acepoint’s home

  Ein vernichtendes Urteil über den möglichen Einsatz von Bundestrojanern fällte Professor Hartmut Pohl (FB Informatik an der FH Bonn-Rhein-Sieg) in einem Aufsatz für die Zeitschrift Datenschutz u. Datensicherheit. Er anaylsierte bekannt gewordene Online-Durchsuchungen der letzten drei Jahre und die damit verbundenen Technik ("Less-than-Zero-Day-Exploits"). Professor Pohl kam außerdem zu dem Ergebnis, daß neben dem Vertrauensschaden die hohen Entwicklungskosten, das "Züchten" einer Szene und der im Sommer verabschiedete $202c StGB ("Hackerparagraph") Unternehmen und Privatpersonen schädigen würde.

 Pohl führte in seinem Aufsatz etwa ein Dutzend seit 2005 bekannt gewordene Online-Durchsuchungen des BND an, von denen etwa ein Viertel im Auftrag anderer Behörden durchgeführt worden seien. Er stellte drei Verfahren vor, mit denen Behörden auf die Rechner ihrer Opfer gelangen könnten:

• Viren, Würmer und Trojanische Pferde
• Zero-Day-Exploits
• Less-Than-Zero-Day-Exploits

 Von diesen drei "Verfahren" sei allerdings nur das letztere dazu geeignet, den Wünschen Schäubles zu entsprechen. Bei "Less-Than-Zero-Day-Exploits" wird eine Schwachstelle in einer Anwendung und deren Ausnutzung zwar entdeckt, von einer Veröffentlichung aber abgesehen, meist mit dem Ziel, sein Know-How an den Hersteller zu verkaufen oder gewinnbringend über einen grauen Markt zu veräußern. Laut Professor Pohl stehe dies im Gegensatz zu der Verpflichtung Deutscher Behörden, speziell des Bundesinnenministeriums, vor Sicherheitslücken und Schwachstellen zu warnen.

 Pohl räumte auch mit dem Vourteil auf, der Bundestrojaner werde aus einem eindeutigen Schadcode bestehen. Vielmehr beinhalte eine Online-Durchsuchung ein Bündel von unterschiedlichen Maßnahmen. Ebenso wies er auf die Gefahren hin, die der $202c StGB berge, da die Strafbarkeit vom Zweck des Tools abhänge und nicht von den Zielen oder Aktivitäten der Handelnden. Jeder, der sich zukünftig mit z.B. "Less-Than-Zero-Day-Exploits" befasse, mache sich strafbar. Ausländischer Wirtschaftsspionage sei damit Tür und Tor geöffnet.

[Update] 

 Passend dazu hat "die Zeit" heute eine Glosse unter dem Titel "Trojanische Horde" veröffentlicht, in der auf die Zusammenhänge Bundestrojaner, Hackerparagraph, Linux und Bundesaußenministerium eingangen wird. Lesenswert! 

 Für einiges Aufsehen sorgte die Bundesregierung in den letzten Tagen, möglicherweise jedoch eher unbeabsichtigt. In einem Antwortpapier auf einen Fragenkatalog der SPD-Bundestagsfraktion erläuterte ein Mitarbeiter des Innenministeriums, wie dieses sich den Einsatz des sogenannten "Bundestrojaners" vorstelle und legte außerdem dar, wie der vom Bundesverfassungsgericht geforderte Schutz der Privatsphäre gewährleistet werden solle. Alles in allem klingen die Beschreibungen in dem Papier jedoch mehr als abenteuerlich.  Fast zeitgleich veröffentlichte der Spiegel einen Artikel,  in dem beschrieben wird, wie zahlreiche Computer im Kanzleramt und in drei Ministerien von Trojanern befallen gewesen seien, die der Übermittlung von Daten nach China dienten.

 Sowohl  das  Schreiben des Innenministeriums,  als auch die Reaktionen der Regierung auf  die Entdeckung der  infizierten Rechner lassen nicht wirklich auf geballte Kompetenz schließen. Hatten die früheren (illegalen) Versuche unserer Fahnder, Computer online zu überprüfen, noch ihren Ursprung in CDs, die bei den Betroffenen einfach in den Briefkasten geworfen wurden (in der Hoffnung, daß diese die darauf befindliche Software ungeprüft starten würden), soll der Angriff nun über E-Mail-Anhänge, z.B. Word- oder MS-Powerpointdateien erfolgen. Eine zweite Variante bestehe im Clonen der PC-Festplatten, die dann anschließend durch mit RFS (Remote Forensic Software) versehene Platten ersetzt werden sollen. Das Risiko einer Entdeckung bezeichnte das Innenministerium als gering. Sollte der Besitzer eines observierten PCs wider Erwarten doch mißtrauisch werden, könne man das Virus einfach entfernen. Auch der Schutz der Privatsphäre sei durch Einsatz bestimmter "technischer Maßnahmen" gewährleistet.

 Unabhängig von der verfassungsrechtlichen Fragwürdigkeit erinnert mich dieses Vorgehen eher an einen schlechten Sat1-Film denn an IT-Kompetenz. Ich stelle mir gerade vor, wie ich eine E-Mail mit einer "Ist wirklich lustig" Powerpoint-Datei erhalte. Innen drin befindet sich dann ein Trojaner mit einem Algorithmus, der "Meine geheimsten Sexphantasien.doc" in Ruhe lässt, aber die im gleichen Verzeichnis befindlichen Dateien "Anleitung zum Bombenbau.pps" und "Mitgliedsbeiträge Al Quaida.xls" an den Verfassungsschutz sendet.

 Offenbar befindet sich der Wissensstand der Mitarbeiter des Innenministeriums auf gleichem Niveau wie das IT-Knowhow im Bundeskanzleramt und drei weiteren Ministerien. Dort wurden nämlich tatsächlich Trojaner entdeckt und – laut Aussage des BMI und des Verfassungsschutzes – die Übermittlung von etwa 160GB Daten an eine Adresse in China "gerade noch rechtzeitig" verhindert. Wie die ermittelnden Beamten so sicher sein können, daß wirklich nichts nach China übertragen wurde, bleibt mir allerdings ein Rätsel.

 Vielleicht sollte Schäuble unserer Bundeskanzlerin, die sich gerade auf dem Weg nach China befindet, einen Fragenkatalog mitgeben und sich den professionellen Einsatz von Spionagesoftware von chinesischen Spezialisten mal so richtig erklären lassen. Und der Verfassungsschutz nimmt am nächsten Camp des CCC teil – wenn die Schlapphüte nicht sowieso schon (unentdeckt) beim letzten Treffen waren.