Standort: fm4.ORF.at / Meldung: "Deutscher Polizeitrojaner gegen Skype"

Musik, Film, Heiteres

Erich Möchel

Netzpolitik, Datenschutz - und Spaß am Gerät.

9. 10. 2011 - 17:31

Deutscher Polizeitrojaner gegen Skype

Die vom Chaos Computer Club veröffentlichte, staatliche Spionagesoftware zielt vor allem auf Skype, aber auch auf andere verschlüsselte Programme wie "https". Alle Passwörter werden mitgeschrieben.

Die "Verhaftung" und Tiefenanalyse des deutschen Polizeitrojaners durch die Hacker des Chaos Computer Club (CCC) hat im Grunde keine besonders überraschenden Erkenntnisse erbracht.

Ganz ähnlich wie bei der Publikation der US-Depeschen durch Wikileaks kam in etwa jener Sachverhalt zu Tage, den damit befasste Kreise immer schon vermutet hatten. Der große Unterschied: Nun ist es nachgewiesen, und das kommt einem Volltreffer im Argumentationsdepot gegen die deutschen Behörden gleich.

Antreiber Wolfgang Schäuble

Aktuell dazu

Die Hacker des Chaos Computer Club haben in der Nacht auf Sonntag nicht nur eine ziemlich tiefgehende Analyse des Polizei-Trojaners veröffentlicht. Wichtige Teile des Quellcodes wurden sogar in der Printausgabe der "Frankfurter Allgemeinen" vom Sonntag abgedruckt.

Vom damaligen deutschen Innenminister Wolfgang Schäuble und dem Präsidenten des Bundeskriminalamts Jörg Ziercke angefangen, wurde die Legalisierung eines solchen "Instruments" mit den üblichen Argumenten seit 2007 in Deutschland vehement vorangetrieben.

Um der Online-Rekrutierung von Jihad-Aktivisten entgegenzuwirken, müssten die Behörden technisch auf gleicher Höhe agieren können, war eins dieser "Argumente".

Irreführung der Öffentlichkeit

Unter der irreführenden Bezeichnung "Online-Durchsuchung" wurden dann ebenso irreführende Analogien gezogen und technische Grundsätze wurden umdefiniert, wenn sie nicht ins Konzept passten.

So wird diese behördliche Schadsoftware noch immer beharrlich als "Remote Forensic Software" bezeichnet, obwohl das schlicht falsch ist.

Trojanisches Pferd vor der Tür

maha-online

Grundsatz der Forensik

Der oberste Grundsatz der Forensik ist, dass die betreffenden Datenträger Bit für Bit kopiert werden müssen. Nicht einmal das Betriebssystem selbst darf dabei gestartet werden, weil jeder Neustart den ursprünglichen Datensatz verändern würde. Allein deshalb würden allfällige Ergebnisse vor Gericht nicht anerkannt.

Im Falle des vom CCC arretierten Polizeitrojaners aber wird eine gesamte Programmsuite aus der Ferne auf dem betreffenden System installiert. Das System auf dem Ziel-PC wird dadurch massiv verändert.

Der rechtliche Rahmen

Technisch läuft exakt derselbe Vorgang ab, den der Gesetzgeber als "Herstellen und Ausbringen von Schadsoftware" sowie "Eindringen in ein Computersystem" ahndet. Ein EU-Rahmenbeschluss sieht dafür eine Höchststrafe von bis zu fünf Jahren vor.

Der deutsche Gesetzgeber hat hier allerdings - und auch mit gutem Grund - Ausnahmeregeln gesetzt. Das Herstellen, Modifizieren und Benutzen von Schadsoftware etwa zu nicht-kriminellen Zwecken wurde ausgenommen, denn das sind Routinevorgänge in jedem Antivirus-Labor.

Legitimiert wurde damit aber auch die Produktion von "Staatstrojanern", die sich technisch von der Schadsoftware der Kriminellen fast überhaupt nicht unterscheiden.

Trojaner, Downloader, Hintertür

So auch in diesem Fall. Es handelt sich um die übliche Kombination aus trojanischem Pferd, Verschleierungsmechanismen (Rootkit) und einer Hintertür ѕamt Downloadprogramm und Keylogger.

Das heißt, es können laufend neue Komponenten nachgeladen und installiert werden. Da laut CCC Authentifizierungsmechanismen völlig fehlen, wäre dies unentdeckt auch Dritten möglich.

Übliche kriminelle Praxis

Das ist nicht etwa eine theoretische Annahme, sondern im Bereich der organisierten Cyber-Kriminalität seit Jahren übliche Praxis.

Die Botnet-Betreiber versuchen so, gekidnappte Computer einander wieder abzujagen. Mechanismen zur Authentifizierung gehören deshalb mittlerweile zum Standardrepertoire jeder "besseren" Malware-Suite, die von Kriminellen für Kriminelle angeboten wird.

Vor allem Skype

All das zusammen führt jeden forensischen Ansatz völlig ad absurdum und eröffnet dem Missbrauch sozusagen "Hintertür und Port". Warum wird dieser Ansatz in mehreren deutschen Bundesländern dann immer noch forciert?

Es geht um verschlüsselte Kommunikation im Allgemeinen und im Besonderen um Skype. Der integrierte Keylogger zeichnet alle Tastatureingaben auf und erfasst damit auch die Zugangsdaten zu HTTPS-verschlüsselten Diensten wie dem Online-Banking, Kryptografieprogrammen wie PGP und eben Skype.

"Skype Capture Unit"

In eben diesem Zusammenhang ist das deutsche Unternehmen DigiTask bereits 2008 aufgefallen, als ein diesbezügliches Angebot an die bayerischen Strafverfolger in Wikileaks erschien. Aus den Dokumenten geht hervor, dass DigiTask eine spezielle "Skype Capture Unit" anbietet, die 3.500 Euro pro Monat und Arbeitsplatz kostet.

