Staatstrojaner: ZITiS will Autos hacken

staatstrojaner-zitis-will-autos-hacken

21-03-19 09:46:00,

Polizei und Geheimdienste wollen alle modernen Geräte hacken können, auch Autos. Immer mehr Fahrzeuge haben eine Internet-Verbindung, meist für Unterhaltungs-Elektronik, aber immer öfter auch zur eigentlichen Steuerung des Fahrzeugs. Das nennt sich smarte Autos oder „connected cars“. Die Hacker-Behörde ZITiS bestätigt, diese modernen Autos hacken und überwachen zu wollen.

Die „Zentrale Stelle für Informationstechnik im Sicherheitsbereich“ entwickelt und erforscht Überwachungs-Technologien für Polizei und Geheimdienste, unter anderem Staatstrojaner. Die Behörde in München hat aktuell 105 Angestellte und dieses Jahr ein Budget von 35 Millionen Euro.

Gas, Bremse, Kamera, Mikrofon

Auf Anrage des Linken-Abgeordneten Thomas Nord antwortet das Innenministerium, dass ZITiS auch Autos mit Internet-Anschluss hacken soll: „Der Aufbau von Fähigkeiten zur forensischen Untersuchung auch von ‚Connected Cars‘ und das Vorhalten entsprechender Kapazitäten sind von der Aufgabenerfüllung von ZITiS umfasst.“

Moderne Autos haben so viel Technik, sie sind im Endeffekt fahrende Computer, in die wir unsere Körper setzen, um uns auf Straßen zu bewegen. Wie alle IT-Systeme haben auch Autos immer Sicherheitslücken, die regelmäßig gefunden werden – die englische Wikipedia hat einen eigenen Eintrag über solche Fälle.

Schon 2015 haben Forscher über das Internet die volle Kontrolle über ein fahrendes Auto übernommen und Bremsen und Lenkrad aus der Ferne gesteuert.

Frank Rieger, Sprecher des Chaos Computer Club, kritisiert das Vorhaben der staatlichen Behörde:

Moderne Fahrzeuge sind von ihrer Hardware her rollende Abhör-Wanzen. Es bedarf nur einer kleinen Software-Veränderung, um die Insassen zu belauschen. Die Möglichkeit, dass dabei sicherheitsrelevante Funktionen beeinträchtigt werden, macht solch ein Vorgehen technisch ebenso riskant wie es juristisch fragwürdig ist.

Eins, zwei, drei, vier Staatstrojaner

ZITiS ist nicht die einzige deutsche Hacker-Behörde. Das Bundeskriminalamt kann aktuell drei Staatstrojaner einsetzen, ein vierter wird zur Zeit programmiert. Nachdem der Chaos Computer Club 2011 einen kommerziellen Staatstrojaner analysiert und Rechtsverstöße festgestellt hatte, entwickelte das BKA eigene Trojaner.

In einem aktuellen Bericht an den Bundestag, den wir im Volltext veröffentlichen, bestätigt das Innenministerium, dass das BKA einen Staatstrojaner zur „Quellen-TKÜ“ selbst programmiert hat. Eine erste Version der BKA-eigenen „Remote Communication Interception Software“ (RCIS) konnte 2016 aber nur Skype auf Windows abhören, für Smartphones wurde eine zweite Version entwickelt, die jetzt fertig ist.

 » Lees verder

Staatstrojaner: Deutsche Firma entwickelt Spionagesoftware mit neuer Qualität

Staatstrojaner: Deutsche Firma entwickelt Spionagesoftware mit neuer Qualität

24-09-18 10:44:00,

In einer Reportage berichtet SWR2 Wissen darüber, dass deutsche Wissenschaftler*innen im Jahr 2017 eine neue modifizierte Version des Trojaners „Finfisher“ entdeckten, der von einer Münchner Firma vertrieben wird. Bis zuletzt mussten User auf einen Link klicken oder ein angehängtes Foto öffnen, um der Schadsoftware unbewusst Zugang zu gewähren. Die neue Variante von „FinFisher“ tritt dagegen in einem anderen Gewand auf: in der Form von tagtäglich genutzter Software, um die Geräte zu infiltrieren. Darunter fallen laut SWR2 Anwendungen wie Skype, Avast oder WinRAR. Falls jemand ein Update der eben genannten Programme herunterladen möchte, kann Finfisher die Nutzer*innen auf eine nahezu identische Website weiterleiten. Dort erhält man dann das gewünschte Update und gratis dazu die Finfisher-Schadsoftware.


