SfN

Bundestrojaner 2021 – Zeitenwende auf dem digitalen Schlachtfeld

Seit dem Auftauchen des ersten Bundestrojaner und seiner Analyse durch den Chaos Computer Club im Jahr 2011 sind mittlerweile 10 Jahre vergangen.[1], [2] Wenngleich diese erste Generation des Bundestrojaners geradezu stümperhaft von einer Firma entwickelt wurde und der Einsatz damals als „verfassungswidrig“ deklariert wurde, fühlte man sich als nationaler Aktivist noch vergleichsweise sicher. Als das Bundeskriminalamt zwei Jahre später, im Jahr 2013, Geschäfte mit der Firma Elaman/Gamma abschloss, um deren Schnüffelsoftware FinFisher/FinSpy zu erwerben [3], war den informierten Aktivisten das Lachen schon mehr vergangen. Diese zweite Generation des Bundestrojaners war bereits deutlich professioneller, als ihr Vorgänger. Doch die Gesetzeslage war weiterhin unklar und für die deutschen Behörden war selbst das Internet noch weitgehend Neuland. Aufgrund der fehlenden Trennung zwischen einer Quellen-TKÜ (Kommunikationsüberwachung einer Person am Endgerät) und einer Online-Durchsuchung (Durchsuchung des Datenspeichers eines Endgerätes aus der Ferne) bei der eingekauften Schnüffelsoftware, entschloss sich das BKA 2017/2018 eine Eigenentwicklung für knapp 6 Millionen Euro zu starten.[4] Bereits 2017 wurden die Gesetzesgrundlagen dafür durch den deutschen Bundestag geschaffen.[5] Doch die goldene Zeit brach für den demokratischen Staat und seine willigen Helfer noch nicht an. Selbst Ende 2020 war es zu schwierig die Spionagesoftware auf die Geräte der Zielpersonen zu bekommen.[6]

2021 dürfte den Überwachungsbehörden nun der große Wurf gelungen sein. Neben dem BKA dürfen jetzt auch der Bundesnachrichtendienst [7], der bundesdeutsche Verfassungsschutz [8] sowie die Bundespolizei [9] den Bundestrojaner einsetzen. Letztere darf sogar nach § 27d Abs. 1 Satz 2 präventiv Personen überwachen, ohne dass diese bereits eine Straftat begangen haben müssen. Die Bundespolizei muss nur erwarten, dass diese Personen eine Straftat begehen. Damit der Aufwand der bundesdeutschen Behörden nicht zu groß wird, wurden im Zuge dessen auch gleich weitere Gesetze verändert. So müssen die Internetanbieter bei einem sogenannten Man-in-the-middle-Angriff (MITM) mitwirken und den Behörden nach §2 des G-10-Gesetzes zum einen Zugang zu ihren Einrichtungen gewähren und ihnen das Aufstellen von Geräten erlauben, damit auf diese Weise der Bundestrojaner eingeschleust werden kann. Zum anderen muss der entsprechende Internetanbieter nun die „zur Einbringung in den umgeleiteten Datenstrom erforderlichen Informationen über die Strukturen der von ihm betriebenen Telekommunikationsnetze und Telekommunikationsanlagen sowie die von ihm erbrachten Telekommunikationsdienste“ mitteilen.[8, Teil Drucksache 19/24785] Die Internetanbieter werden also zu willigen Handlangern ernannt. Über unverschlüsselten Datenverkehr stellt dieser Weg der Infizierung kein Problem dar. Da heutzutage allerdings der Großteil des Datenverkehrs verschlüsselt erfolgt (bspw. über HTTPS), darf durchaus spekuliert werden, ob die bundesdeutschen Behörden sich die Schwächen der Zertifikatsverschlüsselung zu eigen machen und sogenannte Root-Zertifikate, bspw. von der Deutschen Telekom, nutzen, um auf diese Weise den eigentlich verschlüsselten Verkehr zu entschlüsseln, zu lesen und für die Zielperson anschließend unerkannt erneut zu verschlüsseln. Allerdings gibt es bereits weitere Überlegungen den Bundestrojaner über Betriebssystemaktualisierungen auf den Geräten der Zielpersonen zu installieren, um sich den MITM zu sparen.[10, S. 2] Ob sich die großen Betriebssystemhersteller, wie Microsoft, Apple und Google diesem Verlangen fügen oder ob sie gegen die Überwachungsbestrebungen der westlichen Demokratien bestehen können, bleibt abzuwarten.

Doch trotz aller Schreckensnachrichten dürfen nationale Aktivisten weder den Kopf in den Sand stecken und hoffen alles würde schon gut werden, noch dürfen sie in Panik verfallen und alles was mit Nullen und Einsen arbeitet auf den Scheiterhaufen verbrennen.

Der Umgang mit unserer Technik und unser Schutz wird schwieriger, doch der Nutzen überwiegt den Aufwand aktuell bei weitem! Wichtig ist, dass sich so viele nationale Aktivisten wie möglich so ausführlich wie möglich mit dem Thema Sicherheit auseinandersetzen. Im Selbststudium dürfte das meistens nur unzureichend gelingen. Daher soll es an dieser Stelle auch keine konkreten Handlungsmöglichkeiten gegen den Trojaner geben. Es sei jedem empfohlen zu entsprechenden Schulungen zu gehen. Dort solltet ihr fachmännisch beraten und geschult werden. Auch die Vortragenden sollten sich die kommenden Entwicklungen genau ansehen, denn der nationalen Bewegung wird bei diesem Thema bestimmt noch die eine oder andere Überraschung erwarten.

Wenn die nationale Opposition es nicht schafft sich zu bilden, so werden die Repressionsorgane der Bundesrepublik sehr schnell zeigen, dass es besser wäre dies getan zu haben. Mal durch lange Gefängnisstrafen, mal durch ein rätselhaftes Fehlschlagen von Aktionen, mit dem großen Fragezeichen, woher der Staat schon wieder wusste, wo wir waren …

2 Kommentare

Schreibe einen Kommentar zu Roland Heß Cancel reply

Inhalte melden

Beiträge, Kommentare und sonstige Veröffentlichungen in dem SfN Informationsblog werden vor dem Hintergrund der gültigen Gesetzgebung in der BRD überprüft. Sollte dennoch der Verdacht bestehen, dass ein Beitrag gegen Gesetze verstoßen könnte und / oder Beschwerden sonstiger Art vorliegen, wird gebeten, die Redaktion zu kontaktieren, um den bedenklichen Inhalt zu überprüfen bzw. entfernen.




Es liegt an dir selbst, was du für dich und deine Sicherheit übernimmst.