Zum Einsatz von Staatstrojanern

Emailadresse: 
SPAMSCHUTZea-dresden@[spamschutz]so36.netBITTEENTFERNEN
Regionen: 

Da uns in dieser Richtung immer mal wieder Fragen entgegen kamen, haben wir versucht, alles was wir zum Thema Staatstrojaner wissen zusammen zu fassen. Dabei beziehen wir uns auch nur auf öffentliche Quellen und wissen weniger, als wir gern wöllten. Über Ergänzungen und Ideen, wie wir uns gegen staatliche Hackerangriffe schützen können, freuen wir uns sehr.

Mittlerweile haben in Deutschland alle Geheimdienste (BND, MAD, Verfassungsschutz), die Länderpolizeien und auch das Bundeskriminalamt die Befugnis, Staatstrojaner im Sinne einer sogenannten Quellen-Telekommunikationsüberwachung oder der Onlinedurchsuchung einzusetzen. Damit wurde die herkömmliche Telekommunikationsüberwachung, also das Abfassen von Kommunikationsdaten und Inhalten bei Handys erweitert. In der Logik der Sicherheitsbehörden ein notwendiger Schritt, angesichts der fortschreitenden technischen Möglichkeiten vor allem der Smartphones. Rechtliche Grundlage ist § 100a und § 100b der Strafprozessordnung (https://www.gesetze-im-internet.de/stpo/__100a.html ; https://www.gesetze-im-internet.de/stpo/__100b.html)                                   Dabei gibt es unterschiedliche Eingriffsstufen bei der Quellen-TKÜ. Bei der einfachen QTKÜ dürfen Geheimdienste nur live Kommunikation auslesen. Ein Beispiel wäre das Abhören eines Telefons oder das Lesen von SMS. Die QTKÜ+ soll das Auslesen von Kommunikation live aber auch rückwirkend ab dem Moment des Eingriffs ermöglichen. Von diesen beiden Methoden unterscheidet sich dann noch die Onlinedurchsuchung. Dabei wird gleich der gesamte Speicher des betroffenen Gerätes abgegriffen. Bei der Quellen-TKÜ+ hingegen soll nur ein bestimmtes Programm oder mehrere die der Kommunikation dienen betroffen sein, nicht aber bspw. auf dem Gerät gespeicherte Daten.                                    Dabei ist diese Trennung einerseits extrem unscharf: gilt etwa der Moment des Eingreifens, als der Moment ab dem mitgehört werden darf? Oder gilt der Moment in dem Beamt*innen einen Antrag aufsetzen? Die Überwachung solcher operativen Maßnahmen ist gleich ganz unmöglich. Ob nach einmal erfolgtem Zugriff nicht auf andere Programme geschaut wird, um nachträglich weitere Beschlüsse für diese zu erwirken kann niemand nachvollziehen. Schon 2011 wurde beim Bayrischen Staatstrojaner außerdem eine Funktion zum Nachladen von Dateien und zur De-/Aktivierung von Gerätefunktionen nachgewiesen, obwohl das illegal war.  Auch bei der Installation des Trojaners auf dem Endgerät der Betroffenen ist der Willkür Tür- und Tor geöffnet. Verschiedene Softwarevarianten mussten als nicht rechtssicher verworfen werden. Nun hat das Zentrum für Informationstechnik im Sicherheitsbereich (ZITIS) die Aufgabe einen Trojaner zu entwickeln. Nach wie vor besteht aber auch die Möglichkeit, dass die Behörden eigenständig Software ankaufen.                                   Es gibt einige Varianten, den Staatstrojaner auf ein Gerät zu spielen, die alle in etwa den Methoden gleichen, die auch andere Parteien im Internet haben.  1. durch Überredung in Emails oder Nachrichten bestimmte Software zu installieren: etwa als DHL getarnt zur Sendungsverfolgung 2. SMS, Nachrichten, Emails mit präparierten Anhängen (vor allem PDF und Office) 3. Ausnutzen von Sicherheitslücken in Programmen oder Systemen Außerdem können Behörden natürlich durch Beschlagnahmungen an Geräte gelangen und diese dann in aller Ruhe infiltrieren. Voraussetzung dafür ist zumindest bisher, dass Geräte eingeschaltet und entsperrt sind. Sollte das nicht der Fall sein, machen sich auch Behörden an die Entschlüsselung. Dafür arbeiten sie häufig mit privaten Anbietern von Entschlüsselungssoftware zusammen. Außerdem kann natürlich auch beschlagnahmtes Material: Aufzeichnungen, Blöcke, Zettel, etc. das bei Hausdurchsuchungen gefunden wurde nach niedergeschriebenen Passwörtern durchsucht werden.                                   