Ohne StaatstrojanerPolizei und Geheimdienste können WhatsApp mitlesen

Immer mehr Behörden wollen IT-Geräte wie Smartphones hacken, um Messenger wie WhatsApp mitzulesen – dabei können sie das auch ohne Staatstrojaner. Das geht aus einem internen Papier des BKA hervor, das wir veröffentlichen. Die Große Koalition will Staatstrojaner trotzdem auf alle Geheimdienste ausweiten.

Polizei-Hut mit WatsApp-Logo
Die Polizei ist auch auf WhatsApp. The Next Web

Polizei und Geheimdienste beklagen immer wieder lautstark, dass sie durch verschlüsselte Kommunikation angeblich taub und blind werden. Die Bundesregierung und ihre Behörden greifen diese Sicherheit durch Verschlüsselung auf allen Ebenen an: durch Druck auf Anbieter, schärfere Gesetze und Hacken der Endgeräte.

Das Internet-Forschungszentrum der Harvard-Universität hat diese Argumentation ausführlich widerlegt: Der Staat hat noch nie so viele Daten wie heute, viele Daten sind weiterhin unverschlüsselt, Staatstrojaner schaffen Unsicherheit und Verschlüsselung wird oft umgangen.

Jetzt kommt ein neues Argument dazu: Polizei und Geheimdienste sind sehr wohl in der Lage, verschlüsselte Kommunikation beliebter Messenger mitzulesen, ganz ohne Staatstrojaner. Das Bundeskriminalamt hat schon vor fünf Jahren Inhalte bei Telegram abgehört. Seit drei Jahren geht das auch bei WhatsApp. Das steht in einem internen BKA-Dokument, über das WDR und BR berichteten und das wir in Volltext veröffentlichen.

“Verfahren, um WhatsApp-Kommunikation zu erheben”

Die Polizeibehörde schreibt: “Das BKA verfügt über eine Methode, die es ermöglichen kann, Text-, Video-, Bild- und Sprachkurznachrichten aus einem WhatsApp-Konto in Echtzeit nachzuvollziehen. Neben der genannten Kommunikation können darüber hinaus die WhatsApp-Kontakte der Zielperson bekannt gemacht werden.” Ein Staatstrojaner ist dafür nicht notwendig.

Das BKA-Referat für IT-Überwachung erläutert: “Im Zusammenhang mit der Erhebung der Kommunikation erfolgt BKA-seitig eine Anmeldung mittels WhatsApp Web unter Zuhilfenahme des Telefons der Zielperson. Der gesamte Vorgang erfolgt durch Verwendung regulär nutzbarer Funktionen der WhatsApp-Software.”

Verschlüsselung ist wie eine Kette – nur so stark wie das schwächste Glied. Moderne Messenger-Apps haben starke Algorithmen und Schlüssel, aber viele erlauben mehrere Endgeräte pro Teilnehmer:in. Die Polizei fügt einfach im WhatsApp-Account einer Zielperson ein weiteres Gerät hinzu und kann dann mittels WhatsApp Web sämtliche Inhalte mitlesen.

Laut WDR und BR bezeichnet das BKA diese Möglichkeit als normale Telekommunikationsüberwachung ohne Trojaner. Das BKA will sich auf Nachfrage von netzpolitik.org nicht äußern: “Haben Sie bitte Verständnis dafür, dass wir zu Ihrer Frage aus kriminaltaktischen Gründen keine Einzelauskünfte erteilen.”

Große Koalition spielt Schrödingers WhatsApp

Das Bundeskriminalamt darf seit 2009 Staatstrojaner zur Prävention von internationalem Terrorismus einsetzen, seit 2017 auch bei Alltagskriminalität, vor allem Erpressung und Drogen. Trotzdem setzt das BKA die staatlichen Hacking-Befugnisse fast nie ein. Wahrscheinlich ist es einfach nicht notwendig.

Polizei und Geheimdienste fordern trotzdem immer wieder Staatstrojaner, und die Regierungsparteien erfüllen ihre Wünsche. Die Bundespolizei soll Staatstrojaner gegen Personen einsetzen, die noch gar keine Straftat begangen haben. Und neben den Polizeibehörden sollen auch alle Geheimdienste hacken dürfen. Am Freitag diskutierte der Bundestag über die Änderung des Verfassungsschutzrechts.

