Wie im Gangster-FilmFirma will Überwachungskameras für Geheimdienste manipulieren

Mit der Software des israelischen Unternehmens Toka sollen sich Überwachungskameras in Echtzeit und nachträglich manipulieren lassen, enthüllt ein Medienbericht. Die Spähsoftware ist für Geheimdienste und Ermittlungsbehörden gedacht, Kontakte soll es auch nach Deutschland geben.

Überwachungskameras sind inzwischen weit verbreitet – und ein gefundenes Fressen für Hacker:innen und Geheimdienste. – Alle Rechte vorbehalten IMAGO / Zoonar

Es sind sagenhafte Fähigkeiten, mit denen die israelische Cyber-Sicherheitsfirma Toka ihre Kunden lockt: Ihre Tools sollen unbegrenzten Zugang zu Überwachungskameras in Zielgebieten geben, smarte Toaster hacken oder Daten aus vernetzten Autos abziehen können. Damit sollen sich etwa Videofeeds in Echtzeit oder auch nachträglich manipulieren lassen, berichtet die israelische Tageszeitung Haaretz unter Berufung auf interne Dokumente des Unternehmens.

Gegründet wurde Toka im Jahr 2018 vom einstigen israelischen Premierminister Ehud Barak und dem pensionierten General Yaron Rosen. Das Unternehmen hat Büros in Tel Aviv und Washington, als CEOs fungieren Alon Kantor und Kfir Waldman. Zu den Geldgebern zählt unter anderem die Wagniskapitalfirma Andreessen Horowitz. Toka reiht sich damit ein in eine lange Liste israelischer Sicherheitsunternehmen wie NSO Group oder Candiru, die Alltagsgegenstände hacken und tief in die Privatsphäre ihrer Opfer eindringen können.

Kontakt auch mit Deutschland

Toka biete seine Tools ausschließlich ausgewählten Ermittlungsbehörden, dem Militär sowie Geheimdiensten an, beteuert das Unternehmen gegenüber Haaretz. Den internen Unterlagen zufolge hatte Toka im Jahr 2021 einen sechs Millionen US-Dollar schweren Vertrag mit israelischen Behörden abgeschlossen. Ins Ausland exportiere man lediglich an die USA und enge Alliierte, zudem soll eine jährliche, „rigorose“ Untersuchung etwaigen Missbrauch verhindern, so Toka. Details wollte das Unternehmen aber nicht preisgeben. Aufsichtsbehörde ist das israelische Verteidigungsministerium.

Auch mit Deutschland soll es zumindest Gespräche gegeben haben, geht aus den Haaretz vorliegenden Dokumenten hervor. Neben den USA und Australien soll es zudem Kontakt mit Singapur gegeben haben, einem nicht-demokratischen Staat. Ob die Länder tatsächlich Produkte von Toka einsetzen, ist nicht bekannt.

Unsicheres Internet-of-Things

Der Markt für vernetzte Geräte wie Videokameras, Kühlschränke und Autos wächst seit Jahren kontinuierlich an. Allerdings hält dabei oft die Produktpflege und Sicherheit nicht mit. In vielen dieser Geräte klaffen Sicherheitslücken oder sie werden mit dem Standard-Passwort betrieben, sie stehen also sperrangelweit offen. Das sogenannte Internet-of-Things (IoT) gilt seit Jahren als notorisch unsicher, viele Überwachungskameras lassen sich bis heute erschreckend einfach hacken.

Im Angebot hat Toka laut Haaretz aber mehr: Um etwa Geheimdienstoperationen heimlich ablaufen zu lassen, wirbt das Unternehmen mit der Funktion, Videoaufnahmen in Echtzeit auszutauschen. Auch der Zugriff auf bereits aufgezeichnetes Archivmaterial soll möglich sein – und das alles, ohne forensische Spuren zu hinterlassen, so die Eigendarstellung der Firma.

Wie genau sich Toka Zutritt zu den Geräten verschafft, geht aus den Dokumenten nicht hervor. Dem Sicherheitsforscher Donncha Ó Cearbhaill zufolge gebe es aber Hinweise darauf, dass Toka zunächst auf drahtlos angebundene Bluetooth- oder WLAN-Geräte abziele. Sind die Angreifer erst einmal eingedrungen, können sie sich dann weiter im restlichen Netzwerk ausbreiten.

Rechtssystem hechelt hinterher

„Das sind alles früher undenkbar gewesene Fähigkeiten“, sagte der Menschenrechtsanwalt Alon Sapir zu Haaretz. Aus einer Menschenrechtsperspektive sei dies eine „dystopische Technologie“. In den falschen Händen könnten damit Unschuldige belastet oder Schuldige entlastet werden, so Sapir. Das derzeitige Rechtssystem sei auf solche Situationen nicht vorbereitet.