Sehr umstritten ist die Variante 3, bei der Sicherheitslücken genutzt werden, um Geräte zu infiltrieren. Wenn sich Behörden nicht auf die mühselige Suche nach diesen begeben möchten, dann bleibt ihnen eigentlich nur der Gang zum Schwarzmarkt, auf dem solche Sicherheitslücken gehandelt werden. Allein die Beschaffung wäre also ein Geschäft mit »Kriminellen«.                                    Außerdem entsteht für den*die Besitzer*in einer Sicherheitslücke das Interesse, dass diese unentdeckt bleibt. Dass aber steht in krassem Wiederspruch zur staatlichen Aufgabe, die Sicherheit seiner Untertanen zu gewährleisten. Und selbst wenn die Sicherheit von Privatpersonen dem Staat des Kapitals in der Regel schnurz ist, dann sind doch auch Unternehmen auf IT-Sicherheit angewiesen. Der Wannacry-Hack 2017 zum Beispiel, war nur möglich, da die NSA diese Sicherheitslücke wissentlich offen gehalten hatte. Die Gesellschaft für Freiheitsrechte bemüht sich, einzelne Gesetzesregelungen zu Staatstrojanern vor Gericht anzugreifen. https://freiheitsrechte.org/staatstrojaner-faelle/                                   Eine letzte unklare Variable bleiben die Internetanbieter*innen. Diese sind per Gesetz verpflichtet, den Behörden bei der Aufspielung des Trojaners zu unterstützen. Wie genau das Aussehen wird und ob die Anbieter*innen bei diesem Spiel mitmachen, ist unklar.                                    Zur Häufigkeit von Staatstrojanereinsätzen lässt sich bisher nur wenig sagen. Im Jahr 2019 wurde erstmals eine Statistik veröffentlicht. So wurden im Jahr 2019 insgesamt 380 mal Staatstrojaner eingesetzt: 368 mal als Quellen-TKÜ+ und 12 mal als Onlinedurchsuchung. Angeordnet wurde die Maßnahme 578 mal, doch scheiterte die Maßnahme in 32 Prozent der Fälle. https://posteo.de/news/erste-statistik-zum-einsatz-von-staatstrojanern-ver%C3%B6ffentlicht Gegenstrategien
Zunächst lässt sich festhalten, dass die Möglichkeiten sich vor dem Trojaner zu schützen recht einfach wirken, wenn man sich halbwegs mit dem eigenen Gerät auskennt. Das wichtigste ist, dass Updates und Neuinstallation immer nur aus vertrauenswürdigen Quellen gemacht werden. Wer also ein ganz neues Programm gefunden hat, möge zunächst einmal recherchieren, wo und wann das Programm veröffentlicht wurde und was die User*innen so dazu sagen. Xbeliebige Dateien und Programme sollten nicht einfach herunter geladen werden. Bei Emails und Nachrichten ist das besonders zu beachten. Den*die Absender*in einer Email zu fälschen und eine schädliche Datei anzuhängen ist extrem einfach. PDF-Dateien sollten zum Beispiel nach Möglichkeit immer im Browser geöffnet werden. Anders als bspw. der Acrobat Reader lädt diese Funktion keinen Code, der zur Installation von Programmen genutzt wird. https://www.golem.de/news/ueberwachung-was-hilft-gegen-den-staatstrojaner-2107-157862.html                                   Welche Relevanz das Verhalten in sozialen Netzwerken bei der Infiltrierung von Geräten spielen kann, zeigt eine Geschichte eines Angriffs auf Angestellte in der Ölindustrie: https://www.golem.de/news/social-engineering-die-unterschaetzte-gefahr-1908-142812.html Eine Schwachstelle können auch die Browser selber sein. Unverschlüsselte HTTP-Seiten können eine Angriffsmöglichkeit sein. Dagegen hilft das Browser-Addon HTTPS-everywhere. Außerdem sperrt die Nutzung von VPN-Programmen und dem Tor-Browser Provider und Verfolgungsbehörden effektiv aus. Bei der Wahl des VPN-Betreibers ist allerdings auch Vorsicht angesagt, da diese natürlich alle verschlüsselten Daten bei sich speichern könnten. Wir empfehlen den Riseup-VPN.  Bei Smartphones sollte darauf geachtet werden, dass diese immer noch mit Sicherheitsupdates versorgt werden. Ist das nicht der Fall, muss das alte Gerät leider weg. Wer ein Android-fähiges Telefon nutzt, bekommt mit GrapheneOS eine auf Sicherheit ausgelegte Instanz kostenlos zur Verfügung gestellt.  Zuletzt können Daten im Ernstfall einer Infizierung noch sicher aufbewahrt sein, indem man bestimmte verschlüsselte Container nutzt. Sind die Daten im Moment einer Onlinedurchsuchung verschlüsselt, kann der*die Angreifer*in lediglich den verschlüsselten Container abgreifen. Dafür gibt es zahlreiche Verschlüsselungstools.

