Staatstrojaner: Chronologie des staatlichen Hackings

Übersicht: Welche Bundesländer können Staatstrojaner (Quellen-TKÜ) einsetzen?

Vorbemerkung: Seit der StPO-Reform 2017 können Staatstrojaner als repressive Maßnahme (Strafverfolgung) eingesetzt werden (§ 100a StPO). Damit die Polizei auch präventiv hacken kann, muss dies zusätzlich im Polizei- oder Ordnungsrecht des jeweiligen Landes geregelt sein.

In diese Bundesländern stehen Staatstrojaner im Polizei- oder Ordnungsrecht:

• Baden-Württemberg (§ 23b PolG)
• Bayern (Art. 42 BPolG)
• Hamburg (§ 24 PolDVG)
• Hessen (§ 15b HSOG)
• Niedersachen (§ 33a NPOG)
• NRW: (§ 20c PolG NRW)
• Rheinland-Pfalz: (§ 31c POG)

Diese Bundesländern planen die Einführung von Staatstrojanern:

• Berlin (Ein Gesetzentwurf liegt noch nicht vor. In der Medienberichterstattung, z.B. taz.de, wird jedoch auch von Veränderungen im Bereich Telekommunikationsüberwachung berichtet)
• Mecklenburg-Vorpommern
• Saarland (Gesetzentwurf von der Landesregierung in das Landesparlament eingebracht)

In diesen Bundesländern stehen Staatstrojaner nicht im Polizei- oder Ordnungsrecht:

• Brandenburg
• Bremen
• Sachsen
• Sachsen-Anhalt (Anmerkung: Die Quellen-TKÜ, ehemals § 17c SOG LSA, wurde 2014 durch das Landesverfassungsgericht Sachsen-Anhalt als verfassungswidrig eingestuft)
• Schleswig-Holstein
• Thüringen

Stand: 25. Februar 2020; Informationen zum Thema an mail@digitalcourge.de

Digitalcourage kritisiert: SPD und Union wollen Verfassungsschutz aufrüsten

19. Februar 2020: Die CSU und Bundesinnenminister Seehofer wollen den Einsatz von Staatstrojaner auch für den sogenannten Verfassungsschutz erlauben. Laut Bericht des Spiegels vom 18. Februar 2020 gibt die SPD „ihren Widerstand gegen die Pläne offenbar auf“. Mit marginalen Änderungen an einem Entwurf für ein neues Verfassungsschutzgesetz konnte sich Seehofer demnach durchsetzen. Staatstrojaner sind technisch gefährlich und politisch falsch. Digitalcourage warnt: der „Verfassungsschutz“ ist gefährlich und
Staatstrojaner sind ein IT-Sicherheitsproblem.

• Unsere Stellungnahme

Zoll bekommt Staatstrojaner

14. Februar 2020: Der Bundesrat hat in seiner Sitzung am 14. Februar 2020 dem Gesetz zur Neustrukturierung des Zollfahndungsdienstes zugestimmt. Der Zollfahndungsdienst, bestehend aus dem Zollkriminalamt und acht Zollfahndungsämtern, darf somit zukünftig auch Staatstrojaner zur Quellen-TKÜ einsetzen. Der Deutsche Anwaltverein hält die Gesetzesreform für problematisch, da die Quellen-TKÜ nicht klar von der Online-Durchsuchung abgegrenzt werden kann. Der Deutsche Anwaltverein gibt in seiner Stellungnahme zu bedenken:

Mit der Infiltration des Systems sei die entscheidende Hürde gefallen, dass System insgesamt auszuspähen. Diese Gefahren entstehen nicht nur durch das gezielte Auslesen des Systems durch Ermittlungsbehörden, sondern auch durch abstrakte Gefährdungen wie etwa der Nutzung von Sicherheitslücken im System durch die Behörden oder auch die Nutzung der Inflitration durch Dritte.

• https://kripoz.de: Stellungnahme des Deutschen Anwaltvereins zum Entwurf eines Gesetzes zur Neustrukturierung des Zollfahndungsdienstgesetzes (BT-Drucksache 19/12088), PDF

Digitalcourage erhebt Verfassungsbeschwerde gegen das Polizeigesetz in NRW

30. Oktober 2019: Durch die Verschärfung des NRW-Polizeigesetzes können zukünftig auch Staatstrojaner zur Kommunikationsüberwachung eingesetzt werden. Gleichzeitig wird die Polizeiarbeit immer weiter ins Vorfeld einer konkreten Gefahr verlegt. Damit stellt das neue Gesetz eine unverhältnismäßige Einschränkung der Grundrecht der Menschen in NRW dar.

• digitalcourage.de: Pressemitteilung vom 30. Oktober 2019
• digitalcourage.de: Hintergründe zu den angegriffenen Regelungen

Bundesregierung schweigt zum Einsatz von Staatstrojanern

16. August 2019: Mittels einer Kleinen Anfrage wollte die Fraktion DIE LINKE von der Bundesregierung wissen, welche Programme zur Quellen-TKÜ eingesetzt werden und wie viele Menschen von solchen Maßnahmen betroffen waren. Die Bundesregierung stuft die Antworten auf diese Fragen als geheim ein.

• dipbt.bundestag.de: Kleine Anfrage. DIE LINKE. Bundestagsdrucksache 19/12465: [Einsatz von sogenannten Stillen SMS, WLAN-Catchern, IMSI-Catchern und Funkzellenabfragen im ersten Halbjahr 2019], PDF

Rot-grün-rote Koalition in Bremen verzichtet auf Staatstrojaner

13. August 2019: Die rot-grün-rote Koalition in Bremen einigt sich darauf, keine Staatstrojaner zur Quellen-TKÜ einzusetzen:

Eine polizeirechtliche Quellen-TKÜ und Online-Durchsuchung mittels Staatstrojaner werden wir nicht zulassen. Eine Vorverlagerung von gefahrenabwehrrechtlichen Ermittlungsbefugnissen wie in anderen Polizeigesetzen („drohende Gefahr“) werden wir nicht vornehmen.

• spd-land-bremen.de: Vereinbarung zur Zusammenarbeit in einer Regierungskoalition, PDF

Anwält.innen krisieren Polizei-Staatstrojaner in Mecklenburg-Vorpommern

9. August 2019: Anwält.innen krisieren Polizei-Staatstrojaner in Mecklenburg-Vorpommern In einer Stellungnahme kritisiert der Republikanische Anwältinnen- und Anwälteverein (RAV) den Gesetzentwurf zur Änderung des Polizeirechts (Drucksache 7/3694). Die Gesetzesänderung würde polizeiliches Handeln sehr weit im Vorfeld einer konkreten Gefahr ansiedeln. Eine Verlagerung ins Vorfeld steigere jedoch die Wahrscheinlichkeit, dass die Polizei aufgrund einer falschen Gefahrenprognose tätig werde. Für die Bürger.innen ergeben sich daraus negative Folgen:

Wenn aber diffuse Gefahrenlagen schon Grund für die Überwachung nicht nur von für die Gefahr mutmaßlich verantwortlichen Personen, sondern auch von deren Kontaktpersonen sein können, ist es kaum noch absehbar, wer in den Fokus gerät.

Der RAV sieht keine Bedarf für die Aufnahme der Quellen-TKÜ in das Gesetz. Denn die Strafprozessordnung erlaube bei konkreten Planungen schwerwiegender Taten schon bisher ausreichende Überwachungsmaßnahmen. Gegen die Quellen-TKÜ spreche zudem, dass die Software für den entsprechenden Einsatz maßgeschneidert werden müsse. Durch die zeitaufwändigen und vorbereitungsintensiven Maßnahmen vor einer Quellen-TKÜ sei diese Instrument:

1. nicht geeignet, um innerhalb kurzer Zeit zum Einsatz zu kommen;
2. bei der Fertigstellung regelmäßig veraltet.

• rav.de: Stellungnahme des Republikanische Anwältinnen- und Anwälteverein
• dokumentation.landtag-mv.de: Drucksache 7/3694: Entwurf eines Gesetzes über die öffentliche Sicherheit und Ordnung in Mecklenburg-Vorpommern und zur Änderung anderer Gesetze, PDF

CDU will Staatstrojaner für den Verfassungsschutz in Sachsen-Anhalt – Grüne dagegen

29. Januar 2020: Die CDU in Sachsen-Anhalt fordert, dass auch der Verfassungsschutz zur verdeckten Ermittlung auf Staatstrojaner zurückgreifen kann. Die Grünen hingegen erklären, dass die Anschaffung neuer technischer Überwachungsinstrumente keine angemessene Reaktion auf den Anschlag in Halle sei.

