Datenschutz: So schnüffelt der Behörden-Trojaner
© Bild:
2011 Getty Images/Nick Koudis
Es klingt wie eine Geschichte aus George Orwells Roman "1984" über einen Überwachungsstaat: Der Chaos Computer Club (CCC) hat in Deutschland einen Trojaner gefunden, der die Bürger im großen Maßstab - wohl auch rechtswidrig - ausspähen kann. Laut den Hackern ist die Schnüffelsoftware nicht nur in der Lage, Internettelefonate abzuhören. "Sogar ein digitaler großer Lausch- und Spähangriff ist möglich, indem ferngesteuert auf das Mikrophon, die Kamera und die Tastatur des Computers zugegriffen wird", schreiben die Computerexperten auf ihrer Website.
Die Software kann demnach auch Programmcodes aus dem Netz nachladen und dann mit beliebiger weiterer Schadsoftware verfassungswidrige Aktionen durchführen. Bei der technischen Umsetzung seien die Programmierer zudem so schlampig vorgegangen, dass nicht nur Behörden diesen Code nutzen könnten, sondern auch Dritte. FTD.de beantwortet die wichtigsten Fragen.
Der Name "Trojaner" für eine Schadsoftware spielt auf das Trojanische Pferd in der griechischen Mythologie an. Das riesige Holzpferd hatten die Griechen nach vergeblicher Belagerung vor Troja scheinbar zurückgelassen. Nachdem die Trojaner es in die Stadt gezogen hatten und sich in Siegerlaune betranken, krochen nachts aus dem Inneren Soldaten heraus, die sich im Bauch des Pferdes versteckt hatten. Diese öffneten die Stadtmauern und ließen das Heer der Griechen ein.
Im digitalen Zeitalter täuschen Trojaner vordergründig eine nützliche Anwendung vor. Im Hintergrund erfüllen sie indes eine ganz andere Funktion: Kriminelle nutzen sie beispielsweise, um Passwörter für E-Mail-Konten abzufangen oder Onlinebanking zu manipulieren. Dabei werden unter anderem Tastatur-Eingaben des Anwenders ausspioniert.
Verbreitet werden Trojaner meist über manipulierte E-Mails oder das Internet. So werden Anwender beispielsweise mit einem Lockangebot aufgefordert, eine Software zu installieren. Folgt der User dieser Aufforderung, nistet sich der Schädling auf dem Computer ein.
Der Schädling ist für Computer mit Microsofts Windows-Betriebssystem programmiert. Nach der Installation bleiben zwei Dateien, mfc42ul.dll und winsys32.sys, die beim Systemstart ausgeführt werden. Über den Explorer - das Windows-Programm, das zur Anzeige von Schreibtisch und Dateiordnern verwendet wird - baut der Trojaner dann eine Verbindung zu seiner Kommandozentrale auf und wartet auf weitere Befehle.
Diese Kommandozentrale ist ein handelsüblicher Internet-Server, gemietet vom Rechenzentrumsbetreiber Web Intellect im US-Bundesstaat Ohio (ab 6,95$ im Monat). Von dort aus können die Ermittler diverse Kommandos an den Trojaner schicken - der CCC hat insgesamt zehn davon analysiert, unter anderem die Live-Übertragung des Bildschirminhaltes und die Löschung des Trojaners inklusive anschließendem Neustart des infizierten Rechners. Besonders scharfe Kritik üben die Experten des CCC an Kommando 14 - der Trojaner installiert dann ein beliebiges weiteres Programm aus dem Netz und führt es aus. Die Behörden haben dadurch beliebigen Zugriff auf infizierte Computer.
Der CCC ist der Ansicht, gravierende Sicherheitslücken entdeckt zu haben, die der Trojaner in infiltrierte Systeme reißt. Diesen Angaben zufolge sind die ausgeleiteten Bildschirmfotos und Audio-Daten "auf inkompetente Art und Weise" verschlüsselt. Zudem seien weder die Kommandos an den Trojaner noch dessen Antworten durch irgendeine Form der Authentifizierung geschützt. "So können nicht nur unbefugte Dritte den Trojaner fernsteuern, sondern bereits nur mäßig begabte Angreifer sich den Behörden gegenüber als eine bestimmte Instanz des Trojaners ausgeben und gefälschte Daten abliefern", schreiben die Hacker. "Es ist sogar ein Angriff auf die behördliche Infrastruktur denkbar."
