Staatstrojaner, Online Durchsuchung, BKA, FinFisher / FinSpy von Gamma, Dreamlab und Stasi 10.0

Computer und Sicherheits-Wissen Artikel 14


Tech-Writer Uwe

Tech-Writer Uwe am 10.09.2014



Gesamt: 1481
Dieses Jahr: 594
Diesen Monat: 15
Diese Woche: 8
Heute: 3


Hier begebe ich mich aus aktuellem Anlass mal auf sehr dünnes Eis, um dir die rechtsstaatlichen Methoden des 21. Jahrhundert näher zu bringen. Die Bevölkerung kann sich wieder sicher fühlen, der neue Staatstrojaner vom BKA 08.2014 soll einsatzbereit sein. Klar, dass Informationen über Funktion, Einsatz und Verteilung im Dunkeln bleiben und unsere tolle deutsche Medienlandschaft nur einen informationslosen Absatz dafür übrig haben. Bei diesen News siehst du, wie ein Artikel staatlich vorbereitet und von den Medien 1:1 übernommen wird – ohne kritische Reflexion – ohne die Frage nach der Rechtsstaatlichkeit – ohne die Frage nach der Sicherheit und Manipulationsschutz der betroffenen Bürger. Warum gibt es keine freien Journalisten mit Fachkompetenz mehr, die sich auch trauen Fragen zu stellen? Sieht keiner mehr die Parallelen zur Stasi? Alle haben drüber geschimpft und die Funktionäre verurteilt. Heute will niemand mehr was davon wissen – denn alles ist ja zu unserem Besten.


Copyright und Lizenz: By Enemenemu (Own work) [CC-BY-SA-3.0], via Wikimedia Commons.

Ich bin doch kein Krimineller

Ich freue mich schon darauf, wenn den ersten ahnungslosen Bürgen mit der „Ich habe nichts zu verbergen" - Mentalität von Hackern oder auch Beamten beweise untergeschoben werden. Dies muss nicht mal absichtlich geschehen, sondern einfach durch die Tatsache, dass der Staatstrojaner ein Trojaner ist. Trojaner sind Schadsoftware und stellen auf dem PC des Zielobjektes eine Schwachstelle und Angriffspunkt dar. Entwickelt, genutzt und verteilt wird er von Menschen, Menschen mit menschlichen Fehlern. Willst du ein Opfer eines Fehlers sein? Dein Leben ruiniert? Das Gejammer kommt dann zu spät und will auch keiner mehr hören, denn du bist ein Krimineller! Du willst dich doch nur herausreden. Wer soll dir da noch helfen, wo es keine Fachleute außer in der Hackerszene mehr gibt? Du Opfer wirst einsitzen und dein Leben verlieren.

Die folgenden Infos entspringen nur meiner persönlichen privaten Kenntnis ohne Referenzen und Beweise. Sozusagen der Extrakt eines Tages, was nach dem Durchforsten des freien Internets übrig geblieben ist. Du solltest immer solche Informationen mit anderen Quellen verifizieren und nie direkt übernehmen oder gar glauben. Nutze Schlagworte, um dich tiefgreifend mit dem Thema im Internet auseinanderzusetzen und nutze dafür unbedingt den TOR-Browser (siehe Blog „Sicher und Anonym im WEB").

Entwicklung und Funktionen des deutschen Staatstrojaners

Ich will hier nur auf die aktuelle Version und nicht auf die vom CCC enttarnte Version aus dem Hause DigiTask eingehen. Der vom BKA im Januar 2013 gekaufte Staatstrojaner von FinFisher / FinSpy durfte in dieser Form nicht eingesetzt werden, weil er gegen deutsche Gesetzte verstößt. Das BKA ist aber wohl immer noch Lizenznehmer.

Der neue Staatstrojaner sollte eine gesetzeskonforme Eigenentwicklung nach einer standardisierenden Leistungsbeschreibung sein, um die Quellen-Telekommunikationsüberwachung umzusetzen. Parallel dazu wird von CSC Deutschland Solutions GmbH die Überwachungssoftware von FinFisher / FinSpy weiterhin auf Gesetztes Konformität geprüft, die bereits 2012 abgeschlossen sein sollte aber immer noch läuft. So wie es aussieht, läuft die aktuelle Version von FinFisher / FinSpy nicht nach dem gesetzlich vorgegeben Parametern und müsste entsprechend angepasst werden.

Funktional ist FinFisher / FinSpy wohl ein System, das auf einem infizierten PC vollen Zugriff zulässt. Zu den Features gehört unter anderem das Abhören von Kommunikation (auch Skype) unabhängig davon, ob sie SSL-Verschlüsselt sind oder nicht. Des Weiteren verfügt die Software über einen Keylogger zum Ausspähen von Passwörtern und der Möglichkeit Webcam und Mikrofon zu aktivieren.

Nichtsdestotrotz soll die Zukunft der Überwachung in der Eigenentwicklung des BKA liegen. Ich würde jedoch mal davon ausgehen, dass die Funktionalitäten und Techniken von FinFisher / FinSpy bei der Entwicklung aufgegriffen werden.

