CCC: “Rechtsbruch durch Bundestrojaner”

Wie der Trojaner funktioniert

Wie CCC-Sprecher Frank Rieger in der FAZ vom 9. Oktober berichtet, erhielt der CCC mehrere Festplatten in brauen Umschlägen ohne Absender, vermutlich von “Betroffenen”. Der CCC habe auf allen Festplatten eine Trojaner-Software entdeckt, deren Varianten sehr ähnlich gewesen seien. Die Trojaner-Dateien seien nur “amateurhaft gelöscht” gewesen.

Bild: CCC

Die Analyse habe ergeben, dass sich die Software nach dem Start des Computers in alle laufenden Anwendungen einblende. Sie sende Signale an einen fest konfigurierten Server in den USA, um ihre Dienstbereitschaft zu signalisieren. Dieser Datenaustausch werde mit AES verschlüsselt – die Verschlüsselung sei jedoch falsch implementiert gewesen. Auch nehme die Software Befehle des Servers ohne jegliche Authentifizierung entgegen. Einzige Bedingung für die Akzeptanz eines Befehls sei es, dass er von der IP-Adresse des US-Servers zu kommen scheine.

&nbsp

Laut CCC verfügt die Software über vorkonfigurierte Funktionen:

1. Abhören von Skype-Telefonaten,

2. Anfertigen von Bildschirmfotos in schneller Folge sowie

3. Nachladen eines beliebigen Programmes aus dem Netz.

Die letzte Funktion könne genutzt werden, um mögliche Features zu installieren:

1. Raumüberwachung mit Mikrofon und Kamera des Computers,

   Lesen Sie auch : EU plant Umsatzsteuer für Technologie-Konzerne

2. Durchsuchen der Festplatte sowie

3. Herunterladen von Dateien auf die Festplatte.

Die letztgenannte Funktion – das Herunterladen von Dateien auf die Festplatte – sei die einzige Funktion der Software gewesen, die gegen eine spätere Analyse getarnt worden sei, so Rieger. Im Code habe sich kein Hinweis auf den Urheber der Software gefunden. Im Jahr 2008 sei jedoch ein interner Schriftverkehr einer Justizbehörde bekannt geworden. Daraus sei hervorgegangen, dass ein deutsches Unternehmen einen Trojaner zum Abhören von Skype angeboten habe, dessen Funktionsumfang sich mit dem jetzt vom CCC analysierten Trojaner decke. Rieger: “Sogar die Anmietung des Weiterleitungsservers im Ausland, um die IP-Adresse der Trojaner-Kontrollstation zu verschleiern, war im Angebot erwähnt.” Nach Angaben der Frankfurter Rundschau handelt es sich beim besagten Unternehmen um die Firma DigiTask aus dem hessischen Haiger.

Bild: FAZ

Der CCC hat den Quellcode der Trojaner-Software ins Netz gestellt. Der Code ist zudem in der FAZ vom 9. Oktober nachzulesen (Seiten 43 bis 47). Die Behörden wurden zuvor in Kenntnis gesetzt. “Gemäß unserer Hackerethik und um eine Enttarnung von laufenden Ermittlungsmaßnahmen auszuschließen, wurde das Bundesinnenministerium rechtzeitig vor dieser Veröffentlichung informiert. So blieb genügend Zeit, um die Selbstzerstörungsfunktion des Schnüffel-Trojaners zu aktivieren.”

Was das Verfassungsgericht sagt

Das Thema “Bundestrojaner” ist nicht neu. Im Februar 2008 entschied das Karlsruher Bundesverfassungsgericht, dass Online-Durchsuchungen zulässig, jedoch an strenge Auflagen gebunden sind. Die Richter führten in diesem Zusammenhang ein neues Grundrecht ein: das Grundrecht auf die Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme.

Nach diesem Urteil muss die Online-Durchsuchung durch einen Richter angeordnet werden. Sie ist nur zulässig, wenn Gefahr für Leib, Leben oder Freiheit einer Person besteht. Die Intim- und Privatsphäre (“Kernbereich privater Lebensgestaltung“) darf überhaupt nicht angetastet werden – so lange nicht der begründete Verdacht besteht, dass der Verdächtige diesen Schutz ausnutzt. Falls Daten aus dem Intimbereich zufällig erhoben werden, müssen sie sofort gelöscht werden.

Erlaubt ist demnach – nach richterlicher Anordnung – auch die sogenannte Quellen-Telekommunikationsüberwachung. Diese erlaubt den Behörden, Daten auf dem Rechner mitzuschneiden, bevor sie verschlüsselt werden – jedoch nicht dauerhaft, sondern nur für einen bestimmten Telekommunikationsvorgang.

