Die Polizei darf Staatstrojaner künftig nur noch zur Aufklärung von schweren Straftaten einsetzen. Der Einsatz wegen Straftaten, auf die weniger als drei Jahre Höchststrafe stehen, ist nicht verhältnismäßig und deshalb unzulässig. Das teilte heute das Bundesverfassungsgericht in Karlsruhe mit.

Der erste Senat des Gerichts entschied über zwei Klagen, die die Bürgerrechtsorganisation Digitalcourage zusammen mit Journalist:innen, Rechtsanwält:innen und Künstler:innen gegen gesetzliche Regeln zum Einsatz von Staatstrojanern durch die Polizei eingelegt hatte. Das Gericht erklärte dabei manche Teile der Verfassungsbeschwerden für unzulässig, folgte der Argumentation der Kläger:innen jedoch in anderen.

So erklärte das Gericht Teile der Strafprozessordnung aus inhaltlichen und formellen Gründen für verfassungswidrig. Zum einen muss es sich um schwere Straftaten handeln, um für Ermittlungen die laufende Kommunikation von digitalen Geräten überwachen zu dürfen. Zum anderen genügten die Regeln zur Online-Durchsuchung nicht dem Zitiergebot. Demnach muss der Gesetzgeber eingeschränkte Grundrechte ausdrücklich nennen, was in diesem Fall nicht passiert sei.

Regelungen zum präventiven Einsatz von Staatstrojanern durch die Polizei von Nordrhein-Westfalen im dortigen Polizeigesetz seien hingegen verfassungsrechtlich nicht zu beanstanden. Da die Eingriffsschwelle hier ins Vorfeld einer konkreten Gefahr verlagert wurde, dürften die Staatstrojaner nur in besonderem Fällen zum Einsatz kommen, etwa in Zusammenhang mit der Abwehr terroristischer Gefahren. Gemessen an ihrem Eingriffsgewicht würden die Regeln „den Anforderungen an die Verhältnismäßigkeit“ genügen, so das Gericht.

Staatliches Hacking nimmt zu

Konkret verhandelte das Gericht über Maßnahmen zur sogenannten Quellen-Telekommunikationsüberwachung und zur Onlinedurchsuchung. Erstere meint die Überwachung laufender Kommunikation von digitalen Endgeräten, beispielsweise Nachrichten oder Telefonaten über verschlüsselte Messenger. Die Onlinedurchsuchung ist deutlich eingriffsintensiver, da sie auch das Auslesen gespeicherter Daten umfasst, etwa alte Chats oder in der Cloud gespeicherte Fotos.

Beide Maßnahmen erfolgen durch das unbemerkte Eindringen der Polizei in die Geräte der Zielpersonen. Angesichts der weiten Verbreitung digitaler Kommunikationsmöglichkeiten haben Ermittler:innen dank des Staatstrojaners sehr umfassenden Einblick in das Leben der Überwachten sowie ihrer Kommunikationspartner:innen. Umstritten sind Staatstrojaner auch deshalb, weil staatliche Stellen hierbei Sicherheitslücken in IT-Systemen ausnutzen, um die Spionageprogramme auf die Geräte verdächtigter Personen zu bringen, anstatt die Schwachstellen zu schließen.

2017 hatte die damals regierende Große Koalition unter Bundeskanzlerin Angela Merkel die Strafprozessordnung geändert, um der Polizei den großflächigen Einsatz von Staatstrojanern zu ermöglichen. Der heutige Präsident des 1. Senats am Verfassungsgericht, Stephan Harbarth, war zu diesem Zeitpunkt CDU-Bundestagesabgeordneter. Der Verfassungsrichter musste also – nicht zum ersten Mal – über ein Gesetz urteilen, das er selbst mit verabschiedet hat.

In den vergangenen Jahren hat der polizeiliche Einsatz von Staatstrojanern deutlich zugenommen. Laut Justizstatistik wurden 2023 insgesamt 130 Quellen-Telekommunikationsüberwachungen und Online-Durchsuchungen angeordnet, 68 wurden tatsächlich durchgeführt. Seit 2019 haben sich die Zahlen mehr als verdoppelt, damals wurden 64 Staatstrojaner genehmigt und 15 tatsächlich eingesetzt.

