Online-Durchsuchungen Der Trojaner, der Code und die Behörden

Totale Transparenz über die Trojaner-Einsätze in Bund und Ländern fordert die Opposition. Allein: Diese Transparenz wird es wohl nicht geben. Das Bundesinnenministerium fragte bei den Ländern ab, wie es denn dort so zugehe. Und erhielt keine Auskunft. „Fehlanzeige“, heißt es im Ministerium. Bedauern? Empörung? - Fehlanzeige. „Die Länder sind nicht verpflichtet, Auskunft zu geben, das entspricht dem föderativen Prinzip.“ Oder: Was ich nicht weiß, macht mich nicht heiß.

Unverhofft gab es dann aber doch ein wenig Aufklärung: Am Mittwoch stand der Präsident des Bundeskriminalamts (BKA), Jörg Ziercke, in einer vertraulichen Sitzung des Bundestags-Innenausschusses in Sachen Trojaner Rede und Antwort. Seine Beamten, sagte Ziercke, hätten die von der hessischen Firma Digitask gelieferte Software vor dem Einsatz genau geprüft. Sie hätten aber nicht den Quellcode bekommen, denn der Hersteller hüte ihn als Betriebsgeheimnis. Bis dahin hatte es geheißen, Digitask sei deshalb zum Zuge gekommen, weil gerade diese Firma den Einblick in den Quellcode erlaube. Nun aber war klar: Die Behörden hatten gar nicht genügend Informationen, um zu prüfen, ob die ihnen gelieferte Software wirklich nur kann, was sie können darf.

Simpler Funktionstest

Der Quellcode wird nach der Programmierung der Software in einen Binärcode umgewandelt, den der Prozessor des Computers lesen kann. Dabei gehen einige Informationen - wie etwa Kommentare des Programmierers - verloren. Allein am Binärcode abzulesen, was eine Software alles kann, setzt viel Erfahrung und Zeit voraus. Es gibt dafür Hilfsmittel, die etwa die Hacker des Chaos Computer Clubs für ihre Analyse eingesetzt haben, aber selbst das hat Wochen gedauert, und die Software war damit noch immer nicht vollständig entschlüsselt. Ohne Quellcode wäre auch den Beamten des BKA nichts anderes übriggeblieben, als genau so zu verfahren.

Weitere Artikel

• Online-Durchsuchung: Friedrich will eigene „Trojaner“ 
• Innenministerium vertraut „Staatstrojanern“ 
• Kommentar Staatstrojaner: Außer Kontrolle  
• Bundesinnenminister Friedrich: „Es gibt keine rechtliche Grauzone“  
• Staatstrojaner: So funktioniert der Code 
• Online-Durchsuchung: Trojaner sind nicht verboten 
• Erste Bundesländer gestehen Einsatz des Staatstrojaners 
• Enttarnung des Staatstrojaners: Code ist Gesetz 
• Staatstrojaner: Der Spion 
• Ein amtlicher Trojaner: Anatomie eines digitalen Ungeziefers 
• Enttarnung des Staatstrojaners: Code ist Gesetz 
• Chaos Computer Club: Der deutsche Staatstrojaner wurde geknackt 

Wohl deshalb führten die Behörden vor dem Einsatz der von Digitask gelieferten Software einen eher simplen Funktionstest durch. Man kann eine unbekannte Software nämlich auch in einer kontrollierten Umgebung ausführen und protokollieren, wie sich die Software verhält. Aber genaugenommen lässt sich dadurch nur feststellen, was das Programm tut, nicht, was es darüber hinaus noch alles tun könnte. Eine versteckte Funktion zum Nachladen weiterer Module lässt sich so nach einhelliger Auffassung von Fachleuten nicht entdecken.

Den Behörden war durchaus bewusst, dass sich auf diese Weise keine absolute Sicherheit über die Software herstellen lässt. Sie hielten den Funktionstest trotzdem für ausreichend, weil sie keinerlei Anlass sahen, Digitask zu misstrauen. Digitask ist eine durch das Wirtschaftsministerium sicherheitsgeprüfte Firma. Das Missbrauchsrisiko wurde als verschwindend gering eingeschätzt.