Was der CCC fordert

Laut CCC zeigt die vorliegende Trojaner-Software, dass der Gesetzgeber nachbessern muss. Schon die vorkonfigurierten Funktionen des Trojaners – ohne nachgeladene Programme – seien besorgniserregend. Die von “den Behörden suggerierte strikte Trennung von genehmigt abhörbarer Telekommunikation und der zu schützenden digitalen Intimsphäre” existiere in der Praxis nicht. Der Richtervorbehalt könne nicht vor einem Eingriff in den privaten Kernbereich schützen.

“Unsere Untersuchung offenbart wieder einmal, dass die Ermittlungsbehörden nicht vor einer eklatanten Überschreitung des rechtlichen Rahmens zurückschrecken, wenn ihnen niemand auf die Finger schaut”, sagte ein CCC-Sprecher. “Hier wurden heimlich Funktionen eingebaut, die einen klaren Rechtsbruch bedeuten: das Nachladen von beliebigem Programmcode durch den Trojaner.”

Der Trojaner könne auf Kommando – unkontrolliert durch den Ermittlungsrichter – Funktionserweiterungen laden, um die Schadsoftware für weitere Aufgaben beim Ausforschen des Systems zu benutzen. Dieser Vollzugriff auf den Rechner, auch durch unautorisierte Dritte, könne etwa zum Hinterlegen gefälschten belastenden Materials benutzt werden und stelle damit den Sinn dieser Überwachungsmethode grundsätzlich in Frage.

Der Gesetzgeber sei gefordert, dem “ausufernden Computerschnüffeln” ein Ende zu setzen und “endlich unmissverständlich” zu formulieren, wie die digitale Intimsphäre juristisch zu definieren und wirksam zu bewahren sei. “Leider orientiert sich der Gesetzgeber schon zu lange nicht mehr an den Freiheitswerten und der Frage, wie sie unter digitalen Bedingungen zu schützen sind, sondern lässt sich auf immer neue Forderungen nach technischer Überwachung ein.” Dass der Gesetzgeber die Technik nicht überblicken, geschweige denn kontrollieren könne, zeige die vorliegende Analyse der Funktionen der Schadsoftware.

Im Streit um das staatliche Infiltrieren von Computern hätten der Ex-Bundesinnenminister Wolfgang Schäuble (CDU) und BKA-Chef Jörg Ziercke stets betont, die Bürger müssten sich auf höchstens “eine Handvoll Einsätze von Staatstrojanern” einstellen. Entweder sei nun fast das ganze Set an staatlichen Computerwanzen beim CCC eingegangen oder das Versprechen sei schneller als erwartet von der Überwachungswirklichkeit überholt worden.

Auch andere Zusagen hätten in der Realität keine Entsprechung gefunden. So habe es 2008 geheißen, alle Versionen der “Quellen-TKÜ-Software” würden individuell angefertigt. Der CCC habe nun mehrere verschiedene Versionen des Trojaners vorliegen, die alle denselben hartkodierten kryptographischen Schlüssel benutzen und nicht individualisiert seien. “Der CCC hofft inständig, dass dieser Fall nicht repräsentativ für die besonders intensive Qualitätssicherung bei Bundesbehörden ist.”

Wie es weiter geht

Das Bundesinnenministerium hat den Einsatz von Spionagesoftware durch das Bundeskriminalamt (BKA) mittlerweile dementiert. “Was auch immer der CCC untersucht hat oder zugespielt bekommen haben mag, es handelt sich dabei nicht um einen sogenannten Bundestrojaner”, zitierte das Magazin Focus aus einer Mitteilung des Ministeriums. Der Sprecher ließ offen, ob andere deutsche Ermittlungsbehörden die Überwachungssoftware benutzt haben. Für die Einhaltung technischer und rechtlicher Vorgaben seien die jeweiligen Behörden des Bundes und der Länder selbst verantwortlich, sagte er.

Die Zeit meldete derweil, das vom CCC analysierte Programm sei vom bayerischen LKA eingesetzt worden. Nach neueren Angaben der FAZ hat der bayerische Zoll die Schadsoftware am Flughafen München bei einer Sicherheitskontrolle auf den Computer eines Betroffenen aufgespielt. Dies sei im Rahmen einer Amtshilfe erfolgt.

Inzwischen haben Experten Stellung bezogen. Der Bundesdatenschutzbeauftragte Peter Schaar kündigte an, den Bericht des CCC zu prüfen. Bundesjustizministerin Sabine Leutheusser-Schnarrenberger (FDP) plädierte für Ermittlungen auf Landesebene. Wolfgang Bosbach (CDU), Vorsitzender des Innenausschuss des Bundestages, forderte den CCC dazu auf, seine Angaben zu belegen. Voraussichtlich in der kommenden Woche wird sich der Innenausschuss mit dem Thema beschäftigten.