Netzpolitik
Wir verwenden Cookies und Analysetools, um die Nutzerfreundlichkeit der Internetseite zu verbessern und passende Werbung von watson und unseren Werbepartnern anzuzeigen. Weitere Infos findest Du in unserer Datenschutzerklärung.

Nach dem Hacking-Team-Debakel gibt es nur eine Lösung: Die Schweiz muss ihren Staatstrojaner selber entwickeln



Um ihrer Pflicht nachzukommen, muss die Schweizer Polizei einen Pakt mit dem Teufel eingehen. Die Zusammenarbeit der Kapo Zürich mit der dubiosen italienischen Firma Hacking Team ist ein schönes Beispiel dafür.

Die internen Daten, die nach einem Hackerangriff auf die Italiener an die Öffentlichkeit kamen, zeichnen das Bild einer Firma, die sich nicht darum schert, ob ihre Software dafür verwendet wird, Journalisten und Menschenrechtler zu verfolgen. Einer Firma, die ungenügende Sicherheitsstandards hat. Einer Firma, die in ihre Programme sogenannte Backdoors einbaut, was ihnen ermöglicht, jederzeit darauf zuzugreifen.

Der Markt der Firmen, die sich auf die Entwicklung von Trojanern spezialisiert haben, ist  – wenig überraschend – mit dubiosen Figuren durchwachsen.

So auch beim Handy-Trojaner Galileo, den Hacking Team an die Kapo Zürich verkauft hat. Selbst wenn sich die Schweizer Behörden also im rechtlichen Minenfeld der Personenüberwachung so korrekt wie möglich verhalten, könnten heikle Daten in fremde Hände gelangen und missbraucht werden.

Kapo Zürich zieht Trojaner aus dem Verkehr

Es ist keine Überraschung: Die Kantonspolizei verzichtet auf den Einsatz ihrer neuen Überwachungssoftware «Galileo», die sie für knapp eine halbe Million Franken gekauft hatte. Dies bestätigt eine Sprecherin gegenüber Blick.ch: «Wir verwenden die Software auch nicht mehr». Der Entscheid sei heute gefallen. 

Nachdem die italienische Firma Hacking Team, die Galileo programmiert hat, Opfer eines Hacker-Angriffs wurde, ist der Quellcode des Handy-Trojaners ins Netz gelangt – wie watson bereits berichtete, wurde er darauf unbrauchbar. (rey)

Die Trojaner-Branche ist eine zwielichtige

Mit der Frage konfrontiert, warum man mit zwielichtigen Hackern geschäfte, tönte es in den vergangenen Tagen aus Kreisen der Kapo Zürich immer gleich: Wir haben halt keine Alternativen. Auf eine Anfrage von watson fragt Urs Grob von der Sicherheitsdirektion Zürich rhetorisch zurück: «Können Sie mir eine einigermassen erfolgreiche und valable Herstellerfirma für solche Software nennen, die nach Ihrem Dafürhalten ethisch unbedenklich ist?»

Genau da liegt das Problem. Der internationale Markt der Firmen, die sich auf die Entwicklung von Trojanern spezialisiert haben, ist klein, und er ist – wenig überraschend – mit skrupellosen Figuren durchwachsen, die sich nicht um ethisch korrektes Verhalten scheren. Man kann den wenigsten von ihnen trauen.

Es gibt nur eine Lösung, wie wir vollständige Autonomie über unsere Cyber-Überwachung bekommen: Wir müssen die Entwicklung von Überwachungssoftware in die Schweiz holen.

Animiertes GIF GIF abspielen

Fremde Hacker in unseren Wohnzimmern? Wollen wir nicht. gif: Giphy

Dafür haben wir mehrere Möglichkeiten. Die erste wäre, eine Schweizer Firma damit zu beauftragen und eng mit ihr zusammenzuarbeiten – wir haben Firmen mit dem nötigen Know-how. Durch die Nähe und die rechtlichen Möglichkeiten wäre es für die Behörden viel einfacher, Background-Checks durchzuführen und sicherzustellen, dass man es mit vertrauenswürdigen Partnern zu tun hat.

