Wie der Staatstrojaner auf das Smartphone oder den Computer kommt

Letztlich handelt es sich beim Staatstrojaner schlicht um eine Schadsoftware, die von Behörden eingesetzt wird. Entsprechend unterscheiden sich die Installationswege nicht sonderlich von gewöhnlicher Malware. Wie bei dieser wird häufig, aber nicht immer, auf die Mitarbeit der Betroffenen gesetzt. Wie der Name Trojaner, in Anlehnung an das Trojanische Pferd, schon andeutet, versuchen die Angreifer - in diesem Fall die Behörden - die Opfer mit Tricks zur Installation der Software zu bewegen.

Stellenmarkt
  1. Leiter Digitale Projekte (m/w/d)
    DEHOGA Baden-Württemberg e. V., Stuttgart
  2. IT-Administrator (m/w/d) - Schwerpunkt AD und VMware-Infrastruktur
    Herbert Kannegiesser GmbH, Vlotho
Detailsuche

Ähnlich wie Emotet und Co kann auch der Staatstrojaner auf Täuschung setzen und so das Opfer zur Installation der Schadsoftware drängen oder zumindest eine Beihilfe leisten lassen. Das kann zum Beispiel mit E-Mails oder Messenger-Nachrichten geschehen, die präparierte Dokumente enthalten. Im Falle von Office-Dokumenten setzt Schadsoftware seit über 20 Jahren erfolgreich auf Office-Makros.

Zwar warnt Word vor der Ausführung des Makro-Codes, doch den Schadsoftware-Entwicklern sind immer wieder neue Tricks eingefallen, um die Betroffenen zu einem Klick auf "Inhalt aktivieren" zu bringen. Neben Office-Dokumenten können auch PDFs ein Einfallstor sein. Auch diese erlauben die Einbettung von Code, beispielsweise um eingetragene Zahlen zusammenzurechnen.

Eine SMS oder E-Mail, die zum Installieren einer Software aufruft

Der trivialste Trick setzt dabei ausschließlich auf die Schwachstelle Mensch: Die Zielperson wird einfach dazu aufgefordert, eine (Schad-)Software zu installieren. So gibt es immer wieder Betrugs-SMS im Namen von Paketdienstleistern wie DHL, die zur Installation einer App auffordern, um ein Paket zu verfolgen.

Golem Akademie
  1. Penetration Testing Fundamentals
    23.-24. September 2021, online
Weitere IT-Trainings

Ähnliche Szenarien sind auch für den Staatstrojaner denkbar, allerdings dürften sie die am wenig aussichtsreichsten sein - denn sie funktionieren nur, wenn die Zielperson nicht misstrauisch wird und einfach x-beliebige Software aus unseriösen Quellen aus dem Internet installiert. Unter Android muss sie sogar noch mehrere Sicherheitswarnungen wegtippen. Entsprechend wahrscheinlicher dürften andere Installationswege sein.

Beschlagnahmte Geräte sind beliebt

In der Vergangenheit hat das bayerische Landeskriminalamt (LKA) bereits einen Staatstrojaner bei einer Zollkontrolle am Münchner Flughafen installiert. Liegt ein Gerät physisch und im entsperrten Zustand vor, beispielsweise bei einer Polizeikontrolle oder einer Beschlagnahme, lässt sich besonders einfach Schadsoftware installieren. Schwieriger wird es, wenn die betroffene Person das Gerät gesperrt hat und die Eingabe oder Herausgabe des Passwortes verweigert.

Doch auch hier bleiben der Polizei und den Geheimdiensten etliche Möglichkeiten. Haben sie nach einer Beschlagnahme Zeit, können sie versuchen, das Passwort durch massenhaftes Durchprobieren aller möglichen Passwörter zu knacken (Brute-Force) oder - sofern vorhanden - eine Sicherheitslücke zur Umgehung der Bildschirmsperre auszunutzen.

So verwendet die Polizei beispielsweise Forensik-Tools von Elcomsoft und Cellebrite, um Daten auszulesen und Passwörter zu ermitteln. Sind die Geräte aus, kann zudem eine Verschlüsselung schützen. Auch hier versuchen die Strafverfolgungsbehörden, die Passwörter zu knacken. Zitis soll über Hochleistungsrechner für die Kryptoanalyse verfügen, während Europol auf das Open-Source-Tool Hashcat setzt. Doch an starker Verschlüsselung mit komplizierten Passwörtern beißen sich auch diese Systeme die Zähne aus.

