Dass Staatstrojaner eingesetzt werden, ist keine Neuigkeit und es ist nicht grundsätzlich etwas dagegen einzuwenden. Es fehlt in der politischen Diskussion aber manchmal die technische Kenntnis, um einen Einsatz von Staatstrojanern sinnvoll zu gestalten.
Zuerst müssen drei Begriffe geklärt werden. Ein Staatstrojaner ist ein Computer-Programm, das es staatlichen Organen ermöglichen soll, auf Zielcomputern möglichst unbemerkt an Daten zu gelangen. Oft werden sogenannte 0-day Schwachstellen eingesetzt, um das Programm initial auf dem Zielcomputer zu platzieren.
0-day Schwachstellen oder eben «0-days» sind Schwachstellen in der Hard- oder Software von Computersystemen wie etwa iOS oder Internet Explorer, für die keine Behebungsmassnahmen vorhanden sind. Oft weiss nicht einmal der Hersteller von der Existenz dieser Schwachstellen. An dieser Stelle gehen verschiedene Definitionen auseinander. Worauf man sich einigen kann: Ein normaler Mensch kann eine 0-day Schwachstelle nicht kennen und kann sich vor Einbrüchen über diese Schwachstellen nicht zuverlässig schützen. Dasselbe gilt für normale Organisationen wie Detailhändler, Atomkraftwerke und ironischerweise für Justizorgane.
Um eine Schwachstelle auszunutzen, benötigt man einen sogenannten Exploit. Ein Exploit besteht in der Regel aus einem kleinen Computerprogramm, das die Schwachstelle zugunsten des Angreifers ausnutzen kann. Einen Exploit zu entwickeln, kann je nach Schwachstelle einfach bis unmöglich sein und bedarf manchmal der Kombination mehrerer Schwachstellen.
Es gibt weltweit diverse Organisationen, die mit 0-day Exploits handeln. Zu den Käufern gehören auch Entwickler von Staatstrojanern. Diese benötigen 0-day Exploits, damit ihr Staatstrojaner auch in grundsätzlich solide Zielsysteme implantiert werden kann. Wenn zum Beispiel ein iPhone die aktuellsten Updates eingespielt hat und sich der Benutzer nicht dumm anstellt, dann kann man aus der Ferne einen Staatstrojaner nur noch unter Ausnutzung eines 0-day Exploits einschleusen. Im Wesentlichen kann man Staatstrojaner als benutzerfreundliche und vielseitige Malware umschrieben, die ausserdem, je nach Repertoire an 0-days, sehr mächtig ist.
Wenn zum Beispiel der Kanton Zürich einen Staatstrojaner einkauft, dann kauft er damit implizit Information über gefährliche Sicherheitslücken in Computersystemen, die von Zürcher Bürgern und Firmen eingesetzt werden (1). Er will dieses Wissen aber nicht mit seinen Bürgern teilen, denn sonst würde sein Vorteil entfallen und er würde vielleicht bald keine Angebote für neue Staatstrojaner mehr erhalten.
Diese Situation ist paradox. Eigentlich geht man davon aus, dass die Behörden ihre Bürger über massenweise defekte Türschlösser oder toxische Nahrungsmittel informieren würde. Im Fall von Computer-Schwachstellen, die genauso schwerwiegende Konsequenzen haben, ist dies aber nicht der Fall.
Was kann man mit Hilfe eines konkurrenzfähigen Staatstrojaners anstellen? Die Lieferkette bei der Migros stören? Sicherlich. Sich beim EWZ einhacken oder das Zürcher Justizdepartement ausschnüffeln? Vielleicht. Bei der RUAG sensitive Informationen stehlen? Definitiv. Noch.
