Die EU-Polizeibehörde Europol sucht nach Angaben der Bundesregierung derzeit nach Staatstrojaner-Expertise. Durch sie könnten bald Polizeikräfte in der ganzen Europäischen Union die umstrittene Technik nutzen. Zutage gefördert hat das eine Anfrage der Linken an die Bundesregierung. Das Bundesinnenministerium schrieb in seiner schriftlichen Antwort an den Bundestag, dass Europol derzeit eine „Marktsichtung“ für den Ankauf eines Staatstrojaners durchführt.
Mit Staatstrojanern können Behörden die verschlüsselten Kommunikationsdaten von Verdächtigen in Strafverfahren vor und nach dem Verschlüsseln auslesen. Allerdings ist solche Software problematisch, da sie Sicherheitslücken ausnutzt, die von den Behörden absichtlich offengelassen werden. Damit arbeitet der Staat direkt gegen die IT-Sicherheit der Allgemeinheit. In Deutschland verwendet das Bundeskriminalamt seit einem Jahr den Staatstrojaner.
Auf Anfrage von netzpolitik.org betont Europol, dass es auf Wunsch seiner Mitgliedsstaaten eine „Einschätzung der Herausforderungen der End-zu-End-Verschlüsselung und potentieller Lösungen“ durchführe. Die EU-Polizeiagentur streitet jedoch ab, konkrete Pläne für die Anschaffung eines Trojaners zu haben. „Es gibt keine Entscheidung über zukünftige Optionen und es wurde keine Ausschreibung oder Interessenkundgebung erbeten“, schrieb eine Sprecherin per E-Mail.
Zero-Day-Schwachstellen im Visier
Europol sucht derzeit auf seiner Webseite nach Expertise bei der Entschlüsselung. Die Behörde braucht demnach Hilfe beim „Auffinden juristischer Beweismittel in Computern und digitalen Speichermedien“. Zudem sucht Europol nach Malware-Expertise. Die Ausschreibung läuft bis Mitte Februar.
Europol erwähnt Trojaner indes als Möglichkeit zur Umgehung von Verschlüsselung in einem gemeinsam mit der EU-Justizagentur Eurojust erstellten Bericht. Darin ist von Fernzugriffen auf Geräte die Rede, die in den meisten EU-Staaten legal seien. Ein Unterkapitel des Berichts widmet sich dem Ausnutzen von Sicherheitslücken, erwähnt werden dabei explizit Zero-Day-Schwachstellen.
Darf eine EU-Behörde eigentlich hacken? Die Bundesregierung hält den Ausbau von Entschlüsselungsfähigkeiten bei Europol für rechtlich gedeckt. Das gilt auch dann, wenn die IT-Sicherheit auf dem Spiel steht. „Dies kann auch die Frage umfassen, ob aus technischen Gründen die Notwendigkeit besteht, Schwachstellen sowie Fehler bei Algorithmen und Implementierungen bei der Entschlüsselung verschlüsselter Kommunikationsinhalte einzusetzen“, schrieb das Bundesinnenministerium in einer Antwort auf eine kleine Anfrage des Linken-Abgeordneten Andrej Hunko.
Europol arbeitet bisher an forensischer Entschlüsselungstechnik. Zuletzt erhielt die Polizeiagentur ein Budget von fünf Millionen Euro für eine „Entschlüsselungsplattform“. Dabei ging es bislang um die Auswertung von bereits sichergestellten Datenträgern, nicht um das Ausspionieren von noch verwendeten Geräten. Das Bundeskriminalamt nahm dieses Angebot von Europol bisher dreimal in Anspruch, wie aus der Antwort der Bundesregierung hervorgeht. „Die Maßnahmen umfassten Ermittlungsverfahren im Bereich Islamistischer Terrorismus und Computerkriminalität.“
Linke: „Keine EU-Hackerbehörde“
Der Abgeordnete Hunko kritisierte in einer Pressemitteilung das Staatstrojaner-Projekt von Europol. „Die Verschlüsselung privater Telekommunikation ist eine technische Errungenschaft und kein Manko. Diese Freiheit muss in der Europäischen Union geschützt werden. Die Polizeiagentur Europol darf deshalb keine europäische Hackerbehörde werden“, sagte der Linke.
