Innenministerium verrät neue Details zu Online-Durchsuchungen

Das Bundesinnenministerium hat im Rahmen der Beantwortung eines umfangreichen Fragenkatalogs der SPD-Bundestagsfraktion zu heimlichen Online-Durchsuchungen den geplanten Einsatz der "Remote Forensic Software" (RFS) erläutert und dabei unter anderem weitere Hinweise auf die Verbreitungsmöglichkeiten des Schnüffelprogramms gegeben. Alles deutet demnach darauf hin, dass die eigentliche Spyware-Komponente im Rahmen eines gängigen Trojaner-Angriffes auf einen Zielrechner gelangen soll. "Die Einbringung der RFS im Wege der E-Mail-Kommunikation kann je nach Einzelfall ein geeignetes Mittel darstellen", heißt es in der heise online vorliegenden Stellungnahme des von Minister Wolfgang Schäuble (CDU) geführten Hauses. Dazu werde ein Bestandteil des Werkzeugs zur "Datenerhebung" einer weiteren Datei beigefügt. Beim Öffnen dieses Anhangs werde die RFS auf dem Zielsystem installiert.

Generell spricht das Innenministerium von einer "Vielzahl von Einbringungsmöglichkeiten, die auf Tauglichkeit für den jeweiligen Einsatz überprüft, ausgewählt und eventuell angepasst werden müssen". Die genaue Methode hänge vom Nutzungsverhalten der Zielperson sowie der vorliegenden technischen Bedingungen ab. Nicht geplant sei auf jeden Fall der Erwerb so genannter Zero-Day-Exploits. Derlei Informationen über aktuell auszunutzende Schwachstellen in Betriebssystemen und Anwendungen hätten "in der Regel nur eine gewisse Zeitspanne, in denen sie eingesetzt werden könnten". Aber auch die mögliche Variante, den so genannten Bundestrojaner gleichsam Huckepack in Programm-Updates mit Hilfe von Providern oder Produzenten einzufügen, schließt die Behörde letztlich aus. Grundsätzlich ist es ihren Angaben nach "nicht notwendig", weitere Stellen in Form von Drittparteien bei der "Einleitung" der Maßnahme zu kontaktieren.

Die Frage nach der Software für die laut Bundesregierung bereits von Verfassungsschützern durchgeführten Online-Durchsuchungen beantwortet das Innenministerium ausweichend mit dem Hinweis, dass das Bundeskriminalamt (BKA) bislang daran nicht beteiligt gewesen sei. In der aktuellen Sicherheitsdebatte und dem darum entbrannten Streit innerhalb der großen Koalition rund um die Novelle des BKA-Gesetzes geht es um eine Befugnis der Wiesbadener Polizeibehörde zu verdeckten Online-Durchsuchungen für die Terrorabwehr.

Dem Einsatz der RFS, deren momentan gestoppte Entwicklung das Ministerium als bereits weit fortgeschritten bezeichnet, sollen "vorbereitende Maßnahmen" vorausgehen. In deren Rahmen "werden Erkenntnisse über das Nutzer- beziehungsweise Schutzverhalten der Zielperson erhoben und daraus die Vorgehensmethodik entwickelt", heißt es im Innenressort. Von einem dafür erforderlichen Eindringen in die Wohnung verdächtiger "Gefährder" ist im Gegensatz zu einem jüngst veröffentlichten Medienbericht nicht die Rede. Es werde im Vorfeld die Systemumgebung des Zielsystems erkundet, insbesondere die darauf installierten Sicherheitsvorkehrungen, schreibt das Ministerium nur.

Weitere Aufschlüsse über den Ablauf einer Netzbespitzelung erteilt die Schäuble-Behörde in einer ebenfalls heise online vorliegenden Antwort auf zusätzliche Fragen des Bundesjustizministeriums. Demnach lassen sich die genannten Informationen zu den technischen Bedingungen "im Zuge einer Telekommunikationsüberwachung und sonstiger Gewinnung von technischen Daten ohne Kontaktaufnahme mit dem Zielsystem, etwa einem so genannten Portscan, erheben". Ferner kämen "herkömmliche Ermittlungsmaßnahmen" in Betracht.

