Schadsoftware PegasusDie Branche der Staatshacker ächten

Wieder wurde der Spionage- und Hackingdienstleister NSO Group beim systematischen Missbrauch seiner Software Pegasus erwischt. Solche Unternehmen gehören geächtet und als das benannt, was sie sind: eine Gefahr für Leib und Leben von Menschen. Ein Kommentar.

symbolbild staatshacker
Oft einhändig: Hacker. CC-BY-NC-SA 4.0 Gerhard Richter, Cornelius Aschermann, Sebastian Lohff.

Diesmal wird wohl auch keine neue PR-Initiative mit Home-Stories und mit vorher noch nie gewährten Einblicken in die angeblich so wichtige Arbeit gegen das Verbrechen helfen: Dem Spionage- und Hackingdienstleister NSO Group, der die Software namens Pegasus an dutzende Länder verkauft hat, wurde erneut systematischer Missbrauch seiner Technologie nachgewiesen.

Ganze Scharen von Menschenrechtlern, Reportern, Anwälten und politischen Entscheidungsträgern wurden und werden mit der Software ausspioniert oder finden sich auf langen Listen anvisierter Überwachungsopfer. Die an Amnesty International geleakten Listen von Kunden der NSO Group beinhalten über fünfzigtausend Telefonnummern.

Nachzulesen ist das beim am Sonntag an die Öffentlichkeit gegangenen Pegasus-Projekt, in dem eine Gruppe von Journalisten gemeinsam ihre Recherchen zur NSO Group und deren Kunden koordiniert hat. Die am Markt der Staatstrojaner- und Spionagesoftware wohlbekannte Firma bezeichnet sich selbst als Führer im Feld des Cyber Warfare und verkauft ihre Überwachungstechnologie weltweit exklusiv an staatliche Behörden.

Das Projekt trägt den Namen der Software Pegasus, die von der NSO Group angeboten wird und iPhones und Android-Telefone ausspionieren kann. Typischerweise werden nach der Infektion heimlich Daten aus Messengern, E-Mail-Programmen oder Foto-Apps ausgeleitet. Aber nicht selten werden auch aktive Hacks durchgeführt, bei denen Mikrofone und Kameras aktiviert oder Ortsdaten in Echtzeit übertragen werden. Praktisch wird das infizierte Telefon zu einer Wanze, die mit dem Gerät durchgeführte, aber auch in der Nähe stattfindende Kommunikation ausspionieren kann.

Rücksichtslose Branche

Damit kommt nicht nur die Privatsphäre der Opfer und deren Kommunikationspartner in den Fokus, sondern auch ihr höchstpersönlicher Bereich, die Intimsphäre. Denn was man neben dem Smartphone so sagt und macht, ist bei vielen Menschen nochmal eine andere Dimension als das, was man ins Gerät hineinspricht oder -tippt. Dafür finden sich in der aktuellen Berichterstattung des Pegasus-Projekts auch prompt wieder konkrete Beispiele: Denn nicht jeder legt sein Telefon in einen anderen Raum, wenn er Sex hat.

Wollen wir wirklich weiterhin dulden, dass man bei jedem Gespräch immer darüber nachdenken müsste, ob das Telefon gerade in Reichweite ist? Wollen wir dulden, dass wir manchmal mit schalem Blick auf das Gerät schauen und denken, ob es wohl doch eine Wanze sein könnte? Und wollen wir diese ganze rücksichtslose Branche weiter mit Steuergeldern alimentieren?

Denn das haben die Parteien CDU, CSU und SPD im Bundestag kürzlich beschlossen, als sie das staatliche Hacken und Staatstrojaner auch noch für alle deutschen Geheimdienste erlaubt haben. Künftig werden also auch deutsche Gelder in diesem widerwärtigen Geschäftsfeld landen, denn ohne technische Hilfe aus dieser Branche sehen deutsche Staatshacker alt aus.

Mobiltelefone im Zentrum der Überwachung

Es ist beileibe nicht das erste Mal, dass der israelische Anbieter NSO Group und auch konkret seine Spitzel-Software Pegasus in der öffentlichen Kritik stehen. Erst vor wenigen Tagen machte eine umfangreiche Untersuchung der Menschenrechtsorganisation Forensic Architecture nochmal klar, wie stark Journalisten, Oppositionelle und Aktivisten betroffen sind. Und es ist auch kein Skandal anderer Länder, wenn das deutsche Bundeskriminalamt mitmischt und der bayerische Innenminister sich die Software vorführen lässt.

