BSI: Wer Pegasus kritisiert, muss auch Staatstrojaner kritisieren

Das BSI warnt die Bevölkerung vor Pegasus, während Polizei und Geheimdienste vergleichbare Software nutzen. Ein Widerspruch, den das BSI nicht auflösen will.

Ein IMHO von veröffentlicht am
Ein Trojanisches Pferd
Ein Trojanisches Pferd (Bild: Ovi C/Pixabay)

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt vor dem Trojaner Pegasus, der weltweit von Staaten eingesetzt wird: "Das Bedrohungspotenzial ist als hoch zu bewerten."

Stellenmarkt
  1. Automation Engineer (m/w/d)
    Packsize GmbH, deutschlandweit (Home-Office)
  2. Teamleiter MS Dynamics - Facility Management m/w/d
    Schwarz IT KG, Raum Neckarsulm
Detailsuche

Doch auch deutsche Behörden haben sich den Staatstrojaner vom Hersteller NSO vorführen lassen und entwickeln selbst ähnliche Programme. Entsprechend muss die Warnung auch für alle anderen Staatstrojaner gelten. Wir haben beim BSI nachgefragt.

Nach ziemlich genau einer Woche und weiterem Nachhaken antwortete uns eine Sprecherin des BSI: "Als Cyber-Sicherheitsbehörde des Bundes wirkt das BSI darauf hin, sämtliche Sicherheitslücken umgehend und im vertrauensvollen Austausch mit den Herstellern zu schließen."

Das sind starke Worte. Denn nicht selten setzen Staatstrojaner auf bis dato dem Hersteller und der Öffentlichkeit unbekannte Sicherheitslücken, um Geräte wie Smartphones oder Computer zu infiltrieren und eine weitgehende Kontrolle über das Gerät zu erlangen.

Staatstrojaner sorgen für Unsicherheit

Golem Karrierewelt
  1. IT-Sicherheit für Webentwickler: virtueller Zwei-Tage-Workshop
    07./08.02.2023, Virtuell
  2. Blender Grundkurs: virtueller Drei-Tage-Workshop
    12.-14.12.2022, Virtuell
Weitere IT-Trainings

Werden Zero Days ausgenutzt und gehortet statt geschlossen, sind sie eine Gefahr für die IT-Sicherheit aller Menschen und Systeme auf der Welt - das hat nicht zuletzt Wannacry gezeigt, eine Schadsoftware, die auf einer vom US-Geheimdienst NSA gehorteten Sicherheitslücke basiert. Entsprechend richtig und wichtig ist die Aussage des BSI.

Leider hat die Politik im IT-Sicherheitsgesetz 2.0 solche Überlegungen nicht verankert - obwohl eine Meldepflicht für Sicherheitslücken von mehreren Sachverständigen im Bundestag gefordert wurde.

Das Bundesverfassungsgericht sieht zwar einen "Zielkonflikt" zwischen Computerschutz und der Offenhaltung solcher Lücken für die Kommunikationsüberwachung. Es fordert jedoch nur einen gesetzlichen Rahmen und eine Abwägung durch die Behörden im Einzelfall. Damit wird letztlich eine der invasivsten und gefährlichsten Überwachungsmaßnahmen erlaubt, die der Staat im Repertoire hat.

Das ist nicht nur eine Gefahr für die IT-Sicherheit weltweit, sondern auch eine Gefahr für die Demokratie. Man darf schon jetzt gespannt sein, mit welchen wilden Theorien der Bundesnachrichtendienst (BND) und die Verfassungsschutzämter die Verwendung der Trojaner ausweiten. Eine Weltraumtheorie 2.0 dürfte schnell erfunden sein.

NSO präsentierte etlichen deutschen Behörden den Trojaner

Bereits 2017 hat sich das Bundeskriminalamt (BKA) den Staatstrojaner Pegasus präsentieren lassen. Laut einem Artikel der Zeit waren die IT-Experten des BKA von der Software begeistert. Diese kann beispielsweise Chats von Messengern wie Whatsapp extrahieren, Fotos auslesen oder heimlich das Mikrofon aktivieren und so das Smartphone zu einer Wanze umfunktionieren.

Doch die Software konnte einfach zu viel, um den rechtlichen Anforderungen an eine Quellen-Telekommunikationsüberwachung, kurz Quellen-TKÜ, zu entsprechen, bei der nur die aktuelle Telekommunikation überwacht werden soll. Auch für eine Onlinedurchsuchung, also das Auslesen von Dateien und Informationen auf dem Gerät, dürften die Möglichkeiten zu umfangreich sein.

Hacking & Security: Das umfassende Handbuch. 2. aktualisierte Auflage des IT-Standardwerks (Deutsch) Gebundene Ausgabe

Zwar hatte die NSO ein immenses Verkaufsinteresse und bot die Software sogar zu einem vergünstigten Preis an, doch die "deutschen Sonderwünsche" führten nur zu Kopfschütteln. Kein Pegasus für das BKA.