Polizeigewerkschaft ist zufrieden

Die heutige Entscheidung des Bundesverfassungsgerichts wird in ersten Reaktionen sehr unterschiedlich aufgenommen. Das Gericht selbst betont in seiner Pressemitteilung, die Regeln hielten der „verfassungsrechtlichen Überprüfung weitgehend Stand“. Weite Teile der Beschwerden wurden von dem Gericht für nicht zulässig befunden, bei den zugelassenen Aspekten folgte das Gericht den Beschwerdeführer:innen nur in Teilen.

Entsprechend zufrieden gibt sich beispielsweise die Gewerkschaft der Polizei. „Das Urteil des Bundesverfassungsgerichts ist aus meiner Sicht grundsätzlich positiv zu bewerten“, sagte deren Bundesvorsitzender Jochen Kopelke dem Redaktionsnetzwerk Deutschland. Im Kern bestätige das Verfassungsgericht die Notwendigkeit und Verfassungsmäßigkeit des Einsatzes von Staatstrojanern.

Da die Einschränkungen bei der Quellen-TKÜ nur kleinere Kriminalität betreffe, seien die Einschränkungen zu verkraften. Sie „wurde in den vergangenen Jahren vor allem bei Ermittlungen zu Drogenkriminalität eingesetzt“ und das sei weiterhin möglich, so Kopelke. Die Online-Durchsuchung werde zudem nicht grundlegend infrage gestellt, sondern sei lediglich aus formellen Gründen verfassungswidrig. Das sei ein „formaler, aber durchaus lösbarer Mangel“.

Grundsätzliches Problem besteht weiter

Von einem „Erfolg“ spricht in einer Pressemitteilung allerdings auch der Verein Digitalcourage. Frank Braun, einer der Prozessbevollmächtigten, sieht in der Entscheidung „eine Klarstellung mit Signalwirkung“. Das Urteil gewährleiste, „dass IT-Systeme nur noch beim Verdacht wirklich schwerwiegender Delikte von staatlichen Ermittlern gekapert werden“. Außerdem verhinderte es, dass der Gesetzgeber weiterhin „Alltagskriminalität“ als „schwere Straftaten“ verkaufe, um den Einsatz von Staatstrojanern zu rechtfertigen.

Auch Jurist David Werdermann von der Gesellschaft für Freiheitsrechte kann dem Urteil Gutes abgewinnen. So bricht das Verfassungsgericht ihm zufolge mit früherer Rechtsprechung, weil es erstmal deutlich mache, „dass der Einsatz von Staatstrojanern immer einen besonders schwerwiegenden Eingriff in das IT-Grundrecht bedeutet – auch wenn die Polizei ‚nur‘ auf Kommunikationsdaten zugreifen will.“ Cloud- und Online-Dienste seien heute so weit verbreitet, dass Kommunikationsdaten einen tiefgreifenden Einblick in das Leben der Überwachten erlauben.

In einem Nebensatz weise das Bundesverfassungsgericht darauf hin, dass das Gefährdungspotential von Staatstrojanern besonders ausgeprägt sei, wenn sich Behörden privater Dritter bedienen, um die Infiltration zu vollziehen. „Das kann als Aufforderung an die staatlichen Stellen verstanden werden: Die Zusammenarbeit mit zwielichtigen Unternehmen wie der NSO Group, die ihren Pegasus-Trojaner auch an Diktaturen verkauft, muss ein Ende haben“, so Werdermann.

