Erst vor wenigen Monaten hat die Kantonspolizei Zürich – das Geld wird sie wohl schon bald abschreiben müssen. Denn der Quellcode der Software «Galileo», mit der sich Handys komplett überwachen lassen, kursiert im Internet. Das macht «Galileo» praktisch unbrauchbar. für knapp eine halbe Million Franken einen Staatstrojaner gekauft
«Wahrscheinlich sind die bekannten Antivirus-Hersteller schon dabei, die Signatur von Galileo in ihr System aufzunehmen», sagt Marc Ruef von der IT-Sicherheitsfirma Scip. Das würde heissen, jeder könnte sich mit einem stinknormalen Viren-Scanner vor dem Staatstrojaner schützen. Dazu stopfen jetzt Software-Hersteller in ihren Programmen die Lücken, die der Trojaner ausgenutzt hat.
Vor allem Strafverfolger sind immer sehr vorsichtig, was Überwachung angeht – eine Zielperson darf in der Regel unter keinen Umständen merken, dass sie überwacht wird. «Wer Galileo jetzt noch einsetzt, geht ein grosses Risiko ein, dass die Überwachung auffliegt», so Ruef.
Das ist bei weitem nicht das einzige Problem. Wie ein geleaktes Geheimdokument nahelegt, hat die italienische Firma Hacking Team, die Galileo programmiert hat, sogenannte Backdoors in ihre Tools eingebaut – offenbar ohne die Kunden darüber zu informieren. Diese Hintertüren erlaubten es Hacking Team, jederzeit darauf zuzugreifen.
Wow. #HackingTeam "backdoored" their own product to let them do arbitrary SQL, itself vulnerable to #SQLinjection pic.twitter.com/qyPKANMbLH
— Pwn All The Things (@pwnallthethings) July 6, 2015
«Das ist das perfekte Beispiel dafür, warum Staatstrojaner für einen Rechtsstaat problematisch sind», sagt IT-Sicherheitsexperte Ruef. Während theoretisch nur Befugte Zugang zu intimen Daten von überwachten Zielpersonen haben sollten, sehe die Realität meist anders aus.
In diesem Fall waren es die Techniker von Hacking Team, die unerlaubt mitspionieren konnten. Und jetzt, wo deren Daten an die Öffentlichkeit gelangt sind, können auch all diejenigen, die das Know-how haben, sich Zugang verschaffen. Marc Ruef sagt: «Von diesen Backdoors hat die Kantonspolizei wahrscheinlich nichts gewusst. Trotzdem steht sie jetzt nicht allzu gut da.»
In der Tat gerät die Polizei jetzt in Erklärungsnot. Die Zürcher Kantonsräte Markus Bischof (Alternative Liste) und René Isler (SVP) verlangen von den Verantwortlichen Details zum Trojaner-Deal: «Die Kantonspolizei muss Rechenschaft ablegen», sagt Bischoff zum SRF Regionaljournal.
Auch Thomas Hansjakob, Erster Staatsanwalt des Kantons St.Gallen, sieht die Beschaffung solcher Software kritisch. «Im Moment gibt es dafür keine Rechtsgrundlage», sagt er zu watson.
Die Italiener, die von Reporter ohne Grenzen zu «Feinden des Internets» erklärt wurden, stehen knietief im Sumpf. Nachdem ein Hacker in der Nacht auf Montag 400 Gigabyte Daten der Firma gestohlen und veröffentlicht hatte, kam auch ans Licht, dass Hacking Team Überwachungssoftware an den Sudan verkauft hat.
Das ist illegal, weil gegen den Staat ein Embargo besteht. Der Sudan setzt die Tools gegen Regimegegner ein. Eine UNO-Untersuchung verlief damals im Sand, doch die neuen Unterlagen könnten den Italienern neuen Ärger bringen.
Das Unternehmen, das offenbar noch immer keinen Zugang zu seinen Daten hat, hat inzwischen in einem Rundmail alle Kunden aufgefordert, ihre Software vorübergehend auszuschalten. «Wir gehen davon aus, dass unsere Dienste für eine relativ kurze Zeit ausfallen», sagt ein Sprecher optimistisch zu Reuters.