Damit könnten nicht nur 10 Skype-Telefonate parallel abgehört werden, der Trojaner übermittelt auch alle anderen Skype-Dienste wie Chat oder Dateitransfers, ebenso wie die Buddy-List, also das Adressbuch.

Die Veröffentlichung des Angebots von DigiTask an die Strafverfolger in München in Wikileaks hatte eine ebensolche "Remote Forensic Software" zum Inhalt

"Spezielle Sicherheitssoftware"

Bei mehreren ISS-Überwachungsmessen war die Firma DigiTask ebenfalls als Hersteller von "Remote Forensic Software" aufgetreten.

"Die DigiTask GmbH ist bundesweit führender Anbieter von speziellen Sicherheits- und Kommunikationslösungen für Behörden", heißt es auf der Website des Unternehmens. Eine Anfrage von ORF.at bei DigiTask wurde am Sonntagnachmittag gestellt.

Haftungsausschluss

Die ORF.at-Foren sind allgemein zugängliche, offene und demokratische Diskursplattformen. Die Redaktion übernimmt keinerlei Verantwortung für den Inhalt der Beiträge. Wir behalten uns aber vor, Werbung, krass unsachliche, rechtswidrige oder beleidigende Beiträge zu löschen und nötigenfalls User aus der Debatte auszuschließen. Es gelten die Registrierungsbedingungen.

Forum

Zum Eingabeformular Kommentieren

  • lentas | vor 1886 Tagen, 5 Stunden, 37 Minuten

    da lob ich mir jabber samt otr...

    diese schlingels aber auch. d.h. aber, dass eigentlich ein virenprogramm beim eindringen des staatstrojaners anschlagen müsste.
    ein wachhund bellt doch auch, wenn die polizei sich dem grundstück des verdächtigen nähert ...
    73 und vlg an den neffen!

    Auf dieses Posting antworten
  • novalues | vor 1886 Tagen, 11 Stunden, 7 Minuten

    +++

    Eines verwirrt mich: Die Preisfrage ist doch wie kommt diese Schadsoftware auf den Rechner. Klar die meisten Leute sind arglos, aber jemand der sich ein bisschen absichert muß doch ziemlich hart zu knacken sein. Oder klinken sich die zwischen User und ISP rein?

    Auf dieses Posting antworten
  • fettarm | vor 1886 Tagen, 16 Stunden, 43 Minuten

    Herzlichen Dank Her Möchel,

    seit ich Sie vor einigen Jahren auf einem Vortrag gesehen und sprechen hörte, sind mir Ihre Artikel und Beiträge immer sehr wichtig.
    Kaum ein anderer kann die ungeheuerlichen Sachlagen um (technische) Überwachungsmethoden, deren Gefahren und Risiken besser beschreiben.
    Auch beim aktuellen Thema ist ihr Beitrag wieder am umfassendsten und beschränkt sich nicht auf das Abschreiben und Zitieren von Politikergewäsch. Sie bringen dankenswerterweise auch neue Fakten ein. Mir war es bis dato nicht bekannt, dass Kriminelle sich gegenseitig die gekaperten Rechner streitig machen und dies inzwischen durch Authentifizierung und Verschlüsselung zu verhindern suchen.

    Auf dieses Posting antworten
    • tantejutta | vor 1886 Tagen, 13 Stunden, 58 Minuten

      [hold erröt]

      im Name des Neffen. Der erste drerartige Fall war afair so um 2002, also noch in der Zeit als die [relativ harmlosen] Superwürmer kursierten. Da setzte einer plötzlich auf der bereits verbreiteten Malware des anderen auf. Warum? Ganz einfach. Als Bot-Net-Betreiber erspart man sich einen kompletten, schwierigen Arbeitsgang: Die Distribution der Malware. Ist sie bereits - von Dritten - verteilt, ist der Großteil der Arbeit schon getan.

  • horstjens | vor 1886 Tagen, 18 Stunden, 46 Minuten

    und Österreich ?

    ich freue mich über die ausführliche Berichterstattung zum Thema, aber mir fehlt der Hinweis auf die entsprechenden Gesetze und polizeilichen Maßnahmen in Österreich. Traditionsgemäß ist kein deutsches Gesetz so blöd als dass es nicht 1:1 vom österr. Parlament durchgewunken wird.
    Auch die österr. Polizei behauptet Skype abhören zu können:
    http://www.heise.de/security/meldung/Spekulationen-um-Backdoor-in-Skype-189880.html

    Auf dieses Posting antworten
    • paradeiser | vor 1886 Tagen, 16 Stunden, 13 Minuten

      ....kann recht praktisch sein.Wenn jemand unbequem ist,installiert man ihm einfach Kinderporno oder ähnliches Zeug und-schwupps-schon hat man ihn,ohne daß er sich herausreden kann.
      Glaubt ja nicht,daß Behörden,auch unsere,sowas nicht eiskalt tun würden,obwohl es verboten ist

    • tantejutta | vor 1886 Tagen, 14 Stunden, 27 Minuten

      Die obzitierte heise story

      ist ein Derivat eines moment "depublizierten" fuzo Artikels von 2008, der das in allen Details beschreibt. Was die AT_Traditionen angeht, so ist der Neffe gerade sehr beschäftigt. ;)

    • johnleehookerelectro | vor 1886 Tagen, 11 Stunden, 59 Minuten

      2008 schön ungut
      die frage is ab wann man jetzt "terrorverdächtig" oder nur verdächtig is....
      wo sind da die parameter?
      reicht einmal alkaida im forum schreiben?