchführung von Quellen-Telekommunikationsüberwachungen (Quellen-TKÜ) und Online-Durchsuchungen ein. Bei einer Quellen-TKÜ wird durch einen Trojaner das direkte Abhören der laufenden Kommunikation auf dem Zielgerät ermöglicht (und somit bevor eine mögliche Verschlüsselung greift oder nachdem eine Entschlüsselung erfolgte). Online-Durchsuchungen gehen noch einen Schritt weiter und ermöglichen das Auslesen sämtlicher auf dem Zielgerät gespeicherten Daten (ebenfalls durch den Einsatz eines Trojaners). Die Änderung der Strafprozessordnung, die den Einsatz von Staatstrojanern ermöglichen soll, wurde nicht etwa in einem eigenständigen Gesetzesverfahren beschlossen, sondern durch einen Verfahrenstrick an ein laufendes Verfahren angehängt, in dem es um Regelungen zum Führerscheinentzug ging. Eine öffentliche Debatte im Vorhinein blieb dadurch aus.

E-Privacy-Verordnung: Entschlüsselung von Kommunikation soll verboten werden

18. Juni 2017: Marju Lauristin, die Verhandlungsführerin des EU-Parlaments zur ePrivacy-Verordnung, wagte in ihrer ersten Stellungnahme einen schwerwiegenden Vorstoß: Verschlüsselte Kommunikation darf unter keinen Umständen durch Hintertüren oder Reverse Engineering wieder in Klartext umgewandelt werden. Mit dieser Forderung formuliert Marju Lauristin einen klaren Schlag gegen die Pläne der deutschen Politik und anderer europäischer Regierungen zu Staattrojanern. Ausnahmen, wie etwa innere Sicherheit oder Strafverfolgung, sind nicht vorgesehen. Lauristins Vorstoß ist mutig und die weiteren Verhandlungen im EU-Parlament und später mit EU-Rat und EU-Kommission müssen zeigen, ob und inwieweit dies in die ePrivacy-Verordnung Einzug erhält.

Mai 2017

Expertenanhörung zum Staatstrojaner im Bundestag

31. Mai 2017: In einer öffentlichen Anhörung des Ausschusses für Recht und Verbraucherschutz wurde das Pro und Contra zum Staatstrojaner von sieben Sachverständigen diskutiert. Die vertretenen Juristen, Richter und Staatsanwälte äußerten sich überwiegend positiv zur geplanten Gesetzesänderung, die den Einsatz von Staatstrojanern ermöglichen soll. Diese seien insbesondere deshalb so wichtig, weil Kommunikation zunehmend verschlüsselt ablaufe und ein Trojaner so die einzige Möglichkeit sei, diese dennoch abzuhören. Eine Ausnahme bildete der Berliner Richter Ulf Buermeyer, der vor allem den schweren Eingriff in die Persönlichkeitsrechte für bedenklich hält. Der schärfste Kritiker unter den Sachverständigen war Linus Neumann vom Chaos Computer Club. Er hält den Einsatz von Staatstrojanern für unverantwortlich, weil das Offenhalten der benötigten Sicherheitslücken eine Schwächung der IT-Sicherheit insgesamt zur Folge hätte.

 

Die Bundesdatenschutzbeauftragte übt scharfe Kritik am Gesetzesentwurf zum Einsatz von Staatstrojanern

29. Mai 2017: Die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit Andrea Voßhoff hält das Gesetz wegen der Ermöglichung weitreichender Überwachungsmaßnahmen für einen „klaren Verfassungsverstoß“. Insbesondere kritisiert sie, dass neben der Überwachung laufender Kommunikation (z.B. ein- und ausgehender SMS) auch auf dem Gerät gespeicherte Kommunikation (z.B. früher versendete SMS) abgegriffen werden sollen. Des Weiteren sieht Voßhoff die Gefahr, dass mit der Infiltration des Systems der entscheidende Schritt für eine unkontrollierte Überwachung genommen ist, da es technisch schwer möglich ist, die Überwachung nur auf die erlaubten Bereiche zu beschränken. Außerdem befürchtet Voßhoff, dass die für den Einsatz des Staatstrojaners notwendigen Sicherheitslücken von anderen missbraucht werden könnten.

