Schweiz
Digital

Zürcher Kapo im Elend: Der Trojaner für die Handy-Überwachung ist wertlos – und eine halbe Million futsch

Zürcher Kapo im Elend: Der Trojaner für die Handy-Überwachung ist wertlos – und eine halbe Million futsch

Die Kantonspolizei bestellte in Italien Überwachungs-Software für 486'000 Euro. Nun kursiert deren Quellcode im Internet – das macht sie unbrauchbar.
08.07.2015, 08:3108.07.2015, 13:01
Roman Rey
Folge mir
Mehr «Schweiz»

Erst vor wenigen Monaten hat die Kantonspolizei Zürich für knapp eine halbe Million Franken einen Staatstrojaner gekauft – das Geld wird sie wohl schon bald abschreiben müssen. Denn der Quellcode der Software «Galileo», mit der sich Handys komplett überwachen lassen, kursiert im Internet. Das macht «Galileo» praktisch unbrauchbar.

«Wahrscheinlich sind die bekannten Antivirus-Hersteller schon dabei, die Signatur von Galileo in ihr System aufzunehmen», sagt Marc Ruef von der IT-Sicherheitsfirma Scip. Das würde heissen, jeder könnte sich mit einem stinknormalen Viren-Scanner vor dem Staatstrojaner schützen. Dazu stopfen jetzt Software-Hersteller in ihren Programmen die Lücken, die der Trojaner ausgenutzt hat.

«Wer Galileo jetzt noch einsetzt, geht ein grosses Risiko ein, dass die Überwachung auffliegt.»
Marc Ruef

Vor allem Strafverfolger sind immer sehr vorsichtig, was Überwachung angeht – eine Zielperson darf in der Regel unter keinen Umständen merken, dass sie überwacht wird. «Wer Galileo jetzt noch einsetzt, geht ein grosses Risiko ein, dass die Überwachung auffliegt», so Ruef.

Hintertüren, Schurkenstaaten, miese Sicherheit

Das ist bei weitem nicht das einzige Problem. Wie ein geleaktes Geheimdokument nahelegt, hat die italienische Firma Hacking Team, die Galileo programmiert hat, sogenannte Backdoors in ihre Tools eingebaut – offenbar ohne die Kunden darüber zu informieren. Diese Hintertüren erlaubten es Hacking Team, jederzeit darauf zuzugreifen.

«Das ist das perfekte Beispiel dafür, warum Staatstrojaner für einen Rechtsstaat problematisch sind», sagt IT-Sicherheitsexperte Ruef. Während theoretisch nur Befugte Zugang zu intimen Daten von überwachten Zielpersonen haben sollten, sehe die Realität meist anders aus.

No Components found for watson.skyscraper.
«Von diesen Backdoors hat die Kantonspolizei wahrscheinlich nichts gewusst. Trotzdem steht sie jetzt nicht allzu gut da.»
Marc Ruf

In diesem Fall waren es die Techniker von Hacking Team, die unerlaubt mitspionieren konnten. Und jetzt, wo deren Daten an die Öffentlichkeit gelangt sind, können auch all diejenigen, die das Know-how haben, sich Zugang verschaffen. Marc Ruef sagt: «Von diesen Backdoors hat die Kantonspolizei wahrscheinlich nichts gewusst. Trotzdem steht sie jetzt nicht allzu gut da.»

In der Tat gerät die Polizei jetzt in Erklärungsnot. Die Zürcher Kantonsräte Markus Bischof (Alternative Liste) und René Isler (SVP) verlangen von den Verantwortlichen Details zum Trojaner-Deal: «Die Kantonspolizei muss Rechenschaft ablegen», sagt Bischoff zum SRF Regionaljournal.

Auch Thomas Hansjakob, Erster Staatsanwalt des Kantons St.Gallen, sieht die Beschaffung solcher Software kritisch. «Im Moment gibt es dafür keine Rechtsgrundlage», sagt er zu watson.

