17 Gründe, wieso der Staatstrojaner die schlechteste Überwachungsidee seit dem Fichenskandal ist

Das Positive am Skandal um den Staatstrojaner der Kantonspolizei Zürich ist, dass der Fall exemplarisch aufzeigt, warum dessen Einsatz sofort gestoppt werden muss und wieso Staatstrojaner ganz allgemein ungeeignet sind um Sicherheit für die Bevölkerung zu schaffen.

1. Trojaner-Hersteller können über Hintertüren auf die überwachten Geräte zugreifen und private Daten abgreifen und diese missbrauchen.

Der nun bekannt gewordene Hacking-Team-Trojaner enthält offenbar Backdoors, die der Herstellungsfirma den direkten Zugriff auf das überwachte Gerät ermöglichen. Es besteht somit auch die Möglichkeit, dass private Daten abgegriffen und missbraucht (verkauft, für Erpressungen verwendet, …) werden.

2. Der Trojaner ist eine Blackbox, deren Funktionsumfang nicht überprüfbar begrenzt werden kann.

Die (geplanten) Gesetze erlauben nur die Überwachung der Kommunikation, nicht aber die Einschaltung von Kamera und Mikrofon oder die Durchsuchung der Dateien. Jedoch ist der Staat nicht in der Lage zu überprüfen, ob der Funktionsumfang des 1 Million Zeilen Code umfassenden Trojaners wirklich auf die erlaubten Massnahmen begrenzt ist. Eine fundierte Code-Analyse wäre viel zu aufwändig. Somit nimmt der Staat Gesetzesverstösse bewusst in Kauf.

3. Trojaner sind in der Lage, Beweise wie z.B. Kinderpornografie unterzujubeln.

Es macht den Anschein, dass der nun geleakte Trojaner gar Kinderpornografie auf das überwachte Gerät laden kann. Es können also «Beweise» fabriziert werden, ohne dass das Gericht die Möglichkeit hat diese zu überprüfen.

4. Trojaner setzen Geräte der Gefahr von Angriffen Dritter aus.

Von einem Trojaner befallene Geräte werden angreifbar durch Dritte. Der aktuelle Trojaner konnte Anti-Viren-Software austricksen und abschalten. Es ist nicht auszuschliessen, dass auch Kriminelle auf die überwachten Geräte zugreifen und Daten abgreifen oder verändern.

5. Überwachte haben keine Chance, sich gegen falsche «Beweise» zu wehren.

Wurden einer angeschuldigten Person falsche Beweise untergejubelt, hat diese keine Möglichkeit, das Gegenteil zu beweisen. Sie ist somit den Behauptungen der Überwacher und Trojaner-Hersteller hilflos ausgeliefert.

6. Die Telekommunikationsüberwachung mittels Trojaner ist eine Illusion. Illusionen sind keine Beweise.

Die Ermittlungsbehörden erliegen dem Irrtum, der Staatstrojaner könne Skype- oder Whatsapp-Kommunikation abgreifen. Dumm nur: Sicher verschlüsselte Kommunikation kann auch ein Staatstrojaner nicht abgreifen. Er kann bloss Daten vor der Verschlüsselung abgreifen. Was mit diesen Daten nach der Verschlüsselung passiert, ob sie wirklich das Gerät verlassen, und ob sie wirklich an eine andere Person geschickt werden, kann der Trojaner nicht wissen. Und somit auch keine gerichtlich verwertbare Beweise dafür liefern.

7. Der Trojaner dringt in den Kernbereich der Intimsphäre ein. Er ist ein Angriff auf die persönliche Integrität der Zielperson.