Das Innenministerium weist hierbei etwa auf den – allerdings schon aufgrund der Personallage nur sehr beschränkt und langfristig – möglichen Einsatz verdeckter Ermittler hin. Grundsätzlich sei beim konkreten "Einbringen" der RFS aber "die unwissentliche Mitwirkung der Zielperson notwendig", kommt die Behörde wieder auf die Trojaner-Lösung zurück. Weitgehend vermieden werden sollte dabei aber "das Versenden von E-Mails unter dem Namen einer anderen Behörde", da dies mit "großen Risiken" verbunden wäre. Ein solches Vorgehen könnte daher "nur in begründeten Ausnahmefällen" in Absprache mit der betroffenen Verwaltungsinstanz zum Einsatz kommen. Hilfreich wären auf jeden Fall die Beschaffung von Angaben wie die genaue Betriebsystemversion, den vorhandenen Internetzugang, Browsertyp und Version sowie Informationen zu installierten Softwareprodukten und deren Versionen sowie zum Onlineverhalten des Nutzers.

Die folgende Ausforschung eines "informationstechnischen Systems" soll in zwei Schritten erfolgen, soweit die Ermittler das nach der Auswertung der bereits eingeholten Hinweise für realisierbar halten. In Stufe Eins ist im Rahmen einer reinen "Online-Durchsicht" geplant, den "Status Quo" zu ermitteln und in Erfahrung zu bringen, was die Zielperson mit ihrem Informationssystem und ihrem Rechner in der Vergangenheit gemacht habe. Dafür sollen auf dem Zielsystem gespeicherte Dateien zunächst gleichsam überflogen werden. Bei der zweiten Stufe in Form der tiefer gehenden "Online-Überwachung" geht es laut Ministerium dann darum, über einen gesetzlich festgelegten Zeitraum die Aktivitäten des Nutzers zu protokollieren. Erfasst werden sollen dabei flüchtige Daten wie Passworteingaben, Texte oder in Bearbeitung befindliche verschlüsselte Dateien sowie Klartextdaten vor oder nach einer Verschlüsselung.

Abhängig vom Überwachungszweck können dabei "alle Ein- und Ausgaben, je nach Bedarf und an die jeweilige Maßnahme angepasst, erfasst werden", heißt es in dem Papier unter Verweis auch auf eine Keylogger-Komponente des Bundestrojaners. Dabei sei aber zu berücksichtigen, dass das Mitschneiden etwa der Tastaturbetätigungen "keine Auffälligkeiten im Zielsystem entwickeln soll". Um ein Auffliegen der Informationserhebung zu verhindern, sei ferner "auch hier die Datenmenge gering" zu halten.

Mehrfach betont das Innenministerium, dass eine Überwachung der Internet-Telefonie in einem ersten Schritt genauso wenig geplant sei wie die Aktivierung von Video- oder Audioaufnahmekapazitäten an einem PC. Bei einer so genannten "Quellen-Telekommunikationsüberwachung" wie im Fall des Abhörens von VoIP via Skype vor der Verschlüsselung müsse das gesprochene Wort an der Audioschnittstelle beziehungsweise die Kommunikationsdaten vor der Verarbeitung durch die Verschlüsselungssoftware abgegriffen und der überwachenden Behörde übertragen werden. Dazu sei eine weitere, anscheinend noch nicht vorhandene Anwendung erforderlich. Die Behörde drückt sich hier vage aus: "Entsprechende Überlegungen sind derzeit Gegenstand von Konzeptionen der Bedarfsträger."

Die gewonnenen Ergebnisse werden gemäß den Ablaufvorstellungen des Ministeriums so lange verschlüsselt auf dem Zielrechner zwischengelagert, bis eine Internetverbindung durch den Betroffenen hergestellt wird. Sobald dieser online ist, sollen die verschlüsselten Daten über das Netzwerk auf einen von den Sicherheitsbehörden genutzten Server übertragen und dann vom BKA beziehungsweise notfalls zuerst von einem Richter ausgewertet werden. Nach erfolgreicher Übertragung würden die Ausgangsdaten auf dem überwachten System gelöscht. Fremdsprachliche Datenbestände sollen unter Beteiligung von sicherheitsüberprüften Übersetzern analysiert werden.