Den Bedürfnissen angepasst

Den Datenschutzbeauftragten des Bundes, Peter Schaar, den der Innenausschuss um die Prüfung der Trojaner-Einsätze bat, veranlassten Zierckes Ausführungen zu scharfer Kritik. „Ich werde darauf bestehen, dass ich die Möglichkeit bekomme, auch den Quellcode zu überprüfen“, sagte Schaar dieser Zeitung. „Wenn ich den nicht prüfen kann, kann ich auch nicht beurteilen, wozu die Software wirklich imstande ist.“ Schaar hatte ohnehin geplant, in Kürze die Trojaner des Zollkriminalamtes in Augenschein zu nehmen. Jetzt hat er den Termin vorgezogen. Zuerst wird aber die Software von Bundeskriminalamt und Bundespolizei untersucht. Am Mittwoch haben sich Schaars Mitarbeiter in Wiesbaden die Trojaner des BKA vorführen lassen.

In vielen Fällen halten Hersteller den Quellcode zurück, um die Kontrolle über die Vermarktung ihrer Software zu behalten. Wer über diesen Code verfügt, kann das Programm mit geringem Aufwand verändern und an neue Bedürfnisse anpassen. Genau das ist es, was die Behörden nach eigenem Bekunden vor jedem Einsatz ihrer Trojaner tun. Für jede neue Variante der Software müssten sie dann aber wieder den Hersteller beauftragen - und bezahlen.

Alternativloser Anbieter

Die Firma Digitask, die den Trojaner programmiert hat, galt nach Angaben aus Sicherheitskreisen als „alternativloser Anbieter“. Schon seit 2001 befasst sich das Innenministerium mit der Überwachung von Computer-Kommunikation. 2006 wurde eine Projektgruppe gegründet. Im Jahr darauf wurde Digitask-Software zur Telekommunikationsüberwachung von Computern, zur sogenannten Quellen-TKÜ, verwendet. Man habe sich für eine private Firma entschieden, weil das günstiger und die Software schneller verfügbar gewesen sei, heißt es.

Zudem müssen Programme für die Quellen-TKÜ laufend aktualisiert werden, was sehr aufwendig ist. Für die Online-Durchsuchung, das Ausspähen von Festplatten und anderen Speichern, wurde hingegen eine Software selbst entwickelt. Eine Marktsichtung soll 2008 ergeben haben, dass kein privater Anbieter einsatzfähige Software für Online-Durchsuchungen hätte liefern können. Das Programm, dessen Entwicklung 680000 Euro kostete, war erst 2010 einsatzbereit.

„Das darf nicht passieren“

Dass der von Digitask gelieferte Trojaner für die Quellen-TKÜ nun gehackt wurde, wird in den Behörden nicht auf die leichte Schulter genommen. „Das muss Digitask besorgen, und es besorgt uns auch“, sagt ein hoher Sicherheitsbeamter. „Das darf nicht passieren.“ Deshalb soll mit Digitask nun Schluss sein. In einer Schaltkonferenz der Innenminister von Bund und Ländern kündigte Bundesinnenminister Hans-Peter Friedrich (CSU) am Donnerstag an, dass das BKA die Software für die Quellen-TKÜ in Zukunft selbst entwickeln werde. Bis zur Innenministerkonferenz in vier Wochen soll die Behörde ein Konzept für ein „Kompetenzzentrum“ erarbeiten. Die Entwicklung dürfte dann - wie bei der Online-Durchsuchung - mehrere Jahre in Anspruch nehmen. In der Zwischenzeit wird man weiter auf die Software privater Firmen zurückgreifen müssen. Für die soll es bundesweit einheitliche Leistungsstandards geben - und eine Expertengruppe, die deren Einhaltung überwacht. Überwacht? Siehe oben.

Die Länder sollen Friedrichs Pläne zustimmend zur Kenntnis genommen haben. Aber ihre Mitarbeit haben sie noch nicht definitiv zugesagt. Widerstand kommt - woher wohl? - vor allem aus Bayern. Aber auch in den Sicherheitsbehörden stoßen die Pläne nicht nur auf Begeisterung. Es gibt sogar Sicherheitsbedenken. Bei einem erfolgreichen Angriff auf eine zentrale Software wären nämlich alle Behörden betroffen. Im Juli hatte eine Hackergruppe per Zufallsfund das System „Patras“ geknackt und von einem Server des Zolls Datensätze abgezogen. Sie enthielten Bewegungsprofile aus Überwachungseinsätzen, die von gemeinsamen Ermittlungsgruppen der Bundespolizei, des Zolls und verschiedener Landespolizeien stammten.