 

Die Ransomware WannaCry legt weltweit zahlreiche Unternehmen und staatliche Organisationen lahm

Mai 2017: Die Schadsoftware verschlüsselte die Dateien der betroffenen Rechner und verlangte zur Entschlüsselung eine Zahlung bestimmter Höhe in der Kryptowähung Bitcoin. Die Infektion und schnelle Weiterverbreitung von WannaCry setzte das Ausnutzen einer Sicherheitslücke in Windowssystemen voraus. Das war nur deshalb möglich, weil die NSA, die diese Sicherheitslücke entdeckt hatte, Microsoft nicht darüber informierte. Stattdessen hielt die NSA das Vorhandensein der Sicherheitslücke für mehrere Jahre geheim – unter anderem für die Verwendung von Staatstrojanern.

 

April 2017

FireEye meldet eine Sicherheitslücke, die sowohl für Staatstrojaner als auch für finanziell motivierte Systemeinbrüche genutzt wird

April 2017: Mindestens seit Januar 2017 wurde die Sicherheitslücke vom Staatstrojaner FinSpy der englisch-deutschen Firma Gamma Group ausgenutzt. Seit März wurde die offiziell immer noch unbekannte Sicherheitslücke auch von der Malware LatentBot ausgenutzt, die ähnlich programmiert ist. Daher vermutet FireEye, dass beide den Code, der die Schwachstelle ausnutzt, aus derselben Quelle bezogen haben. Ab April nutzte auch das Botnet DRIDEX diese Lücke, um massenhaft Spam zu versenden. Verbreitet hatte sich der Trojaner durch speziell präparierte RTF-Dokumente, wenn sie mit Microsoft Office geöffnet wurden.

März 2017

Zero-Days-Exploits

3. März 2017: Solche Exploits, also Sicherheitslücken, die der Hersteller selbst nicht kennt und mit der fertigen Software ausliefert, sind für Geheimdienste u.a. ein gefundenes Fressen. Da solche Exploits im Mittel 7 Jahre verbleiben, können diese von Hackern ohne größeren Aufwand ausgenutzt werden, um auf Informationen zuzugreifen. Darüber hinaus können solche Lücken willentlich erkauft werden und werden somit weiter verbreitet.

Studie des Europaparlaments zu Staatstrojanern

März 2017: Die Studie basiert auf der Analyse der Gesetzeslage zum Einsatz von Staatstrojanern in sechs EU-Ländern und drei Nicht-EU-Ländern. Es werden unter anderem die folgenden Risiken identifiziert: Wegen der Invasivität von Staatstrojanern stellten diese ein hohes Risiko für die Privatsphäre dar. Außerdem bestünde die Gefahr, dass die Internetsicherheit insgesamt geschwächt wird. Weiterhin benennt die Studie einige wichtige Voraussetzungen für den Einsatz von Staatstrojanern, unter anderem: eine richterliche Anordnung, Einschränkung auf die Verfolgung schwerer Verbrechen sowie das Informieren der „Opfer“ im Nachhinein.

 

Januar 2017

Start der Zentralen Stelle für Informationstechnik im Sicherheitsbereich (ZITiS), die sich an der Entwicklung von Staatstrojanern beteiligen soll

20. Januar 2017: ZITiS soll dem Bundesinnenministerium unterstehen und die Sicherheitsbehörden mit technischem Know-how bei Themen mit Cyberbezug forschend und beratend unterstützen. Konkret gehören zu den Aufgabenbereichen von ZITiS: digitale Forensik, Telekommunikationsüberwachung, Kryptoanalyse, Massendatenauswertung sowie technische Fragen von Kriminalitätsbekämpfung, Gefahrenabwehr und Spionageabwehr. Für ZITiS ist ein Budget von 10 Millionen Euro sowie 400 Stellen bis 2022 vorgesehen.

