Galileo entdeckt gar nichts mehr

10. Juli 2015

Die Kan­tons­po­li­zei Zü­rich ver­zich­tet auf die Über­wa­chungs­soft­ware

von Phil­ipp Len­herr, Lim­mat­ta­ler Zei­tung

Nach­dem der Pro­gramm­code der Über­wa­chungs­soft­ware Ga­li­leo, wel­che un­ter an­de­rem die Zür­cher Kan­tons­po­li­zei ge­kauft hat, ins In­ter­net ge­stellt wur­de, steht die Fra­ge im Raum, ob sich die Soft­ware zur Über­wa­chung der Com­pu­ter von Ver­däch­ti­gen nun über­haupt noch ein­set­zen lässt. «Wir ha­ben kei­ne Hin­wei­se auf Pro­ble­me», wur­de Kri­po­che­fin Lent­jes Mei­li in der Mitt­woch­aus­ga­be des «Ta­ges­An­zei­gers» auf die ent­spre­chen­de Fra­ge hin zi­tiert.

Ges­tern folg­te dann die Kehrt­wen­de: Die Kan­tons­po­li­zei ver­wen­det die Soft­ware nicht mehr. Mit ein Grund da­für dürf­te die Mit­tei­lung sein, die der Her­stel­ler von «Ga­li­leo», die in Mai­land an­säs­si­ge Fir­ma «Hacking Team», ges­tern auf ih­rer Web­site ver­öf­fent­licht hat: Prak­tisch al­le Kun­den hät­ten auf ih­ren Hin­weis hin den Ein­satz der Soft­ware ein­ge­stellt. Dies sei ein wich­ti­ger Schritt zum Schutz lau­fen­der Un­ter­su­chun­gen. Das Un­ter­neh­men geht da­von aus, dass die An­ti-Vi­rus-Pro­gram­me von über­wach­ten Per­so­nen «Ga­li­leo» schon bald er­ken­nen wer­den. Da­mit wä­ren die­se ge­warnt, dass ih­nen die Be­hör­den auf den Fer­sen sind.

«Katz-und-Maus-Spiel»

«Hacking Team» ar­bei­tet ge­mäss Mit­tei­lung nun an Än­de­run­gen am Pro­gramm, um die­ses wie­der ein­setz­bar zu ma­chen. Ein ein­fa­ches Un­ter­fan­gen wird das je­doch nicht, wie Marc Ruef, IT-Si­cher­heits­ex­per­te bei der Zür­cher Fir­ma Scip, auf An­fra­ge sagt. «‹Hacking Team› müss­te zu­erst her­aus­fin­den, an­hand wel­cher Merk­ma­le An­ti-Vi­rus-Pro­gram­me ih­re Soft­ware er­ken­nen», sagt er. Da­nach kön­ne «Ga­li­leo» ent­spre­chend ver­än­dert wer­den - und die An­ti-Vi­rus-Pro­gram­me könn­ten da­nach eben­falls wie­der an­ge­passt wer­den. «Es ist ein Katz-und-Maus- Spiel», sagt Ruef.

Den Scha­den, den «Hacking Team» durch die Ver­öf­fent­li­chung sei­ner Pro­gramm­codes und Ge­schäfts­un­ter­la­gen er­lei­det, hält er für sehr gross. «Wahr­schein­lich wird die Fir­ma des­we­gen ein­ge­hen.» Die Kun­den wür­den dann oh­ne jeg­li­chen Sup­port und Up­dates für ih­re teu­re ein­ge­kauf­te Über­wa­chungs­soft­ware da­ste­hen.

Ge­mäss dem Mail­ver­kehr zwi­schen der Kan­tons­po­li­zei Zü­rich und «Hacking Team» soll­te für die Soft­ware ein Ver­trag über drei Jah­re ab­ge­schlos­sen wer­den. Rund ein hal­bes Jahr nach der Lie­fe­rung ist nun frag­lich, was da­mit ge­sche­hen wird.

«Ga­li­leo» hat Hin­ter­ein­gang

Ruef hat sich ein­zel­ne Tei­le des ver­öf­fent­lich­ten Pro­gramm­codes nä­her an­ge­schaut und da­bei Hin­wei­se auf ei­ne so­ge­nann­te Back­door fest­ge­stellt, die dem Her­stel­ler der Soft­ware den Fern­zu­griff auf «Ga­li­leo» er­mög­licht. Die Mai­län­der Fir­ma hät­te al­so die Mög­lich­keit ge­habt, die Zür­cher Kan­tons­po­li­zei und an­de­re Kun­den bei ih­rer Über­wa­chungs­tä­tig­keit zu über­wa­chen. «Hacking Team» weist die­sen Vor­wurf in ih­rer Mit­tei­lung klar zu­rück. Für Ruef ist klar: «Der Ein­satz die­ser Soft­ware ist ei­nes Rechts­staa­tes un­wür­dig und tech­no­lo­gisch be­denk­lich. Über­wa­chungs­soft­ware, die po­li­zei­lich ein­ge­setzt wird, muss ei­ner sehr stren­gen Qua­li­täts­kon­trol­le un­ter­lie­gen.» Bei ei­ner aus­län­di­schen Fir­ma sei dies für Schwei­zer Be­hör­den je­doch kaum mög­lich. Ge­nau die­se Er­fah­rung hat die Zür­cher Kan­tons­po­li­zei nun ge­macht, und da­für teu­er Lehr­geld be­zahlt. «Mit die­ser An­schaf­fung wur­den 500,000 Eu­ro in den Sand ge­setzt», sagt Ruef.

Er­le­digt ha­ben dürf­te sich das The­ma der Über­wa­chung von PCs von Per­so­nen, die im Ver­dacht ste­hen, schwe­re Ver­bre­chen zu be­ge­hen, je­doch nicht. Mit der vom Par­la­ment be­schlos­se­nen Re­vi­si­on des Bun­des­ge­set­zes be­tref­fend die Über­wa­chung des Post- und Fern­mel­de­ver­kehrs (Büpf) soll da­für ei­ne sau­be­re recht­li­che Grund­la­ge ge­schaf­fen wer­den. «Ich bin nicht kom­plett ge­gen den Ein­satz von Tro­ja­ner­soft­ware durch die Be­hör­den. Aber die tech­ni­schen, recht­li­chen und ethi­schen An­for­de­run­gen sind in die­sem Be­reich enorm hoch», sagt Ruef. Staats­tro­ja­ner müss­ten aus sei­ner Sicht des­halb zwin­gend im In­land pro­gram­miert wer­den, und von staat­li­chen Stel­len sehr ge­nau über­prüft wer­den, be­vor sie ein­ge­setzt wer­den.