"Schlichtweg schlampig programmiert"

Sieben Bundesländer und das BKA haben Trojaner verwendet, vermutlich alle vom gleichen Hersteller. Und alle beteuern, die rechtlichen Vorgaben eingehalten zu haben. Der Chaos Computer Club aber hat auf mindestens vier Festplatten aus mehreren Bundesländern anderes festgestellt: Alle Versionen der Spähsoftware waren in der Lage, die Computer als Wanze zu nutzen und hatten eklatante Sicherheitsmängel. Entweder Schlamperei oder Ignoranz - anders sind, so Experten, die Schwachstellen nicht zu erklären.

Von Anna-Mareike Krause, tagesschau.de

"Schlampig programmiert" sei der Trojaner, sagt Rupert Mattgey vom Computermagazin chip, "schlampig programmiert", sagt auch Markus Beckedahl, Blogger bei netzpolitik.org. Und der Chaos Computer Club zeigt sich "erschüttert, dass ein solches System bei der Qualitätssicherung auch nur durch das Sekretariat kommen konnte".

[Bildunterschrift: Die Firma DigiTask in Hessen ]
Nicht schlampig programmiert sei die Software, sondern einfach alt, sagt Winfried Seibert, Anwalt der Firma DigiTask, von der die entschlüsselte Trojaner-Software in Bayern stammt, und die auch weitere Landesbehörden beliefert hat. Man dürfe nicht vergessen, so Seibert, "dass die nun entschlüsselte Software im Jahr 2007 entwickelt wurde, also vier Jahre alt ist. Das ist ja bei der Weiterentwicklung von Software eine Ewigkeit." 

Ab dem Jahr hatten die bayrischen Behörden offenbar von der Firma aus dem hessischen Haiger eine Software gemietet, die Voice-over-IP-Telefonate, also Gespräche über Internet-Telefonie-Programme wie Skype, abhört und vor der Verschlüsselung durch das Programm an die Behörden übermittelt. Die rechtliche Grundlage war ein richterlicher Beschluss im Rahmen von Ermittlungen nach Rauschgiftkriminalität. Danach sei das Programm von der Firma noch bis November 2008 in Bayern betreut worden. Seitdem sei dieser Trojaner nicht weiterentwickelt worden, so der Anwalt der Firma.

Fragen und Antworten:

Staatstrojaner Wie späht der Staat Computer aus? [mehr]

Bundesländer: Wir haben keinen Rechtsbruch begangen

Denn es gibt nicht nur ein einziges Programm zur heimlichen Online-Überwachung. "Für jeden einzelnen Fall wird nach der richterlichen Anordnung eine eigene Software programmiert", sagt Peter Burghardt vom bayrischen Innenministerium. Fünf Mal sei das in den Jahren 2009 und 2010 im Freistaat vorgekommen, zurzeit seien keine solchen Trojaner im Einsatz.

Ebenfalls für die Überwachung von zwei der Drogenkriminalität Verdächtigten nutzte Nordrhein-Westfalen Software der Firma DigiTask. Allerdings habe diese vor Vertragsabschluss schriftlich zugesichert, dass eine Online-Durchsuchung mit der Software nicht möglich sei, so ein Sprecher des nordrhein-westfälischen Innenministeriums.

Auch in Baden-Württemberg nutzten die Ermittler Software von DigiTask – ebenfalls nach jeder richterlichen Anordnung neu, "nach dem Baukastenprinzip", sagt ein Sprecher. Und auch hier, beteuern die Behörden, sei der Trojaner streng nach den rechtlichen Vorgaben angewendet worden. Diejenigen Funktionen des Programmes, die den Vorgaben des Bundesverfassungsgerichtes widersprechen, also beispielsweise die Möglichkeit, den Computer per Mikrofon und Webcam als Wanze zu benutzen, seien nie zum Einsatz gekommen.

Denn die Behörden unterscheiden zwischen Online-Durchsuchung und der sogenannten "Quellen-Telekommunikationsüberwachung". Denn nur zweiteres ist erlaubt, lediglich Telefonate dürfen abgehört und Chats gelesen werden – alles, was darüber hinausgeht, hat das Bundesverfassungsgericht verboten.

Audio: Alles ok mit dem Staatstrojaner?