NSOGroup, selbstdarstellung
Die NSO Group sieht sich selbst als Terrorismusbekämpfer und Retter tausender Leben.

Dass Mobiltelefone heute im Zentrum der Überwachung stehen, kommt nicht von ungefähr: Für staatliche Behörden ist es mittlerweile ein Leichtes, an SIM-Karten-Daten mit gesicherter Identifizierung zu kommen, übrigens sowohl in demokratischen als auch diktatorischen Staaten. Denn die Zwangsregistrierung mit Identitätsnachweis ist im letzten Jahrzehnt fast überall eingeführt worden. Die Begründung war auch hier die Kriminalitätsbekämpfung. Einmal mehr zeigt sich die Schattenseite dieser einseitigen Politik: Es ist eben auch ein ungeheurer Machtzuwachs für jene, die auf die Telefon-Identifizierungsdaten sämtlicher Menschen zugreifen können.

Was man nach den neuesten Veröffentlichungen, aber im Grunde schon über die seit Jahren anhaltende kritische Berichterstattung festhalten muss, ist die Tatsache, dass um Journalisten, Anwälte oder Aktivisten eben längst kein Bogen mehr gemacht wird, wenn es um das Hacking ihrer Geräte geht – im Gegenteil, sie sind in zunehmendem Maße Ziel. Wenn weiterhin auch in Deutschland jeder Mensch verpflichtet wird, die SIM-Karte des eigenen Telefons mitsamt Identifizierung seiner Person registrieren zu lassen, bedeutet das schlicht, dass sie weiterhin auch Zielscheibe sein können.

Dass es Schadsoftware von Firmen wie der NSO Group auch künftig geben wird, können wir nicht kurzfristig ändern. Auch dass es an lange geforderten effektiven Kontrollen solcher Unternehmen fehlt, kann man vorerst nur weiterhin beklagen. Wir müssen hierzulande als Sofortmaßnahme aber die Identifizierung des eigenen Telefons und der SIM-Karte abschaffen. Denn das schafft die Grundlage dafür, dass der Raum eingeengt ist, in dem noch sicher und unbeobachtet kommuniziert werden kann.

Wer für die Exploits bezahlt

Die NSO Group ist mit einer anwachsenden Liste von Missbrauchsfällen schon über Jahre hinweg unangenehm aufgefallen. Kritik ließ sie stets abtropfen. Damit, dass Spionage-Unternehmen und auch andere Marktteilnehmer nun ihr Geschäftsgebaren ändern, ist leider nicht zu rechnen. Sie werden weitermachen, finanziert von den Steuerzahlern der Käuferländer und protegiert von deren Regierungen. Die NSO Group dürfte auch weiterhin sogenannte Zero-Day-Exploits nutzen, also noch unbekannte Sicherheitslücken, die für hohe Preise gehandelt werden.

All das finanzieren die Kunden solcher Anbieter mit. Allein die US-amerikanischen Behörden geben Millionen Dollar aus, um iPhones und Android-Telefone zu hacken, auch mit Hilfe der NSO Group. Auch Deutschland hat dafür erst kürzlich die Weichen gestellt, indem die Erlaubnis zum staatlichen Hacken gesetzlich noch weiter ausgedehnt wurde.

Der aktuelle Skandal beweist, wie falsch diese Weichenstellung war und wie blind die politischen Entscheider für die Realitäten einer Branche von Staatshackern sind, die sich ihr gutgehendes Geschäft nicht durch Menschenrechte oder durch den Schutz von Geheimnisträgern vermasseln lassen.

Wir alle sind es, die nicht nur direkt, sondern vor allem indirekt dafür bezahlen, dass solche Firmen wie die NSO Group überhaupt legal existieren dürfen. Wir bezahlen mit unsicheren und ausspionierbaren Smartphones, deren Sicherheitslücken aufgekauft statt geschlossen werden. Wir bezahlen aber auch, weil wir hinnehmen, dass Menschen aus dem aktivistischen und journalistischen Bereich mitsamt ihren Familien und ihrem Umfeld nur in Angst noch ihrem Beruf oder ihrer Berufung nachgehen können.

