Candiru

22. September 2021

Die Bundesregierung will nicht sagen, ob deutsche Behörden den Staatstrojaner Candiru nutzen. Die Antwort könnte das Staatswohl gefährden. CitizenLab und Microsoft haben über hundert Opfer der israelischen Schadsoftware gefunden, darunter eine politisch aktive Person in Westeuropa.

Büro mit Catering
Büro des Staatstrojaner-Herstellers „Candiru“ mit Logo. – Alle Rechte vorbehalten Catering-Firma

RCIS, FinFisher, Pegasus – Polizei und Geheimdienste in Deutschland besitzen eine ganze Reihe an Staatstrojanern, mit denen sie Geräte hacken und überwachen. Die Liste gekaufter Schadsoftware könnte wohl noch länger sein, aber Bundesregierung und Behörden verweigern fast jede substantielle Auskunft. Möglicherweise kommt ein bisher wenig beachteter Staatstrojaner hinzu: Candiru.

Im Amazonas gibt es einen parasitären Fisch, dem nachgesagt wird, dass er in die Harnröhre von Männern schwimmen kann und dort Blut saugt. Deshalb wird er Harnröhrenwels oder Penisfisch genannt. Der lokale und englische Name ist „Candiru“. Diesen Namen hat sich eine israelische Staatstrojaner-Firma gegeben, wohl in Anlehnung an ihr Produkt.

Vor zwei Jahren enthüllte der israelische Journalist Amitai Ziv die Existenz der 2015 gegründeten Firma in der Tageszeitung Haaretz. Ein Eigentümer von Candiru hat zudem die Pegasus-Firma NSO gegründet: Isaac Zack. Wie NSO und andere israelische Hacking-Firmen rekrutiert Candiru viele Mitarbeiter vom Militär-Geheimdienst. Die Firma hat keine Webseite, scheut die Öffentlichkeit und ändert öfter den Namen.

Während andere Trojaner vor allem Smartphones angreifen, hat sich Candiru zunächst darauf spezialisiert, „Computer und Server“ zu hacken. Mittlerweile kann Candiru alle möglichen Systeme infizieren: iPhones, Androids, Macs, Windows-PCs und Cloud-Accounts. Als Einfallstor dienen unter anderem den Herstellern unbekannte Schwachstellen – ein Kernproblem von Staatstrojanern.

Im Juli haben CitizenLab und Microsoft über hundert Opfer der Candiru-Schadsoftware in der ganzen Welt gefunden, darunter Menschenrechtler:innen, Dissident:innen, Journalist:innen, Aktivist:innen und Politiker:innen. Ein Opfer war eine politisch aktive Person in Westeuropa, auf dessen Windows-Computer sie den Trojaner nachweisen konnten.

Die Angreifer nutzten für ihre Infrastruktur auch Namen und Domains anderer Organisationen, darunter NGOs wie Amnesty International, politische Bewegungen wie Black Lives Matter, Medien wie Deutsche Welle und France 24, internationale Organisationen wie Vereinte Nationen und Weltgesundheitsorganisation, aber auch die großen Tech-Firmen und Social-Media-Plattformen.

Ob Polizei oder Geheimdienste in Deutschland diesen Staatstrojaner gekauft haben, will die Bundesregierung nicht sagen. Bis vor ein paar Jahren haben sich zumindest Polizeibehörden schwer getan mit Staatstrojanern aus Israel. Mit dem Kauf von NSO Pegasus ist diese Beschränkung vorbei.

Bereits im Januar 2019 zitierte Haaretz eine ungenannte Quelle mit einem Hinweis in diese Richtung: „Wenn beispielsweise Deutschland offensive Cyber-Tools für eine Angelegenheit nationaler Sicherheit benötigt, entwickelt es diese definitiv selbst. Wenn Deutschland aber beispielsweise Menschenhandel aus der Türkei verfolgt, kauft es Cyber-Tools von außerhalb, wo das Thema weniger sensibel ist.“

Die linke Bundestagsabgeordnete hat Martina Renner hat die Bundesregierung gefragt, ob Bundesbehörden wie Bundeskriminalamt oder Bundesamt für Verfassungsschutz Staatstrojaner von Candiru nutzen. Das Innenministerium verweigert erneut jede Auskunft und beruft sich dabei auf das „Staatswohl“.

