Der Kommissar als Virenschreiber

In der Diskussion, ob deutsche Polizeibeamte Schadprogramme wie Trojaner verbreiten dürfen, wird heute eine Entscheidung erwartet. Dass diese "Ermittlungsmethode" ohne zusätzliche Gesetzesbrüche nicht praktizierbar ist, hat sich auch in der Schweiz noch nicht herumgesprochen.

Heute entscheidet der deutsche Bundesgerichtshof [BGH] in Karlsruhe, ob die bisherigen gesetzlichen Grundlagen für "Online-Durchsuchungen" ausreichen.

Bis jetzt hat man debattiert, ob virtuelle "Hausdurchsuchungen" durch die Gesetzeslage gedeckt sind, zumal zwei deutsche Bundesländer dabei sind, diese "Ermittlungsmethode" einzuführen.

Die Methode, der zu überwachenden Person einen so genannten Trojaner irgendwie elektronisch unterzuschieben, wird ansonsten gemeinhin nur von Kriminellen wie Phishern, Spammern, Kreditkartenbetrügern, Wirtschaftsspionen und ähnlichem Gelichter benutzt.

Trojaner und Rootkits ...

Von den ehemals so dominanten Würmern oder Viren ist in den letzten Jahren immer weniger zu sehen gewesen, die Listen aller Virenschutzhersteller werden mittlerweile fast ausschließlich von Trojanern und so genannten Rootkits dominiert.

Sowohl die auf Programmebene aktiven Trojaner wie die tief unten im Betriebssystem versteckten Rootkits liefern den Rechner zur fast beliebigen Manipulation durch Dritte aus.

... nach Makroviren ...

Das ist der große Unterschied zu den vergangenen Jahren, denn im Spiel ist nunmehr fast nur noch kriminelle Energie. Sowohl die Virenwellen wie die Wurmausbrüche der späten 90er Jahre sahen ganz anders aus.

Waren es zu Zeiten von Windows95 vor allem Makroviren für MS Word, die von Schabernack bis grobem Unfug alles Mögliche machten, bis hin zu echten Festplattenputzern.

... und VBS-Scripts wie Melissa

Die nächste Stufe waren VBS-Scripts zumeist mit relativ harmlosen Schadensfunktionen, die allerdings auf Würmern ritten, deren rasende Verbreitung weltweit immer wieder vor allem Firmennetzwerke für Stunden zusammenbrechen ließ.

Intention?

Nicht recht ersichtlich. Das Resultat war jedenfalls vom Wurm "Melissa" bis zu "Sasser" in der Regel spektakulär, eine Serie von schnell abbrennenden Netzwerk-Großfeuerwerken, die für ein entsprechendes, globales Medienecho sorgten. Der Erscheinungsrhythmus orientierte sich am Bekanntwerden von Windows-Sicherheitslücken. Wenige Wochen später kam jeweils der Wurm.

Deutschland

Nun sind es heimliche Trojaner, die alles andere als auffallen wollen, und benutzen will die neben der deutschen auch die schweizer Polizei.

Im Zentrum des Streits unter den deutschen Juristen steht die Diskussion, ob das Ausspähen eines Straftat-Verdächtigen mittels eines Schadprogramms wie einem Trojaner mit einer gewöhnlichen Hausdurchsuchung gleichzusetzen sei, oder ob es doch in deutlich anderes Mittel ist, das eine Gesetznovelle nötig macht.

Derrick als Autor ...

Dass das Diskussionsniveau ein recht akademisches ist, zeigt der Umstand, dass offenbar weder nachgefragt wird, wie die Polizei denn zum Trojaner und wie dieser dann auf den Rechner des Verdächtigen kommt.

Der erste Teil der Frage beantwortet sich in Zeiten omnipräsenter Virenscanner sehr einfach: Die Polizei muß diese Programme selber schreiben, denn bekannte Schädlinge werden von Virenschutz-Software, wenn sie richtig eingesetzt wird, schnell erkannt.

... individuell konfigurierter ...

Auskenner wie Joe Pichlmayr vom österreichischen Virenschutzhersteller Ikarus gehen davon aus, dass dies in verschiedenen Staaten praktiziert wird. Die Virenproduktion geschehe nach einem Baukastensystem, um einen je nach Bedarf indivuell "konfigurierten" Trojaner herzustellen, meint Pichlmayr.

Und das ist schon der zweite Teil der Frage, die offenbar nicht gestellt wird: Was darf nun ein Ermittler, um den Trojaner auf den gewünschten Rechner zu bugsieren? Natürlich kann man eine E-Mail schicken mit einem .exe-Anhang, doch das wird bald auch bei den allerdümmsten Kriminellen nicht mehr nützen.

... Trojaner

Im Dezember hatte der deutsche Innenminister Wolfgang Schäuble [CDU] das Netz als "Terror-Trainingscamp"bezeichent, die Anzahl der Trojaner und Viren habe 2006 um 90 Prozent zugenommen, war ein wichtiges Argument.

• "Online-Hausdurchsuchung" auf Rechnern

• Schäuble: "Netz ist Terror-Trainingscamp"

Zombies und Gesetzesbruch

In den bekannt gewordenen Fällen war bis jetzt mit dem geplanten Einsatz von Trojanern praktisch immer eine andere Form von Gesetzesbruch verbunden. Die neuen, für rein kriminelle Zwecke geschriebenen Trojaner werden immer häufiger über gekaperte Rechner, so genannte Zombies, verteilt.

Der aktuellste Fall zum Thema ist der eines IT-Sicherheitsspezialisten der im Zusammenhang mit dem ausufernden Überwachungsskandal rund um die Telecom Italia Mitte Jänner verhaftet wurde. Fabio Ghioni vom "Tiger Team" der Telecom Italia wird beschuldigt, mehrere Server seiner Firma missbraucht zu haben, um den Rechner eines Journalisten des "Corriere de la Sera" mittels eines Trojaners auszuspioniert und geheime Unterlagen der Tageszeitung gestohlen zu haben.

Insgesamt wurden zwei Dutzend Personen verhaftet, die Hälfte davon sind Polizisten.

Der politische Diskurs ...

Auf der Ebenen des juristischen Diskurses wurde in Deutschland darüber diskutiert, ob "eine Anwendung der Vorschrift über die Hausdurchsuchung schon deshalb abgelehnt" werden müsse, "weil diese offen und in Anwesenheit des Betroffenen stattfinde, während das Ausspähen von Daten mit Hilfe der Trojaner heimlich vor sich gehe."

... begann in der Schweiz

Begonnen hatte alles in der Schweiz, wo die Behörden schon bald erkannt hatten, dass VoIP-Telefonie anders funktioniert als die Circuit-Switched-Netze der Telekoms.

Um hier dieselben Überwachungsregeln durchzusetzen, die aufgrund der dezentralen Netzwerkstrukturen im Netz nicht 1:1 funktionieren, griff man eben auf das Hilfsmittel "Trojaner" zurück.

Stillschweigend vorausgesetzt die Komplizenschaft der Telekoms und Internet-Anbieter, die "unbemerkt ... direkten Zugriff auf die PCs" ermöglichen sollen. Wie die Provider das bei Macs und Linuxmaschinen womöglich in Virtual Private Networks können sollen, steht nicht geschrieben.

Die Entscheidung des deutschen Bundesgerichtshofs soll heute fallen. Am Tag darauf, dem Dienstag, ist der EU-weite Tag des "Safer Internet".

• Joe Pichlmayr über die neuen Trojaner

• Schweizer Lauschangriff auf VoIP

(futurezone | Erich Moechel)