Um ihrer Pflicht nachzukommen, muss die Schweizer Polizei einen Pakt mit dem Teufel eingehen. Die Zusammenarbeit der Kapo Zürich mit der dubiosen italienischen Firma Hacking Team ist ein schönes Beispiel dafür.
Die internen Daten, die nach einem Hackerangriff auf die Italiener an die Öffentlichkeit kamen, zeichnen das Bild einer Firma, die sich nicht darum schert, ob ihre Software dafür verwendet wird, Journalisten und Menschenrechtler zu verfolgen. Einer Firma, die ungenügende Sicherheitsstandards hat. Einer Firma, die in ihre Programme sogenannte Backdoors einbaut, was ihnen ermöglicht, jederzeit darauf zuzugreifen.
So auch beim Handy-Trojaner Galileo, den Hacking Team an die Kapo Zürich verkauft hat. Selbst wenn sich die Schweizer Behörden also im rechtlichen Minenfeld der Personenüberwachung so korrekt wie möglich verhalten, könnten heikle Daten in fremde Hände gelangen und missbraucht werden.
Mit der Frage konfrontiert, warum man mit zwielichtigen Hackern geschäfte, tönte es in den vergangenen Tagen aus Kreisen der Kapo Zürich immer gleich: Wir haben halt keine Alternativen. Auf eine Anfrage von watson fragt Urs Grob von der Sicherheitsdirektion Zürich rhetorisch zurück: «Können Sie mir eine einigermassen erfolgreiche und valable Herstellerfirma für solche Software nennen, die nach Ihrem Dafürhalten ethisch unbedenklich ist?»
Genau da liegt das Problem. Der internationale Markt der Firmen, die sich auf die Entwicklung von Trojanern spezialisiert haben, ist klein, und er ist – wenig überraschend – mit skrupellosen Figuren durchwachsen, die sich nicht um ethisch korrektes Verhalten scheren. Man kann den wenigsten von ihnen trauen.
Es gibt nur eine Lösung, wie wir vollständige Autonomie über unsere Cyber-Überwachung bekommen: Wir müssen die Entwicklung von Überwachungssoftware in die Schweiz holen.
Dafür haben wir mehrere Möglichkeiten. Die erste wäre, eine Schweizer Firma damit zu beauftragen und eng mit ihr zusammenzuarbeiten – wir haben Firmen mit dem nötigen Know-how. Durch die Nähe und die rechtlichen Möglichkeiten wäre es für die Behörden viel einfacher, Background-Checks durchzuführen und sicherzustellen, dass man es mit vertrauenswürdigen Partnern zu tun hat.
Oder aber der Staat nimmt sich der Sache selbst an und baut ein Team von Entwicklern auf, welche einen Staatstrojaner basteln, der unsere ethischen und rechtlichen Standards erfüllt.
Das Programm Galileo ist ein gutes Beispiel dafür, weshalb das notwendig ist: Der Trojaner kann mehr, als bei der Überwachung in der Schweiz erlaubt ist – etwa ein Handy in eine Wanze umfunktionieren oder sich direkt in die Kamera einklinken. Wie soll ein Massnahmengericht, das eine Überwachung angeordnet hat, überprüfen, ob die Polizei ihren Auftrag nicht masslos überschreitet?
Unser Staatstrojaner müsste sich selbst überwachen – das heisst, minutiös aufzeichnen, wer was mit dem Programm macht. Dieses Protokoll müsste gerichtstauglich und unmanipulierbar sein. Nur so könnte man sicherstellen, dass die Strafverfolger den gesetzlichen Rahmen nie verlassen.
Geleakte Dokumente von Hacking Team legen nahe, dass man mit Galileo Dateien auf dem Computer einer Zielperson platzieren könnte. Florian Mauchle bringt dafür auf Twitter einen treffenden Vergleich:
So was setzt die Kapo Zürich ein? https://t.co/Dh58ES2yx8 #HackingTeam Ist ja wie wenn ein Polizist mit Drogen in der Hand Tasche durchsucht
— Flo(h)rian Mauchle (@FlohEinstein) July 8, 2015Wie kann ein Staatstrojaner je etwas taugen, wenn er es der Polizei ermöglicht, einem Verdächtigen gefälschte Beweise unterzujubeln? Nur mit einem eigenen Programm könnte man diese und ähnliche Eventualitäten ausschliessen.
Natürlich ist das nicht gratis. Von Grund auf einen Staatstrojaner zu programmieren, kostet Zeit und Millionen von Franken. Doch wollen wir wirklich, um ein paar Batzen zu sparen, unsere Unabhängigkeit und Integrität verkaufen? Ausserdem hat die Kapo Zürich gerade eine halbe Million in den Sand gesetzt. Wer sagt uns, dass das nicht wieder passiert?
Um die Entwicklung eines eigenen Überwachungsprogrammes möglichst effizient zu gestalten, müssten Bund und Kantone eng zusammenarbeiten. Mit dem neuen Nachrichtendienstgesetz und dem BÜPF erhalten wir eine nationale Gesetzgrundlage für solche Programme – also können wir auch eine nationale Lösung erarbeiten.
Föderalismus in Ehren – aber wenn wir nicht wollen, dass jeder Kanton einen Trojaner entwickeln muss, ergeben Einzelgänge wie die der Kapo Zürich wenig Sinn.
C0BR4.cH
KEINE Staatstrojaner.
Matthias Studer
rolf.iller
Ja das war bei Hacking Team eingebaut:
https://cdn.arstechnica.net/wp-content/uploads/2015/07/hacking-team-code.png
Ist ganz praktisch um die bösen Jungs in den Knast zu bringen, auch wenn man nichts findet bei der Onlinedurchsuchung. Weil sie sind ja böse.
So was hat die Zürcher KaPo gekauft für 400K.