Wird die von Google und Apple geplante Verschlüsselung die Kunden schützen?

The Intercept veröffentlicht die Bedienungsanleitung für einen Trojaner der italischen Firma Hacking Team, der Verschlüsselung umgehen können soll

Der folgende Beitrag ist vor 2021 erschienen. Unsere Redaktion hat seither ein neues Leitbild und redaktionelle Standards. Weitere Informationen finden Sie hier.

Apple und Google haben auf die Snowden-Enthüllungen über die Weitergabe von Kundendaten an die US-Geheimdienste reagiert und scheinen in ein Wettlaufen eingetreten zu sein, wer die bessere Verschlüsselung bietet. Beide Konzerne wollen auf ihren iOS- und Android-Geräten die Daten standardmäßig verschlüsseln, um einen besseren Schutz vor den gierigen Sicherheitsbehörden zu bieten.

Die US-Sicherheitsbehörden protestierten daraufhin lautstark. Wenn Polizei und Geheimdienste nicht mehr an die Daten herankämen, könnten womöglich Morde nicht aufgeklärt und überhaupt die Strafverfolgung beeinträchtigt werden. Der FBI-Direktor James Comey preschte vor und erklärte, dass der Zugriff nur auf die Verbindungsdaten oft nicht ausreiche und eine richterliche Genehmigung für das Abhören nichts nutze, wenn die Geräte verschlüsselt sind. Die Verschlüsselung würde den Kriminellen helfen, so das viel bemühte Standardargument.

Comey forderte für die US-Sicherheitsbehörden einen direkten Zugriff, einen "Vordereingang". Das würde natürlich mitsamt den aus solchen Vorder- oder Hintertüren entstehenden Gefahren natürlich aus der Verschlüsselung einen Witz machen. Dabei geht es darum, dass Smartphones, die beschlagnahmt oder gefunden werden, verschlüsselt sind, während die Sicherheitsbehörden weiterhin die Kommunikation überwachen könnten. Gefürchtet wird, dass weitere Anbieter eine Verschlüsselung by default auch für Notebooks, PCs, Tablets und andere Geräte einführen.

Doch die Aufregung könnte ebenso wie der Versuch, durch Verschlüsselung Vertrauen zurückzugewinnen, ein Scheingefecht sein, wie ein Beitrag in The Intercept nahelegt. In der Diskussion sei bislang nicht darauf eingegangen worden, dass es bereits Möglichkeiten für Sicherheitsbehörden gibt, mit leicht zu bedienenden Programmen Verschlüsselung zu umgehen und in Echtzeit digitale Geräte zu überwachen.

In modern digital communications, encryption is widely employed to protect users from eavesdropping. Unfortunately, encryption also prevents law enforcement and intelligence agencies from being able to monitor and prevent crimes and threats to the country security. Remote Control System (RCS) is a solution designed to evade encryption by means of an agent directly installed on the device to monitor. Evidence collection on monitored devices is stealth and transmission of collected data from the device to the RCS server is encrypted and untraceable.

Hacking Team

Veröffentlicht werden von The Intercept erstmals Bedienungsanleitungen für das kommerzielle Trojanerprogramm "Remote Control System", das von der italienischen Firma Hacking Team hergestellt wird. Versprochen wird, was das FBI wünscht, nämlich Verschlüsselung zu überwinden. Das sei möglich für Windows und OS X, aber auch für Android, BlackBerry, iOS, Symbian und Windows Mobile. Ohne Spuren zu hinterlassen, könnten Sicherheitsbehörden die Kameras bedienen, Emails, Chat oder SMS einsehen, Skype-Gespräche aufzeichnen, Passwörter und Eingaben abgreifen.

Geräte können angeblich über WiFi-Netzwerke, USB-Sticks, Videostreams oder Email-Anhänge infiziert werden. Es sei leicht, auf diese Weise ein Gerät zu infizieren und zu überwachen, Daten aufzuzeichnen und über ein geheimes Netzwerk von Proxy-Servern zu einer geeigneten Zeit zu überspielen. Verkauft wird das Lauschprogramm weltweit, gerne offenbar auch an autoritäre Systeme, die Oppositionelle damit überwachen, auch an europäische und amerikanische Behörden.

Geheimdienste und Strafverfolgungsbehörden haben sicher eigene Möglichkeiten wie den Bundestrojaner entwickelt, um das zu machen, was Hacking Team anbietet. Cora Currier und Morgan Marquis-Boire sehen die Firma in anderen Märkten auf lukrative Jagd gehen, für Kunden, die nicht so dick mit Geld ausgestattet sind und gerne etwas Fertiges haben. Auf diesem Markt würde die italienische Firma mit der deutschen FinFisher konkurrieren. Von der Münchener Firma wurden vor kurzem Dokumente geleakt, die zeigen, dass zu den Kunden wenig wählerisch Südafrika, Bahrain, Pakistan, Vietnam, Singapur oder Belgien gehören. Auf einer Liste mit IP-Adressen wurden auch einige deutsche gefunden. Nach den Forschern des Zentrums für Internet und Menschenrechte der Universität Viadrina werden mit der Software der Firma nicht nur bahrainische Oppositionelle ausgespäht, sondern möglicherweise auch deutsche Bürger.

Hacking Team verkauft seine Trojaner angeblich nur an Staatliche Behörden, weswegen diese als "legale Abhörtechnik" bezeichnet wird. Die Firma verkauft die Technik angeblich nicht an Länder, die auf "blacklists" stünden oder schwere Menschenrechtsverstöße begehen. Details verriet die Firma den Autoren nicht. Bahrain gehört offenbar zu den Kunden, allerdings sind die undemokratischen, autoritär geführten, aber reichen Golfstaaten auch sonst gute Kunden der westlichen Länder, wo man schon einmal über Menschenrechtsverletzungen hinwegsieht.

nach oben