• mdr.de: Verfassungsschutz: Streit um Überwachung von WhatsApp und Co. vom 29. Januar 2020

Position der Bundesregierung zur Überwachung smarter Geräte

26. Juni 2019: Die FDP-Bundestagsfraktion wollte von der Bundesregierung wissen, ob und wie die Ermittlungsbehörden auf Sprachassistenten und smarte Geräte zugreifen dürfen. Die Bundesregierung vertritt die Auffassung, dass vernetzte Haushaltsgeräte informationstechnische System wie anderen sein. Es sei deshalb der Polizei erlaubt, Siri, Alexa & Co. zu hacken, zu beschlagnahmen und abzuhören.

• Antwort der Bundesregierung zur Kleinen Anfrage der FDP: Bundestagsdrucksache 19/11478, PDF
• Unsere Zusammenfassung der Antwort der Bundesregierung

Polizei-Staatstrojaner für Mecklenburg-Vorpommern?

25. Juni 2019: Im Landtag von Mecklenburg-Vorpommern wird die Änderung des Polizeirechts debattiert. Dabei geht es auch um die Einführung von Staatstrojanern zur präventiven Gefahrenabwehr.

• netzpolitik.org: Staatstrojaner im neuen Polizeigesetz sind nur ein Teil der Übwachungspläne, vom 25. Juni 2019 – Maria Bröckling

Reporter ohne Grenzen warnen vor Staatstrojanern

29. Mai 2019: Angesichts der geplanten Ausstattung der deutschen Geheimdienste mit Staatstrojanern warnt Reporter ohne Grenzen: Würden die Pläne von Bundesinnenminister Seehofer umgesetzt werden, dann könnten Geheimdiensten „Server, Computer und Smartphones von Verlagen, Rundfunksendern sowie freiberuflichen Journalistinnen und Journalisten“ hacken. In der Folge würde mit dem Redaktionsgeheimnis eine Säule der Pressefreiheit fallen.

• Pressemitteilung von Reporter ohne Grenzen: Redaktionsgeheimnis in Gefahr, vom 29. Mai 2019

Geheimdienste sollen Zugriff auf Computer und Smartphone erhalten

28. März 2019: Wie die „Legal Tribune Online“ berichtet, sollen die Befugnisse der deutschen Geheimdienste deutlich ausgeweitet werden. Das geht aus einem vom Bundesinnenministerium erstellten Gesetzentwurf hervor. Auf der Wunschliste des Innenministeriums stehen Staatstrojaner, Online-Durchsuchung, verdecktes Eindringen in Wohnungen und der Einsatz des Bundesnachrichtendienstes im Inland.

App von eSurv: Italienische Unternehmen ermöglicht staatliche Spionage

29. März 2019: Das Unternehmen eSurv hat für die italienischen Ermittlungsbehörden eine Spionage-App entwickelt. Die App stand in verschiedenen Versionen über Googles Play Store zum Download bereit. Zur Installation waren die Behörden auf die Mithilfe der Mobilfunkbetreiber angewiesen. Diese versendeten SMS mit der Aufforderung, eine App zur Behebung von vermeintlichen Netzwerkfehlern zu installieren. Tatsächlich sammelte das Programm einige Basisinformationen (IMEI und Telefonnummer) und sendete diese an einen Server. Im Anschluss wurde von diesem Server eine Zip-Datei mit der eigentlichen Schadsoftware zurückgesendet.

Die eigentliche Spionage-Software konnte sich tief in das Zielsystem einklinken. Die Ermittler.innen erhielten dadurch Zugriff auf:  

• Informationen über installierte Apps
• Mikrofon und Kamera
• SMS
• Browser-Verlauf und Lesezeichen
• Kalenderdaten
• Anruf-Logs
• gespeicherte Bilder
• Messanger und Chatverläufe
• GPS-Koordinaten
• Wi-Fi Passwörter

Eurotrojaner: Europol soll eigenen Staatstrojaner bekommen

22. Januar 2019: Wie aus einer Antwort der Bundesregierung auf eine Anfrage des Abgeordneten Andrej Hunko von der Linken-Fraktion hervorgeht, könnte Europol demnächst mit einem eigenen Staatstrojaner ausgestattet werden. Dieser könnte gar Zero-Day-Sicherheitslücken nutzen. Die EU-Polizeibehörde bestreitet, konkrete Pläne für einen „Eurotrojaner“ zu haben. Die jetzigen Schritte seien auf eine Marktsichtung für Software, die Inhalte vor- oder nach einer Entschlüsselung zugänglich machen könnte, beschränkt.

• netzpolitik.org: Antwort der Bundesregierung (PDF)
• netzpolitik.org: Der Eurotrojaner kommt

Polizeigesetz: Auch Polizei in NRW wird mit Staatstrojanern ausgestattet

12. Dezember 2018: Mit den Stimmen von CDU, CSU und der oppositionellen SPD wurde das „Gesetz zur Stärkung der Sicherheit in Nordrhein-Westfalen“ verabschiedet. Neben zahlreichen Verschärfungen wie der Einführung von elektronischen Fußfesseln sowie der Schleierfahndung bringt das Gesetz der Polizei auch die Erlaubnis zur sogenannten „Quellen-Telekommunikationsüberwachung“. Bei dieser greifen Polizeibeamt.innen mithife von Staatstrojanern gezielt Endgeräte an.

• recht.nrw.de: Gesetzestext
• Polizeigesetz NRW stoppen: Farbliche Übersicht der Änderungen
• netzpolitik.org: Polizeigesetz: Staatstrojaner nun auch in NRW

Bundesregierung verweigert Auskunft zu Staatstrojanern beim Bundesamt für Verfassungsschutz

07.Dezember 2018: Die Bundesregierung weigert sich, Auskunft über die Nutzung von Staatstrojanern durch den Verfassungsschutz zu erteilen. In einer kleinen Anfrage hatte der Bundestagsabgeordnete Konstantin von Notz zuvor entsprechende Informationen angefordert. Die Beantwortung gefährde in besonderem Maße das Staatswohl, so die Bundesregierung.

• bundestag.de: Schriftliche Anfragen vom 03. Dezember 2018

Das Bundeskriminalamt hält Sicherheitslücken geheim

12. November 2018: Das Bundeskriminalamt verweigert die Beantwortung einer Anfrage nach dem Infromationsfreiheitsgesetz von netzpolitik.org. Als Begründung führt die Behörde an, dass andernfalls Hard- und Softwarehersteller von Sicherheitslücken in ihren Produkten erfahren könnten.

• netzpolitik.org: Das BKA verhindert, dass Sicherheitslücken geschlossen werden
• fragdenstaat.de: Anfrage von netzpolitik.org

Verfassungsbeschwerde gegen „Hessentrojaner“ angekündigt

19. Okober 2018: Kurz vor der Landtagswahl hat die Piratenpartei Hessen angekündigt, in Karlsruhe gegen die Verankerung von Staatstrojanern im neugefassten hessischen Polizeigesetz zu klagen. Zitat: „Die Landesregierung [hat] nicht begriffen, dass der Einsatz von staatlicher Trojanern an sich einen eklatanten Verstoß gegen die Vorsorgeprinzipien des Staates bezüglich des Schutzes der Zivilbevölkerung darstellt, grundgesetzlich garantierte Rechte massiv und unverhältnismäßig einschränkt und unser aller Sicherheit gefährdet.“

• Piratenpartei Hessen: Pressemitteilung zur Verfassungsbeschwerde

„haurus“ verkaufte Zugang zur nationalen Polizeidatenbank

08. Oktober 2018: Während in Deutschland überall über die Einführung von Staatstrojanern und Onlinedurchsuchung in den Polizeigesetzen diskutiert wird, verkauft ein Französischer Geheimdienstmitarbeiter Zugriff zur nationalen Polizei-Datenbank für 300€. Unter dem Codenamen „haurus“ bot der Angestellte zu beliebigen Telefonnummern die Anruflisten und Aufenhaltsorte feil.

• heise.de: Newstickermeldung

Deutscher Staatstrojaner „FinFisher“ in neuer Qualität

24. September 2018: Deutsche Wissenschaftler haben eine neue Variante des in München entwickelten Staatstrojaners „FinFisher“ entdeckt. Im Gegensatz zu den bisher bekannten Versionen benötigt diese keine Interaktion durch den Nutzer mehr, um ihre Opfer zu infizieren. Stattdessen manipuliert die Schadsoftware den Download von Updates bekannter Programme, um Zugriff auf die Geräte zu erhalten. FinFisher wurde in der Vergangenheit unter Anderem in der Türkei zur Überwachung von Dissidenten eingesetzt. 

