Quellen-TKÜSchlampige Software voller Anfängerfehler

Was taugt der Trojaner eigentlich, den vor allem Landesbehörden zur Quellen-TKÜ eingesetzt haben? Softwareentwickler finden, er war mangelhaft und viel zu teuer. von 

Der vom CCC entdeckte Staatstrojaner ist nach Ansicht von Experten schlampig programmiert.

Der vom CCC entdeckte Staatstrojaner ist nach Ansicht von Experten schlampig programmiert.  |  © Wolfram Steinberg / dpa

Vor drei, vier Jahren, als der damals noch sogenannte Bundestrojaner in der Öffentlichkeit debattiert wurde, war die Angst vor ihm groß. Niemand wusste, was er wirklich kann, wie gut er ist, ob man sich davor schützen kann. Nun ist ein solcher Trojaner bekannt. Und es sieht so aus, als sei die Angst vor ihm eher unbegründet gewesen. Bei Experten zumindest führt die Software eher zu Gelächter.

Der Chaos Computer Club schrieb in seiner Analyse des von mehreren Bundesländern eingesetzten Trojaners von "Anfängerfehlern" und urteilte: "Wir sind hocherfreut, dass sich für die moralisch fragwürdige Tätigkeit der Programmierung der Computerwanze kein fähiger Experte gewinnen ließ und die Aufgabe am Ende bei studentischen Hilfskräften mit noch nicht entwickeltem festen Moralfundament hängenblieb."

Anzeige
Quellen-TKÜ

Bei der Quellen-Telekommunikationsüberwachung (Quellen-TKÜ) wird auf einem Computer ein Überwachungsprogramm installiert. Dieses schneidet Kommunikation vor der Verschlüsselung mit und übermittelt diese vom Nutzer unbemerkt an die Ermittler. Bei der Quellen-TKÜ darf nur die laufende Kommunikation (zum Beispiel Skype-Gespräche) überwacht werden. "Ruhende" Dateien auf dem Computer dürfen nicht kopiert werden, ebensowenig dürfen Screenshots gemacht werden. Genau dazu soll aber der eigentlich nur für eine Quellen-TKÜ zugelassene Behörden-Trojaner in der Lage gewesen sein.

Onlinedurchsuchung

Die heftig umstrittene Onlinedurchsuchung geht über eine einfache Quellen-TKÜ hinaus. Ein heimlich installierter Trojaner durchsucht dabei den Rechner eines Verdächtigen auf zweifelhafte Dateien – ganz egal welche. Eine solche Onlinedurchsuchung greift erheblich in die Grundrechte der Betroffenen ein. Daher hat das Bundesverfassungsgericht sie nur in absoluten Ausnahmefällen genehmigt: bei Gefahr für Leib und Leben oder staatsbedrohender Kriminalität.

Die Hacker sind nicht allein mit ihrer Einschätzung. Das würde ein ambitionierter Informatikstudent im zweiten Semester besser hinbekommen, ist die einhellige Meinung jener, die sich mit Trojanern und Verschlüsselung befassen.

Nicht, dass die Software nicht funktioniert hätte. Das tat sie offensichtlich. Die Qualität der Programmierung aber ist offensichtlich nicht sehr hoch.

Da ist beispielsweise die von der Spähsoftware benutzte Verschlüsselung, beziehungsweise der Versuch, eine Verschlüsselung zu nutzen. Das verwendete Verfahren namens AES ist zwar an sich sicher , wurde hier aber so eingesetzt, dass die Entwickler es auch gleich hätten lassen können.

AES benutzt einen festen Schlüssel, der beiden Seiten bekannt ist. Das an sich gilt heutzutage schon als Problem. Wird nämlich eine Seite geknackt, ist die andere schutzlos. Daher nutzen aktuelle Verfahren Schlüssel, die einen privaten und einen öffentlichen Teil haben. Sie tauschen nur den öffentlichen Teil. Den privaten Teil kennt die Gegenseite nicht. Ein Einbruch bei einer Seite öffnet damit nicht automatisch beide Türen.