Wäre es ok, wenn der Staat heimlich Überwachungskameras in Schlafzimmern installieren würde? Nein, denn es gibt einen Kernbereich der Intimsphäre, die auch bei Tatverdächtigen zu wahren ist. Ein Trojaner greift die persönliche Integrität der Zielperson an und ist darum in jedem Fall unverhältnismässig.
Die technische Entwicklung geht sogar so weit, dass gewisse Geräte immer mehr als Erweiterung des menschlichen Körpers und Gehirns angesehen werden. Folgt man dieser Vorstellung, wird der Trojaner quasi fähig, unsere innere Gedankenwelt zu erkunden. Er ist daher ein Schritt in Richtung Gedankenverbrechen. Wir wollen aber Menschen nicht für ihre Gedanken, sondern für ihre für andere Menschen schädlichen Handlungen bestrafen.

8. Der Trojaner dringt ebenso in die Privatsphäre der Umgebung der Zielperson ein.

In der Umgebung der tatverdächtigen Person befinden sich Personen, die durch den Trojaner mitüberwacht werden – sei es, weil über das Gerät mit ihnen kommuniziert wird, weil sie das Gerät mitbenutzen oder weil sich ihre privaten Daten auf dem Gerät befinden. Dadurch, dass die Daten auf einem Computer viel umfangreicher sind als bei der herkömmlichen Telefon-Uberwachung, ist auch dieser „Kollateral-Schaden“ entsprechend grösser.

9. Es werden Steuergelder in den Schwarzmarkt mit Sicherheitslücken geschwemmt.

Ein Trojaner nutzt Sicherheitslücken aus. Für bisher unbekannte Sicherheitslücken (sogenannte Zero-Day-Exploits) gibt es einen Schwarzmarkt, auf dem sich allerlei Kriminelle tummeln. Durch den Kauf von Trojanern alimentiert der Staat diesen Schwarzmarkt und fördert damit das organisierte Verbrechen. Und er schafft damit Anreize, dass Sicherheitslücken bestehen bleiben, statt dass sie so schnell wie möglich gemeldet und geschlossen werden.

10. Der Staat begibt sich in einen Interessenskonflikt: Wenn er die Schliessung von Sicherheitslücken anstrebt, gefährdet er damit den Einsatz des Staatstrojaners.

Eigentlich sollte der Staat Sicherheit schaffen, indem er die Schliessung von Sicherheitslücken anstrebt. Mit dem Einsatz von Staatstrojanern hat er aber plötzlich ein Interesse, dass Sicherheitslücken bestehen bleiben, da sonst der Staatstrojaner nicht mehr funktionieren würde. Damit gefährtet er die Sicherheit der gesamten IT-Infrastruktur und damit der gesamten Wirtschaft und Gesellschaft. Er opfert unsere Sicherheit dem vermeintlichen Sicherheitsgewinn durch Trojanereinsätze.

11. Die Ermittlungsbehörden vertrauen blind einer Firma, die auch mit Kriegsverbrechern und totalitären Regimes wie dem Sudan oder Saudi-Arabien geschäften.

Die Firma Hacking Team hat bewiesen, dass sie keinerlei Skrupel hat, den Trojaner auch Regierungen zu liefern, die ihre Bevölkerung unterdrücken oder gar Krieg gegen sie führen. Sie hat offensichtlich kein ethisches Bewusstsein – was auch nicht verwundert, denn keine seriöse Firma würde einen Trojaner bauen. Einer solch zwielichtigen Firma vertraut der Staat blind, dass sie ihre Macht (siehe Punkte 1 bis 3) nicht missbraucht. Das ist nicht naiv, das ist grobfahrlässig.

12. Der Staat begeht Vertrauensbruch gegenüber seinen Bürgern.

Wer will noch Steuererklärungssoftware herunterladen, wenn sie einen Trojaner enthalten kann? Einem Staat, der heimlich Trojaner einsetzt, setzt das Vertrauen, das Bürger ihm entgegenbringen, aufs Spiel. Was muss man dem Staat sonst noch zutrauen, wenn er sogar vom Einsatz von Trojanern nicht zurückschreckt?

