Schweiz
Wir verwenden Cookies und Analysetools, um die Nutzerfreundlichkeit der Internetseite zu verbessern und passende Werbung von watson und unseren Werbepartnern anzuzeigen. Weitere Infos findest Du in unserer Datenschutzerklärung.

Zürcher Kapo im Elend: Der Trojaner für die Handy-Überwachung ist wertlos – und eine halbe Million futsch

Die Kantonspolizei bestellte in Italien Überwachungs-Software für 486'000 Euro. Nun kursiert deren Quellcode im Internet – das macht sie unbrauchbar.



Erst vor wenigen Monaten hat die Kantonspolizei Zürich für knapp eine halbe Million Franken einen Staatstrojaner gekauft – das Geld wird sie wohl schon bald abschreiben müssen. Denn der Quellcode der Software «Galileo», mit der sich Handys komplett überwachen lassen, kursiert im Internet. Das macht «Galileo» praktisch unbrauchbar.

«Wahrscheinlich sind die bekannten Antivirus-Hersteller schon dabei, die Signatur von Galileo in ihr System aufzunehmen», sagt Marc Ruef von der IT-Sicherheitsfirma Scip. Das würde heissen, jeder könnte sich mit einem stinknormalen Viren-Scanner vor dem Staatstrojaner schützen. Dazu stopfen jetzt Software-Hersteller in ihren Programmen die Lücken, die der Trojaner ausgenutzt hat.

«Wer Galileo jetzt noch einsetzt, geht ein grosses Risiko ein, dass die Überwachung auffliegt.»

Marc Ruef

Vor allem Strafverfolger sind immer sehr vorsichtig, was Überwachung angeht – eine Zielperson darf in der Regel unter keinen Umständen merken, dass sie überwacht wird. «Wer Galileo jetzt noch einsetzt, geht ein grosses Risiko ein, dass die Überwachung auffliegt», so Ruef.

Hintertüren, Schurkenstaaten, miese Sicherheit

Das ist bei weitem nicht das einzige Problem. Wie ein geleaktes Geheimdokument nahelegt, hat die italienische Firma Hacking Team, die Galileo programmiert hat, sogenannte Backdoors in ihre Tools eingebaut – offenbar ohne die Kunden darüber zu informieren. Diese Hintertüren erlaubten es Hacking Team, jederzeit darauf zuzugreifen.

«Das ist das perfekte Beispiel dafür, warum Staatstrojaner für einen Rechtsstaat problematisch sind», sagt IT-Sicherheitsexperte Ruef. Während theoretisch nur Befugte Zugang zu intimen Daten von überwachten Zielpersonen haben sollten, sehe die Realität meist anders aus.

«Von diesen Backdoors hat die Kantonspolizei wahrscheinlich nichts gewusst. Trotzdem steht sie jetzt nicht allzu gut da.»

Marc Ruf

In diesem Fall waren es die Techniker von Hacking Team, die unerlaubt mitspionieren konnten. Und jetzt, wo deren Daten an die Öffentlichkeit gelangt sind, können auch all diejenigen, die das Know-how haben, sich Zugang verschaffen. Marc Ruef sagt: «Von diesen Backdoors hat die Kantonspolizei wahrscheinlich nichts gewusst. Trotzdem steht sie jetzt nicht allzu gut da.»

In der Tat gerät die Polizei jetzt in Erklärungsnot. Die Zürcher Kantonsräte Markus Bischof (Alternative Liste) und René Isler (SVP) verlangen von den Verantwortlichen Details zum Trojaner-Deal: «Die Kantonspolizei muss Rechenschaft ablegen», sagt Bischoff zum SRF Regionaljournal.

Auch Thomas Hansjakob, Erster Staatsanwalt des Kantons St.Gallen, sieht die Beschaffung solcher Software kritisch. «Im Moment gibt es dafür keine Rechtsgrundlage», sagt er zu watson.

