Am 25.04.2007 waren von 13:00 bis 14:00 Uhr Constanze Kurz und Frank Rieger vom Chaos Computer Club im tagesschau.de Chat und unterhielten sich mit den Teilnehmern über die Themen Bundestrojaner und digitale Überwachung. Der Chat war sehr lebendig und es gab viele Fragesteller - das Interesse am Bundestrojaner scheint groß und die Bürger durchaus wachsam. Eine kritische Zusammenfassung des Chats mit den CCC-Repräsentanten gibt es hier!

"Das fängt keinen einzigen Terroristen [...]"

Der sog. Bundestrojaner wird vermutlich über manipulierte Download-Requests, Sicherheitslücken auf dem Zielrechner oder andere, der Situation angepasste, Methoden auf den Computer des Abzuhörenden gebracht. Dabei werden sowohl die Internet-Dienstanbieter (T-Online, Arcor etc.) als auch Software-Hersteller mit den Behörden kooperieren.

Das Prinzip der Erstellung des Bundestrojaners basiert auf dem Baukasten-Prinzip, so daß je nach Bedarf eine angepasste Variante der Spionage-Software fabriziert werden kann. Dabei sind auch Non-Windows Systeme wie Mac-OSX oder Linux nicht sicher vor dem Trojaner. Die Bundesbehörden kaufen momentan im großen Stil Know-How bei Developern und Hackern ein, um den Bundestrojaner zu erstellen.

Der Trojaner wird an sein Zielobjekt individuell angepasst werden, damit keine einfache Identifizierung des Schädlings möglich ist. AntiViren-Software und Firewalls (mit Intrusion Detection System) arbeiten an Hand von widerkehrenden Mustern und gleichbleibenden Verhaltensweisen (sog. "Heuristiken"). Da der Trojaner keine gleichbleibenden Mustern aufweisen wird, ist ein einfacher Schutz durch AntiViren-Software o.ä. nicht möglich.

Es wird daher schwer, festzustellen, ob der eigene Computer infiziert ist oder nicht. Eigentlich würden die Behörden durch diese heimliche Vorgehensweise das Gesetz brechen, den potentiellen Straftäter darüber zu informieren, daß Ermittlungen gegen ihn eingeleitet wurden. Dieses Gesetz ist aber derart abgewandelt worden, daß diese Informierung erst im Nachhinein stattfinden darf. Dabei stellt sich die Frage, wer kontrolliert, daß nach einer heimlichen Untersuchung eine offizielle Benachrichtigung des Betroffenen erfolgt - dies widerspricht quasi der Natur der Sache.

Der CCC wird alleine schon aus Neugierde versuchen, in der Zukunft an mit dem Bundestrojaner infizierte Rechner zu gelangen, um den Schädling genauer untersuchen zu können und herauszufinden, wie er konstruiert wird. Interessant ist hierbei, daß vermutlich jeder Developer bei einem solchen Projekt eine Hintertür (sog. "Backdoor") einbauen würde. Es bleibt abzuwarten, ob der CCC diese Backdoor finden wird, oder ob nicht sogar über mehrere Ecken Informationen über eine solche Backdoor an den CCC gelangen könnten. Ein spannendes Projekt wird der Trojander allemal!

Zu den Fähigkeiten des Bundestrojaners gibt es natürlich keine genauen Spezifikationen. Jedoch ist zu erwarten, daß die Hauptziele dieser offiziellen Deutschen Spionage-Software das Mitlesen von sämtlicher Internet-Kommunikation sowie das Erlangen von Passwörtern und Verschlüsselungsdaten des Zielobjektes sind. In Großbritannien gibt es seit einiger Zeit das (fragwürdige) Gesetz, daß Passwörter für verschlüsselte Daten bei den Behörden zu hinterlegen sind, damit diese problemlosen Zugriff darauf erlangen können. Diese (unelegante) Blöße muss sich nun der deutsche Nachrichtendienst nicht geben, da sie mit Hilfe des Bundestrojaners auch ohne die Hilfe des Opfers an dessen Passwörter gelangen können. Es muss vermutlich nicht lange ausgeführt werden, daß diese Vorgehensweise der Behörden in jeder Art und Weise den Sinn von privaten Daten, Passwörtern und Verschlüsselungstechnologien pervertiert.