Umfrage

Soll die Schweiz selbst einen Staatstrojaner entwickeln?

  • Abstimmen

365 Votes zu: Soll die Schweiz selbst einen Staatstrojaner entwickeln?

  • 31%Ja, das ist besser, als die Aufgabe an eine ausländische Firma zu delegieren.
  • 2%Nein, ausländische Firmen machen das gut. Und sind günstig.
  • 67%Nein, die Schweiz braucht gar keinen Staatstrojaner.

Oder aber der Staat nimmt sich der Sache selbst an und baut ein Team von Entwicklern auf, welche einen Staatstrojaner basteln, der unsere ethischen und rechtlichen Standards erfüllt.

Der Staatstrojaner muss sich selbst überwachen

Das Programm Galileo ist ein gutes Beispiel dafür, weshalb das notwendig ist: Der Trojaner kann mehr, als bei der Überwachung in der Schweiz erlaubt ist – etwa ein Handy in eine Wanze umfunktionieren oder sich direkt in die Kamera einklinken. Wie soll ein Massnahmengericht, das eine Überwachung angeordnet hat, überprüfen, ob die Polizei ihren Auftrag nicht masslos überschreitet?

Wie kann ein Staatstrojaner je etwas taugen, wenn er es der Polizei ermöglicht, einem Verdächtigen gefälschte Beweise unterzujubeln?

Unser Staatstrojaner müsste sich selbst überwachen – das heisst, minutiös aufzeichnen, wer was mit dem Programm macht. Dieses Protokoll müsste gerichtstauglich und unmanipulierbar sein. Nur so könnte man sicherstellen, dass die Strafverfolger den gesetzlichen Rahmen nie verlassen.

Geleakte Dokumente von Hacking Team legen nahe, dass man mit Galileo Dateien auf dem Computer einer Zielperson platzieren könnte. Florian Mauchle bringt dafür auf Twitter einen treffenden Vergleich:

Wie kann ein Staatstrojaner je etwas taugen, wenn er es der Polizei ermöglicht, einem Verdächtigen gefälschte Beweise unterzujubeln? Nur mit einem eigenen Programm könnte man diese und ähnliche Eventualitäten ausschliessen.

Unsere Unabhängigkeit sollte uns ein bisschen Geld wert sein

Natürlich ist das nicht gratis. Von Grund auf einen Staatstrojaner zu programmieren, kostet Zeit und Millionen von Franken. Doch wollen wir wirklich, um ein paar Batzen zu sparen, unsere Unabhängigkeit und Integrität verkaufen? Ausserdem hat die Kapo Zürich gerade eine halbe Million in den Sand gesetzt. Wer sagt uns, dass das nicht wieder passiert?

Um die Entwicklung eines eigenen Überwachungsprogrammes möglichst effizient zu gestalten, müssten Bund und Kantone eng zusammenarbeiten. Mit dem neuen Nachrichtendienstgesetz und dem BÜPF erhalten wir eine nationale Gesetzgrundlage für solche Programme – also können wir auch eine nationale Lösung erarbeiten.

Föderalismus in Ehren –  aber wenn wir nicht wollen, dass jeder Kanton einen Trojaner entwickeln muss, ergeben Einzelgänge wie die der Kapo Zürich wenig Sinn.

Die sieben eindrücklichsten Hacker-Attacken

Kennst du schon die watson-App?

Über 150'000 Menschen nutzen bereits watson für die Hosentasche. Unsere App hat den «Best of Swiss Apps»-Award gewonnen und wurde unter «Beste Apps 2014» gelistet. Willst auch du mit watson auf frische Weise informiert sein? Hol dir jetzt die kostenlose App für iPhone/iPad und Android.

