Chaos Computer Club enttarnt den Bundestrojaner

Der Chaos Computer Club (CCC) hat nach eigenen Angaben Exemplare des Bundestrojaners untersucht, die ihm zugespielt wurden. Mit einem alarmierenden Ergebnis. Die analysierte Schnüffelsoftware kann nicht nur höchst intime Daten ausleiten, sondern bietet auch eine Fernsteuerungsfunktion zum Nachladen und Ausführen beliebiger weiterer Schadsoftware. Aufgrund von groben Design- und Implementierungsfehlern entstehen nach Einschätzung des CCC Sicherheitslücken in den infiltrierten Rechnern, die auch Dritte ausnutzen können. Den eng gesteckten rechtlichen Rahmen sieht der CCC eindeutig überschritten.

Der Bundestrojaner läuft seit längerem unter der unauffälligen Neusprech-Variante “Quellen-TKÜ” (TKÜ = Telekommunikationsüberwachung. Diese Quellen-TKÜ darf nach den Vorgaben des Bundesverfassungsgerichtsw an sich ausschließlich für das Abhören von Internettelefonie verwendet werden. Dies ist an sich durch technische und rechtliche Maßnahmen sicherzustellen. Doch tatsächlich scheinen die Ermittler auch in den Fällen, wo sie eigentlich nur lauschen dürfen, eine regelrechte “Wunderwaffe” einzusetzen, die viel mehr kann.

Konkret veröffentlicht der CCC nun die extrahierten Binärdateien von behördlicher Schadsoftware, die nach seinen Angaben für "Quellen-TKÜ" benutzt wurde, gemeinsam mit einem Bericht zum Funktionsumfang sowie einer Bewertung der technischen Analyse. Im Rahmen der Analyse erstellte der CCC eine eigene Fernsteuerungssoftware für den Behörden-Trojaner und enthüllt so dessen tatsächliche Möglichkeiten.

Die Analyse des Behördentrojaners weist im als "Quellen-TKÜ" getarnten "Bundestrojaner light" bereitgestellte Funktionen nach, die über das Abhören von Kommunikation weit hinausgehen und die expliziten Vorgaben des Verfassungsgerichtes verletzen. So kann der Trojaner über das Netz weitere Programme nachladen und ferngesteuert zur Ausführung bringen.

Eine Erweiterbarkeit auf die volle Funktionalität des Bundestrojaners – also das Durchsuchen, Schreiben, Lesen sowie Manipulieren von Dateien – ist von Anfang an vorgesehen. Sogar ein digitaler großer Lausch- und Spähangriff ist möglich, indem ferngesteuert auf das Mikrofon, die Kamera und die Tastatur des Computers zugegriffen wird.

Es ist, so der CCC, also nicht einmal versucht worden, softwaretechnisch sicherzustellen, dass die Erfassung von Daten strikt auf die Telekommunikation beschränkt bleibt. Weitere Funktionalitäten der Computerwanze wurden vielmehr von vornherein vorgesehen.

"Damit ist die Behauptung widerlegt, dass in der Praxis eine effektive Trennung von ausschließlicher Telekommunikationsüberwachung und dem großen Schnüffelangriff per Trojaner möglich oder überhaupt erst gewünscht ist", kommentiert ein CCC-Sprecher die Analyseergebnisse. "Unsere Untersuchung offenbart wieder einmal, dass die Ermittlungsbehörden nicht vor einer eklatanten Überschreitung des rechtlichen Rahmens zurückschrecken, wenn ihnen niemand auf die Finger schaut. Hier wurden heimlich Funktionen eingebaut, die einen klaren Rechtsbruch bedeuten: das Nachladen von beliebigem Programmcode durch den Trojaner."

Der Behördentrojaner kann also auf Kommando – unkontrolliert durch den Ermittlungsrichter – Funktionserweiterungen laden, um die Schadsoftware für weitere gewünschte Aufgaben beim Ausforschen des betroffenen informationstechnischen Systems zu benutzen. Dieser Vollzugriff auf den Rechner, auch durch unautorisierte Dritte, kann etwa zum Hinterlegen gefälschten belastenden Materials oder Löschen von Dateien benutzt werden und stellt damit grundsätzlich den Sinn dieser Überwachungsmethode in Frage.

Doch schon die vorkonfigurierten Funktionen des Trojaners ohne nachgeladene Programme sind besorgniserregend. Im Rahmen des Tests hat der CCC eine Gegenstelle für den Trojaner geschrieben, mit deren Hilfe Inhalte des Webbrowsers per Bildschirmfoto ausspioniert werden konnten – inklusive privater Notizen, E-Mails oder Texten in webbasierten Cloud-Diensten.