Deals mit Schurkenstaaten

Die Italiener, die von Reporter ohne Grenzen zu «Feinden des Internets» erklärt wurden, stehen knietief im Sumpf. Nachdem ein Hacker in der Nacht auf Montag 400 Gigabyte Daten der Firma gestohlen und veröffentlicht hatte, kam auch ans Licht, dass Hacking Team Überwachungssoftware an den Sudan verkauft hat.

Das ist illegal, weil gegen den Staat ein Embargo besteht. Der Sudan setzt die Tools gegen Regimegegner ein. Eine UNO-Untersuchung verlief damals im Sand, doch die neuen Unterlagen könnten den Italienern neuen Ärger bringen.

Das Unternehmen, das offenbar noch immer keinen Zugang zu seinen Daten hat, hat inzwischen in einem Rundmail alle Kunden aufgefordert, ihre Software vorübergehend auszuschalten. «Wir gehen davon aus, dass unsere Dienste für eine relativ kurze Zeit ausfallen», sagt ein Sprecher optimistisch zu Reuters.

Ist der Ruf erst mal ruiniert ...

Dazu kommt der Imageschaden: Staaten und Unternehmen werden es sich zwei Mal überlegen, mit einem Unternehmen zusammenzuarbeiten, das Embargos ignoriert und die Welt darüber anlügt. Das zeigt das Beispiel der Berner Firma Dreamlab. Deren Ruf erlitt einen schweren Schaden, nachdem durch Wikileaks bekannt wurde, dass Dreamlab die Regierung von Turkmenistan belieferte, die damit ihre eigenen Bürger bespitzeln wollte.

Ganz zu schweigen von den laschen Sicherheitsvorkehrungen bei Hacking Team, die das Leak offenbarte: Etwa wurden wichtige Dokumente nie verschlüsselt. Und, wie es aussieht, brach der Hacker über zwei Administratoren ins System ein, die Zugriff auf alle Daten hatten. Einer der Angestellten benutzte Kennwörter wie «passw0rd» – um das zu knacken, braucht man mit einem normalen Hacker-Tool nicht lange.

«Wie kannst du jemandem, der gerade angefangen hat, die Schlüssel zu deiner ganzen Infrastruktur geben?» 
Anonymer Insider

Eine anonyme Quelle aus dem Umfeld des Unternehmens sagt zum News-Medium «Motherboard»: «Wie kannst du jemandem, der gerade angefangen hat, die Schlüssel zu deiner ganzen Infrastruktur geben?» Der Administrator ist etwa seit einem Jahr bei Hacking Team tätig.

... hackt es sich ganz ungeniert

Obwohl die Italiener ihre Glaubwürdigkeit bei einem grossen Teil ihrer Kundschaft verspielt haben, haben sie eine Überlebenschance. «Es kann sein, dass das Unternehmen für dubiose Kreise interessant wird», sagt Marc Ruef. Staaten etwa, die politische Gegner ausspähen wollen.

Die Kapo Zürich hat offenbar keinerlei Bedenken, was den weiteren Gebrauch des Trojaners betrifft. Die Zürcher Kripochefin Christiane Lentjes Meili sagt zum «Tages-Anzeiger»: «Wir haben keine Hinweise auf Probleme.» Und zu den ethischen Bedenken: «Zum Zeitpunkt der Bestellung hatten wir keinerlei Informationen über heikle Geschäftsbeziehungen.»

Die Polizei hatte sich zunächst nicht zum Kauf der Software geäussert, später jedoch zugegeben, den Trojaner beschafft zu haben. «Die Staatsanwaltschaft hat 2013 in zwei Verfahren von schwerster Betäubungsmittelkriminalität und Geldwäscherei die Überwachung verschlüsselter Internetkommunikation mittels einer speziellen Software angeordnet», schreibt die Kantonspolizei in einer Mitteilung.

Ein Massnahmengericht habe dies Bewilligt, worauf die Kantonspolizei die Software beschafft habe. Die Kapo hält fest, dass das Programm nur für gezielte, von einem Gericht genehmigte Überwachung einsetze. Eine flächendeckende Überwachung sei kein Thema.

