Allgemein Web

Chaos Computer Club, Schäuble und der Bundestrojaner

„Die Ermittlungs-Software wird nicht zu einer Beeinträchtigung der auf dem betroffenen Rechner installierten Sicherheitssoftware führen“, heißt es in Schäubles Haus bestimmt. Dritten werde somit ein Eindringen in den betroffenen Rechner durch den Einsatz des Bundestrojaners nicht erleichtert. Außerdem werde sichergestellt, dass die Software „keine eigenen Verbreitungsroutinen und einen wirksamen Schutz gegen Missbrauch durch Dritte beinhaltet“.

Heise

Schäuble und der Bundestrojaner. Wer sich erinnert, der frühere PanikInnenminister Schäuble hatte irgendwann die großartige Idee, dass man doch eine staatliche Malware entwickeln könnte, mit der man die Kommunikation von „Verdächtigen“ remote überwachen kann. Das Bundesverfassungsgericht fand die Idee nicht so prickelnd und hat den Einsatz und die Funktionen 2008 kräftig eingeschränkt.

Sprung ins jetzt: Dem Chaos Computer Club wurden scheinbar mehrere Festplatten zugespielt, auf denen der Bundestrojaner installiert war. Nach einer Analyse stellten sie fest: Ja, das Ding funktioniert und es macht deutlich mehr als es soll. Wie jede gute Malware nimmt sie beispielsweise regelmäßig Screenshots vom Bildschirm aus und versucht gleich auch noch, die Verschlüsselung von Skype auszuhebeln. Die Daten landen dann wohl irgendwo auf einem Server in den USA (kann man so überhaupt sicherstellen, dass sie von niemanden manipuliert werden)? Außerdem haben die behördlichen Virenschreiber scheinbar kräftig bei ihren kriminellen Vorbildern abgekupfert. Laut dem CCC-Bericht kann der Bundestrojaner neue Module nachladen, um so etwa auf angeschlossene Webcams zuzugreifen.

Wie immer haben sie aber bei der Sicherheit geschlampt. Die abgefangenen Daten landen werden zwar verschlüsselt übertragen, sie Software selbst ist aber scheinbar so schlampig abgesichert, dass es dem CCC möglich war, die infizierten Rechner von außen zu übernehmen.

Lasst euch das auf der Zunge zergehen: Die Bundesregierung schreibt Malware, die schlechter abgesichert ist als Zeus und Co und bietet anderen Kriminellen so die Möglichkeit, neue Rechner in ihr Botnet aufzunehmen. Steuergelder bei der Arbeit. Vor allem: Was passiert denn, wenn ein so überwachter Computer von außen übernommen wird und anschließend für andere Attacken genutzt wird oder man illegale Inhalte aufspielt?

Auch die Sicherheit des Trojaners selbst ist fraglich. Beim Lawblog-Eintrag dazu fand sich dieses Zitat:

„Wir waren überrascht und vor allem entsetzt, das die Schnüffelsoftware nicht einmal den elementarsten Sicherheitsanforderungen genügt. Es ist für einen beliebigen Angreifer ohne weiteres möglich, die Kontrolle über einen von deutschen Behörden infiltrierten Computer zu übernehmen“, sagt der CCC-Sprecher. „Das Sicherheitsniveau dieses Trojaners ist nicht besser, als würde er auf allen infizierten Rechnern die Passwörter auf ’1234′ setzen.“

Als Artikel dazu empfehle ich den Beitrag der Zeit, schön aufgearbeitet und gut geschrieben. Außerdem hat sich Mikko Hypönnen von F-Secure dazu Gedanken gemacht.

Was mich am meisten enttäuscht ist, das die Sicherheitshersteller keine Signatur der Schäuble-Malware haben (das bessert sich inzwischen leicht), obwohl das in den Pressegesprächen so gegen 2008 von allen versprochen wurde (bösartige Software ist bösartige Software, egal wer sie schreibt – so ungefähre waren die Antworten). Ich geben den Hersteller nun mal einen Vertrauensvorschuss und denke, dass die eher daran liegt, dass relativ wenige Samples eingereicht wurden. Denn trotz allem dürfte die Software weniger häufig eingesetzt worden sein als jede andere Malware. Ich denke nicht, dass es gezielte Abmachungen im Hinterzimmer gegeben hat.

Fazit: Traue keinen Versprechungen der Innenminister, erst recht nicht, wenn die Begriffe „Sicherheit“ und „Internet“ in einem Absatz vorkommen. Und vielleicht: Wechselt zu Linux oder Mac OS X, dann seid ihr noch ein paar Jährchen sicher.

 

Über den Autor

Moritz Jäger

Ich bin freier Journalist aus München und schreibe unter anderem für den TecChannel, ComputerWoche, GameStar, PC-Welt, CIO, ZDNet oder Security-Insider. Dieses Blog ist privat, hier geht es vor allem um Themen rund um IT, Geek-Kultur oder Comics. Außerdem probiere ich hier immer wieder neue Möglichkeiten aus, es kann also sein, dass ein paar Dinge nicht so hipp/schön/ausgereift sind – aber dafür sind Blogs ja da.

Kommentar schreiben

Hier klicken um zu kommentieren

Werbung

Archive

banner