Troja in Zürich

Ein Trojaner ist ein Programm, das ohne das Wissen des Anwenders (z. B. mit Hilfe von Mail-Anhängen oder verborgen in anderen, harmlos scheinenden Programmen) auf einem Computer installiert wird, in diesem eine «Backdoor» einbaut, durch die ein Angreifer via Internet unbemerkt in den Computer eindringen, diesen überwachen, durchsuchen oder sogar manipulieren kann. Diese Programme werden gerne von Kriminellen und Geheimdiensten benutzt. Und unterdessen will vielerorts auch die Polizei solche Programme haben. Zur Vorbeugung von Verbrechen und Terror, wie es heisst.

Solche Programme, die von offizieller Seite klammheimlich eingesetzt werden, heissen dann euphemistisch «Staatstrojaner». Und die Zürcher Kantonspolizei wollte auch gerne einen solchen haben. Zufällig scheint sich nach der letzten Weihnachtstombola gerade eine halbe Million in der Kasse gefunden zu haben, mit dem sich genau ein solch tolles Progrämmchen kaufen liess.

Dies kam ans Licht, nachdem die italienische Firma «Hacking Team», die solche Programme an Regierungen und Behörden verkauft, selbst gehackt wurde. Es kam ebenso ans Licht, dass diese Firma (trotz vorherigen gegenteiligen Beteuerungen) ihre Software auch an Staaten, welche die Menschenrechte mit Füssen treten, wie den Sudan und Saudi Arabien, verkauft hatten.

Die Programme des «Hacking Team» versprechen den Käufern einfachen Zugang zu den Computern, Telefonen und Tablets von Verdächtigen. Die Kunden bekommen allerdings keinen Einblick in den Quellcode (also die für Menschen verständliche, nicht in Maschinensprache übersetzte Programmversion) und kaufen eine Black Box, über deren Inhalt (mit Ausnahme dessen, was das Programm machen soll) eigentlich nichts bekannt ist.

Dies zeigte sich dann auch nach dem spektakulären Hack des «Hacking Teams», denn ganz abgesehen davon, dass in der Schweiz derzeit der Einsatz von Schnüffelsoftware auch für Behörden (noch) illegal ist, zeigte die Analyse der Programme, dass die Zürcher Kapo sich mit der Installation der Überwachungssoftware selbst entblösst hatte. Denn die Software kann nicht nur in den Computern von Überwachten Backdoors installieren, sie enthält selbst eine Backdoor, die den Computer des ÜBERWACHERS verwundbar macht. Und wer erst mal in einem Computer drin ist, hat bald Zugriff auf das ganze Netzwerk. Und auf andere Netzwerke befreundeter Organisationen.

Ein weiteres Ausstattungsmerkmal dieser «Galileo» genannten Überwachungssoftware wurde, genau wie die Hintertürchen, bei der Analyse des offen gelegten Quellcodes entdeckt. Scheinbar ist es möglich, mit dieser Software einem infizierten Computer pädophile Pornographie unterzujubeln. Für diesen Zweck gibt es ein pfannenfertiges Modul, das dem geneigten Ermittler sogar Files mit den Namen «pedoporno.mpg» und «childporn.avi» zum Einschleusen in den überwachten Computer zur Verfügung stellt. Nur weil vor dem Besuch des Ermittlers nichts inkriminierendes auf dem Computer war, heisst das noch lange nicht, dass die Maschine auch nachher noch sauber ist. Oder anders gesagt: Vielleicht lässt sich nichts inkriminierendes finden, aber auch dafür gibt es eine Lösung!

Wie die Piratenpartei es sehr schön in einer Auflistung darstellte, gibt es noch weitere Gründe, die gegen Staatstrojaner sprechen. So kaufen zum Beispiel die Hersteller von Trojanern Informationen über Sicherheitslücken (sogenannte Exploits) auf dem Schwarzmarkt auf - mithin bei kriminellen Organisationen. Wer also Produkte mit solchen Lücken kauft, fördert die auf solche Löcher spezialisierte Kriminelle Netzwerke. Diese Sicherheitslücken müssen in der Folge - selbst wenn auch kriminelle auf diese Zugriff hätten - so lange wie möglich offen gehalten werden, da sonst der Trojaner nicht mehr funktioniert. Der Staat ist, benutzt er einen solchen Trojaner, also in der Situation, in der er eine Gefährdung der Daten-Sicherheit der Bürger aufrecht erhalten muss. Sobald der Staat sich wegen seiner Wünsche gemein mit kriminellen Organisationen machen muss, sollten seine Vertreter es sich gut überlegen, auf welcher Seite sie eigentlich stehen wollen.

Schliesslich sind Trojaner für versierte User recht leicht zu schlagen. Regelmässiges Wechseln der Hardware oder das Benutzen von speziellen Computern und Telefonen für die 'heiklen' Dinge lassen die Ermittler ins Leere laufen, während sie glauben, mit dem Trojaner den Verdächtigen unter Beobachtung zu haben.

Zusammengefasst hat die Zürcher Kapo unter dem SP-Sicherheitsdirektor Marion Fehr also ein Programm gekauft, das sie nicht verwenden darf, ein Programm, das die eigene Infrastruktur verwundbar macht, ein Programm das es erlaubt, falsche Beweise auf die Computer von Verdächtigen zu schmuggeln, aber von versierten Kriminellen leicht ausgetrickst werden kann und ein Programm, welches das Misstrauen vom Bürger gegen den Staat fördert und das Ziel eines effizienten E-Government untergräbt.

Oder würden Sie im Kanton Zürich jetzt noch eine Steuer-Software oder ein anderes Programm von einem kantonalen Server runter laden? Vielleicht kommt mit dem Steuerrechner gleich auch noch ein Staatstrojaner mit? Wer weiss - für Herrn Fehr wäre das natürlich perfekt.

Und Fehr, der sagt, dass die Bespitzelung von Bürgern mit Software einer Firma, die Menschenrechtsverletzer wie den Sudan und Nigeria beliefert, für die hiesige Sicherheit notwendig ist, ist vor allem empört darüber, wie sehr sein Amt durch diesen Hack der Hacker nun blossgestellt wurde. Denn Sicherheit ist für ihn scheinbar das Grundrecht, das alle anderen Grundrechte übertrumpft. Dies kann man zumindest so interpretieren, wenn seine Aussage in einem Interview für bare Münze genommen werden kann: «Ich nehme die Grundrechte der ehrlichen Bürgerinnen des Kantons Zürich sehr ernst. Eines dieser Grundrechte ist, hier sicher leben zu können.»

Das hätte er natürlich auch anders sagen könnnen. So zum Beispiel mit dem bei Law und Order-Helden allzeit beliebten Satz: «Wer nichts zu verbergen hat, braucht nichts zu befürchten.» Denn, wo Joseph Goebbels 1933 zur Einführung der GeStaPo recht hatte, hatte er recht, oder, Herr Fehr?

(Patrik Etschmayer/news.ch)