Original-URL des Artikels: https://www.golem.de/news/ueberwachungssoftware-ein-warmes-mittagessen-fuer-den-staatstrojaner-1407-108080.html    Veröffentlicht: 24.07.2014 11:32    Kurz-URL: https://glm.io/108080

Überwachungssoftware

Ein warmes Mittagessen für den Staatstrojaner

Das Geschäft mit Überwachungssoftware boomt. Deutsche Firmen haben die unterschiedlichsten Programme dafür entwickelt. Ein Exportstopp könnte aber mehr schaden als nützen, befürchten Hacker.

Die Liste der Firmen ist lang: Digitask, Gamma Group, Medav, Reuter, Rheinmetall Defence, Siemens, Syborg, Trovicor, Utimaco. Wenn es um den Einsatz von Überwachungssoftware geht, sind deutsche Firmen gut im Geschäft. Die Programme der kommerziellen Firmen stehen dabei den Möglichkeiten der Geheimdienste wie der NSA wenig nach. Die Kritik an den Exporten der Programme in Unrechtsstaaten zeigt offenbar schon erste Wirkung, wie Anfragen von Golem.de zeigen. Hacker sehen in den Exportauflagen aber auch Nachteile für Sicherheitsexperten.

In den vergangenen Jahren haben Aktivisten und Medien zahlreiche Materialien über die Firmen gesammelt. Diese gehen über deren zum Teil karge Webseiten deutlich hinaus. Das Wall Street Journal startete im Juli 2011 die Berichte mit einem "Überwachungskatalog" und bezifferte den weltweiten Markt der Produkte auf fünf Milliarden Dollar. Die Enthüllungsplattform Wikileaks veröffentlichte unter dem Titel "Spy Files" seit 2011 fast 600 Dokumente zu den Unternehmen. Ebenfalls im Jahr 2011 stellte das frühere CCC-Vorstandsmitglied Andy Müller-Maguhn das Wiki Buggedplanet (Verwanzter Planet) vor, das öffentlich zugängliche Daten, Berichte und Dokumente zum Überwachungsgeschäft zusammenträgt.

Staaten brauchen Überwachungsprogramme

Organisationen wie Privacy International oder Reporter ohne Grenzen prangern die Praktiken der Firmen regelmäßig an und warnen vor dem Export der Software in repressive Staaten. Das im kanadischen Toronto ansässige Citizen Lab analysiert Spähprogramme, mit denen Aktivisten weltweit überwacht werden sollen. Doch welche Programme von welchem Staat auf welche Weise eingesetzt werden, erscheint undurchsichtig wie eh und je.

Die Firmen können es sich dabei sehr einfach machen, ihre Dienste zu verkaufen. Denn überall in der Welt brauchen die Ermittlungsbehörden schließlich Programme und Geräte, um gemäß ihrem gesetzlich legitimierten Auftrag Verdächtige zu überwachen. Lawful interception, rechtmäßige Überwachung, oder IT-Forensik heißen die Schlagwörter. Die Debatte um den sogenannten Staatstrojaner zeigte jedoch: Es lässt sich gar nicht so einfach feststellen und überprüfen, was die Spähprogramme können und ob dies tatsächlich dem gesetzlich legitimierten Auftrag entspricht. Von der Frage, ob sie nur in berechtigten Fällen eingesetzt werden, ganz zu schweigen.

Die eingesetzten Techniken kommen dabei auf verschiedenen Ebenen zum Einsatz. Sogenannte Intrusion-Software greift direkt die Rechner von Verdächtigen an, Netzwerkmanagementsysteme können den kompletten Datenverkehr überwachen. Daneben gibt es Systeme zur Vorratsdatenspeicherung und zum Abhören von Telefongesprächen, die sogenannte Telekommunikationsüberwachung (TKÜ). Analysetools helfen den Behörden, die Datenmengen auszuwerten und aufzubereiten.

