BSI: Wer Pegasus kritisiert, muss auch Staatstrojaner kritisieren

Das BSI warnt die Bevölkerung vor Pegasus, während Polizei und Geheimdienste vergleichbare Software nutzen. Ein Widerspruch, den das BSI nicht auflösen will.

Ein IMHO von veröffentlicht am
Ein Trojanisches Pferd
Ein Trojanisches Pferd (Bild: Ovi C/Pixabay)

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt vor dem Trojaner Pegasus, der weltweit von Staaten eingesetzt wird: "Das Bedrohungspotenzial ist als hoch zu bewerten."

Stellenmarkt
  1. Senior Fullstack Developer (m/w/d)
    CodeCamp:N GmbH, Nürnberg
  2. Software Tester (m/w/d)
    GVV Versicherungen, Köln
Detailsuche

Doch auch deutsche Behörden haben sich den Staatstrojaner vom Hersteller NSO vorführen lassen und entwickeln selbst ähnliche Programme. Entsprechend muss die Warnung auch für alle anderen Staatstrojaner gelten. Wir haben beim BSI nachgefragt.

Nach ziemlich genau einer Woche und weiterem Nachhaken antwortete uns eine Sprecherin des BSI: "Als Cyber-Sicherheitsbehörde des Bundes wirkt das BSI darauf hin, sämtliche Sicherheitslücken umgehend und im vertrauensvollen Austausch mit den Herstellern zu schließen."

Das sind starke Worte. Denn nicht selten setzen Staatstrojaner auf bis dato dem Hersteller und der Öffentlichkeit unbekannte Sicherheitslücken, um Geräte wie Smartphones oder Computer zu infiltrieren und eine weitgehende Kontrolle über das Gerät zu erlangen.

Staatstrojaner sorgen für Unsicherheit

Golem Akademie
  1. Penetration Testing Fundamentals
    23.-24. September 2021, online
  2. IT-Sicherheit für Webentwickler
    2.-3. November 2021, online
  3. IT-Fachseminare der Golem Akademie
    Live-Workshops zu Schlüsselqualifikationen
Weitere IT-Trainings

Werden Zero Days ausgenutzt und gehortet statt geschlossen, sind sie eine Gefahr für die IT-Sicherheit aller Menschen und Systeme auf der Welt - das hat nicht zuletzt Wannacry gezeigt, eine Schadsoftware, die auf einer vom US-Geheimdienst NSA gehorteten Sicherheitslücke basiert. Entsprechend richtig und wichtig ist die Aussage des BSI.

Leider hat die Politik im IT-Sicherheitsgesetz 2.0 solche Überlegungen nicht verankert - obwohl eine Meldepflicht für Sicherheitslücken von mehreren Sachverständigen im Bundestag gefordert wurde.

Das Bundesverfassungsgericht sieht zwar einen "Zielkonflikt" zwischen Computerschutz und der Offenhaltung solcher Lücken für die Kommunikationsüberwachung. Es fordert jedoch nur einen gesetzlichen Rahmen und eine Abwägung durch die Behörden im Einzelfall. Damit wird letztlich eine der invasivsten und gefährlichsten Überwachungsmaßnahmen erlaubt, die der Staat im Repertoire hat.

Das ist nicht nur eine Gefahr für die IT-Sicherheit weltweit, sondern auch eine Gefahr für die Demokratie. Man darf schon jetzt gespannt sein, mit welchen wilden Theorien der Bundesnachrichtendienst (BND) und die Verfassungsschutzämter die Verwendung der Trojaner ausweiten. Eine Weltraumtheorie 2.0 dürfte schnell erfunden sein.

NSO präsentierte etlichen deutschen Behörden den Trojaner

Bereits 2017 hat sich das Bundeskriminalamt (BKA) den Staatstrojaner Pegasus präsentieren lassen. Laut einem Artikel der Zeit waren die IT-Experten des BKA von der Software begeistert. Diese kann beispielsweise Chats von Messengern wie Whatsapp extrahieren, Fotos auslesen oder heimlich das Mikrofon aktivieren und so das Smartphone zu einer Wanze umfunktionieren.

Doch die Software konnte einfach zu viel, um den rechtlichen Anforderungen an eine Quellen-Telekommunikationsüberwachung, kurz Quellen-TKÜ, zu entsprechen, bei der nur die aktuelle Telekommunikation überwacht werden soll. Auch für eine Onlinedurchsuchung, also das Auslesen von Dateien und Informationen auf dem Gerät, dürften die Möglichkeiten zu umfangreich sein.

Hacking & Security: Das umfassende Handbuch. 2. aktualisierte Auflage des IT-Standardwerks (Deutsch) Gebundene Ausgabe

Zwar hatte die NSO ein immenses Verkaufsinteresse und bot die Software sogar zu einem vergünstigten Preis an, doch die "deutschen Sonderwünsche" führten nur zu Kopfschütteln. Kein Pegasus für das BKA.

