Das Bundesgericht Kanadas hat eine redigierte Fassung einer Entscheidung veröffentlicht, die bestätigt, dass der kanadische Nachrichtendienst CSIS eine richterliche Genehmigung für ferngesteuerte Eingriffe in kompromittierte Server, Heimrouter und IoT-Geräte im Staatsgebiet erhalten hat, um zwei von ausländischen Staaten gesteuerte Botnetze zu zerschlagen. Dies ist der erste öffentlich bestätigte Fall, in dem CSIS seine Befugnisse zur Gefahrenminderung (threat reduction warrant) nutzt, um bösartige Infrastruktur auf Geräten Dritter aktiv zu zerstören. Die Entscheidung betrifft Besitzer von SOHO-Routern, IoT-Geräten und Servern in Kanada und schafft zugleich einen rechtlichen Präzedenzfall für nachrichtendienstliche Botnet-Desinfektionsoperationen in demokratischen Staaten.
Chronologie und rechtliche Grundlage der Operation
Nach dem veröffentlichten Urteil des Bundesgerichts erließ Richterin Catherine Kane den Beschluss am 1. Mai 2024, verlängerte ihn im August desselben Jahres, und die vertrauliche Begründung wurde im Februar 2026 ausgearbeitet. Das Dokument blieb über zwei Jahre lang unter Verschluss, bevor im Juni eine redigierte Fassung veröffentlicht wurde.
Der Beschluss räumte CSIS das Recht ein, Daten der Botnetze auf infizierten Maschinen zu verändern, zu beeinträchtigen und zu vernichten sowie Geräte von den bösartigen Netzwerken zu trennen. Das Gericht stellte fest, dass die Bedrohung für die Sicherheit Kanadas „klar festgestellt und unmittelbar bevorstehend“ war und dass die ergriffenen Maßnahmen notwendig, angemessen und verhältnismäßig seien.
Ein zentraler Punkt: CSIS war gezwungen, eine richterliche Genehmigung einzuholen, da das ferngesteuerte Eindringen in fremde Geräte und das Löschen von Daten nach dem kanadischen Strafgesetzbuch als Computer-Sabotage gilt. Das Gericht betonte, dass die Operation sich gegen Geräte, nicht gegen Personen richtete: Nutzer wurden nicht identifiziert, Kommunikationsinhalte nicht abgefangen, und alle zufällig erhobenen personenbezogenen Daten mussten vernichtet werden.
Betroffene Geräte und technische Architektur
Ziele der Operation waren in Kanada befindliche Server, Router für kleine Büros und Heimgebrauch (SOHO) sowie IoT-Geräte: Türklingeln von Ring, Überwachungskameras, Fernseher und andere über Wi-Fi angebundene Haushaltsgeräte.
Beide Botnetze nutzten eine typische mehrstufige Relay-Architektur: Die Kommandoebene erteilte Anweisungen, und die Schicht infizierter Geräte leitete den Datenverkehr weiter. Durch das Routen des Datenverkehrs über gekaperte kanadische Geräte tarnte sich der ausländische Staat als gewöhnlicher Heimanschluss oder regulärer Kunde eines Internetproviders und betrieb gleichzeitig Aufklärung gegen kritische Infrastrukturen sowie Regierungs- und Militärnetze. Der Besitzer einer infizierten Türklingel erschien in den Protokollen damit als Verantwortlicher für Datenverkehr, den er nie selbst erzeugt hatte.
Kontext: Vergleich mit FBI-Operationen
Die kanadische Operation fällt zeitlich mit einer Reihe von gerichtlichen Botnetz-Zerschlagungen in den USA zusammen. Im Dezember 2023 nutzte das FBI den Kommandokanal des Botnetzes KV-botnet, um Schadsoftware von Hunderten amerikanischer SOHO-Router zu entfernen – überwiegend veraltete Modelle von Cisco und NetGear, die Berichten zufolge von der China-nahen Gruppe Volt Typhoon verwendet wurden, um ihren Zugriff auf Systeme der Kommunikations-, Energie-, Wasser- und Transportinfrastruktur zu verschleiern. Einige Wochen später wurde eine ähnliche Operation gegen ein Netz von Routern von Ubiquiti durchgeführt, das mutmaßlich von der mit dem russischen GRU in Verbindung gebrachten Gruppe APT28 in ein Spionage-Relaynetz verwandelt worden war.
