Staatstrojaner: Chronologie des staatlichen Hackings

Staatstrojaner sollen Smartphones und Computer ausspionieren, damit Kriminelle gefasst werden können. Allerdings können auch Kriminelle und Geheimdienste die Trojaner-Sicherheitslücken ausnutzen. Hier dokumentieren wir die Entwicklung der staatlichen Spionagesoftware – eine Chronologie.

Chronologie: Gesetze, Fälle und Stellungnahmen

Wann wurden Staatstrojaner gesetzlich verankert? Welche Firmen entwickeln die Spionageprogramme? Was sagen Sicherheitsexpert.innen und Datenschützer in ihren Stellungnahmen zum staatlichen Hacking? Welche Fälle sind bekannt, in denen Staatstrojaner eingesetzt wurden? Wir dokumentieren hier chronologisch die Entwicklung von Staatstrojanern. Fehlt eine Information? Gern eine E-Mail mit Link auf verlässliche Quellen an uns schicken.
(Stand: Oktober 2017)

Staatstrojaner machen all unsere Geräte unsicher: Die Staatstrojaner werden über Sicherheitslücken installiert, die dafür in jedem Smartphone, Computer, Tablet und in jeder Spielekonsole vorhanden sein müssen. Diese Hintertüren können neben der Polizei auch alle möglichen Geheimdienste und Kriminelle nutzen, um in unsere Geräte einzusteigen. Diese Chronologie zeigt: Staatstrojaner sind eine Gefahr für Behörden, kritische Infrastruktur, Zivilgesellschaft und Unternehmen. Darum werden wir gegen die deutschen Staatstrojaner eine Verfassungsbeschwerde beim Bundesverfassungsgericht in Karlsruhe einreichen.


Staatstrojaner: Chronologie des staatlichen Hackings

7. November 2017: Regionales Bündnis engagiert sich gegen den „Hessen-Trojaner“
Am 7. November 2017 ist die Infoseite hessentrojaner.de online gegangen: „hessentrojaner.de ist ein Gemeinschaftsprojekt von Organisationen in Hessen, die sich für die Sicherheit von IT-Systemen  und gegen den geplanten Staatstrojaner engagieren.“
hessentrojaner.de

10. Oktober 2017: Polizei in Baden-Württemberg will Staatstrojaner, Video-Verhaltensüberwachung und Handgranaten

Die grün-schwarze Landesregierung in Baden-Württemberg plant ein Gesetz zur Änderung des Polizeigesetzes. Der Entwurf stammt aus dem Ministerium für Inneres, Digitalisierung und Migration Baden-Württemberg. Das Gesetz soll unter anderem den Einsatz von Staatstrojanern auch bei Allgemeinkriminalität erlauben. Der baden-württembergische Landesbeauftragte für Datenschutz, Stefan Brink, erklärte in seiner Stellungnahme: „Ob das Sicherheitspaket einer Überprüfung auf Kosten und Nutzen standhält, wird das Parlament entscheiden. Aus Sicht des LfDI ist sein Nutzen offen - sicher sind bereits jetzt seine Kosten: Wir alle bezahlen die Hoffnung auf mehr Sicherheit mit der realen Einbuße an Freiheit.“
Gesetz zur Änderung des Polizeigesetzes und des Gesetzes über die Ladenöffnung in Baden -Württemberg (PDF)
Stellungnahme des baden-württembergischen Landesbeauftragten für Datenschutz Stefan Brink (PDF)
Stellungnahme des Richtervereins Baden-Württemberg

4. Oktober 2017: Hessen will Staatstrojaner für Verfassungsschutz
Ein geplantes Verfassungsschutzgesetz der schwarz-grünen Regierung in Hessen soll dem Verfassungsschutz des Landes den Einsatz von Staatstrojanern erlauben. (Am Rande: Im hessischen Haiger hat die Digi Task GmbH (siehe Wikipedia), ein Hersteller von Staatstrojanern, ihren Sitz.)
Entwurf für eine Reform des Hessischen Verfassungsschutzgesetzes und des zugehörigen Kontrollgesetzes

14. September 2017: Offizielle ZITiS-Eröffnung
Bundesinnenminister Thomas de Maizière eröffnete in München die Zentrale Stelle für Informationstechnik (ZITiS) im Sicherheitsbereich. „Als Dienstleister der deutschen Sicherheitsbehörden bündelt ZITiS das technische Know-how mit Cyberbezug und unterstützt sie mit Forschung, Entwicklung und Beratung“, heißt es auf der Website. Konkret bedeutet dies auch, dass ZITiS Staatstrojaner entwickeln wird. Der Ankauf von IT-Sicherheitslücken sei dabei nicht ausgeschlossen, erklärte de Maizière bei der Eröffnung.
Website von ZITiS
Monika Ermert (heise.de): IT für Sicherheitsbehörden: Schwachstellen kann Zitis auch kaufen

13. September 2017: Microsoft schließt Sicherheitslücke, die vom Staatstrojaner FinFisher ausgenutzt wurde
Die Sicherheitsfirma FireEye, die das Problem (fireeye.com mit technischen Infos) aufgedeckt hatte, vermutet, dass nicht nur der deutsch-englische Staatstrojaner-Hersteller Gamma Group mit seinem Produkt FinFisher (alias FinSpy oder WingBird) diese Sicherheitslücke ausgenutzt hat, sondern auch gewöhnliche Kriminelle. MS-Windows-Systeme wurden über MS-Office-Dokumente infiziert.
Fabian A. Scherschel (heise.de): Microsoft-Patchday schließt FinFisher-Zero-Day und große Bluetooth-Lücke

