Wie der Staatstrojaner auf das Smartphone oder den Computer kommt

Letztlich handelt es sich beim Staatstrojaner schlicht um eine Schadsoftware, die von Behörden eingesetzt wird. Entsprechend unterscheiden sich die Installationswege nicht sonderlich von gewöhnlicher Malware. Wie bei dieser wird häufig, aber nicht immer, auf die Mitarbeit der Betroffenen gesetzt. Wie der Name Trojaner, in Anlehnung an das Trojanische Pferd, schon andeutet, versuchen die Angreifer - in diesem Fall die Behörden - die Opfer mit Tricks zur Installation der Software zu bewegen.

Stellenmarkt
  1. IT Consultant Category Management (w/m/d)
    dmTECH GmbH, Karlsruhe
  2. Spezialist (m/w/d) Controlling
    Porsche Financial Services GmbH, Bietigheim-Bissingen
Detailsuche

Ähnlich wie Emotet und Co kann auch der Staatstrojaner auf Täuschung setzen und so das Opfer zur Installation der Schadsoftware drängen oder zumindest eine Beihilfe leisten lassen. Das kann zum Beispiel mit E-Mails oder Messenger-Nachrichten geschehen, die präparierte Dokumente enthalten. Im Falle von Office-Dokumenten setzt Schadsoftware seit über 20 Jahren erfolgreich auf Office-Makros.

Zwar warnt Word vor der Ausführung des Makro-Codes, doch den Schadsoftware-Entwicklern sind immer wieder neue Tricks eingefallen, um die Betroffenen zu einem Klick auf "Inhalt aktivieren" zu bringen. Neben Office-Dokumenten können auch PDFs ein Einfallstor sein. Auch diese erlauben die Einbettung von Code, beispielsweise um eingetragene Zahlen zusammenzurechnen.

Eine SMS oder E-Mail, die zum Installieren einer Software aufruft

Der trivialste Trick setzt dabei ausschließlich auf die Schwachstelle Mensch: Die Zielperson wird einfach dazu aufgefordert, eine (Schad-)Software zu installieren. So gibt es immer wieder Betrugs-SMS im Namen von Paketdienstleistern wie DHL, die zur Installation einer App auffordern, um ein Paket zu verfolgen.

Golem Akademie
  1. Cloud Competence Center: Strategien, Roadmap, Governance: virtueller Ein-Tages-Workshop
    26.07.2022, Virtuell
  2. Linux-Systemadministration Grundlagen: virtueller Fünf-Tage-Workshop
    16.-20.05.2022, Virtuell
Weitere IT-Trainings

Ähnliche Szenarien sind auch für den Staatstrojaner denkbar, allerdings dürften sie die am wenig aussichtsreichsten sein - denn sie funktionieren nur, wenn die Zielperson nicht misstrauisch wird und einfach x-beliebige Software aus unseriösen Quellen aus dem Internet installiert. Unter Android muss sie sogar noch mehrere Sicherheitswarnungen wegtippen. Entsprechend wahrscheinlicher dürften andere Installationswege sein.

Beschlagnahmte Geräte sind beliebt

In der Vergangenheit hat das bayerische Landeskriminalamt (LKA) bereits einen Staatstrojaner bei einer Zollkontrolle am Münchner Flughafen installiert. Liegt ein Gerät physisch und im entsperrten Zustand vor, beispielsweise bei einer Polizeikontrolle oder einer Beschlagnahme, lässt sich besonders einfach Schadsoftware installieren. Schwieriger wird es, wenn die betroffene Person das Gerät gesperrt hat und die Eingabe oder Herausgabe des Passwortes verweigert.

Doch auch hier bleiben der Polizei und den Geheimdiensten etliche Möglichkeiten. Haben sie nach einer Beschlagnahme Zeit, können sie versuchen, das Passwort durch massenhaftes Durchprobieren aller möglichen Passwörter zu knacken (Brute-Force) oder - sofern vorhanden - eine Sicherheitslücke zur Umgehung der Bildschirmsperre auszunutzen.

So verwendet die Polizei beispielsweise Forensik-Tools von Elcomsoft und Cellebrite, um Daten auszulesen und Passwörter zu ermitteln. Sind die Geräte aus, kann zudem eine Verschlüsselung schützen. Auch hier versuchen die Strafverfolgungsbehörden, die Passwörter zu knacken. Zitis soll über Hochleistungsrechner für die Kryptoanalyse verfügen, während Europol auf das Open-Source-Tool Hashcat setzt. Doch an starker Verschlüsselung mit komplizierten Passwörtern beißen sich auch diese Systeme die Zähne aus.