September 2016

EU-Entwurf für neue Dual-Use-Verordnung (u.a. Regulierung d. Exports von Überwachungssoftware)

28. September 2016: Daniel Moßbrucker von Reporter ohne Grenzen schrieb dazu am 15. November 2017 auf netzpolitik.org: „Nach den Plänen soll der Schutz der Menschenrechte ein explizites Kriterium werden bei der Entscheidung, ob Exporte in Drittländer genehmigt werden oder nicht. Bei allen Schwächen, die der an vielen Stellen noch vage Entwurf hat, ist dies die bisher größte Chance, den Handel mit Überwachungssoftware von europäischen Unternehmen ansatzweise in den Griff zu bekommen.“

Neues Nachrichtendienstgesetz der Schweiz erlaubt Staatstrojaner

25. September 2016: Das Nachrichtendienstgesetz erlaubt dem Nachrichtendienst NDB: „das Eindringen in Computersysteme und Computernetzwerke, um: 1. dort vorhandene oder von dort aus übermittelte Informationen zu beschaffen, 2. den Zugang zu Informationen zu stören, zu verhindern oder zu verlangsamen, falls die Computersysteme und Computernetzwerke für Angriffe auf kritische Infrastrukturen verwendet werden (…).“ Si­mon Gan­ten­bein von der Digi­ta­len Ge­sell­schaft Schweiz erklärt: „Ein Trojaner nutzt Sicherheitslücken aus. Für bisher unbekannte Sicherheitslücken, sogenannte Zero-Day-Exploits, gibt es einen Schwarzmarkt. Durch den Kauf von Trojanern unterstützt der Staat diesen Schwarzmarkt und fördert damit das organisierte Verbrechen. Der Staat begibt sich auch in einen Interessenkonflikt: Wenn er die Schließung von Sicherheitslücken anstrebt, gefährdet er damit den Einsatz des teuer gekauften Staatstrojaners: Sicherheitslücken bleiben bestehen, statt dass diese so schnell wie möglich gemeldet und geschlossen werden. Trojaner werden von Firmen hergestellt (…). Dieselben Hersteller, die auch die Schweiz beliefern, verkaufen ihre Schadenssoftware auch an nicht demokratisch geführte Staaten.“ Das Gesetz trat am 1. September 2017 in Kraft.

August 2016

Citizen Lab untersucht Staatstrojaner, dem Menschenrechtler Ahmed Mansoor nur knapp entgangen ist

10. August 2016: Ahmed Mansoor ist ein weltweit anerkannter Menschenrechtsaktivist aus den den Vereinigten Arabischen Emiraten. Anfang August 2016 erhält er eine SMS mit dem Versprechen, Informationen zur Folter politischer Gefangener zu erhalten, wenn er auf den angefügten Link klickt. Mansoor klickt nicht, sondern schickt die Nachricht zu Citizen Lab. Nach einer Untersuchung stellt sich heraus, dass sich dahinter ein Trojaner der NSO Group verbirgt, der drei Sicherheitslücken von iOS ausnutzt. Citizen Lab vermutet die VAE-Regierung hinter der versuchten Infizierung

Juli 2016

Reform des Bayerischen Verfassungsschutzgesetzes

Juli 2016: Gegen die Reform wird die Gesellschaft für Freiheitsrechte am 21. Juli 2017 Verfassungsbeschwerde einlegen.