Das Risiko einer Entdeckung der komplexen Durchsuchung hält das Ministerium "als solches" für gering. Es könne auch durch nicht näher erläuterte technische Maßnahmen reduziert werden. Zur Begründung führt das Ressort in der Antwort an die SPD-Fraktion aus, dass "die entwickelte Software grundsätzlich nur einmal zum Einsatz kommen soll". Die RFS werde darüber hinaus vor dem Einsatz mit aktueller Anti-Viren-Software geprüft und gegebenenfalls überarbeitet. Es sei nicht vorgesehen, die auf dem Zielsystem befindlichen Sicherheitssysteme auszuschalten. Sollte die Überwachungsapplikation wider Erwarten doch erkannt werden oder der Kommunikationsport während eines laufenden Einsatzes geschlossen, werde sie vom anvisierten Rechner entfernt. Die Löschung könne sowohl manuell als auch automatisch erfolgen.

Das Innenministerium räumt zugleich ein, dass die RFS wie "jedes Programm", das in eine Systemumgebung eingebracht wird, Änderungen an deren Konfiguration vornehmen würde. Diese sollen durch die Deinstallationsroutinen beim Löschvorgang aber rückgängig gemacht werden. Durch "verschiedene Maßnahmen" werde zudem sichergestellt, "dass eine Rückverfolgbarkeit nahezu unmöglich ist". Die Zielperson könnte nur feststellen, dass sich auf dem System eine unerwünschte Software installiert habe. Bevor Gegenmaßnahmen durch den Betroffenen getätigt werden könnten, müsste dieser dann aber zunächst das entdeckte Programm analysieren. Einer solchen Untersuchung der RFS in Form eines "Disassembling" mit Hackerwerkzeugen werde jedoch durch die Verwendung kryptographischer Verfahren vorgebaut. Zudem sei "niemand ernsthaft darauf angewiesen", eine RFS genauer zu inspizieren und für eigene Zwecke zu verändern, da entsprechende Produkte wie Optix Pro oder Back Orifice "mit sehr großem Missbrauchspotenzial im Internet frei erhältlich" seien.

Die Durchführung einer Online-Durchsuchung soll laut Ministerium "lückenlos dokumentiert werden". Dabei würden die Einbringung der RFS auf den Zielrechner, jeder Remote-Zugriff, alle Befehle an das Zielsystem sowie von dort übertragene Daten protokolliert. Damit sei die gesamte Maßnahme einer späteren gerichtlichen Überprüfung zugänglich. Ein Problem der Nachvollziehbarkeit und "Wiederholbarkeit" bei der Online-Durchsuchung ist durch die Tatsache gegeben, dass eine erneute Untersuchung wegen des dynamischen Charakters nicht unter den gleichen Bedingungen wiederholt werden könne. Insofern sei eine äußerst exakte und detaillierte Dokumentation notwendig. Technisch könne dafür durch verschiedene Funktionen wie den Einsatz von Hash- oder anderer Verschlüsselungsverfahren und digitaler Signaturen die Integrität der übertragenen Daten überprüfbar gemacht werden. Durch die Hinterlegung des Quellcodes der RFS bei Gericht könne zudem etwa belegt werden, dass die Software keine Daten frei im Zielsystem platziert habe. Die Justiz müsste für die Analyse der Blaupause "gegebenenfalls unabhängigen Sachverstandes bedienen".

Insgesamt zeigt sich das Ministerium sehr optimistisch über die Durchführbarkeit heimlicher Online-Durchsuchungen. Das eigene Haus und die Sicherheitsbehörden verfügen ihm zufolge "grundsätzlich über genügenden Sachverstand", die umstrittenen Maßnahmen ohne externe Berater zu realisieren. Einig sei man sich jedenfalls darüber, "dass kein Interesse daran besteht, 'Hintertüren' in Betriebs- und Anwendungssysteme einzubauen". Solche absichtlich in Soft- und Hardware eingefügten Schwachstellen hätten nicht nur für die IT-Sicherheit, "sondern auch für die deutsche IT-Wirtschaft fatale Konsequenzen". Die Annahme der SPD-Fraktion, man sei auf ein "unsicheres" Netz für Online-Razzien angewiesen, sei "daher unzutreffend".

Auch von einer "Vertrauenskrise" der Informationsgesellschaft könne nicht die Rede sein: "Bereits heute existieren erhebliche Schwachstellen, die durch Kriminelle genutzt werden", ohne dass dies zu einer Verringerung der Internetnutzung geführt habe. Angesicht der geplanten "nur geringen Anzahl" von Online-Durchsuchungen würde generell keine "maßgeblichen Änderung der Situation der IT-Sicherheit" herbeigeführt. Insofern seien auch diesbezügliche Schadensersatzforderungen nicht zu erwarten. (vbr)