Ich sehe das schon lange nicht mehr ein. Wir brauchen schnellstens eine Ächtung solcher Unternehmen in Deutschland, am liebsten gleich in ganz Europa. Wir müssen sie als das benennen, was sie sind: eine Gefahr für Leib und Leben von Menschen, mit denen man nichts zu schaffen haben darf. Keine deutsche oder europäische Behörde darf je (wieder) Kunde der NSO Group sein.

Du möchtest mehr kritische Berichterstattung?

Unsere Arbeit bei netzpolitik.org wird fast ausschließlich durch freiwillige Spenden unserer Leserinnen und Leser finanziert. Das ermöglicht uns mit einer Redaktion von derzeit 15 Menschen viele wichtige Themen und Debatten einer digitalen Gesellschaft journalistisch zu bearbeiten. Mit Deiner Unterstützung können wir noch mehr aufklären, viel öfter investigativ recherchieren, mehr Hintergründe liefern - und noch stärker digitale Grundrechte verteidigen!

 

Unterstütze auch Du unsere Arbeit jetzt mit deiner Spende.

36 Ergänzungen

  1. Ich finde es scary, dass das technisch überhaupt möglich ist. Bin vielleicht naiv, aber könnte man nicht bei der Entwicklung von Betriebssystemen einen stärkeren Fokus auf die Sicherheit legen?

    So lange es technisch möglich ist, wird es auch jemand tun.

    1. Betriebssysteme sind eben sehr komplexe Software, Fehler daher unvermeidbar, solange sie von Menschen gemacht ist. Deswegen werden Sicherheitslücken auch weiterhin vorkommen, auch wenn seitens der Hersteller sicher mehr in IT-Sicherheit investiert werden könnte. Die eigentliche Frage ist daher, wie man mit diesen unvermeidbaren Fehlern umgeht.

      1. Könnte ich mal kurz die Liste der nicht-komplexen Software einsehen? Danke, war ein kurzes Vergnügen …

        Wir haben – auf großer Breite – ein Softwarequalitätskrise. Nicht deshalb, weil es besonders schwierig wäre Fehler zu vermeiden oder zu korrigieren oder mindestens nicht zu wiederholen, sondern weil Time-To-Market d.h. möglichst schnell Geld umsetzen (nicht automatisch verdienen) der Maßstab ist.

        Eigentlich sollte sich so etwas wie eine Regulierung darüm kümmern, das Geräte wie vorgesehen funktionieren, aber Regulierung ist – ebenso wie Verbraucherschutz, Umweltschutz, Arbeitsschutz etc. ein Wachstumshindernis.

        All die Aufsätze und Zeitungsartikel von Stallman, Doctorow, Lanier usw. darüber, das man Benutzer*Innen die letztendliche Kontrolle über komplexe Geräte zugestehen muß sind richtig.

        Die Firma Google als Superuser Mikrophone am Geräte ein- und ausschalten zu lassen ist falsch.

        1. Herr Engstrand, lange nicht mehr gesehen! :}

          Ich vermute, das ist eigentlich kein Kommentar, auf den eine Antwort erwartet wird. Aber es gibt natürlich Software, wo man das Ziel anpeilen kann, dass sie fehlerfrei ist. Ich denke auch nicht, dass wir uns drüber unterhalten müssen, was Komplexität ist und wo der Unterschied zwischen einem Betriebssystem und – sagen wir – einer Mobiltelefon-App mit minimaler Funktion ist.

          Ansonsten und speziell in Sachen Softwarequalitätskrise stimme ich natürlich zu. (Ich hab dem gar ein ganzes Kapitel in meinem letzten Buch gewidmet. :)

          1. Es ist eine Zivilisationskrise. Alles was ihr braucht, um nicht im Chaos zu versinken, müsste eigentlich auf sicheren Systemen beruhen.

            So habt ihr eine Häschenmasse zitternd vor dem großen fleischfressenden Kaninchen, bis auf dass es wohl ziemlich vielen nicht so ganz richtig bewusst ist.

            Stattdessen regulierungsarmes Konkurrenzprinzip und Klüngel.

          2. Na ja, ich hab‘ ja auch eine bezahlte Arbeit ( „Welche Probleme wollen wir mit 6G lösen?“) …

            Und eigentlich ermüden mich diese und ähnliche Abhördebatte zunehmend, da schon alles gesagt wurde, nur noch nicht von allen.

            Die Ächtung eines Industriezweigs (der immer noch klein gegenüber den staatlich direkt finanzierten Stellen ist) ist auch nur Symptombekämpfung.