April 2016

Bundesverfassungsgericht: Teile des deutschen BKA-Gesetzes sind nicht verfassungskonform:

20. April 2016: Im Grundsatz hält das Bundesverfassungsgericht das BKA-Gesetz mit seinen Regelungen zum Einsatz von Staatstrojanern zum Zwecke der Terrorimsusbekämpfung für verfassungskonform. An einigen Stellen verlangen die Verfassungsrichter jedoch Nachbesserungen. Insbesondere mahnen sie die Einhaltung des Verhältnismäßigkeitsgrundsatzes: „Befugnisse, die tief in das Privatleben hineinreichen, müssen auf den Schutz oder die Bewehrung hinreichend gewichtiger Rechtsgüter begrenzt sein, setzen voraus, dass eine Gefährdung dieser Rechtsgüter hinreichend konkret absehbar ist, dürfen sich nur unter eingeschränkten Bedingungen auf nichtverantwortliche Dritte aus dem Umfeld der Zielperson erstrecken, verlangen überwiegend besondere Regelungen zum Schutz des Kernbereichs privater Lebensgestaltung sowie einen Schutz von Berufsgeheimnisträgern, unterliegen Anforderungen an Transparenz, individuellen Rechtsschutz und aufsichtliche Kontrolle und müssen mit Löschungspflichten bezüglich der erhobenen Daten flankiert sein.“ Außerdem stellt das Gericht sehr hohe Anforderungen an die Übermittlung der erhobenen Daten an ausländische und andere inländische Behörden.

2015

Anfrage der Grünen: „Das Bundeskriminalamt und das gehackte Hacking Team”

17. August 2015: Das BKA hat sich bei der italienischen Firma Hacking Team über Software zur Überwachung informiert. In der Anfrage wird auf die Antworten 1 u. 2. verwiesen d.h. es sei keine Software gekauft worden.

WikiLeaks: Schweizer Polizei und Hacking Team – Zielbetriebssysteme

8. Juli 2015: „Today, 8 July 2015, WikiLeaks releases more than 1 million searchable emails from the Italian surveillance malware vendor Hacking Team, which first came under international scrutiny after WikiLeaks publication of the SpyFiles. These internal emails show the inner workings of the controversial global surveillance industry.“

vermuteter Beginn des Bundestagshacks

30. April 2015: Angreifer sind über einen Computer eines Bundestagsabgeordneten in das Netz des Bundestages eingedrungen.

2014

NSA-Trojaner Regin im deutschen Kanzleramt entdeckt

November 2014: Regin ist eine Spionagesoftware die bereits seit 2008 aktiv gewesen sein soll und in verschiedenen Versionen Behörden, Unternehmen und Personen in Russland, Saudi-Arabien, Brasilien, Indien, Indonesien, Deutschland, Österreich und in weiteren Ländern Westeuropas angegriffen hat. Darunter den belgischen Telefonanbieter Belgacom, die EU-Kommission und eine Mitarbeiterin des Kanzleramts. Die Bundesanwaltschaft hat ein Ermittlungsverfahren eingeleitet. Am 27. Januar 2015 veröffentlichte der Spiegel einen Artikel, der Regin als NSA-Werkzeug beschreibt, dass die Five-Eyes-Geheimdienste nutzen. Die Spionagesoftware Regin war Gegenstand im NSA-Untersuchungsausschuss im Bundestag (z.B.: Protokoll von Netzpolitik vom 12.05.2016).

NSA-Untersuchungsausschuss des Deutschen Bundestages

20. März 2014: Als Reaktion auf die Enthüllungen von Edward Snowden, setzt der Deutsche Bundestag einen Untersuchungsaussuss zum NSA-Skandal ein, in dessen Verlauf auch die Spähsoftware Regin behandelt wird. Nach Ende der Arbeit des Aussusses veröffentlicht Netzpolitik.org am 24.06.2017 eine ungeschwärzte Version des Abschlussberichts.

