CCC

Hacker spüren Sicherheitslücke im "Staatstrojaner" auf

10.10.2011
Der Programmierer des "Bundestrojaners" muss wohl ein Star-Wars-Fan gewesen sein: C3PO-r2d2-POE lautete das Passwort zur Übertragung der erschnüffelten Daten auf einen Server in den USA.

Der Programmierer des "Bundestrojaners" muss wohl ein Star-Wars-Fan gewesen sein: C3PO-r2d2-POE lautete das Passwort zur Übertragung der erschnüffelten Daten auf einen Server in den USA.

von Thomas Cloer, Computerwoche


C-3PO und POE sind Roboter aus den Star-Wars-Filmen, die wie Menschen aussehen. R2-D2 ist der knubbelige Roboter, der wie ein Mechaniker Raumschiffe reparieren kann. Doch es geht nicht um Science-Fiction: Die Software, die mit diesen Passwörtern arbeitet, überschreitet nach den Erkenntnissen der Experten vom Chaos Computer Club eindeutig die Grenze, die das Bundesverfassungsgericht im Februar 2008 für die Online-Überwachung von Tatverdächtigen gezogen hat.

Die Hacker erhielten in den vergangenen Wochen anonym mehrere Pakete zugeschickt, in denen sich Festplatten befanden, die mit einer Computerwanzensoftware befallen waren. Der Chaos Computer Club ordnet diesen Trojaner eindeutig den staatlichen Strafverfolgern zu. Und auch der Antiviren-Spezialist F-Secure sieht "keinen Anlass, die Erkenntnisse des CCC anzuzweifeln".

Das zuständige Bundesinnenministerium ging am Sonntag zunächst auf Tauchstation - dann dementierte die Behörde am Nachmittag zumindest für das BKA: "Das Bundeskriminalamt hat den (..)sogenannten Trojaner nicht eingesetzt", sagte ein Sprecher. Ob andere Ermittlungsbehörden die Überwachungssoftware eingesetzt haben könnten, ließ er offen: "Im Übrigen sind die zuständigen Justiz- und Sicherheitsbehörden des Bundes und der Länder jeweils eigenständig für die Einhaltung technischer und rechtlicher Vorgaben verantwortlich."

Die Mitarbeiter von Bundesinnenminister Hans-Peter Friedrich (CSU) waren seit Freitag vorgewarnt: Da überbrachte der ehemalige Bundestagsvizepräsident Burkhard Hirsch (FDP) dem Ministerium die Recherche-Ergebnisse des Vereins, damit die Strafverfolger eventuell laufende Überwachungsaktionen noch kontrolliert beenden können.

Im Vorfeld der Enthüllung des CCC hatte ein Sprecher des Bundesinnenministeriums am Freitag auf Nachfrage eingeräumt, dass staatliche Stellen Programme zu Telekommunikationsüberwachung an der Quelle (Quellen-TKÜ) einsetzen. Dabei hielten sich die Ermittler an die gesetzlichen Vorgaben, die im BKA-Gesetz und diversen Landesgesetzen festgeschrieben seien. Die Aktionen müssten auch immer durch einen Richter angeordnet sein.

Stimmen die Vorwürfe des Chaos Computer Clubs, halten sich die Strafverfolger in Deutschland aber nicht an diese Grenzen. Nach der Analyse der Hacker belauscht die "Regierungs-Malware" nämlich nicht nur Telefonate, die mit Programmen wie Skype über das Internet geführt werden. Das Programm sei auch in der Lage, in schneller Folge Bildschirmfotos von den Inhalten des Webbrowsers oder von Chat- und E-Mail-Programmen zu machen.