Lizenz des Artikels und aller eingebetteten Medien: 
Creative Commons by-sa: Weitergabe unter gleichen Bedingungen

Ergänzungen

Bitte baut in euren größeren Endgeräten die Festplatte aus. Booted über einen Datenträger wie USB Stick oder besser CD-Rom Tails. Kauft euch dafür eine externes CD fähiges Gerät. Dies mittels USB an der EDV anschließen.

Weil viele in der Szene von Autonome, Antifa iPhones am Körper tragen, verwendet den Onion Browser.

Zum Absatz: "Eine letzte unklare Variable bleiben die Internetanbieter*innen. Diese sind per Gesetz verpflichtet, den Behörden bei der Aufspielung des Trojaners zu unterstützen. Wie genau das Aussehen wird und ob die Anbieter*innen bei diesem Spiel mitmachen, ist unklar. "

Hier ist nur unklar, wie das in Deutschland umgesetzt wird, in anderen Ländern sind diese zwei Varianten bekannt geworden:

- Die Internetanbieter stellen einen Schnittstelle bereit, um Behörden zu erlauben, bei unverschlüsselten Downloads von Software im vorhinhein präparierte Software auszuspielen. D.h. ich suche nach beispielsweise dem Programm CCleaner für Windows, lade es von einer Seite runter die zwar vielleicht https in der Browserzeile stehen hat, die Dateiübertragung der .EXE datei beim Download aber über http passiert. Der Geheimdienst/Polizeiserver im Rechenzentrum meines Internetanbieters liefert mir sobald die Anfrage unverschlüsselt (weil http) durchgeleitet wird als Antwort die manipulierte Version des CCleaner Programms. Das Programm funktioniert trotzdem aber ich habe zusätzlich den Trojaner installiert, scheinbar von der Originalwebsite, aber mein Internetanbieter hat mir eben nicht die Originaldatei übertragen. Hiergegen hilft das Checken der Checksumme der Datei (Mit SHA256, GNUPG/PGP signatur etc).