• netzpolitik.org: Deutsche Firma entwickelt Spionagesoftware mit neuer Qualität

Staatstrojaner „Pegasus“ wird in 45 Ländern eingesetzt

18. September 2018: Sicherheitsforscher des Citizen Lab der Munk School of Global Affairs an der University of Toronto haben in einer drei Jahre andauernden Untersuchung Einsätze des Staatstrojaner „Pegasus“ in 45 Ländern nachweisen können. Damit kam die Schadsoftware in deutlich mehr Ländern zum Einsatz, als offiziell über den Trojaner verfügen. Das Citizen Lab unterstellt daher, dass Pegasus auch zur illegalen grenzübergreifenden Überwachung Verwendung findet.

• CitizenLab: Tracking NSO Group’s Pegasus Spyware to Operations in 45 Countries

Weitere Verfassungsbeschwerde gegen Staatstrojaner

22. August 2018: Die Gesellschaft für Freiheitsrechte (GFF) hat in Karlsruhe eine Verfassungsbeschwerde gegen den Einsatz von sogenannten Staatstrojanern und den unverantwortlichen staatlichen Umgang mit IT-Sicherheitslücken eingelegt.

• Pressemitteilung der GFF: Verfassungsbeschwerde gegen Staatstrojaner eingelegt
• Die Beschwerdeschrift, verfasst von Rechtsanwalt Dr. h.c. Gerhard Strate als PDF

Digitalcourage reicht Verfassungsbeschwerde gegen Staatstrojaner ein

7. August 2018: Digitalcourage hat in Karlsruhe vor dem Bundesverfassungsgericht Verfassungsbeschwerde gegen die sogenannten Staatstrojaner eingereicht. „Das Gesetz dient nicht der Sicherheit, es gefährdet sie. Der Staat  sollte  Sicherheitslücken nicht ausnutzen, sondern dafür sorgen, dass  sie geschlossen werden“, sagt padeluun, Vorstandsmitglied und Gründer von Digitalcourage. Weitere Zitate sind im Artikel unten.

• Digitalcourage: Verfassungsbeschwerde gegen Staatstrojaner eingereicht
• Verfassungsbeschwerde unterstützen

Trojaner-Angriff auf Mitarbeiter von Amnesty International

1. August 2018: Zitat: „Ein Mitarbeiter von Amnesty International ist nach Angaben der Menschenrechtsorganisation mit Spionagesoftware der israelischen Sicherheitsfirma NSO Group angegriffen worden. Man glaube, "dass dies ein bewusster Versuch einer Regierung war, die unserer Menschenrechtsarbeit feindlich gegenüber steht, bei Amnesty International einzudringen“

• Amnesty: Mitarbeiter mit Spionagesoftware der NSO Group attackiert

Vertrag zum Kauf von Staatstrojanern durch das Land Berlin veröffentlicht

27. Juli 2018: Als Antwort auf eine IFG-Anfrage von netzpolitik.org veröffentlichte das Land Berlin den Nutzungsvertrag „über die Pflege von Standardsoftware Quellen-TKÜ“. Auch wenn das Dokument großzügig geschwärzt wurde, offenbart es interessante Details zu den Nutzungsbedingungen, unter denen deutsche Behörden Staatstrojaner verwenden. So durften im Fall von Berlin auch schriftlich authorisierte Personen oder „Sicherheitspersonal“ die Schadsoftware einsetzen. Zudem verweigerte der Anbieter die Herausgabe des Quellcodes des Überwachungsinstruments. 

• fragdenstaat.de: IFG-Anfrage
• fragdenstaat.de: Geschwärzter Vertrag

Verfassungsschutz warnt vor Cyberangriffen u.a. auf deutsche Chemiewaffenforschung

12. Juli 2018: Zitat: „Dem Bundesamt für Verfassungsschutz (BfV) liegen Erkenntnisse zu einer Spear-Phishing Angriffswelle mit mutmaßlich nachrichtendienstlichem Hintergrund vor. Diese Angriffe richten sich aktuell gegen deutsche Medienunternehmen und Organisationen im Bereich der Chemiewaffenforschung.“ Digitalcourage kritisiert auf Twitter: „(…) Darum sind Staatstrojaner​ eine schlechte Idee. IT-Sicherheitslücken schließen, nicht ausnutzen!“

• verfassungsschutz.de: BfV Cyber-Brief Nr. 02/2018 – Hinweis auf aktuelle Angriffskampagne (PFD)

Regierung verweigert Auskunft über Staatstrojaner-Firmen

12. Juli 2018: Netzpolitik.org berichtet: „Der Staatstrojaner ist der bisher größte Eingriff in die Privatsphäre und müsste eigentlich am intensivsten kontrolliert werden. Die Bundesregierung gibt jedoch nur widerwillig Auskunft, erklärt viele Informationen zu Geheimnissen und verweigert manche Antworten vollständig.“

• netzpolitik.org: Regierung verweigert jede Auskunft über Staatstrojanerfirmen – eingestufte Protokolle veröffentlicht

BKA kann drei Staatstrojaner einsetzen

26.06.2018: Wie aus mehreren als geheim eingestuften Dokumenten hervorgeht, die netzpolitik.org veröffentlicht hat, verfügt das Bundeskriminalamt über drei einsatzbereite Staatstrojaner. Zwei davon wurden im eigenen Haus für etwa 6 Millionen Euro entwickelt. Die dritte Version wurde hingegen vom deutschen Unternehmen FinFisher, dass für seine Geschäftsbeziehungen zu Diktaturen berüchtigt ist, zugekauft. 

Untersuchungsausschuss zu Auftragsvergabe an Palantir

21. Juni 2018: Hessen: Das Land Hessen hat ohne offene Ausschreibung Staatstrojaner-Software vom umstrittenen US-Hersteller Palantir gekauft. Oppositionsparteien (FDP, Linke & SPD) im hessischen Landtag haben deshalb einen parlamentarischen Untersuchungsausschusses erzwungen, der am 03.07.2018 seine Tätigkeit aufgenommen hat.

• hessischer-landtag.de: Untersuchungsausschuss 19/3 (UNA 19/3)

Access Now: Türkei nutzte deutsche Spionagesoftware gegen Oppositionelle

14. Mai 2018: Die Bürgerrechteorganisation Access Now kann belegen, dass türkische Behörden die Software FinSpy der deutschen Finfisher eingesetzt haben, um Oppositionelle auszuspionieren.

• Acces Now: European-made FinSpy malware is being used to target critics in Turkey – Bericht als (PDF)

Anfrage der Grünen u.a. zu BKA und zur Prüfung von FinSpy

28. März 2018: Zitat: „Die Zulassung staatlichen Hackings verschiebt das Interesse zumindest der Sicherheitsbehörden auch auf die systematische Geheimhaltung, Offenhaltung und Nutzung von Schwachstellen und Sicherheitslücken in IT-Systemen, Hardund Software. Besonders brisant erscheint, dass für das Aufspielen von Spionagesoftware auf Zielrechner oftmals nicht allein kriminalistische List, sondern erst der staatliche Ankauf von Schwarzmarktinformationen über bislang unerkannte Sicherheitslücken ausreicht (vgl. u. a. dazu Veröffentlichung der Konrad Adenauer Stiftung (PDF)“

• Antwort auf die Kleine Anfrage der Abgeordneten Dr. Konstantin von Notz, Luise Amtsberg, Canan Bayram, et al. (PDF)

Türkischer Internetanbieter ersetzt Downloads durch Spionagesoftware

9. März 2018: Das kanadische Forschungsprojekt Citizen Lab (University of Toronto) berichtet in einer Recherche, dass Türk Telekom Downloads durch Spionagesoftware ersetzt habe.

• Citizen Lab: Bad Traffic: Sandvine’s PacketLogic Devices Used to Deploy Government Spyware in Turkey and Redirect Egyptian Users to Affiliate Ads?
• Martin Holland (heise.de): Opera, VLC, WinRAR, 7-Zip, Skype: Türkischer Provider ersetzt Downloads durch Spyware

Protest gegen geplanten „Hessentrojaner“

8. Februar 2018: Bürgerrechtsorganisationen demonstrieren gegen den Hessentrojaner und kritisieren das geplante Gesetz mit Stellungnahmen im hessischen Landtag. netzpolitik.org kommentiert: „Die große Mehrheit der Experten bewertet das Vorhaben der schwarz-grünen Regierung als verfassungswidrig und gefährlich.”

• Stellungnahmen: Mobiles Beratungsteam gegen Rassismus und Rechtsextremismus, Hessischer Jugendring, Die Datenschützer Rhein-Main, Bund Deutscher Kriminalbeamter – Landesverband Hessen, Dr. Rolf Gössner, Hessischer Datenschutzbeauftragter
• Stellungnahme des CCC
• Stellungnahme des FIfF

Eine kurze Geschichte zu Hintertüren in der Hardware

6. Februar 2018: Das Heinz Nixdorf MuseumsForum hat eine kurze Geschichte zu Hintertüren in Hardware geschrieben. Hardware-Lücken entstehen unbeabsichtigt oder werden gezielt durch Geheimdienste geschaffen. Beispielsweise Lenovo: „Demnach fand der chinesische IT-Hersteller Lenovo undokumentierte Zugänge in seinen eigenen Netzwerk-Schaltern. Sie führten in das Jahr 2004, als die Geräte noch von der kanadischen Firma Nortel gefertigt wurden. 2009 ging Nortel mit einem Riesenskandal bankrott.” Insofern wird manipulierte Hardware auf absehbare Zeit ein Problem bleiben.