Weil es offenbar für einen beliebigen Angreifer ohne weiteres möglich ist, die Kontrolle über einen von deutschen Behörden infiltrierten Computer zu übernehmen, fällt das Urteil der Computerexperten hart aus. Die Schnüffelsoftware erfülle nicht einmal die elementarsten Sicherheitsanforderungen: "Das Sicherheitsniveau dieses Trojaners ist nicht besser, als würde er auf allen infizierten Rechnern die Passwörter auf '1234' setzen."
Zunächst war unklar, welche Behörden die geknackte Spähsoftware eingesetzt haben. Laut einem seiner Sprecher sind dem CCC die infizierten Festplatten anonym zugespielt worden. Er ging davon aus, dass eine Landesbehörde hinter dem Trojaner steckt - und sollte recht behalten.
Der "Staats-Trojaner" stammt aus Bayern. Laut Innenminister Joachim Herrmann (CSU) kann die Software einem Ermittlungsverfahren der Landespolizei von 2009 zugeordnet werden. Das Landeskriminalamt habe alle rechtlichen Vorgaben eingehalten. Nach der Entscheidung des Bundesverfassungsgerichts zur Online-Durchsuchung 2008 sei die Online-Überwachung zulässig, wenn sie sich "ausschließlich auf Daten aus einem laufenden Telekommunikationsvorgang beschränkt und dies durch technische Vorkehrungen und rechtliche Vorgaben sichergestellt wird", sagte der CSU-Politiker. Die Ermittler hätten demnach nicht auch noch die Festplatte ausgeforscht. Das wäre ohne eigene richterliche Genehmigung verboten.
- Computerviren So funktioniert Trojaner-Software
- Umstrittene Onlineüberwachung Bundestrojaner ist in Wahrheit ein Bayerntrojaner
- Schnüffelprogramm Bayerntrojaner - Gegen das Gesetz
- Enthüllung des Chaos Computer Clubs "Bundestrojaner" unter Verdacht
- Vorwurf Verfassungsbruch Chaos Computer Club knackt "Bundestrojaner"
- Überwachungssoftware CCC findet Mängel im Bundestrojaner
Mehr zu: Datenschutz, Hacker, Trojaner
Der Landshuter Rechtsanwalt Patrick Schladt erklärte zu dem Fall: "Aufgespielt wurde der Trojaner bei Gelegenheit einer Kontrolle meines Mandanten durch den Zoll auf dem Münchener Flughafen." Er äußerte den Verdacht, dass Bundesbehörden mit im Spiel seien. Der Berliner Innenminister Hans-Peter Friedrich (CSU) verneinte dies. Seinen Angaben zufolge gibt es keine Hinweise, dass die seinem Haus unterstellten Behörden die Software angewandt hätten. Ihm zugeordnet sind der Bundesverfassungsschutz, das Bundeskriminalamt und die Bundespolizei.
Im Frühjahr war bekannt geworden, dass bayerische Ermittler mit Hilfe der Software nicht nur Telefongespräche überwacht, sondern auch alle 30 Sekunden Bildschirmfotos ("screenshots") vom Rechner eines Verdächtigen aufgenommen hatten, sobald dieser seinen Internetbrowser oder die Chatsoftware Skype benutzte. Ermittelt wurde gegen den Mann wegen Verdachts auf Drogenhandel.
In seinem Urteil zur Onlinedurchsuchung hat das Bundesverfassungsgericht Anfang 2008 hohe Hürden für den Einsatz staatlicher Schnüffelsoftware definiert. Demnach dürfen BKA und Landeskriminalämter nur auf richterliche Anordnung und bei schweren Straftaten die Kommunikation von Verdächtigen bereits vor der Verschlüsselung abfangen.
Voraussetzung für eine präventive Onlinedurchsuchung ist, dass eine konkrete Gefahr für Menschenleben oder den Bestand des Staates existiert. Der damalige Innenminister Wolfgang Schäuble(CDU) kündigte nach dem Grundsatzurteil an, das BKA werde die Onlinedurchsuchung nur in wenigen, aber sehr gewichtigen Fällen im Kampf gegen den Terrorismus anwenden.
Die Onlinedurchsuchung muss zudem von einem Richter angeordnet werden. Damit das Grundrecht auf die Vertraulichkeit von Computerdaten garantiert ist, beschränkte das Gericht den Zugriff auf "Daten eines laufenden Telekommunikationsvorgangs". Intime Notizen oder nicht versandte Mails sind dagegen für den Staat tabu. Genau die können deutsche Ermittlungsbehörden aber offenbar durch den Einsatz der Spionagesoftware einsehen. Lückenlos können sie nach Angaben des CCC die Bildschirminhalte des betroffenen Rechners dokumentieren. Dies wäre ein klarer Verstoß gegen das Gerichtsurteil.