Exportkanäle lassen sich schwer prüfen

Eine Firma, die im Kontext von Intrusionsprogrammen immer wieder erwähnt und kritisiert wird, ist die Gamma Group mit Sitz in Großbritannien und München. Das Unternehmen soll 2006 einen der Mitentwickler von Backtrack-Linux, Martin Johannes Münch, angeworben haben, wie ein Szeneaussteiger dem Chaos Computer Club berichtete. Auf der Basis von Backtrack wurde das Spähprogramm Finfisher entwickelt. Mehrere Mitarbeiter hätten hochkarätige Vorträge auf den Sicherheitskonferenzen Defcon und Black Hat gehalten, heißt es in einem angeblichen Unternehmensprospekt. Finfisher besteht dabei aus einer ganzen Familie an Überwachungstechnik, in dem Prospekt als "komplettes IT-Eindring-Portfolio" bezeichnet. Per USB-Stick, über LAN-Netzwerke oder infizierte Websites lassen sich demnach die Spionageprogramme installieren.

Gamma wird vorgeworfen, seine Programme auch an Staaten wie Bahrain, Turkmenistan, Katar und die Vereinigten Arabischen Emirate verkauft zu haben. Citizen Lab fand Command-and-Control-Server in 25 Staaten. Das Unternehmen verteidigt sich bisweilen damit, dass eine Demoversion für einen Kunden gestohlen worden sei. Die Bundesregierung erwarb im vergangenen Jahr Lizenzen für Finfisher und gab dafür fast 150.000 Euro aus. Die US-Firma Computer Science Corporation (CSC), als Spionagedienstleister für die NSA bekannt, sollte dabei die Funktionen des Trojaners überprüfen.

Yahoo Lizenz für über 60.000 Euro

Zu einer unrühmlichen Bekanntheit im Zusammenhang mit staatlichen Trojanern hat es die hessische Firma Digitask gebracht. Die Firma, die mit einem "warmen Mittagessen nach Wahl" um neue Mitarbeiter wirbt, programmierte für das bayerische Landeskriminalamt den vielgescholtenen Staatstrojaner 0zapftis. Allein das Zollkriminalamt kaufte in den vergangenen Jahren für mehrere Millionen Euro Produkte von Digitask, darunter für die "Anmietung eines Systems zur Überwachung von Skype" für einige Zehntausend Euro, "Mail Lizenz Yahoo inkl. Softwarepflege" für rund 66.000 Euro und "Software zur Dekodierung aufgezeichneter TK: Google Mail, MSN Hotmail, Yahoo Mail" für über 10.000 Euro.

Mehr als zwei Millionen Euro ließ sich der Zoll im Jahr 2008 die "Kapazitätsanpassung der ETSI-Schnittstellen" kosten. Auf Anfrage von Golem.de wollte Digitask keine Angaben dazu machen, was es mit der "Mail Lizenz Yahoo" oder der "Dekodierung aufgezeichneter TK" auf sich hat. Was hinter der ebenfalls gekauften "Mail Lizenz GMX" steckt, konnte auch ein GMX-Firmensprecher auf Anfrage nicht sagen. Das Zollkriminalamt beantwortete eine entsprechende Anfrage bislang nicht. Digitask teilte Golem.de mit, derzeit nicht mehr an Produkten wie dem Bundestrojaner zu arbeiten.

Auf ihrer Website wirbt die Firma unter dem Stichwort IT-Forensik noch damit, "individuell angepasste Systeme" zu entwickeln. Der vom CCC porträtierte Hacker, der für die Schweizer Firma Dreamlab gearbeitet hatte, sieht vor allem die sogenannte Remote Forensic als sehr kritisch. Diese bedeute "eine vollständige Kompromittierung eines lokalen Zielsystems mit allen Mitteln, um Daten statisch und dynamisch (also zur Laufzeit) auszuwerten und zu protokollieren".