Netzpolitik.org ist unabhängig, werbefrei und fast vollständig durch unsere Leserinnen und Leser finanziert.

Die Firma FinFisher GmbH wirbt mit „erstklassigen Cyber-Lösungen für erfolgreiche Operationen gegen das organisierte Verbrechen“, aber nachdem sie ihre Software verkauft hat, fehlt ihr jedwede Kontrollmöglichkeit. Kunden, wie der Staat Bahrain, können FinFisher nach dem Kauf also beliebig einsetzen. Natürlich gehen sie nicht nur gegen das organisierte Verbrechen vor, sondern greifen unliebsame Kritiker*innen an. So gelang es der Regierung in Bahrain beispielsweise, das Handy einer Menschenrechtsaktivistin in eine Wanze umzufunktionieren. Laut Angaben von SWR2 reagierte die FinFisher GmbH seit 2013 auf keine journalistische Anfrage.

Das Europäische Parlament stimmte Anfang 2018 gegen die Lieferung von Trojanern an Diktaturen. Wenige Monate zuvor musste die deutsche Bundesregierung noch zugeben, dass der Export von „Überwachungsausrüstung“ und „Netzwerk-Überwachungssystemen“ in Staaten wie Iran, Saudi-Arabien und Turkmenistan vollzogen wurde. Dadurch gab die Bundesregierung autoritären Regierungen eine weitere Möglichkeit, kritische Stimmen in den jeweiligen Staaten zu unterdrücken. Interessanterweise gehört auch das Bundeskriminalamt zu den Kunden von FinFisher, obwohl die Spionagesoftware lange Zeit gar nicht eingesetzt werden durfte, da sie zu mehr im Stande war, als es deutsches Recht erlaubte. Anfang 2018 genehmigte das Bundesinnenministerium schlussendlich den Einsatz von FinFisher, um die Messenger-Dienste von Verdächtigen zu überwachen.

 » Lees verder

Noch mehr Staatstrojaner: Verfassungsschutz soll hacken dürfen

Noch mehr Staatstrojaner: Verfassungsschutz soll hacken dürfen

01-08-18 09:28:00,

Wer dachte, die enorme Ausweitung der Befugnisse bei Staatstrojanern in der letzten Legislaturperiode sei schon das Ende der Fahnenstange, der wird nun von den neuen Plänen der schwarz-schwarz-roten Koalition zu noch mehr staatlichem Hacken überrascht. Unter der Ägide von Heimatminister Horst Seehofer (CSU) soll nun auch Geheimdiensten die Nutzung von Staatstrojanern erlaubt werden. Diesmal geht es nicht nur um die kastrierte Variante der Schadsoftware, die heimlich auf Geräten eingeschleust wird und dann ausschließlich laufende Gespräche mithören darf, sondern um die sogenannte „Online-Durchsuchung“. Dabei handelt es sich um eine Spionagesoftware, die den gesamten Inhalt von Festplatten von Computern, Smartphones und anderen informationstechnischen Geräten durchsuchen und ausleiten kann.

Wir finanzieren uns fast vollständig aus Spenden von Leserinnen und Lesern. Unterstütze unsere Arbeit mit einer Spende oder einem Dauerauftrag.

Anfang des Jahres war mit dem Hessentrojaner bereits ein Ausbau geheimdienstlicher Befugnisse beim staatlichen Hacken diskutiert worden. Der CDU-Landesinnenminister Peter Beuth hatte einen Entwurf für eine Reform des Hessischen Verfassungsschutzgesetzes vorgelegt, der beide Varianten des Staatstrojaners für den Landesgeheimdienst vorsah, also „Online-Durchsuchung“ und „Quellen-Telekommunikationsüberwachung“. Die schwarz-grüne Landesregierung verständigte sich nach einer mehrstündigen Sachverständigenanhörung dann aber darauf, dem Landesamt für Verfassungsschutz doch keine staatliche Erlaubnis zum Hacken zu erteilen, allerdings der hessischen Polizei den Staatstrojanereinsatz zu erlauben.

