Lachnummer "Kommissar Trojaner"

29.08.2007

Laut deutschem Innenministerium kann der in Entwicklung befindliche Polizei-Trojaner bei hohem Zeit- und Personalaufwand auf Rechnern hinter Firewalls mit Virenschutz nicht ermitteln. Die österreichischen Behörden warten vorsichtshalber ab.

Es ist, als hätte einer der Zeitreisenden des Autors Stanislaw Lem kürzlich an der Geschichte des Abendlandes herummanipuliert. So lange, bis am Ende der "Ilias" ein Sieg der Trojaner stand, die danach im Bündnis mit Chinesen und internationalen Verbrechersyndikaten die ganze Welt eroberten.

Während die Links zu infizierten Websites im täglichen Spam sozusagen der gelebte Trojaner-Alltag jedes E-Mail-Benutzers sind, handelt es sich bei den anderen Trojaner-Meldungen der letzten Tage um Nachrichten, die mit der Feuerzange anzufassen sind.

Trojaner aus China

Dass die Veröffentlichung interner Berichte des deutschen Verfassungsschutzes über Spionage-Trojaner chinesischer Herkunft im Kanzleramt und deutschen Ministerien fast auf den Tag genau mit dem Staatsbesuch von Bundeskanzlerin Angela Merkel in China zusammenfiel, ist nicht nur deswegen mit Vorsicht zu betrachten.

Wenn ein Geheimdienst - in welcher Form auch immer - an einem derartigen außenpolitischen Vorgang beteiligt ist, dann wird der anderen Seite dabei stets eine Botschaft ausgerichtet.

Laut Veröffentlichungsorgan "Spiegel" handelte es sich nicht etwa um raffinierte Hacker-Einbrüche in ministeriale Sicherheitssysteme, sondern um simple E-Mail-Anhänge mit MS-Word- und PowerPoint-Dateien, die den Trojaner einschmuggelten.

Seit einem Jahr bekannt

Die Masche, Trojaner in PowerPoint-Dateien zu verstecken, kam im Sommer 2006 in Mode, Schädlinge wie Trojan.Riler.F taten ziemlich genau alles, was in den aktuellen Medienberichten den im Bundeskanzleramt umtriebigen Trojanern zugeschrieben wird.

Sie kopierten Daten und lieferten diese an Server in der Volksrepublik China ab. Laut übereinstimmender Ansicht der Anti-Viren-Experten waren die Schädlinge eindeutig auf Wirtschaftsspionage hingetrimmt.

Sicherheit im Kanzleramt

All das war freilich bereits gut ein Jahr lang öffentlich, bevor die Auffindung der China-Trojaner auf den Rechnern in deutschen Ministerien publik wurde. Die Meldung, dass die Schadprogramme obendrein per E-Mail in die ministerialen Systeme gelangt sein sollen, ist für deren Administratoren besonders blamabel.

Dass damit auch bekanntwurde, wie schlecht es um die IT-Sicherheit etwa im deutschen Kanzleramt wenigstens bis vor kurzem stand, erklärt die Involvierung des Inlandsgeheimdienstes Bundesamt für Verfassungsschutz.

Botschaft nach innen

Mit dieser medialen Offensive wurde nämlich noch eine zweite Botschaft ausgerichtet - eine, die nach innen ging. Behörden, die ihre IT-Systeme schlampig absichern, müssen damit rechnen, öffentlich blamiert zu werden.

Genau diese Vorgangsweise praktizieren die britischen und US-Geheimdienste seit Jahren. So landen Informationen, die nur von den Diensten stammen können, mit schöner Regelmäßigkeit in den Medien.

Meldungen über verschwundene Festplatten aus Hochsicherheitstrakts wie dem US-Atomlabor Los Alamos und über verlorene Laptops hoher Polizeibeamter mit geheimen Unterlagen in London und Ähnliches können nur aus internen Untersuchungen stammen.

Trojaner für den Oberkommissar

Was nun die dritte Art angeht, nämlich den in Deutschland wie Österreich vieldiskutierten Trojaner als Hilfskommissar der Polizei, so genügt die Lektüre einer aktuellen Anfrage an das deutsche Innenministerium, um seinen Stellenwert einzuschätzen.

Gerade gegen professionelle Internet-Betrüger wie Phisher und Spammer, für die der Umgang mit Trojanern Berufsalltag ist, lässt sich damit nichts ausrichten. Ebenso wenig taugt der Trojaner zur Verfolgung von Straftätern, die von Firmennetzen oder Internet-Cafes aus operieren.

Der Inspektor wartet noch

In Österreich hat Innenminister Günther Platter [ÖVP] eine Anfrage der SPÖ zum "Behörden-Trojaner" vor wenigen Tagen beantwortet. Demnach arbeite das Innenministerium nicht an einem eigenen Trojaner, sondern beobachte die Entwicklung andernorts.

Davor hatte Platter angekündigt, auch der österreichischen Polizei Online-Durchsuchungen von PCs Verdächtiger zu ermöglichen, wenn sich das Verfahren in Deutschland bewährt haben sollte.

"Remote Forensic Software"

Beim Einsatz des Bundestrojaners sei "es nicht vorgesehen, die auf dem System befindlichen Sicherheitssysteme auszuschalten", schreibt das deutsche Innenministerium auf eine Anfrage der Justiz. Die Umgehung und Ausschaltung von Sicherheitsmechanismen wurde in Deutschland erst kürzlich als Straftat gesetzlich verankert.