Den gesamten Netztraffic kontrollieren

Solche Fernzugriffe über das Internet sind jedoch nur eine von vielen Möglichkeiten, die Kommunikation zu überwachen. Zum Arsenal der Behörden gehören darüber hinaus noch Programme und Geräte, die den gesamten Netztraffic kontrollieren sowie Satelliten- und Mobilfunkverbindungen abhören können, wie sie die Bremer Firma Rheinmetall Defence herstellt. Die fränkische Firma Medav wiederum liefert eine Datenanalyse, um beispielsweise bestimmte Sprecher zu erkennen. Die ehemals zum Nokia Siemens Network gehörende Firma Trovicor entwickelt nach eigenen Angaben Lösungen für Netzwerkintelligenz (NI), für die Sicherheit von Internet und Infrastruktur sowie die Analyse von Individual- und Massenkommunikation. In einer Stellenanzeige suchte Trovicor jüngst einen Mitarbeiter für die Entwicklung von DPI/NI-Konzepten.

Nach Ansicht von Reporter ohne Grenzen sollten keine Programme für Netzwerkmanagement in undemokratische Staaten verkauft werden, wenn diese eine Deep Packet Inspection (DPI) ermöglichten. Diese Funktion sei für ein Netzwerkmanagement nicht erforderlich, ermögliche jedoch die Kontrolle von Inhalten bei der Übertragung von Netzwerkpaketen. Trovicor geriet daher in der Vergangenheit in die Kritik, weil Produkte auch an autoritäre Staaten wie Bahrain geliefert worden seien. Die Firma teilte auf Anfrage von Golem.de mit, keine Länder zu beliefern, "die sich im Bürgerkrieg oder in bürgerkriegsähnlichen Zuständen befinden oder für die solche Umstände vorhersehbar sind".

Dass selbst der Einsatz von Überwachungssoftware in nichtautoritären Staaten mitunter sehr fragwürdig sein kann, zeigt ein jüngst veröffentlichter Transparenzbericht von Vodafone. Vodafone soll in sechs Staaten verpflichtet sein, den Behörden kompletten Zugang zu seinem Kommunikationsnetz zu gewähren. In Albanien, Ägypten, Ungarn, Indien, Katar, Malta, Rumänien, Südafrika und der Türkei ist dem Telekommunikationskonzern nicht erlaubt, Informationen zu den Abhörmaßnahmen zu veröffentlichen.

Solche Programme zum Abhören und zur Vorratsdatenspeicherung liefert beispielsweise die Aachener Firma Utimaco. Diese wurde 2011 kritisiert, weil ihre TKÜ-Programme auch nach Syrien geliefert worden sein sollten. Ein Utimaco-Manager sagte damals zu Golem.de, dass die Produkte außerhalb Deutschlands über OEM-Partner vertrieben würden. Alle Utimaco-Käufer müssten sich verpflichten, die deutschen und europäischen Ausfuhrrichtlinien und die Uno-Blocklisten zu beachten. Dennoch könne es "immer sein, dass einer der großen OEM-Partner oder ein Reseller an einen Netzbetreiber in so einem Land liefert."

Exportverbot könnte Sicherheitsexperten treffen

Um die Ausfuhr von Überwachungsprodukten in autoritäre Staaten zu erschweren, wurden bestimmte Systeme in die Liste des Wassenaar-Abkommens für Exportkontrollen von konventionellen Waffen und doppelverwendungsfähigen (dual use) Gütern und Technologien aufgenommen. Dazu zählen unter anderem IMSI-Catcher, Staatstrojaner (Intrusionssoftware), Satellitenfunküberwachung und Netzwerkmanagementsysteme. Die EU arbeitet derzeit daran, die Geräte in ihre Dual-Use-Verordnung EG 428/2009 aufzunehmen, deren Einhaltung in Deutschland vom Bundesamt für Wirtschaft und Ausfuhrkontrolle (Bafa) überwacht wird. Bis Ende des Jahres soll die Liste aktualisiert werden.

Im vergangenen Mai stoppte das Wirtschaftsministerium bereits vorläufig den Export von Überwachungsprodukten in Unrechtsstaaten. Auf Anfrage von Golem.de hieß es, das Ministerium stehe bereits seit Anfang des Jahres mit den betroffenen deutschen Unternehmen in Kontakt. Eine formale Ablehnung habe es seit dem Exportstopp noch nicht gegeben, da einzelne Firmen "bei kritisch einzustufenden Lieferungen" von entsprechenden Aufträgen Abstand genommen hätten, ohne ein Antragsverfahren beim Bafa zu starten. Im vergangenen Jahr sei jedoch in zwei Fällen der Export von TKÜ-Systemen abgelehnt worden, in diesem Jahr in einem Fall.