Der entscheidende rechtliche Unterschied: Die amerikanischen Operationen wurden von Strafverfolgungsbehörden (FBI und Justizministerium) im Rahmen von Befugnissen zu Durchsuchung und Beschlagnahme durchgeführt. Die kanadische Operation ist eine Maßnahme eines Nachrichtendienstes, der einen Mechanismus aktiver Gefahrenminderung nutzt und nicht bloß Informationen sammelt. Diese Befugnisse wurden im CSIS-Gesetz verankert und im National Security Act 2017 überarbeitet, der 2019 in Kraft trat. Bis zu diesem Fall hatte CSIS diese Befugnisse nie in dieser Form eingesetzt.
Attribution und offene Fragen
Die öffentliche Entscheidung bestätigt die Beteiligung von zwei ausländischen staatlichen Gegnern, deren Identität jedoch im Dokument vollständig geschwärzt ist. Chronologie und eingesetzte Techniken decken sich mit Aktivitäten, die China und Russland zugeschrieben werden, doch die redigierte Fassung lässt nicht erkennen, ob beide Botnetze zu demselben Staat oder zu unterschiedlichen gehörten.
Eine eigenständige Rechtsfrage bleibt ungeklärt. Nach Angaben sekundärer Quellen stützte sich der Antrag von CSIS auf IP-Adressen, die ohne richterlichen Beschluss erhoben wurden – und das kurz nachdem der Oberste Gerichtshof Kanadas im Verfahren R. v. Bykovets entschieden hatte, dass für IP-Adressen ein berechtigtes Privatsphäreninteresse besteht. Ob diese Erhebung mit den Befugnissen von CSIS vereinbar war und ob die Eigentümer der bereinigten Geräte informiert wurden, ist öffentlich nicht geklärt.
Praktische Empfehlungen
Staatliche Bereinigungsaktionen entfernen zwar die Schadsoftware, sie beseitigen aber nicht die Schwachstellen, die die Infektion ursprünglich ermöglicht haben. Die Erfahrung mit den US-Operationen hat gezeigt: Ein Neustart oder das Zurücksetzen auf Werkseinstellungen kann die Korrektur rückgängig machen und das Gerät erneut für Infektionen öffnen. Die Verantwortung für den Schutz liegt beim Eigentümer der Geräte.
- Ausmusterung veralteter Router, für die der Hersteller keine Firmware-Updates mehr bereitstellt (in erster Linie nicht mehr unterstützte Modelle von Cisco und NetGear).
- Firmware aktualisieren aller SOHO-Router und IoT-Geräte auf die jeweils neueste verfügbare Version.
- Standard-Zugangsdaten ändern auf allen Geräten mit Web-Administrationsoberfläche.
- Externen Zugriff auf Managementoberflächen schließen von Routern und IoT-Geräten – die Administrationsoberfläche darf nicht aus dem Internet erreichbar sein.
- Netz segmentieren: IoT-Geräte (Kameras, Türklingeln, Fernseher) sollten in einem separaten VLAN-Segment betrieben werden, das von Workstations und Servern isoliert ist.
- Ausgehenden Verkehr überwachen auf ungewöhnliche Verbindungen zu unbekannten externen IP-Adressen, insbesondere von Geräten, die üblicherweise keine solchen Verbindungen initiieren sollten.
Der kanadische Präzedenzfall zeigt, dass staatliche Nachrichtendienste beginnen, aktive Eingriffsmechanismen zur Bekämpfung von Botnetzen einzusetzen – doch jede solche Aktion bleibt ein einmaliger Eingriff und bietet keine systematische Schutzmaßnahme. Die einzige nachhaltige Lösung ist der Austausch nicht mehr gewarteter Hardware und das Schließen ins Internet exponierter Administrationsschnittstellen. Organisationen und Privatanwender, die SOHO-Router und IoT-Geräte betreiben, sollten ihre Ausstattung jetzt überprüfen, statt abzuwarten, bis ihre Geräte Teil des nächsten Relay-Netzes eines ausländischen Nachrichtendienstes werden.
