WikiLeaks - CIA hackt Smartphones und Computer Die Enthüllungsplattform WikiLeaks hat streng geheime Unterlagen des US-Geheimdienstes CIA über Hackerangriffe veröffentlicht. © Foto: Justin Sullivan/Getty Images

Beginnen wir mit dem, was wir nicht sicher wissen: ob die von WikiLeaks "Vault 7" genannte CIA-Dokumentensammlung vollständig, nur in Teilen oder gar nicht authentisch ist, ob hinter der Veröffentlichung ein anderes Motiv steckt als der Wunsch nach einer Debatte um die Befugnisse und Kontrolle der CIA, wie viel weiteres Material noch veröffentlicht wird und wer die Quelle ist.

Was wir zum jetzigen Zeitpunkt aber sagen können: Zumindest wirken die Dokumente plausibel, schon allein, weil sie inhaltlich wenig überraschend sind.

Die CIA ist ein Geheimdienst und Spionage gehört zu ihren wichtigsten Aufgaben. Traditionell setzt sie eher auf Informationsbeschaffung durch Menschen (HUMINT, human intelligence), während die NSA für die elektronische Variante SIGINT (signals intelligence) zuständig ist. Allerdings gilt die Trennung seit einigen Jahren als veraltet und die CIA unternimmt auch eigene SIGINT-Anstrengungen sowie offensive Hacking-Operationen. Welche Mittel ihr dabei zur Verfügung stehen, zeigen die nun von WikiLeaks veröffentlichten Unterlagen.

Die CIA hat ein Arsenal von Staatstrojanern

Es handelt sich laut WikiLeaks nur um einen ersten Teil, er umfasst 8.761 Dokumente und Dateien aus den Jahren 2013 bis 2016. Aus ihnen geht hervor, dass die CIA diverse Werkzeuge (exploits) hat, um Antiviren-Software auszutricksen, um Android-Smartphones und iPhones zu hacken, sowie Smart-TVs von Samsung und Desktop-Computer unabhängig vom Betriebssystem. Einige lassen sich aus der Ferne auf dem Zielgerät installieren, andere nur, wenn ein physischer Zugriff möglich ist. Manche hat sie selbst entwickelt, andere von der NSA oder anderen Verbündeten bekommen. Manche hat sie bei spezialisierten Händlern gekauft, andere im Prinzip nur bei Sicherheitsforschern abgekupfert. Kurz gesagt: Die CIA hat ein Arsenal von Staatstrojanern.

Sie ist also schon da, wo deutsche Behörden erst hinwollen. Was die zentrale Stelle für Informationstechnik im Sicherheitsbereich, kurz Zitis, in naher Zukunft entwickeln soll, sind exakt solche Hacking-Werkzeuge für Verfassungsschutz, Bundespolizei und Bundeskriminalamt. Der BND möchte für sein ähnlich ausgerichtetes Projekt ANISKI in den nächsten Jahren 150 Millionen Euro aus dem Bundeshaushalt haben. Einfach, weil das die Zukunft der Überwachung ist.

Verschlüsselung wirkt

Das Zeitalter der anstrengungs- und anlasslosen Massenüberwachung ganzer Kommunikationsstränge ist vielleicht nicht ganz vorbei. Aber eines zumindest haben die Snowden-Enthüllungen bewirkt: Große und kleine Internetunternehmen bemühen sich verstärkt, Daten verschlüsselt zu übertragen. E-Mail- und Cloud-Anbieter setzen Transportverschlüsselung ein, Messenger-Apps wie WhatsApp und Signal eine Ende-zu-Ende-Verschlüsselung, die dazu führt, dass nur Sender und Empfänger eine Botschaft entziffern können. Sofern sie die ordentlich implementieren, können Geheimdienste nicht mehr einfach Gigabyte an Daten aus den transozeanischen Glasfaserkabeln kopieren und theoretisch beliebig in Kommunikationsinhalten herumwühlen. Metadaten – etwa, wer wann mit wem kommuniziert – lassen sich so unter Umständen allerdings noch gewinnen.

Der neue Angriffspunkt zum eigentlichen Abhören sind die Endgeräte. Nicht die Übertragungswege und auch nicht die Verschlüsselungen an sich. Denn warum sollte irgendwer Ressourcen darauf verschwenden, sich mit der Mathematik anzulegen, wenn heutige Betriebssysteme aufgrund ihrer Komplexität genug Angriffsfläche bieten? Wer schon mithören oder mitlesen kann, bevor eine Nachricht verschlüsselt wird, braucht keine hochkomplexe Krypto-Analyse mehr.

Für die allermeisten Menschen steckt in den CIA-Dokumenten also eine gute Nachricht: Das Hacken von Geräten ist praktisch immer zielgerichtet, auf einzelne Geräte beschränkt. In einem Dokument steht es auch genau so: "IOC/EDG develops software exploits and implants for high priority target cell phones for intelligence collection" – die Engineering Development Group im Information Operations Center entwickelt Software und Implantate für die Informationssammlung auf den Smartphone hochrangiger Ziele.

Problematisch ist die Trojaner-Sammlung dennoch. Denn sie zeigt, dass die CIA wenig Interesse an der Defensive hat. Wäre das anders, würde sie ihr Wissen um die ganzen Schwachstellen in Software, Smartphones und anderen Geräten sofort mit den Herstellern teilen. Die könnten die Lücken stopfen und so dafür sorgen, dass auch kein anderer sie ausnutzen kann. Das wäre im Sinne der Allgemeinheit. Es gibt für diese Offenlegung theoretisch auch einen geregelten Ablauf in den USA, er heißt Vulnerabilities Equities Process (VEP). Aber dass die US-Geheimdienste ihn gerne mal ausbremsen, um ihre offensiven Mittel noch ein wenig länger nutzen zu können, ist keine neue Erkenntnis. Sie müssen nun nicht zum ersten Mal damit leben, dass ihre geheimen Methoden gänzlich ungeregelt an die Öffentlichkeit gelangen.