Noch dazu wurde dieser eine vorhandene AES-Schlüssel fest in das Programm installiert, also nicht bei jeder Sitzung neu erzeugt – was das Belauschen des Datenaustauschs enorm erschweren würde. Der fest installierte und immer gleiche Schlüssel aber führt dazu, dass ein Angreifer mit dem Programm reden und schauen kann, wie es antwortet. Dabei sieht er, dass bei gleicher "Frage" immer die gleiche "Antwort" erfolgt – da die Verschlüsselung immer gleich ist. Das genügt, um durch Ausprobieren dahinter zu kommen, welche Kommandos der Trojaner akzeptiert, er kann von außen gekapert werden. Feste Schlüssel halten nur Anfänger auf, so die Einschätzung von Kryptografie-Experten.

Eine Aussage aus dem Bundeskriminalamt deutet darauf hin, dass auch der anders gebaute und neuere Trojaner des BKA auf solche festen Schlüssel setzt. Zumindest sagte ein hochrangiger BKA-Mitarbeiter, die Authentifizierung zwischen Trojaner und Steuerserver funktioniere über einen Schlüssel. Sicher sei das, weil dieser Schlüssel "nicht bekannt ist". Allerdings gilt in der Kryptografie das Konzept security by obscurity – also Sicherheit durch Verschleierung – als unsicher. Besser sind offene Verfahren, wie eben öffentliche Teilschlüssel.

Leserkommentare
  1. Ach ja, halb so schlimm. Hat ja sowiso nicht richtig funktioniert. Das schmälert natürlich das begangene Unrecht.
    Mir wird gleich übel. Nicht die Mittel zum Rechtsbruch sind das Maßgebende, sondern der Vorsatz.

    Reaktionen auf diesen Kommentar anzeigen
    • Chali
    • 12. Oktober 2011 12:49 Uhr

    ... wollte ich das auch gerade schriben

    "Wir sind hocherfreut, dass sich für die moralisch fragwürdige Tätigkeit der Programmierung der Computerwanze kein fähiger Experte gewinnen ließ und die Aufgabe am Ende bei studentischen Hilfskräften mit noch nicht entwickeltem festen Moralfundament hängenblieb."

    Wer sagt uns denn, dass das dabei bleibt?

    • Evolux
    • 12. Oktober 2011 15:10 Uhr

    Die Software hat es immerhin geschaftt an den Virusprogrammen vorbeizukommen..
    1.Der Installer wurde diesbezüglich lt,F-secure bei virustotal eingespielt,um zu testen,ob er erkannt wird.
    http://www.f-secure.com/weblog/archives/00002250.html

    2.wurde damit Telekommunikationsüberwachung betrieben(legal)
    3.wurden in mehreren Fällen massivst Screenshots erstellt(illegal)

    Was er noch kann ist hinlänglich bekannt

    Schlampig daran war nur,daß man ihn nicht spurlos beseitigen konnte,bevor der CCC darauf aufmerksam wurde.
    Viel zu teuer sind diese Dinge allemal,aber bei Steuergeld spielt das nun mal keine Rolle.

    Hallo Dietrich59,

    der Trojaner HAT doch funktioniert (steht auch so im Artikel). Lediglich das laienhafte bis ungelernte handwerkliche Geschick sowie der völlig überzogene Preis werden an neuen Informationen beigesteuert.

    Und aus meiner Sicht verharmlost das nicht, sondern fügt neben diversen Gesetzesübertretungen beim Einbruch in fremder Leute Privatssphäre noch den Strafbestand der Veruntreuung hinzu. Denn wie fast immer bei Aktivitäten des Staates wird irgendein Einkäufer irgendeinen Verkäufer gekannt haben und die haben dann gemeinsam den Geldregen genossen.

  2. Ein rießige, künstlich aufgeblähte Nachrichtenblase, um etwas vom aktuellen Tagesgeschehen in der europäischen Sache abzulenken. Und wie es der Zufall so will, hatte sofort die Piratenpartei, auch auf ARD und ZDF, was zu melden/anzusagen.Aber dies soll eher nebensächlich sein.

    Schwerwiegender dürfte folgendes wiegen....

    Es würde schon von geistiger Armut zeugen, wenn mich der Voyeur hinterm Haus im Busch mehr ärgert, als die Truppe die mir durch den Vordereingang die Hütte ausräumt, und mir Gliedmaß für Gliedmaß schön langsam ein Kette nach der anderen anlegt, auf das ichzu meinem Wohle entmündigter Dienstsklave werde.