Sämtliche Redner von Union und SPD begründeten die angebliche Notwendigkeit von Staatstrojanern spezifisch mit WhatsApp. Uli Grötsch (SPD) sagte: “Es ist nun mal so – und das ist ja auch nicht neu –, dass Extremisten und Terroristen nicht per SMS oder Telefon, sondern eben per Messenger auf ihrem Smartphone kommunizieren.”

Volker Ullrich (CSU) beklagt: “Es kann doch nicht sein, dass der Verfassungsschutz […] Telefongespräche abhören darf, aber wenn dann über Telegram oder WhatsApp eine Anschlagsplanung erfolgt, dem Rechtsstaat die Hände gebunden sein sollen.” Thorsten Frei (CDU) sekundiert: “Es ist niemandem zu erklären, warum beispielsweise der Verfassungsschutz […] ein Handy auslesen darf, SMS-Nachrichten ausleiten darf, das aber bei WhatsApp-Nachrichten, wenn per WhatsApp kommuniziert wird, nicht erlaubt ist.”

Wir haben alle drei Redner darauf hingewiesen, dass Polizei und Geheimdienste bereits heute WhatsApp mitlesen können. Wir haben gefragt, warum dann der Staatstrojaner noch notwendig ist. Keiner der drei Abgeordneten hat auf unsere wiederholten Anfragen geantwortet.

Trojaner hätten Anschläge nicht verhindert

Geantwortet hat immerhin Alexander Throm (CDU): “Sie nennen Polizei und Geheimdienste in einem Zug – hier müssen wir jedoch unterscheiden, da für Polizei und Nachrichtendienste bzw. den Verfassungsschutz unterschiedliche Rechtsgrundlagen gelten.” Das stimmt, aber die normale Kommunikationsüberwachung, mit der die Polizei WhatsApp überwacht, nutzt auch der Verfassungsschutz.

Darüber hinaus begründen sämtliche Redner der Großen Koalition die Staatstrojaner für Geheimdienste damit, Terroranschläge zu verhindern. Die Abwehr von Terrorismus ist aber Aufgabe der Polizei, nicht der Geheimdienste. Zu genau diesem Grund darf das BKA ja bereits seit 2009 Staatstrojaner einsetzen.

Benjamin Strasser (FDP) kritisiert neben der Zuständigkeit auch die Notwendigkeit von Staatstrojanern wie der “Quellen-Telekommunikationsüberwachung”, die mittels Trojaner Kommunikation ausleitet: “Wo hätte denn bei den Anschlägen auf dem Breitscheidplatz, von Halle und von Hanau oder bei dem Mord an Walter Lübcke die Quellen-TKÜ diese Taten verhindert? Nirgends, nirgends!”

Sicherheit schwächen, um Sicherheit zu stärken?

Der Liberale Strasser ergänzt: “Sie verschweigen den Leuten in diesem Land, dass eine ‘Quellen-TKÜ plus’ mit einem Staatstrojaner nur dann geht, wenn Sicherheitslücken bei allen Geräten aller Deutschen offengelassen werden. Das verursacht nicht nur einen Milliardenschaden für die Wirtschaft in Deutschland; es ist quasi eine Einladung für Cyberkriminelle und für ausländische Nachrichtendienste. Ihre Politik ist ein Sicherheitsrisiko für Deutschland.”

Strasser und André Hahn (Linke) kritisieren auch die geplante Pflicht von Internet-Diensten, die Installation der Staatstrojaner durch das Umleiten von Internetverkehr zu unterstützen. Die Internet-Branche lehnt es ab, Hilfssheriffs der Geheimdienste zu werden. Mit dem neuen Telekommunikationsgesetz werden auch Over-the-Top-Dienste wie E-Mail- und Messenger-Anbieter zur Mithilfe bei der Trojaner-Installation verpflichtet.

