Hinweis zu Affiliate-Links: Alle Produkte werden von der Redaktion unabhängig ausgewählt. Im Falle eines Kaufs des Produkts nach Klick auf den Link erhalten wir ggf. eine Provision.

© Lara Giller

Cheat Sheet / Das Problem Spähsoftware

von Max Biederbeck
Ein Cheat Sheet ist mehr als ein Spickzettel. Studenten packen Gleichungen darauf, kritzeln Aufzählungen, listen Infos. Während sie den Zettel für ihre Klausur zusammenschreiben, lernen sie die Hintergründe der Materie. Am Ende brauchen sie ihn vielleicht gar nicht mehr. Wir wollen euch so einen Cheat Sheet für aktuelle Debatten zur Hand geben. Heute: Warum die Anwendung und der Weiterverkauf von Spähsoftware ein großes Problem ist.

Was ist passiert?
Gleich drei Diskussionen zum Thema Spähsoftware lassen Privacy-Aktivisten dieser Tage aufhorchen. Zum einen hat das Innenministerium seine Zustimmung zu einem neuen Staatstrojaner gegeben. Behörden wollen das Programm im Geheimen einsetzen, um die Computer von Zielpersonen auszuhorchen. Diesmal aber muss die Polizei-Malware strenge Auflagen einhalten. Das hat das Deutsche Verfassungsgericht entschieden, als es die Gesetzesgrundlage für den Vorgänger der neuen Software 2014 als verfassungswidrig eingestuft hat. Kurz gesagt: Ausspähen von Rechnern kann rechtens sein, aber nur mit Durchsuchungsbefehl vom Richter und auch nur für die Teile eines Computers, die für die Kommunikation nötig sind. Der neue Staatstrojaner, so versichert das Ministerium, soll diesen Rahmen einhalten — Wahrheitsgehalt zweifelhaft, doch dazu später mehr.

Debatte Nummer Zwei beschäftigt sich mit dem Export genau solcher Software ins Ausland. Es gibt zahlreiche Abnehmer weltweit — und genau das ist ein Problem. Ein neuer Bericht von Privacy International erhebt schwere Vorwürfe gegen die Hersteller von Spyware, namentlich das italienische Unternehmen Hacking Team, aber auch Nokia und das deutsch-britische Gamma International. Die Firmen sollen während der ägyptischen Revolution 2011 eine geheime Abteilung des Regimes mit Kommunikation und Spähsoftware ausgestattet haben, die damit wiederum gegen die Opposition in den Kampf zog.

Unter Kritikern ist das schon länger bekannt. Gamma International ist für Fin Fisher verantwortlich. Die Washington Post hatte bereits 2011 ein geheimes Memo über Software-Tests der ägyptische Regierung veröffentlicht. Das Hacking Team kam dagegen im letzten Jahr in die Schlagzeilen, als es selbst Opfer eines Hacks wurde. Die dadurch geleakten Dokumente zeigten, wie das Unternehmen Software zur Spionage an die Regime im Sudan und Syrien verkauft hat. Der Bericht von Privacy International bestätigt diese Entwicklungen noch einmal — die Firmen wehren sich gegen die Vorwürfe, Nokia bestreitet sie, das Hacking Team gibt an, im Rahmen des geltenden EU-Rechts gehandelt zu haben. (Update, 7. April 2016: Das italienische Wirtschaftsministerium hat dem Hackingteam den Verkauf seiner Software "Galileo" außerhalb von Europa verboten)

Auch Debatte drei hat mit dem Thema „Aushorschen von Computern/Smart Devices“ zu tun und ist gerade kaum zu überhören. Der Streit zwischen Apple und dem FBI dreht sich unter anderem um die Frage: Können amerikanische Behörden so genannte Hintertüren in der Software von Herstellern wie Apple verlangen, über die sie (zum Beispiel mit Spähsoftware) in die digitale Privatsphäre einer Person eindringen? Unternehmen wie Apple und Facebook lehnen das ab, die Behörden und im konkreten Beispiel ein Großteil der amerikanischen Bevölkerung befürworten solche Backdoors. Für die USA ist dieser Fall sozusagen zum Showdown für den Streit Sicherheit versus Privatssphäre geworden.

Warum ist das wichtig? 
Das Thema Spähsoftware läuft normalerweise kaum öffentlich ab: Noch immer bleibt es komplizierte Materie, die Auswirkungen der Programme sind schwer zu fassen. Wenn deutsche Gewehre in die falschen Hände geraten, erzeugt das einen landesweiten Aufschrei. Spähsoftware wird, siehe Snowden-Leaks, nur dann interessant, wenn etwa hochkarätige Politiker betroffen sind — vergangene Woche die Bundeskanzlerin. Im Privaten merken Menschen kaum, ob und wie sie von Firmen oder Behörden beobachtet werden. Gängige Argumentation: „Ich habe doch nichts zu verbergen und so eine Software wird mich sowieso nicht betreffen.“

Das allerdings ist eine dramatische Untertreibung. Spyware und der damit verbundene Einbruch in private Rechner bilden das Instrument für die individualisierte Massenüberwachung im 21. Jahrhundert. Ein Instrument, für das immer noch keine endgültigen rechtlichen Regelungen gelten und für dessen Kontrolle viel technisches KnowHow erforderlich ist.

„Ich würde den Vergleich zu einer Waffe jederzeit unterschreiben“, sagt Eva Blum Dumontet von Privacy International zu WIRED.  Schnell gerate der Gebrauch von Spähsoftware außer Kontrolle, nur wenige könnten mit ihr umgehen und benutzen wollen sie viele: Geheimdienste, Polizei, Militär — zur Verfolgung von Verbrechern, um Terroristen-Zellen auszuhorchen, aber eben auch im Einsatz gegen Oppositionen, Aktivisten und Regimekritiker jeglicher Couleur. Gleichzeitig steht mittlerweile eine riesige Industrie hinter der Spyware. Das Thema hat also gleich mehrere Dimensionen.

