Aus unserer beliebten Reihe “Sicherheitsmaßnahmen, die nach hinten losgehen” heute: Wie ein Drogenboss seine Leute bespitzelte und sich damit selbst dem FBI zum Fraß vorwarf.

Der mexikanische Drogenboss El Chapo ist nicht paranoid – er hat tatsächlich mächtige Feinde: andere Drogenhändler, Verräter in den eigenen Reihen, die mexikanische Polizei, das FBI. Wer solche Gegner hat, muss sich schützen. Aber wie? El Chapo verfiel auf die Idee, enge Freunde mit Hilfe von Schadprogrammen auf ihren Android-Handys auszuspionieren. Das ging nach hinten los.

Wie das so ist mit Spionageprogrammen: Man kann nie sicher sein, dass die Dinger nicht von der Gegenseite geknackt und ausgenutzt werden. So gelang es dem FBI, El Chapos Admin zu rekrutieren. Mit dessen Hilfe arbeiteten sich die Ermittler schrittweise in die Kommunikationskanäle des Drogenbosses vor. Sie erbeuteten kryptografische Schlüssel und konnten beim Anbieter des Spionageprogramms umfangreiche Daten von El Chapo beschlagnahmen.

OK, in diesem Fall haben “die Guten” gewonnen. Aber niemand kann garantieren, dass so etwas nicht auch umgekehrt passiert: Dass ein Staatstrojaner von Kriminellen erbeutet und für ihre Zwecke eingesetzt wird. Oh, verflixt: Es ist ja schon passiert! Das ausgefeilte staatliche Sabotageprogramm ” Stuxnet” ist ebenso in die freie Wildbahn gelangt wie etliche NSA-Schadprogramme, die Angriffsmethoden der italienischen Firma ” Hacking Team” sowie der deutsche Staatstrojaner.

Wenn Überwachungsprogramme also die Sicherheit schwächen statt sie zu erhöhen, wie sieht dann ein sinnvoller Schutz kritischer Geschäftsprozesse aus? Zum Glück haben legal operierende Unternehmen weit weniger Schutzbedarf als mexikanische Drogenbosse. Schließlich brauchen sie nicht mit dem FBI als Gegner zu rechnen. Das ist übrigens ein Gedankengang der Risikobewertung: Damit fängt jedes Sicherheitskonzept an. Welche Maßnahmen dann tatsächlich sinnvoll sind, ergibt sich daraus. Wir erstellen Ihnen gerne so ein Konzept. Verwanzte Handys kommen darin in der Regel nicht vor.