Martina Renner (Linke) ergänzt: “Der Verfassungsschutz erweist sich seit langem als demokratiegefährdend, weil er lieber Spitzel schützt, als Straftaten zu verhindern und zu verfolgen. Dieser Behörde darüber hinaus noch zu gestatten, die digitale Sicherheit insgesamt angreifen, obwohl z. B. das BKA bereits über verschiedene Methoden verfügt, wird sich als Bumerang erweisen, wenn etwa Beweismittel gelöscht oder Systeme manipuliert werden.”

SPD und Union dürften sich trotz all dieser Kritik nicht davon abbringen lassen, allen 19 Geheimdiensten das Hacken per Staatstrojaner zu erlauben. Schon im Oktober hat sich die Bundesregierung geeinigt, jetzt läuft das parlamentarische Gesetzgebungsverfahren.


Hier das Dokument in Volltext:


Mögliche Erhebung von Kommunikation bei der Nutzung des Messengers WhatsApp

Das BKA verfügt über eine Methode, die es ermöglichen kann, Text-, Video-, Bild- und Sprachkurznachrichten aus einem WhatsApp-Konto in Echtzeit nachzuvollziehen. Neben der genannten Kommunikation können darüber hinaus die WhatsApp-Kontakte der Zielperson bekannt gemacht werden. Eine Überwachung der über den Dienst geführten Sprachtelefonie ist mit dieser Methode nicht möglich.

Die automatisierte Erhebung retrograder bzw. noch im Chatverlauf gespeicherter WhatsApp-Nachrichten ist möglich, jedoch nicht vorhersehbar, da dies je nach Nutzerverhalten variiert. Beispielsweise könnte ein Nutzer sämtliche ihm zur Kenntnis gelangten Nachrichten im Chatverlauf sofort löschen, eine Erhebung wäre dann nicht möglich.

Im Zusammenhang mit der Erhebung der Kommunikation erfolgt BKA-seitig eine Anmeldung mittels WhatsApp Web unter Zuhilfenahme des Telefons der Zielperson. Der gesamte Vorgang erfolgt durch Verwendung regulär nutzbarer Funktionen der WhatsApp-Software.

Es handelt sich nicht um eine Software zur Durchführung einer Quellen-TKÜ oder einer Online-Durchsuchung, sondern um ein von OE 24 entwickeltes Verfahren, um WhatsApp-Kommunikation zu erheben. Eine direkte Verbindung zwischen dem Endgerät der Zielperson und informationstechnischen Systemen des BKA wird zu keinem Zeitpunkt hergestellt.

Die überwachten und gegebenenfalles retrograd erlangten Inhalte werden automatisch gesichert. Das Entfernen von kernbereichsrelevanten Kommunikationsinhalten wird gewährleistet. Eine Änderung / Manipulation der Kommunikationsdaten ist nicht möglich.

11 Ergänzungen

  1. “Im Zusammenhang mit der Erhebung der Kommunikation erfolgt BKA-seitig eine Anmeldung mittels WhatsApp Web unter Zuhilfenahme des Telefons der Zielperson. Der gesamte Vorgang erfolgt durch Verwendung regulär nutzbarer Funktionen der WhatsApp-Software.”

    Bei mir auf dem Smartphone wird angezeigt, wenn WhatsApp Web aktiv ist. Müsste man dann in den Einstellungen deaktivieren, was aber entdeckt werden kann. Und in der App kann man die angemeldeteten Geräte sehen, auch dort kann der Hack also bemerkt werden.

    Außerdem muss man unbemerkt an das Telefon der Zielperson gelangen.

    Ich find ja auch nicht toll wenn die Überwachungsbefugnisse ausgeweitet werden, aber mir scheint relativ klar dass Befürworter eines Staatstrojaners das nicht als gleichwertig ansehen.

  2. “Das Bundeskriminalamt darf seit 2009 Staatstrojaner zur Prävention von internationalem Terrorismus einsetzen.”
    Gibt es eine Liste von Terroristen, die das BKA mithilfe von Staatstrojanern verhaften konnte? Welche von denen wurden verurteilt, und zu welchen Strafen?