Per Sicherheitslücke ins Gerät

Besonders wirkungsvoll, aber auch besonders umstritten ist der Einsatz von Sicherheitslücken. Dabei kann einerseits auf bekannte Sicherheitslücken gesetzt werden, die entweder vom Hersteller noch nicht behoben oder auf dem Gerät des Opfers noch nicht gepatcht wurden.

So hatte die Medienbibliothek Stagefright unter Android, die im Prinzip von allen Apps zur Darstellung von Bildern und Videos genutzt wird, in der Vergangenheit immer wieder mit Sicherheitslücken zu kämpfen. Dabei konnte mit einem präparierten Bild oder Video, welches an das Opfer geschickt wurde, das Gerät übernommen werden.

Dabei mussten die Medieninhalte nicht einmal geöffnet werden, weil schon die Erstellung eines Vorschaubildes ausreichte, um die Sicherheitslücke auszunutzen. Ähnliches gilt beispielsweise für Webview, das Webinhalte in Apps anzeigt, aber auch für Browser, Betriebssysteme und so weiter und so fort.

Letztlich enthält nahezu jede aktiv entwickelte Software regelmäßig Sicherheitslücken. Oft werden diese erst mit einem Update bekannt oder kurz nach dem Bekanntwerden wird ein Update veröffentlicht; wer dieses einspielt, ist geschützt. Die meisten Sicherheitslücken lassen sich zudem nicht ohne weiteres ausnutzen, weil Sicherheitssysteme des Betriebssystems eine Ausnutzung erschweren oder weil bestimmte Voraussetzungen für das Ausnutzen gegeben sein müssen.

Zero Days sind besonders gefährlich

Alternativ kann auf Zero Days gesetzt werden, also bis dato unbekannte Sicherheitslücken, für die es keine Patches gibt. Die Lücken werden zu entsprechend hohen Preisen auf dem Schwarzmarkt gehandelt.

Staatliche Einrichtungen können sie auch bei zwielichtigen Exploit-Händlern wie Zerodium (Vorgänger: Vupen) oder direkt bei Trojaner-Schmieden wie Finfisher (Deutschland), NSO (Israel) oder früher Hacking-Team (Italien) einkaufen - bei Letzteren direkt mit der passenden Trojaner-Suite. Laut einer 2014 geleakten Preisliste von Finfisher kostete das Komplettpaket 1,5 Millionen Euro, der Einsatz von Zero-Day-Exploits 700.000 Euro.

Hacking & Security: Das umfassende Handbuch. 2. aktualisierte Auflage des IT-Standardwerks (Deutsch) Gebundene Ausgabe

Finfisher hatte in der Vergangenheit beispielsweise auf eine Zero Day in Microsoft Office gesetzt. Den Opfern wurde ein präpariertes Word-Dokument zugeschickt. Nach dem Öffnen der Datei wurde die Schadsoftware Finfisher heruntergeladen und installiert - ganz ohne die oben genannten Makros.

NSO nutzte Zero Day in Whatsapp aus

NSO konnte Smartphones über eine Zero Day in Whatsapp hacken. Ein Anruf, der nicht einmal angenommen werden musste, genügte, um in das Gerät einzudringen. Insgesamt soll NSO 1.400 Whatsapp-Nutzer über die Sicherheitslücke gehackt haben. Auch eine Zero Day in Android soll die Überwachungsfirma ausgenutzt haben.

Sowohl die Überwachungssoftware von Finfisher, als auch die der NSO sollen gegen Oppositionelle, Journalisten und Menschenrechtsaktivisten eingesetzt worden sein. Gegen beide Unternehmen laufen Gerichtsverfahren.

Bis 2018 will zumindest das BKA keine Zero Days für den Einsatz von Staatstrojanern genutzt haben. Für die Zukunft ausgeschlossen wurde dies jedoch nicht. Dabei gefährden ungepatchte Sicherheitslücken die IT-Sicherheit für alle. Eindrucksvolles Beispiel ist die Schadsoftware Wannacry, die Millionen Rechner und Firmen lahmlegte. Dafür nutzte sie eine von der NSA gehortete Sicherheitslücke.

Hacking über das Netz

Das kürzlich verabschiedete Gesetz zur Anpassung des Verfassungsschutzrechts erlaubt nicht nur allen 19 deutschen Geheimdiensten den Einsatz von Staatstrojanern, es verpflichtet die Provider zudem, den Geheimdiensten bei der Installation der Überwachungssoftware zu helfen.