Dazu kommt der Imageschaden: Staaten und Unternehmen werden es sich zwei Mal überlegen, mit einem Unternehmen zusammenzuarbeiten, das Embargos ignoriert und die Welt darüber anlügt. Das zeigt das Beispiel der Berner Firma Dreamlab. Deren Ruf erlitt einen schweren Schaden, nachdem durch Wikileaks bekannt wurde, dass Dreamlab die Regierung von Turkmenistan belieferte, die damit ihre eigenen Bürger bespitzeln wollte.
Ganz zu schweigen von den laschen Sicherheitsvorkehrungen bei Hacking Team, die das Leak offenbarte: Etwa wurden wichtige Dokumente nie verschlüsselt. Und, wie es aussieht, brach der Hacker über zwei Administratoren ins System ein, die Zugriff auf alle Daten hatten. Einer der Angestellten benutzte Kennwörter wie «passw0rd» – um das zu knacken, braucht man mit einem normalen Hacker-Tool nicht lange.
Eine anonyme Quelle aus dem Umfeld des Unternehmens sagt zum News-Medium «Motherboard»: «Wie kannst du jemandem, der gerade angefangen hat, die Schlüssel zu deiner ganzen Infrastruktur geben?» Der Administrator ist etwa seit einem Jahr bei Hacking Team tätig.
Obwohl die Italiener ihre Glaubwürdigkeit bei einem grossen Teil ihrer Kundschaft verspielt haben, haben sie eine Überlebenschance. «Es kann sein, dass das Unternehmen für dubiose Kreise interessant wird», sagt Marc Ruef. Staaten etwa, die politische Gegner ausspähen wollen.
Die Kapo Zürich hat offenbar keinerlei Bedenken, was den weiteren Gebrauch des Trojaners betrifft. Die Zürcher Kripochefin Christiane Lentjes Meili sagt zum «Tages-Anzeiger»: «Wir haben keine Hinweise auf Probleme.» Und zu den ethischen Bedenken: «Zum Zeitpunkt der Bestellung hatten wir keinerlei Informationen über heikle Geschäftsbeziehungen.»
Die Polizei hatte sich zunächst nicht zum Kauf der Software geäussert, später jedoch zugegeben, den Trojaner beschafft zu haben. «Die Staatsanwaltschaft hat 2013 in zwei Verfahren von schwerster Betäubungsmittelkriminalität und Geldwäscherei die Überwachung verschlüsselter Internetkommunikation mittels einer speziellen Software angeordnet», schreibt die Kantonspolizei in einer Mitteilung.
Ein Massnahmengericht habe dies Bewilligt, worauf die Kantonspolizei die Software beschafft habe. Die Kapo hält fest, dass das Programm nur für gezielte, von einem Gericht genehmigte Überwachung einsetze. Eine flächendeckende Überwachung sei kein Thema.
(Update: Der Artikel wurde mit der Stellungnahme der Kantonspolizei Zürich ergänzt)
Quool-Put
Charlie Brown
Was mich aber irritiert: Warum um alles in der Welt beschafft eine Kantonspolizei so ein Ding? Wäre das nicht - wenn überhaupt - eine Bundesangelegenheit? Ich meine nur so wegen Synergien und so. Aber man kann natürlich auch 26x für das gleiche oder ein ähnliches Produkt Geld ausgeben. Lang lebe der Föderalismus. Zumindest so lange, wie wir ihn uns leisten können.
smoe
Soso, ein Mail des Herstellers, dass man die Verwendung der Software umgehend einstellen soll, ist also kein Hinweis auf Probleme?
«Zum Zeitpunkt der Bestellung hatten wir keinerlei Informationen über heikle Geschäftsbeziehungen»
Die Aussage könnte auch von Sepp Blatter stammen …
Ich habe ja gehofft, dass dieser Vorfall einige der Verantwortlichen zum nachdenken bringt, wie un-unbedenklich solche Software ist. Aber offensichtlich krallt man sich lieber an die Illusion, eine Wunderwaffe im Kampf gegen das Böse in der Hand zu halten.