Mitte Juni hat der Deutsche Bundestag mit einem "Gesetz zur Anpassung des Verfassungsschutzrechts" der Bundespolizei sowie allen 19 Nachrichtendiensten in Deutschland erlaubt, Computer und Smartphones mit einer Überwachungssoftware - dem "Staatstrojaner" - anzugreifen und durch Zugriff auf Einrichtungen von Telekommunikationsdienstleistern verschlüsselte Kommunikation mitlesen oder mithören zu können. Der Entwurf war - wie bei Eingriffen in Privatsphäre und Ausweitung staatlicher Überwachung fast schon üblich - erneut unter großem Zeitdruck und mit einem kurz vor der Abstimmung verschärften Änderungsantrag, der weit über zuvor ausgehandelte Absprachen hinausgeht, durchgepaukt worden.
Zwar benötigen die Behörden für die nun möglichen Eingriffe in jedem Fall eine entsprechende Anordnung - die kann aber als gegeben vorausgesetzt werden, da den bisher vorliegenden Zahlen zufolge der sogenannte "Richtervorbehalt" in der Praxis wirkungslos ist, weil so gut wie jeder Überwachungsantrag auch genehmigt wird. Ob der neuerliche Anlauf der Politik vom Bundesverfassungsgericht gutgeheißen wird, bleibt abzuwarten. Frühere Versuche wurden bereits zurückgewiesen und sogar mit der Ableitung des "Grundrechts auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme" durch das Bundesverfassungsgericht aus anderen Grundrechtsbestimmungen beantwortet. Und dann bleibt noch die Frage, ob es den Behörden diesmal gelingen wird, eine funktionierende, rechtskonforme Software zu erstellen.
IT-Security-Anbieter werden keine Rücksicht nehmen
Eine zusätzliche Hürde dürften im Einsatz die gängigen IT-Security-Programme sein. Während beim ersten Staatstrojaner vor rund zehn Jahren Antivirenprodukte noch hauptsächlich signaturbasiert arbeiteten und eine zurückhaltend eingesetzte staatliche Überwachungssoftware durchaus Chancen gehabt hätte, unbemerkt zu bleiben, ist das heute anders. Alle ernstzunehmenden Produkte nutzen diverse Zusatztechnologien - von Verhaltensanalyse bis künstlicher Intelligenz - und deren Hersteller sind nicht nur zuversichtlich, dass sie auch staatliche Überwachungssoftware erkennen würden, sondern machen auch ziemlich deutlich, dass sie diesbezüglich keine Rücksichten nehmen werden.
"Wir schließen keine Form von Malware von der Erkennung aus und werden dies auch nicht tun. Und wir ermutigen oder befürworten in keiner Weise die Verwendung von Schadprogrammen, egal aus welchen Gründen", erklärt etwa Bogdan Botezatu, Director Threat Research and Reporting bei Bitdefender, auf Anfrage von ChannelPartner. Bitdefender behandele "alle Malware gleich und unterschiedslos, unabhängig davon, ob sie kommerziell eingesetzt oder staatlich gefördert ist."
"Der Staatstrojaner ist technisch gesehen ein Trojaner wie jeder andere, der versucht, den Nutzer ohne sein Wissen auszuspionieren", stellt Jaya Baloo, Chief Information Security Officer bei Avast, fest. "Wir behandeln Staatstrojaner auch weiterhin wie jede andere Schadsoftware - egal, wer der Autor ist", bekräftigt Ralf Benzmüller, Executive Speaker G Data Security Labs aus Sicht des deutschen Anbieters.
Rüdiger Trost, Cyber-Security-Experte bei F-Secure, bekräftigt auf Anfrage von ChannelPartner den bereits im Herbst 2020 formulierten Standpunkt seines Unternehmens. "Der Regierung sollte doch klar sein, dass der Staatstrojaner wie jede andere Malware behandelt und bekämpft werden wird." Damit liegen Trost und sein Arbeitgeber auf derselben Linie wie Kaspersky. Das Unternehmen erklärt: "Unsere Schutzsoftware sowie Services erkennen jegliche Art von Angriff, unabhängig des möglichen Ursprungs sowie Art und Geografie des angegriffenen Geräts. Als international agierendes Unternehmen mit einem globalen Fokus gibt es keine regionalen Unterschiede oder Ausnahmen des Auftrags, unsere Kunden bestmöglich zu schützen."