9. August 2017: Der IT-Sicherheitsverband TeleTrusT will gegen Staatstrojaner klagen

Der Bundesverband IT-Sicherheit e.V. (TeleTrusT), dem auch BKA und BSI angehören, will nach Konsultation seiner Mitglieder Klage gegen die Staatstrojaner vor dem Bundesverfassungsgericht einreichen. In der Pressemitteilung heißt es: „Die vom Gesetzgeber legalisierten Maßnahmen führen dazu, das Vertrauen in moderne IT-Systeme im Allgemeinen und in die angebotenen vertrauenswürdigen Lösungen zu erschüttern. Sie sind damit industriepolitisch kontraproduktiv und schädigend für den weiteren notwendigen Digitalisierungsprozess. [...] Die Eignung zur Verbrechensaufklärung ist fragwürdig, weil Straftäter beispielsweise auf andere Kommunikationsmöglichkeiten ausweichen werden. Die Beeinträchtigung des Grundvertrauens der Öffentlichkeit in den Schutz der kommunikativen Privatsphäre steht in keinem vernünftigen Verhältnis zur möglichen Ausbeute bei Strafverfolgungsmaßnahmen.“
Pressemitteilung (teletrust.de): "Bundestrojaner": TeleTrusT - Bundesverband IT-Sicherheit e.V. kündigt Verfassungsbeschwerde an

9. August 2017: IT-Verbände in Österreich positionieren sich gegen „Bundestrojaner“
In einem offenen Brief wenden sich Vertreter.innen der österreichischen IT-Branche an den Nationalrat und kritisieren das geplante Sicherheitspaket der Regierung und insbesondere den darin enthaltenen sogenannten Bundestrojaner. Durch das Ausnutzen und Offenhalten von IT-Sicherheitslücken schwäche der Bundestrojaner die IT-Sicherheit und das Vertrauen in den Wirtschaftsstandort Österreich. Es wäre unverantwortlich, den Markt für Sicherheitslücken zu fördern, was Cyberkriminellen zugute käme. Außerdem sei es technisch nicht zu realisieren, dass die Überwachung nur auf die zulässigen Bereiche beschränkt wird.
Vertreter.innen der österreichischen IT-Branche (PDF): Offener Brief zur Gefährdung der Cybersicherheit durch das geplante Sicherheitspaket

2. August 2017: Citizen Lab deckt auf, dass Staatstrojaner gegen mexikanische Anwält.innen eingesetzt wurden
Citizen Lab hat aufgedeckt: In Mexiko wird die Schadsoftware gegen Anwält.innen eingesetzt. Bisher wurden über 20 Fälle aufgedeckt, bei denen in den letzten Jahren eine Software names „Pegasus“ der Firma NSO Group missbräuchlich gegen mexikanische Regierungskritiker.innen eingesetzt wurde (darunter Oppositionspolitiker.innen, Anwält.innen und Journalist.innen). Die Infektion läuft in der Regel so ab, dass die Opfer dazu gedrängt werden, einen Link in einer SMS zu öffnen, der das Smartphone mit der Software infiziert. Obwohl keine eindeutigen Beweise vorliegen, spricht eine Reihe von Indizien für die mexikanische Regierung als Auftraggeber.
John Scott-Railton et. al. (citizenlab.ca): Lawyers for Murdered Mexican Women’s Families Targeted with NSO Spyware
sueddeutsche.de: Wie der Staatstrojaner eine Demokratie aushöhlt

August 2017: Stiftung Wissenschaft und Politik warnt vor Schwächung der IT-Sicherheit zum Zweck der Terrorismusbekämpfung
Die Stiftung Wissenschaft und Politik (SWP) berät die Bundesregierung in außen- und sicherheitspolitischen Fragen. Matthias Schulze von der SWP kritisiert die Tendenz vieler Staaten, IT-Sicherheitsstandards zur besseren Terrorismusbekämpfung abschwächen zu wollen. Das Dilemma bestehe darin, dass durch schlechtere Verschlüsselung und Sicherheitslücken zwar die Kommunikation von Terrorist.innen oder anderen Straftäter.innen besser verfolgt werden könne. Andererseits leide dadurch aber die IT-Sicherheit für die Bevölkerung und Unternehmen insgesamt, was wiederum von Kriminellen ausgenutzt werden könne. Schulze kommt zu dem Ergebnis, dass der Schaden aufgrund verringerter IT-Sicherheit wesentlich gravierender ist, als der Nutzen. Da Terroristen ohnehin meist sichere Kommunikationswege nutzen, plädiert Schulze für die Entwicklung alternativer Ermittlungsstrategien und gegen die Schwächung der allgemeinen IT-Sicherheit.
Matthias Schulze (swp-berlin.org – PDF): Verschlüsselung in Gefahr

27. Juli 2017: Digitalcourage kündigt Verfassungsbeschwerde gegen die deutschen Staatstrojaner an
Digitalcourage hält das Gesetz, das den Einsatz von Staatstrojanern erlaubt (siehe 22. Juni 2017), aus mehreren Gründen für grundgesetzwidrig: Zum einen widerspreche es einem früheren Urteil des Bundesverfassungsgerichts von 2008, weil Online-Durchsuchungen für einen zu großen Bereich von Gefährdungen zugelassen würden und die Quellen-Telekommunikationsüberwachung nur schwerlich auf die zulässigen Bereiche beschränkt werden könne. Zum anderen verletze der Staat seine Schutzpflicht, weil der Einsatz von Staatstrojanern die Verwendung und Geheimhaltung von Sicherheitslücken voraussetze, die von Kriminellen missbraucht werden können.
Digitalcourage: Wir klagen gegen die Staatstrojaner – Verfassungsbeschwerde unterstützen!

