Schwäbische Zeitung (Tettnang)
„Das erinnert an Orwells Roman ,1984’“
Computer-Sicherheitsexperte Christoph Karg über die Schattenseite der Überwachung
RAVENSBURG - Mit lückenloser Überwachung und tiefen Eingriffen in die Privatsphäre der Menschen reagiert der Staat auf die Bedrohung durch Terroristen und Kriminelle – indem er sich heimlich den Zugang zu Smartphones und Computern von Verdächtigen verschafft. Im Gespräch mit Alexei Makartsev warnt jedoch Professor Christoph Karg von der Hochschule Aalen, dass die digitale Spionage der Behörden das Sicherheitsrisiko für alle Bürger erhöht.
Herr Karg, die Sicherheitsbehörden fordern größere Vollmachten und bessere Überwachungsinstrumente, um Anschläge verhindern zu können. Dabei dürfen die Ermittler doch ganz schön viel, oder?
Ja, sie haben heute nahezu paradiesische Möglichkeiten. Mit einem gekaperten Smartphone kann ich zum Beispiel nachvollziehen, was Sie den ganzen Tag machen. Ich kenne Ihre Position, kann Ihre Gespräche mithören und mitschneiden und habe Einblick in Ihre persönlichen Daten.
Im Juli wurde ein Gesetz verabschiedet, das den Strafermittlern die Online-Durchsuchung mithilfe einer Spionage-Software erlaubt. Wie können die Behörden jetzt diesen Staatstrojaner einsetzen?
Prinzipiell funktioniert er wie eine Malware, die wir auch von den Computer-Kriminellen kennen. Damit sie auf das Zielsystem kommt, also auf einen Windows-PC oder ein Smartphone, muss man den Besitzer dazu motivieren, dieses Programm zu installieren. Also schickt man ihm eine E-Mail mit einem Anhang, den er öffnen soll. Oder man lockt das Opfer auf eine Webseite, auf welcher der Staatstrojaner zum Download bereitsteht.
Wer sich mit Computern ein wenig auskennt, weiß, dass er auf keine Mails klicken soll, deren Absender er nicht kennt. Gibt es zuverlässigere Wege für die Behörden, um sich in die PCs einzuschleichen?
Ja, es ist zum Beispiel denkbar, dass die Hersteller von Betriebssystemen wie Windows in diese Hintertürchen einbauen, damit die Behörden später auf die Rechner direkt zugreifen können. Mir sind aber derartige Mechanismen nicht bekannt. Dagegen spricht, dass sich die Softwarefirmen dadurch nur selber schaden würden. Denn es besteht die Gefahr, dass jemand anders diese Hintertür findet und dann benutzt, um die Computer anzugreifen. Das wäre also ein enormes Sicherheitsrisiko für UnternehNutzer men, die gerne damit werben, dass ihre Software sicher ist.
Zurück zu den Staatstrojanern: Was können diese Programme?
Eines von ihnen, „FinSpy“(kommerzielles Überwachungspaket – d. Red.) kann nach der Installation den gesamten Computer übernehmen. Es kann alle Daten auslesen, auf die eingebaute Webcam zugreifen, Videos mitschneiden und die Mikrofone aktivieren. Es handelt sich also um ein mächtiges Werkzeug. Normalerweise kann man verschlüsselte Kommunikation nicht knacken. Hier versucht man, auf Daten zuzugreifen, bevor sie verschlüsselt werden.
Gilt das auch für verschlüsselte WhatsApp-Nachrichten?
Man kann die Daten nicht schützen, wenn sie gerade benutzt werden. Wenn ein Nutzer auf seinem Smartphone eine WhatsApp-Nachricht aufruft, wird sie entschlüsselt – und genau dann greift man von außen zu. Es nützt Ihnen also nichts, dass die Nachricht zuvor verschlüsselt übertragen und gespeichert wurde. Umgekehrt kann man auf Ihre Nachricht zugreifen, während Sie sie schreiben. Technisch ist da vieles möglich. Wir haben einmal zu Forschungszwecken einen Trojaner für das Betriebssystem Android gebaut, der SMS-Nachrichten abfangen und verschicken konnte, ohne dass der Benutzer etwas davon mitbekommen hat.
Wie aufwendig war es, solch eine Malware zu programmieren?