            Politikwechsel wäre halt mal nötig. Ich weise ja immer dann auf das wegweisende Volkzählungsurteil, das sagt: Du bist deine Daten, deshalb hast du einen grundrechtsgleichen Anspruch darauf deine Daten zu kontrollieren. Und wenn das bedeutet, das irgendjemand weniger Geld verdient – dann ist das halt so.

          3. „Ihr“ ist einfach Fussballnationaltrainerdeutsch. Eine Alieninvasion findet nicht statt (*), es gibt keinen Grund zur Beunruhigung!

            (*) Es ist einfach nicht nötig. Als Futter kommt ihr allerdings vielleicht doch noch in Betracht, weswegen es bei drohender Selbstauslöschung durchaus noch zu einem übergeordneten Konflikt kommen könnte.

          4. Ich spreche gar kein Fußballnationaltrainerdeutsch. (Wer ist dieses „ihr“ jetzt nochmal?)

          5. @ Philip Engstrand

            Naja, wer mal ein Softwareprojekt mit Nichtganzprofis als Kunden und Kontributoren hat/te, wird wissen, das Wiederholung endlos passieren muss. Das ist dann Teil der Wartung. Gilt vielleicht auch schon den Bugtracker fast jeden Beliebigen Projektes mit mehr als X Aufmerksamkeit/Kunden/usw, sowie für Öffentlichkeitsarbeit fast jeglicher Sorte.

            Der Grund, warum „alles“ schon gesagt wurde ist auch oftmals, dass nicht gehört wird. Manchmal sind auch die Argumente der einen Seite nicht tragfähig. Zudem ist das ja nicht „Eselswerk“, wenn ein Angriff stattfindet. Es ist auch eine Verteidigungsstrategie, ähnlich wie Warnrufe bei Vögeln. Ob’s was nützt…

      2. Und das ist auch ein zentrales Thema bei der Debatte um den Staatstrojaner in Deutschland: solange ein Staatstrojaner existiert müssen Sicherheitslücken existieren; für die vielleicht zweistellige Anzahl von Einsätzen im Jahr (Legitimität eines solchen Grundrechtseingriffs mal außen vor gelassen) sind also Millionen von Geräten betroffen. Wenn mich nicht alles täuscht war es ja z.B. im Fall von WannaCry eine Sicherheitslücke, die der NSA schon lange bekannt war. Wenn das Ziel also wirklich mehr Sicherheit wäre, dann müsste man solche Lücken aktiv schließen, statt sie zu horten.

        1. @Anonymous

          Einerseits.

          Andererseits kenne ich noch aus meiner Studentenzeit (und weil einer meiner Chefs vorher dort tätig war) die Prozeduren zur Typzulassung und das hatte bedeutet, das eine unabhängige, externe Stelle jeden Softwarestand neu testen musste bevor diese Software in die Produktion für auszuliefernde Geräte lief. Das ist dann beim Übergang zu 3G und Smartphones irgendwann schleichend aufgegeben worden.

    2. „könnte man nicht bei der Entwicklung von Betriebssystemen einen stärkeren Fokus auf die Sicherheit legen?“
      Könnte man, will man aber nicht, im Gegenteil.
      „Man“ = US-Hersteller von Software.
      Pegasus wurde überwiegend durch Hintertüren – ähm, Sicherheitslücken – in iMessage (iOS) und in WhatsApp (WA) (Android) auf die Smartphones der „Zielpersonen“ gebracht.

      Apples iOS ist komplett Closed-Source. Darin und in seinen Komponenten dürften noch etliche Hintertüren stecken.
      Android hat zwar eine FOSS Basis, aber eben auch Closed-Source Komponenten (Hardware-Treiber). Und vor allem sind die meisten Apps Closed-Source, wie das eklige WA. Wer gegen Hacks sicher sein will, muss ein Android-Smartphone auf ein sauberes Custom-ROM (z.B. LineageOS) umflashen und darf nur FOSS Apps verwenden. Die gib es bei f-droid. BTDT.

  2. + 1!

    Du hast es auf den Punkt gebracht. Gleich an Patrick Breyer weiterreichen – und darauf hoffen dass Deine Zeilen in der EU ENDLICH Gehör finden und umgesetzt werden!

