Das riskante Geschäft mit Sicherheitslücken

Der Kauf von Überwachungssoftware durch die Zürcher Kantonspolizei sei korrekt abgelaufen, sagt die GPK. Einfach kommt man nicht an solche Programme.

Feedback

Tragen Sie mit Hinweisen zu diesem Artikel bei oder melden Sie uns Fehler.

Auch wenn es die vielen Enthüllungen um den Whistleblower Edward Snowden vielleicht vermuten lassen: Moderne digitale Kommunikation ist kein Selbstbedienungsladen. Aus den Unmengen an Daten etwas herauszufiltern, ist äusserst aufwendig. Noch schwieriger ist es, gezielt eine einzelne Person zu überwachen oder gar auf ihren Computer oder ihr Smartphone zuzugreifen.

Wie schwierig das ist, zeigt der kürzlich öffentlich ausgetragene Streit zwischen Apple und dem amerikanischen FBI. Die Untersuchungsbehörden wollten wissen, was auf dem Smartphone eines Attentäters gespeichert sei. Um an die Daten zu gelangen, verlangten sie von Apple Hilfe. Der iPhone-Konzern weigerte sich aus Angst um die Sicherheit all seiner Kunden. Der Streit wurde (bis auf weiteres) beigelegt, nachdem das FBI bekannt gegeben hatte, ein Programm gekauft zu haben, mit dem sich das iPhone habe entsperren lassen.

Einkaufen bei «Spezialisten»

Eingekauft hatte das FBI bei nicht näher genannten «Spezialisten». Der Preis lag laut dem FBI-Chef über dem, was er in den verbleibenden sieben Jahren und vier Monaten bis zu seiner Pensionierung verdienen werde: 1,3 Millionen Dollar. Die Zahl wurde später von ungenannten Regierungsquellen auf unter 1 Million korrigiert.

Was hier passiert ist, ist kein Einzelfall. Im Zentrum all dieser Fälle stehen Sicherheitslücken. Software wird immer komplexer. Es liegt in der Natur der Sache, dass sich in den Abermillionen von Programmiercode-Zeilen Fehler einschleichen oder mal etwas übersehen wird.

Die Suche nach solchen Fehlern ist lukrativ. Computerfirmen zahlen in vielen Fällen eine Belohnung, wenn man solche Fehler meldet. Aber nicht nur die Softwarehersteller sind daran interessiert. Verbrecher und Untersuchungsbehörden sind es ebenso, erlauben doch kleinste Fehler im Programmiercode, in Computersysteme einzubrechen.

Wie das passiert, hängt von der Sicherheitslücke ab. Im bequemsten Fall kann man von seinem Büro auf den Computer oder das Smartphone zugreifen, im aufwendigsten Fall muss man direkt Zugang zum Gerät haben. Das Verschicken von E-Mail-Anhängen mit versteckter Software ist nur eine von vielen Methoden.

Der Bericht der Geschäftsprüfungskommission (GPK) erwähnt etwa ein spezielles Gerät, das die Kommunikation zwischen einem Computer und einem WLAN-Router abfangen kann. Lädt die Person etwas aus dem Internet herunter, kann unbemerkt zusätzliche Software mitgeschickt werden.

Ob man dabei von Trojanern - oder Govware, wie es Behörden lieber nennen - spricht, ist genauso zweitrangig wie der Streit, ob man Atomkraftwerk oder Kernkraftwerk sagt. Die Funktion dieser Software ist dieselbe: Sie erlaubt den Fernzugriff auf fremde Computer oder Smartphones.

Kopieren und manipulieren

Einmal in einem System, kann man je nach verwendeter Software Programme installieren, Daten kopieren, verschlüsselte Nachrichten mitlesen, Telefonate mitschneiden, die Webcam aktivieren, Dateien verändern oder gar kompromittierendes Material platzieren.

Wie geschäftstüchtig solche Sicherheitslücken verkauft werden, zeigt erneut das Beispiel mit Apple und dem FBI. Nachdem das Smartphone entsperrt war, teilte das FBI auf Anfrage mit, man könne die Sicherheitslücke nicht an Apple weiterleiten, da die Behörde nicht das Recht gekauft habe, die technischen Details anzuschauen.

Sicherheitslücken sind ein vergängliches Handelsgut. Einmal publik, werden sie wertlos: Softwarehersteller schliessen mit Updates die Lücken, Virenscanner schlagen Alarm. Letzteres ist im Fall des italienischen Hacking-Team, bei dem die Kantonspolizei Zürich eingekauft hat, passiert. Die Firma wurde selbst gehackt, und zahlreiche Dokumente wurden im Internet publiziert.

Hersteller von Virenscannern reagierten. Die Software wurde von den Scannern erkannt und war damit faktisch wertlos, wie es im Bericht der GPK heisst. Etwas, das vor kurzem noch Hunderttausende Franken wert war, kann von einem Tag auf den anderen jeden Wert verlieren - so riskant ist das Geschäft mit Sicherheitslücken und der entsprechenden Software.

Erstellt: 26.05.2016, 07:55 Uhr

Artikel zum Thema

Mario Fehr entlastet

Der Sicherheitsdirektor habe seine Kompetenzen beim Kauf einer umstrittenen Spionagesoftware nicht überschritten, sagt die Geschäftsprüfungskommission. Ihr Bericht stösst jedoch auf Kritik. Mehr...

«Die Kriminellen brauchen Forscher, Entwickler, Geld»

Wer steckt hinter dem Datendiebstahl bei der Ruag? Ein Experte gibt Einblick in die Welt der Cyberkriminellen und Geheimdienste. Mehr...

Die Redaktion auf Twitter

Stets informiert und aktuell. Folgen Sie uns auf dem Kurznachrichtendienst.

Abo

Abo Digital Light - 18 CHF im Monat

Unbeschränkter Zugang auf alle Inhalte und Services (ohne ePaper). Flexibel und jederzeit kündbar.
Jetzt abonnieren!

Blogs

Mamablog Lust auf ein Sexdate, Schatz?

Sweet Home Lernen Sie besser wohnen

Die Welt in Bildern

Aufwändige Feier: Farbenfroh ist der Karneval in Macedo de Cavaleiros, Portugal. (25. Februar 2020)
(Bild: Octavio Passos/Getty Images) Mehr...