(Update: Der Artikel wurde mit der Stellungnahme der Kantonspolizei Zürich ergänzt)

Privatsphäre! Privatsphäre?

1 / 12
«Der gläserne Bürger droht Realität zu werden!» Moment – über welches Gesetz haben wir gerade abgestimmt?
Der Nationalrat hat dem neuen Nachrichtendienstgesetz zugestimmt. Künftig soll der NDB auch Telefone abhören, Privaträume verwanzen und in Computer eindringen dürfen. Unter den Ja-Stimmen waren einige, die mal noch ganz anders über Privatsphäre und Überwachung sprachen …
Auf Facebook teilenAuf X teilen
No Components found for watson.appWerbebox.
DANKE FÜR DIE ♥
Würdest du gerne watson und unseren Journalismus unterstützen? Mehr erfahren
(Du wirst umgeleitet, um die Zahlung abzuschliessen.)
5 CHF
15 CHF
25 CHF
Anderer
twint icon
Oder unterstütze uns per Banküberweisung.
Das könnte dich auch noch interessieren:
35 Kommentare
Weil wir die Kommentar-Debatten weiterhin persönlich moderieren möchten, sehen wir uns gezwungen, die Kommentarfunktion 24 Stunden nach Publikation einer Story zu schliessen. Vielen Dank für dein Verständnis!
Die beliebtesten Kommentare
avatar
Quool-Put
08.07.2015 09:03registriert Januar 2014
Das ist, wie wenn ein Dritter den Abzug an der Dienstwaffe betätigen könnte. Deshalb NEIN zu allen (staatlichen) Überwachungsprogrammen.
901
Melden
Zum Kommentar
avatar
Charlie Brown
08.07.2015 09:07registriert August 2014
Ob man nun Staatstrojaner gut oder schlecht findet ist das eine.

Was mich aber irritiert: Warum um alles in der Welt beschafft eine Kantonspolizei so ein Ding? Wäre das nicht - wenn überhaupt - eine Bundesangelegenheit? Ich meine nur so wegen Synergien und so. Aber man kann natürlich auch 26x für das gleiche oder ein ähnliches Produkt Geld ausgeben. Lang lebe der Föderalismus. Zumindest so lange, wie wir ihn uns leisten können.
540
Melden
Zum Kommentar
avatar
smoe
08.07.2015 09:25registriert Januar 2014
«Wir haben keine Hinweise auf Probleme.»
Soso, ein Mail des Herstellers, dass man die Verwendung der Software umgehend einstellen soll, ist also kein Hinweis auf Probleme?

«Zum Zeitpunkt der Bestellung hatten wir keinerlei Informationen über heikle Geschäftsbeziehungen»
Die Aussage könnte auch von Sepp Blatter stammen …

Ich habe ja gehofft, dass dieser Vorfall einige der Verantwortlichen zum nachdenken bringt, wie un-unbedenklich solche Software ist. Aber offensichtlich krallt man sich lieber an die Illusion, eine Wunderwaffe im Kampf gegen das Böse in der Hand zu halten.
541
Melden
Zum Kommentar
35
Schau mal, was sich Mark Zuckerberg dank deinen Views und Klicks zum Geburtstag kauft 🤑
Mitte Mai wird der Facebook-Gründer und Meta-Konzernchef 40 Jahre alt. Jetzt soll sich der Multimilliardär ein frühzeitiges Geburtstagsgeschenk gemacht haben – und das ist alles andere als bescheiden.

Mit seinem Lebensstil hat Mark Zuckerberg bereits des Öfteren Empörung hervorgerufen. Kürzlich brachte der Unternehmer mit einem neuen Projekt Umwelt- und Tierschützer gegen sich auf. Auf der Hawaii-Insel Kauai wollte er Rinder der Rassen Wagyu und Angus züchten, die mit Nüssen von selbst angebauten Macadamiabäumen sowie selbst gebrautem Bier ernährt werden sollten. Dieses Vorgehen töte Tiere und den Planeten, kritisierte die Tierschutzorganisation Peta.

Zur Story