Abonniere unseren Newsletter

45
Bubble Weil wir die Kommentar-Debatten weiterhin persönlich moderieren möchten, sehen wir uns gezwungen, die Kommentarfunktion 48 Stunden nach Publikation einer Story zu schliessen. Vielen Dank für dein Verständnis!
45Alle Kommentare anzeigen
    Alle Leser-Kommentare
  • Sandokan 09.07.2015 19:59
    Highlight Highlight Man stelle sich vor dass Überwachungsdaten nicht nur gesammelt sonder auch manipuliert werden können.
    Na dann,guet nacht am sechsi. 😕
  • rothi 09.07.2015 18:34
    Highlight Highlight Nur Polizeistaaten und Diktaturen haben es nötig, so mächtige Tools wie das RCS zu kaufen und einzusetzen. Verkommt die Schweiz zu einem Polizeistaat? Oder ist er schon einer?
  • smoe 09.07.2015 16:03
    Highlight Highlight Bevor man argumentiert, dass ein Zweck ein Mittel rechtfertigt, muss man zuerst mal beweisen, dass der Zweck mit dem Mittel überhaupt erfüllt werden kann.

    Das Entwicklen eines Trojaner ist das Eine, aber dieser muss dann erst mal unter Ausnützung von Sicherheitslücken und «Social Engineering» auf den Geräten installiert werden können.

    Wenn ich mir so den Code und die Anleitungen in den Hacking Team Daten anschaue, scheinen sie jeweils relativ amateurhaftes Verhalten der Ziele vorauszusetzen (Ausnahme ist evtl. der Windows Kernel Exploit). Sie müssen gezielt dazu gebracht werden, bestimmte Internetseiten aufzurufen, Dokumente/Apps herunterzuladen, und/oder dazu bereit sein, aus dem Nichts erscheinende Passwortabfragen auszufüllen. Dazu kommen Systemanforderungen, wie z.B., dass Flash installiert sein muss, veraltete Versionen von Linux verwendet werden, Standard-Passwörter auf gejailbreakten iPhones belassen werden, etc.

    Ich bin nicht überzeugt, dass sich damit Kriminelle fangen lassen, die man auch – wenn nicht sogar effizienter – mit klassischen Methoden kriegen würde. Und auch wenn, dann kommen alsbald deren Nachfolger und die bringen ihre Nerd-Freunde mit den lustigen T-Shirts und Aluhüten mit …
    • Roman Rey 09.07.2015 18:42
      Highlight Highlight Das leuchtet ein. Hast du eigentlich auch einen Alu-Hut?
    • smoe 09.07.2015 19:18
      Highlight Highlight Ha, nein, noch nicht. Bin einfach so eingerichtet um weitgehend vor solchen Script-Kiddie-Methoden sicher zu sein. Nicht weil ich etwas zu verbergen hätte, sondern weil es nun mal dieselben sind, die auch von Leuten verwendet werden, die nach Kreditkartendaten/Passwörtern fischen, oder den Rechner ihrem Spambot-Netz hinzufügen wollen.

      Also eine Balance. Zwischen Sicherheit/Privatsphäre und "Online-Lebensqualität".

      Habe mir aber vorgenommen, wenn mein neuer Laptop ankommt, mal 1,2 Monate in den full-paranoia-tinfoil-hat-mode zu gehen, um mehr über die entsprechenden Tools zu lernen. Auch wenn ich dadurch möglicherweise auf diversen Watchlists lande :)
  • Marco31 09.07.2015 15:23
    Highlight Highlight Warum braucht die Polizei einen Trojaner der 500'000 Euro kostet, um den dann 2 Mal pro Jahr einzusetzen?
  • Knut Atteslander 09.07.2015 15:19
    Highlight Highlight «Können Sie mir eine einigermassen erfolgreiche und valable Herstellerfirma für solche Software nennen, die nach Ihrem Dafürhalten ethisch unbedenklich ist?»