  3. Wie genau soll das jetzt funktionieren? Ich were aus dem kurzen Memo nicht schlau. „ unter Zuhilfenahme des Telefons der Zielperson“ dass heißt sie müssen das Telefon der Zielperson haben? Via WhatsApp Web funktioniert doch nur wenn man Zugriff auf die app hat um sich online anzumelden. Wenn man jedoch sowieso Zugriff auf die app hat, benötigt man den Webzugang nicht mehr.

    1. Die Idee ist, dass man das Handy nur einmal in der Hand haben muss, entsperrt und unbemerkt, und auch zukünftige Nachrichten lesen kann. Das wird deutlich zuverlässiger sein, als der “Bundestrojaner”.

  4. “Erhebung der Kommunikation erfolgt BKA-seitig eine Anmeldung mittels WhatsApp Web unter Zuhilfenahme des Telefons der Zielperson.”

    Das versteh ich nicht.
    Wie wollen die in “Echtzeit” die Kommunikation erheben, wenn sie das Telefon der Zielperson in Besitz haben?

    Wie soll eine Filterung der verbotene Ausschüffelung privater Kommunikation in Echtzeit erfolgen?

    Wie ist hier der Begfiff “Echtzeit” definiert?
    Meinen die mit “Echtzeit”, das sie nicht erst alle Daten umkopieren müssen, sofort das Smartphone sofort auslesen können?
    Und nicht etwa “nur” den aktuellen Chat belauschen können?

    1. Es geht um die zeitliche Abfolge.
      1. Kein Zugriff, aber ein Verdächtiger.
      2. Handy mit Vollzugriff und unbemerkt in die Hände bekommen, WA-Web aktivieren.
      3. In “Echtzeit” Vollzugriff auf Nachrichten.
      Das feine ist, wenn der Verdächtige nichts verdächtiges macht, kann man auch gleich verbotene Inhalte selbst schicken, auch in “Echtzeit”.

  5. “Die überwachten und gegebenenfalles retrograd erlangten Inhalte werden automatisch gesichert. Das Entfernen von kernbereichsrelevanten Kommunikationsinhalten wird gewährleistet. Eine Änderung / Manipulation der Kommunikationsdaten ist nicht möglich.”

    Eine Änderung / Manipulation der Kommunikationsdaten ist nicht möglich. Es wäre doch aber möglich, einfach selbst unbegrenzt beliebige Daten hinzuzufügen und / oder Daten zu löschen. Der einzige Unterschied wären die Zeitstempel, die in jeder Nachricht mit gesendet werden. Dann kann man aber theoretisch nicht mehr sicher sagen ob Nachrichten nach dem ersten Zugriff über die Webversion überhaupt vom Verdächtigen stammen. Mit der Option, Nachrichten nur für sich selbst zu löschen wäre das noch einfacher und könnte nahezu unbemerkt stattfinden. (sich selbst = in dem Fall der Absender, ist ja dann für Verdächtigen und Überwachenden der selbe)

    Natürlich sollte man nicht davon ausgehen, das immer alles manipuliert wird. In meinen Augen wirkt die Beschreibung oben aber ein wenig harmlos für die Möglichkeiten, die diese Methode bietet.

  6. Irgendwie ziemlich unglaubwürdig was da steht. Wenn man die reguläre Funktion nutzt, sieht der User das sich jemand anderes im WEB angemeldet hat. Und er würde die Sitzung einfach schließen.
    Ich kann mir schwer vorstellen, das nur damit gearbeitet wird. Dann kommt noch folgende Aussage hinzu “BKA-seitig eine Anmeldung mittels WhatsApp Web unter Zuhilfenahme des Telefons der Zielperson. ”
    eehm…was soll ich damit anfangen?
    Wenn die Behörden mein Handy beschlagnahmen und sich im Web anmelden, kann ich ganz bequem Whatsapp sperren und auf eine neue Nummer umleiten. Und für die Anmeldung müssen sie das Handy entschlüsseln, dann sind die Kommunikationsdaten, Bilder, Audios und Dokumente alle im Internen Speicher/Whatsapp/Media enthalten. Also wozu dann die Anmeldung im Web?

