Quellen-TKÜ CCC kann auch aktuellen Staatstrojaner kapern

Neuere Spähtrojaner seien sicher, sagt das BKA. Der Chaos Computer Club aber stellt fest: Das Programm weist dieselben Mängel auf und ist ebenso angreifbar wie das alte.

© CCC / Screenshot ZEIT ONLINE

Vom Chaos Computer Club geschriebenes Programm zur Steuerung des Digitask-Staatstrojaners

Sogenannte Trojaner haben nach Meinung des Chaos Computer Clubs bei Strafermittlungen nichts zu suchen. Unsicher und unkontrollierbar seien die Überwachungsprogramme und taugten daher nicht, um in Strafverfahren gerichtsfeste Beweise zu liefern. Um seine Forderung zu untermauern, hat der Verein gerade zum zweiten Mal einen solchen "Staatstrojaner" veröffentlicht.

Eine erste Analyse eines solchen staatlichen Spähprogramms hatte der CCC am 8. Oktober zugänglich gemacht. Das dabei untersuchte Programm war vom Landeskriminalamt Bayern in einem Strafverfahren eingesetzt worden und stammte aus dem Jahr 2008.

Mehrfach hatten anschließend Mitarbeiter des Herstellers Digitask und der zuständigen Behörden versichert, es handele sich bei dem Programm um eine frühe Version und die vom CCC aufgedeckten Probleme seien bei späteren Ausgaben beseitigt worden. So wies BKA-Chef Jörg Ziercke vor einer Woche vor dem Innenausschuss des Deutschen Bundestages die Kritik unter anderem mit dem Argument zurück, der Club habe eine "ca. drei Jahre alte Version der Software (analysiert), die das BKA nicht eingesetzt hat".

Entsprechende Sätze stehen auch in einer Stellungnahme, die Digitask am 11. Oktober an Behörden verschickt hat und die der CCC nun gemeinsam mit seiner neuen Analyse verbreitet. Zitat: "Ein Großteil der bemängelten Sicherheitslücken ist in den aktuellen Versionen wie beschrieben schon behoben."

Das aber scheint nicht ganz zu stimmen. Der nun vom Club analysierte Trojaner trage die Versionsnummer 3.6.44 und stamme aus dem Jahr 2010 – ist also nach Einschätzung des Clubs "fast fabrikneu". Er unterscheidet sich nach Angaben des CCC jedoch "nur punktuell von der älteren Variante". Unter anderem fertigt er keine Screenshots mehr an – ein Vorgehen, das unter anderem von einem bayerischen Landgericht als rechtwidrig beurteilt wurde.

Das Problem: Auch das neue Programm kann andere Software nachladen, um aktualisiert zu werden. Nach Meinung von Behörden und Digitask ist das eine wichtige Funktion, müsse sich der Späher doch neuen Versionen der ausgespähten Software Skype anpassen können. Angegriffen und gekapert werden kann der neue Trojaner dadurch aber genauso wie der alte. Was in der Konsequenz bedeutet, dass es möglich ist, den Behörden gefälschte Beweise unterzuschieben.

Bei der ersten Variante mit der Hersteller-Versionsnummer 3.4.28 hatte die Analyse des CCC ergeben, dass der Trojaner seine Kommunikation mit der Ermittlungsbehörde nicht komplett verschlüsselt. Zwar schickte das Programm seine auf dem Rechner des Beschuldigten abgelauschten Daten nur chiffriert an die Ermittler. Diese aber schickten ihre Kontrollbefehle zur Steuerung des Programms unchiffriert. Wie der Club mit einem selbst geschriebenen Steuerprogramm zeigte, ließ sich die Spähsoftware dadurch leicht übernehmen.

Bei der Anhörung im Innenausschuss erklärte Ziercke auch, dass neuere Versionen des Programms in beide Richtungen verschlüsseln würden, dieser Angriff also nicht mehr möglich sei.