Per Sicherheitslücke ins Gerät

Besonders wirkungsvoll, aber auch besonders umstritten ist der Einsatz von Sicherheitslücken. Dabei kann einerseits auf bekannte Sicherheitslücken gesetzt werden, die entweder vom Hersteller noch nicht behoben oder auf dem Gerät des Opfers noch nicht gepatcht wurden.

So hatte die Medienbibliothek Stagefright unter Android, die im Prinzip von allen Apps zur Darstellung von Bildern und Videos genutzt wird, in der Vergangenheit immer wieder mit Sicherheitslücken zu kämpfen. Dabei konnte mit einem präparierten Bild oder Video, welches an das Opfer geschickt wurde, das Gerät übernommen werden.

Dabei mussten die Medieninhalte nicht einmal geöffnet werden, weil schon die Erstellung eines Vorschaubildes ausreichte, um die Sicherheitslücke auszunutzen. Ähnliches gilt beispielsweise für Webview, das Webinhalte in Apps anzeigt, aber auch für Browser, Betriebssysteme und so weiter und so fort.

Letztlich enthält nahezu jede aktiv entwickelte Software regelmäßig Sicherheitslücken. Oft werden diese erst mit einem Update bekannt oder kurz nach dem Bekanntwerden wird ein Update veröffentlicht; wer dieses einspielt, ist geschützt. Die meisten Sicherheitslücken lassen sich zudem nicht ohne weiteres ausnutzen, weil Sicherheitssysteme des Betriebssystems eine Ausnutzung erschweren oder weil bestimmte Voraussetzungen für das Ausnutzen gegeben sein müssen.

Zero Days sind besonders gefährlich

Alternativ kann auf Zero Days gesetzt werden, also bis dato unbekannte Sicherheitslücken, für die es keine Patches gibt. Die Lücken werden zu entsprechend hohen Preisen auf dem Schwarzmarkt gehandelt.

Staatliche Einrichtungen können sie auch bei zwielichtigen Exploit-Händlern wie Zerodium (Vorgänger: Vupen) oder direkt bei Trojaner-Schmieden wie Finfisher (Deutschland), NSO (Israel) oder früher Hacking-Team (Italien) einkaufen - bei Letzteren direkt mit der passenden Trojaner-Suite. Laut einer 2014 geleakten Preisliste von Finfisher kostete das Komplettpaket 1,5 Millionen Euro, der Einsatz von Zero-Day-Exploits 700.000 Euro.

Hacking & Security: Das umfassende Handbuch. 2. aktualisierte Auflage des IT-Standardwerks (Deutsch) Gebundene Ausgabe

Finfisher hatte in der Vergangenheit beispielsweise auf eine Zero Day in Microsoft Office gesetzt. Den Opfern wurde ein präpariertes Word-Dokument zugeschickt. Nach dem Öffnen der Datei wurde die Schadsoftware Finfisher heruntergeladen und installiert - ganz ohne die oben genannten Makros.

NSO nutzte Zero Day in Whatsapp aus

NSO konnte Smartphones über eine Zero Day in Whatsapp hacken. Ein Anruf, der nicht einmal angenommen werden musste, genügte, um in das Gerät einzudringen. Insgesamt soll NSO 1.400 Whatsapp-Nutzer über die Sicherheitslücke gehackt haben. Auch eine Zero Day in Android soll die Überwachungsfirma ausgenutzt haben.

Sowohl die Überwachungssoftware von Finfisher, als auch die der NSO sollen gegen Oppositionelle, Journalisten und Menschenrechtsaktivisten eingesetzt worden sein. Gegen beide Unternehmen laufen Gerichtsverfahren.

Bis 2018 will zumindest das BKA keine Zero Days für den Einsatz von Staatstrojanern genutzt haben. Für die Zukunft ausgeschlossen wurde dies jedoch nicht. Dabei gefährden ungepatchte Sicherheitslücken die IT-Sicherheit für alle. Eindrucksvolles Beispiel ist die Schadsoftware Wannacry, die Millionen Rechner und Firmen lahmlegte. Dafür nutzte sie eine von der NSA gehortete Sicherheitslücke.

Hacking über das Netz

Das kürzlich verabschiedete Gesetz zur Anpassung des Verfassungsschutzrechts erlaubt nicht nur allen 19 deutschen Geheimdiensten den Einsatz von Staatstrojanern, es verpflichtet die Provider zudem, den Geheimdiensten bei der Installation der Überwachungssoftware zu helfen.

