Staatstrojaner von CCC gehackt

Wie der Chaos Computer Club (CCC) Samstag Abend auf seiner Webseite bekanntgab, ist es den deutschen Hackern gelungen, eine eingehende Analyse staatlicher Spionagesoftware vorzunehmen. Mittels dieser Trojaner ist es nicht nur möglich, höchst intime Daten auszuspähen, sondern auch beliebige weitere Spionagesoftware nachzuladen und auszuführen. Dies stellt den Augen des CCC einen klaren Rechtsbruch dar und öffnet eklatante Sicherheitslücken in den betroffenen Rechnern.

Grundlage für die Analysen des CCC waren mehrere Festplatten, die den Computerexperten anonym zugespielt wurden, mit dem Hinweis, dass ihre Eigentümer Grund zu der Vermutung hätten, dass darauf staatliche Überwachungssoftware installiert sei. Bei näherer Analyse wurden die Experten des CCC tatsächlich fündig und identifizierten mehrere einander sehr ähnliche Exemplare einer Überwachungssoftware.

Die Funktionsweise der gefundenen Schadprogramme hat der CCC ausführlich dokumentiert (PDF) und auch die gefundenen Progamm-Binaries für weitere Analysen zum Download bereitgestellt.

Bemerkenswert und zutiefst bedenklich ist an den gefundenen Funktionalitäten der Überwachungssoftware, dass die 2008 vom deutschen Bundesverfassungsgericht definierten engen Grenzen für eine sogenannte "Quellen-Telekommunikationsüberwachung", also der Überwachung von Telekommunikation direkt am Computer eines Kommunikationsteilnehmers, deutlich überschritten werden.

Neben Funktionen zur Aufzeichnung von Skype-Telefonaten und deren Übermittlung an einen Steuerungscomputer (Comand-and-Control-Server, C+C-Server) fertigt die Software mit ihrer Kernfunktionalität auf Zuruf Screenshots des Browserfensters an. Unter Ausnutzung der Funktionen zum Nachladen von weiteren Überwachungsprogrammen ist es den Hackern des CCC darüber hinaus auch gelungen, mit dem Staatstrojaner einen vollständigen großen Lausch- und Spähangriff im Labor durchzuführen.

So weitreichend die Möglichkeiten dieser Überwachungssoftware sind, so mangelhaft ist deren technische Implementierung. Die Steuerung und Datenübermittlung des Trojaners erfolgt weitgehend unverschlüsselt über einen Server in den USA, von wo sie an die jeweiligen deutschen Behörden weitergeleitet werden. Dort wo Verschlüsselungsfunktionen verwendet wurden, kamen diese derart laienhaft zum Einsatz, dass sie praktisch wirkungslos blieben. Die Steuerung des Trojaners selbst erfolgt völlig unverschlüsselt und kann problemlos von jedem übernommen werden, der in der Lage ist, eine bestimmte IP-Adresse vorzutäuschen. Ebenso ist es laut CCC problemlos möglich, beliebige Inhalte als vermeintliches Überwachungsergebnis an den C+C-Server zu senden. Eine Authentifizierung der beteiligten Überwachungsteilnehmer findet also nicht statt.

"Unsere Untersuchung offenbart wieder einmal, dass die Ermittlungsbehörden nicht vor einer eklatanten Überschreitung des rechtlichen Rahmens zurückschrecken, wenn ihnen niemand auf die Finger schaut. Hier wurden heimlich Funktionen eingebaut, die einen klaren Rechtsbruch bedeuten: das Nachladen von beliebigem Programmcode durch den Trojaner", kommentiert ein Sprecher des CCC die Analyseergebnisse.

Gleichzeitig, so schreibt CCC-Sprecher Frank Rieger im Feuilleton der Frankfurter Allgemeinen Zeitung, wird in Gerichtsverfahren, in denen Ergebnisse der Quellen-TKÜ als Beweise vorgelegt werden, immer wieder betont, "dass die Funktionserweiterung einer „Quellen-Telekommunikationsüberwachung“ zu einer „Online-Durchsuchung“ vollständig ausgeschlossen sei, mit welcher alle Daten auf einem Computer ausgespäht und alle Computerfunktionen ferngesteuert werden könnten."

Eine Behauptung, die nun offenbar eindrucksvoll widerlegt ist.

Von Relevanz sind die Erkenntnisse des CCC nicht nur für Deutschland, sondern durchaus auch für Österreich, wo im Zusammenhang mit den aktuellen Korruptionsermittlungen auch Skype-Telefonate abgehört wurden. Die Einführung einer "Online-Durchsuchung" ist hierzulande nach wie vor Bestandteil des Regierungsprogramms von SPÖ und ÖVP (PDF, Abschnitt F.1., Seite 130), auch wenn eine eigens eingesetzte interministerielle Arbeitsgruppe dieses Instrument bereits 2008 sehr kritisch bewertet hat.

Update: Link zu Artikel über Schlussbericht der interministeriellen Arbeitsgruppe "Online-Durchsuchung" ergänzt.

[unwatched / CCC / FAZ]

Kurz-URL zu diesem Artikel: http://unurl.org/eIb