    1. Von mir auch vielen Dank für den wichtigen Artikel!

      Es gab die Tage einen Artikel bei der Tagesschau zu dem Thema und da war der Gesamteindruck, dass das alles ein Problem von irgendwelchen Bananenrepubliken ist. Sowohl im Artikel als auch in der Diskussion dazu. Es muss endlich mehr ins Bewusstsein rücken, dass es auch bei uns ganz konkrete Auswirkungen gibt. Ich glaube erst dann kann man anfangen, sich in der Diskussion mit so Argumenten wie „Aber wir müssen doch etwas gegen die ganzen Kriminellen tun“ zu beschäftigen.

  3. Ich erwarte das da auch Google juristisch gegen die NSO Group vorgeht. Schließlich wurden von denen ja illegal Sicherheitslücken in Android für kriminelle Zwecke ausgenutzt.

    Wäre mal interessant wenn Netzpolitik da mal die großen Konzerne anfragen würde ob die nun gegen NSO und andere Trojaner Hersteller juristisch tätig werden um ihre zahlenden Nutzer vor kriminellen Machenschaften zu schützen ???

  4. Bin ich froh, dass der deutsche Staat seine Staatstrojaner nicht bei der NSO Group kauft, sondern bei FinFisher, die noch nie Unterdrückerstaaten geholfen haben. ☺

    Hier zum Nachlesen:
    https://netzpolitik.org/2020/finfisher-staatstrojaner-finspy-erneut-in-aegypten-gefunden/

    Übrigens hat die Zeit den verlinkten Artikel mittlerweile hinter einer Paywall versteckt. Zum Glück ist die Wayback Machine noch rechtzeitig vorbeigekommen:
    https://web.archive.org/web/20210718203531/https://www.zeit.de/politik/ausland/2021-07/spionage-software-pegasus-cyberwaffe-ueberwachung-menschenrechte-enthuellung

  5. Neben der Verschlüsselung von E-Mails – z. B. OpenPGP unter Linux – halte ich inzwischen die Verschlüsselung von Gesprächen per IP-Telefonie (VoIP) für unabdingbar.

    Einen Bericht seitens NETZPOLITIK.ORG, mit welchen technischen Tools bzw. Einsatz von zertifizierter Software dies bewerkstelligt werden kann, halte ich für dringend geboten!

    Informative Rückmeldungen von technisch versierten Nutzern oder Experten in diesem Forum halte ich persönlich für ebenso willkommen.

    Warum verschlüsselte Kommunikation nach 8 Jahren seit der Flucht des ehemaligen NSA Mitarbeiters E. Snowden immer noch stiefmütterlich behandelt wird, erschließt sich mir nicht. Wäre ich Gesetzgeber, müssten ALLE Behörden und Dienstleister (Rechtsanwälte, Banken, Krankenhäuser, Firmen, etc.) ihren öffentlichen Schlüssel zum Download bereitstellen und den zugehörigen „fingerprint“ (Fingerabdruck) im Impressum veröffentlichen.

    Zur Eindämmung des ausufernden Überwachungsstaates ist meiner Meinung nach die Judikative gefordert – wobei ich hier inzwischen alle meine Hoffung begraben habe, da Amtsträger der Gesetzgebung, der vollziehenden Gewalt als auch der Rechtsprechung in Anlehung des Dritten Reiches bereits „ganze Arbeit geleistet haben“.

    1. Am einfachsten lässt sich Ende-zu-Ende verschlüsselte Telefonie mit gängigen Messenger wie z. B. Signal realisieren. Wenn ein Staatstrojaner auf deinem Telefon sitzt, nützt dir das allerdings wenig.

    2. Eine VOIP Verschlüsselung wird dir aber reichlich wenig bringen wenn das Client, also das Smartphone auf dem diese läuft durch einen Trojaner kompromitiert wurde !

      Die zunehmende Verschlüsselung dürfte einer der Gründe sein warum der Überwachungsstaat zunehmend auf Trojaner setzt !

    3. Gegen solche Trojaner hilft Verschlüsseln nicht. Die Nachrichten können direkt auf dem Gerät gelesen werden, noch vor dem Verschlüsseln.

      Trotzdem sollte verschlüsselte Kommunikation noch häufiger zum Einsatz kommen. netzpolitik.org liefert z.B. eine Übersicht für Messenger: https://netzpolitik.org/2021/neue-whatsapp-datenschutzrichtlinie-messengerdienste-im-vergleich/ Ich weiß nicht was Sie mit „zertifiziert“ meinen, aber z.B. die Sicherheit von Threema wird extern überprüft (und der Code ist open-source).