Hacker warnen vor zu großem Aufwand für kleine Unternehmen

Sicherheitsforscher befürchten inzwischen, dass die Exportbestimmungen über das Ziel hinausschießen könnten. Christian Horchert vom Chaos Computer Club, besser bekannt unter seinem Nickname Fukami, verweist in der Süddeutschen Zeitung (SZ) darauf, dass Sicherheitsexperten für ihre Arbeit auch Angriffsprogramme benötigen, um Systeme auf mögliche Lücken zu prüfen. Eine Problematik, die im Zusammenhang mit den sogenannten Hackerparagrafen hinreichend bekannt ist. Das Wassenaar-Abkommen definiert in seiner Kontrollliste Intrusionssoftware unter anderem damit, dass die Programme den "Standardausführungspfad eines Programms oder Prozesses modifizieren, um die Ausführung von außen bereitgestellter Befehle zu erlauben".

Dies ist für Horchert "ganz klar eine Definition von Exploits" und nicht von Überwachungssoftware. Exploits seien aber erforderlich, um Schutzsysteme zu entwickeln und den Kunden deren Sicherheitslücken vorzuführen, sagte er auf Anfrage von Golem.de. Kleine Unternehmen hätten keine Ressourcen, um sich um Exportlizenzen zu kümmern oder Anwälte dafür zu bezahlen, sagte Horchert, der auch für die Sicherheitsfirma Sektion Eins arbeitet. Der Sicherheitsforscher Morgan Marquis-Boire vom Citizen Lab äußerte in der SZ die Sorge, dass mit den Exportkontrollen eine Industrie von exakt den Regierungen reguliert werde, die die Entwicklung von Spähprogrammen in Auftrag gäben.

Kunden weichen auf andere Firmen aus

Ob und wie sich das Wassenaar-Abkommen auf die deutschen Firmen auswirken wird, ist schwer vorherzusagen. Schon jetzt habe die Debatte über die Gamma Group dazu geführt, dass vermutlich viele Kunden von Finfisher auf die Produkte des italienischen Herstellers Hacking Team umgestiegen seien, sagte ein Sicherheitsforscher vom Citizen Lab jüngst dem Guardian. Kaspersky und Citizen Lab berichteten Ende Juni über mobile Trojaner für Android und iOS von Hacking Team. Von den EU-Exportregeln wäre jedoch auch die italienische Firma betroffen. Die Eröffnung einer Niederlassung in der Schweiz, wie von der Gamma Group berichtet, dürfte ebenfalls kein Ausweg sein, da auch die Schweiz dem Wassenaar-Abkommen beigetreten ist.

Vielleicht bietet aber der heimische Markt der Überwachungstechnik in Zukunft genug Chancen. Die Debatte über die Vorratsdatenspeicherung ist schließlich noch nicht abgeschlossen. Wie der Streit über die Netzneutralität zeigt, könnten Netzwerkmanagementsysteme mit DPI bald auch in Europa stark nachgefragt werden.  (fg)


Verwandte Artikel:
Bundeshack: Ausländischer Geheimdienst soll Regierung gewarnt haben   
(02.03.2018, https://glm.io/133112 )
Fluggastdaten: Regierung dementiert Hackerangriff auf deutsches PNR-System   
(10.03.2018, https://glm.io/133261 )
Staatstrojaner und Quick-Freeze: Österreich verschärft frühere Überwachungspläne   
(22.02.2018, https://glm.io/132940 )
Staatstrojaner: Finspy vom Innenministerium freigegeben   
(03.02.2018, https://glm.io/132564 )
Überwachungstechnik: EU-Parlament fordert schärfere Ausfuhrregeln   
(18.01.2018, https://glm.io/132237 )

© 1997–2020 Golem.de, https://www.golem.de/