Was zum Schluss gegen die Bürger eingesetzt wird, ist noch unklar. Wir können uns vielleicht auf eine bunte Vielfalt in Sachen Trojaner freuen. Zumindest ist das Thema FinFisher / FinSpy beim BKA nicht vom Tisch und es wird sicher weiter an einer gesetzeskonformen Umsetzung gearbeitet.

Der Einsatz des Staatstrojaners

Wie bereits im Punkt Entwicklung und Funktion beschrieben, soll der Trojaner den Zielrechner gesetzeskonform ausspähen. Beim Thema Trojaner und Spyware sind auch Hacker nicht weit, auf die bereits Ermittler zurückgegriffen haben sollen. Hacker werden eher mit der Verteilung des Trojaners beauftragt. Hier stellt sich die Frage: „Wie fühlst du dich, wenn private Hacker Spyware auf deinen PC installieren?" Fühlst du dich in rechtsstaatlich sicheren Händen oder eher dem Wohlwollen von zwielichtigen Personen ausgeliefert?

Egal – es bleibt jedoch die Frage, wie der gesamte Apparat von der Herstellung (Implementierung) bis zur Verteilung überwacht werden kann? Ich will unseren Beamten keine Dummheit unterstellen, jedoch sind die technischen Anforderungen an einen Gutachter so hoch, dass ich hier eine sichere Analyse bezweifle. Wie sicher auch ein System entwickelt wird und wie gut die Sachverständigen auch sein mögen, da draußen gibt es immer einen, der es besser kann. Mir stellen sich hier folgende Fragen:

  • Wer und wie werden die Programmierer des Trojaners kontrolliert und wie soll bei Megabyte an Codezeilen ein Backdoor (Hintertür) der Entwickler ausgeschlossen werden?
  • Programmieren ist ein laufender Prozess. Ständig werden Codezeilen geändert und wie soll die Manipulationssicherheit in Echtzeit ggf. sogar Zertifiziert umgesetzt werden?
  • Wie will man mir beweisen, dass keine Unbefugten in den Besitzt der Überwachungstechnologie kommt und diese gegen mich einsetzt?
  • Wie sieht es mit der Frage aus, dass ein Trojaner immer die Sicherheit eines Systems schädigt und angreifbar macht?
  • Wie wird die Online-Durchsuchung real durchgeführt? Sind unparteiische Zeugen anwesend, die dabei meine Rechte wahren oder sicherstellen, dass mir nichts untergeschoben wird?
  • Wie ist Beweissicherung mit einem System möglich, was die Beweise tangiert?
  • Wie wird sichergestellt, dass kein Angreifer auf einen bei mir installierten Trojaner zugreifen kann?

Sogar der Dreamlab-Gründer Nicolas Mayencourt bezweifelt, dass technisch eine fälschungssichere Software zu implementieren ist, die alle Handlungen der Polizei lückenlos aufzeichnet und für Gutachter nachvollziehbar macht. Wie willst du als Privatperson einen Gutachter finden, der in der Lage ist die Beweissicherung zu durchleuchten? Das alles mit rechten Dingen zuging?

Wie schnell ein Gericht einem Anwalt mit einer angeblich zertifizierten Überwachungssoftware die Adressen von Bürgern zum Abmahnen rausgibt, hat die Redtube – Porno – Abmahnwelle gezeigt. Wie viele Bundesbürger sind hier zu Unrecht beschuldigt worden? Wie viele Ehen oder Familien gehen durch so was zu Bruch? Der ganze Ärger und Aufwand und Kosten für jeden Einzelnen? Sind die Betroffenen auf irgendeine Art und Weise entschädigt worden?

Hier zeigt sich, wie schnell ein Automatismus aufgebaut wird, und alles vollkommen automatisch vom Antrag bis zur Verurteilung von Gerichten durchgewinkt wird. In diesen Fällen bekommst du von dem ganzen Verfahren gegen dich nicht mal was mit – erst wenn die Abmahnung im Briefkasten liegt. Dann hast du nur ein paar Tage Zeit zu reagieren und wenn du Pech hast bist du in Urlaub. Bleibt abzuwarten, ob das auch in Strafprozessen zukünftig automatisch läuft und du nur noch die Einladung zum Knast erhältst.

Die Verteilung des Staatstrojaners

Zur Verteilung des Staatstrojaners schweigen sich scheinbar alle aus und keiner fragt danach, wie die Schadsoftware auf den Ziel-PC kommt. Soweit ich das mitbekommen habe, werden hierfür Privatunternehmen wie Dreamlab beauftragt, die den Trojaner angeblich mit Emails verschicken.