      Meiner Wahrnehmung nach sind die Gerichte ein letztes Bollwerk gegen ausufernde Fantasien mancher Politiker. Ich hoffe sehr, dass das so bleibt. Im Moment sind wir meilenweit von einer Gleichschaltung wie im Dritten Reich entfernt.

  6. lassen Sie sich nicht verunsichern, seien Sie nicht beunruhigt, kümmern Sie sich nicht um um ein paar verbogene und verborgene Bits auf ihrem Smartphone. Alles bleibt weiterhin bequem und funktioniert wie gewohnt.

    Man muss Pegasus nicht selbst installieren, es ist kostenlos und funktioniert zuverlässig. Ihr Sicherheitsbedürfnis wird vollumfänglich gestillt, endlich kümmert man sich um sie, immer und überall, sie sind nicht mehr allein.

    Nichts hat sich in den letzten Jahren geändert, die Story ist alter Schnee: suchen sie mal „Pegasus site:netzpolitik.org“ und wundern Sie sich nicht, wie viele Treffer das bringt. Das hat bisher niemanden wirklich gestört. Was ist also jetzt anders?

    Trifft es Politiker, ist man schadenfroh, trifft es Bürger, dann interessiert es wenig, weil die vermutlich nicht zu den Guten zählen. So what?

    Journalisten und Regimekritiker, das ist keine relevante Käufergruppe, die Umsatzzahlen gefährden könnten. Also brav weiter funktionieren und happy shopping!

  7. Es gibt eine Möglichkeit, Politik zur Einsicht zu bringen. Die USA hat uns das vorgeführt. Die glühendsten Vertreter von Massendatensammeleien waren auf einmal dagegen, als sie ein Dossier über sich selbst zugespielt bekamen… Vielleicht würde es reichen, wenn ein paar Innenminister auf der Liste auftauchen würden…

    1. Das funktioniert zuverlaessig nicht: die massgeblichen Politiker sind es ohnehin gewohnt, im Zweifel keine Privatsphaere zu haben und gezielter Ueberwachung ausgesetzt zu sein.

      Deren Rueckversicherung ist ihre Macht und ihre Verbindungen mit gegenseitigen Abhaengigkeiten, um mit dieser Situation idR klar zu kommen. Ein Wolfgang Schaeuble weiss seit Jahrzehnten, dass er nicht ohne Mittwisser machen kann und alles gegen ihn verwendet werden koennte. Er hat die und das im Griff. Und das unterscheidet sie halt massgeblich von einem normalen Buerger oder gar regierungskritischen Aktivisten.

  8. Voltaire: Die Technik ist die eine Seite. Das zentrale Problem ist der von Politik und Wirtschaft schon fast pathologisch vertretene Ansatz, alles müsse digital passieren – aus reiner nutznießerischer Bequemlichkeit- egal auf welcher Ebene. Als Beispiel sei folgender, unlängst hier erschienener Artikel empfohlen:

    https://netzpolitik.org/2021/e-rezept-ein-digitales-angebot-das-sie-nicht-ablehnen-koennen/

    Solange hier nicht umgedacht wird, in der Bildung nicht von Kindesbeinen an IT richtig und altersgerecht gelehrt wird im Sinne eines Sicherheitsbewusstseins, individueller Entscheidungsfreiheit jeder Person über ihre Daten inclusive technisch kompetent ausgeübten Datenschutzes, wird sich das Problem nicht lösen lassen.

    Dass Edward Snowden hierzulande seinerzeit kein Asyl angeboten bekommen hat und seine Ansätze heuchlerisch ignoriert wurden und werden, spricht Bände über das fehlende moralische Rückgrat unserer derzeitigen Regierung.

    Es ist richtig, dass es auf Linuxbasis sehr gute Lösungen für eine adäquate und sichere Kommunikation gibt. Dies setzt jedoch einerseits den Willen zum umfangreichen Kenntniserwerb über Programmarchitektur und entsprechende Befehle, andererseits auch eine hohe Selbstdisziplin bei der Bedienung solcher Systeme sowie kritisches Bewusstsein über das eigene Tun im Netz etc. voraus – die zentrale Frage ist hierbei immer: „Was passiert wenn ich hier klicke…was könnte passieren, wenn ich diese oder jene Seite aufrufe…“

    Ich bezweifele stark, dass die einfache User-Masse dieses Bewusstsein überhaupt hat geschweige denn willens ist, es zu entwickeln. Dazu sind die anfälligeren Systeme jahrelang zu sehr auf Bequemlichkeit und Massentauglichkeit getrimmt worden – aus marketingtechnischen, aber keinesfalls aus den so notwendigen Sicherheitsgründen. Das Kind ist hier wohl schon in den Brunnen gefallen. Hoffen wir, dass es noch herausklettert, bevor es zu spät ist.