"Schadcode ist für uns Schadcode und wird entsprechend behandelt", fasst auch Thomas Uhlemann, Security Specialist DACH bei Eset, zusammen. "Eset hat in der Vergangenheit seine Kunden vor der Spionagesoftware FinFisher & Co. erfolgreich geschützt. Oder ein anderes Beispiel: Durch den Hack eines italienischen Anbieters von (staatlicher) Spionagesoftware wurden interne E-Mails mit brisantem Inhalt öffentlich. In diesen beschwerten sich die Autoren, dass sie an der Erkennung von Eset-Lösungen verzweifelten und nicht zum Ziel kamen."
Mehr Schaden als Nutzen durch den Staatstrojaner
"Die Bekämpfung von (Cyber-)Kriminalität ist ohne Zweifel ein wichtiges Ziel. Es ist daher verständlich, dass der Gesetzgeber nach Wegen sucht, den Ermittlungsbehörden in dieser Situation effektivere Werkzeuge zur Verfügung zu stellen", bringt Richard Werner, Business Consultant bei Trend Micro, ansatzweise Verständnis für die Position der Regierung auf. Er macht aber auch deutlich: "Der Einsatz von Trojanern oder anderer Malware ist aus unserer Sicht dafür kein geeignetes Mittel."
"Das Ziel ist grundsätzlich richtig, die Maßnahmen sind aber höchst fragwürdig", kommentiert Eset-Experte Uhlemann die jüngste Spähattacke der Regierung. "Aus unserer Sicht schießt der Beschluss deutlich über das gesetzte Ziel hinaus. Internet-Serviceprovider und Plattformanbieter dürfen nicht gezwungen werden, die Verschlüsselung auszuhebeln oder Malware bei Endkunden zu platzieren. Statt mit 'Schleppnetzfischerei' sollten im begründeten Verdachtsfall potenzielle Kriminelle an ihren Endgeräten überwacht werden dürfen", empfiehlt Uhlemann.
"Gezielte Backdoors in Anwenderprogrammen für die Allgemeinheit oder generelle Möglichkeiten der Entschlüsselung von Kommunikation auf dem Übertragungsweg mindern das Sicherheitsniveau für alle. Digitale Signaturen im Vertragswesen und andere Rechtsgeschäfte werden durch fehlende, garantierte Integrität sogar verhindert. Unterm Strich spielt der aktuelle Beschluss den Kriminellen sogar in die Hände", zieht der Security-Experte ein vernichtendes Fazit.
„Mit diesem Gesetz macht die Regierung die Anbieter von Telekommunikationsdiensten zu Gehilfen der Strafverfolger und Geheimdienste", stellt Ralf Benzmüller, Executive Speaker G Data Security Labs, fest. "Diese geplante, massive Einschränkung der verschlüsselten Kommunikation schadet der gesamten Sicherheitswirtschaft in Deutschland und Europa und ist ein gravierender Einschnitt in die sichere Kommunikation der Menschen.“ Benzmüller sieht darin auch ein "fatales Signal an autoritäre Regime weltweit" und bezeichnet die neue Regelung als eines "eines der schärfsten und invasivsten Überwachungsgesetze."
In die ähnliche Richtung geht die Einschätzung von F-Secure-Sprecher Rüdiger Trost: "Staatstrojaner sind generell eine schlechte Idee. Um sie nutzen zu können, benötigt der Staat Sicherheitslücken auf den Zielsystemen. Also besteht kein Interesse daran, die Lücken bei deutschen Unternehmen und Privatleuten zu schließen, und somit verschlechtert es die Sicherheit von uns allen. Diese Lücken können von Cyberkriminellen genauso verwendet werden."
