Der Chaos Computer Club (CCC) hat nach eigenen Angaben eine staatliche Software für das heimliche Ausspähen von Computern zugespielt bekommen und analysiert. Demnach ist der so genannte Trojaner nicht nur schlecht gegen Missbrauch durch Dritte geschützt, er kann laut CCC auch erweitert werden, um etwa gespeicherte Dateien zu verändern oder via Webcam Räume zu überwachen.
Dies, so der Chaos Computer Club, widerspreche der Rechtsprechung des Bundesverfassungsgerichts. „Unsere Untersuchung offenbart wieder einmal, dass die Ermittlungsbehörden nicht vor einer eklatanten Überschreitung des rechtlichen Rahmens zurückschrecken, wenn ihnen niemand auf die Finger schaut. Hier wurden heimlich Funktionen eingebaut, die einen klaren Rechtsbruch bedeuten: das Nachladen von beliebigem Programmcode durch den Trojaner“, heißt es auf der Internetseite des CCC.
„Vorgang ist beunruhigend“
Bundesjustizministerin Sabine Leutheusser-Schnarrenberger äußerte sich besorgt. Der Vorgang sei „beunruhigend“, erklärte die Ministerin. „Wenn die Vorgaben des Bundesverfassungsgerichts in der Praxis durch die Technik nicht eingehalten werden, verschwindet das Vertrauen der Bürger.“
Ähnlich äußerte sich auch die Chefin der Grünen, Claudia Roth. „Offenkundig wurden vom Bundesverfassungsgericht vorgegebene Grenzen massiv verletzt“, so Roth. Die Verantwortlichen vom Innenministerium und BKA sollten schnellstmöglich vor dem Innenausschuss des Bundestags angehört worden, forderten die Grünen.
Urheber des Trojaners bleibt im Dunkeln
Noch ist allerdings unklar, ob tatsächlich deutsche Ermittlungsbehörden oder Nachrichtendienste – oder überhaupt staatliche Stellen – hinter dem Programm stecken. Der CCC schreibt auf seiner Internetseite lediglich, dass jene, die das Programm auf ihren Computern gefunden hätten, „begründeten Anlass zu der Vermutung hätten, dass es sich möglicherweise um einen ‚Bundestrojaner‘ handeln könnte“. Ein Sprecher des Bundesinnenministeriums bestätigte, dass Programme zur Ausspähung des Datenstroms von Bundes- und Landesbehörden angewendet werden. „Für den Einsatz dieser Software gibt es gesetzliche Grundlagen, die beim Einsatz beachtet werden müssen“, sagte der Sprecher.
Hohe Anforderungen für eine Online-Durchsuchung
Die CCC-Analyse lässt Erinnerungen an die Diskussion über die so genannte Online-Durchsuchung mittels eine „Bundestrojaners“ aufkommen. Nach jahrelanger Debatte setzte das Bundesverfassungsgericht Ende Februar 2008 hohe rechtliche Hürden für diese heimlichen Online-Durchsuchungen. Diese verdeckte Fahndungsmethode dürfe nur dann angewandt werden, wenn es „Anhaltspunkte einer konkreten Gefahr für ein überragend wichtiges Rechtsgut“ gebe, entschieden die Karlsruher Richter. Dazu gehörten „Leib, Leben und Freiheit der Person“. Das gleiche gelte, wenn die Grundlagen oder der Bestand des Staates oder die Grundlagen der Existenz der Menschen bedroht seien. Zudem sei eine vorherige richterliche Anordnung grundsätzlich notwendig. Mit seinem Urteil hatte das Bundesverfassungsgericht zudem erstmals festgestellt, dass es ein Grundrecht auf Vertraulichkeit und Integrität auf Computern gibt.
Der nun aufgetauchte Trojaner, der nur das Betriebssystem Windows befallen kann, hat laut CCC nicht die primäre Aufgabe eine Festplatte auszuspionieren. Vielmehr handle es sich um ein Programm der so genannten Quellen-Telekommunikationsüberwachung – also dem Abhören von Internet-Telefongesprächen. Für diese Maßnahme der Ermittlungsbehörden gelten weitaus niedrigere Hürden als für die Online-Untersuchung. Aber der entdeckte Trojaner könne andere Programme via Internet nachladen und so seine Funktion erheblich erweitern, so der Chaos Computer Club. „Im Rahmen des Tests hat der CCC eine Gegenstelle für den Trojaner geschrieben, mit deren Hilfe Inhalte des Webbrowsers per Bildschirmfoto ausspioniert werden konnten — inklusive privater Notizen, E-Mails oder Texten in webbasierten Cloud-Diensten.“
Unkalkulierbares Risiko“
Wie die Schadsoftware Computer infiziert, ist laut CCC unklar. Sicher ist demnach aber, wohin das Programm seine Informationen zunächst schickt: an einen Server im US-Bundesstaat Ohio. Wohin die gesammelten Daten dann weitergeleitet werden, ist unbekannt. Diesen Datenstrom über das Ausland nennt der CCC ein „unkalkulierbares Risiko“.
Doch das ist nicht das einzige Sicherheitsleck, das die Computerexperten bemängeln. Das Programm sei nur mangelhaft gegen Missbrauch durch Unbefugte geschützt. Infizierte Rechner könnten leicht auch von nichtstaatlichen Stellen angegriffen werden. „Das Sicherheitsniveau dieses Trojaners ist nicht besser, als würde er auf allen infizierten Rechnern die Passwörter auf ‚1234‘ setzen“, wird ein nicht namentlich genannter CCC-Sprecher zitiert.
[yframe url=’http://www.youtube.com/watch?v=uVautxSY39E‘]