    Könnte daran liegen, dass das ganze Vorhaben ethisch/moralisch sehr bedenklich ist...
  • Adonis 09.07.2015 14:56
    Highlight Highlight Sucht doch ein paar Schlaumeier für's Departement von Ueli. Ein Flieger weniger und schon könnten wir den "Besten" Staatstrojaner für die Armee und die Armen haben.
  • Thanatos 09.07.2015 14:55
    Highlight Highlight Interessant ist vor allem, dass Trojaner ja gar noch nicht eingesetzt werden dürfen. Aber das ist eine andere Frage und interessiert die Polizei ja gar nicht. Dann dürfen wir uns auch mit illegalen Mitteln dagegen schützen würde ich mal sagen...
  • Tatwort 09.07.2015 14:42
    Highlight Highlight Wer einen Staatstrojaner will, ist entweder von grenzenloser Naivität geküsst oder aber boshaft.
    Naiv deshalb, weil ein solcher Trojaner NIE "in the box" bleibt. Ein einziges Mal falsch eingesetzt, und er ist in den falschen Händen. Naiv auch deshalb, weil es vergleichbar wäre mit der Situation, dass man Strafermittlern vorsorglich einen Schlüssel jeder Wohnung in der Schweiz gibt und darauf vertraut, dass NIE ein Missbrauch stattfindet.
    Wahlweise boshaft oder naiv ist es, das "Büpf" als geeignete Grundlage zu nennen...
  • Zerfallsgesetz 09.07.2015 14:15
    Highlight Highlight Das Ding ist, ein ethischer Programmierer/ Hacker nutzt keine Sicherheitslücken aus und entwickelt erst recht keine Staatstrojaner.
    Leute die das tun sind für mich sehr zwielichtig.
  • ⚡ ⚡ ⚡☢❗andre ☢ ⚡⚡ 09.07.2015 14:14
    Highlight Highlight Unser lieber Bund hat eine gewisse Vorgeschichte an dubiosen IT Projekte die hunderte Millionen verschlingen, ohne dass dabei irgendwas rauskommt. Die Schweizer Regierung in meinen Augen gänzlich inkompetent und unfähig was sämtliche IT bezogenen Lösungen angeht.
  • rolf.iller 09.07.2015 14:03
    Highlight Highlight Trojaner mit Kinderporno-uploadfunktion.

    Ja das war bei Hacking Team eingebaut:
    https://cdn.arstechnica.net/wp-content/uploads/2015/07/hacking-team-code.png

    Ist ganz praktisch um die bösen Jungs in den Knast zu bringen, auch wenn man nichts findet bei der Onlinedurchsuchung. Weil sie sind ja böse.

    So was hat die Zürcher KaPo gekauft für 400K.
    • smoe 09.07.2015 17:26
      Highlight Highlight Auch wenn ich ungern Hacking Team verteidige, aber diese umhergeisternde Behauptung ist Nonsense. Wenn man sich den Code im entsprechenden Modul anschaut ist offensichtlich das hier für Test- oder Demo-Zwecke halbrandomisiert eine Zielumgegbung emuliert wird. Nichts, womit man mit dem Gesetz in Konflikt kommen würde. Niemand landet im Knast, weil er eine Datei namens "childporn.avi" ohne entsprechenden Inhalt auf dem Computer hat.
    • Roman Rey 09.07.2015 18:01
      Highlight Highlight Naja, die Demo zeigt schon, wie man einer Zielperson etwas unterjubelt, oder?
    • smoe 09.07.2015 18:28
      Highlight Highlight Nein, sie generiert einfach zufällige Inhalte. Zum Beispiel werden Adressen ala "John Doe <test@me.com>" im Adressbuch abgelegt oder eine Google Suche nach "Pippo Baudo" platziert.

      Wenn man Software schreibt, braucht man Testdaten, um sie zu testen. Um diese zu erzeugen, schreibt man normalerweise genau solche Scripts, weil man ja sonst die Daten immer wieder mühsam von Hand eingeben müsste.

