Quellen-TKÜ : CCC kann auch aktuellen Staatstrojaner kapern

Neuere Spähtrojaner seien sicher, sagt das BKA. Der Chaos Computer Club aber stellt fest: Das Programm weist dieselben Mängel auf und ist ebenso angreifbar wie das alte.
Vom Chaos Computer Club geschriebenes Programm zur Steuerung des Digitask-Staatstrojaners

Sogenannte Trojaner haben nach Meinung des Chaos Computer Clubs bei Strafermittlungen nichts zu suchen. Unsicher und unkontrollierbar seien die Überwachungsprogramme und taugten daher nicht, um in Strafverfahren gerichtsfeste Beweise zu liefern. Um seine Forderung zu untermauern, hat der Verein gerade zum zweiten Mal einen solchen "Staatstrojaner" veröffentlicht .

Eine erste Analyse eines solchen staatlichen Spähprogramms hatte der CCC am 8. Oktober zugänglich gemacht . Das dabei untersuchte Programm war vom Landeskriminalamt Bayern in einem Strafverfahren eingesetzt worden und stammte aus dem Jahr 2008.

Mehrfach hatten anschließend Mitarbeiter des Herstellers Digitask und der zuständigen Behörden versichert, es handele sich bei dem Programm um eine frühe Version und die vom CCC aufgedeckten Probleme seien bei späteren Ausgaben beseitigt worden. So wies BKA-Chef Jörg Ziercke vor einer Woche vor dem Innenausschuss des Deutschen Bundestages die Kritik unter anderem mit dem Argument zurück , der Club habe eine "ca. drei Jahre alte Version der Software (analysiert), die das BKA nicht eingesetzt hat".

Entsprechende Sätze stehen auch in einer Stellungnahme, die Digitask am 11. Oktober an Behörden verschickt hat und die der CCC nun gemeinsam mit seiner neuen Analyse verbreitet. Zitat: "Ein Großteil der bemängelten Sicherheitslücken ist in den aktuellen Versionen wie beschrieben schon behoben."

Das aber scheint nicht ganz zu stimmen. Der nun vom Club analysierte Trojaner trage die Versionsnummer 3.6.44 und stamme aus dem Jahr 2010 – ist also nach Einschätzung des Clubs "fast fabrikneu". Er unterscheidet sich nach Angaben des CCC jedoch "nur punktuell von der älteren Variante". Unter anderem fertigt er keine Screenshots mehr an – ein Vorgehen, das unter anderem von einem bayerischen Landgericht als rechtwidrig beurteilt wurde.

Das Problem: Auch das neue Programm kann andere Software nachladen, um aktualisiert zu werden. Nach Meinung von Behörden und Digitask ist das eine wichtige Funktion, müsse sich der Späher doch neuen Versionen der ausgespähten Software Skype anpassen können. Angegriffen und gekapert werden kann der neue Trojaner dadurch aber genauso wie der alte. Was in der Konsequenz bedeutet, dass es möglich ist, den Behörden gefälschte Beweise unterzuschieben.

Bei der ersten Variante mit der Hersteller-Versionsnummer 3.4.28 hatte die Analyse des CCC ergeben, dass der Trojaner seine Kommunikation mit der Ermittlungsbehörde nicht komplett verschlüsselt. Zwar schickte das Programm seine auf dem Rechner des Beschuldigten abgelauschten Daten nur chiffriert an die Ermittler. Diese aber schickten ihre Kontrollbefehle zur Steuerung des Programms unchiffriert . Wie der Club mit einem selbst geschriebenen Steuerprogramm zeigte, ließ sich die Spähsoftware dadurch leicht übernehmen.

Verlagsangebot

Entdecken Sie mehr.

Lernen Sie DIE ZEIT 4 Wochen lang im Digital-Paket zum Probepreis kennen.

Hier testen

Kommentare

40 Kommentare Seite 1 von 5 Kommentieren

Völliger Mangel an Anstand

Herr Zierke (BKA), Herr Friedrich (BIM), Herr Herrmann (Bay) haben in Sachen Trojaner immer nur das zugegeben, was nicht mehr zu leugnen war.

Sie haben z.T. schlicht die Unwahrheit gesagt - mangels besseren Wissens oder bewusst (?).

Haben diese Herren keine persönliche Schamgrenze, ab der sie freiwillig zurücktreten?

Immerhin geht es um einen Kernbereich des Grundgesetzes.

Alles egal? Völlig wurscht?

So verliert Politik jeden Respekt - den sie gegenüber den Bürgern/innen offensichtlich schon lange nicht mehr hat.

