BSI: Wer Pegasus kritisiert, muss auch Staatstrojaner kritisieren

Das BSI warnt die Bevölkerung vor Pegasus, während Polizei und Geheimdienste vergleichbare Software nutzen. Ein Widerspruch, den das BSI nicht auflösen will.

Ein IMHO von veröffentlicht am
Ein Trojanisches Pferd
Ein Trojanisches Pferd (Bild: Ovi C/Pixabay)

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt vor dem Trojaner Pegasus, der weltweit von Staaten eingesetzt wird: "Das Bedrohungspotenzial ist als hoch zu bewerten."

Stellenmarkt
  1. Ingenieur FH / Bachelor (m/w/d) der Fachrichtung Elektrotechnik, Nachrichtentechnik, Hochfrequenztechnik ... (m/w/d)
    Bayerisches Landeskriminalamt, Königsbrunn
  2. Junior Product-Owner (m/w/d) Software-Entwicklung
    MVZ Martinsried GmbH, Martinsried
Detailsuche

Doch auch deutsche Behörden haben sich den Staatstrojaner vom Hersteller NSO vorführen lassen und entwickeln selbst ähnliche Programme. Entsprechend muss die Warnung auch für alle anderen Staatstrojaner gelten. Wir haben beim BSI nachgefragt.

Nach ziemlich genau einer Woche und weiterem Nachhaken antwortete uns eine Sprecherin des BSI: "Als Cyber-Sicherheitsbehörde des Bundes wirkt das BSI darauf hin, sämtliche Sicherheitslücken umgehend und im vertrauensvollen Austausch mit den Herstellern zu schließen."

Das sind starke Worte. Denn nicht selten setzen Staatstrojaner auf bis dato dem Hersteller und der Öffentlichkeit unbekannte Sicherheitslücken, um Geräte wie Smartphones oder Computer zu infiltrieren und eine weitgehende Kontrolle über das Gerät zu erlangen.

Staatstrojaner sorgen für Unsicherheit

Golem Akademie
  1. Penetration Testing Fundamentals
    17.-18. Januar 2022, online
  2. CEH Certified Ethical Hacker v11
    8.-12. November 2021, online
  3. IT-Sicherheit für Webentwickler
    2.-3. November 2021, online
Weitere IT-Trainings

Werden Zero Days ausgenutzt und gehortet statt geschlossen, sind sie eine Gefahr für die IT-Sicherheit aller Menschen und Systeme auf der Welt - das hat nicht zuletzt Wannacry gezeigt, eine Schadsoftware, die auf einer vom US-Geheimdienst NSA gehorteten Sicherheitslücke basiert. Entsprechend richtig und wichtig ist die Aussage des BSI.

Leider hat die Politik im IT-Sicherheitsgesetz 2.0 solche Überlegungen nicht verankert - obwohl eine Meldepflicht für Sicherheitslücken von mehreren Sachverständigen im Bundestag gefordert wurde.

Das Bundesverfassungsgericht sieht zwar einen "Zielkonflikt" zwischen Computerschutz und der Offenhaltung solcher Lücken für die Kommunikationsüberwachung. Es fordert jedoch nur einen gesetzlichen Rahmen und eine Abwägung durch die Behörden im Einzelfall. Damit wird letztlich eine der invasivsten und gefährlichsten Überwachungsmaßnahmen erlaubt, die der Staat im Repertoire hat.

Das ist nicht nur eine Gefahr für die IT-Sicherheit weltweit, sondern auch eine Gefahr für die Demokratie. Man darf schon jetzt gespannt sein, mit welchen wilden Theorien der Bundesnachrichtendienst (BND) und die Verfassungsschutzämter die Verwendung der Trojaner ausweiten. Eine Weltraumtheorie 2.0 dürfte schnell erfunden sein.

NSO präsentierte etlichen deutschen Behörden den Trojaner

Bereits 2017 hat sich das Bundeskriminalamt (BKA) den Staatstrojaner Pegasus präsentieren lassen. Laut einem Artikel der Zeit waren die IT-Experten des BKA von der Software begeistert. Diese kann beispielsweise Chats von Messengern wie Whatsapp extrahieren, Fotos auslesen oder heimlich das Mikrofon aktivieren und so das Smartphone zu einer Wanze umfunktionieren.

Doch die Software konnte einfach zu viel, um den rechtlichen Anforderungen an eine Quellen-Telekommunikationsüberwachung, kurz Quellen-TKÜ, zu entsprechen, bei der nur die aktuelle Telekommunikation überwacht werden soll. Auch für eine Onlinedurchsuchung, also das Auslesen von Dateien und Informationen auf dem Gerät, dürften die Möglichkeiten zu umfangreich sein.

