Bundestrojaner Die Lauschfabrikanten

Spähsoftware zu programmieren ist ein stilles Geschäft. Es lebt von den Schwächen der modernen Computertechnik.

© Odd Andersen/AFP/Getty Images

Die Kontrollsoftware für den Staatstrojaner, den der CCC analysiert hat

Diese Woche gehen staatliche Ermittler mal wieder richtig shoppen. In einem gesichtslosen, grauen Hotelkomplex nördlich von Washington, D. C., findet eine Art Werkzeugmesse für Polizisten, Spione und Sicherheitsdienste aus der Privatwirtschaft statt, es ist die größte ihrer Art. Nur kann man diese Werkzeuge nicht anfassen, es handelt sich nicht um altmodische Abhörwanzen, sondern um Computercodes.

Zu viel Aufmerksamkeit will der Veranstalter mit dem, was er da treibt, nicht erregen, und so hat er seiner Messe einen neutral-nichtssagenden Namen gegeben: »Aufklärungs-Unterstützungs-Systeme für rechtmäßiges Abhören, kriminaltechnische Untersuchungen und Informationssammlung«, auf Englisch kurz ISS. So heißt die Veranstaltung.

Wenn man sich aber das Vortragsprogramm anschaut, ist alles klar. Das Wort »Abhören« kommt sehr häufig vor. Abhören von Handys, Abhören von Computerkommunikation, Abhören von »100-Gigabit-Leitungen«. Es geht um »Herausforderungen beim Abfangen von Webmail«. Jemand preist »die ultimative Cyberintelligenz-Lösung zum heimlichen Abhören von Computern und Smartphones« an. »Nutzen Sie die Anfälligkeit von Computern und Handys für die elektronische Überwachung«, empfiehlt einer der Aussteller, während ein anderer »geheime, verdeckte Spionage-Attacken« mit brandneuer Software verkauft, bestens geeignet zum »infizieren« von Computern.

Seit dem vergangenen Wochenende weiß jeder: Das ist kein leeres Versprechen. Solche Programme gibt es wirklich. Auch bei uns. Der Chaos Computer Club (CCC), dem einige Festplatten mit einer staatlichen Überwachungssoftware zugespielt worden waren, stellte fest: Der »Staatstrojaner«, den die Technikexperten da vorfanden, konnte Internet-Telefonate abhören, den Bildschirm regelmäßig abfotografieren und dann an irgendwelche Beamten schicken, Tastatureingaben aufzeichnen und theoretisch sogar belastendes Material auf den Rechnern der Betroffenen platzieren.

Was dem Ermittler früher die Abhöranlage war, ist ihm heute sein Spähprogramm. Die privaten Hersteller solcher Software verstehen sich als »Sicherheitsfirmen«, auch die deutschen unter ihnen. Sie heißen Digitask, Nokia-Siemens, Elaman, Trovicor und Utimaco Lims – es gibt ein paar Dutzend große Firmen, viele Hundert kleine und unzählige Einzelkämpfer. Hacker, die man mieten kann. Sie alle leben letztlich von den Abgründen des Internets. Auch wo sie staatliche Ermittler bei ihrer rechtmäßigen Arbeit unterstützen, auch wo bei ihrer Arbeit die Grenzen der Verfassung penibel eingehalten werden: Ihre Erfolge beruhen letztlich auf den Schwächen unserer Internet- und Computer-Infrastruktur. Und je größer ihre Erfolge sind, umso unsicherer ist in Wahrheit das Netz.