Konnte sich Finfisher mit Finfly ISP 2011 auf diese Weise noch relativ problemlos an übertragene Softwareupdates anhängen, ist dies im Jahre 2021 so jedoch nicht mehr möglich. Denn ungeschützt übertragene Updates gibt es heutzutage kaum noch. Fast immer kommt entweder eine TLS-Verschlüsselung zum Einsatz oder die Updates sind mit Signaturen geschützt. In vielen Fällen ist beides der Fall.

Stattdessen können Geheimdienste einen Exploit in Webseitenaufrufen unterbringen. Sie müssen dafür nur warten, bis das Ziel eine unverschlüsselte HTTP-Webseite aufruft. Trotz der inzwischen hohen Verbreitung von HTTPS dürfte das dennoch immer wieder der Fall sein.

Statt der aufgerufenen Webseite liefert der Provider dann einfach eine andere Webseite aus. Diese nutzt anschließend eine Sicherheitslücke im Browser aus oder versucht den Nutzer dazu zu bringen, die Malware selbst auszuführen. Ein solcher Angriff mit einer Sicherheitslücke auf einen Journalisten in Marokko wurde im vergangenen Jahr von Amnesty International dokumentiert, verantwortlich dafür war die bereits genannte Überwachungsfirma NSO und deren Schadsoftware Pegasus.

Es gibt also viele Wege, auf denen ein Staatstrojaner auf unsere Geräte kommen kann. Doch zum Glück gibt es auch etliche Möglichkeiten, sich vor einer Infektion zu schützen beziehungsweise es den Geheimdiensten, Strafverfolgungsbehörden und Trojanerschmieden erheblich schwerer zu machen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 Überwachung: Was hilft gegen den Staatstrojaner?Wie kann ich mich vor dem Staatstrojaner schützen? 
  1.  
  2. 1
  3. 2
  4. 3
  5.  


Artim 08. Jul 2021

Oh nein, man nimmt den Unfug den du von dir gibst nicht ernst und entkräftet eine völlig...

Artim 08. Jul 2021

Weil es ja auch so schwer ist, Leute dazu zu bringen, Dinge anzuklicken. Siehe die Flut...

Artim 08. Jul 2021

Die USA interessieren sich nicht für Landesgrenzen. Warum sollte das ein anderes Land...

Artim 08. Jul 2021

Was heißt was die Grünen Vorhaben? Sie wollten es an dem Punkt nicht verbieten, sondern...



Aktuell auf der Startseite von Golem.de
Kitty Lixo
Nach Sex mit Mitarbeitern Instagram-Account zurückerhalten

Laut einer Sexdarstellerin muss man nur die richtigen Leute bei Facebook sehr intim kennen, um seinen Instagram-Account immer wieder zurückzubekommen.

Kitty Lixo: Nach Sex mit Mitarbeitern Instagram-Account zurückerhalten
Artikel
  1. Ebay-Kleinanzeigen: Im Chat mit den Phishing-Betrügern
    Ebay-Kleinanzeigen
    Im Chat mit den Phishing-Betrügern

    Wenn man bestimmte Anzeigen in Kleinanzeigenportalen aufgibt, hat man sofort einen Betrüger an der Backe. Die Polizei kann kaum etwas dagegen tun.
    Ein Bericht von Friedhelm Greis

  2. Musikstreaming: Audi bringt Apple Music ins Auto
    Musikstreaming
    Audi bringt Apple Music ins Auto

    Audi integriert den Streamingdienst Apple Music in das Infotainmentsystem seiner Fahrzeuge. Ein Smartphone-Kopplung ist nicht notwendig.

  3. Autos: Mercedes' Luxuskurs könnte das Aus für A- und B-Klasse sein
    Autos
    Mercedes' Luxuskurs könnte das Aus für A- und B-Klasse sein

    Mercedes definiert sich neu als Luxuskonzern. Das könnte auch das Ende für die Einsteiger-Modelle bedeuten, weil mit diesen kaum Geld zu verdienen ist.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Cyber Week: Bis zu 87€ Rabatt auf SSDs • PNY RTX 3080 12GB günstig wie nie: 974€ • Razer Basilisk V3 Gaming-Maus 44,99€ • PS5-Controller + Samsung SSD 1TB 176,58€ • MindStar (u. a. MSI RTX 3090 24GB Suprim X 1.790€) • Gigabyte Waterforce Mainboard günstig wie nie: 464,29€ [Werbung]
    •  /