In seiner Antwort behauptet Bundes-CIO und Innenministerium-Staatssekretär Markus Richter, dass sich Kriminelle und Terroristen gegen Staatstrojaner schützen könnten, wenn die Namen der Statstrojaner-Firmen öffentlich werden. Deshalb müsse die Kontrolle von Parlament und Medien unterbleiben. Netzpolitik.org veröffentlicht die Antwort des Innenministeriums in Volltext.

Martina Renner (Die Linke) kritisiert diese Geheimhaltung. Gegenüber netzpolitik.org sagt sie:

„Die Bundesregierung hat bereits im Falle der Spähsoftware Pegasus der Firma NSO wie nunmehr auch im Fall von Candiru alle Auskünfte verweigert. Nachdem inzwischen eingeräumt wurde, dass Pegasus vom BKA eingesetzt wird, gehe ich davon aus, dass dies auch bei Candiru der Fall ist. Angesichts dieser Intransparenz muss das Vorgehen der Bundesregierung und der Behörden als unkontrollierbar bezeichnet werden.“

Quelle: Netzpolitk.org / Andre Meister, Creative Commons BY-NC-SA 4.0.

Posted by Robert Koop
Filed in Justiz und Verwaltung, Politik, Virtuelle Welt ·Schlagwörter: , , , , , , , , ,
Leave a Comment »

Cloud

15. April 2012

Kinder, wie die Zeit vergeht. Das Jahr ist rum und FoeBuD hat in Bielefeld vorgestern die diesjährigen Big Brother Awards (Foto lks.) verliehen. Für die Jüngeren unter meinen Lesern: Nein, das ist keine Aktion zur Erinnerung an eine geschmacksverirrte Fernsehshow sondern im Gedenken an George Orwells grandiosen Roman „1984„; sie sollen die öffentliche Diskussion um Privatsphäre und Datenschutz fördern und missbräuchlichen Umgang mit Technik und Informationen anprangern. Alljährlich werden die Negativ-Preise Firmen, Organisationen und Personen zuerkannt, die „in besonderer Weise und nachhaltig die Privatsphäre von Menschen beeinträchtigen oder persönliche Daten Dritten zugänglich machen“. Unter den sieben Preisträgern dieses Jahres diesmal zwei Innenminister, zwei Softwarefirmen und das sogenannte Cloud Computing. Der Verein zur „Förderung des öffentlichen bewegten und unbewegten Datenverkehrs“ (FoeBuD) vergibt seit dem Jahr 2000 die Anti-Auszeichnungen. Auch dieses Mal gab es übrigens kein Ja auf die schelmenhafte Frage an die Festversammlung, ob einer der Geehrten im Saal sei, um den Preis entgegen zu nehmen; wir sind schließlich nicht in den Niederlanden.

Der BigBrotherAward in der Kategorie Kommunikation ging an „die Cloud“ – als Trend, Nutzerinnen und Nutzern die Kontrolle über ihre Daten zu entziehen.  Beim Cloud Computing werden IT-Dienstleistungen aller Art „in’s Internet verlagert“, wie es so schön wolkig heißt. In Wirklichkeit aber landen sie auf Computern von Dienstleistern. Firmen erhoffen sich davon Kostenvorteile, Cloud-Lösungen gibt es längst auch für private Nutzungen, hierzulande beispielsweise Web.de oder auch flickr. Besonders viele Anbieter von „Cloud-Lösungen“ sind US-Unternehmen; sie alle sich gesetzlich verpflichtet, US-Behörden den Zugriff (!) auf alle (!) Daten (!) in ihren EDV-Systemen zu ermöglichen, auch wenn die Rechner nicht in den USA stehen. Das 2008 vom Bundesverfassungsgericht postulierte Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme wird damit eklatant verletzt.

