Staatstrojaner: Das bedeutet der Geheimdienstzugriff bei ISPs

Geheimdienste sollen laut einem Gesetzentwurf Datenverkehr umleiten können, doch das nützt ihnen nur etwas im Zusammenspiel mit weiteren Sicherheitslücken.

Eine Analyse von veröffentlicht am
Der Verfassungsschutz soll bald die Möglichkeit bekommen, den Datenverkehr direkt beim ISP zu manipulieren.
Der Verfassungsschutz soll bald die Möglichkeit bekommen, den Datenverkehr direkt beim ISP zu manipulieren. (Bild: Olaf Kosinsky, Wikimedia Commons/CC-BY-SA 3.0)

Ein Gesetzentwurf sieht vor, dass Geheimdienste die Möglichkeit erhalten sollen, den Datenverkehr von Providern zu manipulieren, um darüber Staatstrojaner zu verbreiten. Doch eine Schadsoftware im Internetdatenverkehr unterzubringen ist nicht mehr so einfach, wie es einmal war - dank TLS-Verschlüsselung und signierter Updates. Machbar ist das in den meisten Fällen nur, wenn sogenannte Zeroday-Lücken zum Einsatz kommen.

Stellenmarkt
  1. Service Manager Datenbanksysteme (m/w/d)
    operational services GmbH & Co. KG, Leinfelden-Echterdingen, Dresden, Ingolstadt, Wolfsburg
  2. Referentin bzw. Referent (m/w/d) für IT und Digitalisierung
    Behörde für Justiz und Verbraucherschutz, Hamburg
Detailsuche

Ursprünglich sollte der Entwurf am 15. Juli 2020 vom Bundeskabinett verabschiedet werden. Doch das Thema verschwand kurzfristig wieder von der Tagesordnung.

Den Gesetzentwurf hatte die Webseite Netzpolitik.org im Juni veröffentlicht. In einem weiteren Artikel berichtete die Seite darüber, dass ein Paragraph des Gesetzentwurfs vorsieht, Geheimdiensten direkt die Möglichkeit zu geben, bei Internet-Zugangsprovidern den Datenverkehr umzuleiten.

Dabei sollen die Geheimdienste den Datenverkehr nicht nur mitlesen können, sondern auch manipulieren. So sollen Maßnahmen der staatlichen Behörden, also etwa die Installation eines Trojaners, um eine Person zu überwachen, durchgeführt werden können.

2020 ist nicht 2011

Golem Akademie
  1. Linux-Systeme absichern und härten
    8.-10. November 2021, online
  2. Microsoft 365 Security Workshop
    27.-29. Oktober 2021, online
  3. CEH Certified Ethical Hacker v11
    8.-12. November 2021, online
Weitere IT-Trainings

Netzpolitik.org verweist darauf, dass einige Anbieter von staatlicher Überwachungssoftware solche Mechanismen schon lange anbieten und nennt als Beispiel eine Werbebroschüre der Firma Finfisher, in der beispielhaft ein Softwareupdate angegriffen wird. Doch die Broschüre stammt aus dem Jahr 2011, seither hat sich im Internet einiges verändert.

Softwareupdates, die völlig ungeschützt übertragen werden, findet man heute nur noch selten. Fast immer kommt entweder eine TLS-Verschlüsselung zum Einsatz oder die Updates sind mit Signaturen geschützt, in vielen Fällen ist beides der Fall. Wenn ein Angreifer hier versucht, eine Überwachungssoftware einzuschleusen, führt das nur zu einem Fehler bei der Zertifikats- oder Signaturprüfung. Um einen praktischen Angriff auf einen Updateprozess durchzuführen, müsste der Angreifer eine Sicherheitslücke in der jeweiligen Updatesoftware kennen.

Statt den Updateprozess von Software anzugreifen, könnten die Geheimdienste einen Exploit auch in Webseitenaufrufen unterbringen, sie müssen dafür nur warten, bis das Ziel eine unverschlüsselte HTTP-Webseite aufruft. Trotz der inzwischen hohen Verbreitung von HTTPS dürfte das dennoch immer wieder der Fall sein. Statt der aufgerufenen Webseite kann der ISP einfach eine andere Webseite ausspielen: Doch auch dann müssten die Angreifer eine Sicherheitslücke im Browser kennen oder den Nutzer dazu bringen, die Malware selbst auszuführen. Ein derartiger Angriff mit einer Sicherheitslücke auf einen Journalisten in Marokko wurde kürzlich von Amnesty International dokumentiert, verantwortlich dafür war die israelische Firma NSO und deren Software Pegasus.

