E-Evidence: Was ist ein Staatstrojaner? Wie gelangt er auf ein Handy oder einen Laptop?

27. Oktober 202224. Oktober 2022 Dr. Eren Basar und Christian Heinelt

Überwachungssoftware des Staates

„Staatstrojaner“ ist die Bezeichnung für eine Überwachungssoftware. Sie wird für die Quellentelekommunikationsüberwachung bzw. die Online-Durchsuchung genutzt. Neben kommerzieller Spionage-Software kommt regelmäßig ein Staatstrojaner namens „Remote Communication Interception Software“ (RCIS) zum Einsatz. Den hat das Bundeskriminalamt (BKA) selbst programmiert (siehe hier).

Zugriff auf das Endgerät

In einigen Fällen gelangt die Software über einen physischen Zugriff auf das betroffene Endgerät. Dafür beschlagnahmt die Strafverfolgungsbehörde es und installiert die Software. Die Ermittler können so die wahre Ermittlungsabsicht hinter der Beschlagnahme verschweigen. Beispielsweise ist ein Fall bekannt, in dem das bayerische Landeskriminalamt (LKA) einen Computer bei einer Sicherheitsüberprüfung am Münchener Flughafen beschlagnahmte und die Software unbemerkt installiert hat.

Hindernis bei diesem Vorgehen ist die Sperrung des Geräts durch ein Passwort. Das kann aber durch Ausprobieren oder das Auslesen verschiedener Passwörter bzw. eine Sicherheitslücke umgangen werden.

Nicht erlaubter Zugriff

Nicht erlaubt, ist, dass Ermittler sich heimlich Zutritt zu bspw. einer Wohnung verschaffen, um die Software auf Geräten zu installieren. Das wird allerdings bereits seit 2018 von den Justizministern der Länder gefordert.

Infiltration aus der Ferne

Allerdings lassen sich Endgeräte auch aus der Ferne infiltrieren. Dieses Vorgehen hat für Ermittler den Vorteil, dass der Aufwand und die Entdeckungswahrscheinlichkeit geringer sind. Denkbar ist, die Zielperson via SMS oder E-Mail aufzufordern, die Software zu installieren. Aussichtsreicher ist allerdings das Ausnutzen von Sicherheitslücken verbreiteter Softwareanwendungen mittels sog. Exploits.

Exploits verstecken sich in gesendeten Dateien (etwa als E-Mail-Anhang oder via Messenger) oder in im Internet heruntergeladener Software. Sie nisten sich so im System von Betroffenen ein und laden die Überwachungssoftware nach.

Sicherheitslücken werden genutzt

Zu lesen ist in diesem Zusammenhang immer wieder von sog. Zero-Day-Exploits. Gemeint ist das Nutzen einer unbekannten Sicherheitslücke, für die noch kein Patch verfügbar ist. Solche Zero-Days sollen für Bundestrojaner, Stand 2018, noch nicht genutzt worden sein (siehe hier). Eindrucksvoll bewies aber ein solcher Hack in WhatsApp, welchen Nutzen die Vorgehensweise für Staatstrojaner haben könnte: Ein eingehender Anruf genügte, um einem Unternehmen Zugang zu den betroffenen Endgeräten zu verschaffen (siehe dazu hier).