News

Stasi Sicherheitspolizeigesetz
Ministerrat beschließt Sicherheitspolizeigesetz

Schuldsprüche im Pyramidenspiel-Prozess
Kunden bezahlten 5.500 Euro und bekamen als Gegenleistung Wirtschaftsseminare

12 Schuldsprüche in Grazer Prozess um Pyramidenspiel
12 Schuldsprüche in Grazer Prozess um Pyramidenspiel Eurosuccess

Pyramiden-Spiel mit 6 Mio. Euro Schaden
Mit einem Einsatz von 5.000 Euro wurde ein Gewinn von 40.000 Euro versprochen

CCC im Besitz von staatlicher Spionagesoftware
Ministerium bestätigt

Bundestrojaner Österreich
Bundestrojaner auch nach Österreich verkauft

Schwere Vorwürfe gegen Behörde
staatliche Spionagesoftware

deutscher Staatstrojaner
Chaos Computer Club analysiert und veröffentlicht deutschen Staatstrojaner

Truecrypt verschlüsselt perfekt
Truecrypt Software schlägt FBI

Handy als Nebenkosten-Falle
Nebenspesen bei 7 Handy-Anbietern

News Archiv

staatliche Spionagesoftware

Dem Chaos Computer Club (CCC) ist nach eigenen Angaben eine „staatliche Spionagesoftware“ zugespielt worden, die von Ermittlern in Deutschland zur Überwachung von Telekommunikationsverbindungen eingesetzt wird.

„Die untersuchten Trojaner können nicht nur höchst intime Daten ausleiten, sondern bieten auch eine Fernsteuerungsfunktion zum Nachladen und Ausführen beliebiger weiterer Schadsoftware“, teilte der Verein am Samstagabend in Berlin mit. Der CCC warf den Sicherheitsbehörden vor, aufgrund von groben Design- und Implementierungsfehlern in der Software entstünden „eklatante Sicherheitslücken in den infiltrierten Rechnern, die auch Dritte ausnutzen können“.

Laut CCC gehen die Funktionen des Behördentrojaners damit über das Abhören von Kommunikation weit hinaus und „verletzen“ somit „die expliziten Vorgaben des Verfassungsgerichtes“. Die Untersuchung der dem CCC zugespielten Festplatten offenbare „wieder einmal, dass die Ermittlungsbehörden nicht vor einer eklatanten Überschreitung des rechtlichen Rahmens zurückschrecken, wenn ihnen niemand auf die Finger schaut. Hier wurden heimlich Funktionen eingebaut, die einen klaren Rechtsbruch bedeuten: das Nachladen von beliebigem Programmcode durch den Trojaner.“

Ministerium bestätigt Existenz

Ein Sprecher des deutschen Innenministeriums bestätigte auf Anfrage der Nachrichtenagentur dpa, dass Softwarelösungen für eine Telekommunikationsüberwachung an der Quelle (kurz „Quellen-TKÜ“) verfügbar seien, sowohl für die Bundesbehörden als auch auf Landesebene. Die „Quellen-TKÜ“ soll eine Möglichkeit bieten, die Kommunikation über das Internet abzuhören, bevor sie für den Weg durchs Netz verschlüsselt wird. „Für den Einsatz dieser Software gibt es gesetzliche Grundlagen, die beim Einsatz beachtet werden müssen“, sagte der Sprecher. Für Ermittlungen auf Bundesebene sei hier etwa das BKA-Gesetz relevant. Außerdem gibt es in einigen Bundesländern Regelungen zum Einsatz der Quellen-TKÜ.

Streit über „Bundestrojaner“

Die Bestrebungen für eine Onlinedurchsuchung bei Verdächtigen reichen ins Jahr 2005 zurück, in die Amtszeit des damaligen Innenministers Otto Schily (SPD). Danach setzte unter dem Schlagwort „Bundestrojaner“ eine heftige Debatte über die Zulässigkeit solcher Eingriffe in die Privatsphäre des persönlichen Computers ein.

Das Bundesverfassungsgericht setzte im Februar 2008 hohe rechtliche Hürden für Onlinedurchsuchungen. Das heimliche Ausspähen eines Computeranwenders zur Gefahrenabwehr ist demnach nur dann zulässig, wenn es eine klare gesetzliche Regelung dafür gibt. Außerdem muss die Aktion der „Abwehr einer konkreten Gefahr für ein überragend wichtiges Rechtsgut“ dienen. Weiterhin muss die Aktion durch einen Richter angeordnet werden. Der Chaos Computer Club erklärte, die nun aufgetauchte Software ermögliche einen viel weitergehenden Angriff. So könne der Trojaner über das Netz weitere Programme nachladen und ferngesteuert ausführen.

„Eine Erweiterbarkeit auf die volle Funktionalität des Bundestrojaners - also das Durchsuchen, Schreiben, Lesen sowie Manipulieren von Dateien - ist von Anfang an vorgesehen.“ Sogar ein digitaler großer Lausch- und Spähangriff sei möglich, indem ferngesteuert auf das Mikrofon, die Kamera und die Tastatur des Computers zugegriffen werde und diese zu Wanzen im Raum, in dem sich der Computer befindet, „aufgerüstet“ werden.

Digitale Intimsphäre nicht geschützt

Diese Funktionserweiterungen kann der Trojaner laut CCC - unkontrolliert durch den Ermittlungsrichter – laden. „Dieser Vollzugriff auf den Rechner, auch durch unautorisierte Dritte, kann etwa zum Hinterlegen gefälschten belastenden Materials oder Löschen von Dateien benutzt werden und stellt damit grundsätzlich den Sinn dieser Überwachungsmethode infrage“, so die Hacker.

Die von den Behörden „so gern suggerierte strikte Trennung“ von per Gesetz in klar definiertem Rahmen möglichen Abhörung von Telefonaten via Internet und der digitalen Intimsphäre - etwa der E-Mails oder Fotos, die sich auf dem Computer befinden, existiere in der Praxis nicht, so das Urteil des CCC. Der Gesetzgeber müsse dem „ausufernden Computerschnüffeln“ ein Ende setzen und eindeutig festlegen, wie die digitale Intimsphäre juristisch definiert sei.

Software kaum gesichert

Im Rahmen des Tests habe der CCC eine Gegenstelle für den Trojaner geschrieben, mit deren Hilfe Inhalte des Webbrowsers per Bildschirmfoto ausspioniert werden konnten - inklusive privater Notizen, E-Mails oder Texten in webbasierten Cloud-Diensten. „Wir waren überrascht und vor allem entsetzt, dass diese Schnüffelsoftware nicht einmal den elementarsten Sicherheitsanforderungen genügt“, sagte ein CCC-Sprecher.

Der Trojaner nehme Befehle ohne jegliche Absicherung oder Authentifizierung entgegen. Selbst einfache Absicherungen, wie beim Onlinebanking oder bei Flirtportals üblich, gebe es nicht. Es sei für einen beliebigen Angreifer ohne weiteres möglich, die Kontrolle über einen von deutschen Behörden infiltrierten Computer zu übernehmen. "Das Sicherheitsniveau dieses Trojaners ist nicht besser, als würde er auf allen infizierten Rechnern die Passwörter auf „1234" setzen.“

Quelle:

www.orf.at/stories/2083344/2083340/