- Aufgeflogene Möglichkeit 2, bei Mobiltelefonen insbesondere Android:
Ab dem Stichtag der Maßnahme Stichtag leitet mein Telefonanbieter, bsplw Vodafone, alle meine Aufrufe im Handy-Internetbrowser auf eine Website im Vodafone-Layout um, also egal was ich in die Adresszeile eingebe/welchen Link ich öffne. Dort erscheint eine Meldung (mit Schritt-für-schritt-Anleitung), dass um Mobiles Internet weiter nutzen zu können, die (APN-)Daten aktualisiert werden müssten und man dafür die Anleitung befolgen müsse. Die allermeisten Zielpersonen dieser Variante werden der Anleitung folgen und den Trojaner Installieren, immerhin wissen sie das Sie ja Vodafone Kunde sind und das Mobile Internet scheint nicht zu funktionieren, ohne die Anleitung zu befolgen. Die Anleitung verlangt in den Android Einstellungen Fremdquellen zu erlauben und eine APN datei herunterzuladen und zu installieren. In diesem Schritt deaktiviert man selber erst den Schutzmechanismus dass nur Apps aus dem Google-Store ausgeführt werden können und installiert dann den Virus selber. Bei iOS/Apple Geräten ist es generell nicht möglich, Apps aus dem Internet zu Installieren abseits von dem Monopolmarktpaltz Appstore, hier wird man maximal in den Appstore zu einer Manipulierten App verwiesen, welche aber auf Anhieb ohne ausnutzung von nicht-öffentlichn Sicherheitslücken nicht ganz so viel Schaden auf dem Gerät anrichten können wird.

Forschung zu den wegen die hierfür verwendet werden findet sich in englisch auf https://citizenlab.ca/

Wie albern ist bitte das:

Bei Smartphones sollte darauf geachtet werden, dass diese immer noch mit Sicherheitsupdates versorgt werden. Ist das nicht der Fall, muss das alte Gerät leider weg. Wer ein Android-fähiges Telefon nutzt, bekommt mit GrapheneOS eine auf Sicherheit ausgelegte Instanz kostenlos zur Verfügung gestellt.  Zuletzt können Daten im Ernstfall einer Infizierung noch sicher aufbewahrt sein, indem man bestimmte verschlüsselte Container nutzt. Sind die Daten im Moment einer Onlinedurchsuchung verschlüsselt, kann der*die Angreifer*in lediglich den verschlüsselten Container abgreifen. Dafür gibt es zahlreiche Verschlüsselungstools.

Ist es wirklich so schwer einfach mal hinzunehmen, dass bei Smartphones wirklich sämtliche Voraussetzungen eines informationstechnisch "sicheren" Systems nicht erfüllt sind? Warum wird immer wieder so getan als könnte man irgendwie Smartphones benutzen und glauben, dass man damit sicher wäre? Wo doch wirklich von USB-Schnittstelle über Bluetooth, WLAN und GSM bis hin zum direkten Zugriff durch die diversen "Dienste" der so gut wie unverzichtbaren Tech-Giganten Google, Apple, Samsung, Huawai und Co. einfach jede Schnittstelle so gut wie unlösbare Probleme aufwirft? In diesem Kontext zu empfehlen, einfach immer schön die Sicherheitsupdates zu installieren oder GrapheneOS zu installieren, was die Dinge auch nur marginal besser macht, kommt der Empfehlung gleich, eine Wanze lieber immer nur im Fahrradayschen Käfig verstaut mit sich zu führen und sie nur ab und zu rauszuholen, damit sie dann ihre Daten gesammelt übertragen kann. Das soll freilich nicht den Computer uneingeschränkt aufwerten und empfehlen, mehr auf Kommunikation mittels PC zu setzen. Viele Probleme ergeben sich auch hier. Aber irgendeinen anderen Vorschlag bezüglich Smartphones zu unterbreiten, als diese von der nächsten Brücke zu werfen, das kann ich wirklich gar nicht verstehen!

 

Danke für den Beitrag. Ein paar Anmerkungen und Ergänzungen:

Ihr beschreibt die Situation nach den deutschen Gesetzen, und den bekannten Fakten in Deutschland. Für AktivistInnen dürfte darüber hinaus auch interessant
sein was technisch möglich ist.