26. Juli 2017: Google entdeckt Trojaner in Android-Apps – vermutlich ein Staatstrojaner
Wie Google bekannt gab, verbarg sich die Spyware Lipizzan in mehreren Apps im Google Play Store. Auf einem infizierten Smartphone hat Lippizan Zugriff auf sämtliche E-Mails, SMS, den Standort, die gespeicherte Dateien, die Kamera und das Mikrofon. Google vermutet die israelische Firma Equus Technologies hinter dem Trojaner. Equus Technologies entwickelt Cyberwaffen für staatliche Organisationen. Sollte sich Googles Vermutung bewahrheiten, zeigt dieser Fall: Staatstrojaner werden nicht nur gezielt an einzelne Personen verteilt. Es wird auch versucht, sie großflächig spionieren zu lassen.
Megan Ruthven et. al. (security.googleblog.com): From Chrysaor to Lipizzan: Blocking a new targeted spyware family

21. Juli 2017: Gesellschaft für Freiheitsrechte: Verfassungsbeschwerde u.a. gegen „Online-Durchsuchungen“ und „Quellen-Telekommunikationsüberwachungen“ im Bayerischen Verfassungsschutzgesetz
Etwa ein Jahr nach Inkrafttreten der Reform des Bayerischen Verfassungsschutzgesetzes legt die Gesellschaft für Freiheitsrechte Verfassungsbeschwerde ein: „Die Überwachungsbedürfnisse, welche die Ermächtigungen zu „Online-Durchsuchungen“ und „Quellen-Telekommunikationsüberwachungen“ auf der Ebene des individuellen Grundrechtseingriffs rechtfertigen mögen, können die erhebliche allgemeine Gefährdung der IT-Sicherheit in der Bundesrepublik nicht legitimieren, die von einer Sammlung von Sicherheitslücken bei den deutschen Sicherheitsbehörden ausgehen.“
freiheitsrechte.org: Verfassungsbeschwerde

18. Juli 2017: Bundesdatenschutzbeauftragte Voßhoff prüft Staatstrojaner
Mindestens seit Juli 2017 prüft die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit Andrea Voßhoff die Staatstrojaner datenschutzrechtlich. Das geht hervor aus einer Antwort auf eine Anfrage von Andre Meister zu Staatstrojanern nach dem Informationsfreiheitsgesetz: „Die von Ihnen verlangten Informationen sind Bestandteil eines noch andauernden Kontroll- und Prüfvorgangs der BfDI. Der Informationsantrag ist daher gemäß § 4 Abs. 1 IFG abzulehnen. […] Nach Abschluss des Verfahrens werde ich auf die Angelegenheit zurückkommen.“
fragdenstaat.de: Kontrolle Quellen-TKÜ und Online-Durchsuchung im BKA

25. Juni 2017: Kommentar von Peter Schaar: Gesetzespaket, „dem die Verfassungswidrigkeit auf die Stirn geschrieben steht“
Der ehemalige Bundesdatenschutzbeauftragte und jetzige Vorsitzende der Europäischen Akademie für Informationsfreiheit und Datenschutz Peter Schaar hält das Staatstrojaner-Gesetz für verfassungswidrig. Es sei nicht mit dem Urteil des Bundesverfassungsgerichts von 2008 vereinbar, weil es das Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme zu stark einschränke. Unter anderem kritisiert er das Ausmaß an Daten, die ausgelesen werden dürfen und dass Staatstrojaner bereits bei wenig schwerwiegenden Delikten eingesetzt werden dürfen. Außerdem kritisiert Schaar, dass es eine Voraussetzung für den Einsatz von Staatstrojanern ist, Sicherheitslücken offenzuhalten und auszunutzen.
Kommentar von Peter Schaar (heise.de): Peter Schaar: Der Staat ist ein feiger Leviathan

23. Juni 2017: Bericht des NSA-Untersuchungsausschusses des Deutschen Bundestages
Netzpolitik.org veröffentlicht am 24. Juni 2017 eine ungeschwärzte Version des Abschlussberichts. Darin wird das Spionageprogramm Regin ab Seite 221 behandelt: „Es handele sich um eine von dem Sicherheitsunternehmen Symantec entdeckte, außergewöhnlich komplexe Spionagesoftware, mit der über Jahre hinweg Unternehmen, Behörden und Forschungseinrichtungen vor allem in Russland und Saudi-Arabien ausgespäht worden seien. Insgesamt seien 27 Ziele in 14 Staaten entdeckt worden, wobei die Zahl der betroffenen einzelnen Computer deutlich höher anzusetzen sei. (…) Ende des Jahres 2014 wurde in den Medien berichtet, REGIN sei bei einem Spionageangriff gegen eine Referatsleiterin aus der Abteilung Europapolitik im Bundeskanzleramt eingesetzt worden. Der Trojaner sei entdeckt worden, als diese einen USB-Stick auf ihrem Dienst-Laptop benutzen wollte. Der Trojaner auf diesem Laptop sei jahrelang unentdeckt geblieben und mutmaßlich schon im Jahr 2012 eingeschleust worden.“ Der Bericht enthält Empfehlungen der Fraktion BÜNDNIS 90/DIE GRÜNEN: „Auch das staatliche Sammeln, Zurückhalten vor der Öffentlichkeit und gezielte Nutzen von so genannten Zero-Day-Sicherheitslücken ist rechtsstaatlich nicht vertretbar. Im Gegenteil führt dies zu insgesamt weniger IT-Sicherheit, da bekannte, aber nicht geschlossene Sicherheitslücken immer auch Dritten gegenüber offen stehen und der Schwarzmarkt für solche Angebote nicht auch noch indirekt gefördert werden darf. Der Staat ist hier in einer Schutzpflicht.“ (S. 1628) Die LINKE empfiehlt: „Das Vertrauensproblem der für Cyberabwehr zuständigen Einrichtung kann nur gelöst werden, wenn die intensive Zusammenarbeit mit BfV, BND und MAD national via Cyber-Abwehrzentrum oder international in der Kooperation mit der NSA durchbrochen wird. Gerade die Kritikalität der bei der Behörde auflaufenden Informationen über Sicherheitslücken und -strukturen sowie der Umgang mit Unternehmens- und Personendaten erfordert zwingend, sie mit unzweideutigem Sicherheitsau ftrag aufzustellen.“ (S. 1618)
netzpolitik.org: Geheimdienst-Untersuchungsausschuss: Wir veröffentlichen den Abschlussbericht – ohne die Schwärzungen (Updates)