Auch wenn das Bundeskriminalamt (BKA) nicht involviert sein sollte, ist das Bekanntwerden des offenbar bewussten Verstoßes gegen die Vorgaben des Verfassungsgerichts ein Debakel für all jene Innenpolitiker, die die Überwachungsmöglichkeiten des Staates etwa durch die Vorratsdatenspeicherung ausweiten wollen. So forderte der Vorsitzende des Innenausschusses im Bundestag, Wolfgang Bosbach (CDU), den CCC auf, seine Vorwürfe gegen die Behörden zu belegen. Es könne sich bei dem Trojaner ja auch um ein Vorführ-Programm handeln, das aber nicht angeschafft worden sei. Die SPD will für die kommende Woche eine Ausschusssitzung zu dem Thema beantragen.
Dass Ermittler vielleicht einen Verfassungsbruch in Kauf genommen haben, dürfte auch die Debatte um eine Neuregelung der Vorratsdatenspeicherung beeinflussen. 2010 hatte das Verfassungsgericht die damalige Regelung gekippt und klare Mindeststandards zum Datenschutz vorgegeben. Anhängern der Datenspeicherung wird es nun schwerer fallen zu argumentieren, dass die Behörden rechtliche Grenzen achten und ihre Befugnisse sorgsam nutzen.
Bundesjustizministerin Sabine Leutheusser-Schnarrenberger (FDP) zeigte sich alarmiert über die Sicherheitslücken. Es sei "mehr als beunruhigend", dass die Argumente der Beschwerdeführer, die gegen die Onlinedurchsuchung geklagt hatten, jetzt bestätigt würden, sagte sie. "Noch beunruhigender ist, wenn staatliche Überwachungssoftware sich nicht an die rechtlichen Grenzen des Zulässigen oder Nichtzulässigen hält", fügte Leutheusser-Schnarrenberger hinzu und forderte Aufklärung.
Der Bundesdatenschutzbeauftragte kündigte an, die von den Sicherheitsbehörden eingesetzte Überwachungssoftware unverzüglich zu überprüfen. Peter Schaar sagte: "Es darf nicht sein, dass beim Abfangen verschlüsselter Internet-Kommunikation auf dem Computer durch die Hintertür auch eine Onlinedurchsuchung des gesamten Rechners durchgeführt werden kann."
Die Hersteller von Antiviren-Software haben den Code vom CCC erhalten - aktuelle Versionen ihrer Schutzprogramme sollten die behördliche Schadsoftware daher indentifizieren und entfernen können. In Unternehmen können die Verwalter von Computernetzen die Verbindung zwischen Trojaner und der Kommandozentrale unterbinden und die Software auf diese Weise lahmlegen. Da dieser Trojaner auf Apple-Rechnern und Linux-Systemen nicht funktioniert, bieten auch diese Systeme einen gewissen Schutz.
-
FTD.de, 10.10.2011
© 2011 Financial Times Deutschland,
© 1999 - 2012 Financial Times Deutschland
Aktuelle Nachrichten über Wirtschaft, Politik, Finanzen und Börsen
Börsen- und Finanzmarktdaten:
Bereitstellung der Kurs- und Marktinformationen erfolgt durch die Interactive Data Managed Solutions AG. Es wird keine Haftung für die Richtigkeit der Angaben übernommen!
Über FTD.de | Impressum | Datenschutz | Disclaimer | Mediadaten | E-Mail an FTD | Sitemap | Hilfe | Archiv
Mit ICRA gekennzeichnet
VW | Siemens | Apple | Gold | MBA | Business English | IQ-Test | Gehaltsrechner | Festgeld-Vergleich | Erbschaftssteuer
G+J Glossar
Partner-Angebote
Aktuelle Nachrichten über Wirtschaft, Politik, Finanzen und Börsen
Börsen- und Finanzmarktdaten:
Bereitstellung der Kurs- und Marktinformationen erfolgt durch die Interactive Data Managed Solutions AG. Es wird keine Haftung für die Richtigkeit der Angaben übernommen!
Über FTD.de | Impressum | Datenschutz | Disclaimer | Mediadaten | E-Mail an FTD | Sitemap | Hilfe | Archiv
Mit ICRA gekennzeichnet
VW | Siemens | Apple | Gold | MBA | Business English | IQ-Test | Gehaltsrechner | Festgeld-Vergleich | Erbschaftssteuer
G+J Glossar
Partner-Angebote