Untersuchungen des EU-Parlaments: Staaten müssen Bevölkerung vor Hacking schützen

8. Januar 2014: Im Untersuchungsbericht des EU-Parlaments zum NSA-Skandal wird unter anderem der staatliche Hackangriff auf den Telekommunikationsanbieter Belgacom als eine von vielen Gefahren für Europa aufgelistet. Der Bericht fordert als Konsequenz alle EU-Staaten dazu auf ihre Pflicht zu erfüllen, die Bevölkerung vor Überwachung zu schützen: „Calls on the Member States immediately to fulfil their positive obligation under the European Convention on Human Rights to protect their citizens from surveillance contrary to its requirements, including when the aim thereof is to safeguard national security, undertaken by third states and to ensure that the rule of law is not weakened as a result of extraterritorial application of a thirdcountry’s law“… Staaten müssen demzufolge die Bevölkerung vor Hacking schützen und dürfen nicht für Unsicherheit sorgen, indem sie selbst Schadsoftware hertellen und einsetzten, die Sicherheitslücken voraussetzt ist.

2013

Enthüllungen von Edward Snowden

Seit Juni 2013: Der ehemalige NSA-Mitarbeiter Edward Snowden hat gemeinsam mit dem Guardian und der Washington Post das weltweite Spionagenetzwerk von Geheimdiensten (insbesondere der amerikanischen NSA und des britischen GCHQ) enthüllt. Dabei kam auch der massive Einsatz von Staatstrojanern zum gezielten Ausspionieren einzelner Personen oder von Personengruppen ans Licht. Snowden veröffentlichte unter anderem Informationen über das Schadprogramm QWERTY, dass große Ähnlichkeit aufweist, mit der Schadsoftware Regin, die 2014 unter anderem im deutschen Bundeskanzleramt gefunden wurde. Auch diese Trojaner nutzten Sicherheitslücken aus.

2012

Bayerischer Landesdatenschutzbeauftragter prüft Staatstrojaner und stellt Unzulänglichkeiten fest

30. Juli 2012: Nachdem bereits der Bundesdatenschutzbeauftragte den Staatstrojanereinsatz durch Bundesbehörden geprüft hatte [siehe 31.1.2012], veröffentliche auch der Bayerische Landesbeauftragte für den Datenschutz Thomas Petri einen Prüfbericht zur Quellen-Telekommunikationsüberwachung durch bayerische Strafverfolgungsbehörden. Die Untersuchung bezieht sich auf 23 Staatstrojaner-Einsätze im Zeitraum 1.1.2008 bis 31.12.2011, wobei auch die Software des Unternehmens DigiTask zum Einsatz kam. Der Bericht dokumentiert eine Vielzahl von technischen und datenschutzrechtlichen Mängeln des Trojaners. So gab es beispielsweise eine mangelhafte Authentisierung, Sicherheitsupdates bei der Überwachungskonsole fehlten und eine technische Begrenzung der Überwachungsfunktion war nicht gegeben. Außerdem hält Petri die unzureichende Dokumentation der Eingriffsintensität für einen Datenschutzverstoß. Weiterhin hätten die Betroffenen nach Abschluss einer Überwachungsmaßnahme informiert werden müssen, was nicht geschehen sei.

BigBrotherAwards an Gamma Group für FinFisher

13. April 2012: Aus der Laudatio von Frank Rosengart (CCC): „Unterlagen, die bei der Erstürmung der Zentrale der ägyptischen Staatssicherheit gefunden wurden, belegen, dass die dortige Geheimpolizei mit Hilfe eines Trojaners der Gamma Group auf die Jagd nach Oppositionellen gehen wollte. Der Behörde testete ausgiebig auf einem Laptop von Gamma und beurteilte das FinFisher-Softwarepaket sehr positiv.“

Bundesdatenschutzbeauftragter Schaar prüft Staatstrojaner und bestätigt die vom CCC festgestellten technischen und rechtlichen Mängel