Reaktionen auf die CCC-Enthüllung

Der Bundesdatenschutzbeauftragte Peter Schaar hat beklagt, dass die Sicherheitsbehörden teilweise in einer rechtlichen Grauzone arbeiten. Er kündigte in der "Neuen Osnabrücker Zeitung" (Montag) an, die Überwachungssoftware zu überprüfen. "Es darf nicht sein, dass beim Abfangen verschlüsselter Internet-Kommunikation auf dem Computer durch die Hintertür auch eine Online-Durchsuchung des gesamten Rechners durchgeführt werden kann."

Schaar sagte: "Der Einsatz von Überwachungssoftware ist nur lückenhaft geregelt. Während für das Bundeskriminalamt zur Abwehr schwerster Verbrechen eindeutige gesetzliche Vorgaben bestehen, fehlen vergleichbar klare Auflagen für Polizei und Staatsanwaltschaft im Bereich der Strafverfolgung." Hier sei der Gesetzgeber gefordert.

Der parlamentarische Geschäftsführer der FDP-Bundestagsfraktion, Christian Ahrendt, forderte in der "Neuen Osnabrücker Zeitung" ein konsequentes Durchgreifen: "Sollten sich Behörden im aktuellen Fall verselbstständigt haben, kann das nicht ohne personelle Konsequenzen bleiben."

Der FDP-Politiker und frühere Bundesinnenminister Gerhard Baum sagte in HR-Info, jetzt sei der Bundestag gefordert. "Ich möchte gerne wissen, wer hat das gemacht, welche Polizei- oder Sicherheitsbehörde in wie vielen Fällen." Der Chaos Computer Club sei glaubwürdig und habe offenbar klare Beweise vorliegen.

Auch der frühere Bundestagsvizepräsident und FDP-Politiker Burkhard Hirsch forderte in der "Passauer Neuen Presse" (Montag) Konsequenzen. "Der Bundesinnenminister muss hier Klarheit schaffen und Stellung nehmen."

Der SPD-Innenpolitiker Michael Hartmann erklärte, es dürfe nur ausnahmsweise und nur unter höchsten Auflagen möglich sein, einen Rechner auszuspähen. "Es darf aber niemals ein sogenannter Trojaner eingesetzt werden, der eine weitergehende oder beliebige Ausspähung ermöglicht."

Der Vorsitzende des Bundestags-Innenausschusses, Wolfgang Bosbach (CDU), hat unterdessen den CCC aufgefordert, die Vorwürfe des Einsatzes einer Ermittler-Software mit illegalen Möglichkeiten zu belegen. "Sollten sie sich als wahr herausstellen, wäre das selbstverständlich ein ernstzunehmender Vorgang", so Bosbach im Deutschlandfunk. Die Behörden wären dann kriminell vorgegangen. Der Innenausschuss des Bundestages werde sich mit dem Thema beschäftigen.

Einigen Mitgliedern des Innenausschusses sei ehemals eine Software vorgeführt worden, die die vom CCC beschriebenen Fähigkeiten aufweise. Man sei sich deswegen im Ausschuss schnell einig gewesen, dass diese Software nicht angeschafft werde, sagte Bosbach. Er verteidigte Ermittlungen mittels heimlich installierter Computerprogramme aber grundsätzlich: "Das sind Ermittlungsmöglichkeiten auf die der Staat nicht generell verzichten kann, weil er sonst in einer Reihe von Verfahren gar keine Beweise mehr erheben kann."

Soweit der Staat überhaupt Computer infiltrieren darf, "muss er Risiken eines Missbrauchs vorbeugen", wie der ehemalige Bundesverfassungsrichter Wolfgang Hoffmann-Riem erläuterte, der das Karlsruher Urteil zur Online-Durchsuchung mit verantwortet hat. "Es müssen wirkungsvolle Sicherungen eingebaut sein, sonst ist das Vorgehen rechtswidrig", sagte Hoffmann-Riem der "Frankfurter Allgemeinen Zeitung".

