Der Spitzel in der Hosentasche: Was kann der Bundestrojaner?

Der Spitzel in der Hosentasche: Was kann der Bundestrojaner?
Grüne wollen jetzt doch eine Begutachtung des Entwurfs zur Überwachung von Messenger-Diensten zulassen. Doch was kann so ein „Bundestrojaner“ – und wo liegen die Risiken? Der KURIER klärt auf.

„Das hätten wir schon früher haben können“, so der lapidare Kommentar von Innenminister Gerhard Karner (ÖVP) nach dem Ja der Grünen, den Gesetzesentwurf zur Messenger-Überwachung in Begutachtung zu schicken. „Aber besser als gar nicht“, so Karner, der erneut betonte, dass die Polizei „moderne Instrumente“ brauche, um Terrorismus zu bekämpfen.

Dass Türkis-Grün das Gesetz noch beschließt, gilt als eher unwahrscheinlich: Die Begutachtungsfrist läuft (sofern die Grünen diese Woche noch die offizielle Freigabe erteilen) bis zur Woche der Nationalratswahl. 

Aber die SPÖ (die als neuer Koalitionspartner gehandelt wird) hat in Person des Wiener Bürgermeisters Michael Ludwig schon signalisiert, dass man offen sei: „Ich denke, wenn das von den Grundwerten und von der Verfassung möglich ist, sollte man das tun.“

Ein Bundestrojaner war bereits 2019 vom Verfassungsgerichtshof gekippt worden, weil der Eingriff in die Grundrechte zu umfassend gewesen wäre. Und auch zum neuen Anlauf gibt es schwere Bedenken: Eine solche Software ist ein mächtiges Instrument – in den falschen Händen hätte dieses fatale Auswirkungen. 

Der KURIER klärt die wichtigsten Fragen:

Was versteht man unter einem Trojaner? 

Als Trojaner wird Schadsoftware bezeichnet, die heimlich auf Computern, Laptops oder Smartphones installiert wird. Die Software kann unbemerkt Daten auslesen und an Dritte übermitteln. Kriminelle nutzen diese Software, aber auch Staaten können sie gesetzlich legitimieren.

Wie kommt der Trojaner auf das Smartphone?

Die Programme werden oft über sogenannte Phishing-Nachrichten verbreitet. Dabei erhält das Opfer eine SMS, die es dazu verleitet, auf einen Link zu klicken. Ist das passiert, wird das Programm im Hintergrund auf dem Gerät installiert. „Es gibt allerdings auch Varianten, wo der Nutzer nicht mithelfen muss“, sagt Wolfgang Rosenkranz vom Computer Emergency Response Team (CERT.at) zum KURIER. Auf Smartphones oder Computer können solche Trojaner über manipulierte Funknetz- bzw. WLAN-Netzwerke gelangen.

Was kann ein solches Programm?

Die Funktionen von solchen Programmen sind vielfältig. „Manche Programme machen lediglich Screenshots von Bildschirmen, andere können das Gerät quasi fernsteuern“, sagt Rosenkranz. Sogenannte Keylogger zeichnen etwa jede Eingabe auf, die auf einem Gerät getätigt wird, inklusive Passwörter. Trojaner werden auch dazu genutzt, um Gespräche aufzuzeichnen, Messenger-Apps abzuhören, den Standort zu ermitteln, Dokumente und Fotos unbemerkt an Dritte zu übertragen, auf den Browserverlauf zuzugreifen, gespeicherte Passwörter auszulesen und etwa die Kamera des Smartphones zu aktivieren. Manche Trojaner können sich sogar selbst zerstören, was den Nachweis eines solchen Programms erschwert.

Sind verschlüsselte Messenger sicher?

Nein. Die Verschlüsselungsmethoden von Whatsapp, Signal und Co. werden zwar nicht geknackt, Trojaner blicken einem beim Tippen aber sprichwörtlich über die Schulter. Die End-to-End-Verschlüsselung, die dort zum Einsatz kommt, wirkt zwar gegen Angriffe auf den Kommunikationskanal, am Endgerät müssen die Nachrichten aber zwangsläufig wieder entschlüsselt werden, um vom Nutzer gelesen werden zu können. Hier schlägt der Trojaner zu.

Woher kriegt man einen Staatstrojaner? 

Es gibt einige Unternehmen, die solche Programme anbieten. Das bekannteste ist das israelische Unternehmen NSO Group mit seiner Software „Pegasus“, die zum Ausspähen von iOS- und Android-Geräten verwendet wird und als einer der umfangreichsten Trojaner auf dem Markt gilt. Staaten können ihre Bundestrojaner aber auch selbst entwickeln. Das Programm „RCIS-Mobile“ vom deutschen Bundeskriminalamt ist etwa darauf ausgelegt, bei Messenger-Apps am Smartphone mitzulesen.

Wie kann man sich vor Trojanern schützen? 

Trojaner nutzen bestehende Sicherheitslücken in Betriebssystemen und Apps, um sich auf Geräten einzunisten. „Es gibt Firmen, die gezielt Schwachstellen von Sicherheitsforschern einkaufen“, sagt Rosenkranz. „Gleichzeitig gibt es auch Personen, die aktiv nach solchen Lücken suchen und diese verkaufen.“ Je nach Schwere einer solchen Schwachstelle werden Hunderttausende oder sogar Millionen Euro dafür geboten.

Hersteller können bestehende Schlupflöcher zwar durch Updates stopfen, die Gegenseite findet aber genauso schnell wieder neue Schwachstellen. Relativ sicher sind hingegen kaum bekannte Betriebssysteme abseits von Android und iOS – Angreifer konzentrieren sich nämlich eher auf weitverbreitete Systeme.

Kommentare