BSI: Wer Pegasus kritisiert, muss auch Staatstrojaner kritisieren

Das BSI warnt die Bevölkerung vor Pegasus, während Polizei und Geheimdienste vergleichbare Software nutzen. Ein Widerspruch, den das BSI nicht auflösen will.

Ein IMHO von veröffentlicht am
Ein Trojanisches Pferd
Ein Trojanisches Pferd (Bild: Ovi C/Pixabay)

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt vor dem Trojaner Pegasus, der weltweit von Staaten eingesetzt wird: "Das Bedrohungspotenzial ist als hoch zu bewerten."

Doch auch deutsche Behörden haben sich den Staatstrojaner vom Hersteller NSO vorführen lassen und entwickeln selbst ähnliche Programme. Entsprechend muss die Warnung auch für alle anderen Staatstrojaner gelten. Wir haben beim BSI nachgefragt.

Nach ziemlich genau einer Woche und weiterem Nachhaken antwortete uns eine Sprecherin des BSI: "Als Cyber-Sicherheitsbehörde des Bundes wirkt das BSI darauf hin, sämtliche Sicherheitslücken umgehend und im vertrauensvollen Austausch mit den Herstellern zu schließen."

Das sind starke Worte. Denn nicht selten setzen Staatstrojaner auf bis dato dem Hersteller und der Öffentlichkeit unbekannte Sicherheitslücken, um Geräte wie Smartphones oder Computer zu infiltrieren und eine weitgehende Kontrolle über das Gerät zu erlangen.

Staatstrojaner sorgen für Unsicherheit

Werden Zero Days ausgenutzt und gehortet statt geschlossen, sind sie eine Gefahr für die IT-Sicherheit aller Menschen und Systeme auf der Welt - das hat nicht zuletzt Wannacry gezeigt, eine Schadsoftware, die auf einer vom US-Geheimdienst NSA gehorteten Sicherheitslücke basiert. Entsprechend richtig und wichtig ist die Aussage des BSI.

Leider hat die Politik im IT-Sicherheitsgesetz 2.0 solche Überlegungen nicht verankert - obwohl eine Meldepflicht für Sicherheitslücken von mehreren Sachverständigen im Bundestag gefordert wurde.

Das Bundesverfassungsgericht sieht zwar einen "Zielkonflikt" zwischen Computerschutz und der Offenhaltung solcher Lücken für die Kommunikationsüberwachung. Es fordert jedoch nur einen gesetzlichen Rahmen und eine Abwägung durch die Behörden im Einzelfall. Damit wird letztlich eine der invasivsten und gefährlichsten Überwachungsmaßnahmen erlaubt, die der Staat im Repertoire hat.

Das ist nicht nur eine Gefahr für die IT-Sicherheit weltweit, sondern auch eine Gefahr für die Demokratie. Man darf schon jetzt gespannt sein, mit welchen wilden Theorien der Bundesnachrichtendienst (BND) und die Verfassungsschutzämter die Verwendung der Trojaner ausweiten. Eine Weltraumtheorie 2.0 dürfte schnell erfunden sein.

NSO präsentierte etlichen deutschen Behörden den Trojaner

Bereits 2017 hat sich das Bundeskriminalamt (BKA) den Staatstrojaner Pegasus präsentieren lassen. Laut einem Artikel der Zeit waren die IT-Experten des BKA von der Software begeistert. Diese kann beispielsweise Chats von Messengern wie Whatsapp extrahieren, Fotos auslesen oder heimlich das Mikrofon aktivieren und so das Smartphone zu einer Wanze umfunktionieren.

Doch die Software konnte einfach zu viel, um den rechtlichen Anforderungen an eine Quellen-Telekommunikationsüberwachung, kurz Quellen-TKÜ, zu entsprechen, bei der nur die aktuelle Telekommunikation überwacht werden soll. Auch für eine Onlinedurchsuchung, also das Auslesen von Dateien und Informationen auf dem Gerät, dürften die Möglichkeiten zu umfangreich sein.

Zwar hatte die NSO ein immenses Verkaufsinteresse und bot die Software sogar zu einem vergünstigten Preis an, doch die "deutschen Sonderwünsche" führten nur zu Kopfschütteln. Kein Pegasus für das BKA.

Auch die Zentrale Stelle für Informationstechnik im Sicherheitsbereich (Zitis), die einen Staatstrojaner entwickeln soll, ließ sich Pegasus präsentieren. Der Bundesnachrichtendienst (BND) und das Bundesamt für Verfassungsschutz zeigten ebenfalls Interesse. In Bayern war sogar der Innenminister anwesend, als das Landeskriminalamt (LKA) sich die Software präsentieren ließ. In allen Fällen soll es nicht zu einem Kauf gekommen sein.