Es wird des Weiteren gemutmaßt, daß der Bundestrojaner auch problemlos Daten auf den Zielrechner bringen kann. Dies mag in bestimmten Situationen für die Behörden sinnvoll sein, gibt aber in 99 Prozent der Fälle auch Raum für eine neue Form der Hexenjagd. So könnten durch diese Technologie auch bei Mangel an Beweisen Dokumente auf dem Zielrechner plaziert werden, welche die Verhaftung oder zumindest Diskreditierung der Zielperson ermöglichen. Wird es nicht Zeit, aus den Fehlern anderer Staaten zu lernen und den Nachrichtendiensten nicht noch mehr Macht in die Hände zu geben?

Viele andere technische sowie rechtliche Probleme im Zusammenhang mit dem Bundestrojaner sind ebenfalls noch nicht geklärt: Ist ein aktives Vorgehen gegen die Infizierung des eigenen Rechners mit dem Bundestrojaner bereits eine Straftat (Widerstand gegen Staatsgewalt, Behinderung einer polizeilichen Untersuchung)? Wie stellen die Behörden sicher, daß sie auch den richtigen Rechner infizieren - schließlich hängen sehr oft mehrere Rechner am selben Internet-Anschluss mit der selben äußeren IP? Kann die Überwachung der Überwacher durch die Judikative der BRD (Richterlicher Beschluss) überhaupt sichergestellt werden? Wie rechtfertigen die Behörden das Abgreifen von Firmengeheimnissen? Wie kann ein Software-Unternehmen noch überleben, wenn ihm einmal nachgesagt wird, daß seine Software manipuliert wurde und den Bundestrojaner enthält bzw. daß eine bekannte Sicherheitslücke für das Eindringen des Bundestrojaners absichtlich nicht geschlossen wurde? Eine solche Nachsage - sei sie fundiert oder nicht - ist prinzipiell der Todesstoß für ein solches Unternehmen. Ist es wirklich sinnvoll, in das "Haifischbecken Softwaremarkt" zusätzlich noch Blut zu gießen?

All diese unbeantworteten Fragen lassen den Bundestrojaner nicht besonders gut dastehen. Die Behörden bewegen sich teils nicht einmal mehr in einer Grauzone, sondern eindeutig im nachtschwarzen Bereich des Rechtsstaats. Weder die Fähigkeiten noch das Ausmaß dieser neusten Spionage-Idee sind hinreichend bekannt - einzig und allein klar ist, daß wir diesen behördlichen Freibrief zum unkontrollierten Verletzen der Privatssphäre wieder einmal aus eigenen Tasche bezahlen. Kann die Bundesregierung keine sinnvollere Verwendung für die Mehreinnahmen aus der Mehrwertsteuererhöhung finden? Denn realistisch betrachtet wird der Bundestrojaner keinen einzigen wahrhaft gefährlichen Terroristen fassen um einen Anschlag zu verhindern - wer als Teil einer terroristischen Organisation in Deutschland lebt, um hier Anschläge zu planen, besitzt auch jetzt bereits die Infrastruktur und das Wissen, um sich nicht den konventionellen Kommunikationskanälen der Bürger bedienen zu müssen.

Der CCC kann nicht kurzfristige technische Lösungen für das Problem des Bundestrojaners liefern (abgesehen davon, zu empfehlen, wirklich wichtige Daten auf einem Offline-Rechner zu lagern). Viel sinnvoller ist das Engagement des CCC, den Bundestrojaner, der nur ein Bauteil eines viel größeren Überwachungsprogramms ist, auf politischer Ebene zu verhindern. Ihr könnt dieses Vorhaben unterstützen, in dem ihr euren Bundestagsabgeordneten schreibt, den CCC unterstützt oder einfach mit noch uninformierten Menschen in eurer Umgebung über das Problem Bundestrojaner sprecht und so Aufmerksamkeit generiert. Der Chat der CCC-Repräsentanten war ein guter Schritt in diese Richtung und ist sehr positiv aufgenommen worden - nun könnt ihr weiterhelfen!

"[...] aber es kostet Milliarden!"

Geschrieben am 29.04.2007