Der CCC allerdings gebraucht den Begriff Verschlüsselung in diesem Zusammenhang nur in Anführungszeichen. Denn, so schreiben die Experten des Clubs, die Verschlüsselung sei bei der neuen Version "genauso schlecht implementiert und anfällig für Angriffe" wie bei der alten. In einem Video zeigen sie, dass sie ihr Trojaner-Steuerprogramm problemlos anpassen konnten, um auch den neuen Trojaner zu kapern. Das Modell 2010 entspreche wie seine Vorgängervarianten "in keiner Weise dem Stand der Technik", schreibt der CCC.

"Besonders bemerkenswert" sei, dass der Hersteller Digitask noch immer den gleichen "bereits mindestens drei Jahre alten und zudem fest eingebauten AES-Schlüssel" verwende, um die Datenübertragung zu chiffrieren.

Wer also weiß oder ahnt, dass er überwacht wird, der hat technisch die Möglichkeit, sich des Spähprogramms zu bemächtigen. Das bedeutet nicht, dass das leicht ist und dass auch Laien das können. Es belegt nur, dass es geht.

Das aber führt zur Frage nach der Überwachung der Überwacher. Eines der wichtigsten Argumente der Ermittlungsbehörden, um die Sicherheit der Technik zu belegen, ist die Protokollierung der Trojaner-Einsätze. Um jederzeit beweisen zu können, was wer wie getan habe, würden die Einsätze umfassend aufgezeichnet, wie Innenministerium, BKA und Landesbehörden mehrfach versicherten. Daher haben sich auch die Datenschutzbehörden der Länder und des Bundes jene Protokolle erbeten, um zu prüfen, ob alles rechtens war.

Allerdings taugen solche Protokolle wenig, wenn sie nicht zeigen, was wirklich passierte. Und dieses Risiko zumindest scheint es zu geben. Denn wenn ein solcher Trojaner beispielsweise vom Betroffenen erkannt und manipuliert werden kann, ist es auch möglich, ihn weiter einen normalen Betrieb vorgaukeln zu lassen und so ein Einsatzprotokoll zu fälschen.

Digitask selbst schreibt dazu in der Stellungnahme an die Behörden: "Dieser Vorwurf der Manipulation durch eine Sicherheitsbehörde ist technisch möglich, würde aber geloggt werden und mit einem MD5 Hash Wert versehen." Das meint, die von Digitask an die Behörden gelieferte Steuersoftware würde eine solche Manipulation erkennen und protokollieren.

Doch stellt sich der CCC dazu die durchaus berechtigte Frage, warum jemand, der in böser Absicht einen Trojaner manipulieren wolle, "dazu die Digitask-Steuersoftware verwenden sollte, die möglicherweise den Code-Upload loggen könnte". Immerhin haben die Club-Analysten ja gezeigt, dass sie eine eigene Steuersoftware schreiben konnten – die sicher keine Protokolle an ein Landeskriminalamt schickt.

In der Konsequenz heißt das, die einsetzende Behörde hat keine Kontrolle über ihr Überwachungsinstrument. Der Grund dafür liegt in der Natur der Sache. Eine für die sogenannte Quellen-Telekommunikationsüberwachung taugliche Spähsoftware muss aus der Hand gegeben werden, um ihre Arbeit auf dem Zielrechner erledigen zu können. Sie muss an der Quelle installiert sein. Damit aber steht sie faktisch unter Kontrolle desjenigen, der den Zielrechner kontrolliert. Nicht umsonst investieren jene, die Trojaner einsetzten, die meiste Mühe darauf, den Einsatz zu verschleiern oder komplett unbemerkt ablaufen zu lassen. Denn ist das Programm einmal enttarnt, ist Gegenwehr kein Problem – bis hin zur Manipulation.

Innenminister Friedrich hat gerade angekündigt, dass von Fremdfirmen entwickelte Spähsoftware nicht mehr ohne genaue Prüfung des Quellcodes eingesetzt wird und dass solche Programme künftig vom BKA selbst entwickeln lassen will. Das erscheint angesichts der Mängel in der Software sinnvoll.

Es löst jedoch nicht das zugrunde liegende Kontrollproblem. Oder, wie der CCC in seinem Video erklärt: "Es ist nicht möglich, einen Trojaner zu schreiben, den man nicht imitieren könnte. Mit Trojanern erlangte 'Beweise' sind daher generell leicht manipulierbar."