Malte Pieper (MDR), ARD Berlin 11.10.2011 11:48 | 2'53

•  Download der Audiodatei: 
  Wir bieten dieses Audio in folgenden Formaten zum Download an:

  • mp3-Format Audio:
    64kbps, Mono
  • Ogg Vorbis Audio:
    64kbps, Mono

  Technische Details einblenden

CCC: "Die Behörden hätten das wissen können"

Doch alle vom Chaos Computer Club untersuchten Trojaner konnten mehr als das. Untersucht wurden mindestens vier Festplatten aus mehreren Bundesländern, genauere Angaben macht der CCC nicht, um seine Informanten zu schützen. Doch die Trojaner ähnelten sich, sagt Andreas Bogk vom Chaos Computer Club. Sie hatten den gleichen Hersteller, und vor allem zwei wesentliche Fehler:

Zum einen ließen sich die infizierten Computer per Fernsteuerung als Überwachungsinstrument nutzen, zum anderen hatten alle Trojaner eklatante Sicherheitslücken. Das Gefährliche für den betroffenen Computer ist die sogenannte "Backdoor", die Hintertür. Denn durch diese Hintertür haben nicht nur Ermittler Zugriff auf die Festplatte, auch unbeteiligte Dritte können durch eine Sicherheitslücke Dateien, beispielsweise andere – auch schädliche – Software auf den infizierten Computer spielen.

"Das hätten die Behörden wissen können", sagt Andreas Bogk. Denn der Softwarehersteller DigiTask bewirbt seine Programme in einer Broschüre explizit damit, dass "Code nachladbar" sei. Das bedeutet schlicht, dass nachträglich Programme auf den infizierten Rechner gespielt werden können, dieser also manipulierbar ist.

Und auch aus dem Angebot von DigiTask an die bayrischen Behörden geht hervor, dass sich das Programm nicht allein an den engen, vom Bundesverfassungsgericht gesteckten Rahmen hält. Die Piratenpartei hat ein Schreiben des bayrischen Justizministeriums veröffentlicht, dem als Anhang das Angebot der Firma DigiTask beigefügt ist. Darin geht es um die Beobachtung von Voice-over-IP-Telefonie, also von Skype und ähnlichen Programmen – genau das also, was Bayern, Baden Württemberg und fünf weitere Bundesländer nach eigener Auskunft praktizieren. Kostenvoranschlag: 3500 Euro monatlich mindestens drei Monate lang, dazu einmalige Installationskosten in Höhe von 2500 Euro.

Für weitere 2500 Euro monatlich bietet die Firma auch eine der Leistungen an, die in der Quellen-Telekommunikations-Überwachung nicht vorgesehen sind, aber nun vom Chaos Computer Club enttarnt wurden:  Die SSL-Dekodierung. SSL-Verschlüsselung wird nämlich nicht nur bei E-Mail-Programmen oder Chat-Netzwerken verwandt, sondern beispielsweise auch beim Online-Banking, in Internet-Shops oder im E-Commerce.

Blogger: "Windowsrechner nutze ich nur noch zum spielen"

"Eine solche Sicherheitslücke darf es eigentlich gar nicht geben", sagt Rupert Mattgey von chip. Seit gestern bietet seine Redaktion einen Virenscanner gegen den Staatstrojaner zum Download an, in den ersten 24 Stunden wurde der mehr als 30.000 Mal runtergeladen. Dieser Virenschutz gilt nach Angaben von Mattgey für den entschlüsselten Trojaner sowie für alle, die aus dem gleichen Baukasten gebaut sind.

Auch Blogger Markus Beckedahl empfiehlt jedem Computernutzer, sowohl Firewall als auch Virensoftware ständig zu aktualisieren.  Zusätzlich rät er Windows-Nutzern, ihre Festplatte zu verschlüsseln, beispielsweise mit der Open Source-Software "TrueCrypt", die man im Internet kostenlos downloaden kann. Dann kann erst nach Eingabe eines Passwortes überhaupt Software auf dem eigenen Rechner installiert werden. Denn offenbar gibt es Staatstrojaner bisher nur für Windows, für andere Betriebssysteme wie IOS, MacOS oder Linux gilt das nicht. "Ich nutze meinen Windowsrechner auch nicht mehr zum Arbeiten", sagt Beckedahl, "sondern nur manchmal zum spielen. Zum Arbeiten wäre mir das zu riskant."

• Bayerns Landtags debattiert Trojanereinsatz [br].
• Friedrich fordert Länder zu Staatstrojaner-Stopp auf.
• Wie funktioniert der Staatstrojaner?.
• Constanze Kurz, CCC-Sprecherin, über die Spionage-Software.

Artikel versenden