    Am Ende wird noch darauf hingewiesen das eine Änderung / Manipulation der Kommunikationsdaten nicht möglich sei…Wenn man schon das Telefon in der Hand hat und die Chats ganz bequem aus dem Internen Speicher auf sein Gerät kopieren kann und dan Whatsapp sogar die Chats mit Telefonnummern auf deinem Gerät so wiedergibt, soll man nichts manipluieren können?
    Angeblich würden die Behörden den Staatstrojaner nicht benutzen.
    Servus ! hahahaha

  7. Theoretisch sollte doch eine normale SS7 Attacke genügen. Verifizierungs SMS / Anruf auf der originalen Nummer abfangen und damit das neue Gerät anmelden. Das Opfer würde dann benachrichtigt werden, aber je nach Zeitpunkt der Aktion würde genug Zeit bleiben um Kontakte und ähnliches abzufischen. Oder anderes Szenario – das Opfer sitzt bereits in U-Haft und die Polizeibehörden können sich nun als die Person ausgeben und die Chats weiter fortführen.

    Apps wie Telegram bieten ja noch die Option des zweiten Faktors, wodurch der Account zusätzlich noch mit einem PW geschützt wird, aber bei WhatsApp fehlt diese Möglichkeit gänzlich.

    1. Hier der vollständige Inhalt des von dir verlinkten Dokuments:

      Der Aufbau des Sicherheitssystems der Bundesrepublik Deutschland ist durch die föderale Struktur von Bund und Ländern und das Trennungsgebot zwischen Polizei und Nachrichtendiensten geprägt. Die Aufgabe der Polizei besteht unter anderem darin, Gefahren abzuwehren, Störungen zu beseitigen und Straftaten zu verfolgen. In Abgrenzung dazu liegen die Hauptaufgaben der Nachrichtendienste in der operativen und technischen Beschaffung und Auswertung von Informationen, ohne jedoch Exekutivbefugnisse zu besitzen.

      Auf Bundesebene existieren zur Wahrnehmung polizeilicher Aufgaben vor allem das Bundeskriminalamt, dem unter anderem die Aufgabe der Terrorismusbekämpfung obliegt, sowie die Bundespolizei. Auf Länderebene bestehen entsprechend die Landeskriminalämter und Landespolizeien. Ferner gibt es drei Organisationen, die den Status eines Nachrichtendienstes besitzen. Diese Organisationen sind der Bundesnachrichtendienst (BND) als zentraler Auslandsnachrichtendienst, der Militärische Abschirmdienst (MAD) und der Verfassungsschutz als Inlandsnachrichtendienst. Der Verfassungsschutz gliedert sich ferner in das Bundesamt für Verfassungsschutz (BfV) und die Landesämter für Verfassungsschutz (LfV).

      Als Koordinierungsstelle der Sicherheitsbehörden des Bundes und der Länder existieren das Gemeinsame Terrorismusabwehrzentrum (GTAZ)und das gemeinsame Extremismus- und Terrorismusabwehrzentrum zur Bekämpfung des Rechtsextremismus/-terrorismus, des Linksextremismus/-terrorismus, des Ausländerextremismus/-terrorismus und der Spionage einschließlich proliferationsrelevanter Aspekte (GETZ). Es handelt sich dabei jedoch um keine eigenständigen Behörden, sondern lediglich um gemeinsame Kooperations- und Kommunikationsplattformen von Sicherheitsbehörden aus Bund und Ländern.

      Die These des Artikels stützt dieser Satz: “Auf Bundesebene existieren zur Wahrnehmung polizeilicher Aufgaben vor allem das Bundeskriminalamt, dem unter anderem die Aufgabe der Terrorismusbekämpfung obliegt […].”

      Welcher Satz stützt deine Perspektive?

Wir freuen uns auf Deine Anmerkungen, Fragen, Korrekturen und inhaltlichen Ergänzungen zum Artikel. Unsere Regeln zur Veröffentlichung von Ergänzungen findest Du unter netzpolitik.org/kommentare. Deine E-Mail-Adresse wird nicht veröffentlicht.