Deals mit Schurkenstaaten

Die Italiener, die von Reporter ohne Grenzen zu «Feinden des Internets» erklärt wurden, stehen knietief im Sumpf. Nachdem ein Hacker in der Nacht auf Montag 400 Gigabyte Daten der Firma gestohlen und veröffentlicht hatte, kam auch ans Licht, dass Hacking Team Überwachungssoftware an den Sudan verkauft hat.

Das ist illegal, weil gegen den Staat ein Embargo besteht. Der Sudan setzt die Tools gegen Regimegegner ein. Eine UNO-Untersuchung verlief damals im Sand, doch die neuen Unterlagen könnten den Italienern neuen Ärger bringen.

Das Unternehmen, das offenbar noch immer keinen Zugang zu seinen Daten hat, hat inzwischen in einem Rundmail alle Kunden aufgefordert, ihre Software vorübergehend auszuschalten. «Wir gehen davon aus, dass unsere Dienste für eine relativ kurze Zeit ausfallen», sagt ein Sprecher optimistisch zu Reuters.

Ist der Ruf erst mal ruiniert ...

Dazu kommt der Imageschaden: Staaten und Unternehmen werden es sich zwei Mal überlegen, mit einem Unternehmen zusammenzuarbeiten, das Embargos ignoriert und die Welt darüber anlügt. Das zeigt das Beispiel der Berner Firma Dreamlab. Deren Ruf erlitt einen schweren Schaden, nachdem durch Wikileaks bekannt wurde, dass Dreamlab die Regierung von Turkmenistan belieferte, die damit ihre eigenen Bürger bespitzeln wollte.

Ganz zu schweigen von den laschen Sicherheitsvorkehrungen bei Hacking Team, die das Leak offenbarte: Etwa wurden wichtige Dokumente nie verschlüsselt. Und, wie es aussieht, brach der Hacker über zwei Administratoren ins System ein, die Zugriff auf alle Daten hatten. Einer der Angestellten benutzte Kennwörter wie «passw0rd» – um das zu knacken, braucht man mit einem normalen Hacker-Tool nicht lange.

«Wie kannst du jemandem, der gerade angefangen hat, die Schlüssel zu deiner ganzen Infrastruktur geben?» 

Anonymer Insider

Eine anonyme Quelle aus dem Umfeld des Unternehmens sagt zum News-Medium «Motherboard»: «Wie kannst du jemandem, der gerade angefangen hat, die Schlüssel zu deiner ganzen Infrastruktur geben?» Der Administrator ist etwa seit einem Jahr bei Hacking Team tätig.

... hackt es sich ganz ungeniert

Obwohl die Italiener ihre Glaubwürdigkeit bei einem grossen Teil ihrer Kundschaft verspielt haben, haben sie eine Überlebenschance. «Es kann sein, dass das Unternehmen für dubiose Kreise interessant wird», sagt Marc Ruef. Staaten etwa, die politische Gegner ausspähen wollen.

Die Kapo Zürich hat offenbar keinerlei Bedenken, was den weiteren Gebrauch des Trojaners betrifft. Die Zürcher Kripochefin Christiane Lentjes Meili sagt zum «Tages-Anzeiger»: «Wir haben keine Hinweise auf Probleme.» Und zu den ethischen Bedenken: «Zum Zeitpunkt der Bestellung hatten wir keinerlei Informationen über heikle Geschäftsbeziehungen.»

Die Polizei hatte sich zunächst nicht zum Kauf der Software geäussert, später jedoch zugegeben, den Trojaner beschafft zu haben. «Die Staatsanwaltschaft hat 2013 in zwei Verfahren von schwerster Betäubungsmittelkriminalität und Geldwäscherei die Überwachung verschlüsselter Internetkommunikation mittels einer speziellen Software angeordnet», schreibt die Kantonspolizei in einer Mitteilung.

Ein Massnahmengericht habe dies Bewilligt, worauf die Kantonspolizei die Software beschafft habe. Die Kapo hält fest, dass das Programm nur für gezielte, von einem Gericht genehmigte Überwachung einsetze. Eine flächendeckende Überwachung sei kein Thema.

