Der trojanische Polizist
Strafverfolgungsbehörden in Deutschland und der Schweiz wollen so genannte Trojaner dazu einsetzen, die Kommunikation verdächtiger Personen zu überwachen. ORF.at sprach mit dem Sicherheitsexperten Josef Pichlmayr über Anwendungen und Grenzen dieser Technik.
ORF.at: Herr Pichlmayr, die schweizerische und die deutsche Polizei wollen Trojaner zu Fahndungszwecken einsetzen. Ist diese Idee praktisch umsetzbar?
Josef Pichlmayr: Sicher ist sie das. Diese Idee gibt es in den USA schon seit Anfang der 90er Jahre. Das FBI setzt schon seit längerem ein eigenes Überwachungssystem namens Magic Lantern ein, das auf Trojanern basiert.
Der ist seinerseits aus dem kommerziellen Trojaner D.I.R.T. heraus entwickelt worden. D.I.R.T. wurde ursprünglich von einer privaten Herstellerfirma Codex Data Systems nur an Behörden verkauft.
Die Schweizer Polizei will Trojaner übrigens nur für die Überwachung von VoIP-Telefonaten einsetzen. Ihre deutschen Kollegen wollen mit den Trojanern auch andere Daten sammeln.
Josef Pichlmayr ist Geschäftsführer des österreichischen IT-Sicherheitsunternehmens Ikarus Software.
Was ist das Besondere an einem Polizei-Trojaner?
Dass für jeden Fall nach dem Baukastenprinzip ein eigener Trojaner zurechtgeschneidert wird. Die so erstellten Programme sind im Regelfall für handelsübliche Virenscanner "unsichtbar", da sie vorab gegen gängige Sicherheitssysteme getestet werden und im Normalfall ausschließlich der Behörde bekannt sind.
Die Strafverfolger setzen dabei auch Technologien ein, die fortgeschrittene heuristische und "proaktive" Scanner-Technologien unterlaufen, welche eigentlich auch Varianten von Viren erkennen können.
Was ist ein Trojaner?
Ein Trojanisches Pferd, kurz Trojaner, ist eine Software, die sich als nützliche Anwendung tarnt, aber nach der Installation eine andere, zumeist schädliche Funktion erfüllt. Ein Angreifer kann einen Trojaner dazu nutzen, beliebigen Code auf dem Wirtscomputer ausführen zu lassen.
Wie gehen Strafverfolger und Hersteller von Antiviren-Software miteinander um?
Da gibt es zwei Möglichkeiten: Die Behörden könnten die Virenschützer dazu auffordern, eine so genannte Negativ-Signatur in ihre Programme einzubauen. Ich glaube aber nicht, dass sie das machen.
Sie nutzen vielmehr die Virenscanner einiger Anbieter, um ein mit ihrem neuesten Trojaner infiziertes Testsystem zu scannen. Findet der Scanner nichts, geht der Trojaner in den Einsatz. Oder die Behörde kann sofort nachvollziehen, ob der von Ihnen genutzte Trojaner oder Teile davon plötzlich von Virenscannern oder Personal Firewalls erkannt wird.
Wie gut sind diese Baukasten-Trojaner?
Sie sind qualitativ äußerst hochwertig. Generell sind Trojaner heute viel besser als noch in den 90er Jahren. Nicht mehr nur geltungssüchtige Script-Kiddies oder "Nerds" sind da am Werk, sondern auf Grund der geänderten Motivlage explizit auch Experten mit krimineller Energie. Vor allem Rootkits sind ohne spezielle Programme und sehr viel Know-how kaum mehr zu entdecken.
Das deutsche Bundeskriminalamt behauptet, dass auch Linux- und Mac-Rechner nicht vor ihrer Software sicher seien. Ist an dieser Behauptung etwas dran?
Ja. Auch Mac OS X und Linux haben diverse Sicherheitslücken, die man ausnutzen kann, wenn sie ein Laie verwendet, der nicht weiß, was das System tut. Ein Experte wird sich seinen eigenen Linux-Kernel kompilieren und dann genau wissen, welche Eigenschaften sein System hat und wie verletzlich es ist.
Die nächste große Herausforderung an die Programmierer von Trojanern ist Windows Vista. Das ist wesentlich sicherer als Windows XP. Aber auch dafür wird es Trojaner geben.
Was steckt dann in dem Trojaner? Ein Keylogger, der alle Tastatureingaben aufzeichnet?
Da kann alles mögliche drin stecken. Einen Keylogger könnte man etwa dazu einsetzen, Verdächtige zu überwachen, die ihre E-Mail-Kommunikation verschlüsseln.
Vor dem Verschlüsseln müssen sie ja die Mails erst schreiben, also fängt man sie schon beim Tippen ab.
Bei Personen, die ihre Mails nicht verschlüsseln, holt man die Nachrichten einfach beim Provider ab. Auch wenn eine Person ein Anonymisierungssystem wie The Onion Router einsetzt, kann sie mit einem Keylogger ausspioniert werden.
Ein Trojaner ist aber kein Allzweck-Überwachungsmittel.
Nein. Das wurde jetzt in den Medien hochgespielt. Wenn die Polizei wissen muss, was auf der Festplatte eines Verdächtigen ist, kann sie die ja beschlagnahmen, wenn eine richterliche Anordnung vorliegt.
Der Trojaner ist bestenfalls eine Möglichkeit von vielen, die den Strafverfolgungsbehörden zur Verfügung stehen. Trojaner eignen sich eher dazu, die sonstigen Ermittlungsarbeiten der Polizei zu unterstützen.
Die Polizei kann damit ganz gezielt nach Informationen suchen, auf bestimmte Handlungen hin aktiv werden oder Systeme überwachen, auf die sie keinen direkten Zugriff hat.
Der Einsatz von Trojanern durch die Polizei wirft auch einige Probleme auf.
Allerdings. Was ist, wenn ein infizierter Computer nicht nur vom Verdächtigen benutzt wird, sondern auch von anderen Personen? Wird die Polizei dann die Observierung abbrechen? Ich glaube nicht. Gegen Computerkriminelle können Trojaner alleine wahrscheinlich auch nur begrenzt eingesetzt werden.
Diese sind normalerweise technisch so versiert, dass sie einen Trojaner früh entdecken würden.
Kriminelle, die sich mit Computern gut auskennen, leben mit dem Risiko, eventuell überwacht zu werden. Sie stellen sich darauf ein.
Ist Ihnen in Ihrer Arbeit schon ein Polizei-Trojaner untergekommen?
Wir hatten einmal einen Fall, bei dem wir eine Signatur von D.I.R.T. gefunden haben. Ob es sich dabei aber um Reste eines Ermittlungsverfahrens oder schlicht nur "Spielereien" Dritter gehandelt hat ist nicht seriös nachvollziehbar. Jedoch wird in Österreich meines Wissens nicht auf derartige Technologien in der Strafverfolgung gesetzt.
Wenn es nach dem Willen des deutschen Innenministers Wolfgang Schäuble [CDU] geht, dann könnten Computerexperten des Bundeskriminalamts [BKA] bald private PCs unbemerkt via Internet durchsuchen. Auch Schweizer Strafermittler und das Departement für Umwelt, Verkehr und Kommunikation [UVEK] prüfen derzeit den Einsatz von Spionagesoftware für ihre Zwecke.
Das deutsche Online-Magazin Telepolis zur weiteren Entwicklung der Gesetzeslage in Deutschland: Der Verfassungsschutz soll auch ohne richterlichen Beschluss auf Rechner zugreifen können.
(futurezone | Günter Hack)