    Aber so sind wir, was ist los in diesem Land?

    • Chali
    • 12. Oktober 2011 12:49 Uhr

    ... wollte ich das auch gerade schriben

    "Wir sind hocherfreut, dass sich für die moralisch fragwürdige Tätigkeit der Programmierung der Computerwanze kein fähiger Experte gewinnen ließ und die Aufgabe am Ende bei studentischen Hilfskräften mit noch nicht entwickeltem festen Moralfundament hängenblieb."

    Wer sagt uns denn, dass das dabei bleibt?

  3. Zukünftig werden wohl intelligente Trojaner als Verkehrszeichen im Internet Verwendung finden?

  4. Dass die Behörden zu blöd für qualitativ hochwertige Trojaner sind, entschuldigt nicht die Tatsache, dass Sie gegen die Verfassung der Bundesrepublik Deutschland verstoßen und sie gebrochen haben.

    Allein der Fakt, dass man sogar mit diesem überteuerten Schrottprogramm der Fa. DigiTask (?) Dateien einschleusen kann, um so "Beweise" zu konstruieren, müsste juristisch gesehen, jede zurecht oder unrecht genehmigte richterliche Anordnung sofort erlöschen und Verdächtige straffrei aus gehen lassen.

    Indem sich der Staat solcher Maßnahmen aus diktatorischen Schurkenstaaten bedient, zeigt, dass er in seinen Behörden Kriminelle beschäftigt.

  5. ... wie mit der Schweinegrippe, Klimaerwärmung und co.
    Der Bundestrojaner war offensichtlich schäbig progammiert - und das sollten doch die Staatsparanoiden ("der Staat will immer schlechtes von mir") anerkennen.
    Das Gesetze von der Staatsgewalt übertreten werden können, sieht man schon an der Kompetenz eines jeden Polizisten. Und trotzdem muss man nicht fürchten, jeden Moment von einen Polizisten zusammengeschlagen zu werden - obwohl sie es unter Begründung dürften.
    Heute leben wir alle im Internetzeitalter und das Chaos, die Kriminalität und das organisierte Verbrechen muss mit den richtigen Instrumenten begegnet werden, und da es ein virtueller Raum ist, geht das wohl mit den alten Methoden der Polizei schlecht. Daher sollte jeder mal eine Sekunde nachdenken, damit er zum Ergebnis kommt, dass so etwas wie der Bundestrojaner unabdingbar ist für die Sicherheit in Deutschland.
    Ich finde es gut, dass der CCC das 'aufgedeckt' hat, jetzt hat die Politik die Chance schnell zu handeln und ein fähiges Programmierteam zur Programmierung dieses notwendigen, alternativlosen Ermittlungsinstrumentes zu beauftragen. Kann ja nicht, dass jeder Scriptkiddie so ein Programm besser geschrieben hätte ...

    Reaktionen auf diesen Kommentar anzeigen

    ...wenn der Staat mit meinen Freiheitsrechten und meiner Sicherheit so schlampig umgeht ist das keine Lappalie, wie sogar SIE zugeben.

    Wenn ausserdem niemand erkennen kann, das die Polizei ihre Befugnisse überschreitet, dann wird es schlimmer.

    Wenn die Polizei, wie mittlerweile gerichtsbekannt auch noch so von der Gesetzeslage unbeleckt ist, das sie die AUSDRÜCKLICH verbotenen Screenshots auch noch in der Akte abheftet, das dann weder Staatsanwalt noch Richter mistrauisch werden und erst der Anwalt alle darauf hinweist, dannn...
    ...ja dann sollte selbst ein Troll die Finger von der Sache lassen.

    ... zwei Sekunden nachdenken vor absenden dieses Kommentares gereicht um mir diesen Schmarrn zu ersparen. Der Aussage "Der Zweck heiligt jedes Mittel" würden sie vermutlich vorbehaltlos zustimmen.

