Vor drei, vier Jahren, als der damals noch sogenannte Bundestrojaner in der Öffentlichkeit debattiert wurde, war die Angst vor ihm groß. Niemand wusste, was er wirklich kann, wie gut er ist, ob man sich davor schützen kann. Nun ist ein solcher Trojaner bekannt. Und es sieht so aus, als sei die Angst vor ihm eher unbegründet gewesen. Bei Experten zumindest führt die Software eher zu Gelächter.

Der Chaos Computer Club schrieb in seiner Analyse des von mehreren Bundesländern eingesetzten Trojaners von "Anfängerfehlern" und urteilte: "Wir sind hocherfreut, dass sich für die moralisch fragwürdige Tätigkeit der Programmierung der Computerwanze kein fähiger Experte gewinnen ließ und die Aufgabe am Ende bei studentischen Hilfskräften mit noch nicht entwickeltem festen Moralfundament hängenblieb."

Die Hacker sind nicht allein mit ihrer Einschätzung. Das würde ein ambitionierter Informatikstudent im zweiten Semester besser hinbekommen, ist die einhellige Meinung jener, die sich mit Trojanern und Verschlüsselung befassen.

Nicht, dass die Software nicht funktioniert hätte. Das tat sie offensichtlich. Die Qualität der Programmierung aber ist offensichtlich nicht sehr hoch.

Da ist beispielsweise die von der Spähsoftware benutzte Verschlüsselung, beziehungsweise der Versuch, eine Verschlüsselung zu nutzen. Das verwendete Verfahren namens AES ist zwar an sich sicher , wurde hier aber so eingesetzt, dass die Entwickler es auch gleich hätten lassen können.

AES benutzt einen festen Schlüssel, der beiden Seiten bekannt ist. Das an sich gilt heutzutage schon als Problem. Wird nämlich eine Seite geknackt, ist die andere schutzlos. Daher nutzen aktuelle Verfahren Schlüssel, die einen privaten und einen öffentlichen Teil haben. Sie tauschen nur den öffentlichen Teil. Den privaten Teil kennt die Gegenseite nicht. Ein Einbruch bei einer Seite öffnet damit nicht automatisch beide Türen.

Noch dazu wurde dieser eine vorhandene AES-Schlüssel fest in das Programm installiert, also nicht bei jeder Sitzung neu erzeugt – was das Belauschen des Datenaustauschs enorm erschweren würde. Der fest installierte und immer gleiche Schlüssel aber führt dazu, dass ein Angreifer mit dem Programm reden und schauen kann, wie es antwortet. Dabei sieht er, dass bei gleicher "Frage" immer die gleiche "Antwort" erfolgt – da die Verschlüsselung immer gleich ist. Das genügt, um durch Ausprobieren dahinter zu kommen, welche Kommandos der Trojaner akzeptiert, er kann von außen gekapert werden. Feste Schlüssel halten nur Anfänger auf, so die Einschätzung von Kryptografie-Experten.

Eine Aussage aus dem Bundeskriminalamt deutet darauf hin, dass auch der anders gebaute und neuere Trojaner des BKA auf solche festen Schlüssel setzt. Zumindest sagte ein hochrangiger BKA-Mitarbeiter, die Authentifizierung zwischen Trojaner und Steuerserver funktioniere über einen Schlüssel. Sicher sei das, weil dieser Schlüssel "nicht bekannt ist". Allerdings gilt in der Kryptografie das Konzept security by obscurity – also Sicherheit durch Verschleierung – als unsicher. Besser sind offene Verfahren, wie eben öffentliche Teilschlüssel.

Virenscanner hätten ihn finden können

Doch war eine Dechiffrierung im Fall des Landestrojaners nicht einmal nötig, da bei diesem nur eine Seite der Kommunikation überhaupt verschlüsselt war. Die Kommandos an den Trojaner waren unverschlüsselt. Daher war es für den Chaos Computer Club (CCC) ein Leichtes, das Schadprogramm zu übernehmen und zu steuern.

Apropos Verschlüsselung: Es wäre schlau gewesen, auch die DLL zu chiffrieren. Nur weil dieser wichtige Programmteil des Schadprogramms offen lesbar auf der Festplatte lag, konnte der CCC überhaupt analysieren, was die Spähsoftware treibt.

Gleich mehrere solcher gravierender Fehler finden sich in dem Schadcode. Hätten Nutzer sich also gegen die Übernahme durch den Trojaner schützen können? Gut möglich.

So hätten Virenscanner das Programm möglicherweise aufgespürt. Der CCC machte dazu zwei Aussagen: Erstens sagte CCC-Sprecher Frank Rieger, die Signatur der Software werde von Virenscannern nicht erkannt, das habe man geprüft. Das bedeutet, das Programm an sich wäre von einem Scanner nicht entdeckt worden, nur weil es auf einem Computer installiert ist.