Ein grundsätzliches Problem von Staatstrojanern aber hat das Verfassungsgericht nicht thematisiert, wie die politische Geschäftsführerin von Digitalcourage, Rena Tangens, einräumt. „Um Staatstrojaner einzusetzen, müssen Sicherheitslücken ausgenutzt werden – und diese Schwachstellen gefährden die IT-Sicherheit von uns allen. Statt diese zu melden und zu schließen, hält der Staat sie offen, um sie selbst zu nutzen. (…) Ein Staat, der Sicherheit für seine Bürgerinnen und Bürger will, muss solche Sicherheitslücken den Herstellern melden, damit sie geschlossen werden.“

Wie jedes Jahr trifft sich die globale Sicherheits-Community zu den Black Hat Briefings in Las Vegas. Die Keynote hielt Mikko Hyppönen, ehemaliger Malware-Analyst von F-Secure und jetzt bei WithSecure. Der Finne gab einen Rückblick auf 30 Jahre Malware und hielt eine alte 5,25″-Floppy hoch. Damit zeigte er den Prozess, wie früher Teenager Bootsektor-Viren geschrieben haben, und wie sich das über Cybercrime-Gangs bis hin zu Malware von Regierungen weiterentwickelte.

Hyppönen ist der Meinung, dass die Software immer sicherer wird – hat aber auch den Satz geprägt: „If it’s smart, it’s vulnerable“. Wenn es also smart ist, hat es auch Schwachstellen – von der Smartwatch bis hin zur Smart-City.

Übrigens konnten die Besucher seinem Vortrag dank der neuen Simultanübersetzung auch auf Spanisch, Japanisch, Mandarin, Französisch und Koreanisch folgen. Grund ist die hohe Präsenz der Besucher aus Asien; auch bei den Speakern sind dieses Jahr wieder viele aus Asien und Israel dabei.

Raus aus dem VMware-Gast

Ausbruch aus dem Hypervisor-Gast die nächste: VMware hat beim Patchen des virtuellen xHCI-Interface die Schwachstelle aus dem Jahr 2023 nicht beseitigt. Die Forscher Yuhao Jiang und Ziming Zhang von der ANT Group aus China zeigten, wie man aus einem VMware-Gastsystem ausbrechen kann und durch das Ausnutzen der „use after free“-Schwachstelle im Ringbuffer der VM auf den Host kommen kann. Außerdem stellten sie noch einen vmKernel-Heap-Exploit vor, mit passendem Shellcode vom VMware-Gast erhielten sie einen SSH-Login unter root auf dem ESXi-Server.

Wieder zeigt es sich, dass eine Hardware-Sparsamkeit auch bei VMs geboten ist. Wenn man kein USB benötigt, sollte man auch keine virtuellen USB-Hosts bei VM-Gastsystemen einbinden.

Der Worm im Apfel

Gal Elbaz, Avi Lumelsky und Uri Katz von Oligo Security haben sich gewundert, warum lokal auf dem Port 7000 der Zugriff von fast allen Apple-Geräten möglich ist. Der Port wird von AirPlay und CarPlay benutzt, um Medien auf Lautsprecher oder Fernseher zu streamen. Bei der Analyse haben die Forscher haarsträubende Sicherheitslücken in dem Protokoll gefunden – und noch viel schlimmer: In dem Apple SDK stießen sie auf eine Zero-Click RCE, also eine Möglichkeit, beliebigen Programmcode auszuführen. Das SDK nutzen die Hersteller von Endgeräten, um CarPlay und AirPlay zu implementieren.

Besonders schlecht ist es, da sich der Port bei Apple per mDNS (Multicast) im Netz meldet. Durch die Sicherheitslücken haben es die Forscher geschafft, eine Root-Shell auf einem Bose-Lautsprecher zu erhalten, und dann davon in ein Autoradio von Panasonic einzubrechen. Somit kann man sich von einem AirPlay- und CarPlay-Gerät zum nächsten hacken.

Außerdem beschwerten sich die Forscher, dass Apple ein Rate-Limit zum Übermitteln von Schwachstellen hat – nach 16 CVEs gibt es die Meldung, man könne weitere Lücken erst am nächsten Tag melden. Dabei hat Apple zusammen mit den Forschern die Lücken schnell auf iOS behoben. Wer also seine Apple-Produkte aktualisiert, hält sie wenigstens sicher.

Auch Cisco hat die Apple-SDK-Schwachstellen schnell beseitigt. Ganz anders sieht es bei den mehr als 800 AirPlay-Geräten aus Asien aus, dasselbe gilt für die vielen Autoradios, die auch keine Updates mehr bekommen.