"Auch niemals versendete Nachrichten oder Notizen könnten so kopiert werden. Intime Notizen gehörten aber zu dem strikt geschützten Kernbereich, den das Bundesverfassungsgericht bewahrt sehen wollte", schrieb CCC-Sprecher Frank Rieger in der "Frankfurter Allgemeinen Sonntagszeitung". In dem Blatt wurde der Quellcode der Software auf fünf Seiten dokumentiert.

Die Software könne aber nicht nur einen infiltrierten Computer kontrollieren, sondern auch neue Programme aus dem Netz nachladen und installieren. Die Experten des CCC befürchten, dass dabei auch der Manipulation von Ermittlungsergebnissen oder der fälschlichen Beschuldigung von Unschuldigen Tür und Tor geöffnet werde. So könne man belastendes Material wie kinderpornografische Bilder oder Videos auf einem Rechner einschleusen, ohne dass der ahnungslose Anwender davon etwas mitbekommt.

Kostenlose Security-Tools
Immunet Protect
Immunet ist ebenfalls eine Anti-Viren-Lösung, die allerdings einen Cloud-basierten Ansatz nutzt.
Online Armor
Online Armor ist eine kostenlose Firewall für Windows-PCs.
Avira AntiVir Personal
Avira ist eine der bekanntesten kostenlosen Anti-Viren-Lösungen.
Hijack This
HiJack this hilft, infizierte Rechner zu untersuchen.
Spybot Search and Destroy
Spybot sucht auf dem Rechner nach Keyloggern, Spyware und Adware.
Microsoft Security Essentials
Security Essentials ist die kostenlose Anti-Viren-Lösung von Microsoft.
Spamihilator
Die Software ergänzt das E-Mail-Programm und kann unerwünschte Mails erkennen und aussortieren.
Zone Alarm
Zone Alarm ist eine kostenlose Firewall für Windows.
Sophos Anti-Virus for Mac
Sophos liefert einen kostenlosen Anti-Virus für Mac OS.
Secunia PSI
Der Personal Software Inspector von Secunia überprüft die installierten Programme und schlägt gegebenfalls Updates vor.

Steuerzentrale steht in den USA

"Schockiert" waren die CCC-Hacker auch, dass der deutsche Staatstrojaner die Ergebnisse der Online-Schnüffelei rund um den Globus hin und her sendet. "Zur Tarnung der Steuerzentrale werden die ausgeleiteten Daten und Kommandos obendrein über einen in den USA angemieteten Server umgelenkt", heißt es in der Analyse des Clubs. "Die Steuerung der Computerwanze findet also jenseits des Geltungsbereiches des deutschen Rechts statt. Durch die fehlende Kommando-Authentifizierung und die inkompetente Verschlüsselung (..) stellt dies ein unkalkulierbares Sicherheitsrisiko dar". (cw/tc)

Dieser Beitrag stammt von der ChannelPartner-Schwesterpublikation Computerwoche

Zu dieser Angelegenheit hat sich auch Bitkom-Präsident Dieter Kempf geäußert:

„Das Bundesverfassungsgericht hat aus guten Gründen sehr hohe Hürden für Online-Durchsuchungen angesetzt. Wenn der Staat Computer überwacht, muss das selbstverständlich verfassungskonform sein, sonst wird das Vertrauen von Bürgern und Unternehmen in moderne Kommunikation zerstört. Bei allen Überwachungsmaßnahmen muss die Verhältnismäßigkeit stets genauestens bedacht werden. Sie lassen sich überhaupt nur dann rechtfertigen, wenn sie tatsächlich zu einem deutlichen Mehr an Sicherheit führen.

Wir brauchen Schutz auch im Internet: gegen Schwerstkriminelle, organisierte Kriminalität, Wirtschaftsspionage und Cyber War. Dabei muss eine Selbstverständlichkeit sein, dass die Sicherheitsbehörden die gesetzlichen Regeln einhalten. Die Vorwürfe des Chaos Computer Club müssen im Interesse aller Internetnutzer schnellstmöglich aufgeklärt werden."