Fakten und Mythen zu Hacking Team in der Schweiz

In der Aufregung um die gehackte Überwachungs-Firma Hacking Team wurden Original-Dokumente mit getwitterten Fragmenten vermischt, Äusserungen von Betroffenen über- und missinterpretiert. Was wir wirklich wissen:
 
Konnte die Kapo auf überwachten PCs Kinderpornos installieren?
Vielleicht. Im veröffentlichten Code ist eine Funktion aufgetaucht, die angeblich dazu dient, Dateien auf anderen Systemen zu platzieren. Es ist aber nicht klar, ob dieser Code Bestandteil des von der Kapo gekauften Trojaners ist und ob die Funktion der Kapo zur Verfügung gestanden hat. Wieso das fahrlässig wäre, liegt auf der Hand: Auch Sicherheitskräfte sind nur Menschen.
 
Sind Trojaner bei der Kapo Zürich vom Tisch?
Nein. Richtig ist, dass der gekaufte Trojaner "Galileo" laut Kantonspolizei zur Zeit nicht mehr eingesetzt wird. Und richtig ist auch, dass die Kapo nicht vorhat, sich anderweitig einen Trojaner zu beschaffen. Falsch ist aber, daraus den Schluss zu ziehen, die Kapo wolle künftig auf Trojaner verzichten oder die investierten 500'000 Franken seien verloren. So ist das nicht, wie die Sicherheitsdirektion gegenüber inside-it.ch bestätigt hat: Es gibt laufende Verträge zwischen der Kantonspolizei Zürich und Hacking Team, in deren Rahmen die Kantonspolizei nun hofft, von Hacking Team bald einen einsatzfähigen Ersatz für "Galileo" geliefert zu bekommen. Wie Hacking Team am Dienstag bekannt gegeben hat, soll für "Galileo" baldmöglichst ein Update bereit stehen und im Herbst ein komplett neuer Nachfolger an die Kunden geliefert werden.
 
Hat der Kanton Zürich seine Kompetenzen überschritten?
Abschliessend klären kann das nur eine Untersuchung. Die Sicherheitsdirektion, die den Trojaner gekauft hat, stellt sich auf den Standpunkt, das geltende Recht würde den Einsatz von Trojanern zulassen. Gegner argumentieren jedoch, Trojaner würden im geltenden Recht nicht erwähnt, weshalb ihr Einsatz auch nicht erlaubt sei. Wie das Gesetz ausgelegt werden soll, ist also umstritten und eine Klärung zudem unwahrscheinlich. Denn dazu müsste eine Person die mittels Trojaner überwacht worden ist, Anzeige erstatten, wie Rechtsanwalt Martin Steiger bereits vor ein paar Tagen gegenüber inside-it.ch erklärt hat.
 
Davon abgesehen ist auffällig, dass die Kantonspolizei Zürich in ihrem Mail-Verkehr mit Hacking Team mehrmals auf rechtliche Komplikationen hingewiesen hat und offenbar in regem Austausch mit dem Rechtsdienst stand. In einer Mail kündigte die Kantonspolizei an, einige Funktionen im Trojaner müssten deaktiviert werden, weil sie diese nicht einsetzen dürfe. Hacking Team antwortete lapidar, Anpassungen seien nicht möglich. Trotzdem hat die Kantonspolizei "Galileo" gekauft. Ob mit oder ohne Einschränkungen erschliesst sich nicht. Auch hier gibt es Klärungsbedarf, ein laxer Umgang mit dem Thema ist unangebracht. Denn wie schon gesagt: Trojaner können missbraucht werden.
 
