Candiru

22. September 2021

Die Bundesregierung will nicht sagen, ob deutsche Behörden den Staatstrojaner Candiru nutzen. Die Antwort könnte das Staatswohl gefährden. CitizenLab und Microsoft haben über hundert Opfer der israelischen Schadsoftware gefunden, darunter eine politisch aktive Person in Westeuropa.

Büro mit Catering
Büro des Staatstrojaner-Herstellers „Candiru“ mit Logo. – Alle Rechte vorbehalten Catering-Firma

RCIS, FinFisher, Pegasus – Polizei und Geheimdienste in Deutschland besitzen eine ganze Reihe an Staatstrojanern, mit denen sie Geräte hacken und überwachen. Die Liste gekaufter Schadsoftware könnte wohl noch länger sein, aber Bundesregierung und Behörden verweigern fast jede substantielle Auskunft. Möglicherweise kommt ein bisher wenig beachteter Staatstrojaner hinzu: Candiru.

Im Amazonas gibt es einen parasitären Fisch, dem nachgesagt wird, dass er in die Harnröhre von Männern schwimmen kann und dort Blut saugt. Deshalb wird er Harnröhrenwels oder Penisfisch genannt. Der lokale und englische Name ist „Candiru“. Diesen Namen hat sich eine israelische Staatstrojaner-Firma gegeben, wohl in Anlehnung an ihr Produkt.

Vor zwei Jahren enthüllte der israelische Journalist Amitai Ziv die Existenz der 2015 gegründeten Firma in der Tageszeitung Haaretz. Ein Eigentümer von Candiru hat zudem die Pegasus-Firma NSO gegründet: Isaac Zack. Wie NSO und andere israelische Hacking-Firmen rekrutiert Candiru viele Mitarbeiter vom Militär-Geheimdienst. Die Firma hat keine Webseite, scheut die Öffentlichkeit und ändert öfter den Namen.

Während andere Trojaner vor allem Smartphones angreifen, hat sich Candiru zunächst darauf spezialisiert, „Computer und Server“ zu hacken. Mittlerweile kann Candiru alle möglichen Systeme infizieren: iPhones, Androids, Macs, Windows-PCs und Cloud-Accounts. Als Einfallstor dienen unter anderem den Herstellern unbekannte Schwachstellen – ein Kernproblem von Staatstrojanern.

Im Juli haben CitizenLab und Microsoft über hundert Opfer der Candiru-Schadsoftware in der ganzen Welt gefunden, darunter Menschenrechtler:innen, Dissident:innen, Journalist:innen, Aktivist:innen und Politiker:innen. Ein Opfer war eine politisch aktive Person in Westeuropa, auf dessen Windows-Computer sie den Trojaner nachweisen konnten.

Die Angreifer nutzten für ihre Infrastruktur auch Namen und Domains anderer Organisationen, darunter NGOs wie Amnesty International, politische Bewegungen wie Black Lives Matter, Medien wie Deutsche Welle und France 24, internationale Organisationen wie Vereinte Nationen und Weltgesundheitsorganisation, aber auch die großen Tech-Firmen und Social-Media-Plattformen.

Ob Polizei oder Geheimdienste in Deutschland diesen Staatstrojaner gekauft haben, will die Bundesregierung nicht sagen. Bis vor ein paar Jahren haben sich zumindest Polizeibehörden schwer getan mit Staatstrojanern aus Israel. Mit dem Kauf von NSO Pegasus ist diese Beschränkung vorbei.

Bereits im Januar 2019 zitierte Haaretz eine ungenannte Quelle mit einem Hinweis in diese Richtung: „Wenn beispielsweise Deutschland offensive Cyber-Tools für eine Angelegenheit nationaler Sicherheit benötigt, entwickelt es diese definitiv selbst. Wenn Deutschland aber beispielsweise Menschenhandel aus der Türkei verfolgt, kauft es Cyber-Tools von außerhalb, wo das Thema weniger sensibel ist.“

Die linke Bundestagsabgeordnete hat Martina Renner hat die Bundesregierung gefragt, ob Bundesbehörden wie Bundeskriminalamt oder Bundesamt für Verfassungsschutz Staatstrojaner von Candiru nutzen. Das Innenministerium verweigert erneut jede Auskunft und beruft sich dabei auf das „Staatswohl“.

In seiner Antwort behauptet Bundes-CIO und Innenministerium-Staatssekretär Markus Richter, dass sich Kriminelle und Terroristen gegen Staatstrojaner schützen könnten, wenn die Namen der Statstrojaner-Firmen öffentlich werden. Deshalb müsse die Kontrolle von Parlament und Medien unterbleiben. Netzpolitik.org veröffentlicht die Antwort des Innenministeriums in Volltext.

Martina Renner (Die Linke) kritisiert diese Geheimhaltung. Gegenüber netzpolitik.org sagt sie:

„Die Bundesregierung hat bereits im Falle der Spähsoftware Pegasus der Firma NSO wie nunmehr auch im Fall von Candiru alle Auskünfte verweigert. Nachdem inzwischen eingeräumt wurde, dass Pegasus vom BKA eingesetzt wird, gehe ich davon aus, dass dies auch bei Candiru der Fall ist. Angesichts dieser Intransparenz muss das Vorgehen der Bundesregierung und der Behörden als unkontrollierbar bezeichnet werden.“


Quelle: Netzpolitk.org / Andre Meister, Creative Commons BY-NC-SA 4.0.

Der Bundestag hat die beiden Staatstrojaner-Gesetze angenommen. Das neue Verfassungsschutz-Recht erlaubt allen 19 deutschen Geheimdiensten die „Quellen-TKÜ plus“. Was die Große Koalition als Sicherheitsgewinn feiert, schafft neue Sicherheitsrisiken und ist möglicherweise verfassungswidrig.

Der Bundestag hat gestern mit einer Mehrheit von 355 Stimmen aus CDU/CSU und SPD das Gesetz zur Anpassung des Verfassungsschutzrechts angenommen. Es erlaubt allen 19 Geheimdiensten Geräte wie Smartphones oder Computer mit Staatstrojanern zu hacken. Alle Oppositionsparteien haben das Gesetz zuvor heftig kritisiert und dagegen gestimmt. Aus dem namentlichen Abstimmungsergebnis wird deutlich, dass auch fünf Mitglieder der SPD-Fraktion gegen das Gesetz stimmten, drei enthielten sich. 34 Abgeordnete der Regierungsparteien gaben keine Stimme ab, darunter auch die SPD-Abgeordnete  Daniela de Ridder (Bad Bentheim).

Bereits am Dienstagabend hatte sich die Große Koalition auf einen Änderungsantrag geeinigt. Mit dem Gesetz bekommen die Verfassungsschutzämter auf Bundes- und Länderebene, der Militärische Abschirmdienst und der Bundesnachrichtendienst die Erlaubnis, Geräte zu hacken um Kommunikation auszulesen.

Außerdem verpflichtet das Gesetz Internet-Provider, bei der Installation von Schadsoftware zu helfen. Andere Telekommunikationsanbieter wie Messenger- oder E-Maildienste sind davon ausgenommen. Die G-10-Kommission soll um sechs Richter:innen verstärkt die Fälle kontrollieren, in denen Staatstrojaner zum Einsatz kommen.

Die Quellen-Telekommunikationsüberwachung (Quellen-TKÜ), auch „kleiner Staatstrojaner“ genannt, bedeutet, dass Behörden Schadsoftware auf Geräten installieren und ab diesem Zeitpunkt laufende Kommunikation überwachen. Der große Staatstrojaner, die „Online-Durchsuchung“, leitet nicht nur laufende, sondern auch gespeicherte Daten aus – zum Beispiel ältere Chatnachrichten, die vor der Installation der Schadsoftware gesendet und empfangen wurden.

Bei der nun beschlossenen Verfassungsschutzrechts-Novelle handelt es sich um einen Kompromiss aus kleinem und großem Staatstrojaner: die „Quellen-TKÜ plus“. Diese ermöglicht den Zugriff auf laufende Kommunikation plus die Kommunikation, die vor Installation der Schadsoftware, aber nach Anordnung der Überwachungsmaßnahme stattgefunden hat.

Ursprünglich wollte Innenminister Horst Seehofer mit seinem ersten Gesetzentwurf im März 2019 den großen Staatstrojaner für BND und Verfassungsschutz durchsetzen. Damals stieß das noch auf heftige Kritik beim Koalitionspartner SPD. Die Parteivorsitzende Saskia Esken sagte, sie lehne Staatstrojaner ab, die SPD werde das Vorhaben der Union nicht unterstützen.

Der zweite Gesetzentwurf des Innenministeriums im Juni 2019 sah dann den kleinen Staatstrojaner vor – aber für alle 19 Geheimdienste. Und die Kritik der SPD verstummte mehr und mehr: Im Oktober 2020 setzte sich das Innenministerium mit seinem Vorschlag durch und die Koalition einigte sich, alle Geheimdienste mit Staatstrojanern auszustatten.

Viele Sachverständige und Jurist:innen schätzen die Quellen-TKÜ als verfassungswidrig ein, da sie weit in die Grundrechte eingreift. Die Gesellschaft für Freiheitsrechte erwägt, gegen die Regelung zu klagen. Gegen andere Gesetze, die den Einsatz von Staatstrojanern erlauben, laufen bereits Verfahren vor dem Bundesverfassungsgericht.

Auch die Organisation Reporter ohne Grenzen kündigte gestern an, mit dem Berliner Rechtsanwalt Prof. Niko Härting Verfassungsbeschwerde einzulegen. Sie sieht die Pressefreiheit und den digitalen Quellenschutz durch das Gesetz bedroht. „Einen so massiven Angriff auf die Vertraulichkeit journalistischer Recherchen und die Anonymität von Quellen dürfen wir nicht hinnehmen“, so Geschäftsführer Christian Mihr.

Kritik an den Staatstrojanern vereint auch internationale Tech-Konzerne wie Google und Facebook mit zivilgesellschaftlichen Organisationen wie dem Chaos Computer Club, die sich in einem offenen Brief gegen diese Form von Überwachung wehren.

Die Unionsfraktion begründet den Einsatz von Staatstrojanern damit, dass man den Verfassungsschutz so auf den Stand der Technik bringe. „Als die Leute sich noch mit Rauchzeichen oder Topfschlagen verständigt haben, da konnte jeder mithören“, so der CDU Abgeordnete Mathias Middelberg (Osnabrück) in der Aussprache im Bundestag. Die Quellen-TKÜ plus sei einfach „die Anpassung an technische Verhältnisse“ und wichtig, um Terrorismus abzuwehren und die innere Sicherheit zu verbessern.

Es sei „ein guter Tag für die Sicherheit in Deutschland“, meinte der CSU-Abgeordnete Michael Kuffer im Bundestag. „Ein massives Sicherheitsproblem, was sie hier veranstalten“, nannte es der Grünen-Abgeordnete Konstantin von Notz. Auch Stephan Thomae von der FDP warnte vor dem Sicherheitsrisiko, das Staatstrojaner mit sich bringen.

Um Staatstrojaner zu installieren, müssen Behörden IT-Sicherheitslücken auf Geräten ausnutzen. Es entsteht also ein Anreiz, bekannte Sicherheitslücken offen zu halten. Und das kann der inneren Sicherheit mehr schaden als nützen.

Dieses Problem kennt die SPD-Parteivorsitzende Esken. Sie schrieb noch am Tag vor der Abstimmung, dass sie die beschlossenen Mittel falsch findet, denn sie „schaden der Idee demokratischer Netze und unser aller Sicherheit.“ Sie stimmte aber im Bundestag nicht dagegen, sondern gab gar keine Stimme zu dem Gesetz ab. Die Jugendorganisation der SPD versuchte kurz vor der Abstimmung mit einem offenen Brief, die Bundestagsfraktion von ihrer Zustimmung zum Gesetz abzuhalten.

Vergeblich: Kurz vor dem Ende der Legislaturperiode haben SPD und Union gleich zweimal grünes Licht für Staatstrojaner gegeben. Denn auch für die Bundespolizei hat die Große Koalition den Einsatz von Staatstrojanern in dieser vorletzten Sitzungswoche des Bundestags ausgeweitet. Die Polizei darf die Überwachungsmethoden schon anwenden, wenn noch gar keine Straftat begangen wurde.


Ein Beitrag von (CC netzpolitik.org)

Alle 19

23. Oktober 2020

Alle 19 Geheimdienste von Bund und Ländern dürfen demnächst heimlich Geräte hacken. Die Bundesregierung hat einen entsprechenden Gesetzentwurf beschlossen. Lange hatte die SPD Bauchschmerzen, jetzt ist sie umgekippt. Auch die Vorsitzende Saskia Esken war dagegen, jetzt trägt sie den Kompromiss mit.

Die Bundesregierung hat am Mittwoch beschlossen, allen Geheimdiensten des Bundes und der Länder den Einsatz von Staatstrojanern zu erlauben. Das Kabinett hat den Gesetzentwurf zur Anpassung des Verfassungsschutzrechts angenommen.

Im März 2019 hatte das Innenministerium einen ersten Gesetzentwurf erarbeitet. Damals sollten Bundesamt für Verfassungsschutz und Bundesnachrichtendienst die Online-Durchsuchung bekommen. Die SPD war dagegen.

Im Juni 2020 legte das Innenministerium einen zweiten Gesetzentwurf vor. Damit sollten alle 19 Bundes- und Landesgeheimdienste die Quellen-TKÜ bekommen. Teile der SPD waren dafür, die Parteivorsitzende Saskia Esken war dagegen.

Mit dem jetzt beschlossenen Gesetzentwurf der Bundesregierung hat sich Innenminister Horst Seehofer (CSU) durchgesetzt. Der Staatstrojaner wird nicht auf den Bundes-Verfassungsschutz oder den Auslandsgeheimdienst BND beschränkt, neben dem Militärgeheimdienst MAD dürfen auch alle 16 Landesämter für Verfassungsschutz Endgeräte hacken, um Kommunikation auszuleiten.

Eine zunächst diskutierte Beschränkung auf Fälle, in denen Anschläge unmittelbar bevorstehen und ausländische Geheimdienste bereits Informationen geliefert haben, findet sich nirgends. Damit können die Landesämter alle ausspionieren, die sie beobachten, beispielsweise den Verein der Verfolgten des Naziregimes in Bayern oder Ende Gelände in Berlin.

Auch die umstrittene Verpflichtung von Internet-Anbietern, bei der Installation der Schadsoftware zu helfen, ist im aktuellen Gesetzentwurf enthalten.

Zur Frage der IT-Sicherheit verliert die Bundesregierung kein Wort. Gestern haben Innenministerium und BSI vor einem weiteren Anstieg von Sicherheitslücken und Schadprogrammen gewarnt. Heute wird beschlossen, dass immer mehr Behörden Sicherheitslücken lieber offen halten sollen statt sie zu schließen. Das gefährdet die innere Sicherheit der ganzen Gesellschaft.

Krassestes Überwachungsgesetz der Legislaturperiode

Mit dem aktuellen Gesetz setzt die Große Koalition ihre bekannte Linie konsequent fort. In der letzten Legislaturperiode hat sie den Einsatz von Staatstrojanern für die Polizei massiv ausgeweitet, von der Verhinderung von Terroranschlägen zur Verfolgung von Alltagskriminalität. Damals bezeichneten wir das als krassestes Überwachungsgesetz der Legislaturperiode. Dafür ist auch dieses Gesetz ein guter Kandidat.

Damals wie heute ist die Linie von CDU/CSU von Anfang an eindeutig. Damals wie heute blinkt die SPD erst links, um dann rechts abzubiegen. Auch gegen die Überzeugung der mächtigsten Netzpolitikerin der Bundesrepublik.


Ein Beitrag von andre auf Netzpolitk.org. Creative Commons BY-NC-SA 4.0.
Foto: Bundesnachrichtendienst (BND) in Berlin. / Andi Weiland (CC BY-SA 4.0 cropped)

Im März veröffentlichte Netzpolitik.org den Gesetzentwurf zur „Harmonisierung des Verfassungsschutzrechts“ aus Horst Seehofers Innenministerium. Durch den seitdem vielfach kritisierten Entwurf sollen die Befugnisse des Verfassungsschutzes und des Bundesnachrichtendienstes ausgeweitet werden. Mit dabei: Staatstrojaner für Verfassungsschutz und BND.

Vier Monate nach der Veröffentlichung des Gesetzesentwurfes beschreibt der Rechtsprofessor Frederik Roggan einen weiteren Kritikpunkt: das neue Gesetz würde gegen die Unverletzlichkeit der Wohnungverstoßen. Denn die Verfassungsschützer sollen zukünftig ohne richterlichen Beschlussin Wohnungen einzudringen dürfen, um Staatstrojaner auf Computern und Smartphones zu installieren.

Wohnungseinbruch, Sicherheitslücken oder Mails mit Schadsoftware?

Auch wenn die Befugnisse zum Staatstrojaner-Einsatz – vor allem für die Polizei – in der Vergangenheit immer wieder erweitert wurden: Wie die Überwachungsmittel auf ein Gerät kommen, war weitgehend ungeklärt. Offengelassene Sicherheitslücken, Mail-Anhänge mit Schadsoftware oder heimliche Installation direkt auf dem Gerät? Es bestand Rechtsunsicherheit. Manche Rechtwissenschaftler verneinen, dass die Polizei zur Trojanerinstallation einfach in Wohnungen eindringen oder Nachrichten mit falschem Absender versenden dürfte. Auch dass die Polizei sich Sicherheitslücken in IT-Systemen zu nutze machen kann, halten sie für zweifelhaft. Mit dem neuen Gesetz will Seehofers Ministerium diese Hürde, zumindest für den Inlandsgeheimdienst, verkleinern.

Der Text für das neue Verfassungsschutzgesetz ist in verschachtelten Sätzen formuliertund mit Paragraphen versehen, die sich auf Paragraphen beziehen, die sich wiederum auf Paragraphen beziehen. Und so brauchte es vier Monate, einen erfahrenen Rechtsprofessor und die Veröffentlichung des kompletten Gesetzestextes, um die geplanten Änderungen in diesem Ausmaß zu entziffern. Ein kurzer Hinweis von Legal Tribute Online im März bekam keine breite Öffentlichkeit.

Das zeigt, dass es wichtig ist, Gesetzesentwürfe so früh wie möglich zu veröffentlichen. Denn nur wenn sich viele Journalistinnen, Rechtswissenschaftler/innen und andere die Vorhaben der Regierung anschauen können, lassen sich solche kritischen Stellen entdecken.

SPD: Entwurf ist nicht von Koalitionsvertrag gedeckt

Bereits im März hatte das Justizministerium unter der damaligen Justizministerin Katarina Barley den Vorschlag in Gänze abgelehnt und auf den Koalitionsvertrag verwiesen. In diesem waren eine maßvolle“, aber „sachgerechte Kompetenzerweiterung für den Verfassungsschutz vereinbart worden, gekoppelt an eine Stärkung der parlamentarischen Kontrolle. Diese Voraussetzung sah Burkhard Lischka, Innenpolitischer Sprecher der SPD-Bundestagsfraktion, in Seehofers Entwurf nicht.

Katarina Barley war im März bereits als Spitzenkandidatin der Sozialdemokraten für die Europawahl benannt. Dass es eine Nachfolgerin für sie als Justizministerin geben müsste, war klar. Wer das sein würde und ob diese das Gesetz ebenso ablehnen würde jedoch nicht. Zu ihrer Nachfolgerin ist Christine Lambrecht (Foto lks) geworden. Sie sagte in einem Interview letzten Monat, man prüfe „maßvolle Kompetenzerweiterungen“ für den Verfassungsschutz. Damit müsse aber eine „Ausweitung parlamentarischer Kontrolle verbunden sein“:

Ich werde mich mit meinem Kollegen Seehofer für ein erstes Gespräch in den nächsten zwei Wochen zusammensetzen und auch über diese Frage sprechen.

Nach einer kompletten Ablehnung hört sich das nicht mehr an. In den nächsten Wochen wird sich zeigen, wie der Kompromiss zwischen Innen- und Justizministerium aussehen wird.


Ein Beitrag von Christine Lambrecht auf Netzpolitkk.org Creative Commons BY-NC-SA 4.0.

Foto: Christiane Lambrecht Copyright: BMJV/Thomas Koehler/ photothek