Staatstrojaner: Das bedeutet der Geheimdienstzugriff bei ISPs

Geheimdienste sollen laut einem Gesetzentwurf Datenverkehr umleiten können, doch das nützt ihnen nur etwas im Zusammenspiel mit weiteren Sicherheitslücken.

Eine Analyse von veröffentlicht am
Der Verfassungsschutz soll bald die Möglichkeit bekommen, den Datenverkehr direkt beim ISP zu manipulieren.
Der Verfassungsschutz soll bald die Möglichkeit bekommen, den Datenverkehr direkt beim ISP zu manipulieren. (Bild: Olaf Kosinsky, Wikimedia Commons/CC-BY-SA 3.0)

Ein Gesetzentwurf sieht vor, dass Geheimdienste die Möglichkeit erhalten sollen, den Datenverkehr von Providern zu manipulieren, um darüber Staatstrojaner zu verbreiten. Doch eine Schadsoftware im Internetdatenverkehr unterzubringen ist nicht mehr so einfach, wie es einmal war - dank TLS-Verschlüsselung und signierter Updates. Machbar ist das in den meisten Fällen nur, wenn sogenannte Zeroday-Lücken zum Einsatz kommen.

Stellenmarkt
  1. Demand Manager (m/w/d)
    operational services GmbH & Co. KG, Ingolstadt, Wolfsburg, Leinfelden-Echterdingen
  2. Informatiker als IT-Mitarbeiter (m/w/d)
    Max-Planck-Institut für Chemie (Otto-Hahn-Institut), Mainz
Detailsuche

Ursprünglich sollte der Entwurf am 15. Juli 2020 vom Bundeskabinett verabschiedet werden. Doch das Thema verschwand kurzfristig wieder von der Tagesordnung.

Den Gesetzentwurf hatte die Webseite Netzpolitik.org im Juni veröffentlicht. In einem weiteren Artikel berichtete die Seite darüber, dass ein Paragraph des Gesetzentwurfs vorsieht, Geheimdiensten direkt die Möglichkeit zu geben, bei Internet-Zugangsprovidern den Datenverkehr umzuleiten.

Dabei sollen die Geheimdienste den Datenverkehr nicht nur mitlesen können, sondern auch manipulieren. So sollen Maßnahmen der staatlichen Behörden, also etwa die Installation eines Trojaners, um eine Person zu überwachen, durchgeführt werden können.

2020 ist nicht 2011

Golem Akademie
  1. IT-Sicherheit für Webentwickler
    2.-3. November 2021, online
  2. Penetration Testing Fundamentals
    23.-24. September 2021, online
  3. Linux-Systeme absichern und härten
    8.-10. November 2021, online
Weitere IT-Trainings

Netzpolitik.org verweist darauf, dass einige Anbieter von staatlicher Überwachungssoftware solche Mechanismen schon lange anbieten und nennt als Beispiel eine Werbebroschüre der Firma Finfisher, in der beispielhaft ein Softwareupdate angegriffen wird. Doch die Broschüre stammt aus dem Jahr 2011, seither hat sich im Internet einiges verändert.

Softwareupdates, die völlig ungeschützt übertragen werden, findet man heute nur noch selten. Fast immer kommt entweder eine TLS-Verschlüsselung zum Einsatz oder die Updates sind mit Signaturen geschützt, in vielen Fällen ist beides der Fall. Wenn ein Angreifer hier versucht, eine Überwachungssoftware einzuschleusen, führt das nur zu einem Fehler bei der Zertifikats- oder Signaturprüfung. Um einen praktischen Angriff auf einen Updateprozess durchzuführen, müsste der Angreifer eine Sicherheitslücke in der jeweiligen Updatesoftware kennen.

Statt den Updateprozess von Software anzugreifen, könnten die Geheimdienste einen Exploit auch in Webseitenaufrufen unterbringen, sie müssen dafür nur warten, bis das Ziel eine unverschlüsselte HTTP-Webseite aufruft. Trotz der inzwischen hohen Verbreitung von HTTPS dürfte das dennoch immer wieder der Fall sein. Statt der aufgerufenen Webseite kann der ISP einfach eine andere Webseite ausspielen: Doch auch dann müssten die Angreifer eine Sicherheitslücke im Browser kennen oder den Nutzer dazu bringen, die Malware selbst auszuführen. Ein derartiger Angriff mit einer Sicherheitslücke auf einen Journalisten in Marokko wurde kürzlich von Amnesty International dokumentiert, verantwortlich dafür war die israelische Firma NSO und deren Software Pegasus.