Kenntnisstand

Das wirkliche Problem ist: Die haben keine Ahnung. Zur Vorratsdatenspeicherung hat der Ziercke in Mainz an einer Podiumsdiskussion organisiert vom Herrn Hartmann (SPD) teilgenommen (irgendwo hat das Internet dazu noch einen mp3-Mitschnitt, Google weiss sowas). Da hat er sich schon um Kopf und Kragen geredet. Bei der Fragerunde und der aktuellen Stunde zum Trojaner letzte Woche war es ja genauso. Ich hab das Gestammel vom Staatssekretär auf Twitter und in Blogs mitverfolgt. Reine Zeitverschwendung, der hatte schlicht keine Ahnung von der Materie noch von den Problemen und die technischen Hintergründe haben ihm auch gefehlt.

Nur eines haben all diese Leute gemeinsam: Sie sind nicht in der Lage von sich aus zu sagen "Sorry, hierzu kann ich Ihnen keine Infos geben weil ich mich da schlicht und ergreifend nicht auskenne. Hierfür habe ich als Experten Person XY dabei, an den ich Ihre Frage hiermit weiterreiche"

Parallelen

Was haben Sie denn erwartet? Das ist doch das typische Verhalten eines jeden Politikers, der sich eines Fehlverhaltens schuldig gemacht hat. Salamitaktik à la KTG...

Vielleicht sieht die Regierung jetzt auch mal ein, dass sie sich vielleicht besser von diesem unfähigen Digitask trennt, denn offensichtlich haben die die Regierung ja im Nachhinein noch belogen, als sie sagten, dass sich irgendetwas geändert hätte in den neuen Versionen (abgesehen von der Screenshot-Funktion). Die glauben nämlich auch, die Politker sind doof und merken sowas nicht. Würden sie auch nicht, aber mit dem CCC hat Digitask halt nicht gerechnet.

Nicht nur die Politik....

" So verliert Politik jeden Respekt - den sie gegenüber den Bürgern/innen offensichtlich schon lange nicht mehr hat. "

Ich wäre zuversichtlich, wenn es denn nur ein paar Berufspolitiker wären, die hier Verantwortung trügen.
Die könnte man theoretisch(!) abwählen.
Das ist aber definitiv NICHT der Fall; hier erweisen sich hohe Funktionäre der Exekutive als offenbar willige Handlanger jener Politiker, die nach dem Motto legal - illegal - schei+egal die Vorgaben ihrer Vorgesetzten umsetzen.
Es kann mir doch niemand erzählen, dass das BKA derart unfähig wäre, das sie nicht im mindesten wüssten, was sie da tun.

Wenn die Exekutive derart frei darin ist, Gesetze und Verfassung ungestraft zu brechen, bei dem ganzen Lavieren und Lügen gar der Verdacht der Strafvereitelung aufkommt - ist es nicht der Respektverlust jener Behörden, der Sorge bereitet, sondern deren willentliche Abkehr von rechtsstaatlichen Prinzipien und etablierung einer politisch gesteuerten Exekutive, die folgt, wenn befohlen wird und nicht darüber reflektiert was zum Teufel sie da gerade tut.
Nur so ist es auch zu erklären, wie Polizisten Kastanien mit Pflastersteinen verwechseln können.

Die deutsche Exekutive ist weit weg davon, eine geteilte Gewalt zu sein, die Trojaner-Affäre ist nur deren bislang medial sichtbarstes Debakel.

Das Problem ist, die Uhls und Zierkes glauben...

...im Recht zu sein.

Das sind Menschen die nie "Unrecht" hatten, egal was sie auch getan haben. Sie sind daran zutiefst daran gewöhnt, was sie Glauben und Wissen das ist RICHTIG.

Man sieht es doch an den Reaktionen, nicht deren Taten seinen falsch, sondern die (Interpretation der) Gesetze.

Im Grunde wäre es weniger schlimm, wenn es einfach Halunken wären, die wissen wenigstens, das und was sie falsch machen.

Ich glaube das jemand wie Herr Zierke schon weiß, das das Risiko für die Bevölkerung durch Terrorismus sehr überschaubar ist.
Aber für IHN ist Terrorismus sehr gefährlich, den jederzeit kann ein kopfloser Politik IHN köpfen, weil es so aussieht als täte er nicht genug.
Was tut also der kluge Mann ? Er verbindet das Hilfreiche mit dem Nützlichen und besorgt sich mit dem Argument Terror Mittel, mit dem er seine tasächliche Klientel, die öden Durchschnittskriminellen besser an die Kandarre bekommt.