Auch die Zentrale Stelle für Informationstechnik im Sicherheitsbereich (Zitis), die einen Staatstrojaner entwickeln soll, ließ sich Pegasus präsentieren. Der Bundesnachrichtendienst (BND) und das Bundesamt für Verfassungsschutz zeigten ebenfalls Interesse. In Bayern war sogar der Innenminister anwesend, als das Landeskriminalamt (LKA) sich die Software präsentieren ließ. In allen Fällen soll es nicht zu einem Kauf gekommen sein.

Warnt das BSI auch vor deutschen Trojanern und deren Sicherheitslücken?

Doch würde das BSI auch vor Pegasus warnen, wenn deutsche Behörden die Software einsetzen würden? Und was ist mit den Trojanern, die das BKA und Zitis entwickeln beziehungsweise von Finfisher eingekauft haben?

Diese sollen zwar beabsichtigt weniger Daten auslesen, nachdem sie auf ein Gerät gespielt wurden. Doch um dort hinzukommen, müssen auch sie auf Sicherheitslücken setzen, sofern die Zielperson die Schadsoftware nicht selbst installiert oder diese - beispielsweise bei einer Kontrolle - installiert bekommt. Entsprechend müsste das BSI doch auch hier warnen.

Doch auf diese Fragen antwortete uns die Sprecherin des BSI nur lapidar: "Zu hypothetischen Fragestellungen nimmt das BSI keine Stellung." Auch auf die Frage, ob das BSI eine Sicherheitslücke melden würde, die sowohl von Pegasus als auch einem Trojaner in Deutschland ausgenutzt wird, gab es keine Antwort.

Dabei ist es weder hypothetisch, dass deutsche Behörden Interesse an Pegasus hatten, noch, dass sie ähnliche Schadsoftware kaufen und entwickeln. Für diese muss gelten, was für Pegasus gilt: Die Sicherheitslücken müssen umgehend geschlossen werden, damit sie keine Gefahr mehr darstellen.

Das gilt nicht nur aus Sicht der IT-Sicherheit, sondern auch für die Menschenrechte. Immerhin haben die vergangenen Jahre eindrucksvoll bewiesen, dass die Software von NSO oder Finfisher wiederholt gegen Journalisten, Aktivisten und Oppositionelle eingesetzt wurde.

Aber auch Geheimdienste wie NSA, GCHQ oder BND nutzen eigene Trojaner - und überwachen Journalisten. Die Gefahr ist also alles andere als hypothetisch, sondern - um es in den Worten des BSI zu sagen - als hoch zu bewerten.

IMHO ist der Kommentar von Golem.de. IMHO = In My Humble Opinion (Meiner bescheidenen Meinung nach).

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Powertoys
Microsofts kostenlose Tools, die Windows besser machen

Dateien benennen und Programme von überall starten: Mit den richtigen Tools lässt sich Windows besser bedienen. Wir zeigen die Powertoys.
Von Oliver Nickel

Powertoys: Microsofts kostenlose Tools, die Windows besser machen
Artikel
  1. Bundestagswahl: Bitte nicht in Jamaika landen!
    Bundestagswahl
    Bitte nicht in Jamaika landen!

    Ampel oder Jamaika: Grüne und FDP müssen sich nach der Bundestagswahl für eine der beiden Koalitionsoptionen entscheiden. Das sollte ihnen leichtfallen.
    Ein IMHO von Friedhelm Greis

  2. Mr. Goxx: Hamster handelt mit Kryptowährungen und schlägt Aktienindex
    Mr. Goxx
    Hamster handelt mit Kryptowährungen und schlägt Aktienindex

    Seit Juni 2021 ist der Hamster Mr. Goxx erfolgreich im Handel mit Kryptowährungen.

  3. Medion Erazer Hunter X20: Aldi-PC mit Geforce RTX 3080 und Windows 11
    Medion Erazer Hunter X20
    Aldi-PC mit Geforce RTX 3080 und Windows 11

    Der Erazer Hunter X20 nutzt einen wassergekühlten Prozessor und eine schnelle NVMe-SSD. Der Aldi-PC steckt in einem Inwin-Gehäuse.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • 7 Tage Samsung-Angebote bei Amazon (u. a. SSDs, Monitore, TVs) • Samsung Odyssey G5 32" Curved WQHD 144Hz 265€ • Nur noch heute: Black Week bei NBB mit bis zu 50% Rabatt • Acer Nitro 23,8" FHD 165Hz 184,90€ • Alternate (u. a. Cooler Master MH 752 Gaming-Headset 59,90€) [Werbung]
    •  /