31. Januar 2012: Nach der Untersuchung des Staatstrojaners durch den Chaos Computer Club [siehe 10.8.2011] unternahm der damalige Bundesbeauftragte für den Datenschutz und die Informationsfreiheit Peter Schaar eine Prüfung des Staatstrojaner-Einsatzes zur Quellen-Telekommunikationsüberwachung durch die Bundessicherheitsbehörden (Bundeskriminalamt, Zollkriminalamt und Bundespolizei). Da kein Zugang zum Quellcode gewährt wurde, waren keine abschließenden Aussagen möglich. Dennoch konnten die Ergebnisse der Untersuchung des Chaos Computer Clubs im Grundsatz bestätigt werden. In dem eigentlich nicht für die Öffentlichkeit gedachten Bericht wurden dem Staatstrojaner von DigiTask und dessen Einsatz erhebliche Mängel attestiert. Unter anderem war die Verschlüsselung der ausgeleiteten Daten und die Authentisierung unzureichend. Außerdem wurde der Schutz des Kernbereichs der privaten Lebensgestaltung nicht ausreichend gewährleistet. So wurden in einem Fall sogar Telefonsex-Gespräche aufgezeichnet.

August 2011

Chaos Computer Club analysiert Staatstrojaner entwickelt vom hessischen Unternehmen DigiTask – Ergebnis: technisch stümperhaft umgesetzt und verfassungswidrig

10. August 2011: Der Trojaner sei eigentlich nur zur Kommunikationsüberwachung gedacht gewesen. Durch beliebige Funktionserweiterungen ließen sich aber fast sämtliche Dateien auf dem Gerät auslesen sowie Kamera, Mikrofon und Tastatur überwachen. Dies sein ein Verstoß gegen das Bundesverfassungsgerichtsurteil von 2008. Des Weiteren legte die Untersuchung gravierende Sicherheitsmängel offen. Ein Sprecher des CCC kommentiert: „Wir waren überrascht und vor allem entsetzt, daß diese Schnüffelsoftware nicht einmal den elementarsten Sicherheitsanforderungen genügt. Es ist für einen beliebigen Angreifer ohne weiteres möglich, die Kontrolle über einen von deutschen Behörden infiltrierten Computer zu übernehmen“. Ein weiteres No-Go: Die ausgleiteten Daten laufen über einen Server in den USA.
Die analysierte Spähsoftware stammt höchstwahrscheinlich vom hessischen Softwareunternehmen DigiTask. Dies bestätigte ein Rechtsanwalt des Unternehmens gegenüber dem Hessischen Rundfunk. DigiTask – nach den Angaben ihrer Website ein Spezialist für leistungsfähige Lösungen zur gesetzeskonformen Telekommunikationsüberwachung – verteidigt sich: Bei einem drei Jahre alten Programm sei es normal, dass es nicht mehr den aktuellen Sicherheitsanforderungen entspricht. Für eine gesetzeskonforme Nutzung seien ausschließlich die Behörden verantwortlich. Die Staatstrojaner von DigiTask kamen in mehreren Bundesländern sowie in Österreich, der Schweiz und den Niederlanden.

2009

Münchner Flughafen: Computer eines Geschäftsmanns wird mit Staatstrojaner infiziert

Mitte 2009: Das bayerische Landeskriminalamt installiert heimlich am Münchner Flughafen „Franz Josef Strauß“ auf dem Laptop eines bayerischen Geschäftsmanns einen Staatstrojaner. Die Software übermittelte zweimal pro Minute ein Bildschirmfoto an die Ermittler. Ermittelt wurde gegen den Mann wegen „banden- und gewerbsmäßigen Handelns und Ausfuhr von Betäubungsmitteln“. Das Bundesverfassungsgericht hatte 2008 für solche Maßnahmen jedoch viel engere Grenzen gesetzt. Der Spiegel fasst 2011 zusammen: Der Mann „ist in einer Firma angestellt, die Psychopharmaka vertreibt. In Deutschland legal, im Ausland möglicherweise nicht – das ist strittig. Die Polizei nutzte die Spionage-Software jedenfalls nicht zur Gefahrenabwehr, sondern um eine mutmaßliche Straftat aufzuklären.“

 

Verfassungsbeschwerde von Bettina Winsemann gegen BKA-Gesetz

27. Januar 2009: Bürgerrechtlerin und Journalistin Bettina Winsemann legt Verfassungsbeschwerde ein gegen das BKA-Gesetz aus 2008. Anwalt Frederik Roggan (Humanistischen Union) vertritt die Klage.

