Cybersicherheit: Nichts zu verbergen

Nr. 6 –

Seit etwas mehr als einem Jahr setzen Schweizer StrafverfolgerInnen auf einen eigenen Staatstrojaner. Die intransparente Überwachung untergräbt die digitale Sicherheit aller und ist nicht mit zentralen Grundrechten vereinbar.

Familienfotos, besuchte Internetseiten, Termine, Kontaktdaten, Notizen, E-Mails: All das ist mit einem Staatstrojaner einsehbar.

Jeff Bezos wurde ein harmlos wirkendes Whatsapp-Video zum Verhängnis. Im Mai 2018 erhielt der Amazon-Gründer eine Nachricht von Saudi-Arabiens Kronprinz Muhammad bin Salman. Das war nicht ungewöhnlich, hatten sich die beiden doch einen Monat zuvor an einem Galadinner getroffen und ihre Nummern ausgetauscht (siehe WOZ Nr. 5/2020 ). Doch als Bezos auf das Video klickte, wurde eine damals unbekannte Sicherheitslücke in der App genutzt und ein Schadprogramm auf Bezos’ iPhone geladen.

Nun konnte der Angreifer – mutmasslich aus dem Umfeld von Muhammad bin Salman – unbemerkt mehrere Gigabyte Daten von Bezos’ Telefon absaugen. Freilich war Bezos nicht das einzige Opfer dieser staatlichen Spionageaktion. Auch saudische Dissidentinnen und Aktivisten sowie eine für Amnesty International in Saudi-Arabien tätige Person wurden im gleichen Zeitraum in ähnlicher Weise angegriffen und ausspioniert – mit einem Staatstrojaner, wie er seit über einem Jahr auch in der Schweiz zum Einsatz kommt.

Grundrechte? Egal

Das Bundesamt für Polizei (Fedpol) hat seit 2018 einen eigenen Staatstrojaner im Überwachungsarsenal (vgl. «Infizieren und überwachen» im Anschluss an diesen Text). Gegenüber der WOZ rechtfertigt das Fedpol den Einsatz mit neuen digitalen Mitteln, die auch im Kontext von Terrorismus oder Kinderpornografie Verwendung finden. «Die Strafverfolger müssen im Kampf gegen Kriminelle zumindest auf die gleichen technischen Möglichkeiten zurückgreifen können», schreibt Pressesprecher Florian Näf. Damit meint er insbesondere verschlüsselte Kommunikation, die immer öfter standardmässig zur Verfügung steht. Mit einem Staatstrojaner lässt sich diese problemlos abhören.

Grundrechtlich sind diese umfassenden, heimlich eingesetzten Spionageprogramme jedoch höchst problematisch. Ein Grossteil der privaten und beruflichen Kommunikation läuft heute über Smartphones und Computer ab. Bilder, Videos, Telefongespräche, Nachrichten, besuchte Internetseiten, Termine im Kalender, Kontaktdaten, Notizen, Standorte, E-Mails, gespeicherte Dokumente: All das ist mit einem Staatstrojaner einsehbar. So einfach können Strafverfolgung und Nachrichtendienst eine Person in aller Ausführlichkeit beobachten.Für Rechtsanwalt Viktor Györffy vom Verein grundrechte.ch geht das in fast allen Fällen zu weit: «Ein Eingriff in die Privatsphäre und in die Geheimsphäre ist zwar legitim, wenn er gesetzlich vorgesehen und verhältnismässig ist», erklärt er. «Doch im Fall von Staatstrojanern ist dieser viel zu umfassend.»

Eine solche Totalüberwachung sei ein schwerwiegender Eingriff in die Grundrechte. «Im Gegensatz zur Verwanzung einer Wohnung oder einer Telefonüberwachung wird bei einem Staatstrojaner örtlich viel breiter überwacht», sagt Györffy. «Das ist eine unglaubliche Belastung für die Betroffenen.» Hinzu kommt, dass Staatstrojaner ihren eigenen Einsatz im Gerät verschleiern und dort auch Spuren manipulieren können. Ein griffiges technisches Verfahren, um eine Manipulation von aussen zu überprüfen, fehlt jedoch.

Der österreichische Verfassungsgerichtshof urteilte deshalb im letzten Dezember, dass ein neu verabschiedetes Polizeigesetz verfassungswidrig sei. Auch darin war der Einsatz von Staatstrojanern vorgesehen. Doch für den Verfassungsgerichtshof war «die verdeckte Überwachung verschlüsselter Nachrichten» ein zu grosser Eingriff in die Privatsphäre – nicht zuletzt, weil davon auch unbeteiligte Dritte schwer betroffen wären.