• HNF (HNF Blog): Hardware mit Hintertür

Der neue Bundestrojaner im Einsatz

2. Februar 2018: Die vom BKA entwickelte „Remote Control Interception Software” ist untauglich, daher wurde der Trojaner FinSpy von der FinFischer GmbH gekauft. Mit diesem sind die Behörden in der Lage zum Beispiel verschlüsselte Chats zu speichern.

• Florian Flade (welt.de): Ministerium gibt neuen Bundestrojaner für den Einsatz frei
• Matthimon (twitter)

Bundesregierung schweigt zum Staatstrojaner

29. Januar 2018: Auf eine Anfrage der Partei die LINKE zum Bundestrojaner kam die Antwort, dass viele Fragen aufgrund der Brisanz nicht beantwortet wurden. Bei der Anfrage ging es darum, ob das BKA und der Verfassungsschutz die gleiche Technik zur Spionage benutzen. Der Staatstrojaner muss ebenfalls extern auf seine Verfassungskonformität hin geprüft werden. Es ist allerdings unklar, wie das Ergebniss aussieht, da es nur Ergebnisse zur ersten Version (ebenfalls Geheimsache) gibt.

• Patrick Beuth (Spiegel.de): Der Staatstrojaner bleibt im Dunkeln

Trojaner – vermutlich aus Italien und dem Libanon – entdeckt

19. Januar 2018: Zwei mutmaßliche Staatstrojaner wurden entdeckt. Der aus Italien stammende Trojaner „Skygofree” ist eine sehr weit entwickelte Malware für Android. Diese spioniert z.B. gezielt die Standortdaten des Nutzers sowie Gespräche aus und wird über gefakte Seiten verbreitet. Bei diesen handelt es sich um Seiten, die denen von großen Telefonanbietern nachempfunden sind. Bei dem Trojaner der mutmaßlich aus dem Libanon stammt, werden hauptsächlich Anwälte, Aktivisten o.ä. ausspioniert. Der Trojaner ist in gefakte Messenger eingebettet und fällt den Benutzern somit nicht auf. Es werden Messenger wie Signal, Threema und Whatsapp imitiert. Die Hacker haben es ebenfalls auf Windows, Mac und Linux abgesehen. Dem Trojaner wurde der Name Pallas gegeben.

• Peter Schmitz (securityinsider.de): Kaspersky Lab entdeckt möglichen Staatstrojaner
• Dennis Schirrmacher (heise.de): Dark Caracal: Große Spionage-Kampagne setzt auf manipulierten WhatsApp-Messenger

Mächtiges Spionageprogramm Skygofree für Android analysiert

16. Januar 2018: Die Schadsoftware soll kriminellen Tonaufzeichnungen, Ausleitungen von WhatsApp-Nachrichten und den Verbindungsaufbau zu fremdkontrollierten WLAN-Netzwerken ermöglichen. Verteilt wird die Software, laut Bericht, über nachgebaute Webseiten von Telekommunikationsanbietern. Nach Einschätzung von Digitalcourage, sollte der deutsche Staat Bürgerinnen und Bürger vor solchen Programmen schützen, und nicht im Geschäft mit Unsicherheit mitspielen.

• Kaspersky Lab: Skygofree: Following in the footsteps of HackingTeam

Gemeinsame Erklärung von Grundrechteorganisationen: „Geplante Verschärfungen des hessischen Verfassungsschutzgesetzes schädigen Demokratie und Grundrechte“

22. Dezember 2017: Gemeinsam mit anderen Organisationen appellieren 15 Grundrechteorganisationen an die Abgeordneten des hessischen Landtages: “Der Gesetzentwurf vom 14. November 2017 sieht den heimlichen Einsatz sogenannter "Trojaner" vor. Sie nutzen Lücken in Programmen und Apps, um unbemerkt vom angegriffenen Nutzer Smartphones, Computer oder andere – mit dem Internet verbundene – Geräte zu kontrollieren. (…) Finanziert mit Steuergeldern, werden sie möglichst lange vor den Herstellern der Programme und Apps geheim gehalten. Weil deshalb nicht nur der Verfassungsschutz, sondern auch Internet-Kriminelle diese Lücken ausnutzen können, ermöglicht und fördert der Staat damit letztlich auch ihre Verbrechen.

• Landtag in Hessen: Stimmen Sie gegen das geplante Verfassungsschutzgesetz!
• Pressemitteilung: 15 Organisationen gegen neues Verfassungsschutzgesetz für Hessen – Gemeinsame Erklärung warnt vor schw arz-grüner Gesetzesnovelle

Kommerzielle Spyware außer Kontrolle

6. Dezember 2017: Die gezielte Auslieferung von spywareverseuchten Mails an äthiopische Dissidenten zeigt, wie leicht solche Überwachungsprogramme missbraucht werden können. Diese kommerzielle Spyware wird u.a. Geheimdiensten und Sicherheitsbehörden angeboten. Im hier aufgeführten Falle wurde die Spyware in vielen Ländern an die Betreffenden verteilt.

• Anna Biselli (netzpolitik.org): Äthiopien setzt international Spyware gegen Dissidenten ein
• CitizenLab (TheCitizenLab)
• Ron Deibert (wired.com): Evidence That Ethiopia Is Spying on Journalists Shows Commercial Spyware Is Out of Control

Studie des FIfF: Cyberoffensive erhält deutlich mehr staatliche Mittel als Schutzmaßnahmen

Dezember 2017: Eine Studie des Forum InformatikerInnen für Frieden und gesellschaftliche Verantwortung (FIfF) hat ergeben, „dass Deutschland und die USA circa 15-mal mehr Geld in die Cyberoffensive stecken als in die -Defensive. Außerdem sind die Ausgaben wenig transparent.“

• Christiane Schulzki-Haddouti (heise.de): Studie: Cyberoffensive erhält deutlich mehr staatliche Mittel als Schutzmaßnahmen

Triton – gravierender Angriff auf kritische Infrastruktur

14. Dezember 2017: Im Nahen Osten wurde die Schadsoftware Triton entdeckt, mit der Sicherheitssysteme in der Industrie angegriffen werden können. Ziele können Kraftwerke oder Einrichtungen der Öl- und Gasindustrie sein. Triton ist spezialisiert auf das Ausschalten von Sicherheitssystemen, die kritische Infrastruktur vor tödlichen Katastrophen schützen sollen. Nach Stuxnet und Industroyer/Crash Override ist Triton die dritte Schadsoftware dieses Ausmaßes.

• FireEye: Attackers Deploy New ICS Attack Framework “TRITON” and Cause Operational Disruption to Critical Infrastructure
• arstechnica.com: Game-changing attack on critical infrastructure site causes outage

Regionales Bündnis engagiert sich gegen den „Hessen-Trojaner“

7. November 2017:  Die Infoseite hessentrojaner.de ist online gegangen: „hessentrojaner.de ist ein Gemeinschaftsprojekt von Organisationen in Hessen, die sich für die Sicherheit von IT-Systemen und gegen den geplanten Staatstrojaner engagieren.“

• hessentrojaner.de

Polizei in Baden-Württemberg will Staatstrojaner, Video-Verhaltensüberwachung und Handgranaten

10. Oktober 2017: Die grün-schwarze Landesregierung in Baden-Württemberg plant ein Gesetz zur Änderung des Polizeigesetzes. Der Entwurf stammt aus dem Ministerium für Inneres, Digitalisierung und Migration Baden-Württemberg. Das Gesetz soll unter anderem den Einsatz von Staatstrojanern auch bei Allgemeinkriminalität erlauben. Der baden-württembergische Landesbeauftragte für Datenschutz, Stefan Brink, erklärte in seiner Stellungnahme: „Ob das Sicherheitspaket einer Überprüfung auf Kosten und Nutzen standhält, wird das Parlament entscheiden. Aus Sicht des LfDI ist sein Nutzen offen - sicher sind bereits jetzt seine Kosten: Wir alle bezahlen die Hoffnung auf mehr Sicherheit mit der realen Einbuße an Freiheit.“

• Gesetz zur Änderung des Polizeigesetzes und des Gesetzes über die Ladenöffnung in Baden -Württemberg (PDF)
• Stellungnahme des baden-württembergischen Landesbeauftragten für Datenschutz Stefan Brink (PDF)
• Stellungnahme des Richtervereins Baden-Württemberg

Hessen will Staatstrojaner für Verfassungsschutz

4. Oktober 2017: Ein geplantes Verfassungsschutzgesetz der schwarz-grünen Regierung in Hessen soll dem Verfassungsschutz des Landes den Einsatz von Staatstrojanern erlauben. (Am Rande: Im hessischen Haiger hat die Digi Task GmbH (siehe Wikipedia), ein Hersteller von Staatstrojanern, ihren Sitz.)

