Erstellt am: 9. 10. 2011 - 17:31 Uhr
Deutscher Polizeitrojaner gegen Skype
Der Polizeitrojaner
Die "Verhaftung" und Tiefenanalyse des deutschen Polizeitrojaners durch die Hacker des Chaos Computer Club (CCC) hat im Grunde keine besonders überraschenden Erkenntnisse erbracht.
Ganz ähnlich wie bei der Publikation der US-Depeschen durch Wikileaks kam in etwa jener Sachverhalt zu Tage, den damit befasste Kreise immer schon vermutet hatten. Der große Unterschied: Nun ist es nachgewiesen, und das kommt einem Volltreffer im Argumentationsdepot gegen die deutschen Behörden gleich.
Antreiber Wolfgang Schäuble
Aktuell dazu
Die Hacker des Chaos Computer Club haben in der Nacht auf Sonntag nicht nur eine ziemlich tiefgehende Analyse des Polizei-Trojaners veröffentlicht. Wichtige Teile des Quellcodes wurden sogar in der Printausgabe der "Frankfurter Allgemeinen" vom Sonntag abgedruckt.
Vom damaligen deutschen Innenminister Wolfgang Schäuble und dem Präsidenten des Bundeskriminalamts Jörg Ziercke angefangen, wurde die Legalisierung eines solchen "Instruments" mit den üblichen Argumenten seit 2007 in Deutschland vehement vorangetrieben.
Um der Online-Rekrutierung von Jihad-Aktivisten entgegenzuwirken, müssten die Behörden technisch auf gleicher Höhe agieren können, war eins dieser "Argumente".
Irreführung der Öffentlichkeit
Unter der irreführenden Bezeichnung "Online-Durchsuchung" wurden dann ebenso irreführende Analogien gezogen und technische Grundsätze wurden umdefiniert, wenn sie nicht ins Konzept passten.
So wird diese behördliche Schadsoftware noch immer beharrlich als "Remote Forensic Software" bezeichnet, obwohl das schlicht falsch ist.
maha-online
Grundsatz der Forensik
Der oberste Grundsatz der Forensik ist, dass die betreffenden Datenträger Bit für Bit kopiert werden müssen. Nicht einmal das Betriebssystem selbst darf dabei gestartet werden, weil jeder Neustart den ursprünglichen Datensatz verändern würde. Allein deshalb würden allfällige Ergebnisse vor Gericht nicht anerkannt.
Im Falle des vom CCC arretierten Polizeitrojaners aber wird eine gesamte Programmsuite aus der Ferne auf dem betreffenden System installiert. Das System auf dem Ziel-PC wird dadurch massiv verändert.
Der rechtliche Rahmen
Technisch läuft exakt derselbe Vorgang ab, den der Gesetzgeber als "Herstellen und Ausbringen von Schadsoftware" sowie "Eindringen in ein Computersystem" ahndet. Ein EU-Rahmenbeschluss sieht dafür eine Höchststrafe von bis zu fünf Jahren vor.
Der deutsche Gesetzgeber hat hier allerdings - und auch mit gutem Grund - Ausnahmeregeln gesetzt. Das Herstellen, Modifizieren und Benutzen von Schadsoftware etwa zu nicht-kriminellen Zwecken wurde ausgenommen, denn das sind Routinevorgänge in jedem Antivirus-Labor.
Legitimiert wurde damit aber auch die Produktion von "Staatstrojanern", die sich technisch von der Schadsoftware der Kriminellen fast überhaupt nicht unterscheiden.
Trojaner, Downloader, Hintertür
So auch in diesem Fall. Es handelt sich um die übliche Kombination aus trojanischem Pferd, Verschleierungsmechanismen (Rootkit) und einer Hintertür ѕamt Downloadprogramm und Keylogger.
Das heißt, es können laufend neue Komponenten nachgeladen und installiert werden. Da laut CCC Authentifizierungsmechanismen völlig fehlen, wäre dies unentdeckt auch Dritten möglich.
Übliche kriminelle Praxis
Das ist nicht etwa eine theoretische Annahme, sondern im Bereich der organisierten Cyber-Kriminalität seit Jahren übliche Praxis.
Die Botnet-Betreiber versuchen so, gekidnappte Computer einander wieder abzujagen. Mechanismen zur Authentifizierung gehören deshalb mittlerweile zum Standardrepertoire jeder "besseren" Malware-Suite, die von Kriminellen für Kriminelle angeboten wird.
Vor allem Skype
All das zusammen führt jeden forensischen Ansatz völlig ad absurdum und eröffnet dem Missbrauch sozusagen "Hintertür und Port". Warum wird dieser Ansatz in mehreren deutschen Bundesländern dann immer noch forciert?
Es geht um verschlüsselte Kommunikation im Allgemeinen und im Besonderen um Skype. Der integrierte Keylogger zeichnet alle Tastatureingaben auf und erfasst damit auch die Zugangsdaten zu HTTPS-verschlüsselten Diensten wie dem Online-Banking, Kryptografieprogrammen wie PGP und eben Skype.
"Skype Capture Unit"
In eben diesem Zusammenhang ist das deutsche Unternehmen DigiTask bereits 2008 aufgefallen, als ein diesbezügliches Angebot an die bayerischen Strafverfolger in Wikileaks erschien. Aus den Dokumenten geht hervor, dass DigiTask eine spezielle "Skype Capture Unit" anbietet, die 3.500 Euro pro Monat und Arbeitsplatz kostet.
Damit könnten nicht nur 10 Skype-Telefonate parallel abgehört werden, der Trojaner übermittelt auch alle anderen Skype-Dienste wie Chat oder Dateitransfers, ebenso wie die Buddy-List, also das Adressbuch.
Die Veröffentlichung des Angebots von DigiTask an die Strafverfolger in München in Wikileaks hatte eine ebensolche "Remote Forensic Software" zum Inhalt
"Spezielle Sicherheitssoftware"
Bei mehreren ISS-Überwachungsmessen war die Firma DigiTask ebenfalls als Hersteller von "Remote Forensic Software" aufgetreten.
"Die DigiTask GmbH ist bundesweit führender Anbieter von speziellen Sicherheits- und Kommunikationslösungen für Behörden", heißt es auf der Website des Unternehmens. Eine Anfrage von ORF.at bei DigiTask wurde am Sonntagnachmittag gestellt.