Da braucht es dann auch keine Highend Software, gewöhnlicher Durchschnitt tut es auch. Und diese ganzen Bedenken von diesen...
...Menschen vom CCC und so ?

Was soll der Quatsch, man WEISS doch was gut und richtig ist !

Das einzige was gegen diese Selbstgerechtigkeit hilft:
Leute die juristisches Können, Biss und laaangen Atem haben müssen das vor Gericht durchfechten, am besten vor Strafgerichten.

...und wenn das nicht mehr klappt ?

...dann gute Nacht....

das ist eines der Probleme

dazu, dass viele Politiker keine Ahunng haben, kommt noch, dass es auch nicht notwendig scheint. Viele Wähler haben ja nunmal auch keine Ahnung und z.B. Herr Friedrich scheint es darauf anzulegen, dass seine Behauptung durch pure Wiederholung wahrer werden oder der Bürger zumindest den Eindruck hat, er könne sich dazu keine Meinung bilden.

Hängen bleibt "da gibt es verschiedene Ansichten und das ist sehr kompliziert" anstatt "nach Aussage zahlreicher vertrauenswürdiger Experten hat der Mann totalen Blödsinn erzählt".

Viele Medien bringen ja regelmäßig Aussagen z.B. unseres Innenministers ohne darauf hinzuweisen, dass das nicht stimmt, was der Mann sagt. So entsteht der Eindruck, es ginge ausschließlich um verschiedene Meinungen und nicht auch um Tatsachenbehauptungen, die sich z.T. zuverlässig wiederlegen lassen.

Aneinander vorbei diskutieren

War mir klar. Der Staat will Hacker sein und hat keine Ahnung von Computern. Wenn also der CCC behauptet, dass man den Trojaner fremdsteuern und somit die Beweiskette manipulieren kann, hält der Staat dagegen, das würde dann in den Protokollen stehen. Beide haben Recht, denn den Verantwortlichen ist nicht klar, dass man dafür nicht die hauseigene Software benutzen wird. Das war bei der Vorratsdatenspeicherung genauso: Die Hacker haben gesagt "meldet das doch den Providern, die löschen das dann ganz schnell". Das BKA meinte "Nein, das geht nicht, das dauert viel zu lange." Der Hacker meinte "EMail an Provider, fertig." Das BKA meinte damit "Offizielles Schreiben mit Bitte um Amtshilfe an das jeweilige, staatliche Polizeiorgan, die wiederum geben das an die zuständige Dienststelle weiter, die wiederum kümmern sich um einen Gerichtsbeschluss, etc, etc".

Diese ganzen Diskussionen sind reine Zeitverschwendung, solange nicht beide Seiten auf demselben Wissensstand sind.

@strippenzieher: Sachverstand,.... man kann die "briefen"!

Zitat:...strippenzieher Sachverstand:....Wie will man bei Ministern die per Würfeln ihr Ressort bekommen den nötigen Sachverstand erreichen? Geht gar nicht.
###
Doch das geht schon. Ich arbeite häufig mit absoluten "Chracks" zusammen. Mein Job dabei ist es dann, zu verhindern das die sich gegegseitig erschlagen;-) und das die vernünftig zusammenarbeiten. (Moderation und Entscheiden)
.
Oft muss ich raus und das Team nach außen vertreten! Dann machen mich die Leute so "firm" (briefen mich also für den "Date"), daß ich nach außen hin die "Teammeinung" recht gut vertreten kann.
.
Problem gibt es dabei nur dann, wenn ich auf absolute "Spezialisten" treffe;-)
.
Dann ist es aber kein Problem sich aus "gesundes Halbwissen" zu berufen und den eigenen "Fachmann" bei zu ziehen :-))
(Geht in der Politik nicht anders)
.
Entscheidungen kann man auch auf Rat der "Fachleute" finden und treffen, nur in diesem Fall sitzen die "Fachleute" IT und Juristerei beim CCC und die andere "Seite" macht "Odre de Muffti" und ist nicht in der Lage auf die Argumente einzugehe.
.
Weil sie es nicht kann oder wie zu vermuten ist, weil sie es nicht will um "Rechtsbrüche" nicht zugeben zu müssen.

Wenn also

ein Verdächter zufällig ein (ich verwende hier den falschen Begriff Hacker) Hacker ist, dann hat das BKA Probleme.
Und wer weiß, wieviele gekaperte Trojaner unterwegs sind? Das CCC wird bestimmt nicht die ersten seien, die das geschafft haben.

Und trotzdem :
Hier wieder ein dickes, dickes Lob an den CCC, DANKE!