• Entwurf für eine Reform des Hessischen Verfassungsschutzgesetzes und des zugehörigen Kontrollgesetzes

Bundesregierung zu Lieferungen von Überwachungstechnologie und Zensursoftware an Drittstaaten

27. September 2017: Auf Anfrage der Fraktion BÜNDNIS 90/DIE GRÜNEN hat die Bundesregierung geantwortet, dass zwischen 2014 und 2016 in neun Fällen Spähtechnik an Ägypten, Algerien, Marokko, Nigeria, Saudi-Arabien und die Vereinigten Arabischen Emirate geliefert wurde.

• Kleine Anfrage der Abgeordneten Omid Nouripour, Agnieszka Brugger, Dr. Konstantin von Notz, weiterer Abgeordneter und der Fraktion BÜNDNIS 90/DIE GRÜNEN
• netzpolitik.org: Überwachungsexporte: EU legt Reform vor, doch Regierungen und Industrie drohen mit Blockade

Offizielle ZITiS-Eröffnung

14. September 2017: Bundesinnenminister Thomas de Maizière eröffnete in München die Zentrale Stelle für Informationstechnik (ZITiS) im Sicherheitsbereich. „Als Dienstleister der deutschen Sicherheitsbehörden bündelt ZITiS das technische Know-how mit Cyberbezug und unterstützt sie mit Forschung, Entwicklung und Beratung“, heißt es auf der Website. Konkret bedeutet dies auch, dass ZITiS Staatstrojaner entwickeln wird. Der Ankauf von IT-Sicherheitslücken sei dabei nicht ausgeschlossen, erklärte de Maizière bei der Eröffnung.

• Website von ZITiS
• Monika Ermert (heise.de): IT für Sicherheitsbehörden: Schwachstellen kann Zitis auch kaufen

Microsoft schließt Sicherheitslücke, die vom Staatstrojaner FinFisher ausgenutzt wurde

13. September 2017: Die Sicherheitsfirma FireEye, die das Problem (fireeye.com mit technischen Infos) aufgedeckt hatte, vermutet, dass nicht nur der deutsch-englische Staatstrojaner-Hersteller Gamma Group mit seinem Produkt FinFisher (alias FinSpy oder WingBird) diese Sicherheitslücke ausgenutzt hat, sondern auch gewöhnliche Kriminelle. MS-Windows-Systeme wurden über MS-Office-Dokumente infiziert.

• Fabian A. Scherschel (heise.de): Microsoft-Patchday schließt FinFisher-Zero-Day und große Bluetooth-Lücke

Der IT-Sicherheitsverband TeleTrusT will gegen Staatstrojaner klagen

9. August 2017: Der Bundesverband IT-Sicherheit e.V. (TeleTrusT), dem auch BKA und BSI angehören, will nach Konsultation seiner Mitglieder Klage gegen die Staatstrojaner vor dem Bundesverfassungsgericht einreichen. In der Pressemitteilung heißt es: „Die vom Gesetzgeber legalisierten Maßnahmen führen dazu, das Vertrauen in moderne IT-Systeme im Allgemeinen und in die angebotenen vertrauenswürdigen Lösungen zu erschüttern. Sie sind damit industriepolitisch kontraproduktiv und schädigend für den weiteren notwendigen Digitalisierungsprozess. [...] Die Eignung zur Verbrechensaufklärung ist fragwürdig, weil Straftäter beispielsweise auf andere Kommunikationsmöglichkeiten ausweichen werden. Die Beeinträchtigung des Grundvertrauens der Öffentlichkeit in den Schutz der kommunikativen Privatsphäre steht in keinem vernünftigen Verhältnis zur möglichen Ausbeute bei Strafverfolgungsmaßnahmen.“

• Pressemitteilung (teletrust.de): "Bundestrojaner": TeleTrusT - Bundesverband IT-Sicherheit e.V. kündigt Verfassungsbeschwerde an

IT-Verbände in Österreich positionieren sich gegen „Bundestrojaner“

9. August 2017: In einem offenen Brief wenden sich Vertreter.innen der österreichischen IT-Branche an den Nationalrat und kritisieren das geplante Sicherheitspaket der Regierung und insbesondere den darin enthaltenen sogenannten Bundestrojaner. Durch das Ausnutzen und Offenhalten von IT-Sicherheitslücken schwäche der Bundestrojaner die IT-Sicherheit und das Vertrauen in den Wirtschaftsstandort Österreich. Es wäre unverantwortlich, den Markt für Sicherheitslücken zu fördern, was Cyberkriminellen zugute käme. Außerdem sei es technisch nicht zu realisieren, dass die Überwachung nur auf die zulässigen Bereiche beschränkt wird.

• Vertreter.innen der österreichischen IT-Branche (PDF): Offener Brief zur Gefährdung der Cybersicherheit durch das geplante Sicherheitspaket

Citizen Lab deckt auf, dass Staatstrojaner gegen mexikanische Anwält.innen eingesetzt wurden

2. August 2017: Citizen Lab hat aufgedeckt: In Mexiko wird die Schadsoftware gegen Anwält.innen eingesetzt. Bisher wurden über 20 Fälle aufgedeckt, bei denen in den letzten Jahren eine Software names „Pegasus“ der Firma NSO Group missbräuchlich gegen mexikanische Regierungskritiker.innen eingesetzt wurde (darunter Oppositionspolitiker.innen, Anwält.innen und Journalist.innen). Die Infektion läuft in der Regel so ab, dass die Opfer dazu gedrängt werden, einen Link in einer SMS zu öffnen, der das Smartphone mit der Software infiziert. Obwohl keine eindeutigen Beweise vorliegen, spricht eine Reihe von Indizien für die mexikanische Regierung als Auftraggeber.

• John Scott-Railton et. al. (citizenlab.ca): Lawyers for Murdered Mexican Women’s Families Targeted with NSO Spyware
• sueddeutsche.de: Wie der Staatstrojaner eine Demokratie aushöhlt

Stiftung Wissenschaft und Politik warnt vor Schwächung der IT-Sicherheit zum Zweck der Terrorismusbekämpfung

August 2017: Die Stiftung Wissenschaft und Politik (SWP) berät die Bundesregierung in außen- und sicherheitspolitischen Fragen. Matthias Schulze von der SWP kritisiert die Tendenz vieler Staaten, IT-Sicherheitsstandards zur besseren Terrorismusbekämpfung abschwächen zu wollen. Das Dilemma bestehe darin, dass durch schlechtere Verschlüsselung und Sicherheitslücken zwar die Kommunikation von Terrorist.innen oder anderen Straftäter.innen besser verfolgt werden könne. Andererseits leide dadurch aber die IT-Sicherheit für die Bevölkerung und Unternehmen insgesamt, was wiederum von Kriminellen ausgenutzt werden könne. Schulze kommt zu dem Ergebnis, dass der Schaden aufgrund verringerter IT-Sicherheit wesentlich gravierender ist, als der Nutzen. Da Terroristen ohnehin meist sichere Kommunikationswege nutzen, plädiert Schulze für die Entwicklung alternativer Ermittlungsstrategien und gegen die Schwächung der allgemeinen IT-Sicherheit.

• Matthias Schulze (swp-berlin.org – PDF): Verschlüsselung in Gefahr

Digitalcourage kündigt Verfassungsbeschwerde gegen die deutschen Staatstrojaner an

27. Juli 2017: Digitalcourage hält das Gesetz, das den Einsatz von Staatstrojanern erlaubt (siehe 22. Juni 2017), aus mehreren Gründen für grundgesetzwidrig: Zum einen widerspreche es einem früheren Urteil des Bundesverfassungsgerichts von 2008, weil Online-Durchsuchungen für einen zu großen Bereich von Gefährdungen zugelassen würden und die Quellen-Telekommunikationsüberwachung nur schwerlich auf die zulässigen Bereiche beschränkt werden könne. Zum anderen verletze der Staat seine Schutzpflicht, weil der Einsatz von Staatstrojanern die Verwendung und Geheimhaltung von Sicherheitslücken voraussetze, die von Kriminellen missbraucht werden können.

• Digitalcourage: Wir klagen gegen die Staatstrojaner – Verfassungsbeschwerde unterstützen!

