In den vergangenen Tagen berichteten mehrere Medien (u.a. die Süddeutsche Zeitung) darüber, dass das Bundeskriminalamt (BKA) über einen Trojaner verfügt, der in der Lage ist die Verschlüsselung von Krypto-Messengern zu umgehen. Die staatliche Malware, die laut BKA bereits in der Praxis zum Einsatz kommt, macht dazu beispielsweise Screenshots des Smartphone-Bildschirms und überträgt diese an die Ermittler. Die Kommunikation wird also abgegriffen bevor sie verschlüsselt wird. Dieses Vorgehen der Behörden ist keineswegs neu. Bereits in den vergangenen Jahren hat das BKA Trojaner für Laptops und Desktop-Rechner entwickeln lassen. Nun hat das BKA sein Waffenarsenal um einen Trojaner für Smartphones erweitert.
Diesen darf die Behörde sowohl zu präventiven Zwecken (vgl. § 20k BKAG), als auch, seit vergangenem Sommer, nach § 100a StPO zu Strafverfolgungszwecken einsetzen. Verfassungsbeschwerden gegen die Neuregelung werden, z.B. durch die Gesellschaft für Freiheitsrechte, gerade vorbereitet.
Wie hoch die Bedrohung durch den neuen Staatstrojaner ist, lässt sich nur schwer einschätzen. Das liegt daran, dass unklar ist, welche Sicherheitslücken der BKA-Trojaner ausnutzt, um Computersysteme auszuhorchen. Grundsätzlich ist die Sicherheit vor dem Trojaner jedoch mit jeder in einem System gefundenen und anschließend geschlossenen Sicherheitslücke höher. Im Fall von Smartphones besteht hier ein besonderes Problem. Denn während die meisten Laptops und Desktop-Rechner regelmäßig Sicherheitsupdates bekommen, ist dies bei Smartphones keineswegs der Fall. Viele Smartphone-Hersteller liefern nämlich entweder überhaupt keine Updates oder nur mit erheblicher Verzögerung. Dieses Problem besteht übrigens sowohl für Apple, als auch für Android. Für das BKA dürfte dieses Update-Problem, zusätzlich zu der gestiegenen Verbreitung von Krypto-Messengern, ein wesentlicher Grund für die Entwicklung des neuen BKA-Trojaners gewesen sein.
Fazit
Insgesamt lässt sich festhalten, dass Signal & Co. nach wie vor sicher sind. Anderenfalls müsste das BKA ihre Verschlüsselung ja auch nicht umgehen. Ein Problem sind jedoch fehlende Sicherheitsupdates für die Betriebssysteme der Smartphones. Wie sich dem entgegenwirken lässt, wurde bereits im Artikel „Sicher unterwegs mit Android?“ beschrieben. Da jedoch längst nicht alle Nutzer das Betriebssystem ihres Smartphones auf dem aktuellen Stand halten (können), muss die verschlüsselte Kommunikation über das Smartphone im Vergleich zu der über Laptop oder Desktop-Rechner grundsätzlich als tendenziell unsicherer angesehen werden.
Lesehinweise:
- Heribert Prantl, Die digitale Inquisition hat begonnen, Süddeutsche Zeitung, 27.01.2018.
- Tobias Singelnstein, Hacken zur Strafverfolgung? Gefahren und Grenzen der strafprozessualen Online-Durchsuchung, Verfassungsblog, 02.07.2017