Das alles heißt, in einem IT-System, das den "Remote Forensic Software" benannten Polizei-Trojaner als Trojaner identifiziert, kann damit nicht ermittelt werden.

"Hoher zeitlicher Einsatz"

Wer also eine Firewall, einen Virenscanner und einen abgesicherten Rechner sein Eigen nennt, gegen den kann der Trojaner nicht eingesetzt werden, denn diesem virtuellen Kommissar gehen nur Täter ins Netz, die ihre Computer nicht absichern können.

"Die Ermittlungsarbeiten sind [...] zeitlich nicht einschätzbar. Grundsätzlich wird die Ermittlungsarbeit im Vorfeld jedoch einen hohen zeitlichen Einsatz erfordern", heißt es in der Antwort des deutschen Innenministeriums an die Bundesministerin für Justiz.

Was das Personal betrifft, so "werden mindestens zwei Personen aufzuwenden sein, die den Controller bedienen, dazu unter Umständen Ermittler und Dolmetscher". Der Trojaner-Einsatz ist damit ebenso aufwendig wie der "Lauschangriff".

Kottanesk

Das innerbürokratische Frage-und-Antwort-Spiel zur Computerüberwachung minderbemittelter Krimineller mit hohem Aufwand liest sich nachgerade "kottanesk", wenn versucht wird, wenigstens irgendetwas zu standardisieren.

"Bestehen Möglichkeiten zur Beschränkung der Überwachung, z. B. alle Aktionen abends zwischen 20.00 und 22.00 Uhr?", fragt das Justizministerium, das Inneministerium bejaht.

Nur nicht auffallen

Ansonsten ist der innerministerielle Gedankenaustausch voll von technischen Unvereinbarkeiten, was die "Features" des Trojaners betrifft.

So müsse zwar "Sorge dafür getragen werden, dass sowohl die Suche als auch die Übertragung der Ergebnisse dieser Suche keine Auffälligkeiten im Zielsystem entwickeln, um das Entdeckungsrisiko möglichst gering zu halten".

Wenige Seiten weiter wünscht man sich Volltextsuche nach Stichwörtern, die Wiederherstellung gelöschter Dateien sowie Audiofiles von Internet-Telefonaten vom Trojaner. Das alles sind Vorgänge, die mit Sicherheit Auffälligkeiten im Zielsystem verursachen, die auch ein wenig bedarfter User zwangsläufig bemerken muss.

"Die derzeit vom BMI frei jeglicher Ahnung diskutierten Optionen staatlichen Trojaner-Einsatzes sind schlicht unverantwortlich", sagte CCC-Sprecher Andy Müller-Maguhn am Montag dazu.

Lachnummer

Während auf einem derartigen technischen Niveau über den Einsatz von Polizei-Trojanern diskutiert wird, werden in Deutschland wie in Österreich Überwachungssysteme umgesetzt, gegen die der Polizei-Trojaner wie eine Lachnummer aussieht.

Im Zuge der Vorratsdatenspeicherung werden die Verkehrsdaten von sämtlichen Telefonanschlüssen in Österreich wie in Deutschland in normierten Datenbanken gespeichert, denn diese Verkehrsdatensammlung ist für automatisierte Durchsuchungen angelegt.

Automatisierung

Mit längst erprobten Auswertungssystemen kann binnen Minuten ein detailliertes Kommunikationsprofil einer Person samt deren geografischen Bewegungen dargestellt werden.

Im Unterschied zum Bundestrojaner ist jeder einzelne dieser Arbeitsvorgänge hochautomatisiert durchführbar und benötigt auch keine Beamten live vor Ort.

Der reale Missbrauch

Über die Möglichkeiten des Missbrauchs dieser Verkehrsdaten sind europaweit bereits zwei aktuelle Fälle, die mit dem Selbstmord des jeweiligen Netzwerk-Sicherheitschefs begannen, aktenkundig, beziehungsweise gerade vor Gericht.

In Italien wurden Verkehrsdatensätze der Telecom Italia von Polizisten, dem Vizechef des Militärgeheimdienstes SISMI und Telekomtechnikern an den Meistbietenden en Gros verkauft.

Über die standardisierte Polizeischnittstelle wurden Gespräche Prominenter mitgeschnitten, missliebige Journalisten wurden mittels Trojanern ausspioniert.

Trojaner in Griechenland

Ausgerechnet in Griechenland tauchte 2005 erstmals ein Trojaner für Telefonienetze auf. Die 6.500 Zeilen Code [!] umfassende Schadsoftware - eigentlich ein Rootkit auf Ebene des Betriebssystems - wurde von bis heute Unbekannten auf den Ericsson-Switches von Vodafone Hellas installiert und monatelang unbemerkt ferngesteuert.

Benutzt wurde sie, um die standardisierte Polizeischnittstelle im Vodafone-Netz so zu manipulieren, dass die Gespräche der griechischen Regierungsmitglieder am Switch kopiert und über Wertkartenhandys für Unbekannte aufgezeichnet werden konnten.

Parallelwelt 90er Jahre

Als Ende der 90er Jahre diese standardisierten Überwachungsschnittstellen Einzug in die Telefonienetze Europas hielten, diskutierte man darüber so gut wie nicht.

In Deutschland wurde vielmehr eine langatmige und verbissene Debatte über den Lauschangriff abgehalten, der wie der Polizei-Trojaner zeit- und personalaufwendig und eben nicht zu automatisieren ist.

(futurezone | Erich Moechel)