Konnte sich Finfisher mit Finfly ISP 2011 auf diese Weise noch relativ problemlos an übertragene Softwareupdates anhängen, ist dies im Jahre 2021 so jedoch nicht mehr möglich. Denn ungeschützt übertragene Updates gibt es heutzutage kaum noch. Fast immer kommt entweder eine TLS-Verschlüsselung zum Einsatz oder die Updates sind mit Signaturen geschützt. In vielen Fällen ist beides der Fall.

Stattdessen können Geheimdienste einen Exploit in Webseitenaufrufen unterbringen. Sie müssen dafür nur warten, bis das Ziel eine unverschlüsselte HTTP-Webseite aufruft. Trotz der inzwischen hohen Verbreitung von HTTPS dürfte das dennoch immer wieder der Fall sein.

Statt der aufgerufenen Webseite liefert der Provider dann einfach eine andere Webseite aus. Diese nutzt anschließend eine Sicherheitslücke im Browser aus oder versucht den Nutzer dazu zu bringen, die Malware selbst auszuführen. Ein solcher Angriff mit einer Sicherheitslücke auf einen Journalisten in Marokko wurde im vergangenen Jahr von Amnesty International dokumentiert, verantwortlich dafür war die bereits genannte Überwachungsfirma NSO und deren Schadsoftware Pegasus.

Es gibt also viele Wege, auf denen ein Staatstrojaner auf unsere Geräte kommen kann. Doch zum Glück gibt es auch etliche Möglichkeiten, sich vor einer Infektion zu schützen beziehungsweise es den Geheimdiensten, Strafverfolgungsbehörden und Trojanerschmieden erheblich schwerer zu machen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 Überwachung: Was hilft gegen den Staatstrojaner?Wie kann ich mich vor dem Staatstrojaner schützen? 
  1.  
  2. 1
  3. 2
  4. 3
  5.  


Aktuell auf der Startseite von Golem.de
Halbleiterfertigung
Aus 10 nm wird "Intel 7"

Intel orientiert sich vorerst an TSMC, will aber dank RibbonFets und PowerVias ab 2025 führend bei der Halbleiterfertigung sein.
Ein Bericht von Marc Sauter

Halbleiterfertigung: Aus 10 nm wird Intel 7
Artikel
  1. Elektroauto: Tesla überrascht mit großem Gewinnsprung
    Elektroauto
    Tesla überrascht mit großem Gewinnsprung

    Tesla hat im 2. Quartal 2021 sowohl die Umsatz- als auch die Gewinnerwartungen deutlich übertrumpfen können.

  2. Form Energy: Eisen-Luft-Akku soll Energiespeicherprobleme lösen
    Form Energy
    Eisen-Luft-Akku soll Energiespeicherprobleme lösen

    Mit Geld von Bill Gates und Jeff Bezos sollen große, billige Akkus Strom für mehrere Tage speichern. Kann die Technik liefern, was sie verspricht?
    Eine Analyse von Frank Wunderlich-Pfeiffer

  3. Brickit ausprobiert: Lego scannen einfach gemacht?
    Brickit ausprobiert
    Lego scannen einfach gemacht?

    Mit Kamera und Bilderkennung kann Brickit Lego digital einscannen. Das ist es aber nicht, was die App so praktisch macht.
    Ein Hands-on von Oliver Nickel

Artim 08. Jul 2021 / Themenstart

Oh nein, man nimmt den Unfug den du von dir gibst nicht ernst und entkräftet eine völlig...

Artim 08. Jul 2021 / Themenstart

Weil es ja auch so schwer ist, Leute dazu zu bringen, Dinge anzuklicken. Siehe die Flut...

Artim 08. Jul 2021 / Themenstart

Die USA interessieren sich nicht für Landesgrenzen. Warum sollte das ein anderes Land...

Artim 08. Jul 2021 / Themenstart

Was heißt was die Grünen Vorhaben? Sie wollten es an dem Punkt nicht verbieten, sondern...

Dark Harry 08. Jul 2021 / Themenstart

Ja, soweit ist es gekommen.

Kommentieren



Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Schnäppchen • Bosch Professional Amazon-Exklusives günstiger • Samsung G7 27" QLED Curved WQHD 240Hz 459€ • Kingston Fury 32GB Kit 3200MHz 149,90€ • 3 für 2 & Sony-TV-Aktion bei MM • New World vorbestellbar ab 39,99€ • Alternate (u. a. Deepcool RGB LED-Streifen 10,99€) • Apple Days [Werbung]
    •  /