Staatstrojaner hebeln etwa auch das Berufsgeheimnis aus – zum Beispiel bei Journalisten oder Anwältinnen. «Mit dem Einsatz von Staatstrojanern ist der Quellenschutz nicht mehr gewährleistet», erklärt Györffy. Das geschehe auch ganz unabhängig vom jeweiligen Inhalt. Denn dank der heimlichen Spionage wisse der Staat bereits, wer wem als Quelle diene. «Diese Untergrabung des Quellenschutzes lässt sich auch nicht mehr rückgängig machen, da die Informationen zu diesem Zeitpunkt bereits an den Staat gelangt sind.»

Die Sicherheit aller untergraben

Solche Bedenken scheinen in der Schweiz wenig zu gelten. Bereits 2014 besorgte sich der Kanton Zürich unter SP-Regierungsrat Mario Fehr einen Staatstrojaner. Eine gesetzliche Grundlage dafür fehlte. So löste die Beschaffung eine Kontroverse aus, die in der Revision des Bundesgesetzes betreffend die Überwachung des Post- und Fernmeldeverkehrs (Büpf) mündete. Entwickelt wurde das Spionageprogramm damals von der italienischen IT-Firma Hacking Team. Bis heute gehört Hacking Team zu den führenden Anbietern offensiver Überwachungssoftware für staatliche Behörden.

Der andere grosse Player auf dem Staatstrojanermarkt ist die israelische NSO Group. Auch deren Software war bereits in der Schweiz aktiv. Das deckte das kanadische Forschungszentrum The Citizen Lab vor zwei Jahren auf, als es Spuren des von der NSO Group entwickelten Staatstrojaners Pegasus auf iPhones in der Schweiz entdeckte.

Weil solche Operationen meist im verwirrenden, geheimdienstlichen Spiegelkabinett geschehen, lässt sich nicht mit Gewissheit sagen, wer in der Schweiz spionierte. Gegenüber der «Financial Times» behauptete die NSO Group, ihre Software nur «nach sorgfältiger Prüfung an verantwortungsbewusste Länder» zu verkaufen. Das ist Augenwischerei, gehört doch zu den wenigen bekannten Kunden auch Saudi-Arabien.

Egal ob Hacking Team, NSO Group oder der von einem unbekannten Hersteller stammende Fedpol-Staatstrojaner: In jedem Fall nutzen die ProgrammiererInnen unbekannte Sicherheitslücken in Betriebssystemen und Apps aus, um sich klammheimlich einzuschleusen. Diese «Exploits» werden auf dem Schwarzmarkt für Millionenbeträge eingekauft und bewusst geheim gehalten (siehe WOZ Nr. 38/2019 ). Würden sie stattdessen den Herstellern gemeldet, wären die Schwachstellen schnell behoben – und der Staatstrojaner damit unbrauchbar.

So unterstützt der Staat den dubiosen Handel mit Sicherheitslücken, statt unsere IT-Systeme sicherer zu machen. Zudem begibt sich die Schweiz in die fragwürdige Gesellschaft von autoritären Regimes, die mit den gleichen Spionagewerkzeugen Journalistinnen und Menschenrechtsaktivisten ins Visier nehmen. Diese Praxis kritisiert auch Györffy: «Der staatliche Handel mit Sicherheitslücken führt dazu, dass die Gesamtsicherheit abnimmt.» Entsprechend sollten die Schweizer Behörden auf den Einsatz von Staatstrojanern verzichten und nicht weiter die IT-Sicherheit untergraben.

«Rege genutzt»

Noch weiter gehen Constanze Kurz und Frank Rieger – beides SprecherInnen des Chaos Computer Club – in ihrem Buch «Cyberwar». Sie fordern eine Regelung, die Staatstrojaner verunmöglichen würde. «Statt Exploits anzukaufen, um mit Staatstrojanern Geräte zu verwanzen, braucht es eine grundsätzliche Regelung, dass alle staatlichen Behörden verpflichtet sind, ihnen bekannt gewordene Sicherheitslücken unverzüglich an denjenigen zu melden, der sie am schnellsten schliessen kann.»

Die Realität ist jedoch eine andere. Der Fedpol-Staatstrojaner wird gemäss einem Bericht der «NZZ am Sonntag» «rege genutzt». Wie oft er in der Schweiz bisher zum Einsatz kam, will das Fedpol auf Anfrage der WOZ jedoch nicht ausführen. Man äussere sich nicht zu laufenden Verfahren. Bekannt ist lediglich: Mit den acht zur Verfügung stehenden Lizenzen lassen sich pro Jahr fast hundert Geräte ausspionieren.