      Es ist natürlich nicht ausgeschlossen, dass mit rcs Beweismittel untergeschoben werden können. Es liegt in der Natur von Trojanern, dass das prinzipiell möglich ist. Aber nicht mit diesem Code. Und er ist auch kein Beweis, dass ein solches Feature von HT explizit angeboten wurde.

      Der Meinung sind auch Experten, die sich das angeschaut haben.
      https://twitter.com/botherder/status/618144694707601408?replies_view=true
    Weitere Antworten anzeigen
  • Matthias Studer 09.07.2015 13:43
    Highlight Highlight Es gibt nur eine Lösung, keine totale Überwachung.
    • Wilhelm Dingo 09.07.2015 13:52
      Highlight Highlight Staatstrojaner ≠ totale Überwachung! Es ist nur eines von vielen Ermittlungswerkzeugen welche nach klaren, demokratisch festgelegten Regeln eingesetzt werden können.
    • Roman Rey 09.07.2015 14:15
      Highlight Highlight Was Wilhelm sagt. Ein Staatstrojaner ist der technische Nachfolger des Telefon-Abhörens. Er darf nur gezielt und auf mit Erlaubnis eines Gerichts eingesetzt werden – und eben, auch das in einem begrenzten Rahmen. Sich in die Kamera einschalten dürfte nicht möglich sein.
    • C0BR4.cH 09.07.2015 14:44
      Highlight Highlight @Roman Rey
      Hehe. Dürfte nicht möglich sein, ist es aber leider und wird auch so m̶i̶s̶s̶ gebraucht.

      Staatstrojaner sind schon etwas mehr als Abhören. Mit einem Trojaner lässt sich das Gerät vollkommen Fremdsteuern und nicht nur zuhören sondern eben auch mitsehen. Sah man ja am deutschen Äquivalent 0zapftis.

      @Wilhelm Dingo
      Klar ist ein Staatstrojaner nicht DIE totale Überwachung, aber ein Teilstück davon.
      Klare, demokratische Regeln sind doch eine Utopie (vor allem das klar). Desweiteren gibt es diese Regel auf Staatstrojaner noch gar nicht in der Schweiz.
      Play Icon
    Weitere Antworten anzeigen
  • C0BR4.cH 09.07.2015 13:39
    Highlight Highlight Ist doch keine Frage was hier die Antwort ist:
    KEINE Staatstrojaner.
    • Roman Rey 09.07.2015 14:24
      Highlight Highlight Ich glaube, da kommen wir nicht herum. Aber wenn schon Staatstrojaner, dann ein verfassungs-kompatibler.
    • C0BR4.cH 09.07.2015 14:46
      Highlight Highlight Klar kommen wir daran herum. Wenn das BÜPF abgeschmettert wird via Referendum, dürfen solche nicht eingesetzt werden.
    • Tatwort 09.07.2015 19:21
      Highlight Highlight Wenn wir nicht um den Staatstrojaner kommen, dann kommen wir auch nicht um die Abschaffung des Quellenschutzes im Journalismus. So einfach ist das.
      Wer da jetzt schon kapituliert hat, sollte sich besser einen neuen Job suchen.
  • Lagovai 09.07.2015 13:35
    Highlight Highlight Es gab mal irgendwo ein Interview (nicht mehr sicher ob Watson, Tagi oder sonst wo, mit Nick Mayencourt, in dem er sagte, dass es für die Schweiz ein Ding der Unmöglichkeit seie, einen solchen Trojaner selbst zu bauen?
  • blueberry muffin 09.07.2015 13:27
    Highlight Highlight Gut, lassen wir einen Trojaner von Ethisch sauberen Programmierern programmieren. Dann braeuchte man nur noch ethisch saubere Polizisten. Keine Ahnung wo man die findet.
    • Roman Rey 09.07.2015 13:44
      Highlight Highlight Andere Baustelle. Aber wenn die Polizisten das Programm nicht manipulieren können, könnten Sie theoretisch so unethisch sein, wie sie wollen. Nicht?
    • Wilhelm Dingo 09.07.2015 13:57
      Highlight Highlight @muffin: Es geht nicht darum, dass alle ethisch sauber sind, das ist unmöglich. Wichtig ist, dass es letztendlich unter demokratischer Kontrolle bleibt. Das ist ja eben in Zürich schief gelaufen, weil der Gesetzgeber einfach pennt.
    • blueberry muffin 09.07.2015 14:59
      Highlight Highlight @ Roman Rey Naja, um das Programm verwenden zu koennen muessen sie es ja fast manipulieren.
      Ausser man geht einen Schritt weiter und laesst nur eine Kuenstliche Intelligenz damit interagieren und die Polizisten koennen dann nur die gefundenen Ergebnisse auf kriminelle Aktivitaeten ueberpruefen.