Hacking & Security: Das umfassende Handbuch. 2. aktualisierte Auflage des IT-Standardwerks (Deutsch) Gebundene Ausgabe

Zwar hatte die NSO ein immenses Verkaufsinteresse und bot die Software sogar zu einem vergünstigten Preis an, doch die "deutschen Sonderwünsche" führten nur zu Kopfschütteln. Kein Pegasus für das BKA.

Auch die Zentrale Stelle für Informationstechnik im Sicherheitsbereich (Zitis), die einen Staatstrojaner entwickeln soll, ließ sich Pegasus präsentieren. Der Bundesnachrichtendienst (BND) und das Bundesamt für Verfassungsschutz zeigten ebenfalls Interesse. In Bayern war sogar der Innenminister anwesend, als das Landeskriminalamt (LKA) sich die Software präsentieren ließ. In allen Fällen soll es nicht zu einem Kauf gekommen sein.

Warnt das BSI auch vor deutschen Trojanern und deren Sicherheitslücken?

Doch würde das BSI auch vor Pegasus warnen, wenn deutsche Behörden die Software einsetzen würden? Und was ist mit den Trojanern, die das BKA und Zitis entwickeln beziehungsweise von Finfisher eingekauft haben?

Diese sollen zwar beabsichtigt weniger Daten auslesen, nachdem sie auf ein Gerät gespielt wurden. Doch um dort hinzukommen, müssen auch sie auf Sicherheitslücken setzen, sofern die Zielperson die Schadsoftware nicht selbst installiert oder diese - beispielsweise bei einer Kontrolle - installiert bekommt. Entsprechend müsste das BSI doch auch hier warnen.

Doch auf diese Fragen antwortete uns die Sprecherin des BSI nur lapidar: "Zu hypothetischen Fragestellungen nimmt das BSI keine Stellung." Auch auf die Frage, ob das BSI eine Sicherheitslücke melden würde, die sowohl von Pegasus als auch einem Trojaner in Deutschland ausgenutzt wird, gab es keine Antwort.

Dabei ist es weder hypothetisch, dass deutsche Behörden Interesse an Pegasus hatten, noch, dass sie ähnliche Schadsoftware kaufen und entwickeln. Für diese muss gelten, was für Pegasus gilt: Die Sicherheitslücken müssen umgehend geschlossen werden, damit sie keine Gefahr mehr darstellen.

Das gilt nicht nur aus Sicht der IT-Sicherheit, sondern auch für die Menschenrechte. Immerhin haben die vergangenen Jahre eindrucksvoll bewiesen, dass die Software von NSO oder Finfisher wiederholt gegen Journalisten, Aktivisten und Oppositionelle eingesetzt wurde.

Aber auch Geheimdienste wie NSA, GCHQ oder BND nutzen eigene Trojaner - und überwachen Journalisten. Die Gefahr ist also alles andere als hypothetisch, sondern - um es in den Worten des BSI zu sagen - als hoch zu bewerten.

IMHO ist der Kommentar von Golem.de. IMHO = In My Humble Opinion (Meiner bescheidenen Meinung nach).

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Silence S04
Günstiges Elektroauto mit herausnehmbaren Akku vorgestellt

Beim Elektroauto Silence S04 kann der Nutzer den Akku selbst wechseln, wenn dieser leergefahren ist.

Silence S04: Günstiges Elektroauto mit herausnehmbaren Akku vorgestellt
Artikel
  1. Microsoft: Das nächste große Update für Windows 10 kommt im November
    Microsoft
    Das nächste große Update für Windows 10 kommt im November

    Die Version 21H2 wurde wohl auch wegen Windows 11 etwas nach hinten verschoben. Der Patch soll nun aber im November für Windows 10 kommen.

  2. Arduino und Python: Bastler nimmt Audiokassette als Speichermedium für Retro-PC
    Arduino und Python
    Bastler nimmt Audiokassette als Speichermedium für Retro-PC

    Die Kassette kann nicht nur Lieder speichern, sondern auch Bitmuster. Ein Bastler baut dafür eine Schnittstelle mit 1,5 KBit/s Datenrate.

  3. Bis Ende 2022: VW-Manager müssen wegen Chipkrise Verbrenner fahren
    Bis Ende 2022
    VW-Manager müssen wegen Chipkrise Verbrenner fahren

    2022 werden VWs Manager den Kurs des Unternehmenschefs Herbert Diess nicht fahren können - Elektroautos und Hybride können als Dienstwagen nicht bestellt werden.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • AOC CQ32G2SE/BK 285,70€ • Dell Alienware AW2521H 360 Hz 499€ • Corsair Vengeance RGB PRO SL 64-GB-Kit 3600 253,64€ • DeepCool Castle 360EX 109,90€ • Phanteks Glacier One 240MP 105,89€ • Seagate SSDs & HDDs günstiger • Alternate (u. a. Thermaltake Core P3 TG Snow Ed. 121,89€) [Werbung]
    •  /