Der Trojaner

Ein Gastbeitrag von Jimmy Schulz, MdB

In den letzten Wochen hat eine Debatte hohe Wellen geschlagen. Die Enthüllungen des Chaos Computer Club e.V. haben Politiker und IT Experten sowie die Medien in helle Aufregung versetzt. Beschuldigungen und Gegenangriffe, Behauptungen und Unschuldsbekundungen prägten die Debatte. Eines hatten fast alle Beteiligten gemeinsam: mangelnde Sachkenntnis.

In der Diskussion wurden die verschiedenen Möglichkeiten der Ermittler oft durcheinander geworfen und missverständlich diskutiert. Bei den analysierten Trojanern handelt es sich - bis jetzt - ausschließlich um Trojaner, die auf Basis einer Anordnung zur Quellen Telekommunikations- Überwachung zum Einsatz kamen. Diese erlaubt das Abhören von Kommunikation an der Quelle (Endgerät), wenn keine andere „klassische“ TKÜ Methode greift. Bei der klassischen TKÜ wird üblicherweise eine Kommunikation an der Vermittlungsstelle abgegriffen, ohne das ein Eingriff in das benutzte Endgerät erforderlich ist. Es geht in den meisten Fällen um das Abhören von Voice Over IP (VOIP) Gesprächen wie z.B. Skype.

Davon zu unterscheiden sind Maßnahmen der Online-Durchsuchung, die deutlich weitreichendere Möglichkeiten bereitstellt, aber auch deutlich höhere Hürden bei der Durchführung hat. Diese Variante eines möglichen Trojaner Einsatzes sollte davon getrennt betrachtet werden.

Es ist hilfreich, sich befreit von Aufgeregtheit dem Thema zu nähern. Was ist denn genau passiert? Der CCC hat eine ihm zugespielte Festplatte analysiert und dort einen Trojaner gefunden, von dem mittlerweile unbestritten bekannt ist, dass es sich hierbei um den Trojaner aus dem Fall Landshut handelt. Dieser Trojaner enthält neben der „gewünschten“ Fähigkeit Internettelefongespräche an der Quelle, also in diesem Fall an dem Notebook anzuzapfen, auch noch mehr Eigenschaften. Diese sind auch der Stein des Anstoßes.

Die weiteren Features kann man in drei Kategorien unterteilen:

1. Umstrittene genutzte Möglichkeiten: Screenshots: wurden in diesem Fall angeblich 60 000 im 30 Sekunden-Rhythmus gemacht. Dies sollte dazu dienen, die Kommunikation per E-Mail, Chat etc. sicherzustellen. Das Landgericht Landshut hat dieses jedoch als rechtswidrig erachtet. Hier bleiben auch weitere Fragen offen: Haben die Screenshots auch Texte erfasst oder erfassen können, die nicht der Kommunikation dienten (Tagebucheinträge, Entwürfe). Da sich dies nicht ausschließen lässt, ist naheliegend, dass es sich hierbei um eine nicht zulässige Maßnahme der TKÜ handelt.
2. Deaktivierte Fähigkeiten des Trojaners: Der CCC hat bei diesem Trojaner mindestens zwei weitere integrierte, aber in vorliegendem Fall nicht aktivierte Features entdeckt. Erstens wurde eine Keylogging-Funktion, also das Mitprotokollieren aller Tasteneingaben, welche nicht zwischen dem Schreiben einer E-Mail oder der Eingabe einer PIN/TAN-Kombination unterscheidet, entdeckt. Zweitens wurde ein Mikrofon Ein- und Ausschalter gefunden. Dieser könnte z.B. zur akustischen Raumüberwachung genutzt werden. Diese beiden Fähigkeiten gehen natürlich weit über das zum Zwecke der TKÜ/Quellen-TKÜ erlaubte Maß hinaus und sind eher mit einer Online- Durchsuchung zu vergleichen. Dass diese Fähigkeiten deaktiviert waren, beruhigt einerseits. Aber, dass sie überhaupt integriert und auf der Festplatte des Verdächtigen verfügbar waren, gibt Anlass zur Sorge. Denn alle Fähigkeiten des Trojaners waren über eine Fernsteuerung einfach aktivierbar. Was uns zum nächsten Punkt bringt:
3. Offenes Scheunentor: Alle bisher vom CCC analysierten Trojaner enthielten eine Fähigkeit, die zu besonders großer Sorge Anlass gibt: Die Möglichkeit alle vorgenannten Fähigkeiten fernzusteuern und beliebige Features nachzuladen bzw. beliebige Dateien hoch- bzw. runterzuladen. Allein dadurch ist die Integrität des Systems schon in Frage gestellt. Das Perfide an den entdeckten Trojanern ist jedoch die offensichtlich schlampige Programmierung! Insbesondere wurde hierbei der Rückkanal zum infizierten Rechner in der älteren Version des Trojaners gar nicht verschlüsselt. Zwar hat die neuere Version des Trojaners zumindest zwischen den Behörden und dem überwachten Computer eine Verschlüsselung in beide Richtungen – allerdings immer noch mit demselben Schlüssel, der auch schon vor drei Jahren zum Einsatz kam. Zudem ist der Verschlüsselungsalgorithmus, nämlich AES im untauglichen ECB-Modus, relativ einfach zu knacken. Von effektiver Verschlüsselung kann also keine Rede sein, höchstens von “leichter Verschleierung”.1 Das erschreckende an dieser Stelle ist, dass es dem CCC gelungen ist, sich problemlos dem befallenen Rechner gegenüber als „legaler“ Steuerungsrechner auszugeben. Dies ist auf Grund der oben genannten Fehler aber leider jedem halbwegs begabten Fachmann möglich. Dies führt dazu, dass sich beliebige Dritte mit den geschilderten Möglichkeiten Zugriff auf den zu überwachenden Rechner verschaffen könnten. Das beinhaltet nicht nur dieselben Möglichkeiten, die die Ermittlungsbehörden haben, sondern natürlich auch das beliebige Nachladen von zusätzlichen Überwachungstools oder das beliebige manipulieren von Dateien und Beweisen. Zusammengenommen tendiert damit die Beweiskraft der getroffenen Maßnahmen der Quellen TKÜ gegen Null.