In den vergangenen Jahren hat sich die Szene rasant verändert. Wie, das beschreibt der Direktor des kanadischen Centre for Global Security Studies, Ron Deibert, in seinem Buch Access Denied. Zunächst hätten autoritäre Staaten wie China ihr nationales Internet abgeschottet. Im zweiten Schritt seien ausgefeilte Filtertechniken eingesetzt worden, die den Internetverkehr in einem Land nur zeitweise und sehr gezielt unterbinden können. Die dritte Entwicklungsstufe treiben, so Deibert, vor allem einige OECD-Staaten voran. Dort würden nun, im Rahmen von Gesetz und Verfassung, Softwareprogramme geordert, um Computersysteme zu »infiltrieren«. Überwachungstechnologie und Software zum Durchsuchen von Datenbeständen würden regelmäßig eingesetzt.

Fälle wie der, den der CCC aufgedeckt hat, bestätigen diese Entwicklung.

Aber wie immer bei Werkzeugen für Polizei und Geheimdienste stellt sich für die Hersteller die Frage, ob sie jeden Euro nehmen sollten, der ihnen angeboten wird. Ein Unternehmer, der nicht genannt werden möchte, sagt: »Je weiter Sie nach Süden kommen, umso undurchsichtiger werden die Aufträge.« Geht es nur um normale Polizeiarbeit? Oder will da eine Regierung die politische Opposition ausspähen und drangsalieren? »Es ist ein schwieriges Geschäft. Einmal haben wir einen Auftrag abgelehnt, und kurz danach kam genau die gleiche Bestellung aus England.«

Hinzu kommt: Wenn keine Ausfuhrbeschränkungen existieren, ab wann sind dann Geschäfte mit Staaten, die von den Vereinten Nationen anerkannt sind, unmoralisch? Am Ende bleibt die Entscheidung dem Unternehmer überlassen.

Mehr Hacker als früher verkaufen ihr Wissen an Firmen und Geheimdienste

Im Frühjahr dieses Jahres geriet eine Firma namens Elaman aus München in die Schlagzeilen: Es waren Unterlagen aufgetaucht, nach denen die in Großbritannien registrierte Gamma Group – die sich als Allianzpartner von Elaman präsentiert – dem ägyptischen Staatssicherheitsdienst Internet-Überwachungsmöglichkeiten angeboten hatte. Den Ägyptern werden allerdings massive Menschenrechtsverletzungen vorgeworfen. Die Firma, die Büros in Deutschland, der Schweiz und Dubai unterhält, unterstreicht in Werbeunterlagen die »vertraulichen Beziehungen«, die sie mit ihren Kunden unterhalte. »Elaman kann dies als ein deutsches Unternehmen garantieren.« Auf eine Anfrage hin äußerte sich die Firma nicht.

Im Fall des deutschen »Staatstrojaners« gehen alle Beteiligten davon aus, dass er von der Firma Digitask aus dem Westerwald stammt. Bayerische Landesbehörden haben zugegeben, ein entsprechendes Programm eingesetzt zu haben. Einem Betroffenen, gegen den wegen Drogengeschäften ermittelt wurde, war das Programm wohl bei einer Zollkontrolle am Münchner Flughafen in den Rechner gepflanzt worden. Weitere Kunden von Digitask sind unter anderem das Landeskriminalamt in Baden-Württemberg und das Zollkriminalamt.

Der Geschäftsführer von Digitask ist für weitergehende Anfragen nicht zu erreichen. Auch der verantwortliche Vorstand von Utimaco Lims ist auf Reisen, führende Mitarbeiter von Trovicor, die zuvor für Nokia-Siemens gearbeitet haben, melden sich auf eine E-Mail-Anfrage nicht. Es ist schwer, mit den Herstellern ins Gespräch zu kommen.

In der Sicherheitsbranche gilt aber eines als gesichert: Staatliche Spionageprogramme kommen in vielen Ländern zum Einsatz. Als eine Art Prototyp galt vor zehn Jahren ein FBI-Programm namens »Magic Lantern« (Zauberlaterne), das nach Auskunft von Experten Tastatureingaben aufzeichnen und an die Bundespolizei schicken konnte.