22. Juni 2017: Internetverband Bitkom kritisiert Staatstrojaner
Für Bitkom-Hauptgeschäftsführer Dr. Bernhard Rohleder geht es bei der Frage um den Einsatz von Staatstrojanern nicht um das Abwägen zwischen mehr Sicherheit und dem Schutz der Privatsphäre. Ein Mehr an Sicherheit sei nämlich gar nicht gegeben, da die Sicherheit dadurch beeinträchtigt werde, dass für Staatstrojaner Sicherheitslücken geschaffen oder offen gehalten werden müssen, die auch von Kriminellen genutzt werden könnten.
Pressemitteilung (bitkom.org): Bitkom zum so genannten „Staatstrojaner“

22. Juni 2017: Bundestag beschließt Staatstrojaner zur Strafverfolgung
Das „Gesetz zur Änderung des Strafgesetzbuchs, des Jugendgerichtsgesetzes, der Strafprozessordnung und weiterer Gesetze“ führt die Möglichkeit zur Durchführung von Quellen-Telekommunikationsüberwachungen (Quellen-TKÜ) und Online-Durchsuchungen ein. Bei einer Quellen-TKÜ wird durch einen Trojaner das direkte Abhören der laufenden Kommunikation auf dem Zielgerät ermöglicht (und somit bevor eine mögliche Verschlüsselung greift oder nachdem eine Entschlüsselung erfolgte). Online-Durchsuchungen gehen noch einen Schritt weiter und ermöglichen das Auslesen sämtlicher auf dem Zielgerät gespeicherten Daten (ebenfalls durch den Einsatz eines Trojaners). Die Änderung der Strafprozessordnung, die den Einsatz von Staatstrojanern ermöglichen soll, wurde nicht etwa in einem eigenständigen Gesetzesverfahren beschlossen, sondern durch einen Verfahrenstrick an ein laufendes Verfahren angehängt, in dem es um Regelungen zum Führerscheinentzug ging. Eine öffentliche Debatte im Vorhinein blieb dadurch aus.
Gesetzentwurf der Bundesregierung (PDF)

18. Juni 2017: E-Privacy-Verordnung: Entschlüsselung von Kommunikation soll verboten werden Marju Lauristin, die Verhandlungsführerin des EU-Parlaments zur ePrivacy-Verordnung wagte in ihrer ersten Stellungnahme einen schwerwiegenden Vorstoß: Verschlüsselte Kommunikation darf unter keinen Umständen durch Hintertüren oder Reverse Engineering wieder in Klartext umgewandelt werden. Mit dieser Forderung formuliert Marju Lauristin einen klaren Schlag gegen die Pläne der deutschen Politik und anderer europäischer Regierungen zu Staattrojanern. Ausnahmen, wie etwa innere Sicherheit oder Strafverfolgung, sind nicht vorgesehen. Lauristins Vorstoß ist mutig und die weiteren Verhandlungen im EU-Parlament und später mit EU-Rat und EU-Kommission müssen zeigen, ob und inwieweit dies in die ePrivacy-Verordnung Einzug erhält.
Stefan Krempl (heise.de): E-Privacy-Verordnung: Entschlüsselung von Kommunikation soll verboten werden

31. Mai 2017: Expertenanhörung zum Staatstrojaner im Bundestag
In einer öffentlichen Anhörung des Ausschusses für Recht und Verbraucherschutz wurde das Pro und Contra zum Staatstrojaner von sieben Sachverständigen diskutiert. Die vertretenen Juristen, Richter und Staatsanwälte äußerten sich überwiegend positiv zur geplanten Gesetzesänderung, die den Einsatz von Staatstrojanern ermöglichen soll. Diese seien insbesondere deshalb so wichtig, weil Kommunikation zunehmend verschlüsselt ablaufe und ein Trojaner so die einzige Möglichkeit sei, diese dennoch abzuhören. Eine Ausnahme bildete der Berliner Richter Ulf Buermeyer, der vor allem den schweren Eingriff in die Persönlichkeitsrechte für bedenklich hält. Der schärfste Kritiker unter den Sachverständigen war Linus Neumann vom Chaos Computer Club. Er hält den Einsatz von Staatstrojanern für unverantwortlich, weil das Offenhalten der benötigten Sicherheitslücken eine Schwächung der IT-Sicherheit insgesamt zur Folge hätte.
Pressemitteilung (bundestag.de): Pro und Contra Staatstrojaner
bundestag.de: Stellungnahmen der Sachverständigen

29. Mai 2017: Die Bundesdatenschutzbeauftragte übt scharfe Kritik am Gesetzesentwurf zum Einsatz von Staatstrojanern
Die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit Andrea Voßhoff hält das Gesetz wegen der Ermöglichung weitreichender Überwachungsmaßnahmen für einen „klaren Verfassungsverstoß“. Insbesondere kritisiert sie, dass neben der Überwachung laufender Kommunikation (z.B. ein- und ausgehender SMS) auch auf dem Gerät gespeicherte Kommunikation (z.B. früher versendete SMS) abgegriffen werden sollen. Des Weiteren sieht Voßhoff die Gefahr, dass mit der Infiltration des Systems der entscheidende Schritt für eine unkontrollierte Überwachung genommen ist, da es technisch schwer möglich ist, die Überwachung nur auf die erlaubten Bereiche zu beschränken. Außerdem befürchtet Voßhoff, dass die für den Einsatz des Staatstrojaners notwendigen Sicherheitslücken von anderen missbraucht werden könnten.
Andrea Voßhoff (PDF): Stellungnahme der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit zum Entwurf eines Gesetzes zur Änderung des Strafgesetzbuchs ...

