BSI: Wer Pegasus kritisiert, muss auch Staatstrojaner kritisieren

Das BSI warnt die Bevölkerung vor Pegasus, während Polizei und Geheimdienste vergleichbare Software nutzen. Ein Widerspruch, den das BSI nicht auflösen will.

Ein IMHO von veröffentlicht am
Ein Trojanisches Pferd
Ein Trojanisches Pferd (Bild: Ovi C/Pixabay)

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt vor dem Trojaner Pegasus, der weltweit von Staaten eingesetzt wird: "Das Bedrohungspotenzial ist als hoch zu bewerten."

Stellenmarkt
  1. Entwicklungsingenieur Embedded Linux Systeme (m/w/d)
    Phoenix Contact Electronics GmbH, Bad Pyrmont
  2. System Engineer (m/w/d) KDO-Cloud-Arbeitsplatz
    KDO Service GmbH, Oldenburg
Detailsuche

Doch auch deutsche Behörden haben sich den Staatstrojaner vom Hersteller NSO vorführen lassen und entwickeln selbst ähnliche Programme. Entsprechend muss die Warnung auch für alle anderen Staatstrojaner gelten. Wir haben beim BSI nachgefragt.

Nach ziemlich genau einer Woche und weiterem Nachhaken antwortete uns eine Sprecherin des BSI: "Als Cyber-Sicherheitsbehörde des Bundes wirkt das BSI darauf hin, sämtliche Sicherheitslücken umgehend und im vertrauensvollen Austausch mit den Herstellern zu schließen."

Das sind starke Worte. Denn nicht selten setzen Staatstrojaner auf bis dato dem Hersteller und der Öffentlichkeit unbekannte Sicherheitslücken, um Geräte wie Smartphones oder Computer zu infiltrieren und eine weitgehende Kontrolle über das Gerät zu erlangen.

Staatstrojaner sorgen für Unsicherheit

Golem Karrierewelt
  1. Advanced Python – Fortgeschrittene Programmierthemen: virtueller Drei-Tage-Workshop
    23.-25.01.2023, Virtuell
  2. Kubernetes – das Container Orchestration Framework: virtueller Vier-Tage-Workshop
    29.08.-01.09.2022, Virtuell
Weitere IT-Trainings

Werden Zero Days ausgenutzt und gehortet statt geschlossen, sind sie eine Gefahr für die IT-Sicherheit aller Menschen und Systeme auf der Welt - das hat nicht zuletzt Wannacry gezeigt, eine Schadsoftware, die auf einer vom US-Geheimdienst NSA gehorteten Sicherheitslücke basiert. Entsprechend richtig und wichtig ist die Aussage des BSI.

Leider hat die Politik im IT-Sicherheitsgesetz 2.0 solche Überlegungen nicht verankert - obwohl eine Meldepflicht für Sicherheitslücken von mehreren Sachverständigen im Bundestag gefordert wurde.

Das Bundesverfassungsgericht sieht zwar einen "Zielkonflikt" zwischen Computerschutz und der Offenhaltung solcher Lücken für die Kommunikationsüberwachung. Es fordert jedoch nur einen gesetzlichen Rahmen und eine Abwägung durch die Behörden im Einzelfall. Damit wird letztlich eine der invasivsten und gefährlichsten Überwachungsmaßnahmen erlaubt, die der Staat im Repertoire hat.

Das ist nicht nur eine Gefahr für die IT-Sicherheit weltweit, sondern auch eine Gefahr für die Demokratie. Man darf schon jetzt gespannt sein, mit welchen wilden Theorien der Bundesnachrichtendienst (BND) und die Verfassungsschutzämter die Verwendung der Trojaner ausweiten. Eine Weltraumtheorie 2.0 dürfte schnell erfunden sein.

NSO präsentierte etlichen deutschen Behörden den Trojaner

Bereits 2017 hat sich das Bundeskriminalamt (BKA) den Staatstrojaner Pegasus präsentieren lassen. Laut einem Artikel der Zeit waren die IT-Experten des BKA von der Software begeistert. Diese kann beispielsweise Chats von Messengern wie Whatsapp extrahieren, Fotos auslesen oder heimlich das Mikrofon aktivieren und so das Smartphone zu einer Wanze umfunktionieren.

Doch die Software konnte einfach zu viel, um den rechtlichen Anforderungen an eine Quellen-Telekommunikationsüberwachung, kurz Quellen-TKÜ, zu entsprechen, bei der nur die aktuelle Telekommunikation überwacht werden soll. Auch für eine Onlinedurchsuchung, also das Auslesen von Dateien und Informationen auf dem Gerät, dürften die Möglichkeiten zu umfangreich sein.

