Einmal Trojaner Federal – für die Zürcher Kantonspolizei

Delivery Certificate «Remote Control Software Galileo"Bekanntlich werden seit dem letzten Montag per Bittorrent die Daten der italienischen Firma «Hacking Team» verbreitet, nachdem deren Server selber gehackt worden sind. «Hacking Team» stellt unter anderem Staatstrojaner her und verkauft sie an Geheimdienste und Polizeibehörden rund um den Globus. Zur Kundschaft gehören z.B. Italien, die USA, Luxemburg, Spanien und Ungarn; aber auch Bahrein, Kasachstan, Sudan, der Libanon und Saudi Arabien. Grosse Abnehmer sind zudem Chile, Marokko und Mexiko.

Anfangs 2015 hat sich auch die Kantonspolizei Zürich in Italien das «Remote Control System Galileo» beschafft. Dieses kann alle gängigen PC-Systeme und Smartphone-Plattformen ausspähen. Die Software wurde für knapp 500’000 Euro inkl. einem Rundum-sorglos-Paket gekauft:

  • Anonymisierungs-Server für die Verschleierung der Kommunikation zwischen infiziertem System und den Überwachern
  • Network Injector für das Einspeisen der Malware in den Netzwerktraffic der zu überwachenden Person
  • Remote Attack Vektor Service; einem Abonnement für Software, das Sicherheitslücken ausnutzt und Systeme infiziert
  • Intelligence Modul, das Verbindungen zwischen Zielpersonen her- und darstellt

Intelligence

Intelligence Karte

Auf Wikileaks kann seit vorgestern die E-Mail-Kommunikation von und zu «Hacking Team» durchsucht werden.

Irgendwie scheint es allen beteiligten (zu Recht) unwohl bei der Sache zu sein: Die Kapo bittet, auf den Namen «Hacking Team» zu verzichten. Nach dem Kauf wird die Kantonspolizei Zürich unter dem Kürzel ZUEGG geführt. Support-Anfragen werden ab einem Outlook.com-Account gestellt.

Am 4. März wird das Ausnützen einer Schwachstelle von Android mit der Umleitung auf www.blick.ch bestellt – und umgehend geliefert. Es gibt aber auch weitere Anfragen für Word-Dokumente, Flash und PHP.

Dass sich die Kantonspolizei und ihr politischer Verantwortlicher Mario Fehr (SP) ausserhalb des rechtlich Zulässigen bewegen, scheint sie nicht zu kümmern. Zu Recht fragt man sich allerdings, wozu es Gesetze und ein überarbeitetes BÜPF benötigt, wenn die Polizei (und die Bundesanwaltschaft) eh überwachen, wie sie wollen. Den Einsatz von Staatstrojanern wahlweise als «Überwachung des Post- und Fernmeldeverkehrs» nach Art. 269ff StPO oder «Überwachung mit technischen Überwachungsgeräten» nach Art. 280 StPO zu subsumieren, wagt nicht mal Überwachungsbefürworter und oberster Staatsanwalt vom Kanton St. Gallen Thomas Hansjakob. (Wobei Mario Fehr nicht mal das macht.)

Wieso auf den Einsatz von Trojanern (im neuen BÜPF) verzichtet werden muss (und auch kann), haben wir bereits aufzuzeigen versucht. David Herzog hat heute zusammengefasst 17 Gründe, wieso der Staatstrojaner die schlechteste Überwachungsidee seit dem Fichenskandal ist, veröffentlicht. Dem kann man sich nur anschliessen.

Die beschaffte Software ist durch die Veröffentlichung wertlos geworden. Wobei man sich fragen darf, ob sich Kriminelle nicht schon viel länger der offensichtlich nur unzulänglich geschützten Software bemächtigen konnten – und wie viel klassische Polizeiarbeit sich mit den nächsten 500’000 Euro finanzieren liessen.

(Wir möchten an dieser Stelle allen herzlich danken, die uns mit wertvollen Informationen – per Mail, Twitter und PrivacyBox – versorgt haben: Vielen Dank!)