Ein Student hat es für seine BachelorArbeit in vier Monaten geschafft, einen Prototypen zu entwickeln. Die eigentliche Herausforderung ist es aber, diese Software mittels einer eigens dazu gebastelter App auf das Smartphone einzuschleusen. Der wird dann gefragt, ob man der App alle Berechtigungen gibt. Die meisten Leute sagen einfach: Ja. Schon bin ich drin, und die App verankert sich so, dass sie immer läuft, wenn das Handy gestartet wird.
Wäre es nicht sinnvoller, sich physischen Kontakt zum Smartphone zu verschaffen, um den Trojaner einzuschleusen?
Ja, bei Android-Handys oder Notebooks kann man eine solche Software einfach installieren, wenn das Gerät nicht mit einem Passwort gesichert ist. Bei iPhones ist es schwieriger. Es gibt noch eine weitere Hürde bei der Online-Durchsuchung: Wenn die Festplatte viel Speicherplatz bietet, etwa ein halbes Terabyte, dann würde es viele Stunden dauern, um all diese Daten zu durchsuchen oder über einen normalen DSL-Anschluss zu kopieren. Ich frage mich aber generell, wie viel solche Maßnahmen bringen. Wenn Kriminelle oder Terroristen den Verdacht haben, dass ihre Smartphones abgehört werden, dann greifen sie eben auf andere Wege der Kommunikation zurück.
Wer hat das Spionage-Programm „FinSpy“entwickelt – und wie teuer ist solch ein Trojaner?
Das ist eine Firma mit Sitz in München, die alle möglichen Überwachungstechnologien anbietet. Ihre Software kann man auch zum Beispiel einsetzen, um Arbeitsplätze zu überwachen. Laut einem Artikel der Wochenzeitung „Die Zeit“hat das Bundesinnenministerium mit dem „FinSpy“-Hersteller 2013 ein Vertrag von 147 000 Euro zur Nutzung eines Trojaners für die Quellen-Telekommunikationsüberwachung abgeschlossen. Da die Vertragsdetails geheim sind, ist über die erworbenen Leistungen wenig bekannt.
Wie weit ist die digitale Spionage in Deutschland entwickelt, verglichen etwa mit den USA?
Die anderen Nationen überwachen zurzeit mehr und systematischer als wir. Auch bei der Online-Durchsuchung sind sie schon weiter …
… auch weil den Sicherheitsbehörden hier gute Spezialisten fehlen, die sie nicht bezahlen können?
Ja. Das Einstiegsgehalt eines Informatik-Absolventen im Bereich IT-Sicherheit, ist in der Privatwirtschaft mit 45 000 bis 50 000 Euro deutlich über dem Tarif des Öffentlichen Dienstes. Die Ermittlungsbehörden suchen händeringend nach fähigen Fachleuten, aber diese sind auch in Unternehmen sehr begehrt.
Wenn der Staat sich immer mehr Möglichkeiten verschafft, Verdächtige elektronisch auszuspähen, leidet dann am Ende nicht unser aller Sicherheit darunter?
Das ist zu befürchten. Ich sehe es vor allem als kritisch, wenn die Behörden von Schwachstellen in den Betriebssystemen wissen und diese Kenntnisse für sich behalten, um sich Zugriff auf diesen Computer zu verschaffen. Denn diese Schwachstellen in den Geräten können nicht nur dazu genutzt werden, um Staatstrojaner zu installieren, sondern auch Erpressungs-Software oder andere Malware. Ein Aufgabe des Staates ist es, die Bürger vor solchen Gefahren zu beschützen.
Der Staat hat auch die Aufgabe der Terrorabwehr. Dazu muss er jedoch die modernen Kommunikationswege in begründeten Verdachtsfällen überwachen können.
Sicher, aber zu einer Demokratie gehört für mich auch die Privatsphäre der Bürger. Sie müssen die Gewissheit haben, dass Sie insbesondere in ihren eigenen vier Wänden nicht überwacht werden – es sei denn, Sie machen sich durch kriminelle Aktivitäten strafbar. Leider interessiert die zunehmende elektronische Überwachung im Land viele Menschen nicht, auch weil sie wenig greifbar ist. Stellen Sie sich vor, einmal am Tag kommt jemand bei Ihnen zu Hause vorbei, durchsucht Ihre Post und kopiert diese. Würde Sie das nicht stören? In einer digitalisierten Welt haben Sie als normaler Nutzer keine Möglichkeit, herauszufinden, was mit Ihren Daten im Internet passiert und ob und auf welche Weise Sie überwacht werden. Das erinnert an George Orwells Roman „1984“.