  • Ich bezweifle jedoch, dass auf so einfache Methoden zurückgegriffen wird. Ich denke eher, dass es vielleicht wie bei der NSA läuft und beispielsweise Hardwarelieferungen abgefangen und entsprechend präpariert werden. Sollte beispielsweise ein Beschuldigter im Internet einen USB-Stick kaufen, so könnte die Lieferung abgefangen, der USB-Stick mit dem Staatstrojaner versehen und dem Zielobjekt zugestellt werden. Es wurde sogar festgestellt, dass einfache USB-Verlängerungskabel manipuliert und mit entsprechender Treibersoftware ausgestattet wurden.
  • Wie sieht es mit kostenlosen Werbesendungen aus? Hier könnte gezielt die zu überwachende Person mit einem allgemeinen Werbebrief und einen USB-Stick als kostenlose Werbebeigabe konventionell auf normalen Briefpostweg angeschrieben werden. Dieser findet die Werbung zwar blöd, aber schmeißt er auch den 8 GByte-Stick weg? Wird er ihn vielleicht in seinen PC stecken? Falls ja, dann kann sich der Trojaner als Treiber getarnt ohne weitere Bestätigung auf dem PC installieren.
  • Was mir bei der Installation von Geräten wie USB-Sticks, etc. aufgefallen ist, die Treiber werden im gesperrten Modus und auch ohne ADMIN-Rechte installiert. Ein Treiber bohrt sich so tief ins System, dass er hier unentdeckt weitere Spionage-Module aus dem Netz laden und installieren kann.
  • Denkbar wäre, dass Werbebanner auf diversen Webseiten zum Einschleusen von Schadcode zum Einsatz kommt. Dies ist ein bekanntes Verfahren, beispielsweise von der NSA. Die heutigen Browser installieren aktive signierte Elemente (ActiveX) ohne Rückfrage auf dem PC. Stellt sich die Frage, ob der Staatstrojaner offiziell von einer CA signiert ist? Da bin ich mir aber recht sicher, dass das der Fall ist. Sonst würde er schon durch die einfachsten Sicherheitssysteme und primitive Virenscanner aufgehalten.
  • Sofern das deutsche Recht weiter verbogen wird, ist auch die Einschleusung von Malware auf Computern der Nutzer möglich. Das FBI hat bereits gezeigt, dass durch Sicherheitslücken im Firefox-Browser mittels Javascript der PC kompromittiert werden kann. So war es auch möglich, Kriminelle im TOR-Netzwerk zu lokalisieren. Die Sicherheitslücke ist bereits geschlossen, aber es wird immer Schwachstellen geben. Es wäre ein Leichtes durch bekannte Sicherheitslücken im Browser, Virenscanner oder auch dem Betriebssystem selber den Staatstrojaner ohne Kenntnis des Nutzers aufzuspielen. Zurzeit sicherlich noch nicht denkbar, aber ein Szenario für die Zukunft wäre das FoxAcid-System, wie es die NSA einsetzt. Dieses System unterminiert mit strategischen Methoden fremde Rechner oder Router unter Ausnutzung von Sicherheitslücken. Das System interpretiert und lokalisiert mit Hilfe der Metadaten das Ziel, welches beispielsweise durch Umleitung des Datenverkehrs den Nutzer auf eine präparierte Seite leitet. Der Nutzer bemerkt nicht, dass er sich auf einer FAKE-Seite befindet. Ihm wird ein kleines Programm eingespielt, das weitere Schadsoftware installieren kann. Vor FoxAcid kannst du dich nicht schützen und nur hoffen, dass du ein zu kleines unbedeutendes Licht bist. FoxAcid wird zurzeit wirklich nur auf kritische und potente Zielgruppen angesetzt.
  • Im Prinzip muss auf den PCs ja nur die Möglichkeit zur Installation des Staatstrojaners geschaffen werden. Hier ist beliebte Freeware wie Spiele oder sonstige Apps denkbar, die nur auf die Aktivierung von außen nach richterlicher Anweisung warten. Allerdings werden ja auch Privatfirmen mit der Verteilung beauftrag. Hier bleibt abzuwarten, inwieweit es die Verantwortlichen interessiert, wie der Trojaner auf den PC kam und du das überhaupt erfahren wirst.
  • Eine weitere Gefahr können Erweiterungen oder PlugIns von Browsern sein. Der NDR hat in einer aufwendigen Recherche herausgefunden, dass gesammelte Daten der Browsererweiterung WOT in User-Profilen von Big-Data-Firmen landen. Obwohl die Profile prinzipiell anonymisiert sind, können doch über Querverweise zu Social-Media oder sonstigen spezifischen Daten der direkte Zusammenhang zu einzelnen Personen gezogen werden. Dabei soll die Browsererweiterung WOT nur die Integrität einzelner Internetseiten prüfen. Dies geschieht jedoch durch Abgleich mit Onlinedatenbank, wobei der Browserverlauf direkt gespeichert wird. Hier sieht man auch, dass umsonst nicht kostenlos ist. Letzendlich muss die Software entwickelt werden und auch die Webserver und Datenbanken kosten Geld.

Fazit

Zum Abschluss – bedenke bitte, dass das alles niedergeschriebene Schnipsel eines Tages sind. Für seriöse und tiefgreifende Infos bitte unbedingt selber Informationen im Internet suchen. Ich hoffe, der Blog hat dir einen Einstieg und auch die notwendigen Suchbegriffe geliefert.

Impessum des Autor Kontakt zum Autor