Keine WhatsApp-Überwachung ohne Trojaner

Eine Überwachung von Messengerdiensten wie WhatsApp ist ohne Bundestrojaner nicht möglich. Das sagt der IT-Sicherheitsexperte Sebastian Schrittwieser, Leiter des Josef-Ressel-Zentrums an der Fachhochschule St. Pölten. Denn bei einer Ende-zu-Ende-Verschlüsselung werde die Nachricht noch in der App verschlüsselt, entsprechend tief müsste die Spionagesoftware in das System integriert sein.

Verteidigungsminister Hans Peter Doskozil (SPÖ) steht grundsätzlich hinter der im Sicherheitspaket geplanten Messenger-Überwachung, zeigt sich aber skeptisch was den Einsatz staatlicher Spionagesoftware betrifft. "Hier muss man sich technisch noch was überlegen", sagte Doskozil. "Also wir sollten keinesfalls eine Vorleistung dafür erbringen, dass möglicherweise Spionage leichter möglich sein wird." Doskozil verwies auf die Experten, die daran arbeiten.

Ohne Spionagesoftware nicht möglich

Datenschützer sagen, die Überwachung von Internetkommunikation sei ohne entsprechende Software am Gerät des Nutzers nicht möglich, auch mit Verweis auf Deutschland, wo kürzlich zur Verbrechensbekämpfung unter anderem die sogenannte Quellen-Telekommunikationsüberwachung beschlossen wurde. Deutsche Sicherheitsbehörden können künftig mit einer Überwachungssoftware die laufende Kommunikation eines Verdächtigen auf einem Gerät mitlesen und aufzeichnen, bevor sie verschlüsselt wird.

Android (Google) und iOS (Apple), die am weitesten verbreiteten Betriebssysteme für Smartphone, seien grundsätzlich so gebaut, dass eine App nicht die Informationen einer anderen App auslesen kann, erklärte Schrittwieser. Die Überwachungssoftware muss also vor der Verschlüsselung beim Sender oder nach der Entschlüsselung beim Empfänger ansetzen, etwa indem sie alle fünf Sekunden ein Foto vom Bildschirm (Screenshot) macht und speichert, welche Tasten gedrückt oder Buchstaben eingegeben (Keylogger) werden.

Alternativen zum Trojaner-Einsatz gibt es laut Schrittwieser nicht, will man Messengerdienste überwachen. Beispielsweise bei WhatsApp anzurufen und zu fordern, bestimmte Dialoge lesen zu wollen, bringe nichts, denn bei end-to-end-verschlüsselten Messengerdiensten könne nicht einmal der Betreiber selbst den Inhalt mitlesen, so Schrittwieser. Eine Kooperation mit den Anbietern von Messengerdiensten sei also sinnlos. Der Einsatz einer solchen Software sei jedenfalls kein triviales Unterfangen, diese Art von Software werde sonst nur von Hackern und Kriminellen eingesetzt und sei oft auch eine Maßanfertigung für den jeweiligen Fall.

In der österreichischen Regelung ist geplant, dass bei hinreichendem Verdacht und richterlicher Genehmigung die Kommunikation zwischen Endgerät und Internet überwacht werden darf. Schrittwieser ist skeptisch, dass das Auslesen des Datenverkehrs (Traffic) ausreicht, da dieser schon verschlüsselt sein kann. Der Trojaner müsste zumindest auf den Arbeitsspeicher Zugriff haben. Generell sei schwer zu steuern, was eine solche Software alles kann und auch schwer zu kontrollieren, so sei auch ein Auslesen des Gerätespeichers nicht auszuschließen.

Android-Smartphones seien grundsätzlich leichter zu knacken als Apple-Geräte, da bei iOS die Sicherheitsbestimmungen strenger sind. Aber Fakt ist: Auch bei Apple existieren Sicherheitslücken, die am Schwarzmarkt angeboten werden, sie seien nur teurer als bei Android und würden von Apple nach Bekanntwerden auch deutlich schneller geschlossen als bei Android, so Schrittwieser. Eine Sicherheitslücke bei iOS sei aktuell mehr als eine Million US-Dollar wert, sie verliert aber ihren gesamten Wert, wenn sie durch eine Software-Aktualisierung (Update) geschlossen wird. Bei Android hingegen erhalten Smartphones nach einiger Zeit oft gar keine Updates mehr, die Sicherheitslücken bleiben dann also offen.

Auch trotz Bundestrojaner werde das Katz-und-Maus-Spiel weitergehen, es werde nur deutlich schwieriger und aufwendiger, unbeobachtet zu kommunizieren, etwa mittels digitaler Steganographie. Eine andere Möglichkeit wäre es, auf ältere Telefone zurückzugreifen, für die die Trojanersoftware nicht kompatibel ist, allerdings funktioniere WhatsApp und Co. auf veralteten Betriebssystemen oft auch nicht.