Mai 2017: Die Ransomware WannaCry legt weltweit zahlreiche Unternehmen und staatliche Organisationen lahm
Die Schadsoftware verschlüsselte die Dateien der betroffenen Rechner und verlangte zur Entschlüsselung eine Zahlung bestimmter Höhe in der Kryptowähung Bitcoin. Die Infektion und schnelle Weiterverbreitung von WannaCry setzte das Ausnutzen einer Sicherheitslücke in Windowssystemen voraus. Das war nur deshalb möglich, weil die NSA, die diese Sicherheitslücke entdeckt hatte, Microsoft nicht darüber informierte. Stattdessen hielt die NSA das Vorhandensein der Sicherheitslücke für mehrere Jahre geheim – unter anderem für die Verwendung von Staatstrojanern.
Wikipedia (wikipedia.org): WannaCry

April 2017: FireEye meldet eine Sicherheitslücke (CVE-2017-0199), die sowohl für Staatstrojaner als auch für finanziell motivierte Systemeinbrüche genutzt wird
Mindestens seit Januar 2017 wurde die Sicherheitslücke vom Staatstrojaner FinSpy der englisch-deutschen Firma Gamma Group ausgenutzt. Seit März wurde die offiziell immer noch unbekannte Sicherheitslücke auch von der Malware LatentBot ausgenutzt, die ähnlich programmiert ist. Daher vermutet FireEye, dass beide den Code, der die Schwachstelle ausnutzt, aus derselben Quelle bezogen haben. Ab April nutzte auch das Botnet DRIDEX diese Lücke, um massenhaft Spam zu versenden. Verbreitet hatte sich der Trojaner durch speziell präparierte RTF-Dokumente, wenn sie mit Microsoft Office geöffnet wurden. ▶ golem.de: Office 0-Day zur Verbreitung von Finfisher-Trojaner genutzt

März 2017: Studie des Europaparlaments zu Staatstrojanern
Die Studie basiert auf der Analyse der Gesetzeslage zum Einsatz von Staatstrojanern in sechs EU-Ländern und drei Nicht-EU-Ländern. Es werden unter anderem die folgenden Risiken identifiziert: Wegen der Invasivität von Staatstrojanern stellten diese ein hohes Risiko für die Privatsphäre dar. Außerdem bestünde die Gefahr, dass die Internetsicherheit insgesamt geschwächt wird. Weiterhin benennt die Studie einige wichtige Voraussetzungen für den Einsatz von Staatstrojanern, unter anderem: eine richterliche Anordnung, Einschränkung auf die Verfolgung schwerer Verbrechen sowie das Informieren der „Opfer“ im Nachhinein.
Mirja Gutheil et. al. (PDF): Legal Frameworks for Hacking by Law Enforcement: Identification, Evaluation and Comparison of Practices
netzpolitik.org: Studie des Europaparlaments: Staatstrojaner bergen erhebliche Risiken für das Grundrecht auf Privatsphäre

20. Januar 2017: Start der Zentralen Stelle für Informationstechnik im Sicherheitsbereich (ZITiS), die sich an der Entwicklung von Staatstrojanern beteiligen soll
ZITiS soll dem Bundesinnenministerium unterstehen und die Sicherheitsbehörden mit technischem Know-how bei Themen mit Cyberbezug forschend und beratend unterstützen. Konkret gehören zu den Aufgabenbereichen von ZITiS: digitale Forensik, Telekommunikationsüberwachung, Kryptoanalyse, Massendatenauswertung sowie technische Fragen von Kriminalitätsbekämpfung, Gefahrenabwehr und Spionageabwehr. Für ZITiS ist ein Budget von 10 Millionen Euro sowie 400 Stellen bis 2022 vorgesehen.
Pressemitteilung (bmi.bund.de): Start­schuss für ZI­TiS

25. September 2016: Neues Nachrichtendienstgesetz der Schweiz erlaubt Staatstrojaner
Das Nachrichtendienstgesetz erlaubt dem Nachrichtendienst NDB: „das Eindringen in Computersysteme und Computernetzwerke, um: 1. dort vorhandene oder von dort aus übermittelte Informationen zu beschaffen, 2. den Zugang zu Informationen zu stören, zu verhindern oder zu verlangsamen, falls die Computersysteme und Computernetzwerke für Angriffe auf kritische Infrastrukturen verwendet werden (…).“ Si­mon Gan­ten­bein von der Digi­ta­len Ge­sell­schaft Schweiz erklärt: „Ein Trojaner nutzt Sicherheitslücken aus. Für bisher unbekannte Sicherheitslücken, sogenannte Zero-Day-Exploits, gibt es einen Schwarzmarkt. Durch den Kauf von Trojanern unterstützt der Staat diesen Schwarzmarkt und fördert damit das organisierte Verbrechen. Der Staat begibt sich auch in einen Interessenkonflikt: Wenn er die Schließung von Sicherheitslücken anstrebt, gefährdet er damit den Einsatz des teuer gekauften Staatstrojaners: Sicherheitslücken bleiben bestehen, statt dass diese so schnell wie möglich gemeldet und geschlossen werden. Trojaner werden von Firmen hergestellt (…). Dieselben Hersteller, die auch die Schweiz beliefern, verkaufen ihre Schadenssoftware auch an nicht demokratisch geführte Staaten.“ Das Gesetz trat am 1. September 2017 in Kraft.
parlament.ch: Chronologie des schweizer Nachrichtendienstgesetzes
Bundesgesetz über den Nachrichtendienst (Nachrichtendienstgesetz, NDG) vom 25. September 2015 (PDF)

10. August 2016: Citizen Lab untersucht Staatstrojaner, dem Menschenrechtler Ahmed Mansoor nur knapp entgangen ist:
Ahmed Mansoor ist ein weltweit anerkannter Menschenrechtsaktivist aus den den Vereinigten Arabischen Emiraten. Anfang August 2016 erhält er eine SMS mit dem Versprechen, Informationen zur Folter politischer Gefangener zu erhalten, wenn er auf den angefügten Link klickt. Mansoor klickt nicht, sondern schickt die Nachricht zu Citizen Lab. Nach einer Untersuchung stellt sich heraus, dass sich dahinter ein Trojaner der NSO Group verbirgt, der drei Sicherheitslücken von iOS ausnutzt. Citizen Lab vermutet die VAE-Regierung hinter der versuchten Infizierung.
Bill Marczak, John Scott-Railton (citizenlab.ca): The Million Dollar Dissident

Juli 2016: Reform des Bayerischen Verfassungsschutzgesetzes
Gegen die Reform wird die Gesellschaft für Freiheitsrechte am 21. Juli 2017 Verfassungsbeschwerde einlegen.