Wie kam es eigentlich zur Quellen-TKÜ? Wir erinnern uns: Die klassische TKÜ dient bei begründeten Verdachtsmomenten zum Abhören der Kommunikation. Die Wanze im Telefon ist schon lange nur eine Mär. Das ganze funktioniert auf richterliche Anordnung in der Vermittlungsstelle. Das ist natürlich bei der Internettelefonie etwas komplizierter und auch etwas anders, denn dort besteht eine direkte Verbindung zwischen zwei Endgeräten, die auch noch verschlüsselt ist. Damit wurde übrigens immer auch die Notwendigkeit der Quellen-Telekommunikationsüberwachung begründet. Damit die beiden Teilnehmer sich finden, wird eine Vermittlungsstelle in Anspruch genommen, ein zentraler Rechner.

Technisch stellt es kein Problem für den Anbieter dar, das gesamte Gespräch über diese Vermittlungsstelle laufen zu lassen.

Technisch gesehen ist es aber auch kein Problem, die Verschlüsselung auszuhebeln, sei es durch einen Generalschlüssel oder durch eine Man-in-the- Middle-Attack.

Das alles kann vonstatten gehen, ohne dass die Teilnehmer dies mitbekommen.

Nun verdichten sich die Gerüchte, dass Anbieter von solchen Internet-Telefondiensten nicht nur theoretisch in der Lage sind, diesen Service anzubieten. Bereits 2008 wurde in Österreich bei einem Treffen im dortigen Innenministerium zum Thema Lawful Interception diese Möglichkeit bestätigt. Die Datenschutzbestimmungen des führenden Anbieters weisen explizit auf diese Möglichkeit hin. Die User müssen sich also darüber bewusst sein, dass diese staatlichen Methoden zur Überwachung angewendet werden können. Bei deutschen VOIP-Anbietern besteht ohnehin die Möglichkeit, mit den Methoden der klassischen TKÜ auf die Gespräche zuzugreifen. Diese sind gesetzlich dazu verpflichtet, eine solche Schnittstelle bereitzustellen. Es hat deswegen sehr verwundert, dass der analysierte Trojaner auch dafür Schnittstellen bereitstellen soll.

Wenn es eine Möglichkeit gibt, ohne Eingriff auf das Endgerät und verfassungskonform eine solche Überwachung zu veranlassen, dann stellt sich die Frage: Warum tun wir das dann nicht?

Wenn aber der Einsatz eines Trojaners nicht grundgesetzkonform gestaltet werden kann, stellt sich die Frage: Warum tun wir es dann?

Welche Schritte sind nun zu unternehmen?

1. Eine schnellstmögliche, transparente Aufklärung darüber wer, wann, welchen Trojaner eingesetzt hat.
2. Mögliche Alternativen zum Trojaner-Einsatz, die auf Basis der geltenden TKÜ geregelt sind, müssen überprüft und auf Tauglichkeit getestet werden.

Es bleibt festzuhalten: Das Eindringen in die Privatsphäre (Endgerät) mittels heimlich aufgespielter Trojaner birgt grundsätzlich die Gefahr des Missbrauchs.

Alleine deswegen sollte der Staat die Finger von Trojanern lassen.