Bogdan Botezatu argumentiert für Bitdefender ähnlich: "Sobald jemand eine Möglichkeit kennt, ein System zu hacken, muss er zwingend diese Erkenntnisse mit dem Eigentümer und/oder Hersteller dieses Systems teilen. Ein System verwundbar zu halten, nur um es - wenn gewünscht - hacken zu können, schadet allen Benutzern. Denn unabhängig davon, wie ehrenhaft die zugrundeliegenden Motive sein mögen: Die Möglichkeit ist groß , dass eine Reihe böswilliger Angreifer mit weniger ehrenhaften Absichten diese Schwachstelle ebenfalls kennen und ausnutzen."
Was Fachhändler ihren Kunden sagen können
Eset und G Data verweisen als Zeichenträger des TeleTrust-Siegels "IT Security made in EU" respektive "IT-Security made in Germany" auf die im vergangenen Jahr beziehungsweise sogar schon 2011 abgegebene "No-Backdoor-Garantie". Eset macht seine Position auch in einem offenen Brief zu staatlich entwickelter Malware generell klar. Für G Data erklärt Vorstand Kai Figge zudem: "Wir garantieren unseren Partnern und Kunden im Business- und Privatsegment einen bestmöglichen und vertrauenswürdigen Schutz vor Cyberbedrohungen. Um es ganz klar zu sagen: Wir haben keinen blinden Fleck bei Staatstrojanern."
Kaspersky verweist schlicht darauf, dass für bestmöglichen Schutz aller Kunden und Partner stetig neue Erkenntnisse aus der Forschung in die Verbesserung der eigenen Technologien einfließen. Dass soll wohl heißen, dass man den Staatstrojaner, sobald man ihn erkannt hat, dann auch blockieren würde.
Trend Micro fördert mit der Zero Day Initiative (ZDI) das umfangreichste, herstellerunabhängige Programm zur Schwachstellenforschung. "Wir fühlen uns dabei dem 'Responsible Disclosure'-Prozess verpflichtet und halten uns strikt daran", erklärt Richard Werner. "Weder verkaufen wir die Schwachstellen, die durch die ZDI erworben werden, noch geben wir diese anderweitig weiter. Wir informieren zunächst ausschließlich den betroffenen Hersteller sowie später - nach Ablauf einer vorher festgelegten Frist - die Öffentlichkeit. Wir sind davon überzeugt, dass dies der richtige Weg ist, mit Schwachstellen umzugehen und diese schnellstmöglich zu schließen."
Als eine "wahrhaft internationale Firma, was die Mitarbeiter, die Standorte, den Geschäftsbetrieb und vor allem die Sicht auf die Welt betrifft" arbeite das Unternehmen zwar eng mit Regierungen und Strafverfolgungsbehörden weltweit zusammen - aber einzig und allein zu dem Zweck, die Kunden vor bösartiger und unerwünschter Software zu schützen. Werner versichert: "Trend Micro würde niemals einer Aufforderung zustimmen, die das Vertrauen der Kunden in das Unternehmen untergraben könnte. Ein solches Vorgehen läuft den Grundüberzeugungen von Trend Micro zutiefst zuwider und würde das Geschäftsmodell des Unternehmens zunichtemachen."
Ralf Benzmüller, Executive Speaker G Data Security Labs: "Mit diesem Gesetz macht die Regierung die Anbieter von Telekommunikationsdiensten zu Gehilfen der Strafverfolger und Geheimdienste. Diese geplante, massive Einschränkung der verschlüsselten Kommunikation schadet der gesamten Sicherheitswirtschaft in Deutschland und Europa und ist ein gravierender Einschnitt in die sichere Kommunikation der Menschen."