20. April 2016: Bundesverfassungsgericht: Teile des deutschen BKA-Gesetzes sind nicht verfassungskonform:
Im Grundsatz hält das Bundesverfassungsgericht das BKA-Gesetz mit seinen Regelungen zum Einsatz von Staatstrojanern zum Zwecke der Terrorimsusbekämpfung für verfassungskonform. An einigen Stellen verlangen die Verfassungsrichter jedoch Nachbesserungen. Insbesondere mahnen sie die Einhaltung des Verhältnismäßigkeitsgrundsatzes: „Befugnisse, die tief in das Privatleben hineinreichen, müssen auf den Schutz oder die Bewehrung hinreichend gewichtiger Rechtsgüter begrenzt sein, setzen voraus, dass eine Gefährdung dieser Rechtsgüter hinreichend konkret absehbar ist, dürfen sich nur unter eingeschränkten Bedingungen auf nichtverantwortliche Dritte aus dem Umfeld der Zielperson erstrecken, verlangen überwiegend besondere Regelungen zum Schutz des Kernbereichs privater Lebensgestaltung sowie einen Schutz von Berufsgeheimnisträgern, unterliegen Anforderungen an Transparenz, individuellen Rechtsschutz und aufsichtliche Kontrolle und müssen mit Löschungspflichten bezüglich der erhobenen Daten flankiert sein.“ Außerdem stellt das Gericht sehr hohe Anforderungen an die Übermittlung der erhobenen Daten an ausländische und andere inländische Behörden.
BVerfG, Urteil des Ersten Senats vom 20. April 2016

30. April 2015: vermuteter Beginn des Bundestagshacks:
http://dipbt.bundestag.de/doc/btd/18/057/1805779.pdf https://netzpolitik.org/2016/wir-veroeffentlichen-dokumente-zum-bundestagshack-wie-man-die-abgeordneten-im-unklaren-liess/

November 2014: NSA-Trojaner Regin im deutschen Kanzleramt entdeckt
Regin ist eine Spionagesoftware die bereits seit 2008 aktiv gewesen sein soll und in verschiedenen Versionen Behörden, Unternehmen und Personen in Russland, Saudi-Arabien, Brasilien, Indien, Indonesien, Deutschland, Österreich und in weiteren Ländern Westeuropas angegriffen hat. Darunter den belgischen Telefonanbieter Belgacom, die EU-Kommission und eine Mitarbeiterin des Kanzleramts. Die Bundesanwaltschaft hat ein Ermittlungsverfahren eingeleitet. Am 27. Januar 2015 veröffentlichte der Spiegel einen Artikel, der Regin als NSA-Werkzeug beschreibt, dass die Five-Eyes-Geheimdienste nutzen. Die Spionagesoftware Regin war Gegenstand im NSA-Untersuchungsausschuss im Bundestag (z.B.: Protokoll von Netzpolitik vom 12.05.2016).
Marcel Rosenbach, Hilmar Schmundt und Christian Stöcker (SPIEGEL-Veröffentlichung): Experten enttarnen Trojaner "Regin" als Five-Eyes-Werkzeug
Kaspersky Lab: Whitepaper Regin platform (PDF)
Symantec: Analysis Regin (PDF)

20. März 2014: NSA-Untersuchungsausschuss des Deutschen Bundestages
Als Reaktion auf die Enthüllungen von Edward Snowden, setzt der Deutsche Bundestag einen Untersuchungsaussuss zum NSA-Skandal ein, in dessen Verlauf auch die Spähsoftware Regin behandelt wird. Nach Ende der Arbeit des Aussusses veröffentlicht Netzpolitik.org am 24.06.2017 eine ungeschwärzte Version des Abschlussberichts.
bundestag.de: Seite des 1. Untersuchungsausschuss ("NSA")
netzpolitik.org: Geheimdienst-Untersuchungsausschuss: Wir veröffentlichen den Abschlussbericht – ohne die Schwärzungen (Updates)

8. Januar 2014: Untersuchungen des EU-Parlaments: Staaten müssen Bevölkerung vor Hacking schützen
Im Untersuchungsbericht des EU-Parlaments zum NSA-Skandal wird unter anderem der staatliche Hackangriff auf den Telekommunikationsanbieter Belgacom als eine von vielen Gefahren für Europa aufgelistet. Der Bericht fordert als Konsequenz alle EU-Staaten dazu auf ihre Pflicht zu erfüllen, die Bevölkerung vor Überwachung zu schützen: „Calls on the Member States immediately to fulfil their positive obligation under the European Convention on Human Rights to protect their citizens from surveillance contrary to its requirements, including when the aim thereof is to safeguard national security, undertaken by third states and to ensure that the rule of law is not weakened as a result of extraterritorial application of a thirdcountry’s law“… Staaten müssen demzufolge die Bevölkerung vor Hacking schützen und dürfen nicht für Unsicherheit sorgen, indem sie selbst Schadsoftware hertellen und einsetzten, die Sicherheitslücken voraussetzt ist. ▶ Europäisches Parlament: Draft Report (2013/2188(INI))