Setzen noch weitere Behörden Trojaner von Hacking Team ein?
Möglicherweise. Kontakt zu Hacking Team hatten neben der Kapo Zürich auch der Kanton Genf, der Kanton Waadt und das Fedpol. Letztere verneinen den Kauf eines Trojaners bei HackingTeam. Der Kanton Genf sagt lediglich, dass er sich für Überwachungs-Methoden interessiere. Weitere Details wolle man nicht preisgeben. Nicht zu vergessen ist dabei auch, dass Hacking Team zwar ein grosser, aber bei weitem nicht der einzige Anbieter von Überwachungssoftware ist. (Michael Küng)

Unser Kommentar:

Weitere Antworten aus Sicht der Redaktion:
 
Muss die Schweiz einen eigenen Staatstrojaner entwickeln?
Staatstrojaner sind ein gefährliches Instrument. Doch sollen Sie eingesetzt werden, dann lautet die Antwort: Ja. Nur so kann im Umfeld der paranoiden Szene der Hersteller von Überwachungs-Software gewährleistet werden, dass im Trojaner keine unerwünschten Hintertüren eingebaut sind. Hacking Team hatte in seine Trojaner heimlich Hintertüren eingebaut, um auf verschiedene Funktionen zugreifen zu können. So etwas dürfen Behörden, die heimlich in die Privatsphäre von Bürgern eindringen, nicht riskieren.
 
Kann die Schweiz einen eigenen Staatstrojaner entwickeln?
Ja. Aber sie wird es nicht tun. Es stellen sich Probleme auf verschiedenen Ebenen: Etwa bei der technischen und finanziellen Machbarkeit. Die erstmalige Entwicklung wäre relativ teuer. Die nötigen Exploits, Programme, die Schwachstellen in Software ausnützen, könnten allerdings weiterhin eingekauft werden, weil solche Programme in aller Regel so klein sind, dass unerwünschter Code schnell entdeckt wäre. In Frage käme zum Beispiel der französische Anbieter Vupen, für dessen Angebot jährliche Pauschal-Beträge von etwa 100'000 Dollar kolportiert werden. Hacking Team verlangt für ein ähnliches Programm jährlich 20 Prozent des Anschaffungspreises seines Trojaners. Beide Varianten sind markant günstiger als der eigenständige Zukauf in der Hackerszene. Sie ist für den Staat tabu. Nicht nur wegen allfälliger moralischer oder juristischer Einwände. Denn ein Hacker könnte die von ihm entdeckte Schwachstelle kurz darauf auch dem Hersteller der betroffenen Software verkaufen. Grosse Firmen wie Microsoft zahlen gutes Geld, um solche Lecks stopfen zu können. Einkaufen tun teilweise auch "Zulieferer" wie Vupen. Sie versuchen sich und ihre Kunden vor diesem Fall mit exorbitant teuren Exklusiv-Verträgen zu schützen. Die Grenze zwischen Grau- und Schwarzmarkt ist dabei fliessend. Die Entwicklung eigener Exploits wäre kaum umsetzbar, denn die Anforderungen sind hoch: Allein um gängige Desktops und Smartphones angreifen zu können braucht man Schwachstellen in wenigstens fünf Betriebssystemen von denen jeweils mehrere Versionen im Umlauf sind. Programme werden gepatched, Betriebssysteme von Nachfolgern abgelöst. Das Geschäft mit Schwachstellen ist ein dauerndes Katz- und Maus-Spiel, es müssen immer wieder neue entdeckt werden. Ein solches Unterfangen wäre umfangreich, entsprechend teuer und die nötigen Spezialisten müssten wohl auch aus dem Ausland rekrutiert werden. Dadurch würde das Unterfangen anfällig für Spionage.
 
Eine ganz andere Schwierigkeit stellt der Föderalismus dar: Weil die Polizeihoheit bei den Kantonen liegt, gibt es keine Garantie dafür, dass die einzelnen Behörden nicht weiterhin auf eigene Faust Lösungen beschaffen. Insbesondere, wenn der Bund für seine eigene Lösung Geld verlangen würde. Eine günstige oder gar unentgeltliche Lizenzierung wäre wiederum eine zumindest zweifelhafte Ermutigung zum Einsatz von Trojanern. Dasselbe Problem ergibt sich bei der Möglichkeit einer Kooperation mehrerer Kantone. Auch sie dürften ein Interesse daran haben, weitere Parteien ins Boot zu holen um ihren Aufwand wenigstens teilweise refinanzieren zu können. Eine zusätzliche Aufblähung des Sicherheitsapparats wäre die Folge. (Michael Küng)