»Ich schätze, dass auf der Welt Dutzende solcher Programme im Einsatz sind«, sagt Mikko H. Hypponen, der Chef-Forscher des finnischen Antivirus-Herstellers F-Secure. Genau könne man das nicht sagen. Es gebe ja keine großen Unterschiede zwischen den Erzeugnissen der Kriminellen und den Auftragsarbeiten für Polizeibehörden. »Das ist ja nicht so, als ob da jemand einen Stempel reinsetzte: Copyright by German Government.«

Hinzu kommt, was Dirk Kollberg sagt, ein Schadsoftware-Experte bei der Antivirusfirma Sophos: Viele dieser Spähprogramme »sind auf den jeweiligen Untersuchungsauftrag abgestimmte Auftragsarbeiten«. Antivirusprogramme, denen diese Schadsoftware unbekannt ist, springen dann häufig auch nicht an. So bleiben sie unentdeckt.

Das Geschäft mit Späh- und Sicherheitssoftware gehört aber noch in einen größeren Zusammenhang. Auch organisierte Kriminelle pflanzen Cyberwanzen – häufig mit erstaunlichen Fähigkeiten zur selbstständigen Verbreitung. Militärs vieler Länder bauen Cybereinheiten aus. Die Schwelle zwischen Sicherheitssoftware, Tatwerkzeug und Cyberwaffe ist da manchmal fließend, und die Bundeswehr sagt aus solchen Gründen schon, der Cyberspace sei der fünfte Operationsraum nach Land, Wasser, Luft und Weltraum. Die Schwachstellen der Netze haben geopolitische Bedeutung bekommen.

Experten wie der Kanadier Deibert fordern deshalb eine Art Ächtung von Cyberwaffen, internationale Abkommen und Abrüstungsverhandlungen. So wie es bei ABC-Waffen der Fall ist. Aber: Software ist im Vergleich zu Atomraketen quasi unsichtbar. Wer sollte so ein Abkommen also kontrollieren?

Zurzeit jedenfalls ist die Sache Big Business geworden, für Firmen und auch für freie Hacker und Computerexperten, die sich auf diesem Feld herumtreiben und nach Schwachstellen suchen. Werden sie fündig, haben sie zwei Möglichkeiten. Entweder machen sie eine Sicherheitslücke publik, präsentieren sie auf Hacker-Konferenzen, teilen sie den Herstellern der betreffenden Software mit – und ernten dafür Lob und Ehre. Oder sie verkaufen ihr Wissen um eine Sicherheitslücke. Zahlungskräftige Käufer sind Cyberkriminelle, Militärs, Geheimdienste – und private Sicherheitsfirmen. »Mehr und mehr Hacker wählen den zweiten Weg. Sie verkaufen«, sagt Cybersicherheitsexperte Alexander Klimburg vom Österreichischen Institut für Internationale Politik.

Der Weg zur dunklen Seite ist kurz, bestätigen Insider. Manche Erkenntnisse freier Hacker landen über Zwischenhändler bei den Militärs und Geheimdiensten irgendeines Landes. Ein deutscher Unternehmer, der Sicherheitssoftware verkauft, ergänzt, er kenne Firmen, die »ihre Software kostendeckend für westliche Behörden entwickeln und sie dann teuer an totalitäre Staaten zu verkaufen versuchen«. Staaten wie Russland oder China verfolgen laut Alexander Klimburg noch eine andere Strategie: Dort würden die Behörden kaum gegen Cyberverbrecher vorgehen, weil das kriminelle Milieu ihnen nützlich ist. Ihre Geheimdienste sollen sich oft ihres Wissens bedienen.

Durch all dieser Aktivitäten wird das Internet überhaupt nicht sicherer, sondern im Gegenteil unsicherer. »Vielleicht«, meint Internetexperte Deibert pessimistisch, »werden wir eines Tages auf die 1990er und 2000er Jahre zurückschauen als jene kurze Ära, in der wir frei kommunizieren und von überall her unsere Informationen beschaffen konnten.«