2008

Bundesrat beschliesst BKA-Gesetz

19. Dezember 2008: Das Bundeskriminalamt darf Staatstrojaner zur Prävention von internationalem Terrorismus einsetzen. Nach geringfügigen Änderungen passierte das umstrittene Gesetz am 17. Dezember 2008 den Vermittlungsauschuss von Bundestag und Bundesrat. (Fassung des Gesetzes zur Abwehr von Gefahren des internationalen Terrorismus durch das Bundeskriminalamt vom 25. Dezember 2008 (Bundesgesetzblatt I Seite 3083))

Polizei und Verfassungsschutz dürfen in Bayern verdeckt Online-Durchsuchungen durchführen
Bundesverfassungsgericht formuliert das „IT-Grundrecht“

27. Februar 2008: In seinem Urteil vom 27. Februar 2008 schafft das Verfassungsgericht das sogenannte „Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme“ (umgangssprachlich: „IT-Grundrecht“). Es stellt eine Erweiterung des allgemeinen Persönlichkeitsrechts dar. Das Urteil beinhaltet unter anderem, dass die Durchführung einer Online-Durchsuchung nur unter sehr strikten Bedinungen mit dem Grundgesetz vereinbar ist: „Die heimliche Infiltration eines informationstechnischen Systems, mittels derer die Nutzung des Systems überwacht und seine Speichermedien ausgelesen werden können, ist verfassungsrechtlich nur zulässig, wenn tatsächliche Anhaltspunkte einer konkreten Gefahr für ein überragend wichtiges Rechtsgut bestehen. [...] Die heimliche Infiltration eines informationstechnischen Systems ist grundsätzlich unter den Vorbehalt richterlicher Anordnung zu stellen. Das Gesetz, das zu einem solchen Eingriff ermächtigt, muss Vorkehrungen enthalten, um den Kernbereich privater Lebensgestaltung zu schützen.“ Damit setzt Karlsruhe dem Einsatz von Staatstrojanern sehr enge Grenzen.

2007

Schriftliche Stellungnahmen der geladenen Gutachter zur Anhörung des Bundesverfassungsgerichts

10. Oktober 2007: Andreas Bogk (CCC), PDF (Memento vom 15. Dezember 2007 im Internet Archive)

  • Dirk Fox (Secorvo), PDF
  • Felix Freiling (Uni Mannheim), PDF
  • Andreas Pfitzmann (TU Dresden), PDF
  • Ulrich Sieber (MPI Freiburg), PDF

2006

Änderung des Verfassungsschutzgesetzes Nordrhein-Westfalen

20. Dezember 2006: Mit der Änderung des Gesetzes über den Verfassungsschutz in Nordrhein-Westfalen vom 20. Dezember 2006 (GVBl NW, S. 620) wird eine Rechtsgrundlage geschaffen für: „heimliches Beobachten und sonstiges Aufklären des Internets, wie insbesondere die verdeckte Teilnahme an seinen Kommunikationseinrichtungen bzw. die Suche nach ihnen, sowie der heimliche Zugriff auf informationstechnische Systeme auch mit Einsatz technischer Mittel.“ ( § 5 Abs. 2 Nr. 11 ([18])). Dagegen wurde erfolgreich Verfassungsbeschwerde beim Bundesverfassungsgericht eingelegt, siehe Eintrag zum 27. Februar 2008.

 

Jetzt aktiv werden!

11.597
25.000

Kein Staatstrojaner!
Schon 11.597 Menschen haben gegen staatliches Hacking unterschrieben. Hier mitmachen und unserer Verfassungsbeschwerde mehr Gewicht verleihen!

Unsere Arbeit lebt von Ihrer Unterstützung

Wir freuen uns über Spenden und neue Mitglieder.

Marktstraße 18
33602 Bielefeld

Spendenkonto
IBAN: DE66 4805 0161 0002 1297 99
BIC: SPBIDE3BXXX
Sparkasse Bielefeld