Nehmen wir einmal an, dass der eingekaufte Trojaner einen von zehn Bürgern «hacken» kann. Dann braucht nur die Zielorganisation gross genug zu sein, um ein passendes Opfer zu finden. Mit dem ersten Opfer innerhalb der Zielorganisation hat ein Angreifer bereits einen ersten Fuss in internen Netzwerken der Zielorganisation. Erst einmal dort angelangt, geht es für den Angreifer oft ziemlich einfach weiter, bis hin zu sensiblen Systemen.
Dieser Beitrag will nicht darauf hinaus, dass Justizbeamte unter Zuhilfenahme des Staatstrojaners das Sortiment der Migros justieren wollten. Die Frage, wie Missbrauch von Staatstrojanern begegnet werden kann, sei hier ausgeklammert.
Aber was ist mit den Verkäufern des Staatstrojaners? Diese digitalen Waffenhändler besitzen praktisch dieselben Möglichkeiten zum Einsatz gegen unsere Staatsorgane, Firmen und Bürger. Und könnten wesentlich mehr Interesse an solch einem Einsatz zeigen.
Es geht jedoch noch weiter: Gute 0-days sind teuer. Wir können annehmen, dass diese wiederverwendet werden und auch anderen Käufern des Staatstrojaners (z.B. den anderen Kunden von Hacking Team, dem damaligen Lieferanten des Zürcher Staatstrojaners) ganz ähnliche Möglichkeiten bieten. Saudi Arabien, Türkei, Mexiko, Russland, …
Polemisch ausgedrückt: Erdogan, Putin und der saudische Geheimdienst können unsere Bürger, Firmen und staatlichen Organe hacken unter Ausnutzung von Schwachstellen, die unserem Staat theoretisch bekannt wären. Unser Staat schützt uns nicht davor, weil er seinen eingekauften Staatstrojaner nicht schwächen will.
Diese Situation kann nicht als befriedigend bezeichnet werden.
Folgende Vorschläge könnten zur Entschärfung des Problems beitragen:
- Der Staat hortet keine 0-day Schwachstellen. Er informiert seine Bürgerschaft und seine Unternehmen über die ihm bekannten Schwachstellen.
- Der Staat darf Exploits kaufen, entwickeln, sammeln und geheim halten.
- Der Staat setzt nur Staatstrojaner ein, deren Quellcode ihm zugänglich ist und die er auf eigenen Systemen betreiben kann.
Der Verzicht auf 0-day Schwachstellen erschwert den Einsatz von Staatstrojanern, macht ihn aber nicht unmöglich. Um eine Wohnung zu verwanzen, benötigt man auch nicht zwingend einen Nachschlüssel. Man findet auch sonst Wege, wenn der Aufwand in vernünftigem Verhältnis zum Auftrag steht. Mit dem Staatstrojanern sollte es ähnlich gehandhabt werden: Der Staat benötigt keinen allgemeinen Nachschlüssel in Form eines eingekauften Staatstrojaners mit einem Arsenal an 0-day Exploits, sondern kreative Teams, die sich bei Bedarf mit etwas grösserem Aufwand Zugriff auf eine Vielzahl von Zielsystemen verschaffen können. In der Praxis wird sich kaum jeder Kanton sein eigenes Hacking-Team leisten wollen (was auch nicht grundfalsch wäre), daher bieten sich interkantonale Konkordate an.
Primäraufgabe des Staates ist der langfristige Schutz der Bevölkerung und damit auch der Schutz unserer Infrastruktur. Wenn auch der Staat nicht verhindern kann, dass Schweizer Personen oder Organisationen gehackt werden, so kann er doch den dazu notwendigen Aufwand erhöhen. Ein erster Schritt wäre, dass er Schwachstellen offensiv publiziert und damit die Möglichkeit bietet, sich vor diesen Schwachstellen zu schützen.
(1) Manche Staatstrojaner werden ihre Exploit-Datenbank nicht einfach dem Kunden aushändigen, sondern eher wie ein Cloud Hacking Service funktionieren. Je nach Art des Exploits kann der Staat trotzdem mit vertretbarem Aufwand an die Exploits und damit an Kenntnis der Schwachstellen gelangen.