Google entdeckt Trojaner in Android-Apps – vermutlich ein Staatstrojaner

26. Juli 2017: Wie Google bekannt gab, verbarg sich die Spyware Lipizzan in mehreren Apps im Google Play Store. Auf einem infizierten Smartphone hat Lippizan Zugriff auf sämtliche E-Mails, SMS, den Standort, die gespeicherte Dateien, die Kamera und das Mikrofon. Google vermutet die israelische Firma Equus Technologies hinter dem Trojaner. Equus Technologies entwickelt Cyberwaffen für staatliche Organisationen. Sollte sich Googles Vermutung bewahrheiten, zeigt dieser Fall: Staatstrojaner werden nicht nur gezielt an einzelne Personen verteilt. Es wird auch versucht, sie großflächig spionieren zu lassen.

• Megan Ruthven et. al. (security.googleblog.com): From Chrysaor to Lipizzan: Blocking a new targeted spyware family

Gesellschaft für Freiheitsrechte: Verfassungsbeschwerde u.a. gegen „Online-Durchsuchungen“ und „Quellen-Telekommunikationsüberwachungen“ im Bayerischen Verfassungsschutzgesetz

21. Juli 2017: Etwa ein Jahr nach Inkrafttreten der Reform des Bayerischen Verfassungsschutzgesetzes legt die Gesellschaft für Freiheitsrechte Verfassungsbeschwerde ein: „Die Überwachungsbedürfnisse, welche die Ermächtigungen zu „Online-Durchsuchungen“ und „Quellen-Telekommunikationsüberwachungen“ auf der Ebene des individuellen Grundrechtseingriffs rechtfertigen mögen, können die erhebliche allgemeine Gefährdung der IT-Sicherheit in der Bundesrepublik nicht legitimieren, die von einer Sammlung von Sicherheitslücken bei den deutschen Sicherheitsbehörden ausgehen.“

• freiheitsrechte.org: Verfassungsbeschwerde

Bundesdatenschutzbeauftragte Voßhoff prüft Staatstrojaner

18. Juli 2017: Mindestens seit Juli 2017 prüft die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit Andrea Voßhoff die Staatstrojaner datenschutzrechtlich. Das geht hervor aus einer Antwort auf eine Anfrage von Andre Meister zu Staatstrojanern nach dem Informationsfreiheitsgesetz: „Die von Ihnen verlangten Informationen sind Bestandteil eines noch andauernden Kontroll- und Prüfvorgangs der BfDI. Der Informationsantrag ist daher gemäß § 4 Abs. 1 IFG abzulehnen. […] Nach Abschluss des Verfahrens werde ich auf die Angelegenheit zurückkommen.“

• fragdenstaat.de: Kontrolle Quellen-TKÜ und Online-Durchsuchung im BKA

Kommentar von Peter Schaar: Gesetzespaket, „dem die Verfassungswidrigkeit auf die Stirn geschrieben steht“

25. Juni 2017: Der ehemalige Bundesdatenschutzbeauftragte und jetzige Vorsitzende der Europäischen Akademie für Informationsfreiheit und Datenschutz Peter Schaar hält das Staatstrojaner-Gesetz für verfassungswidrig. Es sei nicht mit dem Urteil des Bundesverfassungsgerichts von 2008 vereinbar, weil es das Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme zu stark einschränke. Unter anderem kritisiert er das Ausmaß an Daten, die ausgelesen werden dürfen und dass Staatstrojaner bereits bei wenig schwerwiegenden Delikten eingesetzt werden dürfen. Außerdem kritisiert Schaar, dass es eine Voraussetzung für den Einsatz von Staatstrojanern ist, Sicherheitslücken offenzuhalten und auszunutzen.

• Kommentar von Peter Schaar (heise.de): Peter Schaar: Der Staat ist ein feiger Leviathan

Bericht des NSA-Untersuchungsausschusses des Deutschen Bundestages

23. Juni 2017: Netzpolitik.org veröffentlicht am 24. Juni 2017 eine ungeschwärzte Version des Abschlussberichts. Darin wird das Spionageprogramm Regin ab Seite 221 behandelt: „Es handele sich um eine von dem Sicherheitsunternehmen Symantec entdeckte, außergewöhnlich komplexe Spionagesoftware, mit der über Jahre hinweg Unternehmen, Behörden und Forschungseinrichtungen vor allem in Russland und Saudi-Arabien ausgespäht worden seien. Insgesamt seien 27 Ziele in 14 Staaten entdeckt worden, wobei die Zahl der betroffenen einzelnen Computer deutlich höher anzusetzen sei. (…) Ende des Jahres 2014 wurde in den Medien berichtet, REGIN sei bei einem Spionageangriff gegen eine Referatsleiterin aus der Abteilung Europapolitik im Bundeskanzleramt eingesetzt worden. Der Trojaner sei entdeckt worden, als diese einen USB-Stick auf ihrem Dienst-Laptop benutzen wollte. Der Trojaner auf diesem Laptop sei jahrelang unentdeckt geblieben und mutmaßlich schon im Jahr 2012 eingeschleust worden.“ Der Bericht enthält Empfehlungen der Fraktion BÜNDNIS 90/DIE GRÜNEN: „Auch das staatliche Sammeln, Zurückhalten vor der Öffentlichkeit und gezielte Nutzen von so genannten Zero-Day-Sicherheitslücken ist rechtsstaatlich nicht vertretbar. Im Gegenteil führt dies zu insgesamt weniger IT-Sicherheit, da bekannte, aber nicht geschlossene Sicherheitslücken immer auch Dritten gegenüber offen stehen und der Schwarzmarkt für solche Angebote nicht auch noch indirekt gefördert werden darf. Der Staat ist hier in einer Schutzpflicht.“ (S. 1628) Die LINKE empfiehlt: „Das Vertrauensproblem der für Cyberabwehr zuständigen Einrichtung kann nur gelöst werden, wenn die intensive Zusammenarbeit mit BfV, BND und MAD national via Cyber-Abwehrzentrum oder international in der Kooperation mit der NSA durchbrochen wird. Gerade die Kritikalität der bei der Behörde auflaufenden Informationen über Sicherheitslücken und -strukturen sowie der Umgang mit Unternehmens- und Personendaten erfordert zwingend, sie mit unzweideutigem Sicherheitsau ftrag aufzustellen.“ (S. 1618)

• netzpolitik.org: Geheimdienst-Untersuchungsausschuss: Wir veröffentlichen den Abschlussbericht – ohne die Schwärzungen (Updates)

Internetverband Bitkom kritisiert Staatstrojaner

22. Juni 2017: Für Bitkom-Hauptgeschäftsführer Dr. Bernhard Rohleder geht es bei der Frage um den Einsatz von Staatstrojanern nicht um das Abwägen zwischen mehr Sicherheit und dem Schutz der Privatsphäre. Ein Mehr an Sicherheit sei nämlich gar nicht gegeben, da die Sicherheit dadurch beeinträchtigt werde, dass für Staatstrojaner Sicherheitslücken geschaffen oder offen gehalten werden müssen, die auch von Kriminellen genutzt werden könnten.

• Pressemitteilung (bitkom.org): Bitkom zum so genannten „Staatstrojaner“

Bundestag beschließt Staatstrojaner zur Strafverfolgung

22. Juni 2017: Das „Gesetz zur Änderung des Strafgesetzbuchs, des Jugendgerichtsgesetzes, der Strafprozessordnung und weiterer Gesetze“ führt die Möglichkeit zur Durchführung von Quellen-Telekommunikationsüberwachungen (Quellen-TKÜ) und Online-Durchsuchungen ein. Bei einer Quellen-TKÜ wird durch einen Trojaner das direkte Abhören der laufenden Kommunikation auf dem Zielgerät ermöglicht (und somit bevor eine mögliche Verschlüsselung greift oder nachdem eine Entschlüsselung erfolgte). Online-Durchsuchungen gehen noch einen Schritt weiter und ermöglichen das Auslesen sämtlicher auf dem Zielgerät gespeicherten Daten (ebenfalls durch den Einsatz eines Trojaners). Die Änderung der Strafprozessordnung, die den Einsatz von Staatstrojanern ermöglichen soll, wurde nicht etwa in einem eigenständigen Gesetzesverfahren beschlossen, sondern durch einen Verfahrenstrick an ein laufendes Verfahren angehängt, in dem es um Regelungen zum Führerscheinentzug ging. Eine öffentliche Debatte im Vorhinein blieb dadurch aus.