13. Halbwegs intelligente Kriminelle können sich leicht der Überwachung durch Trojaner entziehen.

Mit ein paar Vorsichtsmassnahmen (separate Geräte, spezielle Hard- und Software, häufiger Hardware-Austausch, wechselnde Kommunikationsdienste, …) kann sich jeder, der will, sich der Überwachung durch Staatstrojaner entziehen. Trojaner funktionieren nur bei Dummen oder Unvorsichtigen. Es ist ein Irrtum zu glauben, durch den Trojaner hätte der Staat «gleich lange Spiesse». Dieser Wettlauf ist nicht zu gewinnen, selbst wenn wir unsere Grundrechte dafür komplett aufgeben würden.

14. Den Ermittlungsbehörden steht ein ausreichend grosses Arsenal zur Verfügung.

Die Zürcher Kantonspolizei behauptet, dass sie Trojaner einsetzen müssten, wenn die Tatverdächtigen verschlüsselt kommunizieren. Das ist falsch: Es gibt keine Zwangslage! Die Ermittlungsbehörden haben auch ohne Trojaner sehr umfangreiche Mittel zur Verfügung, von Befragungen bis zu Hausdurchsuchungen und Beschlagnahmungen von Geräten. Wir haben eine gute Polizei, die ohne Trojaner nicht mit abgesägten Hosen dasteht, wie sie den Eindruck erwecken möchte.

15. Die Kosten und der Aufwand stehen in einem sehr schlechten Verhältnis zum Nutzen.

Der Kanton hat für die nun unbrauchbare Trojaner-Software eine halbe Million Franken und weiteres Geld für Hardware ausgegeben, zwei Wochen lang acht Polizisten geschult und viele weitere Spesen verursacht. Diese ganze Investition ist nun wertlos, da die Verwendung der Trojaner aus Sicherheitsgründen eingestellt werden musste. Mit diesem Aufwand hätte sie vielen anderen Hinweisen nachgehen und geeignetere Mittel einsetzen können. Es ist relativ wahrscheinlich, dass sich das Szenario bei einer nächsten Trojaner-Beschaffung wiederholt und der Wettlauf gegen die Sicherheit der Geräte immer wieder verloren geht.

16. Der Trojaner-Einsatz ist undemokratisch, da dem demokratischen Entscheid vorgegriffen wird.

Das umstrittene geplante Überwachungsgesetz BÜPF sieht vor, dass Staatstrojaner legalisiert werden. In einer Demokratie soll das Parlament bzw. das Stimmvolk bestimmen, welche Mittel es den Strafverfolgungsbehörden geben möchte. Obwohl dieser Entscheid im Falle der Staatstrojaner noch aussteht, stellen uns die Zürcher Behörden vor vollendete Tatsachen.

17. Der Trojaner-Einsatz ist heute klar illegal.

Die oben stehenden Punkte machen klar, dass es ein sehr grosser Unterschied ist, ob ein konventionelles Telefongespräch abgehört wird oder ob in ein Computersystem eingedrungen, eine Schadsoftware installiert und Daten abgegriffen werden, die noch gar nicht kommuniziert wurden. Die Zürcher Behörden stellen sich auf den Standpunkt, das sei juristisch das Gleiche, und weil das eine legal sei, sei das andere auch legal. Die überwiegende Lehrmeinung lautet hingegen anders, aus einleuchtenden Gründen. Auch wenn es noch kein Bundesgerichtsurteil dazu gibt, kann man nur zum Schluss kommen, dass die Zürcher Behörden hier nicht in einem Graubereich, sondern in einem Schwarzbereich agieren.

Fazit:

Eigentlich wäre jeder dieser Punkte für sich alleine Grund genug vom Einsatz von Staatstrojanern abzusehen. Die 17 Gründe summieren sich aber nicht nur, sondern potenzieren sich durch ihr Zusammenspiel gar. Insgesamt ergibt der Einsatz von Staatstrojanern eine völlig unkontrollierbare Situation, die eine echte Bedrohung für unsere Sicherheit ist. Es zeigt sich eben wieder einmal: Manche Massnahmen bewirken genau das Gegenteil von dem, was sie bezwecken sollen. Der Staatstrojaner der Kantonspolizei Zürich ist ein Musterbeispiel dafür.