Nun geht der Streit um geheimdienstliche Trojaner in die nächste Runde, diesmal auf Bundesebene. Über die neuen Pläne zur Staatstrojaner-Ausweitung sprach der Staatssekretär im Heimatministerium, Hans-Georg Engelke, am 26. Juni auf dem „Kongress für wehrhafte Demokratie“ in Berlin. Nach einer Anfrage nach dem Informationsfreiheitsgesetz haben wir sein Redemanuskript erhalten und veröffentlichen es wie immer in Gänze (pdf). Das Ministerium weist allerdings darauf hin, dass Engelke in seinem mündlichen Vortrag von dem schriftlichen Manuskript abgewichen sein könnte.

Neue Befugnisse für den Verfassungsschutz

Inhaltlich beschäftigt sich Engelke mit den aktuellen „Gefährdungslagen“, die es zu bewältigen gilt. In seinem Redemanuskript nennt der Staatssekretär drei konkrete Gefahrenbereiche: terroristische „Gefährder“, Cyber-Angriffe sowie „Police Outing“. Für Letzteres verweist er auf einen umstrittenen Protest in der Stadt Hitzacker vor dem privaten Wohnhaus eines Polizisten, der in den Medien mit dem Begriff „Police Outing“ verbunden wurde.

Auf die genannten „Gefährdungslagen“ will Engelke Antworten geben und leitet im Laufe seiner Rede aus diesen Gefahren eine Politik von „Null Toleranz gegenüber Gewalt und Kriminalität“ ab.

 » Lees verder

Nebelkerzen um Staatstrojaner und Online-Durchsuchung

Nebelkerzen um Staatstrojaner und Online-Durchsuchung

29-05-18 02:00:00,

In einem Hau-Ruck-Verfahren, ohne öffentlichen Diskurs oder parlamentarische Debatte, trieb die Bundesregierung im Sommer vor einem Jahr die Ausweitung des Einsatzes von Staatstrojanern und Online-Durchsuchung durch den Bundestag. Die Opposition war entrüstet, Bürgerrechtler kündigten eine Verfassungsbeschwerde vor dem Bundesverfassungsgericht an. Wie der Staat nun gleichzeitig Sicherheitslücken ausnutzt und stopft, erklärt der Strafrechtler Fredrik Roggan in diesem Gastbeitrag. Es ist einer von rund 45 Beiträgen des heute in Karlsruhe vorgestellten Grundrechte-Reports 2018 – Zur Lage der Bürger- und Menschenrechte in Deutschland.

Wir finanzieren uns fast vollständig aus Spenden von Leserinnen und Lesern. Unterstütze unsere Arbeit mit einer Spende oder einem Dauerauftrag.

Professor Dr. Fredrik Roggan lehrt an der Fachhochschule der Polizei des Landes Brandenburg. Er ist stellvertretender Bundesvorsitzender der Humanistischen Union und Autor zahlreicher Publikationen zu Themen des Strafprozess-, Polizei- und Geheimdienstrechts. Wir veröffentlichen seinen Beitrag aus dem Grundrechte-Report 2018 mit dem Titel „Quellen-Telekommunikationsüberwachung und Online-Durchsuchung zur Strafverfolgung“ mit freundlicher Genehmigung des Verlags. Alle Rechte vorbehalten.

Man darf es durchaus als Nebelkerze bezeichnen, was der Vorsitzende der SPD-Bundestagsfraktion Thomas Oppermann via Twitter verbreiten ließ: Man beschließe ein Gesetz, „das den Einsatz von Quellen-TKÜ erlaubt, um schwere Straftaten zu verhindern“. Vernebelnd ist an dieser Aussage schon, dass mit diesem Gesetz nicht nur die genannte Quellen-Telekommunikationsüberwachung (Quellen-TKÜ) eingeführt wurde, sondern auch die noch wesentlich intensiver in Grundrechte eingreifende Online-Durchsuchung. Verwirrung stiftete der Tweet des Volljuristen auch, weil die Strafprozessordnung (StPO), in die diese Überwachungsinstrumente eingeführt wurden, kein Gesetz zur Gefahrenabwehr ist, sondern die Aufklärung bereits begangener Taten bezweckt. Zudem wird dem Publikum vorenthalten, dass die Quellen-TKÜ unter denselben Voraussetzungen wie die „normale“ Telefonüberwachung zulässig ist.