Gleichzeitig schrieb der Club aber in seiner Analyse, es sei grundsätzlich möglich, "die Kommunikation des Trojaners automatisiert zu erkennen" und auch zu filtern. Das bestätigten inzwischen auch verschiedene Virenscanner-Hersteller Spiegel Online . Die Seite zitiert die Experten mit der Aussage , die Kommunikationsmuster des Trojaners mit der Außenwelt wären Virenscannern aufgefallen und hatten zu einem Alarm geführt.

Nach der Veröffentlichung durch den Club übrigens haben viele Hersteller ihre Signaturbibliotheken aktualisiert. Inzwischen wird damit dieser Trojaner von Scannern auch dann erkannt, wenn er nicht nach draußen funkt.

Doch es gibt noch andere Möglichkeiten, sich zu schützen. So hilft erstens, was auch generell gegen Schadsoftware hilft: den eigenen Computer nicht mit Administratorrechten zu nutzen. Wer seine eigenen Rechte auf dem Rechner einschränkt, sorgt auch dafür, dass ein Einbrecher nicht mehr als diese Rechte hat. Beim Trojaner eingebaute Funktionen wie die Steuerung eines Mikrofons beispielsweise wären blockiert, wenn sie auch für den normalen Benutzeraccount gesperrt sind.

Zweitens wurde die Schadsoftware bei einer vorgetäuschten Zollkontrolle am Flughafen aufgespielt. Ein Rechner, der beim Starten ein Passwort fordert, ließe sich nicht schnell genug knacken, um in wenigen Minuten ein Programm darauf installieren zu können. So gibt es Programme wie Truecrypt, die die komplette Festplatte ziemlich sicher verschlüsseln.

Behörden fehlen qualifizierte Entwickler

Bleibt die Frage, warum Behörden eine solche Software extern einkaufen, beziehungsweise – wie hier geschehen – mieten? Noch dazu für viel Geld? Immerhin kostet jeder Einsatz nach Angaben des Innenministeriums 15.000 Euro. Eine Zahl übrigens, auf die ein befragter Softwareentwickler mit der Bemerkung reagiert, er habe seinen Beruf verfehlt und sollte anfangen, Trojaner an Behörden verkaufen. Denn der Trojaner ist nicht etwa für jeden einzelnen Fall programmiert worden, wie Sicherheitsbehörden und Minister immer wieder behaupten. Er ist ein halbfertiges Produkt, bei dem lediglich bestimmte Teile angepasst werden. Und auch die mangelnde Verschlüsselung könnte der Einsparung geschuldet sein. Denn Schlüssel zu ändern, aktuell zu halten und korrekt zu verwalten, kostet Zeit und Geld.

Warum also kaufte man diese Software? Die Antwort des Innenministeriums: Weil das Unternehmen in dem Feld weit vorangekommen war, als sich die Behörden dafür interessierten. Man habe 2007 eine "Marktbeobachtung" gemacht und sich dann für den damaligen Marktführer entschieden.

Warum so ein Programm nicht selbst entwickelt wurde? Böswillige Kommentatoren würden sicher sagen, dass die Behörden die Entwickler dafür nicht hatten und es gar nicht konnten. Ganz falsch ist das wahrscheinlich nicht. Malware auf diesem Niveau zu entwickeln braucht einiges Wissen und Erfahrung. Softwareentwickler mit diesen Fähigkeiten aber sind bei Behörden eher selten. Ihre Computerabteilungen sind darauf ausgerichtet, Beweise zu sammeln und zu sichern, nicht darauf, Trojaner zu schreiben.

Höchstens BKA, Zollkriminalamt (ZKA) und das Bundesamt für Verfassungsschutz haben wahrscheinlich genug Beamte, die sich mit der Materie auskennen. Zumindest erklären BKA und ZKA, sie hätten eigene Versionen eingesetzt – nicht diesen Bayerntrojaner, der offensichtlich von mehreren Bundesländern und ihren schlechter ausgestatteten Landeskriminalämtern genutzt wurde.

Das BKA ist auch die einzige Behörde, die immer wieder auf einen "eigenen technischen Weg" verweist, zumindest bei der Onlinedurchsuchung. Bei dieser, die rechtlich noch heikler ist als die Quellen-Telekommunikationsüberwachung, wollten sich die Ermittler offensichtlich nicht auf ein mittelständisches Unternehmen verlassen. Man habe, heißt es, ein "eigenes Produkt". Wie gut es ist? Der Chaos Computer Club wird sicher auch das herausbekommen.

Nachtrag: Der Text wurde am Punkt Passwortschutz konkreter formuliert, um Missverständnisse zu vermeiden. Kai Biermann