Erklärung: die meisten deutschen Behörden (inklusive der Geheimdienste) sind von ihren technischen Möglichkeiten her äusserst eingeschränkt. Dies
lässt sich z.B. an ihren eher Mitleid erregenden Rekrutierungsversuchen ablesen (Anzeigenkampagnen: http://www.bka.de/nn_194250/DE/Berufsperspektive/Stellenangebote/11-2012..., oder auch Anquatschversuche in
Hackerkreisen), wie auch an solchen Debakeln (https://www.faz.net/aktuell/technik-motor/chaos-computer-club-der-deutsc...,
https://christopherlauer.de/2011/10/11/zum-bundestrojaner-ein-rant/).
Wer jetzt aber darüber frohlockt, freut sich eindeutig zu früh. Denn im Zweifelsfall (dass heisst wenn das Ziel ihnen wichtig genug ist), können sie
sich zwecks effektiver Ausführung der Überwachung auch an ausländische Behörden wenden die die entsprechenden Kenntnisse besitzen (wie zum Beispiel der Fall in den Niederlanden und Dänemark), und sie können kommerzielle Anbieter von Überwachungssoftware nutzen, Stichwort Pegasus (https://de.wikipedia.org/wiki/Pegasus_(Spyware)#Deutschland).
Über "internationale Zusammenarbeit" können auch die verbleibenden Grundrechtsfragmente im deutschen Recht noch besser ignoriert werden (da der Rechtsbruch ja nicht von deutschen Behörden selber ausgeführt wird). Wer also die Befürchtung hat nicht nur in der normalen "Schleppnetzfahndung" zu sein, die heutzutage alle Menschen betrifft die elektronische Medien nutzen, sondern darüberhinaus ein gezieltes Interesse an seiner/ihrer Person vermutet, sollte sich auch die grundsätzlichen Möglichkeiten zur Überwachung vergegenwärtigen, da sie von manchen Akteuren mit einiger Wahrscheinlichkeit voll ausgenutzt werden.

Grundsätzliche Erwägungen bei der Nutzung von Mobilgeräten:

Alle Geräte die eine Telefonfunktion haben, besitzen zwangsläufig einen Chip bzw. Chipsatz der die Aufgabe hat die entsprechenden Verbindungen zum Mobilfunknetz herzustellen.
Alle diese Chips/Chipsätze sind proprietäre Hardware mit unbekanntem Funktionsumfang, die unabhängig von dem darüberliegenden Betriebssystem läuft und von diesem zwar angesprochen, aber nicht kontrolliert werden kann. Es kann also egal welches System auf dem Mobilgerät läuft nie wirklich sichergestellt werden was für Funktionen unabhängig davon auf dem GSMChip ausgeführt werden. Die Hersteller der Hardware haben hier potentiell also einen unkontrollierten Zugriff auf das jeweilige Gerät.

Grundsätzliche Erwägungen bei der Nutzung von Windows/Apple/Googlesystemen:

Das Arbeiten mit aktuellen Systemen der genannten Hersteller ist gleichbedeutend mit potentieller Totalüberwachung, siehe die Diskussion um das automatisierte Scannen von Bilddateien nach Missbrauchsfotos (https://www.golem.de/news/ueberwachung-apple-will-icloud-bilder-nach-mis..., https://www.heise.de/hintergrund/So-fanden-Content-Scanner-nach-Missbrau...). Der Punkt hier ist nicht der Ausgang dieser konkreten Debatte, sondern das es jederzeit technisch möglich wäre, dieses zu tun. Und wenn wir Bilder scannen können, dann auch Textdateien, Nachrichten, Emails etc.
Die Empfehlungen von bestimmten Systemeinstellungen oder Softwarepaketen um die Sicherheit zu erhöhen gleichen dabei eher dem Versuch ein Sieb mit Isolierband abzudichten:diese Systeme wurden von Anfang an dafür konzipiert unsere Daten rauszutragen (da sie kommerziell verwertbar sind).