Hacking & Security: Das umfassende Handbuch. 2. aktualisierte Auflage des IT-Standardwerks (Deutsch) Gebundene Ausgabe

Zwar hatte die NSO ein immenses Verkaufsinteresse und bot die Software sogar zu einem vergünstigten Preis an, doch die "deutschen Sonderwünsche" führten nur zu Kopfschütteln. Kein Pegasus für das BKA.

Auch die Zentrale Stelle für Informationstechnik im Sicherheitsbereich (Zitis), die einen Staatstrojaner entwickeln soll, ließ sich Pegasus präsentieren. Der Bundesnachrichtendienst (BND) und das Bundesamt für Verfassungsschutz zeigten ebenfalls Interesse. In Bayern war sogar der Innenminister anwesend, als das Landeskriminalamt (LKA) sich die Software präsentieren ließ. In allen Fällen soll es nicht zu einem Kauf gekommen sein.

Warnt das BSI auch vor deutschen Trojanern und deren Sicherheitslücken?

Doch würde das BSI auch vor Pegasus warnen, wenn deutsche Behörden die Software einsetzen würden? Und was ist mit den Trojanern, die das BKA und Zitis entwickeln beziehungsweise von Finfisher eingekauft haben?

Diese sollen zwar beabsichtigt weniger Daten auslesen, nachdem sie auf ein Gerät gespielt wurden. Doch um dort hinzukommen, müssen auch sie auf Sicherheitslücken setzen, sofern die Zielperson die Schadsoftware nicht selbst installiert oder diese - beispielsweise bei einer Kontrolle - installiert bekommt. Entsprechend müsste das BSI doch auch hier warnen.

Doch auf diese Fragen antwortete uns die Sprecherin des BSI nur lapidar: "Zu hypothetischen Fragestellungen nimmt das BSI keine Stellung." Auch auf die Frage, ob das BSI eine Sicherheitslücke melden würde, die sowohl von Pegasus als auch einem Trojaner in Deutschland ausgenutzt wird, gab es keine Antwort.

Dabei ist es weder hypothetisch, dass deutsche Behörden Interesse an Pegasus hatten, noch, dass sie ähnliche Schadsoftware kaufen und entwickeln. Für diese muss gelten, was für Pegasus gilt: Die Sicherheitslücken müssen umgehend geschlossen werden, damit sie keine Gefahr mehr darstellen.

Das gilt nicht nur aus Sicht der IT-Sicherheit, sondern auch für die Menschenrechte. Immerhin haben die vergangenen Jahre eindrucksvoll bewiesen, dass die Software von NSO oder Finfisher wiederholt gegen Journalisten, Aktivisten und Oppositionelle eingesetzt wurde.

Aber auch Geheimdienste wie NSA, GCHQ oder BND nutzen eigene Trojaner - und überwachen Journalisten. Die Gefahr ist also alles andere als hypothetisch, sondern - um es in den Worten des BSI zu sagen - als hoch zu bewerten.

IMHO ist der Kommentar von Golem.de. IMHO = In My Humble Opinion (Meiner bescheidenen Meinung nach).

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Krieg der Steine
Kopierte Lego-Mini-Figuren dürfen nicht verkauft werden

Lego hat einen Rechtsstreit um Mini-Figuren gegen einen Spielwarenhändler gewonnen, der Figuren aus China verkauft hat.

Krieg der Steine: Kopierte Lego-Mini-Figuren dürfen nicht verkauft werden
Artikel
  1. Smartphones: Xiaomis neues Foldable ist wesentlich günstiger
    Smartphones
    Xiaomis neues Foldable ist wesentlich günstiger

    Das Xiaomi Mix Fold 2 ähnelt dem Samsung Galaxy Fold 4. Es ist ähnlich gut ausgestattet, kostet aber wesentlich weniger Geld.

  2. USA: Tesla stoppt Bestellungen für das Model 3 Long Range
    USA
    Tesla stoppt Bestellungen für das Model 3 Long Range

    In den USA und Kanada übersteigt die Nachfrage nach dem Tesla Model 3 LR das Angebot, so dass Tesla erstmal keine Bestellungen mehr annimmt.

  3. Web Components mit StencilJS: Mehr Klarheit im Frontend
    Web Components mit StencilJS
    Mehr Klarheit im Frontend

    Je mehr UI/UX in Anwendungen vorkommt, desto mehr Unordnung gibt es im Frontend. StencilJS zeigt, wie man verschiedene Frameworks mit Web Components zusammenbringt.
    Eine Anleitung von Martin Reinhardt

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • BenQ Mobiuz EX3410R 499€ • HyperX Cloud Flight heute für 44€ • MindStar (u. a. AMD Ryzen 5 5600X 169€, Intel Core i5-12400F 179€ und GIGABYTE RTX 3070 Ti Master 8G 699€ + 20€ Cashback) • Weekend Sale bei Alternate (u. a. AKRacing Master PRO für 353,99€) [Werbung]
    •  /