Die von den Behörden suggerierte strikte Trennung von genehmigt abhörbarer Telekommunikation und der zu schützenden digitalen Intimsphäre existiert in der Praxis also offenbar nicht. Der Richtervorbehalt kann schon insofern nicht vor einem Eingriff in den privaten Kernbereich schützen, als die Daten unmittelbar aus diesem Bereich der digitalen Intimsphäre erhoben werden.

Die Analyse offenbarte ferner gravierende Sicherheitslücken, die der Trojaner in infiltrierte Systeme reißt. Die ausgeleiteten Bildschirmfotos und Audio-Daten sind nach Einschätzung der CCC-Techniker auf inkompetente Art und Weise verschlüsselt, die Kommandos von der Steuersoftware an den Trojaner sind gar vollständig unverschlüssselt.

Weder die Kommandos an den Trojaner noch dessen Antworten seien durch irgendeine Form der Authentifizierung oder auch nur Integritätssicherung geschützt. So könnten nicht nur unbefugte Dritte den Trojaner fernsteuern, sondern bereits nur mäßig begabte Angreifer sich den Behörden gegenüber als eine bestimmte Instanz des Trojaners ausgeben und gefälschte Daten abliefern. Es ist laut CCC sogar ein Angriff auf die behördliche Infrastruktur denkbar. Von so einem "Angriff” hat der CCC nach eigenen Angaben aber abgesehen.

"Wir waren überrascht und vor allem entsetzt, das die Schnüffelsoftware nicht einmal den elementarsten Sicherheitsanforderungen genügt. Es ist für einen beliebigen Angreifer ohne weiteres möglich, die Kontrolle über einen von deutschen Behörden infiltrierten Computer zu übernehmen", sagt der CCC-Sprecher. "Das Sicherheitsniveau dieses Trojaners ist nicht besser, als würde er auf allen infizierten Rechnern die Passwörter auf ‚1234‘ setzen."

Zur Tarnung der Steuerzentrale würden die ausgeleiteten Daten und Kommandos obendrein über einen in den USA angemieteten Server umgelenkt. Die Steuerung der Computerwanze findet also jenseits des Geltungsbereiches des deutschen Rechts statt. Durch die fehlende Kommando-Authentifizierung und die inkompetente Verschlüsselung – der Schlüssel ist in allen dem CCC vorliegenden Staatstrojaner-Varianten gleich – stelle dies ein unkalkulierbares Sicherheitsrisiko dar. Außerdem sei fraglich, wie ein Bürger sein Grundrecht auf wirksamen Rechtsbehelf ausüben kann, sollten die Daten im Ausland “verlorengehen”.

Im Streit um das staatliche Infiltrieren von Computern hatten der ehemalige Bundesinnenminister Wolfgang Schäuble und BKA-Chef Jörg Ziercke stets unisono betont, die Bürger müssten sich auf höchstens "eine Handvoll" Einsätze von Staatstrojanern einstellen. Die Experten vom CCC wundern sich: Entweder sei nun fast das vollständige Set an staatlichen Computerwanzen in braunen Umschlägen beim CCC eingegangen oder die Wahrheit sei wieder einmal schneller als erwartet von der Überwachungswirklichkeit überholt worden.

Auch die anderen Zusagen der Verantwortlichen haben laut CCC in der Realität keine Entsprechung gefunden. So hieß es 2008, alle Versionen der "Quellen-TKÜ"-Software würden individuell handgeklöppelt. Der CCC hat aber nun mehrere verschiedene Versionen des Trojaners vorliegen, die alle denselben hartkodierten kryptographischen Schlüssel benutzen und mitnichten individualisiert sind. Die damals versprochene besonders stringente Qualitätssicherung hat weder hervorgebracht, dass der Schlüssel hartkodiert ist, noch dass nur in eine Richtung verschlüsselt wird oder dass eine Hintertür zum Nachladen von Schadcode existiert. Der Sprecher: “Wir hoffen inständig, dass dieser Fall nicht repräsentativ für die besonders intensive Qualitätssicherung bei Bundesbehörden ist.”

Der CCC verlangt nun eine klare Definition der Rechtslage. Das bislang vom Bundesverfassungsgericht eher schwammig formulierte Grundrecht auf “Integrität informationstechnischer Systeme” müsse normiert werden. Für die Praxis verlangt der CCC ein sofortiges Einsatzende für die betreffende Schnüffelsoftware.

Kommentar von Torsten Kleinz: Moment mal, wozu braucht ihr das?

Kommentar von Frank Schirrmacher: Reicht es wirklich, nur auf die Grundgesetztreue des Staates und seiner Diener zu hoffen?