Von Stefan Tomik
27. August 2007 Es klang alles so einfach, wenn auch für viele Computerbenutzer bedrohlich: Per E-Mail soll ein getarntes Spähprogramm auf dem Computer eines Verdächtigen installiert werden. Dort soll der „Bundestrojaner“ heimlich die Festplatte durchsuchen, verdächtige Dateien unbemerkt zum Bundeskriminalamt (BKA) schicken, sich am Ende gar selbst deinstallieren und spurlos verschwinden. Doch Fachleute für Computersicherheit verweisen auf Schwierigkeiten.
Die von Bundesinnenminister Schäuble befürwortete Online-Durchsuchung beginnt mit der Infiltration des Rechners: Das Spähprogramm könnte auf die Festplatte gelangen, indem man dem Empfänger eine scheinbar unverfängliche E-Mail schickt, in deren Anlage es sich versteckt. So gehen Betrüger im Internet vor, so verbreiten sich Viren und Würmer.
Erfolg mit einem Spähprogramm
In den Vereinigten Staaten gelang es der Bundespolizei im Juni so anscheinend, den Urheber mehrerer E-Mails mit Bombendrohungen zu ermitteln. Da der Täter eine Kontaktbörse im Internet nutzte, konnte das FBI ihm über diesen Weg eine Nachricht schicken, die das Spähprogramm auf seinen Rechner trug.
Dort protokollierte es nach amerikanischen Presseberichten alle Internetverbindungen und las weitere Systeminformationen aus, ohne aber auf dem Computer gespeicherte Dateien zu durchsuchen. Die Informationen reichten am Ende, um den Besitzer des Computers zu identifizieren und festzunehmen. Es war ein 15 Jahre alter Junge, der dann auch zugab, die Bombendrohungen an die Timberline High School bei Seattle verschickt zu haben.
Hintertür für Fahnder als Sicherheitslücke
Aber die Gefahr, dass die Software entdeckt wird, ist groß. Denn Virenscanner können eine Vielzahl dieser Attacken vereiteln und werden immer ausgefeilter. Statt nur nach den Mustern der bisher bekanntgewordenen Viren zu fahnden, stellen gute Programme auch merkwürdiges Verhalten der übrigen Software fest. Sie funktionieren „wie eine zusätzliche Firewall zwischen Betriebssystem und den übrigen Prozessen“, erklärt Rüdiger Trost vom Softwarehersteller F-Secure. So machen sich Programme verdächtig, die versuchen, sich zu verstecken. Eine Online-Durchsuchung könnte auffliegen, bevor sie überhaupt begonnen hat.
Der Gesetzgeber könnte zwar versuchen, die Hersteller von Antivirenprogrammen dazu zu verpflichten, dem Staat eine Hintertür offenzuhalten und die Spähsoftware der Fahnder gewähren zu lassen. Doch diese Lücke dürfte schnell erkannt werden, und dann könnten Kriminelle sie ausnutzen. Das Innenministerium versicherte dann auch Anfang August, es sei nicht geplant, die Hersteller so in die Pflicht zu nehmen.
„Kernbereich der privaten Lebensführung“
Sollte ein Spähprogramm dem Virenscanner entgehen, könnte die eigentliche Online-Durchsuchung beginnen. Dazu soll der Helfer verdächtige Inhalte finden, was gar nicht so einfach ist. Denn wie unterscheidet das Programm etwa bei Bildern zwischen Kinderpornographie und Kindergeburtstag? Bei verschlüsselten Textdateien liefe eine Stichwortsuche ins Leere.
Den Inhalt der ganzen Festplatte über das Internet zu übertragen scheidet wiederum wegen der schieren Datenmenge aus. Es würde Stunden, wenn nicht Tage dauern und verräterisch viel Datenverkehr verursachen. Zudem gibt es eine rechtliche Schranke: Das Bundesverfassungsgericht verlangte in seinem Urteil zum großen Lauschangriff, dass der „Kernbereich der privaten Lebensführung“ des Verdächtigen zu schützen sei. Die polizeiliche Spähsoftware müsste also strafrechtlich relevante Inhalte von privaten trennen, wozu keine Software in der Lage ist.
