Chaos Computer Club

Hacker knacken angeblich Bundestrojaner

Der Chaos Computer Club hat angeblich eine "staatliche Spionagesoftware" geknackt, mit der Ermittler Computer ausspähen können sollen. Laut CCC verletzt die Software höchstrichterlich festgelegte Vorgaben, ist "inkompetent" programmiert und liefert Daten in die USA.

Dem Chaos Computer Club (CCC) ist nach eigenen Angaben eine „staatliche Spionagesoftware“ zugespielt worden, die von Ermittlern in Deutschland zur Überwachung eingesetzt wird. Und dieser „Bundestrojaner light“ kann demnach mehr, als er können dürfte: Verwendet werden soll eine solche Software ausschließlich zur Überwachung von Telekommunikations-Verbindungen. Das Programm kann Screenshots anfertigen und Internet-Telefongespräche via Skype und andere Dienste abhören - aber kann auch weitere Programmteile nachladen und, ferngesteuert, auch auf dem auszuspähenden Rechner ausführen.

Der CCC erhebt den Vorwurf, es sei eine „Erweiterbarkeit auf die volle Funktionalität des Bundestrojaners – also das Durchsuchen, Schreiben, Lesen sowie Manipulieren von Dateien“ sei „von Anfang an vorgesehen“ Auch sei die Software technisch so angelegt, dass „ein digitaler großer Lausch- und Spähangriff“ möglich werde, „indem ferngesteuert auf das Mikrophon, die Kamera und die Tastatur des Computers zugegriffen wird“.

Inkompetente Programmierer

Gleichzeitig aber, befindet der CCC, seine die Macher des Späh-Programms nicht mit sonderlich viel Kompetenz zu Werke gegangen. Aufgrund von groben Fehlern erstünden durch die Software „eklatante Sicherheitslücken in den infiltrierten Rechnern, die auch Dritte ausnutzen können“. Die Verschlüsselung der ausgespähten Daten, die das Programm an seinen Verwender zurücksenden kann, seien „inkompetent“ verschlüsselt – oder auch gar nicht. Mit der Folge, dass laut CCC auch „mäßig begabte Angreifer“ den Ermittlern, die das Programm nutzen, falsche Daten unterschieben könnten.

Die Daten wiederum, die beim Ausspähen ausgelesen werden, liefert das Programm laut CCC an einen Server, der in den USA steht - die IP-Adresse, eine Art Internet-Nummernschild in Form einer mehrstelligen Zahlenkombination, weist auf ein Rechenzentrum in den Vereinigten Staaten.

Ministerium bestätigt Existenz von Späh-Software

Die „Telekommunikationsüberwachung an der Quelle“, kurz als Quellen-TKÜ bezeichnet, soll eine Möglichkeit bieten, Internet-Kommunikation abzuhören, bevor sie für den Weg durchs Netz verschlüsselt wird.

Ein Sprecher des Bundesinnenministeriums bestätigte, dass bereits Software-Lösungen für eine Quellen-TKÜ verfügbar seien, sowohl für die Bundesbehörden als auch auf Landesebene. „Für den Einsatz dieser Software gibt es gesetzliche Grundlagen, die beim Einsatz beachtet werden müssen“, sagte der Sprecher. Für Ermittlungen auf Bundesebene sei hier etwa das BKA-Gesetz relevant. Außerdem gibt es in einigen Bundesländern Regelungen zum Einsatz der Quellen-TKÜ.

Die Bestrebungen für eine Online-Durchsuchung bei Verdächtigen reichen ins Jahr 2005 zurück, in die Amtszeit des damaligen Bundesinnenministers Otto Schily (SPD). Danach setzte unter dem Schlagwort „Bundestrojaner“ eine heftige Debatte über die Zulässigkeit solcher Eingriffe in die Privatsphäre des persönlichen Computers ein.

Hohe rechtliche Hürden

Das Bundesverfassungsgericht setzte im Februar 2008 hohe rechtliche Hürden für Online-Durchsuchungen. Das heimliche Ausspähen eines Computer-Anwenders zur Gefahrenabwehr ist demnach nur dann zulässig, wenn es eine klare gesetzliche Regelung dafür gibt. Außerdem muss die Aktion der „Abwehr einer konkreten Gefahr für ein überragend wichtiges Rechtsgut“ dienen. Weiterhin muss die Aktion durch einen Richter angeordnet werden.

Im Rahmen des Tests hat der CCC eine „Gegenstelle“ für den Trojaner geschrieben, also ein Programm nachgebildet, mit dem auf Seiten von Ermittlungsbehörden die ausgespähten Daten empfangen würden. Damit war es möglich, Inhalte des Webbrowsers per Bildschirmfoto auszuspionieren, inklusive privater Notizen, E-Mails oder Texten in webbasierten Cloud-Diensten. „Wir waren überrascht und vor allem entsetzt, dass diese Schnüffelsoftware nicht einmal den elementarsten Sicherheitsanforderungen genügt“, heißt es in einer Mitteilung des CCC.

Hämische Bewertung

Der Trojaner nehme Befehle ohne jegliche Absicherung oder Authentifizierung entgegen. Selbst einfache Absicherungen, wie beim Online-Banking oder bei Flirtportalen üblich, gebe es nicht. Es sei für einen beliebigen Angreifer ohne weiteres möglich, die Kontrolle über einen von deutschen Behörden infiltrierten Computer zu übernehmen. „Das Sicherheitsniveau dieses Trojaners ist nicht besser, als würde er auf allen infizierten Rechnern die Passwörter auf ‚1234’ setzen.“

Die technische Bewertung ist überaus negativ – entsprechend hämisch notiert der 20-seitige, ausführliche Bericht (PDF) : „Wir sind hocherfreut, dass sich für die moralisch fragwürdige Tätigkeit der Programmierung der Computerwanze keine fähiger Experte gewinnen ließ und die Aufgabe am Ende bei studentischen Hilfskräften mit noch nicht entwickeltem festen Moralfundament hängenblieb.“

Neueste Politik Videos

Neueste Politik Videos

Beschreibung anzeigen