Für genaue Zahlen verweist das Fedpol auf die Statistik des Dienstes Überwachung Post- und Fernmeldeverkehr (ÜPF). Dieser schlüsselt jährlich die verschiedenen in der Schweiz stattfindenden Überwachungsmassnahmen auf. Der erste Bericht über das Jahr 2018 wies noch keine Einsätze von Staatstrojanern aus. Das hat jedoch damit zu tun, dass nur abgeschlossene Verfahren in die Statistik einfliessen und der Schweizer Staatstrojaner erst seit Dezember 2018 im Einsatz ist. Über das Jahr 2019 konnte der Dienst ÜPF gegenüber der WOZ keine Auskunft geben. Die nötigen Daten seien noch nicht verfügbar.

Auch der Nachrichtendienst (NDB) hüllt sich zum Einsatz der Spionagesoftware in Schweigen. «Der NDB äussert sich nicht zu seinen operationellen Tätigkeiten und Vorgehensweisen», schreibt Pressesprecherin Lea Rappo auf Anfrage. Jedoch erfolge ein allfälliger Einsatz stets «im Rahmen des Nachrichtendienstgesetzes».

Dass diese Aussage stimmt, lässt sich mit guten Gründen anzweifeln, nachdem die Geschäftsprüfungsdelegation des Nationalrats vor wenigen Tagen bekannt machte, dass der NDB in den letzten Jahren systematisch Daten sammelte und bearbeitete, die er nicht hätte sammeln dürfen (vgl. «Geheimdienst an die Kandare!» ). Mit anderen Worten: Der NDB beachtet die eigenen gesetzlichen Schranken nicht.

Der Hinweis, dass ein allfälliger Einsatz des Fedpol-Staatstrojaners gerichtlich angeordnet werden müsse, erweckt ebenfalls nur beschränkt Vertrauen. Weil es sich um geheime Zwangsmassnahmengerichte handelt, gelangen wenig Informationen an die Öffentlichkeit. Transparenz und demokratische Kontrolle sucht man hier vergebens. Viktor Györffy kritisiert, dass die Justizöffentlichkeit und -kontrolle in diesem Bereich nur sehr beschränkt funktioniere. «Zudem hat das Gericht nur Einsicht in rudimentäre Berichte. Es sieht nicht, was genau dahintersteckt. So ist eine wirkliche gerichtliche Kontrolle gar nicht möglich.» Das Resultat: Über 95 Prozent aller Anträge werden durchgewinkt.

Der Fedpol-Staatstrojaner : Infizieren und überwachen

Seit dem 1. März 2018 und dem Inkrafttreten des revidierten Bundesgesetzes betreffend die Überwachung des Post- und Fernmeldeverkehrs (Büpf) ist der behördliche Einsatz von Staatstrojanern in der Schweiz erlaubt. Mit diesen oft verharmlosend «GovWare» genannten Spionageprogrammen können in der Strafverfolgung oder im Rahmen nachrichtendienstlicher Tätigkeiten Computer oder Smartphones umfangreich überwacht werden. Sie nisten sich unbemerkt mittels geheim gehaltener Schwachstellen in einem System ein. Ist das Gerät mit dem Staatstrojaner infiziert, lassen sich die gesamte Kommunikation mitverfolgen und gespeicherte Daten absaugen – sogar, wenn diese verschlüsselt sind.

Mindestens seit dem 1. Dezember 2018 verfügt das Bundesamt für Polizei (Fedpol) über einen eigenen Staatstrojaner. Für die diversen kantonalen Strafverfolgungsbehörden sowie den Nachrichtendienst des Bundes (NDB) stehen acht Lizenzen zur Verfügung. In jedem Fall muss eine Überwachung richterlich angeordnet werden. Wer die Software entwickelt hat und welche Geräte und Betriebssysteme damit ins Visier genommen werden können, will das Fedpol gegenüber der WOZ «aufgrund von vertraglich zugesicherten Vertraulichkeitsverpflichtungen» nicht verraten.

Einzig die Beschaffungskosten wurden publik: Sechs Millionen Franken kostet der Fedpol-Staatstrojaner. Hinzu kommen über eine Million Franken Lizenzgebühren pro Jahr. Diese müssen die ermittelnden Behörden seit dem 1. Dezember 2019 selbst begleichen: Wollen sie den Staatstrojaner benutzen, kostet sie das 13 750 Franken pro Monat und Gerät.

Florian Wüstholz