• Gesetzentwurf der Bundesregierung (PDF)

E-Privacy-Verordnung: Entschlüsselung von Kommunikation soll verboten werden

18. Juni 2017: Marju Lauristin, die Verhandlungsführerin des EU-Parlaments zur ePrivacy-Verordnung, wagte in ihrer ersten Stellungnahme einen schwerwiegenden Vorstoß: Verschlüsselte Kommunikation darf unter keinen Umständen durch Hintertüren oder Reverse Engineering wieder in Klartext umgewandelt werden. Mit dieser Forderung formuliert Marju Lauristin einen klaren Schlag gegen die Pläne der deutschen Politik und anderer europäischer Regierungen zu Staattrojanern. Ausnahmen, wie etwa innere Sicherheit oder Strafverfolgung, sind nicht vorgesehen. Lauristins Vorstoß ist mutig und die weiteren Verhandlungen im EU-Parlament und später mit EU-Rat und EU-Kommission müssen zeigen, ob und inwieweit dies in die ePrivacy-Verordnung Einzug erhält.

• Stefan Krempl (heise.de): E-Privacy-Verordnung: Entschlüsselung von Kommunikation soll verboten werden

Expertenanhörung zum Staatstrojaner im Bundestag

31. Mai 2017: In einer öffentlichen Anhörung des Ausschusses für Recht und Verbraucherschutz wurde das Pro und Contra zum Staatstrojaner von sieben Sachverständigen diskutiert. Die vertretenen Juristen, Richter und Staatsanwälte äußerten sich überwiegend positiv zur geplanten Gesetzesänderung, die den Einsatz von Staatstrojanern ermöglichen soll. Diese seien insbesondere deshalb so wichtig, weil Kommunikation zunehmend verschlüsselt ablaufe und ein Trojaner so die einzige Möglichkeit sei, diese dennoch abzuhören. Eine Ausnahme bildete der Berliner Richter Ulf Buermeyer, der vor allem den schweren Eingriff in die Persönlichkeitsrechte für bedenklich hält. Der schärfste Kritiker unter den Sachverständigen war Linus Neumann vom Chaos Computer Club. Er hält den Einsatz von Staatstrojanern für unverantwortlich, weil das Offenhalten der benötigten Sicherheitslücken eine Schwächung der IT-Sicherheit insgesamt zur Folge hätte.

• Pressemitteilung (bundestag.de): Pro und Contra Staatstrojaner
• bundestag.de: Stellungnahmen der Sachverständigen

Reporter ohne Grenzen: Staatstrojaner gefährden Journalist.innen

31. Mai 2017: Die geplante Einführung von Staatstrojanern bedrohe die besondere Stellung von Journalist.innen und die freie Presse, die für die Demokratie konstitutiv sei. Zu dieser Schlussfolgerung kommen Reporter ohne Grenzen in ihrer Stellungnahme zum Entwurf eines Gesetzes zur Änderung des Strafgesetzbuchs, des Jugendgerichtsgesetzes, der Strafprozessordnung und weiterer Gesetze (Bundestagsdrucksach: 18/11272).

Das neue Staatstrojaner-Gesetz würde erhebliche Zweifel am Schutz der Kommunikation mit Journalistinnen und Journalisten fördern. Personen könnten deshalb von der Kontaktaufnahme mit der Presse zurückschrecken und von der Preisgabe von Informationen im öffentlichen Interesse absehen.

Reporter ohne Grenzen stellen fest, dass die Angst vor einer allumfassenden Überwachung im journalistischen Alltag angekommen sei und nur durch verschlüsselt Kommunikation zurückgewonnen werden könnte.

• Stellungnahme von Reporter ohne Grenzen vom 31. Mai 2017, PDF

Die Bundesdatenschutzbeauftragte übt scharfe Kritik am Gesetzesentwurf zum Einsatz von Staatstrojanern

29. Mai 2017: Die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit Andrea Voßhoff hält das Gesetz wegen der Ermöglichung weitreichender Überwachungsmaßnahmen für einen „klaren Verfassungsverstoß“. Insbesondere kritisiert sie, dass neben der Überwachung laufender Kommunikation (z.B. ein- und ausgehender SMS) auch auf dem Gerät gespeicherte Kommunikation (z.B. früher versendete SMS) abgegriffen werden sollen. Des Weiteren sieht Voßhoff die Gefahr, dass mit der Infiltration des Systems der entscheidende Schritt für eine unkontrollierte Überwachung genommen ist, da es technisch schwer möglich ist, die Überwachung nur auf die erlaubten Bereiche zu beschränken. Außerdem befürchtet Voßhoff, dass die für den Einsatz des Staatstrojaners notwendigen Sicherheitslücken von anderen missbraucht werden könnten.

• Andrea Voßhoff (PDF): Stellungnahme der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit zum Entwurf eines Gesetzes zur Änderung des Strafgesetzbuchs ...

Die Ransomware WannaCry legt weltweit zahlreiche Unternehmen und staatliche Organisationen lahm

Mai 2017: Die Schadsoftware verschlüsselte die Dateien der betroffenen Rechner und verlangte zur Entschlüsselung eine Zahlung bestimmter Höhe in der Kryptowähung Bitcoin. Die Infektion und schnelle Weiterverbreitung von WannaCry setzte das Ausnutzen einer Sicherheitslücke in Windowssystemen voraus. Das war nur deshalb möglich, weil die NSA, die diese Sicherheitslücke entdeckt hatte, Microsoft nicht darüber informierte. Stattdessen hielt die NSA das Vorhandensein der Sicherheitslücke für mehrere Jahre geheim – unter anderem für die Verwendung von Staatstrojanern.

• Wikipedia (wikipedia.org): WannaCry

FireEye meldet eine Sicherheitslücke, die sowohl für Staatstrojaner als auch für finanziell motivierte Systemeinbrüche genutzt wird

April 2017: Mindestens seit Januar 2017 wurde die Sicherheitslücke vom Staatstrojaner FinSpy der englisch-deutschen Firma Gamma Group ausgenutzt. Seit März wurde die offiziell immer noch unbekannte Sicherheitslücke auch von der Malware LatentBot ausgenutzt, die ähnlich programmiert ist. Daher vermutet FireEye, dass beide den Code, der die Schwachstelle ausnutzt, aus derselben Quelle bezogen haben. Ab April nutzte auch das Botnet DRIDEX diese Lücke, um massenhaft Spam zu versenden. Verbreitet hatte sich der Trojaner durch speziell präparierte RTF-Dokumente, wenn sie mit Microsoft Office geöffnet wurden.

• golem.de: Office 0-Day zur Verbreitung von Finfisher-Trojaner genutzt
• fireeye.com: Sicherheitslücke (CVE-2017-0199)

Zero-Days-Exploits

3. März 2017: Solche Exploits, also Sicherheitslücken, die der Hersteller selbst nicht kennt und mit der fertigen Software ausliefert, sind für Geheimdienste u.a. ein gefundenes Fressen. Da solche Exploits im Mittel 7 Jahre verbleiben, können diese von Hackern ohne größeren Aufwand ausgenutzt werden, um auf Informationen zuzugreifen. Darüber hinaus können solche Lücken willentlich erkauft werden und werden somit weiter verbreitet.

• Jürgen Schmidt (heiseSecurity):Vom Leben und Sterben der 0days

Studie des Europaparlaments zu Staatstrojanern

März 2017: Die Studie basiert auf der Analyse der Gesetzeslage zum Einsatz von Staatstrojanern in sechs EU-Ländern und drei Nicht-EU-Ländern. Es werden unter anderem die folgenden Risiken identifiziert: Wegen der Invasivität von Staatstrojanern stellten diese ein hohes Risiko für die Privatsphäre dar. Außerdem bestünde die Gefahr, dass die Internetsicherheit insgesamt geschwächt wird. Weiterhin benennt die Studie einige wichtige Voraussetzungen für den Einsatz von Staatstrojanern, unter anderem: eine richterliche Anordnung, Einschränkung auf die Verfolgung schwerer Verbrechen sowie das Informieren der „Opfer“ im Nachhinein.

