Eigentlich ist Hacken, also das Eindringen in fremde Computersysteme, illegal. Stecke jedoch die Regierung dahinter, gehe das schon in Ordnung – meinen zumindest Bundesinnenminister Wolfgang Schäuble (CDU) und sein Vorgänger Otto Schily (SPD). Letzterer hatte vor Jahren eine Dienstvorschrift unterschrieben, die es deutschen Geheimdiensten gestattete, heimlich auf Computerfestplatten zu schnüffeln – über die Onlineverbindung. Der Bundesgerichtshof stellte zwar fest, dass dies mangels Rechtsgrundlage illegal ist. Doch Verfassungsschutz und BND fühlten sich nicht an dieses Urteil gebunden. Es gelte nur für Strafverfolgungsbehörden, so Verfassungsschutzpräsident Heinz Fromm. Innenminister Schäuble hat die Onlinedurchsuchung zwar vorerst gestoppt – kämpft aber weiter für ein entsprechendes Gesetz.

Wie ist das Ausspähen eines Computers technisch möglich? Der Wunsch des Staates, die Computer der Deutschen mit Hackermethoden unbemerkt zu durchsuchen, führte schnell zum Schlagwort vom »Bundestrojaner«. Unter solchen »trojanischen Pferden« versteht man Software, die, als nützliche Anwendung getarnt, ihren Weg auf den Rechner findet. Dort angelangt, beginnt der Trojaner zu schnüffeln, vom Anwender völlig unbemerkt. Dabei kann das Schadprogramm (engl.: malware ) beispielsweise die Kontakte und E-Mails im Postfach des Rechners analysieren, Bankdaten, Passworte und Kreditkartennummern sammeln oder Dokumente sowie besuchte Webseiten nach vorgegebenen Stichworten durchsuchen. Die zusammengerafften Informationen lassen sich anschließend unbemerkt über das Internet weiterleiten. Die Aktionen sind nur von der Fantasie des Hackers begrenzt; das Problem besteht lediglich darin, den Trojaner auf den Computer zu schaffen.

Der Bundesinnenminister als zeitgenössischer Odysseus? Nicht so schnell mit den hölzernen Pferden! Noch herrscht ob der technischen Umsetzung der Schäubleschen Pläne offenbar Ratlosigkeit – von den verfassungsrechtlichen und politischen Bedenken einmal ganz abgesehen. Der Bundesregierung fehlt nach eigenem Bekunden jede Vorstellung davon, wie heimliche Onlinedurchsuchungen von Computern durch das Bundeskriminalamt (BKA) technisch am besten durchgeführt werden könnten. Dies ergab eine Kleine Anfrage der FDP-Bundestagsabgeordneten Gisela Piltz. Das verwundert wenig, denn Schäubles Vorhaben ist aus technischer Sicht alles andere als trivial.

Denn erstens gelangen Trojaner – wie andere Computerschädlinge auch – meist per Zufall und durch eine möglichst dynamische Verbreitung auf die Rechner. Der gezielte Angriff auf einen einzelnen Computer ist dagegen technisch schwieriger. Doch genau dies ist angeblich der Plan: »99,99 Prozent der Menschen werden von der Onlinedurchsuchung gar nicht betroffen sein«, so BKA-Chef Jörg Ziercke. »Wir setzen diese Instrumente sehr gezielt ein.« Verständlich, denn einmal in Umlauf gebrachte Schadprogramme lassen sich kaum kontrollieren: Für die digitalen Spione ist es egal, ob der Rechner des Nutzers in Deutschland oder anderswo auf der Welt steht – das Internet kennt keine Grenzen. Schadensersatzansprüche in Millionenhöhe könnten auf die Regierung zukommen, ließe sich die Spur bis zu den Bundeshackern zurückverfolgen. Ein solches Risiko wird keine Regierung eingehen wollen.

Also bleibt nur der kontrollierte Angriff auf den einzelnen Rechner – doch der birgt ein gewaltiges Problem. Jedes Ziel im Internet wird nämlich über eine so genannte IP-Adresse angesprochen, sei es nun ein Computer oder eine Webseite. ZEIT online beispielsweise ist unter der IP-Adresse 217.13.68.162 erreichbar. Private Webnutzer erhalten ihre IP-Adresse automatisch, sobald sie sich bei ihrem Internetprovider anmelden – sie ist jedoch bei jeder Einwahl eine andere. Für einen gezielten Angriff bräuchte das BKA also die aktuelle IP-Adresse des Verdächtigen in Echtzeit. Das wiederum würde einen direkten Zugriff auf die Datenbanken der Internetprovider erfordern, was diese quasi zu Erfüllungsgehilfen der staatlichen Hacker machen würde – aus juristischer und technischer Sicht etwas ganz anderes als beispielsweise die passive Überwachung von E-Mails.

Und mit dem Herausfinden der IP-Adresse ist der Job der BKA-Experten noch längst nicht beendet. Das Spionageprogramm muss auch noch auf den Computer der Zielperson gelangen. Hierfür stehen zwei Alternativen zur Wahl: Entweder sie verschicken den Schädling einfach per E-Mail, beispielsweise in Form von angeblichen Telefon- oder Möbelhausrechnungen. Ein Klick, und der Rechner ist gekapert. Ob jedoch ausgerechnet Terroristen darauf hereinfallen, darf bezweifelt werden. Trick Nummer zwei: Der Hacker nutzt Lücken in weitverbreiteten Programmen wie dem Internet Explorer, Word, Outlook oder dem Betriebssystem selbst. Diese Lücken werden jedoch im Durchschnitt nach 47 Tagen geschlossen, dokumentiert der 11.Internet Security Threat Report der Sicherheitsfirma Symantec. Die BKA-Hacker müssten also statistisch alle sechs Wochen eine neue Lücke ausfindig machen, um den »Bundestrojaner« installieren zu können. Umso wahrscheinlicher wird es, dass sich Schäubles Schnüffler direkt beim Provider in die Internetverbindung einklinken und diese manipulieren. »Beim Download einer Datei wie etwa dem automatischen Update von Windows ließe sich die übertragene Datei problemlos mit dem Trojaner infizieren«, sagt Thilo Weichert, Leiter des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein (ULD). Da die Provider bereits 2005 Hardware zur umgehenden Überwachung von E-Mails an ihre Systeme anschließen mussten, dürfte die Umrüstung auf derlei Maßnahmen unproblematisch vonstattengehen. George Orwell lässt grüßen.