    Bitte achten Sie auf einen höflichen Tonfall. Danke, die Redaktion/mk

    mündiger bürger nicht zustimmen

    es gibt nie die absolute sicherheit und ich will das auch nicht an andere, in dem fall den staat delegieren ich passe lieber selber auf und werde nicht vom staat per se als krimineller brachtet, wie es derzeit immer häufiger der fall ist

    es kann nicht sein, dass grundlegende menschenrechte mit füßen getreten werden, nur weil ein paar glauben mit technik ist alles möglich,

    es gibt nie absolut sichere häuser, brücken, tunnel, staudämme und noch viel weniger gilt das für autos, flugzeuge oder sonstige technische geräte wie computer (da hat ja jeder schon ungewollte ausfälle gehabt)

    wie man schon des öfteren sehen konnte sind auch akw's besonders im betriebszustand nicht sicher, da ist die physikerin merkel auch erst hinterher draufgekommen mir als nichtphysiker, aber bautechniker mit 2 semester bauphysik war das schon vor dem zwischenfall in japan klar

    manche meinen man kann akw's absolut sicher bauen, selbst das ist nicht richtig, man kann sie mit einer hohen wahrscheinlichkeit sicher bauen, aber im betrieb sind sie einfach unsicher und so ist das bei allem, was der mensch anfasst, es ist nur eines absolut sicher, nämlich dass nichts wirklich sicher ist

    das leben ist ein einziges risiko und es endet mit dem tot, je länger man lebt, desto größer die wahrscheinlichkeit dass es einen erwischt, entweder unfall, krankheit oder verbrechen

    und was heißt "so ein bundestrojaner"?? einer der es anderen erlaubt mir falsche beweise unterzujubeln??

    • blurred
    • 12. Oktober 2011 12:57 Uhr

    siehe http://is.gd/qzRSuG

    Heute gehört der Laden zu 100% Deloitte : http://is.gd/3pUOIp

    Und im Vorstand sitzt unser Ex-Innenminister Schily.
    http://is.gd/W1rl1b

    Noch Fragen wegen der überteuerten Preise ?

    Reaktionen auf diesen Kommentar anzeigen
    • lepkeb
    • 12. Oktober 2011 13:12 Uhr

    hatte mich schon gewundert, welcher Minister oder deren Verwandte im besagten Unternehmen einen lukrativen Posten bekommen hat. Nepotismus in D-land ein Grundübel des Untergangs.

    @Thema
    Da hätte man, sich wenn schon, an die Leute wenden sollen, die davon Ahnung haben und die betreiben mit Sicherheit keine GmbH und sind keine Wirtschaftsprüfer.
    Aber Fachkenntnis ist in D-land schon lange kein Kriterium bei Auftragsvergaben der öffentlichen Hand mehr. Übrigens ein lohnendes Thema für Journalisten.

  6. Es wird doch hier nur mit einfachen Worten erklärt, wie die technische Umsetzung des Programms in der Fachwelt beurteilt wird. Und das Fazit: sehr schlecht. Die führende Marktposition wird der Softwareentwickler wohl nun endgültig verloren haben, erstens. Zweitens ist hier die Frage, ob der Entwickler selbst trojanischer Abstammung war - es wirft entweder den Blick auf einen sabotierenden Entwickler oder eine gierige Firma, die schlechte, unzureichende, überteuerte Ware liefert.
    Drittens, es werden Gesetze beschlossen, bei denen die Umsetzung mangels qualifiziertem Personal und Geld zu einem Desaster für die freiheitlichen Rechte der Bürger des Landes werden.
    Das Gesamturteil ist auf Länderebene niederschmetternd.
    Was sich beim BKA ergeben wird, zeigt hoffentlich die aller nächst liegende Zukunft.
    Schlampige Behörden, schlampige Firmen, ungenügende Gesetze. Deregulierung würde ich sagen, ist ein passendes Wort dafür.

    Reaktionen auf diesen Kommentar anzeigen

    Ohne weiteren Kommentar: Ja.

    Man hat den Eindruck, dass mit solchen Texten schon versucht wird, über die breite Auswalzung der technischen Unzulänglichkeiten die Konsequenzen aus dem Gesetzesbruch abzuwiegeln. Im Gegenzug kommt zu den Konsquenzen nichts, man will sich halt nicht das Maul verbrennen.
    Eine Straftat bleibt eine Straftat, auch wenn die Mittel zu deren Verübung nicht state of the art sind.
    Das die Behörden dumm genug sind, Murks zu kaufen und überteuert zu bezahlen maht die Sache aber in anderer Beziehung noch schlimmer.

Bitte melden Sie sich an, um zu kommentieren

Service