„Genau wissen, mit wem wir es zu tun haben“
Der BKA-Präsident Ziercke hat gesagt, es müsse für jeden Einzelfall ein spezielles Programm entwickelt werden. Dazu müssten Ermittler zunächst in einer „Umfeldanalyse“ feststellen, welche Hardware und welches Betriebssystem die Zielperson einsetzt. „Wir müssen genau wissen, mit wem wir es zu tun haben“, sagt Ziercke.
Von ihm will die Computerzeitschrift „Chip“ erfahren haben, dass die Fahnder den Zielcomputer lieber nicht „online“, sondern leibhaftig für die Überwachung präparieren wollen. Dazu würden sie in die Wohnung des Betroffenen eindringen, um eine Kopie von der Festplatte anzufertigen.
Bei einem zweiten heimlichen Hausbesuch würde dann die individuell zugeschnittene Spionagesoftware installiert, wobei Experten auch die Sicherheitssoftware überlisten könnten. An einen Laptop, den der Verdächtige ständig bei sich trägt, wäre so freilich nicht heranzukommen. Zudem könnte allein das Kopieren der Festplatte Stunden dauern.
„Die Revisionsfähigkeit ist nicht sichergestellt“
In jedem Fall stellt sich ohnehin die Frage, wie gerichtsfest derart ausgespähte Daten sind. Im Umgang mit sichergestellten Festplatten erlegen sich Kriminaltechniker nämlich strenge Regeln auf: Bevor der Speicherinhalt untersucht wird, muss eine identische Kopie angefertigt werden. Nur diese Kopie werde analysiert; niemals dürfe der Originaldatenträger verändert werden, sagt der Informatik-Professor Andreas Pfitzmann von der Technischen Universität Dresden. „Schon die Installation der Spähsoftware würde aber das Zielsystem verändern.“
Markus Hansen vom Unabhängigen Landeszentrum für Datenschutz in Kiel pflichtet ihm bei. „Die Revisionsfähigkeit ist nicht sichergestellt, die Beweiskraft gefundener Informationen dahin“, sagt Hansen. „Ich kenne Fälle, in denen ganze Strafverfahren ebendaran scheiterten.“
„Das ist alles nicht so einfach“
Das BKA sei zunächst „sehr blauäugig“ an die Online-Durchsuchungen herangegangen, sagt Pfitzmann. „Das ist alles nicht so einfach, wie Zierckes Mitarbeiter dachten.“ Pfitzmann empfiehlt stattdessen den Einsatz einer anderen Technik. Gehe man davon aus, dass Verbrecher die Daten auf ihrer Festplatte und auch ihre E-Mail-Kommunikation verschlüsseln, so dass die Fahnder ohne die Passwörter keine Chance haben, könne ein sogenannter Hardware-Keylogger zum Einsatz kommen. Den könnten Fachleute in etwa zehn Minuten am Zielrechner installieren. Da es sich um ein separates Bauteil handelt, würde die Festplatte des Computers nicht verändert.
Der Keylogger speichert sämtliche Tastatureingaben und könnte diese Informationen sogar an die Fahnder funken. Bei einer gewöhnlichen Hausdurchsuchung könnte später der Rechner beschlagnahmt werden, und der „Keylogger“ lieferte die Passwörter, mit denen die Daten entschlüsselt werden könnten. „Das ist in Amerika bereits Praxis“, sagt Pfitzmann.
Der große Aufwand für jede einzelne Maßnahme und die Kosten von möglicherweise mehreren zehntausend Euro, die mit dem Einsatz des „Keyloggers“ oder einer Spähsoftware verbunden sind, könnten die politische Durchsetzung der Maßnahmen sogar erleichtern. Denn so ließe sich das Argument entkräften, Schäuble wolle „vom Rechtsstaat zum Überwachungsstaat“ schreiten, den „Bundestrojaner“ an alle Haushalte verschicken und arglose Bürger bespitzeln lassen. Vielmehr sieht BKA-Präsident Ziercke derzeit nur eine einstellige Zahl von Fällen, in denen die Online-Durchsuchung eingesetzt werden könnte.
Text: Frankfurter Allgemeine Zeitung
Bildmaterial: dpa