Grundsätzliche Erwägungen bei der Nutzung von Intel/AMD Cpus:

Beide Hersteller haben zusammen einen Marktanteil von > 90% bei PCs und Laptops. Ebenfalls beide Hersteller haben seit Jahren sogenannte Managementengines in ihre Hardware integriert (https://en.wikipedia.org/wiki/Intel_Management_Engine, https://de.wikipedia.org/wiki/AMD_Security_Processor). Dabei handelt es sich (ähnlich wie bei den Mobilgeräten) um ein Subsystem, das unabhängig und unkontrolliert vom eigentlichen Betriebssystem läuft. Auch in diesem Fall besteht die Möglichkeit das die Hardwarehersteller sich hier unbemerkt einklinken und beliebige Daten absaugen können. Auch Programmierfehler dieser Systeme können ausgenutzt werden (wie bei Betriebssystem auch).

Die Möglichkeiten an interessante Daten zu kommen können also ziemlich vielfätig sein, auch wenn natürlich die Möglichkeiten nicht in jedem Fall ausgeschöpft werden.

Es empfiehlt sich in jedem Fall die Risiken die eine Technolgie mit sich bringt klar gegen den Nutzen abzuwägen: Manchmal kann es besser sein einfach nicht zu telefonieren, sondern sich an einem Tisch zu unterhalten (mit den Telefonen ausser Hörweite natürlich). Oder nichts aufzuschreiben, sondern sich Dinge einfach zu merken.

>Verschwörungssachen

Wohl eher nicht, Siehe zB.:

https://www.usenix.org/system/files/conference/woot12/woot12-final24.pdf

und

https://www.researchgate.net/publication/283723257_Investigating_Vulnera...

Vielleicht ist Graphen ja ganz toll im Vergleich zu anderen OS für Telefone, grundsätzlich bleiben aber trotzdem potentielle Lücken da das OS eben nicht alles kontrolliert, wie eben bei neueren PCs auch.

Wieso dürfen hier in den Kommentaren Links zu 7 bzw. 10 Jahre alten Papern voller veralteter Information stehen bleiben, während andere Anmerkungen gelöscht werden? Das ist doch absolut peinlich. Informiert euch doch bitte mal über aktuelle Entwicklungen (z.B.: https://grapheneos.org/features) oder wollt ihr auf ewig uralte Laptops mit unsicherem Ubuntu 18.04 LTS verwenden? Den Cops gefällt das.

>uralte Laptops

Ja gerne. Halte es für eine Unsitte ständig neue Geräte anzuschaffen.

> mit unsicherem Ubuntu 18.04 LTS verwenden?

Das nun nicht. Zum Glück gibt es ja Whonix, Tails und Qubes.

sind die besser informiert und auf dem aktuellen stand ?

 

https://skillsforutopia.org/digitaleautonomie/

GrapheneOS Fans bitte mal hier reinschauen: https://grapheneos.org/faq#device-support, Also durch die Bank weg nur Google Geräte. Obs das ist ein freies und sicheres System auf der Hardware eines der übelsten Kraken weizt und breit?

@alf: wieso gehst du davon aus, dass "Fans" das noch nicht wissen? Es gibt genügend technische Gründe für diese Entscheidung. Denkst du wirklich, dass Leute mit einem veralteten Samsung oder Huawei besser aufgehoben sind? Hier gibt es etwas Hintergrundinformation dazu:

https://grapheneos.org/faq#future-devices

bzw. allgemeiner:

https://madaidans-insecurities.github.io/android.html
https://madaidans-insecurities.github.io/security-privacy-advice.html

(dies wohlgemerkt unter der realistischen Annahme, dass die meisten Leute sowieso Mobiltelefone & Computer benutzen. Plädiere für eine Entkopplung von Mobiltelefon & SIM-Karte, das würde einen Großteil der verbliebenen Probleme auch noch mit lösen. Und zukünftig wird die Supportdauer von Mobiltelefonen ansteigen, d.h. wir kommen endlich mal von diesen unsäglichen 2-3-Jahreszyklen in der Android-Welt weg. Das macht gebraucht kaufen sehr viel attraktiver. Wir müssen schon mit der Zeit gehen, alles andere freut nur die Cops...)