Seit Juni 2013: Enthüllungen von Edward Snowden
Der ehemalige NSA-Mitarbeiter Edward Snowden hat gemeinsam mit dem Guardian und der Washington Post das weltweite Spionagenetzwerk von Geheimdiensten (insbesondere der amerikanischen NSA und des britischen GCHQ) enthüllt. Dabei kam auch der massive Einsatz von Staatstrojanern zum gezielten Ausspionieren einzelner Personen oder von Personengruppen ans Licht. Snowden veröffentlichte unter anderem Informationen über das Schadprogramm QWERTY, dass große Ähnlichkeit aufweist, mit der Schadsoftware Regin, die 2014 unter anderem im deutschen Bundeskanzleramt gefunden wurde. Auch diese Trojaner nutzten Sicherheitslücken aus.
Patrick Beuth (zeit.de): Alles Wichtige zum NSA-Skandal

30. Juli 2012: Bayerischer Landesdatenschutzbeauftragter prüft Staatstrojaner und stellt Unzulänglichkeiten fest
Nachdem bereits der Bundesdatenschutzbeauftragte den Staatstrojanereinsatz durch Bundesbehörden geprüft hatte [siehe 31.1.2012], veröffentliche auch der Bayerische Landesbeauftragte für den Datenschutz Thomas Petri einen Prüfbericht zur Quellen-Telekommunikationsüberwachung durch bayerische Strafverfolgungsbehörden. Die Untersuchung bezieht sich auf 23 Staatstrojaner-Einsätze im Zeitraum 1.1.2008 bis 31.12.2011, wobei auch die Software des Unternehmens DigiTask zum Einsatz kam. Der Bericht dokumentiert eine Vielzahl von technischen und datenschutzrechtlichen Mängeln des Trojaners. So gab es beispielsweise eine mangelhafte Authentisierung, Sicherheitsupdates bei der Überwachungskonsole fehlten und eine technische Begrenzung der Überwachungsfunktion war nicht gegeben. Außerdem hält Petri die unzureichende Dokumentation der Eingriffsintensität für einen Datenschutzverstoß. Weiterhin hätten die Betroffenen nach Abschluss einer Überwachungsmaßnahme informiert werden müssen, was nicht geschehen sei.
Der Bayerische Landesbeauftragte für den Datenschutz: Prüfbericht Quellen-TKÜ (PDF)

31. Januar 2012: Bundesdatenschutzbeauftragter Schaar prüft Staatstrojaner und bestätigt die vom CCC festgestellten technischen und rechtlichen Mängel
Nach der Untersuchung des Staatstrojaners durch den Chaos Computer Club [siehe 10.8.2011] unternahm der damalige Bundesbeauftragte für den Datenschutz und die Informationsfreiheit Peter Schaar eine Prüfung des Staatstrojaner-Einsatzes zur Quellen-Telekommunikationsüberwachung durch die Bundessicherheitsbehörden (Bundeskriminalamt, Zollkriminalamt und Bundespolizei). Da kein Zugang zum Quellcode gewährt wurde, waren keine abschließenden Aussagen möglich. Dennoch konnten die Ergebnisse der Untersuchung des Chaos Computer Clubs im Grundsatz bestätigt werden. In dem eigentlich nicht für die Öffentlichkeit gedachten Bericht wurden dem Staatstrojaner von DigiTask und dessen Einsatz erhebliche Mängel attestiert. Unter anderem war die Verschlüsselung der ausgeleiteten Daten und die Authentisierung unzureichend. Außerdem wurde der Schutz des Kernbereichs der privaten Lebensgestaltung nicht ausreichend gewährleistet. So wurden in einem Fall sogar Telefonsex-Gespräche aufgezeichnet.
Peter Schaar: Bericht gemäß § 26 Abs. 2 Bundesdatenschutzgesetz über Maßnahmen der Quellen-Telekommunikationsüberwachung bei den Sicherheitsbehörden des Bundes (PDF)
Pressemitteilung (ccc.de): Bericht des Bundesdatenschutzbeauftragten zum Staatstrojaner geleakt
Pressemitteilung (ccc.de): Computer Club: Staatstrojaner-Überprüfung durch Schaar abgeschlossen

10. August 2011: Chaos Computer Club analysiert Staatstrojaner entwickelt vom hessischen Unternehmen DigiTask – Ergebnis: technisch stümperhaft umgesetzt und verfassungswidrig
Der Trojaner sei eigentlich nur zur Kommunikationsüberwachung gedacht gewesen. Durch beliebige Funktionserweiterungen ließen sich aber fast sämtliche Dateien auf dem Gerät auslesen sowie Kamera, Mikrofon und Tastatur überwachen. Dies sein ein Verstoß gegen das Bundesverfassungsgerichtsurteil von 2008. Des Weiteren legte die Untersuchung gravierende Sicherheitsmängel offen. Ein Sprecher des CCC kommentiert: „Wir waren überrascht und vor allem entsetzt, daß diese Schnüffelsoftware nicht einmal den elementarsten Sicherheitsanforderungen genügt. Es ist für einen beliebigen Angreifer ohne weiteres möglich, die Kontrolle über einen von deutschen Behörden infiltrierten Computer zu übernehmen“. Ein weiteres No-Go: Die ausgleiteten Daten laufen über einen Server in den USA.
Die analysierte Spähsoftware stammt höchstwahrscheinlich vom hessischen Softwareunternehmen DigiTask. Dies bestätigte ein Rechtsanwalt des Unternehmens gegenüber dem Hessischen Rundfunk. DigiTask – nach den Angaben ihrer Website ein Spezialist für leistungsfähige Lösungen zur gesetzeskonformen Telekommunikationsüberwachung – verteidigt sich: Bei einem drei Jahre alten Programm sei es normal, dass es nicht mehr den aktuellen Sicherheitsanforderungen entspricht. Für eine gesetzeskonforme Nutzung seien ausschließlich die Behörden verantwortlich. Die Staatstrojaner von DigiTask kamen in mehreren Bundesländern sowie in Österreich, der Schweiz und den Niederlanden.
Pressemitteilung (ccc.de): Chaos Computer Club analysiert Staatstrojaner
hr-iNFO: "Staatstrojaner" kommt aus Hessen
Konrad Lischka und Ole Reißmann (spiegel.de): DigiTask wehrt sich gegen Inkompetenz-Vorwurf
Konrad Lischka et. al. (spiegel.de): Trojaner-Hersteller beliefert etliche Behörden und Bundesländer
profil.at: Trojanische Sitten
Andreas Schmid und Fabian Baumgartner (nzz.ch): «Staatstrojaner» im Fall Stauffacher eingesetzt

