IT-Experte kritisiert Bundestrojaner
23. Februar 2016Deutsche Welle: Herr Garbsch, wie kann man sich vor solchen Staatstrojanern schützen?
Falk Garbsch: Das Problem bei Staatstrojanern ist, dass die Menschen, die diese Trojaner entwickeln, sehr viel Zeit und Geld investieren, damit diese Trojaner unentdeckt bleiben. Im Zweifel werden Virenscanner diese nicht ohne Weiteres finden. Außerdem werden Behörden Personen gezielt angreifen. Das heißt, es wird dann für die Betroffenen schwierig sein, sich so vorsichtig im Netz zu verhalten, dass sie sich keinen Staatstrojaner einfangen.
Wenn man allgemein über Trojaner und Schadsoftware redet, dann sollte man vielleicht nicht jede Webseite besuchen, nicht jede Warnung wegklicken, nicht jede Applikation herunterladen und auch nicht jede E-Mail öffnen - vor allem, wenn man den Absender nicht kennt.
Ist Festplattenverschlüsselung eine Lösung?
Das hilft leider bei Trojanern sehr wenig. Die hilft, wenn jemand die Festplatte meines Rechners ausbaut und versucht, an meine Daten zu kommen. Die Festplatte ist aber bereits entsperrt, wenn ich angemeldet bin und mein System läuft. Wenn dann der Trojaner aktiv ist, hilft mir eine Festplattenverschlüsselung gar nichts. Falls sich der Trojaner besondere Rechte verschafft, könnte er sogar Zugriff auf Dateien bekommen, die nicht einmal ich öffnen kann, weil mein Betriebssystem es mir verbietet.
IT-Sicherheitsexperten raten dazu, sich nicht mit Administratorrechten an seinem Computer anzumelden, sondern nur als normaler Nutzer mit relativ geringen Befugnissen. Kann ich es dem Trojaner so schwerer machen?
Der Schutz funktioniert nur bis zu einem bestimmten Grad. Falls es ein sehr einfach gestrickter Trojaner ist, der nur mit meinen Rechten etwas kann, dann kann ich mich so etwas schützen. Sobald der Trojaner aber Hintertüren im Betriebssystem ausnutzt, die eine höhere Berechtigungsebene schaffen, hilft das nicht mehr viel.
Ein Bundestrojaner könnte zum Beispiel das Ziel haben, für die Voice-over-IP, also die Internettelefonie, das Mikrofon abzugreifen. Damit würde er praktisch eine Raumüberwachung schalten. Damit das möglich ist, muss der Trojaner - je nach Betriebssystem - unter Umständen direkt mit der Hardware oder den Treibern für das Mikrofon kommunizieren. Also müsste sich der Trojaner Berechtigungen
verschaffen, die die Berechtigung des Nutzers übersteigen.
Der neue Bundestrojaner soll weniger können als der Trojaner, den der Chaos Computer Club im Jahr 2011 auf einem Rechner aus Bayern analysiert hat. Er soll Skype-Telefonie mithören können, aber keinen Zugriff auf die Festplatte haben. Ist es technisch möglich, eine Software mit derartigen Selbstbeschränkungen zu entwickeln?
Das Bundesverfassungsgericht hat 2008 versucht, klare Richtlinien festzulegen, was ein solcher Trojaner nicht können darf. Das Problem dabei kennt jeder Softwareentwickler: Man kann nicht nachweisen, dass eine Software eine bestimmte Funktionalität nicht hat. Es kann sein, dass der Entwickler geschlampt hat und die Software Sicherheitslücken aufweist. Und nicht nur Betriebssystem und die Programme auf dem Computer können Sicherheitslücken haben, sondern auch der Trojaner selbst.
Das war der Fall bei dem Trojaner, den wir 2011 in Bayern gefunden haben. Dort konnte man die Rechte, die man als Betreiber des Trojaners hat, erweitern - indem man über eine vorhandene Lücke Software nachgeladen hat. Es ist nicht nachweisbar, dass eine solche Lücke in diesem neuen Trojaner oder in irgendeiner neuen Software nicht vorhanden ist. Das heißt, wir wissen nicht und können niemals wissen, was dieser Trojaner wirklich kann und ob er sich in den rechtlichen Rahmenbedingungen bewegt.
Kann der Trojaner die Festplatte durchsuchen, obwohl er es eigentlich nicht darf?
Das ist das gleiche: Beim 2011er Trojaner haben wir gesehen, dass es relativ einfach war, Komponenten nachzuladen, und damit eine komplette Manipulation der Festplatte durchzuführen, also Daten zu laden und zu modifizieren.
Auch hier ist es nicht möglich zu beweisen, dass eine Software dazu technisch nicht in der Lage ist. Es fängt ja schon damit an, dass der Trojaner irgendwie installiert werden muss; er muss also irgendwelche Dateien modifizieren und sich im Betriebssystem einrichten. Wenn sich Virenscanner ändern, muss er irgendwie die Möglichkeit haben, sich zu verstecken und sich auch selbst zu updaten - damit er seine Funktionalität erhält. Schon da kommt man in einen Bereich, der eigentlich nicht zulässig ist.
Hat es überhaupt einen Sinn, eine Software zu haben, die von ihrer Architektur her begrenzt ist?
Man sollte sich eher fragen, ob Ermittlungsbehörden kriminelle Methoden einsetzen müssen. Das Manipulieren von Rechnern ist in Deutschland verboten. Im Zweifel könnten dort gefundene Ergebnisse nicht verwertet werden.
Das Bundeskriminalamt wagt sich in Bereiche vor, in denen sonst Geheimdienste unterwegs sind. Dadurch, dass sie so eine Software bauen, müssen sie Sicherheitslücken haben, die sie auf irgendwelchen Märkten einkaufen. Eigentlich dürften die Behörden solche Sicherheitslücken gar nicht geheim halten, sondern müssten sie veröffentlichen, damit die ganze Bevölkerung sich vor Schadangriffen schützen kann. Das passt nicht ganz zusammen.
Falk Garbsch ist Informatiker und Software-Entwickler und gehört zum Team der Sprecher des Chaos Computer Clubs CCC.
Das Interview führte Fabian Schmidt.