Staatstrojaner in Deutschland: Kann man sich schützen?

Warum sind Staatstrojaner ein Thema?

Ich bin ja ein gebranntes Kind, seit ich vor etwa einem halben Jahr Post von einer Münchner Anwaltskanzlei bekommen habe. Weil irgendjemand in unserem Haushalt über irgendeine Filesharing-Software für 16 Sekunden irgendwie den Film „Vice – Der zweite Mann" geladen haben soll. Ich war es nicht.

Per Fax war es für die abmahnende Kanzlei möglich, mal eben so bei meinem Internet-Provider Deutsche Telekom ein gerichtliches Auskunftsverfahren einzuleiten und uns als Übeltäter auszumachen. 700 Euro sollte es dann kosten.

Mit dem Datenschutz ist es im Internet ja schon eh nicht weit her, und so habe ich die Eskapade zum Anlass genommen, die Surfgewohnheiten meiner Familie nun zusätzlich zu den Ad-Trackern auch noch gegen die Telekom abzusichern.

Von unserem Bundestag wurde im letzten Jahr beschlossen, dass Netzaktivitäten der Bürger auch ohne konkreten Anfangsverdacht von Geheimdiensten überwacht werden dürfen. Schützenhilfe leisten wieder mal Telekom und Co.. Bei heise.de heißt es dazu:

Anbieter von Telekommunikationsdiensten müssen die „berechtigten Stellen” dabei unterstützen, „technische Mittel” wie Staatstrojaner zur Quellen-TKÜ „einzubringen” und die Kommunikation an sie umzuleiten.

Auch wenn ich natürlich nichts illegales im Netz anstelle, finde ich das trotzdem schlimm. Das ist ganz einfach ein übermäßiger Eingriff in die Privatsphäre, wenn ohne konkreten Verdacht Kommunikation von Behörden mitgeschnitten werden darf. Ich möchte auch nicht, dass meine Wohnung auf Verdacht abgehört wird.

Sollen unsere Politiker doch bitte zumindest nie mehr China als Überwachungsstaat bezeichnen.

Staatstrojaner: Was ist das und wie kommt das auf mein Gerät?

Grundsätzlich handelt es sich bei einem Staatstrojaner um eine Schadsoftware, also eine Art Computervirus der Untergattung „Trojanisches Pferd“.

Die Malware wird auf das System gemogelt und liest Informationen aus, die es dann an den Ersteller – in diesem Fall die Ermittlungsbehörden – sendet. Mit VPN und Co. kommt man leider nicht mehr weiter, da die Software direkt auf Betriebssystemebene lauscht.

Der Staatstrojaner muss allerdings erst einmal seinen Weg auf das Zielsystem finden, also etwa den Mac oder das iPhone. 

Grundsätzlich kann ein Trojaner wohl am einfachsten über (manipulierten) Software-Download und/oder über eine gespoofte Website eingeschleust werden.

Gibt es wirksamen Schutz gegen Staatstrojaner?

Das Domain Name System (DNS) ist ein wichtiger Auskunftsdienst im Internet. Die Hauptaufgabe des DNS ist die Beantwortung von Anfragen zur Namensauflösung von Domains auf IP-Adressen.

Internetprovider wie die Telekom bieten DNS als Teil ihres Dienstes an. Provider können auch den DNS-Verkehr protokollieren. Verschlüsseltes DNS stellt dagegen sicher, dass “der Browser mit dem spricht, mit dem man sprechen möchte”.

„Offene“ DNS-Dienste bieten eine Möglichkeit, die Dienste von ISPs aus Gründen der Privatsphäre und Sicherheit zu umgehen. I.d.R. werden von freien DNS-Server keine Logfiles geschrieben.

Virtual Private Network (VPN) bezeichnet eine Netzwerkverbindung, die von Unbeteiligten nicht einsehbar ist. Der Datenverkehr wird dabei verschlüsselt übertragen zu einem Server mit einer IP-Adresse, die nicht der ursprünglichen, eigenen entspricht. Für den Internet Service Provider bleibt der Datenverkehr komplett unsichtbar, und zumeist werden auch hier keine Logfiles gespeichert.

Da niemand weiß, wie die Staatsschützer den Trojaner auf die Endgeräte lotsen, ist 100% Schutz natürlich eine Illusion. Das gilt insbesondere auch für den sogenannten "Pegasus"-Trojaner der Firma NSO.

Ich setze im häuslichen WLAN auf DNS über TLS und mobil auf eine VPN-Lösung.

Unser WLAN Traffic wird komplett im zentralen Router über einen für Privatsphäre optimierten DNS Server abgewickelt und verschlüsselt. Es werden nur SSL-Verbindungen zugelassen. Selbstverständlich hat weder die Telekom, noch jemand anders von außen Zugriff auf unseren Router.

Man-in-the-Middle-Angriffe und Spoofing werden damit zumindest mal stark erschwert. 

Zusätzlichen Schutz gegen Trojaner kann eine Firewall auf dem Computer bieten (z.B. LuLu für den Mac oder OpenSnitch für Linux). So können ausgehende Netzwerk-Verbindungen einzeln kontrolliert und blockiert werden, wenn etwa der Verdacht besteht, dass ein Trojaner bzw. Malware eine Verbindung zum Command & Control-Server herstellt oder Daten exfiltriert.

Zudem nutze ich grundsätzlich ein Fedora Thinkpad, um meiner Arbeit und Freizeit im Netz nachzugehen. So muss ich nicht auf Schritt und Tritt Daten an Google und Apple übergeben.

Anstatt auf WhatsApp, setze ich für private Nachrichten (so weit das möglich ist) auf Matrix Messenger. Das gilt als weitgehend abhörsicher unter Nutzung von E2EE.

Allerdings, fairerweise ist Privatsphäre im Internet natürlich ein Kampf gegen Windmühlen, insoweit man (z.B. aus beruflichen Gründen) nicht auf die großen Social Networks und Suchmaschinen verzichten kann.