Angriffe möglich, aber teuer

Natürlich können auch deutsche Geheimdienste auf solche Sicherheitslücken zurückgreifen. Wenn das Zielsystem veraltet ist, können hierfür unter Umständen bereits bekannte Lücken genutzt werden, andernfalls müssen die Geheimdienste auf sogenannte Zerodays, also noch nicht öffentlich bekannte Sicherheitslücken, zurückgreifen. Das ist in Einzelfällen machbar - aber in jedem Fall teuer.

Politisch relevanter als die Frage, ob Geheimdienste den Datenverkehr bei Internet-Zugangsprovidern manipulieren dürfen, ist die Frage nach dem generellen Umgang mit unentdeckten Sicherheitslücken. Kritisieren sollte man die neuen Maßnahmen dennoch: Wenn Geheimdienste mehr Möglichkeiten erhalten, Nutzer anzugreifen, haben sie auch mehr Anreize, dafür zu sorgen, dass Sicherheitslücken nicht geschlossen werden. Und das beeinträchtigt letztendlich die Sicherheit aller Nutzer.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


chefin 16. Jul 2020

Setze statt Supermarkt "Rigaer Strasse 94 Berlin" ein und du hast deine Antwort.

chefin 16. Jul 2020

Magst du uns den Paragrafen auch sagen, der dieses Grundrecht ausführt? 49 gabs noch...

chefin 16. Jul 2020

Ihr müsst das immer auch von der anderen Seite betrachten. Ihr seit der Staat, ihr wollt...

CraWler 15. Jul 2020

Das viele Linux Distros mit der Sicherheit etwas schludrig umgehen ist doch altbekannt...

User_x 15. Jul 2020

Verwendet der Staat wie auch der Gauner die gleichen Lücken, sind die Informationen eh...



Aktuell auf der Startseite von Golem.de
Waffensystem Spur
Menschen töten, so einfach wie Atmen

Soldaten müssen bald nicht mehr um ihr Leben fürchten. Wozu auch, wenn sie aus sicherer Entfernung Roboter in den Krieg schicken können.
Ein IMHO von Oliver Nickel

Waffensystem Spur: Menschen töten, so einfach wie Atmen
Artikel
  1. OpenBSD, TSMC, Deathloop: Halbleiterwerk für Automotive-Chips in Japan bestätigt
    OpenBSD, TSMC, Deathloop
    Halbleiterwerk für Automotive-Chips in Japan bestätigt

    Sonst noch was? Was am 15. Oktober 2021 neben den großen Meldungen sonst noch passiert ist, in aller Kürze.

  2. Whatsapp: Vater bekommt wegen eines Nacktfotos Ärger mit Polizei
    Whatsapp
    Vater bekommt wegen eines Nacktfotos Ärger mit Polizei

    Ein Vater nutzte ein 15 Jahre altes Nacktfoto seines Sohnes als Statusfoto bei Whatsapp. Nun läuft ein Kinderpornografie-Verfahren.

  3. Pornoplattform: Journalisten wollen Xhamster-Eigentümer gefunden haben
    Pornoplattform
    Journalisten wollen Xhamster-Eigentümer gefunden haben

    Xhamster ist und bleibt Heimat für zahlreiche rechtswidrige Inhalte. Doch ohne zu wissen, wer profitiert, wusste man bisher auch nicht, wer verantwortlich ist.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Bis 21% auf Logitech, bis 33% auf Digitus - Cyber Week • Crucial 16GB Kit 3600 69,99€ • Razer Huntsman Mini 79,99€ • Gaming-Möbel günstiger (u. a. DX Racer 1 Chair 201,20€) • Alternate-Deals (u. a. Razer Gaming-Maus 19,99€) • Gamesplanet Anniversary Sale Classic & Retro [Werbung]
    •  /