Thomas Uhlemann, Security Specialist DACH bei Eset Deutschland: "Gezielte Backdoors in Anwenderprogrammen für die Allgemeinheit oder generelle Möglichkeiten der Entschlüsselung von Kommunikation auf dem Übertragungsweg mindern das Sicherheitsniveau für alle. Digitale Signaturen im Vertragswesen und andere Rechtsgeschäfte werden durch fehlende, garantierte Integrität sogar verhindert. Unterm Strich spielt der aktuelle Beschluss den Kriminellen sogar in die Hände."
Richard Werner, Business Consultant bei Trend Micro: "Die Bekämpfung von (Cyber-)Kriminalität ist ohne Zweifel ein wichtiges Ziel. Es ist daher verständlich, dass der Gesetzgeber nach Wegen sucht, den Ermittlungsbehörden in dieser Situation effektivere Werkzeuge zur Verfügung zu stellen. Der Einsatz von Trojanern oder anderer Malware ist aus unserer Sicht dafür kein geeignetes Mittel."
Rüdiger Trost, Head of Cyber Security Solutions bei F-Secure: "Bei Malware machen wir keine Kompromisse, egal ob staatlich oder nicht. Es gibt keinen Pakt mit der deutschen oder irgendeiner anderen Regierung. Punkt."
Jaya Baloo, Chief Information Security Officer bei Avast: "Der Staatstrojaner ist technisch gesehen ein Trojaner wie jeder andere, der versucht, den Nutzer ohne sein Wissen auszuspionieren. ... Jeder Trojaner, jede Spyware und Stalkerware wird durch moderne Technologien wie maschinelles Lernen automatisch als unerwünschte Malware auf einem Computer oder Smartphone erkannt, blockiert und unseren Nutzern gemeldet.“
Bogdan Botezatu, Director Threat Research and Reporting bei Bitdefender: "Wir schließen keine Form von Malware von der Erkennung aus und werden dies auch nicht tun. Und wir ermutigen oder befürworten in keiner Weise die Verwendung von Schadprogrammen, egal aus welchen Gründen. Bitdefender behandelt alle Malware gleich und unterschiedslos, unabhängig davon, ob sie kommerziell eingesetzt oder staatlich gefördert ist."
Kai Figge, Vorstand G Data Cyberdefense: "Wir garantieren unseren Partnern und Kunden im Business- und Privatsegment einen bestmöglichen und vertrauenswürdigen Schutz vor Cyberbedrohungen. Um es ganz klar zu sagen: Wir haben keinen blinden Fleck bei Staatstrojanern."
Ähnlich gilt das auch für Avast, Bitdefender und F-Secure sowie die schon genannten Anbieter: Als international agierende Unternehmen dürfen sie sich nicht mit Sicherheitsbehörde eines Landes gemein machen - weil sie sonst unmittelbar das Vertrauen in allen anderen Ländern verlieren würden. Wer das nicht glaubt, dem sei das mahnende Beispiel von Blackberry vor Augen gehalten.
Der Anbieter wehrte sich 2015 in einigen Ländern - insbesondere Pakistan, Indien, Saudi-Arabien und den Vereinigten Arabischen Emiraten - zunächst nicht energisch genug gegen den Druck der dortigen Behörden, die Einblick in die verschlüsselte Kommunikation über den Blackberry Enterprise Server verlangten. Offenbar war die Angst, in diesen Ländern komplett vom Geschäft ausgeschlossen zu werden größer, zunächst größer als die vor dem Vertrauensverlust bei den Nutzer.
Im Dezember 2015 zog das Unternehmen dann die Reißleine und stellte das Unternehmen sein Geschäft in Pakistan doch ein, um sich dem Druck der Behörden nicht beugen zu müssen. Der Schaden war aber schon angerichtet und noch lange später musste sich das Unternehmen gegen den Verdacht wehren, Behörden gegenüber zu großzügig zu sein. Dass es dann kurz darauf auch mit der Blackberry-Hardware nicht mehr so richtig lief, ist eine andere Geschichte.
Braucht Windows zusätzliche Security-Suiten?
Antivirus-Software für Windows 10 im Test
Die besten Antivirus-Programme 2021 für Android
Antivirus für den Mac: Sieben Programme im Vergleich