      Ist aber auch an anderer Stelle kritisch. Immerhin verwendet Hacker Team ja Exploits oder Fehler in diverser Software, ethisch korrekterweise muesste man diese ja den Herstellern melden. Vermutlich wurden die Exploits auch auf dem Schwarzmarkt gekauft.
    Weitere Antworten anzeigen
  • The Writer Formerly Known as Peter 09.07.2015 13:20
    Highlight Highlight Bin mir nicht so sicher ob die Forderung wirklich klug ist. Wenn das Ding 5 Mio Entwicklung kostet und am Schluss nichts taugt, wird rasch an gleicher Stelle rumgeheult. So ein Trojaner muss ja auf verschiedenen Plattformen einsetzbar sein und sich dauernd weiterentwickeln, weil auch die Sicherheitsbranche nicht stillsteht. Ausserdem ist das ausnutzen unentdeckter Exploits in Software sehr (sehr) teuer. Es kommt doch nicht von ungefähr, dass sogar das FBI bei denen einkaufte. Wenn jemand Ressourcen hat, sind es die. Nein, ich denke, die Forderung ist keine gute Idee.
    • Roman Rey 09.07.2015 14:32
      Highlight Highlight Du scheinst dich gut auszukennen. Findest du denn auch, die aufgeführten Risiken und Bedenken im Bezug auf ausländische Hacker-Firmen sind übertrieben?
    • Tatwort 09.07.2015 14:59
      Highlight Highlight @RomanRey: Die Bedenken bezüglich ausländischer Firmen sind nicht übertrieben. Aber dein digitaler Hurra-Patriotismus ist dann doch eher befremdlich.
    • The Writer Formerly Known as Peter 09.07.2015 15:38
      Highlight Highlight @Roman: Gut auskennen ist immer relativ. Ich arbeite in der Telekommunikation. In der Diskussion wurde dies bereits eingebracht. Was bedeutet "ethisch" bei einem Trojaner? Am Schluss ist es ein Kosten-/Nutzen abwägen. Kann doch nicht sein, dass der Staat für das Programmieren eines Trojaner Millionen verbratet? Oder was wäre für dich noch okay, was so etwas kosten darf?
    Weitere Antworten anzeigen

Referendum gegen das BÜPF: Gegner lassen sich von Terrorangst nicht abhalten

Eine illustre Allianz ergreift das Referendum gegen das neue Überwachungsgesetz des Bundes. Ihr Kampf für die Privatsphäre wird in Zeiten erhöhter Terrorgefahr nur schwer zu gewinnen sein.

Seit Dienstag läuft die Sammelfrist. Drei Monate haben die Gegner des revidierten Bundesgesetzes zur Überwachung des Post- und Fernmeldeverkehrs (BÜPF) Zeit, die nötigen 50'000 Unterschriften zu beschaffen, um eine Volksabstimmung zu erzwingen. Die Aufgabe ist machbar, denn die Ablehnung des BÜPF vereinigt eine breite und vor allem bunte Allianz, die von ganz links bis weit nach rechts reicht: von der Alternativen Liste (AL) bis zur Jungen SVP.

Bei genauer Betrachtung ist die Ausgangslage weniger …

Artikel lesen
Link to Article