    1. Eigentlich ist es auch der komplizierte Userknete zu blöd.

      Sichere Systeme, Standards und Chipdesign selbst kneten? Nope. Im Zweifel reicht das Gerät vom Nachbarn am Stromnetz, und du hantierst dann mit Solarpanel usw., oh dann brauchst du ein eigenes Grundstück und ein Haus, am Besten noch jeden Tag ein neues… Das ist kein Rennen. Es ist eine gesellschaftliche Aufgabe. Da könnte man darauf hinweisen, dass es zivilisatorisch notwendig ist, aber wir haben es mit einem System zu tun, in dem kurzfristige Ansätze und Skrupellosigkeit systematisch bevorzugt werden. Vielleicht ist es am Besten, dabei mitzuhelfen den schnellstkaputtgehenden Weg für unsere Pseudopfahlbauten-„Zivilisation“ umzusetzen, damit es eine zweite Chance gibt, bevor Resourcen in signifkanterem Maße noch schwieriger zugänglich werden?

      Macht weiter so, überwacht alles, setzt auf Konkurrenz, stecht einander aus. Einziger Weg?

      1. Vielleicht wird die Rechnung gemacht, aber falsch? So werden z.B. Softwaresysteme auch als Resourcen gewertet.

        Kürzt doch mal Proprietäresm nicht zugängliches, und Systeme heraus, die ohne Not Sachen überbügeln, um mehr zu verkaufen, dann bleibt zwar einiges übrig, aber man sieht dann auch welche Resourcenverschwendung zivilisatorisch geschieht. Die Folge muss sein, nichts von Relevanz jemals darauf basieren zu lassen.

  9. Leider nützt Verschlüsselung auch nicht immer. Wer einen entsprechend leistungsfähigen Trojaner auf einem Gerät installiert hat, kann die Nachricht vor und die Antwort nach der Verschlüsselung abgreifen und an den Lauscher übermitteln.
    Vermutlich ziemlich sicher ist die Verwendung eines Live-Systems für sensible Anwendungen, das jedesmal aufs Neue malwarefrei ist. Aber selbst dann könnte noch der Router oder das BIOS infiziert sein.
    An sich müsste mit 2 Geräten (1 nie am www und virenfrei, zum Ver- und Entschlüsseln und 1 am www zum Senden und Empfangen) gearbeitet werden. Wie kommt aber die verschlüsselte Antwort so vom www-Gerät zum Entschlüssler, dass keine Malware mit übertragen werden kann? (Die dann heimlich den Schlüssel an die verschlüsselte Nachricht dranhängt, z.B.?)

    Noch zur Snowden-Frage: Schon lange vor Snowden gab es Berichte in seriösen deutschen Zeitschriften über das Treiben der NSA (damals noch per „Echelon“-Spähantennen), die schon damals gerne z.B. Faxe abhörte und z.B. Patententwürfe an US-Firmen weitergeleitet haben und auch in anderer Form Wirtschaftsspionage betrieben haben sollen. Auch damals hat es anscheinend niemanden gekümmert, für die Politiker war das anscheinend nie ein Thema, zumindest nicht öffentlich.

  10. Aber wie erklärt ein altes Pferd einem jungen Esel, dass er nur bestimmte Pflanzen auf der Weide fressen darf, wo es sich selbst auch im hohen Alter nicht beherrschen kann alles zu fressen, was ihm vor die Nüstern kommt und wenn es außer Reichweite ist, den Blick nicht abwenden kann. – Normalerweise benutze ich ja Worte wie dumm, blöd, unbelehrbar, selber Schuld, zu spät und so weiter aber ich hoffe, meine Meinung kommt auch so rüber. Dankesehr. ♥