Hunko warnte, durch den Staatstrojaner werde die Sicherheit digitaler Geräte geschwächt. „Regierungen stützen damit den Schwarzmarkt für den Handel mit Sicherheitslücken. Es ist höchst fahrlässig, wenn diese sogenannten Zero-Day-Exploits nicht bekannt gemacht werden.“
Update vom 25. Januar 2019: Die Stellungnahme von Europol langte nach Erscheinen des Artikels ein und wurde nachträglich hinzugefügt.
Wenn ich eine zero-day-Lücke habe und die ausnutzen kann, brauche ich keine Trojaner. Mit einem Exploit auf diese Lücke können alle betroffenen Rechner bei Bedarf „mir“ gehören!
In der Realität dürfte es ausreichen, Microsoft ein eigenes Zertifikat unterzujubeln und danach von einem Schadwareserver den Trojaner hinterherzuschieben. Der wird dann tief im System vergraben und er hat keine anderen Eigenschaften und Probleme als ein krimineller Trojaner. Aus diesem Blickwinkel ist mit staatlichen Akteuren für Nutzer nur eine weitere Gruppe Krimineller (mit beachtlichem finanziellen Hinterland) im Internet aufgetaucht. Die Politik heult erst auf, wenn diese Trojaner bei ihren „Abgeordneten“ aktiv wird. Die sind so dämlich, dass sie erst kapieren, was sie im Namen des „Datenreichtums“ veranstalten, wenn sie die Betroffenen sind. Auf jeden Fall kann man mit diesen Methoden deutlich mehr sammeln oder auch zu Belastungsmaterial abändern, als dieser Doxxer kürzlich erbeutete.
Schauen wir also erst mal hoffnungs- und erwartungsvoll den Wundertrojanern in Staatsdiensten entgegen.
Wie dir alle so sicheren Linux PCs gehören:
remote code execution in APT
https://lists.debian.org/debian-security-announce/2019/msg00010.html
https://justi.cz/security/2019/01/22/apt-rce.html
TLS würde viel helfen, wird aber komischerweise ständig
kleingeredet.
@evan
zum updaten nach bleepingcomputer.com :
sudo apt-get -o Acquire:http:AllowRedirect=false update und
sudo apt-get -o Acquire:http:AllowRedirect=false upgrade
Funktioniert. Damit ist das Problem bis zum Patch aller debian-basierten Linuxe einschließlich Umbuntu und Derivate erst mal gegessen. Lücken in Linux sind nicht selten und werden meistens schnell gepatcht.
TLS als Verfahren ist gut, aber man kann Verschlüsselungen auch umgehen. Kleingeredet wird da nichts. Wenn sich jemand als Mallory in die Mitte setzt und/oder sogar als Staat eine vertrauenswürdige Zertifizierungs-Instanz kapert, ist es mit dem Vertrauen in die Verschlüsselung ganz schnell vorbei. So funktionieren auf jeden Fall Überwachungsmethoden in einigen ex-sowjetischen zentralasiatischen Republiken. So funktionierten vor einigen Jahren die Hintertüren in einigen Produkten von Dell und Lenovo. Die hatten einfach eigene Zertifikate in die Windows-Zertifikateverwaltung gesetzt. Damit konnten sie, wie bei einem man in the middle Angriff, unverschlüsselt mitlesen. Nach entsprechenden Protesten wurde das geschlossen.
Aus diesem Blickwinkel scheint Linux zwar nicht wirklich sicherer als Windows, zum Teil aber vertrauenswürdiger, zu sein.