Mitte 2009: Münchner Flughafen: Computer eines Geschäftsmanns wird mit Staatstrojaner infiziert
Das bayerische Landeskriminalamt installiert heimlich am Münchner Flughafen „Franz Josef Strauß“ auf dem Laptop eines bayerischen Geschäftsmanns einen Staatstrojaner. Die Software übermittelte zweimal pro Minute ein Bildschirmfoto an die Ermittler. Ermittelt wurde gegen den Mann wegen „banden- und gewerbsmäßigen Handelns und Ausfuhr von Betäubungsmitteln“. Das Bundesverfassungsgericht hatte 2008 für solche Maßnahmen jedoch viel engere Grenzen gesetzt. Der Spiegel fasst 2011 zusammen: Der Mann „ist in einer Firma angestellt, die Psychopharmaka vertreibt. In Deutschland legal, im Ausland möglicherweise nicht – das ist strittig. Die Polizei nutzte die Spionage-Software jedenfalls nicht zur Gefahrenabwehr, sondern um eine mutmaßliche Straftat aufzuklären.“
Steffen Winter (Spiegel Ausgabe 9/2011): Fahnder Massiver Eingriff

27. Januar 2009: Bettina Winsemann mit Verfassungsbeschwerde gegen BKA-Gesetz Bürgerrechtlerin und Journalistin Bettina Winsemann legt Verfassungsbeschwerde ein gegen das BKA-Gesetz aus 2008. Anwalt Frederik Roggan (Humanistischen Union) vertritt die Klage.
Humanistischer Pressedienst: Verfassungsbeschwerde gegen BKA- Gesetz
Telepolis: Text der Verfassungsbeschwerde

19. Dezember 2008: Bundesrat beschliesst BKA-Gesetz Das Bundeskriminalamt darf Staatstrojaner zur Prävention von internationalem Terrorismus einsetzen. Nach geringfügigen Änderungen passierte das umstrittene Gesetz am 17. Dezember 2008 den Vermittlungsauschuss von Bundestag und Bundesrat. (Fassung des Gesetzes zur Abwehr von Gefahren des internationalen Terrorismus durch das Bundeskriminalamt vom 25. Dezember 2008 (Bundesgesetzblatt I Seite 3083))
Kai Biermann (zeit.de): Kosmetische Korrekturen

1. August 2008: Polizei und Verfassungsschutz dürfen in Bayern verdeckt Online-Durchsuchungen durchführen
Stefan Krempl (heise.de, 03.07.2008): Bayerischer Landtag setzt den "Bayerntrojaner" frei

27. Februar 2008: Bundesverfassungsgericht formuliert das „IT-Grundrecht“
In seinem Urteil vom 27. Februar 2008 schafft das Verfassungsgericht das sogenannte „Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme“ (umgangssprachlich: „IT-Grundrecht“). Es stellt eine Erweiterung des allgemeinen Persönlichkeitsrechts dar. Das Urteil beinhaltet unter anderem, dass die Durchführung einer Online-Durchsuchung nur unter sehr strikten Bedinungen mit dem Grundgesetz vereinbar ist: „Die heimliche Infiltration eines informationstechnischen Systems, mittels derer die Nutzung des Systems überwacht und seine Speichermedien ausgelesen werden können, ist verfassungsrechtlich nur zulässig, wenn tatsächliche Anhaltspunkte einer konkreten Gefahr für ein überragend wichtiges Rechtsgut bestehen. [...] Die heimliche Infiltration eines informationstechnischen Systems ist grundsätzlich unter den Vorbehalt richterlicher Anordnung zu stellen. Das Gesetz, das zu einem solchen Eingriff ermächtigt, muss Vorkehrungen enthalten, um den Kernbereich privater Lebensgestaltung zu schützen.“ Damit setzt Karlsruhe dem Einsatz von Staatstrojanern sehr enge Grenzen.
BVerfG, Urteil des Ersten Senats vom 27. Februar 2008

10. Oktober 2007: Schriftliche Stellungnahmen der geladenen Gutachter zur Anhörung des Bundesverfassungsgerichts Quelle: Wikipedia
▶ Andreas Bogk (CCC), PDF (Memento vom 15. Dezember 2007 im Internet Archive)
▶ Dirk Fox (Secorvo), PDF
▶ Felix Freiling (Uni Mannheim), PDF
▶ Andreas Pfitzmann (TU Dresden), PDF
▶ Ulrich Sieber (MPI Freiburg), PDF

20. Dezember 2006: Änderung des Verfassungsschutzgesetzes Nordrhein-Westfalen
Mit der Änderung des Gesetzes über den Verfassungsschutz in Nordrhein-Westfalen vom 20. Dezember 2006 (GVBl NW, S. 620) wird eine Rechtsgrundlage geschaffen für: „heimliches Beobachten und sonstiges Aufklären des Internets, wie insbesondere die verdeckte Teilnahme an seinen Kommunikationseinrichtungen bzw. die Suche nach ihnen, sowie der heimliche Zugriff auf informationstechnische Systeme auch mit Einsatz technischer Mittel.“ ( § 5 Abs. 2 Nr. 11 ([18])). Dagegen wurde erfolgreich Verfassungsbeschwerde beim Bundesverfassungsgericht eingelegt, siehe Eintrag zum 27. Februar 2008.
Gesetz- und Verordnungsblatt für das Land Nordrhein-Westfalen vom 29. Dezember 2006 (PDF), siehe S. 620

Weitere Informationen:

Titelbild: elhombredenegro – Crackers (flickr.com) CC BY 2.0