Und gleich noch ein Container-Ausbruch

Andres Riancho, Hillai Ben-Sasson und Ronen Shustin von Wiz zeigten, wie man aus einem Nvidia-Container, wie sie gerne von IaaS-KI-Rechenzentren auf Kubernetes-Basis eingesetzt werden, schnell ausbrechen kann. Bei manchen Anbietern haben sie es sogar geschafft, die Daten von anderen Kunden zu erbeuten.

Wieder einmal zeigt sich: Wenn man KI datenschutzkonform machen möchte, kommt man nicht um eigene Hardware herum. Mietinfrastruktur in der Cloud ist keinesfalls sicher und dort gehören keine Kundendaten hin.

Eine neue UEFI-Malware-Technik

Kazuki Matsuo von FRRI präsentierte, wie man es auf UEFI-BIOS-Level schafft, Speicher so zu reservieren, dass der Inhalt auch nach dem Booten vom Betriebssystem weiter benutzt werden kann – und Funktionen vom UEFI parallel zum Betriebssystem, wie URL- und Port-Zugriff, vom BIOS durchgeführt werden können.

Intel hatte zuvor die SMM-Schwachstellen (System Management Mode) abgesichert, die vorherige UEFI-BIOS-Malware ausnutzte. Allerdings nutzt Matsuo eine neue Methode, um Code vor dem OS zu verstecken, der auch nicht mehr vom Betriebssystem benutzt wird. Der Speicher ist einfach nicht mehr logisch zugreifbar vom OS.

In einer Live-Demo zeigte er, wie man durch diese Funktionen eine Socket-Kommunikation trotz geblocktem Port bei der Defender-Firewall durchführen kann, komplett vorbei am Betriebssystem. Auch bei UEFI-Malware bleibt es also ein ewiges Katz-und-Maus-Rennen.

Zugriff auf Axis-Kameras

Noam Moshe schaute sich die Kameraserver der Firma Axis an, genauer gesagt deren Protokolle und die Authentifizierung. Dabei fand er einen Authentication Bypass (CVE-2025-30026), womit er die volle Kontrolle über alle Kameras und den Management-Server erhielt. Dafür musste er nur _/ an die URL vom alternativen Port 55754 zum Default-Protokoll-Port anhängen. Hinzu kommt, dass Axis auch die Host- und NTLM-Informationen über das Protokoll ausgeben kann.

Damit hat er bei zahlreichen Kameraservern im Internet angeklopft und viele Schulen, Krankenhäuser und Firmen gefunden, bei denen man einfach die volle Kontrolle über die Kameras bekommen kann. Nach den USA steht Deutschland auf Platz zwei bei den so angreifbaren Axis-Systemen.

Auch hier zeigt sich erneut: IoT und Kameras gehören in ein separates Netz oder zumindest ein VLAN mit einem VPN und einer Hardware-Firewall – und nicht einfach ans Internet angeschlossen. Sonst wird man schnell zu einem unfreiwilligen Big Brother für alle Internethacker.

Ein Überblick der Black Hat Briefings findet sich hier.

(fo)

„Flickenteppich“, das Wort ist inzwischen geflügelt, um die digitale Verwaltungslandschaft in Deutschland zu beschreiben. Es gibt mehrere IT-Lösungen, die nicht miteinander kompatibel oder nicht interoperabel sind. Das führt zu Parallel- und Doppellösungen.

Die kosten unnötig viel Geld und binden IT-Personal, das an anderer Stelle fehlt, so das Urteil des Bundesrechnungshofes (BRH) in einem Bericht an den Haushaltsausschuss des Bundestages von Mitte Juli. Table.Media hat das interne Dokument veröffentlicht. Wir veröffentlichen eine Version ohne Bezahlschranke und Wasserzeichen: Verwaltungsdigitalisierung: Empfehlungen für die 21. Legislaturperiode.

Ein Beispiel für Mehrfachlösungen ist der Basisdienst „Nutzerkonto Bund“. Den für Bund, Länder und Kommunen zu entwickeln, hatte die damalige Bundesregierung unter Merkel schon Anfang 2017 geplant. Bürger*innen sollen sich damit elektronisch identifizieren, darin ihre Daten speichern und Post vom Amt darüber erhalten. Der Bund machte das Konto erst in 2021 online verfügbar. In der Zwischenzeit hatten Bundesbehörden, Länder und Kommunen jedoch eigene Nutzerkonten entwickelt, die heute wieder zusammengeführt werden.