Angriffe möglich, aber teuer

Natürlich können auch deutsche Geheimdienste auf solche Sicherheitslücken zurückgreifen. Wenn das Zielsystem veraltet ist, können hierfür unter Umständen bereits bekannte Lücken genutzt werden, andernfalls müssen die Geheimdienste auf sogenannte Zerodays, also noch nicht öffentlich bekannte Sicherheitslücken, zurückgreifen. Das ist in Einzelfällen machbar - aber in jedem Fall teuer.

Politisch relevanter als die Frage, ob Geheimdienste den Datenverkehr bei Internet-Zugangsprovidern manipulieren dürfen, ist die Frage nach dem generellen Umgang mit unentdeckten Sicherheitslücken. Kritisieren sollte man die neuen Maßnahmen dennoch: Wenn Geheimdienste mehr Möglichkeiten erhalten, Nutzer anzugreifen, haben sie auch mehr Anreize, dafür zu sorgen, dass Sicherheitslücken nicht geschlossen werden. Und das beeinträchtigt letztendlich die Sicherheit aller Nutzer.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


chefin 16. Jul 2020

Setze statt Supermarkt "Rigaer Strasse 94 Berlin" ein und du hast deine Antwort.

chefin 16. Jul 2020

Magst du uns den Paragrafen auch sagen, der dieses Grundrecht ausführt? 49 gabs noch...

chefin 16. Jul 2020

Ihr müsst das immer auch von der anderen Seite betrachten. Ihr seit der Staat, ihr wollt...

CraWler 15. Jul 2020

Das viele Linux Distros mit der Sicherheit etwas schludrig umgehen ist doch altbekannt...

User_x 15. Jul 2020

Verwendet der Staat wie auch der Gauner die gleichen Lücken, sind die Informationen eh...



Aktuell auf der Startseite von Golem.de
CMOS-Batterie
Firmware-Update hat PS4 offenbar vor ewigem Aus gerettet

Sony hat mit Firmware 9.0 für die Playstation 4 ein großes Problem gelöst: eine leere CMOS-Batterie kann die Konsole nicht mehr zerstören.

CMOS-Batterie: Firmware-Update hat PS4 offenbar vor ewigem Aus gerettet
Artikel
  1. Microsoft: Das Surface Pro 8 bekommt zum ersten Mal ein neues Design
    Microsoft
    Das Surface Pro 8 bekommt zum ersten Mal ein neues Design

    Das Surface Pro 8 ist da und sieht komplett anders aus. Das reicht von kleineren Displayrändern zu einem dünneren Chassis.

  2. Malware: Mehrere Kliniken nach Hackerangriff vom Netz genommen
    Malware
    Mehrere Kliniken nach Hackerangriff vom Netz genommen

    Neben den Kliniken seien auch Bildungseinrichtungen von dem Malware-Angriff betroffen. Sicherheitshalber wird nun mit Papier und Stift gearbeitet.

  3. Surface Laptop Studio: Microsoft bringt Surface Laptop und Surface Studio zusammen
    Surface Laptop Studio
    Microsoft bringt Surface Laptop und Surface Studio zusammen

    Statt eines neuen Surface Book bringt Microsoft ein völlig neues Gerät heraus. Der Surface Laptop Studio hat ein ungewöhnliches Scharnier.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Black Week bei NBB: Bis 50% Rabatt (u. a. MSI 31,5" Curved WQHD 165Hz 350€) • PS5 Digital + 2. Dualsense + FIFA 22 mit o2-Vertrag bestellbar • Samsung T7 Portable SSD 1TB 105,39€ • Thermaltake Level 20 RS ARGB Tower 99,90€ • Gran Turismo 7 25th Anniv. vorbestellbar 99,99€ [Werbung]
    •  /