Natürlich gab es auch wieder Auszeichnungen für unsere Innenminister, die hinter jedem  erst einmal einen tatsächlichen oder im günstigsten Fall potentiellen Straftäter sehen: Der sächsische Innenminister Markus Ulbig (CDU) bekam den Big Brother Award für die sog. Handy-Daten-Affäre. Nach einer Demonstration von 20.000 Menschen gegen einen Neonaziaufmarsch am 19. Februar 2011 in Dresden waren mehr als eine Million Datensätze von Handys ausgewertet worden, nur weil die Mobiltelefone da betrieben wurden, wo demonstriert wurde. Auch Bundesinnenminister Hans-Peter Friedrich (CSU) bzw. das unter seiner Ägide betriebene „Cyber-Abwehrzentrum“ sowie das Gemeinsame Abwehrzentrum gegen Rechtsextremismus seien „Datenkraken“, so die Datenschützer. Die Jury: Mit der geplanten Verbunddatei und den neuen Abwehrzentren werden Polizei, Geheimdienste und teilweise das Militär auf problematische Weise vernetzt und verzahnt – unter Missachtung des Verfassungsgebotes, nach dem diese Sicherheitsbehörden strikt voneinander getrennt sein und getrennt arbeiten müssen.

Preiswürdig war für die Datenschützer auch die Spionagesoftware „FinFisher“ der deutschen Niederlassung der Gamma Group, „namentlich den Prokuristen Stephan Oelkers. Gamma (Screenshot re.) werbe damit, dass Sicherheitslücken im Apple-Shop iTunes und im Kommunikationsdienst Skype genutzt würden, um etwa mit gefälschten Updates Spionagesoftware auf andere Rechner einzuschleusen. Die Software werde an Geheimdienste und staatliche Einrichtungen im In- und Ausland verkauft.

Schon zum zweiten Mal wurde das  Onlinespiel-Unternehmen Blizzard Entertainment („World of Warcraft“) wegen massiver Datenschutzverletzungen ausgezeichnet. Bei dem populären World of Warcraft  (Logo re.) ließen sich aus der protokollierten Spieldauer, erhobenen Rechnerdaten, dem Abgleich von Freundeslisten und dem Spielerverhalten Persönlichkeitsprofile und

Charakterstudien erstellen. Blizzard Entertainment dokumentiert „so ziemlich jede einzelne Datenspur der Spieler von World of Warcraft – sogar die Art und Weise, wie jemand ein

e bestimmte Aufgabe gelöst hat“. „Psychologen können daraus ablesen, wer eine militärische Laufbahn einschlagen könnte, wer in der Bankbonität herabgestuft werden sollte, wer über Führungsqualitäten verfügt, wer potenziell spielsüchtig oder wahrscheinlich arbeitslos ist,“ so Laudator Frans Valenta vom Forum InformatikerInnen für Frieden und gesellschaftliche Verantwortung (FifF).

Die Tiefkühlkost-Firma „Bofrost“ (Firmenlogo re.) erhielt einen „BigBrotherAward“, weil sie heimlich Computer des Betriebsrates ausgespäht hatte. Bofrost verwendete die Dateiinformation eines dort gefundenen Schreibens, um einem Betriebsratsmitglied zu kündigen. Das Arbeitsgericht hat die Unzulässigkeit dieses Vorgehens bestätigt. Auf dem Computer eines anderen Betriebsrats wurde ohne Zustimmung des Betriebsrats die Fernbedienungssoftware Ultra VNC installiert und erst nach gerichtlichem Vergleich wurde zugesichert, dies in Zukunft zu unterlassen.

Ebenfalls einen Negativpreis bekam das Projekt „Schoolwater“ der Firma Brita GmbH (Logo re). Das vermarktet Leitungswasser an Schulen: Mittels eines RFID-Schnüffelchips wird kontrolliert, wer Wasser zapfen darf und wer nicht und wie oft. Laudator padeluun monierte besonders, die Vermarktung von Wasser als Lebensmittel, das in Flaschen gekauft werden muss, die mit einer kleingeistigen Übertechnisierung und Gewöhnung von Kindern an Überwachungstechnik einhergeht: Warum können Schülerinnen und Schüler nicht ganz einfach Wasser abzapfen?

Zum ersten Mal gab es auch lobende Erwähnungen, so für den Hessischen Rundfunk, der die Abgabe der ELENA-Daten verweigerte, und für Thilo Weichert, den Datenschutzbeauftragter von Schleswig-Holstein für seinen Einsatz gegen Facebook.

Alle Preisträger und Laudationes finden sich auf der Website www.bigbrotherawards.de.

(Foto: © FoeBuD, Thorsten Möller)

Posted by Robert Koop
Filed in ganz was anderes, Justiz und Verwaltung, Niederlande, Personalia, Wirtschaft ·Schlagwörter: , , , , , , , , , , , , , ,
Leave a Comment »