Schwere Vorwürfe gegen Behörde
Dem Chaos Computer Club (CCC) ist nach eigenen Angaben eine „staatliche Spionagesoftware“ zugespielt worden, die von Ermittlern in Deutschland zur Überwachung von Telekommunikationsverbindungen eingesetzt wird.
Dieser Artikel ist älter als ein Jahr.
„Die untersuchten Trojaner können nicht nur höchst intime Daten ausleiten, sondern bieten auch eine Fernsteuerungsfunktion zum Nachladen und Ausführen beliebiger weiterer Schadsoftware“, teilte der Verein am Samstagabend in Berlin mit. Der CCC warf den Sicherheitsbehörden vor, aufgrund von groben Design- und Implementierungsfehlern in der Software entstünden „eklatante Sicherheitslücken in den infiltrierten Rechnern, die auch Dritte ausnutzen können“.
Laut CCC gehen die Funktionen des Behördentrojaners damit über das Abhören von Kommunikation weit hinaus und „verletzen“ somit „die expliziten Vorgaben des Verfassungsgerichtes“. Die Untersuchung der dem CCC zugespielten Festplatten offenbare „wieder einmal, dass die Ermittlungsbehörden nicht vor einer eklatanten Überschreitung des rechtlichen Rahmens zurückschrecken, wenn ihnen niemand auf die Finger schaut. Hier wurden heimlich Funktionen eingebaut, die einen klaren Rechtsbruch bedeuten: das Nachladen von beliebigem Programmcode durch den Trojaner.“
Ministerium bestätigt Existenz
Ein Sprecher des deutschen Innenministeriums bestätigte auf Anfrage der Nachrichtenagentur dpa, dass Softwarelösungen für eine Telekommunikationsüberwachung an der Quelle (kurz „Quellen-TKÜ“) verfügbar seien, sowohl für die Bundesbehörden als auch auf Landesebene. Die „Quellen-TKÜ“ soll eine Möglichkeit bieten, die Kommunikation über das Internet abzuhören, bevor sie für den Weg durchs Netz verschlüsselt wird. „Für den Einsatz dieser Software gibt es gesetzliche Grundlagen, die beim Einsatz beachtet werden müssen“, sagte der Sprecher. Für Ermittlungen auf Bundesebene sei hier etwa das BKA-Gesetz relevant. Außerdem gibt es in einigen Bundesländern Regelungen zum Einsatz der Quellen-TKÜ.
Streit über „Bundestrojaner“
Die Bestrebungen für eine Onlinedurchsuchung bei Verdächtigen reichen ins Jahr 2005 zurück, in die Amtszeit des damaligen Innenministers Otto Schily (SPD). Danach setzte unter dem Schlagwort „Bundestrojaner“ eine heftige Debatte über die Zulässigkeit solcher Eingriffe in die Privatsphäre des persönlichen Computers ein.
Das Bundesverfassungsgericht setzte im Februar 2008 hohe rechtliche Hürden für Onlinedurchsuchungen. Das heimliche Ausspähen eines Computeranwenders zur Gefahrenabwehr ist demnach nur dann zulässig, wenn es eine klare gesetzliche Regelung dafür gibt. Außerdem muss die Aktion der „Abwehr einer konkreten Gefahr für ein überragend wichtiges Rechtsgut“ dienen. Weiterhin muss die Aktion durch einen Richter angeordnet werden. Der Chaos Computer Club erklärte, die nun aufgetauchte Software ermögliche einen viel weitergehenden Angriff. So könne der Trojaner über das Netz weitere Programme nachladen und ferngesteuert ausführen.
„Eine Erweiterbarkeit auf die volle Funktionalität des Bundestrojaners - also das Durchsuchen, Schreiben, Lesen sowie Manipulieren von Dateien - ist von Anfang an vorgesehen.“ Sogar ein digitaler großer Lausch- und Spähangriff sei möglich, indem ferngesteuert auf das Mikrofon, die Kamera und die Tastatur des Computers zugegriffen werde und diese zu Wanzen im Raum, in dem sich der Computer befindet, „aufgerüstet“ werden.
Digitale Intimsphäre nicht geschützt
Diese Funktionserweiterungen kann der Trojaner laut CCC - unkontrolliert durch den Ermittlungsrichter – laden. „Dieser Vollzugriff auf den Rechner, auch durch unautorisierte Dritte, kann etwa zum Hinterlegen gefälschten belastenden Materials oder Löschen von Dateien benutzt werden und stellt damit grundsätzlich den Sinn dieser Überwachungsmethode infrage“, so die Hacker.
Die von den Behörden „so gern suggerierte strikte Trennung“ von per Gesetz in klar definiertem Rahmen möglichen Abhörung von Telefonaten via Internet und der digitalen Intimsphäre - etwa der E-Mails oder Fotos, die sich auf dem Computer befinden, existiere in der Praxis nicht, so das Urteil des CCC. Der Gesetzgeber müsse dem „ausufernden Computerschnüffeln“ ein Ende setzen und eindeutig festlegen, wie die digitale Intimsphäre juristisch definiert sei.
Software kaum gesichert
Im Rahmen des Tests habe der CCC eine Gegenstelle für den Trojaner geschrieben, mit deren Hilfe Inhalte des Webbrowsers per Bildschirmfoto ausspioniert werden konnten - inklusive privater Notizen, E-Mails oder Texten in webbasierten Cloud-Diensten. „Wir waren überrascht und vor allem entsetzt, dass diese Schnüffelsoftware nicht einmal den elementarsten Sicherheitsanforderungen genügt“, sagte ein CCC-Sprecher.
Der Trojaner nehme Befehle ohne jegliche Absicherung oder Authentifizierung entgegen. Selbst einfache Absicherungen, wie beim Onlinebanking oder bei Flirtportals üblich, gebe es nicht. Es sei für einen beliebigen Angreifer ohne weiteres möglich, die Kontrolle über einen von deutschen Behörden infiltrierten Computer zu übernehmen. "Das Sicherheitsniveau dieses Trojaners ist nicht besser, als würde er auf allen infizierten Rechnern die Passwörter auf „1234" setzen.“
Links:
