Nach und nach kommen weitere Details zum Staatstrojaner/Bundestrojaner ans Tageslicht und immer mehr zeigt sich das Ausmaß und der Umfang, in dem diese Malware bereits eingesetzt wurde. Immer mehr Bundesländer müssen eingestehen, den Trojaner zu Überwachunsgzwecken eingesetzt zu haben. Eine sehr gute Übersicht hierzu liefert 0zapfis.info, die aus verschiedenen Quellen entsprechende Meldungen zusammentragen. Die folgende Grafik von 0zapftis.info zeigt das sehr anschaulich. Schwarz sind all die Bundesländer, die eine Nutzung bereits eingestanden haben.

Interessant ist zudem, dass F-Secure (und andere Hersteller von Antiviruslösungen) den Installer des Trojaners bereits seit mindestens Dezember 2010 kennt, offenbar wurde dieser auf Virustotal hoch geladen. Möglich, dass hier jemand so „kompetent“ war und prüfen wollte, ob das Stück Malware, welches mit dem Installer untergejubelt werden soll, von Virenscannern erkannt wird. Der Installer verseucht den Rechner exakt mit den Dateien, die der CCC untersucht hat und lag als scuinst.exe vor. SCU steht für Skype Capture Unit und dabei handelt es sich um ein Stück Software, welches von DigiTask entwickelt wurde. Der Kreis ist also geschlossen, diese Informationen liegen bereits seit 2008 vor.

F-Secure bezeichnet 0zapftis intern als Backdoor:W32/R2D2.A, sie verweisen darüber hinaus auf ein Dokument, nach dem das Zollkriminalamt Köln die Malware 2009 bei DigiTaks bestellt hat, das Auftragsvolumen betrug über 2 Millionen Euro.

DigiTask hingegen scheint nun nicht zu bestreiten, die Malware geliefert zu haben, wehrt sich allerdings gegen den Vorwurf der Inkompetenz. Zitat:

„Die Software wurde vor fast drei Jahren geliefert – das sind in der IT-Branche Lichtjahre. Es ist durchaus möglich, dass im November 2008 gelieferte Software heute nicht mehr den Sicherheitsanforderungen entspricht.“

Für mich persönlich reißt die Aussage in der Kompetenzfrage allerdings eher ein weiteres großes Loch auf. Denn wie wir alle wissen sind Lichtjahre keinesfalls geeignet, einen Zeitabschnitt zu beschreiben, es ist ein Längenmaß. Aber das nur nebenbei…

All diese Punkte erhellen die Affäre um den Staatstrojaner in jedem Fall, allmählich zeigt sich mir, wie konsequent inkompetent und vor allem offensichtlich rechtswidrig hier insgesamt vorgegangen wurde, letzteres ist ja bereits gerichtlich bestätigt. Es ist für mich auch keine Ausrede, dass nur das Vorhandensein bestimmter Funktionen nicht automatisch den Einsatz der Malware rechtswidrig machen würde. Das Vorhandensein eines internetfähigen PCs in meinem Haushalt ist ja auch ausreichend, um die Eintreibung von GEZ-Gebühren zu rechtfertigen, ob ich nun einen Internetanschluß habe oder nicht. Sicherlich nicht das beste Beispiel, aber es zeigt deutlich, was ich meine. Funktionen, deren Einsatz illegal wäre, dürfen in einem solchen Tool schlichtweg nicht enthalten sein. Zumal die Steuerung offensichtlich problemlos einen Zugriff auf die Funktionen erlaubt. Ich kann mir keinen Ermittler vorstellen der nicht der Versuchung erliegen würde, auch mal auf den Button „Festplatteninhalte anzeigen“ zu klicken. Das schaffen nicht mal die Ermittler in irgendwelchen Fernsehserien…

Ich hoffe das Thema verschwindet nicht so schnell wieder vom Tisch sondern wird schön weiter geköchelt. Hier muss es in jedem Fall personelle Konsequenzen geben, die weit über das eine oder andere Bauernopfer hinaus gehen. Aber die Aussichten sind recht gut, dass hier weiterhin viele am Ball bleiben und die Affäre restlos aufklären.

Übrigens glaube ich nicht einmal ansatzweise, dass Deutschland das einzige Land ist, welches derartige Werkzeuge einsetzt. Ich denke lediglich, dass es hier bei uns zum ersten Mal aufgefallen ist. Was eben auch auf andere Weise auch wieder für Inkompetenz spricht. Und auf eine gewisse Weise bin ich wirklich froh, dass die Verantwortlichen nicht mehr Kompetenz vorweisen können…

Nachtrag: Laut Aussagen auf der Bundespressekonferenz heute soll der Auftrag des Zollkriminalamts Köln aus 2009 herkömmliche Überwachungstechnik betreffen und nichts mit dem Trojaner zu tun haben.

Nachtrag 2: Die Karte oben kann nun komplett schwarz gefärbt werden. Inzwischen hat das Bundesinnenministerium sein Dementi vom Montag zurück gezogen und eingestanden, eine modifizierte Version des Trojaners im Einsatz zu haben. Wahrscheinlich wurde da der Dateiname geändert. Mehr dazu hat die FAZ. Man kann nun wohl sagen: Beim Bundesinnenministerium wurde zunächst erst einmal gelogen und dann heute, als es nicht mehr anders ging, dann doch die Lüge korrigiert. So zumindest würde ich meinen Sohn tadeln, wenn er so agieren würde.

Wahrscheinlich haben es viele von Euch bereits am Wochenende mitbekommen, der Rest wird es heute vermutlich in den Zeitungen lesen: Der Chaos Computer Club hat ein Stück Malware analysiert, bei dem es sich mit größter Wahrscheinlichkeit um den Bundestrojaner handelt, auf jeden Fall aber um eine Software von unseren Sicherheitsbehörden zur Überwachung von Computern. Das folgende Video von Alexander Svensson (via Caschy) beschreibt grob und vor allem leicht verständlich, was es damit auf sich hat.

Eine Sache ist nun, dass das Stück Software mehr als dilettantisch entwickelt wurde, das spricht nicht gerade für die Verantwortlichen in unseren Behörden. Es reißt massive Sicherheitslöcher auf, versucht nicht einmal sich zu verstecken, verschlüsselt vollkommen unzureichend und, das ist besonders krass, nimmt von jedem, der es versucht, Anweisungen entgegen. Das allein ist schon mehr als erbärmlich.

Weitaus schlimmer wiegt jedoch die Tatsache, dass nicht einmal versucht wurde, sich auf die vom Bundesverfassungsgericht vorgeschriebene Telekommunikationsüberwachung zu beschränken. Im Gegenteil kann und tut der Bundestrojaner all das, was man von einem „herkömmlichen“ Trojaner erwarten würde: Inhalte der Festplatte auslesen und manipulieren, Raumüberwachung via angeschlossenem Mikrofon oder Kamera, weiteren Code aus dem Netz nachladen, nachgeladene Daten auf der Festplatte platzieren.

Die Analyse des CCC zeigt also, dass sich unsere Sicherheitsbehörden mitnichten vom Bundesverfassungsgericht einschränken lassen wollen. Es ist von Anfang an vorgesehen, alles technisch mögliche auch nutzbar zu machen. Abgesehen von der Frage nach Beweissicherheit, die durch die Möglichkeit, Daten nach Belieben zu verändern oder auf der Festplatte zu platzieren, vollkommen hinfällig geworden ist, zeigt die Analyse auch die komplette Ignoranz klarer Vorgaben. Man ist nicht gewillt, Einschränkungen hinzunehmen und will alles, was irgendwie machbar ist. Mit Rechtsstaatlichkeit hat das nichts mehr zu tun, das ist Anarchie von oben.

Das Schlimme ist: Über Jahre hinweg wurde exakt vor diesen Möglichkeiten gewarnt. Jeder, der auch nur ansatzweise ein wenig Plan von der Materie hat, hat wieder und wieder gewarnt, dass exakt das passieren wird. Dass eine Möglichkeit der totalen Überwachung geschaffen wird, wenn man derartige „Hilfsmittel“ zulassen würde. Und dass diejenigen, die diese „Hilfsmittel“ einsetzen, auch alle Möglichkeiten nutzen würden.

Die Frage ist nun, wer die Trojaner gegen wen eingesetzt hat. Wer hier noch an das Märchen der Terrorbekämpfung glaubt lebt ganz sicher in einer Traumwelt. JEDES Werkzeug, welches im Laufe der Jahre von staatlicher Seite geschaffen wurde, wurde auch immer in weitaus mehr Fällen eingesetzt, als es zunächst erklärt wurde. Heute heißt es „Bekämpfung des Terrors“, morgen sind es schwere Straftaten und in einer Woche dann werden die bösen Raubmordkopierer ausspioniert.

Aktuell wird fleißig dementiert, niemand will es gewesen sein. Fakt ist: Die Software ist da, Fakt ist auch: Die Software wurde bereits in mehreren Fällen eingesetzt. Das „Werkzeug zur Terrorbekämpfung“ ist Realität und es kann weitaus mehr, als es tun dürfte. Wer glaubt angesichts dieser Fakten noch daran, dass die Ziele dieser Form von Überwachung so sensibel heraus gepickt werden würden, wie es uns vorgeheuchelt wurde? Ich nicht. Und Ihr tätet gut daran, das ebenfalls nicht zu tun.

Das Bundesverfassungsgericht hat gestern die Klausel, die dem nordrhein-westfälischen Verfassungsschutz heimliche Online-Durchsuchungen von PCs erlaubte, für verfassungswidrig erklärt. In diesem Zusammenhang hat das Gericht ein Grundrecht auf „Gewährleistung der Vertraulichkeit und Integrität“ informationstechnischer Systeme eingeführt.

Dieses Urteil hat nun natürlich auch Folgen auf die geplante Ausweitung der Überwachungsmöglichkeiten durch Herrn Schäuble. Unter dem Deckmäntelchen der Terrorabwehr sollte es möglich sein, nach Belieben PCs von Personen aus zu spähen. Wie schwammig hier die Gesetze sind, ist leider hinlänglich bekannt. Das Bundeverfassungsgericht hat nun den Einsatz eines Bundestrojaners nicht grundsätzlich für verfassungswidrig erklärt, aber an hohe Auflagen gebunden. Das Ausspähen privater PCs darf nur dann auf richterlichen Beschluss hin möglich sein, wenn „tatsächliche Anhaltspunkte einer konkreten Gefahr für ein überragend wichtiges Rechtsgut bestehen“, also Menschenleben oder der Bestand des Staates konkret gefährdet sind.

Ich werte das Urteil als Teilerfolg, sehe aber dennoch einige Risiken in diesem Urteil. Auch Hausdurchsuchungen sind bereits seit langem an hohe Auflagen gebunden, wir alle wissen jedoch, aufgrund welcher Nichtigkeiten zum Teil Hausdurchsuchungen angeordnet und durchgeführt werden. Die Grenzen für eine Online-Durchsuchung sind sicherlich wesentlich enger gesteckt, aber lassen sie durchaus zu. Im Gegensatz zu den heimlichen Wünschen einiger kann nach diesem Urteil aber der Bundestrojaner nicht genutzt werden, um Verdachtsmomente zu produzieren, sondern darf erst aufgrund tatsächlich vorhandener konkreter Verdachtsmomente überhaupt eingesetzt werden.

Sehr schön finde ich nach diesem Urteil die Reaktion Wolfgang Schäubles. Er sieht sich durch das Urteil in seinen Vorstellungen bestätigt, was sich mir nicht so ganz erschließt. Wollte er doch die Online-Durchsuchung ursprünglich zur präventiven „Verhütung“ von Terroranschlägen einsetzen, darf er sie nun nach diesem Urteil lediglich zur Bekämpfung konkreter und unmittelbarer Gefahren nutzen. Aber schön, dass er dieses für ihn bindende Urteil in seinem Gesetzesentwurf „berücksichtigen“ möchte. Danke Herr Schäuble!

Ich sehe allerdings in diesem Urteil einige weitere positive Auswirkungen, die nicht unmittelbar angesprochen wurden. Konkret wird durch dieses Urteil praktisch untersagt, dass durch technische Maßnahmen Informationen auf einem PC gesammelt und übertragen werden dürfen. Dies ist nun als neues Grundrecht fest geschrieben. Somit werden auf einen Schlag auch sämtliche Programme illegal, die Informationen über installierte Software oder vorhandene Dateien auf einem PC einsammeln und an den Hersteller übermitteln. Microsoft beispielsweise steht bei vielen seit langem unter Verdacht, Informationen über installierte Programme nach Redmond zu schicken, ebenfalls vermuten viele, Apples iTunes sendet Daten der auf der Festplatte gefundenen Musikstücke nach Hause. Aber auch Online-Spiele wie World of Warcraft durchsuchen die Festplatten der PCs. So steht beispielsweise in den Anti-Cheat-Bestimmungen zu diesem Spiel:

„Während der World of Warcraft Client (der Client) ausgeführt wird, kann der Client den Arbeitsspeicher (RAM) Ihres Computers und / oder die CPU Ihres Computers nach nichtautorisierter Drittanbietersoftware scannen, die zeitgleich mit World of Warcraft ausgeführt wird. Darüber hinaus wird der Client das Spielinstallationsverzeichnis scannen, um sicherzustellen, dass nur nicht-gehackte Originalsoftware verwendet wird.“

Einige Zeilen weiter unten findet der Leser dann noch folgenden Passus:

„Im Fall, dass der Client eine nichtautorisierte Drittanbietersoftware entdeckt, kann der Client die folgenden Informationen an Blizzard Entertainment weiterleiten :

• Details zu der unautorisierten Drittanbietersoftware;
• Zeitpunkt und Datum, zu dem die unautorisierte Drittanbietersoftware entdeckt wurde;
• Ihre IP-Adresse; und
• Identifikationsnummern von PC-Komponenten, z.B. Festplatten, Hauptprozessor und Betriebssystem.“

Nach meinem Rechtsverständnis dürften diese Klauseln sowie die Praxis, die PCs der Anwender zu durchsuchen, nun rechtswidrig sein. Auch die Praxis, die Möglichkeit der Nutzung einer Software an die Aufgabe einer nun zum Grundrecht erklärten Sebstverständlichkeit zu binden ist nach meinem Rechtsempfinden nicht mehr möglich und verstößt gegen geltendes Recht.

Inwieweit sich dieses Urteil auch auf die Praxis beispielsweise der Contentmafia, mittels spezieller Clients in P2P-Netzwerken die auf fremden PCs freigegebenen Dateien zu scannen, auswirken wird bleibt abzuwarten. Auch hier sehe ich persönlich eigentlich das Recht auf Seiten der PC-Inhaber. Wie das in Zukunft die Gerichte sehen werden ist noch offen.

Na das ist doch mal wieder etwas nettes aus meinem Spam-Folder:

Sehr geehrter Internetnutzer,

im Rahmen unserer ständigen automatisierten Überprüfung von sogenannten Tauschbörsen im Internet, wurde folgende IP-Adresse auf unserem System ermittelt.

IP: xx.xx.xx.xx

Der Inhalt Ihres Rechners wurde als Beweismittel mittels den neuen Bundestrojaner sichergestellt.
Es wird umgehend Anzeige gegen Sie erstatten, da sich illegale Software, Filme und/oder Musikdateien auf Ihren System befinden. Durch die Nutzung sogenannter Tauschbörsen, stellen Sie diese auch anderen Nutzern zu Verfügung und verstoßen somit gegen §§ 249ff StGB.

Das vollständige Protokoll Ihrer Online-Durchsuchung finden Sie im Anhang dieser Email.

Die Strafanzeige und die Möglichkeit zur Stellungnahme wird Ihnen in den nächsten Tagen schriftlich zugestellt.

Herbert K., Kriminaldirektor, LKA Rheinland-Pfalz
Am Sportfeld 9c, 55124 Mainz
Tel.: 06131 – xxx
Fax: 06131 – xxx
Mobil: 0171 – xxx
Mail: xxx51@aol.com

Und im Anhang, natürlich, eine Zip-Datei, die mit an 100% grenzender Wahrscheinlichkeit den eigentlichen Trojaner enthält.

Sorry, das ist SO billig, wer diesen Anhang öffnet und sich auf diese Weise den Rechner infiziert, selbst schuld. Auf die Details muss ich bei dieser Mail sicherlich nicht eingehen, es dürfte für jeden erkennbar sein, woher hier der Wind weht. Insofern: netter Versuch, hab gerade gut gelacht. Und das wars auch schon.

Nachtrag: Die Adresse in der Mail gibt es im übrigen tatsächlich, es scheint sich hier um die Anschrift des als Urheber der Mail bezeichneten Herrn K. zu handeln. Veröffentlicht wurde sie im Impressum des Internetauftrittes der Zeitschrift „Die Kriminalpolizei“ des Verlags Deutsche Polizeiliteratur. Der Herr dürfte heute eine ganze Menge eMails und Anrufe erhalten haben… Was ich nun wieder weniger lustig finde.