Dieses Wochenende wurde bekannt, dass der Haussegen zwischen der Zürcher SP und ihrem Regierungsrat Mario Fehr ziemlich schief hängt. Die JUSO hatte gegen Fehr Strafanzeige eingereicht, weil Kantonspolizei und Staatsanwaltschaft Zürich bei der Italienischen Firma Hacking Team einen Staatstrojaner gekauft und auch eingesetzt haben. Der Fall wurde bekannt, weil Hacking Team gehackt worden ist, und die Daten im Internet gelandet sind. Mario Fehr hat wegen der Strafanzeige seine Parteimitgliedschaft sistiert.
Dass Fehr die Strafanzeige in den falschen Hals geraten ist, kann ich verstehen, auch wenn er gar dünnhäutig reagiert. Grundsätzlich halte ich es für problematisch, eine politische Debatte ohne Not auf die juristische Schiene zu zwingen. Zumal es in diesem Fall ein juristischer Erfolg speziell unwahrscheinlich ist. Schliesslich müsste die Staatsanwaltschaft erstens gegen ihren eigenen Chef ermitteln und zweitens gegen sich selbst, da sie bei Beschaffung und Einsatz des Staatstrojaners beteiligt war.
Seit dieStrafannzeige eingereicht worden ist, wird nicht mehr der Staatstrojaner, sondern nur noch die Starfanzeige diskutiert. Deshalb wäre es gut, wenn die JUSO die Strafanzeige zurückziehen (bzw. nicht weiterziehen) und Fehr seine Parteimitgliedschaft wieder aktivieren würde. Und dann soll die Sache politisch aufgearbeitet werden, denn dies ist dringend nötig.
Der Kauf und Einsatz von Staatstrojanern ist nicht zu rechtfertigen. Neben den Problemen mit Menschen- und Bürgerrechten (und der Tatsache, dass sie vermutlich noch illegal sind) gibt es mit Staatstrojanern folgende eher technischen Probleme, auf die ich mich hier konzentrieren möchte:
1. Staatstrojaner machen die durch sie gewonnenen Beweise unglaubwürdig
Nehmen wir als Beispiel einen Angeklagten, auf dessen Laptop mit einem Staatstrojaner Beweise für ein Verbrechen gefunden worden sind. Sein Anwalt könnte behaupten, dass die Beweise manipuliert worden sind, je nachdem von:
- der Polizei, die den Trojaner installiert hat.
- dem Hersteller des Trojaners, der über ein Backdoor des Trojaners Zugang zum Laptop hat. Der Trojaner der Kapo Zürich hat ein solches Backdoor, und Hacking Team hat mindestens eine Demoversion eines Tools um jemandem Kinderpornographie unterzuschieben.
- jemand drittem, der dieses Backdoor kennt und ausnützt. Im konkreten Fall ist diese Möglichkeit wegen der Fahrlässigkeit der Herstellerfirma Hacking Team gegeben, bspw. benutzten sie extrem schwache Passwörter. Auch in anderen Fällen sind Backdoors dokumentiert.
- jemandem mit einem anderen Trojaner. Mit der Installation des Staatstrojaners hat die Polizei bewiesen, dass dies möglich ist.
Solche Manipulationsvorwürfe werden kaum zu entkräften sein, denn wer soweit Zugang zu einem Computer hat um ein Programm (den Trojaner) zu installieren, kann auch Dateien hinzufügen oder verändern. Wenn es keine anderen Beweise gibt, und man „im Zweifel für den Angeklagten“ ernst nimmt, müsste der Angeklagte freigesprochen werden.
2. Staatstrojaner sind Steuergeldverschwendung
Die halbe Million Franken, welche die Zürcher Kantonspolizei für den Trojaner von Hacking Team ausgegeben hat, sind futsch. Weil der Fall bekannt wurde, konnte Softwarehersteller die Sicherheitslücken, welche der Trojaner ausgenutzt hat, schliessen. Und die Antivirenhersteller haben den Trojaner in ihre Listen mit bekannten Trojanersignaturen aufgenommen, er würde also bei einem künftigen Einsatz von der Antivirensoftware erkannt. Darum musste Hacking Team vor der weiteren Verwendung ihres Trojaners warnen.
Dieses Szenario kann sich bei jedem neuen Trojaner wiederholen. Entweder – wie diesmal – mit lautem Knall und Peinlichkeit für alle beteiligten. Oder still und leise, ohne dass jemand etwas davon mitbekommt (ausser der Polizei, deren Software plötzlich nicht mehr funktioniert), weil der Softwarehersteller die ausgenützte Lücke gestopft hat. Vielleicht ohne zu wissen, das es einen Trojaner gibt, der diese ausgenützt hat. Wertlos ist der Trojaner trotzdem.
3. Mit dem Kauf von Staatstrojanern fördert man die organisierte Kriminalität
Für unbekannte Sicherheitslücken – sogenannte Zero-Days – welche die Staatstrojaner zum Eindringen in Computer brauchen, gibt es einen Schwarzmarkt. Auf diesem Schwarzmarkt tummeln sich kriminelle Hacker, Trojanerhersteller, etc. Die Zero-Days sind nicht nur für die Hersteller von Staatstrojanern interessant, sondern auch für das normale organisierte Verbrechen, z.B. um Erpressungstrojaner (sog. Ransomware) zu bauen. Mit dem Kauf von Staatstrojanern wird dieser Schwarzmarkt auf Staatskosten alimentiert.
4. Die Polizei schützt die Bürger wissentlich nicht vor erkannten Gefahren
Polizei und Staatsanwaltschaft haben die Pflicht, die Menschen vor Schaden zu schützen. Dazu gehört auch, dass Computer und Kommunikationsmittel vor Kriminellen geschützt werden. Mit dem Kauf von Staatstrojanern tut sie das Gegenteil: Statt mitzuhelfen, dass Sicherheitslücken schnellstmöglich geschlossen und die BürgerInnen vor Schaden geschützt werden, subventionieren sie Hacker, die solche Sicherheitslücken nicht öffentlich machen oder mindestens den Herstellern melden, sondern sie an Leute verkaufen, die ein Interesse daran haben, dass die Lücken möglichst lange bestehen bleiben.
5. Die Haftungsfrage ist ungeklärt
Wenn durch einen Staatstrojaner durch einen Fehler im Programm oder durch unsachgemässe oder böswillige Manipulation Daten zerstört oder verändert werden, kann das zu grossen Schäden führen. Wer dafür haftet, ist unklar.
6. Das Vertrauen in staatliche Software wird untergraben
Wenn der Staat Schadsoftware verbreiten darf, ist eine der naheliegenden Methoden, dass diese Huckepack mit einer anderen Software verteilt wird, welche viele Leute herunterladen, z.B. Programme zum Einreichen der Steuererklärung. Deutschland hat sich schon 2007 dabei erwischen lassen . Dadurch sinkt das Vertrauen in staatliche Software und in staatliche Internetportale.
Übrigens, Hacking Team ist wieder da (trotz Bruce Schneiers gegenteiliger Erwartungen ), und anscheinend auch einige ihrer Kunden. Es ist also weiterhin wichtig, unseren Polizeien und Staatsanwaltschaften in dieser Frage genau auf die Finger zu schauen, von selbst werden sie nicht auf Schnüffelsoftware verzichten.
Weitere Links zum Thema: