Beratung

​​Staatstrojaner: Die unsichtbaren Spione im digitalen Zeitalter

Aktualisiert am

Trojaner stammen nicht mehr nur von bösartigen Angreifern, sondern können auch von Staaten verbreitet werden. Diese sogenannten Staatstrojaner sind derzeit Bestandteil großer Diskussionen um die Sicherheit und den Verbraucherschutz des einzelnen Bürgers geworden. Denn eines stellt ein Staatstrojaner ganz sicher infrage, nämlich die Privatsphäre des einzelnen Individuums.

Wenn Staaten in Computer- und Netzwerksysteme eindringen, um für vermeintlich mehr Sicherheit zu sorgen, können zudem immer auch Daten abgefragt werden, die rein gar nichts mit der Sicherheit zu tun haben. Die Gefahr, dass solche Überwachungsmaßnahmen ausufern, ist allgegenwärtig und sehr reell. Wo also herrscht eine gesunde Balance zwischen staatlicher Spionage für mehr Sicherheit und der Privatsphäre des einzelnen Menschen?

Eine spannende Frage, dachten wir uns auch und haben das Thema für einen Artikel auserkoren. Hier erfahren Sie nun alles, was Sie zu Staatstrojanern, deren Entwicklung und ihren möglichen Auswirkungen auf das Leben jedes Einzelnen von uns wissen sollten.

Entwicklung der Staatstrojaner

Dass Staaten großangelegte Überwachungen durchführen oder gezielte Cyberspionage betreiben, sollte für niemanden mehr eine Überraschung darstellen. Staatstrojaner sind hier nur ein weiterer Faktor, der gerne in Bezug auf den Kampf gegen Terrorismus oder Kriminalität aufgeführt wird. Ein Mittel zum Zweck, welches für die Sicherheit im eigenen Land angeblich unumgänglich ist.

Mithilfe dieser Staatstrojaner ist es Regierungen und Behörden möglich, in Computersysteme und Netzwerke einzugreifen und Verdächtige so noch umfangreicher zu überwachen. Damit wird der Staatstrojaner zu einer Art Abhörmedium, nur eben für den digitalen Raum. Ist der Staatstrojaner einmal auf einem Gerät installiert, gelangen staatliche Organisationen an nahezu alle Informationen, die darauf gespeichert sind.

In Zeiten der Digitalisierung ist das Thema zunehmend größer und kontroverser diskutiert worden. Inwiefern haben Staaten das Recht, solche Tools auch gegen die eigenen Bürger einzusetzen? Schließlich sind Trojaner oft eher bösartiger Natur und dienen nicht nur der Strafverfolgung, sondern auch den Zielen von Kriminellen. Setzen Staaten hier also kriminelle Tools ein, um vermeintlich ehrbare Ziele zu verfolgen?

Wie staatliche Überwachungssoftware funktioniert

Staatstrojaner werden sehr durchdacht auf Zielgeräten installiert. Das geschieht entweder durch geschicktes Social Engineering oder durch eine Infiltration über vorhandene Sicherheitslücken im Zielsystem. Im Grunde gehen hier staatliche Hacker ebenso vor wie bösartige Hacker, die Unternehmen angreifen. Es wird eine Schwachstelle gesucht, um diese gezielt auszunutzen und darüber dann den entsprechenden Trojaner einzuschleusen.

Ist der Staatstrojaner erst einmal installiert, kann er unzählige Funktionen ausführen. Das Mitschneiden von Tastatureingaben gehört ebenso dazu, wie das Aufnehmen von Gesprächen oder die Aktivierung der Webcam, um ein Bild des infiltrierten Gerätes zu erhalten. Auch können Festplatten durchsucht und Dateien übertragen werden, wobei der Trojaner selbst seine Spuren meist verwischt und sogar Selbstzerstörungsmechanismen enthalten kann, um unter gar keinen Ständen entdeckt zu werden.

Die Gefahr für Bürger liegt bei Staatstrojanern in den undurchsichtigen Praktiken für ihren Einsatz. Vielfältig scheint es keinen ausreichenden Grund für den Einsatz eines solchen Trojaners zu geben. Auch in Bezug auf die Transparenz und eine mögliche Rechenschaftspflicht sind die Staatstrojaner stets kontrovers diskutiert worden.

Auswirkungen auf die Menschen

Der erlaubte Einsatz von Staatstrojanern hat eine vielfältige Auswirkung auf die Menschen. Denn im Grunde handelt es sich um staatlich erlaubtes Hacking und einen Eingriff in den Datenschutz, der sich nicht mehr ohne Weiteres rückgängig machen lässt. Genau das beklagen auch Verbraucherschützer, die den gewöhnlichen Bürger ebenso in Gefahr sehen wie den kriminellen Verdächtigen.

Derartige Überwachungstechniken besitzen nämlich stets das Potenzial, umfangreich missbraucht zu werden. Zudem besteht das realistische Risiko, dass bekannte Sicherheitslücken und Schwachstellen nicht mehr gemeldet und somit geschlossen werden, weil ein Staatstrojaner diese erfolgreich ausnutzen könnte. Das wiederum beeinflusst dann die Cybersicherheit im Allgemeinen. 

Verbraucherschutzorganisationen setzen sich daher für eine möglichst hohe Transparenz ein und klären über die möglichen Gefahren, die von Staatstrojanern ausgehen, umfangreich auf. Dazu gehört es auch, für besondere Rechenschaftspflichten zu kämpfen oder den Einsatz nur unter strengen Voraussetzungen zu legalisieren. Die Anwendung von solchen halb legalen Tools sollte immer streng überwacht und nach Möglichkeit stark kontrolliert werden.

Staatstrojaner in Unternehmen

Auch Unternehmen können Ziel eines Staatstrojaners werden. Dies könnte aufgrund eines Verdächtigen im Unternehmen passieren oder durch einen ganz anderen Staat und im Bereich der Spionage stattfinden. Vieles ist diesbezüglich denkbar, weshalb ein clever eingerichtetes Informationssicherheit-Management-System (ISMS) unabdingbar für die Cybersicherheit im eigenen Unternehmen zu sein scheint. 

Auf rechtlicher Seite sollten Unternehmen sich dauerhaft für Rahmenbedingungen und Kontrollmechanismen einsetzen, die den Einsatz von Staatstrojanern betreffen. Ist dieser Rahmen nicht gegeben, ist die Gefahr für einen unrechtmäßigen Einsatz entsprechend hoch. Deshalb sollte niemand leichtgläubig zustimmen, wenn der Einsatz von Staatstrojanern mit der Bekämpfung von Terrorismus legitimiert werden soll. Dies kann unter Umständen auch nur ein vorgeschobener Grund sein, um entsprechende Abhörmaßnahmen realisieren zu können.

Häufig scheint es dabei so, als möchten die staatlichen Organe möglichst schnell einen Staatstrojaner einschleusen. Für Unternehmen bedeutet dies in erster Linie, die Security Awareness innerhalb der eigenen Organisation entsprechend voranzutreiben, um nicht selbst das Ziel eines solchen Trojaners zu werden. Aufklärung sorgt vor und sensibilisiert alle Mitarbeiter, auf typische Anzeichen für einen Befall gesondert zu achten.

Wie gefährlich sind Staatstrojaner wirklich?

Sie haben sicherlich schon einmal von dem Staatstrojaner Pegasus gehört. Die NSO Group verkauft dieses mächtige Spionagewerkzeug ausschließlich an Staaten und angeblich nur mit entsprechender Begründung. Die Skandale rund um Pegasus sprechen allerdings eine andere Sprache. Dazu recherchierten viele deutsche Medien, unter anderem auch Zeit Online.

Staats- und Regierungschefs wurden überwacht, Kritiker am System und unliebsame Journalisten gezielt ausgespäht. Länder wie Frankreich oder die Niederlande gehören zu der Kundschaft, und auch Deutschland hat sich Pegasus von der NSO Group bereits vorführen lassen, war begeistert, entschied sich letztlich aber nicht für den Kauf des Trojaners. All das zeigt jedoch, wie viel Interesse auch in Deutschland an derartigen Techniken herrscht.

Die Gefahr solcher Trojaner besteht immer darin, dass sie unglaublich mächtig sind und oft unentdeckt bleiben. Sie spionieren nicht nur vermeintliche Kriminelle aus, sondern dienen auch der Spionage im Allgemeinen. Da es schwer ist herauszubekommen, was für Daten abgeführt wurden, sind sie eine Gefahr für die freie Gesellschaft. Auch deshalb, weil sie in der Vergangenheit schon oft von Staaten verwendet wurden, um Systemkritiker zu überwachen, zu erpressen oder gar stumm zu schalten. Dagegen sollten sich Unternehmen, genau wie auch Privatpersonen, zur Wehr setzen.

Foto des Autors

Jan Hörnemann

Ich bin Jan Hörnemann, TeleTrust Information Security Professional (T.I.S.P.) und seit 2016 leidenschaftlich in der Welt der Informationssicherheit unterwegs. Mein Master of Science in Internet-Sicherheit hat mir ein fundiertes Verständnis für verschiedene Aspekte dieser Branche vermittelt, das ich in meiner laufenden Promotion kontinuierlich ausbaue. In der AWARE7 bin ich Chief Operating Officer und Prokurist, gleichzeitig koordiniere ich die Abteilungen "Informationssicherheit" und "Offensive Services" und sorge dafür, dass alle Projekte reibungslos ablaufen.