Auch beim Basisdienst „Formular-Management-System des Bundes“ kam es zu Verzögerungen. Dieser Basisdienst soll Verwaltungen dabei unterstützen, Formulare zu digitalisieren. Da das Bundesinnenministerium jedoch die IT-Lösung nicht mit den erforderlichen Funktionalitäten bestückte, fingen Bundesbehörden an, eigene Lösungen zu entwickeln.

Ohne klares Ziel vor Augen

Soweit konnte es laut BRH kommen, weil die Bundesregierung die Verwaltungsdigitalisierung bislang nicht ausreichend gesteuert hat. Dazu gehört: Sie habe weder messbare Ziele formuliert noch die Digitalisierungsprojekte und ihren Fortschritt überwacht. Das kritisierten bereits Sachverständige bei der öffentlichen Anhörung zum Onlinezugangsgesetz 2023, etwa Malte Spitz vom Nationalen Normenkontrollrat und Bianca Kastl (PDF) vom Innovationsverbund Öffentliche Gesundheit.

Zwar habe der Bund über die Jahre Digitalstrategien entwickelt und aktualisiert. Doch eine Digitalstrategie, wie die letzte aus dem Jahr 2023, gebe keine konkreten Handlungsanweisungen vor, wenn die Ziele darin nur vage und „ambitionslos“ formuliert sind, so der BRH. Die Website zur Digitalstrategie ist zum Zeitpunkt der Veröffentlichung nicht erreichbar.

Im Bericht kritisiert die Behörde schwammige Formulierungen wie „organisatorische Maßnahmen zum Change-Management“. Sie erläutere die Bundesregierung nicht weiter. Was das für Maßnahmen sind und wie der Erfolg gemessen werden soll, bleibe unklar.

Laut BRH seien die Strategien lediglich Bestandsaufnahmen gewesen und zwar solche, die nicht einmal analysiert hätten, wo die Stärken, Schwächen, Risiken und Chancen der Digitalisierung liegen. „Damit fehlte den Bundesbehörden eine strategische Richtschnur, um Vorhaben zu priorisieren und zu initiieren“, so der BRH. Auch habe der Bund nicht die Ursachen dafür untersucht, warum die deutsche Verwaltung im europäischen Vergleich hinterherhinkt.

Was die Bundesregierung jetzt besser machen kann

Der Bundesrechnungshof empfiehlt der Bundesregierung und dem neuen Digitalministerium drei Schritte, um wesentlich in der Digitalisierung voranzukommen. Sie sollte messbare Ziele vorgeben. Daneben sollte sie zentrale IT-Lösungen bereitstellen und die Behörden ermutigen, stärker zusammenzuarbeiten. Denn das könne die Digitalisierungs-Bemühungen positiv beeinflussen, mindestens aber Geld einsparen.

Schließlich sollte der Bund ein zentrales Digitalbudget vorhalten, aus dem er nur Vorhaben finanziert, die drei Bedingungen erfüllen. Das Vorhaben passt zu den digitalpolitischen Zielen der Bundesregierung. Das Vorhaben ist wirtschaftlich und die ausführende Behörde berücksichtigt die IT-Standards des Bundes.

Der Bundesrechnungshof kritisiert, dass Bundesministerien in der Vergangenheit wiederholt Geld für Digitalisierungsprojekte ausgaben, die diesen Bedingungen nicht entsprechen und zudem zu wenig Personalressourcen einplanten. Auch habe die Bundesregierung bislang keinen IT-Rahmenplanungsprozess (PDF) eingeführt, bemängelt der BRH. Damit könnten Parallelentwicklungen verhindert werden. Denn die Ressorts wären dazu verpflichtet, ein IT-Rahmenkonzept zu formulieren, bevor sie Geld für IT ausgeben.

Wie aus dem Bericht hervorgeht, hat das Digitalministerium bereits angekündigt, ein paar der Empfehlungen zu übernehmen.