• Mirja Gutheil et. al. (PDF): Legal Frameworks for Hacking by Law Enforcement: Identification, Evaluation and Comparison of Practices
• netzpolitik.org: Studie des Europaparlaments: Staatstrojaner bergen erhebliche Risiken für das Grundrecht auf Privatsphäre

EU-Entwurf für neue Dual-Use-Verordnung (u.a. Regulierung d. Exports von Überwachungssoftware)

28. September 2016: Daniel Moßbrucker von Reporter ohne Grenzen schrieb dazu am 15. November 2017 auf netzpolitik.org: „Nach den Plänen soll der Schutz der Menschenrechte ein explizites Kriterium werden bei der Entscheidung, ob Exporte in Drittländer genehmigt werden oder nicht. Bei allen Schwächen, die der an vielen Stellen noch vage Entwurf hat, ist dies die bisher größte Chance, den Handel mit Überwachungssoftware von europäischen Unternehmen ansatzweise in den Griff zu bekommen.“

• EU-Parlament und EU-Rat: Vorschlag für eine Unionsregelung für die Kontrolle der Ausfuhr, der Verbringung, der Vermittlung , der technischen Unterstützung und der Durchfuhr betreffend Güter mit doppeltem Verwendungszweck

Neues Nachrichtendienstgesetz der Schweiz erlaubt Staatstrojaner

25. September 2016: Das Nachrichtendienstgesetz erlaubt dem Nachrichtendienst NDB: „das Eindringen in Computersysteme und Computernetzwerke, um: 1. dort vorhandene oder von dort aus übermittelte Informationen zu beschaffen, 2. den Zugang zu Informationen zu stören, zu verhindern oder zu verlangsamen, falls die Computersysteme und Computernetzwerke für Angriffe auf kritische Infrastrukturen verwendet werden (…).“ Si­mon Gan­ten­bein von der Digi­ta­len Ge­sell­schaft Schweiz erklärt: „Ein Trojaner nutzt Sicherheitslücken aus. Für bisher unbekannte Sicherheitslücken, sogenannte Zero-Day-Exploits, gibt es einen Schwarzmarkt. Durch den Kauf von Trojanern unterstützt der Staat diesen Schwarzmarkt und fördert damit das organisierte Verbrechen. Der Staat begibt sich auch in einen Interessenkonflikt: Wenn er die Schließung von Sicherheitslücken anstrebt, gefährdet er damit den Einsatz des teuer gekauften Staatstrojaners: Sicherheitslücken bleiben bestehen, statt dass diese so schnell wie möglich gemeldet und geschlossen werden. Trojaner werden von Firmen hergestellt (…). Dieselben Hersteller, die auch die Schweiz beliefern, verkaufen ihre Schadenssoftware auch an nicht demokratisch geführte Staaten.“ Das Gesetz trat am 1. September 2017 in Kraft.

• parlament.ch: Chronologie des schweizer Nachrichtendienstgesetzes
• Bundesgesetz über den Nachrichtendienst (Nachrichtendienstgesetz, NDG) vom 25. September 2015 (PDF)

Citizen Lab untersucht Staatstrojaner, dem Menschenrechtler Ahmed Mansoor nur knapp entgangen ist

10. August 2016: Ahmed Mansoor ist ein weltweit anerkannter Menschenrechtsaktivist aus den den Vereinigten Arabischen Emiraten. Anfang August 2016 erhält er eine SMS mit dem Versprechen, Informationen zur Folter politischer Gefangener zu erhalten, wenn er auf den angefügten Link klickt. Mansoor klickt nicht, sondern schickt die Nachricht zu Citizen Lab. Nach einer Untersuchung stellt sich heraus, dass sich dahinter ein Trojaner der NSO Group verbirgt, der drei Sicherheitslücken von iOS ausnutzt. Citizen Lab vermutet die VAE-Regierung hinter der versuchten Infizierung

• Bill Marczak, John Scott-Railton (citizenlab.ca): The Million Dollar Dissident

Reform des Bayerischen Verfassungsschutzgesetzes

Juli 2016: Gegen die Reform wird die Gesellschaft für Freiheitsrechte am 21. Juli 2017 Verfassungsbeschwerde einlegen.

Anfrage der Grünen: „Das Bundeskriminalamt und das gehackte Hacking Team”

17. August 2015: Das BKA hat sich bei der italienischen Firma Hacking Team über Software zur Überwachung informiert. In der Anfrage wird auf die Antworten 1 u. 2. verwiesen d.h. es sei keine Software gekauft worden.

• Anfrage der Grünen/B90: Das Bundeskriminalamt und das gehackte Hacking Team

WikiLeaks: Schweizer Polizei und Hacking Team – Zielbetriebssysteme

8. Juli 2015: „Today, 8 July 2015, WikiLeaks releases more than 1 million searchable emails from the Italian surveillance malware vendor Hacking Team, which first came under international scrutiny after WikiLeaks publication of the SpyFiles. These internal emails show the inner workings of the controversial global surveillance industry.“

• Dokument auf WikiLeaks: E-Mails von Hacking Team

NSA-Untersuchungsausschuss des Deutschen Bundestages

20. März 2014: Als Reaktion auf die Enthüllungen von Edward Snowden, setzt der Deutsche Bundestag einen Untersuchungsaussuss zum NSA-Skandal ein, in dessen Verlauf auch die Spähsoftware Regin behandelt wird. Nach Ende der Arbeit des Aussusses veröffentlicht Netzpolitik.org am 24.06.2017 eine ungeschwärzte Version des Abschlussberichts.

• bundestag.de: Seite des 1. Untersuchungsausschuss ("NSA")
• netzpolitik.org: Geheimdienst-Untersuchungsausschuss: Wir veröffentlichen den Abschlussbericht – ohne die Schwärzungen (Updates)

Bayerischer Landesdatenschutzbeauftragter prüft Staatstrojaner und stellt Unzulänglichkeiten fest

30. Juli 2012: Nachdem bereits der Bundesdatenschutzbeauftragte den Staatstrojanereinsatz durch Bundesbehörden geprüft hatte [siehe 31.1.2012], veröffentliche auch der Bayerische Landesbeauftragte für den Datenschutz Thomas Petri einen Prüfbericht zur Quellen-Telekommunikationsüberwachung durch bayerische Strafverfolgungsbehörden. Die Untersuchung bezieht sich auf 23 Staatstrojaner-Einsätze im Zeitraum 1.1.2008 bis 31.12.2011, wobei auch die Software des Unternehmens DigiTask zum Einsatz kam. Der Bericht dokumentiert eine Vielzahl von technischen und datenschutzrechtlichen Mängeln des Trojaners. So gab es beispielsweise eine mangelhafte Authentisierung, Sicherheitsupdates bei der Überwachungskonsole fehlten und eine technische Begrenzung der Überwachungsfunktion war nicht gegeben. Außerdem hält Petri die unzureichende Dokumentation der Eingriffsintensität für einen Datenschutzverstoß. Weiterhin hätten die Betroffenen nach Abschluss einer Überwachungsmaßnahme informiert werden müssen, was nicht geschehen sei.

• Der Bayerische Landesbeauftragte für den Datenschutz: Prüfbericht Quellen-TKÜ (PDF)

BigBrotherAwards an Gamma Group für FinFisher

13. April 2012: Aus der Laudatio von Frank Rosengart (CCC): „Unterlagen, die bei der Erstürmung der Zentrale der ägyptischen Staatssicherheit gefunden wurden, belegen, dass die dortige Geheimpolizei mit Hilfe eines Trojaners der Gamma Group auf die Jagd nach Oppositionellen gehen wollte. Der Behörde testete ausgiebig auf einem Laptop von Gamma und beurteilte das FinFisher-Softwarepaket sehr positiv.“

• Text des BigBrotherAwards 2012 in der Kategorie „Technik“
• Video der Verleihung ansehen (digitalcourage.video)

Münchner Flughafen: Computer eines Geschäftsmanns wird mit Staatstrojaner infiziert

Mitte 2009: Das bayerische Landeskriminalamt installiert heimlich am Münchner Flughafen „Franz Josef Strauß“ auf dem Laptop eines bayerischen Geschäftsmanns einen Staatstrojaner. Die Software übermittelte zweimal pro Minute ein Bildschirmfoto an die Ermittler. Ermittelt wurde gegen den Mann wegen „banden- und gewerbsmäßigen Handelns und Ausfuhr von Betäubungsmitteln“. Das Bundesverfassungsgericht hatte 2008 für solche Maßnahmen jedoch viel engere Grenzen gesetzt. Der Spiegel fasst 2011 zusammen: Der Mann „ist in einer Firma angestellt, die Psychopharmaka vertreibt. In Deutschland legal, im Ausland möglicherweise nicht – das ist strittig. Die Polizei nutzte die Spionage-Software jedenfalls nicht zur Gefahrenabwehr, sondern um eine mutmaßliche Straftat aufzuklären.“

• Steffen Winter (Spiegel Ausgabe 9/2011): Fahnder Massiver Eingriff

Bundesrat beschliesst BKA-Gesetz

19. Dezember 2008: Das Bundeskriminalamt darf Staatstrojaner zur Prävention von internationalem Terrorismus einsetzen. Nach geringfügigen Änderungen passierte das umstrittene Gesetz am 17. Dezember 2008 den Vermittlungsauschuss von Bundestag und Bundesrat. (Fassung des Gesetzes zur Abwehr von Gefahren des internationalen Terrorismus durch das Bundeskriminalamt vom 25. Dezember 2008 (Bundesgesetzblatt I Seite 3083))

• Kai Biermann (zeit.de): Kosmetische Korrekturen

Polizei und Verfassungsschutz dürfen in Bayern verdeckt Online-Durchsuchungen durchführen

1. August 2008:

• Stefan Krempl (heise.de, 03.07.2008): Bayerischer Landtag setzt den "Bayerntrojaner" frei