Weshalb ist Spyware eine schwer zu kontrollierende Waffe?
Naheliegend ist die technische Komplexität. Den unsachgemäßen Einsatz einer Schusswaffe zu überprüfen, ist einfach. Kontrolleure können fragen: In welchem Kontext wurde sie eingesetzt, wer wurde verletzt etc. Bei einer Software ist das ungleich schwieriger. Opfer merken oft überhaupt nicht, dass sie Opfer sind. Die Herkunft des „Schützen“ kann verschleiert werden. Wirklich kontrollieren können sie nur die, die ihren Code verstehen. Diese Kritik kommt auch in Verbindung mit dem neuen angeblich gesetzeskonformen Staatstrojaner wieder hoch. „Die Unterscheidung zwischen einem Trojaner, der nur Kommunikation ausleiten soll und einem, der zum Beispiel zur Raumüberwachung geeignet ist, ist nicht zu treffen“, sagte Frank Rieger, Sprecher des Chaos Computer Clubs dem Deutschlandfunk.

Eine zweite Dimension bezieht sich auf die Hersteller und die Frage nach der Verteilung von Trojanern. Die Beispiele oben zeigen, dass deutsche und europäische Unternehmen Software an autoritäre Drittstaaten verkaufen. Im vergangen Jahr hat WIRED die Versuche beschrieben, solchen Firmen feste Regeln für den Export aufzuerlegen. Das Europäische Parlament hat schon 2011 strengere Ausfuhrkontrollen für Überwachungstechnik beschlossen, 2015 hielt die EU-Kommission fest: Auch Software zur Internetüberwachung muss wie ein Rüstungsgut behandelt werden. Dennoch zeigt der neue Bericht von Privacy International: Europäer verkaufen noch immer Technologie, mit der dann unterdrückt wird. „Die Regeln haben zu viele Löcher und greifen in vielen Fällen nicht oder die Unternehmen finden einen Weg, sie zu umgehen“, erklärt Eva Blum Dumontet. Immerhin, in dieser Woche haben die USA neue Verhandlungen zur Regulierung auf den Weg gebracht, wie ars technica berichtet. Von Transparenz und wirksamer Verpflichtung der Unternehmen scheint aber noch nicht die Rede sein zu können.

Die letzte Dimension ist eine grundlegende, gesellschaftliche und sie hat etwas mit Verantwortung zu tun. Hat der Staat die Aufgabe, Strafverfolgung und Terrorabwehr auch gegen die Privatsphäre durchzusetzen? Muss und darf er mit Unternehmen zusammenarbeiten, die ohne Bedenken auch an Diktaturen verkaufen? Darf er bewusst Sicherheitslücken verlangen und aktiv eigene Schadsoftware entwickeln? Oder müssen Geheimdienste und Polizeibehörden es erdulden, wenn sie in der digitalen Welt zunehmen blind werden, GoingDark, wie es in der Verschlüsselungsdebatte heißt? Blum Dumontet befürchtet, dass es zunehmend schwierig wird, den Einsatz von Spähsoftware seitens der Behörden zu kontrollieren. „Das ist genau die Sache in dieser Debatte, die Software wird weniger greifbar, diskreter“, sagt die Menschenrechtlerin. Von einer Verlangsamung dieser Entwicklung könne gar keine Rede sein.

Wie geht es weiter?
Es gibt eine weitere Gefahr, die hinter der Nutzung von Spyware steckt — sie hat mit den Sicherheitslücken zu tun. Die werden von Herstellern meistens nach einer bestimmten Zeit gefunden und geschlossen. Wenn eine Behörde Spyware nutzt, muss sie also auch immer neue Lücken finden, über die sie das Programm auf einen Rechner bringen kann. Solche Zero-Day-Lücken gibt es normalerweise nur auf einem teuren Schwarzmarkt zu kaufen. (Hierzu ist die Geschichte World War Zero des Time-Magazine zu empfehlen). Viele Experten fürchten eine Hochrüstung, die das Internet zu einem löchrigen Kampfschauplatz macht. Marcel Dickow, Sicherheitsforscher bei der Stiftung Wissenschaft und Politik sprach bei einer Sitzung des Verteidigungsausschuss' von der „Kolonialisierung des Internets“ und warnte vor einem Wettrüsten um die Lücken. Blum Dumontet sagt: „Wir sollten Sicherheitslücken schließen und sie nicht zur Spionage einsetzen, das macht uns alle Verwundbarer.“ 

GQ Empfiehlt
„Wir werden mehr Hacks und Angriffe mit Hardware erleben“, warnt Hacker-Legende Samy Kamkar

„Wir werden mehr Hacks und Angriffe mit Hardware erleben“, warnt Hacker-Legende Samy Kamkar

von Max Biederbeck
Der große Cyber-Raubzug: So zog die „Carbanak“-Gang ihre Malware-Attacken durch

Der große Cyber-Raubzug: So zog die „Carbanak“-Gang ihre Malware-Attacken durch

von Sandro Gaycken
Open-Source-Evangelisten und DIY-Bastler tun sich zusammen, um die Welt zu retten

Open-Source-Evangelisten und DIY-Bastler tun sich zusammen, um die Welt zu retten

von Max Biederbeck
Iran-Deal: Die Hacker, die Trump ruft

Iran-Deal: Die Hacker, die Trump ruft

von Max Biederbeck