Auch die Zentrale Stelle für Informationstechnik im Sicherheitsbereich (Zitis), die einen Staatstrojaner entwickeln soll, ließ sich Pegasus präsentieren. Der Bundesnachrichtendienst (BND) und das Bundesamt für Verfassungsschutz zeigten ebenfalls Interesse. In Bayern war sogar der Innenminister anwesend, als das Landeskriminalamt (LKA) sich die Software präsentieren ließ. In allen Fällen soll es nicht zu einem Kauf gekommen sein.

Warnt das BSI auch vor deutschen Trojanern und deren Sicherheitslücken?

Doch würde das BSI auch vor Pegasus warnen, wenn deutsche Behörden die Software einsetzen würden? Und was ist mit den Trojanern, die das BKA und Zitis entwickeln beziehungsweise von Finfisher eingekauft haben?

Diese sollen zwar beabsichtigt weniger Daten auslesen, nachdem sie auf ein Gerät gespielt wurden. Doch um dort hinzukommen, müssen auch sie auf Sicherheitslücken setzen, sofern die Zielperson die Schadsoftware nicht selbst installiert oder diese - beispielsweise bei einer Kontrolle - installiert bekommt. Entsprechend müsste das BSI doch auch hier warnen.

Doch auf diese Fragen antwortete uns die Sprecherin des BSI nur lapidar: "Zu hypothetischen Fragestellungen nimmt das BSI keine Stellung." Auch auf die Frage, ob das BSI eine Sicherheitslücke melden würde, die sowohl von Pegasus als auch einem Trojaner in Deutschland ausgenutzt wird, gab es keine Antwort.

Dabei ist es weder hypothetisch, dass deutsche Behörden Interesse an Pegasus hatten, noch, dass sie ähnliche Schadsoftware kaufen und entwickeln. Für diese muss gelten, was für Pegasus gilt: Die Sicherheitslücken müssen umgehend geschlossen werden, damit sie keine Gefahr mehr darstellen.

Das gilt nicht nur aus Sicht der IT-Sicherheit, sondern auch für die Menschenrechte. Immerhin haben die vergangenen Jahre eindrucksvoll bewiesen, dass die Software von NSO oder Finfisher wiederholt gegen Journalisten, Aktivisten und Oppositionelle eingesetzt wurde.

Aber auch Geheimdienste wie NSA, GCHQ oder BND nutzen eigene Trojaner - und überwachen Journalisten. Die Gefahr ist also alles andere als hypothetisch, sondern - um es in den Worten des BSI zu sagen - als hoch zu bewerten.

IMHO ist der Kommentar von Golem.de. IMHO = In My Humble Opinion (Meiner bescheidenen Meinung nach).

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Die große Umfrage
Das sind Deutschlands beste IT-Arbeitgeber 2023

Golem.de und Statista haben 23.000 Fachkräfte nach ihrer Arbeit gefragt. Das Ergebnis ist eine Liste der 175 besten Unternehmen für IT-Profis.

Die große Umfrage: Das sind Deutschlands beste IT-Arbeitgeber 2023
Artikel
  1. USB-C: Europaparlament macht Weg für einheitliche Ladekabel frei
    USB-C
    Europaparlament macht Weg für einheitliche Ladekabel frei

    In der EU gibt es künftig eine Standard-Ladebuchse für Smartphones und weitere Elektrogeräte. Die IT-Wirtschaft sieht die Einigung kritisch.

  2. Monitoring von Container-Landschaften: Prometheus ist nicht alles
    Monitoring von Container-Landschaften
    Prometheus ist nicht alles

    Betreuer von Kubernetes und Co., die sich nicht ausreichend mit der Thematik beschäftigen, nehmen beim metrikbasierte Monitoring unwissentlich einige Nachteile in Kauf. Eventuell ist es notwendig, den üblichen Tool-Stack zu ergänzen.
    Von Valentin Höbel

  3. Philips Hue mit über 100 Euro Rabatt bei Amazon
     
    Philips Hue mit über 100 Euro Rabatt bei Amazon

    Viele verschiedene Produkte von Philips Hue sind bei Amazon im Angebot. Darunter Deckenleuchten, Leuchtmittel und Bewegungssensoren.
    Ausgewählte Angebote des E-Commerce-Teams

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • 3 Spiele für 49€ • Saturn Gutscheinheft • Günstig wie nie: LG OLED 48" 799€, Xbox Elite Controller 2 114,99€, AOC 28" 4K UHD 144 Hz 600,89€, Corsair RGB Midi-Tower 269,90€, Sandisk microSDXC 512GB 39€ • Bis zu 15% im eBay Restore • MindStar (PowerColor RX 6700 XT 489€) [Werbung]
    •  /