Das gilt auch für andere halbdunkle Bereiche, etwa für die Spionagesoftware Pegasus der NSO Group. Mit dem Staatstrojaner werden Menschen auf der ganzen Welt überwacht, zu den Kunden zählen auch viele EU-Länder. Es hatte erst einen handfesten Skandal gebraucht, um das Ausmaß der Überwachung deutlich zu machen. So hatten etwa Länder wie Polen und Ungarn Oppositionspolitiker:innen und regierungskritische Journalist:innen mit der Software bespitzelt, die auf dem Papier für die Bekämpfung von Terrorismus und Organisierter Kriminalität gedacht ist.

Bis heute sind jedoch viele Fragen offen, selbst ein Ausschuss im EU-Parlament konnte noch lange nicht alles klären: Die meisten Staaten verweigerten unter Verweis auf „nationale Sicherheitsinteressen“ die Zusammenarbeit mit dem Ausschuss.

4 Ergänzungen

  1. Es ist Zeit, darüber nachzudenken, zu analoger Technik zurückzukehren. Die ist nicht nur gegenüber digitalen Angriffen resilienter.

  2. „Mit der Software des israelischen Unternehmens Toka sollen sich Überwachungskameras in Echtzeit und nachträglich manipulieren lassen“ … na, wenn das kein Bilderbuchfall des § 202c StGB ist:

    § 202c Vorbereiten des Ausspähens und Abfangens von Daten
    (1) Wer eine Straftat nach § 202a oder § 202b vorbereitet, indem er
    1. Passwörter oder sonstige Sicherungscodes, die den Zugang zu Daten (§ 202a Abs. 2) ermöglichen, oder
    2. Computerprogramme, deren Zweck die Begehung einer solchen Tat ist,
    herstellt, sich oder einem anderen verschafft, verkauft, einem anderen überlässt, verbreitet oder sonst zugänglich macht, wird mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe bestraft.
    (2) …

    Eine Manipulation der Daten wäre strafbare Datenveränderung nach § 303a StGB. Dort wird auch auf
    § 202c StGB verwiesen. Werden Daten im Übertragungsweg abgefangen, dann ist § 202b StGB (Abfangen von Daten) einschlägig. Sind die Daten besonders gesichert, dann § 202a StGB.

    Ach so, ne. Sie geben die Software ja nur „den Guten“. Na, dann ist ja alles in Ordung.

  3. Das ist das gleiche in Grün, was ist nicht alles nicht Krieg?

    – Kriegshandlungen bzgl. anderer Staaten (Söldner, Zielaquisition).
    – Wirtschaftskriegshandlungen bzgl. anderer Staaten (Wirtschaftskrieg).
    – Informationskriegshandlungen bzgl. anderer Staaten (Propaganda, Desinformation).
    – Cyberkriegshandlungen bzgl. anderer Staaten (Hacking as a service, Exploits on-demand verkaufen, z.B. bei Trojanern für Handies).

    Und jetzt eben noch mal:
    – Cyberkriegshandlungen bzgl. anderer Staaten (Hacking as a service, Exploits on-demand verkaufen, z.B. bei Überwachungskameras).

    Was kommt als nächstes, ist da noch Diskussionspotential?
    – Nuklearkriegshandlungen bzgl. anderer Staaten sind auch keine Kriegshandlungen?
    – Oder wird es noch krasser: „Toasterfirmware Exploits on-demand“, dann noch Kühlschränke, Alarmanlagen, Glühbirnen, Amsel, Fink und Star?

    Das Problem von euch Menschlingen ist, das nicht zu beenden. Sowas müsst ihr als Angriffe sehen und als feindliche Handlungen. Isolieren, thermisch verjodeln. Sowas macht man da. Russland hat keine Lust auf Zivilisation, aber Atomwaffen? Überlegene Alientechnologie einsetzen, um das Gleichgewicht weider herzustellen! Also z.B. Grönland und Tonga befreien und mit Planetenbrechern ausstatten, was man so macht…

Wir freuen uns auf Deine Anmerkungen, Fragen, Korrekturen und inhaltlichen Ergänzungen zum Artikel. Bitte keine reinen Meinungsbeiträge! Unsere Regeln zur Veröffentlichung von Ergänzungen findest Du unter netzpolitik.org/kommentare. Deine E-Mail-Adresse wird nicht veröffentlicht.