  11. Grundsätzlich wird sich das Problem nicht lösen lassen. Die regierungen werden auf „lawful interception“ weiterhin bestehen und dafür auch die Ausnutzung von Sicherheitslücken als legal definieren. Diese Praktiken sind zwar vlt. bis zu einem gewissen Grad legel aber keineswegs legitim. Ich lehne jegliche Zusammenarbeit mit Unternehmen ab, die in irgendeinem Zusammenhang mit Trojanern stehen, sei es lawful oder nicht. Auch kann ich nicht verstehen, wie sich Ingenieure für solche Tätigkeiten hergeben. Sie haben jeglichen Respekt verloren. Immerhin hat Amazon reagiert und alle NSO Dienste gesperrt. Ein erster, aber wichtiger Schritt. Und im Herbst ist Bundestagswahl, da kann jeder selbst entscheiden ob er sich für oder gegen Privacy festlegt. Vlt. kann netzpolitik.org das nochmal analysieren und die Haltung der Parteien hierzu aufarbeiten. Das verlangt aber vom Wähler den Parteien zu glauben, was insbesondere bei der verräterpartei SPD unmöglich ist.

    1. Grobe Zusammenfassung:

      CDU: Nein
      SPD: hast du schon geschrieben
      Grüne: Nicht so schlimm wie CDU und SPD aber auch auf der falschen Seite.
      FDP: Sieht interessant aus, aber es ist nicht zu erwarten, dass die FDP im Falle einer Regierungsbeteiligung dieses Thema als besonders wichtig einstuft. Sie wird im Zweifel einen Kompromiss zugunsten anderer FDP-Programmpunkte eingehen.
      Linke: Fordert die Rücknahme von Geheimdienstbefugnissen. Aber die Linke hat viele Forderungen und es ist nicht klar, mit welchen sie sich im Falle einer Regierungsbeteiligung durchsetzen kann und will. Zu wenig Präzendenzfälle, um Aussagen über die Verlässlichkeit der Partei zu treffen. Was relativ zu den anderen Parteien eine gute Nachricht ist.
      AfD: seriously?

      Ich würde mich aber auch freuen, wenn da jemand noch genauer zu beitragen kann.

    2. Lawful interception ist eigentlich dafür da, um Abhören auf gesetzlicher Basis zu ermöglichen und sollte – da nur im Netzwerk – unabhängig von Softwarelücken auf der Telephonseite arbeiten.

      Wir haben aber seit 5G die absurde Situation, das von Seiten der Politik gefordert wird bestimmte Schwächen sowohl im Netzwerk (IMSI catcher werden z.B. bei zufälligen IDs nutzlos) als auch auf der Telefonseite zu erhalten, damit über die gesetzliche Basis hinaus ‚ermittelt‘ werden kann. Und wir gleichzeitig immer mehr Aufwand spendieren Lücken aus dem Standard zu entfernen.

      „Auch kann ich nicht verstehen, wie sich Ingenieure für solche Tätigkeiten hergeben.“ – ich kann das, als Ingenieur.

    3. Du hast es erfasst. Aber das ist genau das Dilemma bzw. die deutsche Katastrophe.
      Es gibt niemanden mehr, welcher guten Gewissens wählbar wäre.
      Auch die Wahl des kleineren Übels hat sich dieses Jahr wohl erübrigt, da alle
      Parteien etwa gleich schlimm sind. Auch wirklich zu denken geben sollte, dass man derzeit der Linken (ehemals SED) noch am ehesten zutrauen würde, eine menschenwürdige und rechtsstaatliche Politik zu verfolgen.
      Wie konnte es nur soweit kommen? Wie so habt Ihr diese Nullen nicht schon längst aus den Parlamenten und Ministerien geworfen?

  12. Wieso hat diese Erkenntnis jetzt so lange gedauert?
    Und sie geht dazu noch viel zu wenig weit.
    Auch jegliche Tätigkeit für Geheimdienste gehört geächtet, wie die Geheimdienste selbst, eigentlich jegliche IT-Tätigkeit für den Staat, denn diese haben in den letzten 20 Jahren mehr als deutlich bewiesen dass sie diese (IT) Möglichkeiten ständig missbrauchen.
    Es ist so wie bei der Atomkraft, das Risiko dass IT-Knowhow von Staaten missbraucht wird, ist einfach zu hoch und die Schäden zu Massiv. Es muss ihnen dauerhaft entzogen werden.

Wir freuen uns auf Deine Anmerkungen, Fragen, Korrekturen und inhaltlichen Ergänzungen zum Artikel. Unsere Regeln zur Veröffentlichung von Ergänzungen findest Du unter netzpolitik.org/kommentare. Deine E-Mail-Adresse wird nicht veröffentlicht.