Kann die Polizei Whatsapp jetzt hacken?

Ein neues Gesetz erlaubt deutschen Strafermittlern, über Whatsapp & Co. geführte Kommunikationen zu überwachen. Heißt das, die Polizei kann jetzt die Verschlüsselung der Messenger knacken? Nein, aber das macht es nicht unbedingt besser.

Am 22. Juni hat die Große Koalition gegen den Widerstand der Opposition von Datenschützern, Internet-Aktivisten, Verbänden und anderen Organisationen einen Gesetzentwurf durchgesetzt, der es Strafermittlern erlaubt, für eine „Online-Durchsuchung“ mit Spionage-Software auf Computern oder anderen Geräten gespeicherte Daten abzugreifen. Außerdem dürfen das Bundeskriminalamt (BKA) und andere Behörden durch die Ausweitung der sogenannten Quellen-Telekommunikationsüberwachung (Quellen-TKÜ) jetzt für die Strafverfolgung einen „Staatstrojaner“ einsetzen, um die gesamte Kommunikation eines Verdächtigen abzufangen. Dabei geht es vor allem auch um die verschlüsselten Chats, die über Whatsapp und andere Messenger geführt werden und die über die normale Überwachung nicht mitgelesen werden können. Die Liste der Straftaten, bei denen das neue Gesetz greift, ist lang. Sie reicht vom Hochverrat bis zum Sportwettbetrug.

Wie soll die Überwachung der verschlüsselten Chats funktionieren? Will das BKA „schon dieses Jahr Messenger-Apps wie Whatsapp hacken“, wie es bei Netzpolitik.org heißt? Tatsächlich ist die Überschrift etwas unglücklich formuliert. Denn sie suggeriert, dass die Behörde die Ende-zu-Ende-Verschlüsselung der Dienste knacken kann. Das ist so aber nicht richtig. Zumindest an der verschlüsselten Übermittlung beißen sich auch ganz andere Überwachungs-Kaliber bisher die Zähne aus.

Whatsapp muss gar nicht gehackt werden

Theoretisch wäre es möglich, Hintertüren in der Software zu finden. Aber die Behörden müssten für jeden Messenger Lücken finden, ausnutzen und dabei sicherstellen, dass die Überwachung auch im rechtlichen Rahmen abläuft, heißt es in einem Blogeintrag des Sicherheitsanbieters F-Secure. „Das dürfte sowohl Budget wie auch Know-how der deutschen Strafverfolgung übersteigen.“ Die Architektur der meisten sicheren Messenger verhindere auch, dass Angreifer eine modifizierte Version der App in den Umlauf bringen können.

Bei der Quellen-TKÜ lauert ein Staatstrojaner stattdessen auf den Smartphones von Verdächtigen, um die Nachrichten vor oder nach der Verschlüsselung abzugreifen. Dazu kann er beispielsweise heimlich die Eingabe an der Tastatur mitlesen oder Screenshots vom Chatverlauf anfertigen. So ein Spion, der kompletten Zugriff auf das Smartphone hat, ist das Schweizer Messer der Quellen-TKÜ. Er kann neben den Chats den kompletten Datenverkehr, Kontakte, E-Mails, Fotos, Videos, Standortdaten und vieles mehr abgreifen. Sogar das Mikrofon lässt sich aktivieren um Geräte in Wanzen zu verwandeln.

Gekaufte Malware besser, aber nicht erlaubt

Staatliche Trojaner verhalten sich also im Prinzip wie Malware von Kriminellen. Entsprechend müssen auch Hacker im Auftrag der Bundesregierung wie Gangster vorgehen, wenn sie einen Lauschangriff starten wollen. Entweder bekommen sie dafür das Gerät in die Hände oder sie sind auf die Mithilfe ihrer Zielobjekte angewiesen. Beispielsweise bringen sie sie mit Phishing oder bösartigen Links dazu, den Bundestrojaner selbst zu installieren.

Laut vertraulichen Dokumenten des Innenministeriums, die „Netzpolitik.org“ zugespielt wurden, will das BKA offenbar zweigleisig in die neue Quellen-TKÜ fahren. Zum einen soll die selbstgebastelte „Remote Communication Interception Software“ (RCIS) für den Angriff auf Smartphones aufgerüstet werden. Zum anderen hat das BKA noch das 2012 gekaufte kommerzielle Überwachungs-Paket FinFisher/FinSpy im Arsenal – angeblich nur als Absicherung, falls der eigene Trojaner enttarnt wird.

Staatliche Hacker sind ein Risiko für die Allgemeinheit

„Netzpolitik.org“ vermutet allerdings, der wahre Grund sei, dass FinSpy „alles kann, was RCIS nicht kann“. Das „Komplettpaket für Hacker“ kann sogar mehr, als das deutsche Gesetz erlaubt und darf daher bisher nicht eingesetzt werden. Eine neue, überarbeitete Version werde derzeit auf ihre Rechtmäßigkeit geprüft, schreibt „Netzpolitik.org“. Das Innenministerium hoffe, FinSpy bald für den Einsatz freigeben zu können.

So oder so ist eine staatliche Hacker-Aktivität höchst riskant. Denn um ein Gerät zu infiltrieren, benötigen Behörden so wie Gangster Schwachstellen. Am besten handelt es sich dabei um sogenannte Zero-Day-Lücken. Das sind noch unbekannte Sicherheitslücken, für die es noch kein Update gibt. Eigentlich sollten ermittelnde Behörden entdeckte Schwachstellen melden, um Bürger und Unternehmen zu schützen, aber dann entwaffnen sie sich praktisch selbst. Die NSA in den USA hat sich gegen den Schutz der Allgemeinheit und für ein großes Schwachstellen-Arsenal entschieden. Was das für Folgen haben kann, zeigen die diesjährigen Angriffswellen mit den Erpressertrojanern WannaCry und Petya. Beide Schädlinge nutzen Zero-Day-Lücken aus dem großen Fundus des US-Geheimdienstes.

Original-Text von: N-TV
Übermittelt durch: Schriftleitung

 

Deine Werbung auf s-f-n.org, mehr Infos »

Keine Kommentare für “Kann die Polizei Whatsapp jetzt hacken?”

 

Hinterlasse einen Kommentar