Mit ihrer Hilfe dürfen die Strafverfolgungsbehörden echte Schwerkriminalität ebenso aufklären wie beispielsweise Betrugs-, Urkundenfälschungs- und Hehlereidelikte und sogar die Verleitung zur missbräuchlichen Asylantragstellung. Dass diese Ermittlungsmethode vor allem bei mittelschwerer Alltagkriminalität eingesetzt wird, zeigt sich schon an der Massenhaftigkeit ihrer Anordnung, die regelmäßig weit über 30.000 pro Jahr liegt. Warum greift ein Parlamentarier zu einem 140-Zeichen-Medium und stiftet durch einen Tweet eher Unklarheit, anstatt für wahrhaftige Erläuterung einer bedeutsamen Erweiterung von Überwachungsbefugnissen zu sorgen?

Brisanz der neuen Ermittlungsinstrumente

Bei der Quellen-TKÜ wird heimlich eine Spionagesoftware („Trojaner“) auf Handys,

 » Lees verder

Staatstrojaner: Das große Schnüffeln hat begonnen

Staatstrojaner: Das große Schnüffeln hat begonnen

28-01-18 08:12:00,

Das Bundeskriminalamt (BKA) setzt den Staatstrojaner für Smartphones bereits in aktuell laufenden Ermittlungsverfahren ein, um die Kommunikation und Daten von Verdächtigen auszuspionieren, berichtet die Süddeutsche Zeitung gemeinsam mit WDR und NDR. Welche Sicherheitslücken genutzt wurden, um in die Mobilgeräte einzubrechen, was genau die Spionagesoftware alles kann und wie oft sie schon eingesetzt wurde, bleibt bis auf Weiteres unbekannt.

Wir finanzieren uns fast vollständig aus Spenden von Leserinnen und Lesern. Unterstütze unsere Arbeit mit einer Spende oder einem Dauerauftrag.

Der auch als Quellen-Telekommunikationsüberwachung (Quellen-TKÜ) bekannte Ansatz dient dazu, an Daten heranzukommen, die sonst durch Verschlüsselung gesichert sind. Damit das klappen kann, horten Behörden Sicherheitslücken, die der breiten Öffentlichkeit unbekannt sind, oder suchen sogar gezielt danach – ohne die Hersteller darüber zu informieren. Anschließend dringen sie in die Rechner von Verdächtigen ein, um die Daten direkt an der Quelle abzugreifen. Allerdings ist dieser tiefe Grundrechtseingriff, der zudem die IT-Sicherheit aller Computernutzer und nicht nur die von Kriminellen gefährdet, unnötig, schreibt die SZ:

Dass Strafverfolger auch ganz ohne Staatstrojaner erfolgreich ermitteln können, zeigt sich daran, dass es ihnen im zweiten Halbjahr 2017 in zwei Dutzend Fällen gelungen ist, Messenger zu überwachen. Teilweise haben die Ermittler einfach ein weiteres mobiles Endgerät auf dem Account der verdächtigten Person angemeldet. Das ist zum Beispiel dann möglich, wenn eine App die Chats nicht komplett verschlüsselt. Mit dem Verfahren war es dem BKA auch 2015 gelungen, monatelang Chat-Nachrichten der rechtsextremen Gruppe „Oldschool Society“ mitzulesen. Deren Mitglieder wurden im März 2017 vom Oberlandesgericht München zu mehrjährigen Haftstrafen verurteilt.

Passend dazu auch der Kommentar von Heribert Prantl, der vom umfassendsten und gefährlichsten Grundrechtseingriff spricht:

Noch nie gab es in der Geschichte der Bundesrepublik einen größeren, umfassenderen, weitreichenderen, heimlicheren und gefährlicheren Grundrechtseingriff: Das Bundeskriminalamt hat damit begonnen, sogenannte Staatstrojaner auf privaten Computern, Laptops und Handys zu installieren. Damit können sämtliche Daten ausgeleitet, damit kann das gesamte Computer-Nutzungsverhalten eines Menschen in Gegenwart und Vergangenheit überwacht werden.

Vor dem Zugriff ist nichts und niemand sicher; auch auf eigentlich verschlüsselte Kommunikation – wie bei Whatsapp – wird schon zugegriffen, bevor sie verschlüsselt wird. Möglich ist auch der Live-Zugriff, also der heimliche Blick über die Schulter des Betroffenen. Die Eingriffsintensität sprengt alles bisher im Rechtsstaat Bundesrepublik Dagewesene.

 » Lees verder