(Update: Der Artikel wurde mit der Stellungnahme der Kantonspolizei Zürich ergänzt)

Privatsphäre! Privatsphäre?

Kennst du schon die watson-App?

Über 150'000 Menschen nutzen bereits watson für die Hosentasche. Unsere App hat den «Best of Swiss Apps»-Award gewonnen und wurde unter «Beste Apps 2014» gelistet. Willst auch du mit watson auf frische Weise informiert sein? Hol dir jetzt die kostenlose App für iPhone/iPad und Android.

DANKE FÜR DIE ♥

Da du bis hierhin gescrollt hast, gehen wir davon aus, dass dir unser journalistisches Angebot gefällt. Wie du vielleicht weisst, haben wir uns kürzlich entschieden, bei watson keine Login-Pflicht einzuführen. Auch Bezahlschranken wird es bei uns keine geben. Wir möchten möglichst keine Hürden für den Zugang zu watson schaffen, weil wir glauben, es sollten sich in einer Demokratie alle jederzeit und einfach mit Informationen versorgen können. Falls du uns dennoch mit einem kleinen Betrag unterstützen willst, dann tu das doch hier.

Würdest du gerne watson und Journalismus unterstützen?

(Du wirst zu stripe.com (umgeleitet um die Zahlung abzuschliessen)

Oder unterstütze uns mit deinem Wunschbetrag per Banküberweisung.

Nicht mehr anzeigen

Das könnte dich auch noch interessieren:

Abonniere unseren Newsletter

38 Kommentare
Weil wir die Kommentar-Debatten weiterhin persönlich moderieren möchten, sehen wir uns gezwungen, die Kommentarfunktion 24 Stunden nach Publikation einer Story zu schliessen. Vielen Dank für dein Verständnis!
Die beliebtesten Kommentare
Quool-Put
08.07.2015 09:03registriert January 2014
Das ist, wie wenn ein Dritter den Abzug an der Dienstwaffe betätigen könnte. Deshalb NEIN zu allen (staatlichen) Überwachungsprogrammen.
901
Melden
Zum Kommentar
blueberry muffin
08.07.2015 09:05registriert August 2014
Vorallem wurde der Trojaner beschafft, bevor er legal war. Wer verhaftet nun bitte die Polizei? Wann werden Koepfe rollen?
580
Melden
Zum Kommentar
Charlie Brown
08.07.2015 09:07registriert August 2014
Ob man nun Staatstrojaner gut oder schlecht findet ist das eine.
Was mich aber irritiert: Warum um alles in der Welt beschafft eine Kantonspolizei so ein Ding? Wäre das nicht - wenn überhaupt - eine Bundesangelegenheit? Ich meine nur so wegen Synergien und so. Aber man kann natürlich auch 26x für das gleiche oder ein ähnliches Produkt Geld ausgeben. Lang lebe der Föderalismus. Zumindest so lange, wie wir ihn uns leisten können.
540
Melden
Zum Kommentar
38

Vergiftete Böden und Kinderarbeit – was sich Schweizer Firmen im Ausland alles erlauben

Am 29. November stimmt die Schweiz über die Konzern-Initiative ab. Sie soll Schweizer Unternehmen bei Rechtsverstössen im Ausland stärker haftbar machen. Höchste Zeit also, um sich ein paar Beispiele von bis jetzt ungeahndeten Menschenrechts- und Umweltvergehen anzusehen.

Nach der Abstimmung ist vor der Abstimmung: Bereits am 29. November kann das Schweizer Stimmvolk erneut wählen gehen. Zum Beispiel über die Konzernverantwortungsintiative. Diese fordert, dass globale Konzerne mit Sitz in der Schweiz einem zwingenden Regelwerk unterstellt sind, wenn es um die Beachtung von Menschenrechten und Umweltschutz bei ihren weltweiten Tätigkeiten geht.

Oder einfach gesagt: Schweizer Unternehmen und ihre Tochterfirmen könnten für ihre Tätigkeiten im Ausland rechtlich …

Artikel lesen
Link zum Artikel