Warnt das BSI auch vor deutschen Trojanern und deren Sicherheitslücken?

Doch würde das BSI auch vor Pegasus warnen, wenn deutsche Behörden die Software einsetzen würden? Und was ist mit den Trojanern, die das BKA und Zitis entwickeln beziehungsweise von Finfisher eingekauft haben?

Diese sollen zwar beabsichtigt weniger Daten auslesen, nachdem sie auf ein Gerät gespielt wurden. Doch um dort hinzukommen, müssen auch sie auf Sicherheitslücken setzen, sofern die Zielperson die Schadsoftware nicht selbst installiert oder diese - beispielsweise bei einer Kontrolle - installiert bekommt. Entsprechend müsste das BSI doch auch hier warnen.

Doch auf diese Fragen antwortete uns die Sprecherin des BSI nur lapidar: "Zu hypothetischen Fragestellungen nimmt das BSI keine Stellung." Auch auf die Frage, ob das BSI eine Sicherheitslücke melden würde, die sowohl von Pegasus als auch einem Trojaner in Deutschland ausgenutzt wird, gab es keine Antwort.

Dabei ist es weder hypothetisch, dass deutsche Behörden Interesse an Pegasus hatten, noch, dass sie ähnliche Schadsoftware kaufen und entwickeln. Für diese muss gelten, was für Pegasus gilt: Die Sicherheitslücken müssen umgehend geschlossen werden, damit sie keine Gefahr mehr darstellen.

Das gilt nicht nur aus Sicht der IT-Sicherheit, sondern auch für die Menschenrechte. Immerhin haben die vergangenen Jahre eindrucksvoll bewiesen, dass die Software von NSO oder Finfisher wiederholt gegen Journalisten, Aktivisten und Oppositionelle eingesetzt wurde.

Aber auch Geheimdienste wie NSA, GCHQ oder BND nutzen eigene Trojaner - und überwachen Journalisten. Die Gefahr ist also alles andere als hypothetisch, sondern - um es in den Worten des BSI zu sagen - als hoch zu bewerten.

IMHO ist der Kommentar von Golem.de. IMHO = In My Humble Opinion (Meiner bescheidenen Meinung nach).

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Aktuell auf der Startseite von Golem.de
Blizzard
Preise im Itemshop von Diablo 4 entfachen Empörung

Die Community reagiert sauer auf Leaks über die Preise im Itemshop von Diablo 4. Ein Rüstungsset kostet fast so viel wie früher ein Add-on.

Blizzard: Preise im Itemshop von Diablo 4 entfachen Empörung
Artikel
  1. Schufa-Score: Hohes Bußgeld wegen Kreditkartenablehnung ohne Begründung
    Schufa-Score
    Hohes Bußgeld wegen Kreditkartenablehnung ohne Begründung

    Die DKB hat einen Kreditkartenantrag nur gestützt auf Algorithmen und den Schufa-Score abgelehnt und dies auch nicht begründet. Das kostet 300.000 Euro Bußgeld.

  2. Noctua auf der Computex: Neue Lüfter, Offset-Mounting und Direct-Die
    Noctua auf der Computex
    Neue Lüfter, Offset-Mounting und Direct-Die

    Computex 2023Vor allem bei der Montage von AMD-Kühlern konnten die Kühlerspezialisten aus Österreich erneut einiges verbessern.

  3. Generative Fill: Wie Adobes KI-Funktionen das Internet spalten
    Generative Fill
    Wie Adobes KI-Funktionen das Internet spalten

    Die KI-Füllfunktion in Photoshop erfindet Hintergründe zu Gemälden oder Album-Covern. Einige finden das kreativ, andere sehen die Kunst bedroht.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Stellemarkt-Logo
Zur Akademie
Akademie-Logo
Zum Coaching
Shifoo-Logo
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    • Daily Deals • Gigabyte RTX 3060 Ti 369€ • Kingston Fury SSD 2TB (PS5-komp.) 129,91€ • Sony Deals Week • MindStar: Corsair Crystal RGB Midi Tower 119€, Palit RTX 4070 659€ • Roccat bis -50% • AVM Modems & Repeater bis -36% • Logitech G Pro Wireless Maus 89€ • The A500 Mini 74,99€ [Werbung]
  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
 
    •  /