Schäubles Traum: Adleraugen im Datennetz

Science-Fiction-Autor George Orwell hätte sich das Szenario nicht besser ausdenken können: Beamte schmuggeln über das Internet eine Software auf den Rechner im Arbeits- oder Wohnzimmer. Danach können sie alles mitlesen, was auf dem Computer geschieht.

Das komplette digitale Leben des PC-Nutzers liegt offen wie ein Verzeichnisbaum vor ihnen – ständig aktualisiert über eine Internet-Datenleitung. So können die Staatsbediensteten alle Daten – etwa das am Computer geführte Tagebuch, Briefe, digitale Bilder, Adressverzeichnisse und Finanzunterlagen – durchforsten, ohne dass der Überwachte auch nur das Geringste davon merkt.

Was sich anhört wie eine Gruselgeschichte aus einem Überwachungsstaat wie Nordkorea, ist in Wirklichkeit der Plan deutscher Strafverfolger und des Bundesinnenministers Wolfgang Schäuble. Mit diesem Plan ist er zwar Anfang Juni im Bundesrat abgeblitzt – doch nach dem Ende der parlamentarischen Sommerpause im September will Schäuble erneut einen Vorstoß wagen, um die gesetzliche Grundlage für heimliche Online-Durchsuchungen zu schaffen. Bei einer solchen Durchsuchung handele es sich um „eine Maßnahme, mit der ganz gezielt schwere Straftaten aufgedeckt werden sollen”, sagte Jörg Ziercke, Präsident des Bundeskriminalamtes (BKA), auf dem Europäischen Polizeikongress Anfang des Jahres in Berlin. Das BKA müsse darauf reagieren, dass sich die Täter zunehmend des PCs als Tatmittel bedienen – und das gelte längst nicht nur für den Bereich Terrorismus. Ziercke fordert deshalb: „Die Polizei muss mit dem technischen Fortschritt der Täter Schritt halten.”

2005 hatte der damalige Innenminister Otto Schily den Geheimdiensten in einer Dienstvorschrift erlaubt, Festplatten online zu durchsuchen. Immerhin knapp ein Dutzend Mal haben diese seither von Schilys Erlaubnis Gebrauch gemacht, wie auf einer Sitzung des Bundestagsinnenausschusses im April 2007 bekannt wurde. Ein paar Monate zuvor jedoch hatte der Bundesgerichtshof befunden, eine verdeckte Online-Durchsuchung sei nicht durch die Strafprozessordnung gedeckt. Deshalb gibt sich das BKA derzeit recht zugeknöpft: Mit Hinweis auf die rechtlich unklare Situation, aber auch aus kriminaltaktischen Erwägungen, äußere man sich nicht dazu, heißt es.

Doch auch ohne Informationen von offizieller Seite sollte es gelingen, etwas Licht ins Dunkel der polizeilichen Online-Durchsuchungen zu bringen. Denn es gibt einige bekannte Verfahren, deren sich die Strafverfolger bedienen können. Um eine Computerfestplatte online und ohne Wissen des Besitzers durchsuchen zu können, braucht man eine Hintertür zum Rechner. Über den geheimen Zugang kann ein Eindringling dann Daten ausspionieren, stehlen, verändern oder neue Daten auf den PC laden. Beliebt sind beispielsweise Programme, die den befallenen Rechner in einen sogenannten Spam-Bot verwandeln. Das heißt: Die Software bringt den Computer dazu, massenhaft E-Mails zu verschicken, die etwa für die Vergrößerung bestimmter Körperteile werben. Diese Programme heißen Trojanische Pferde oder kurz Trojaner, da sie wie das sagenhafte hölzerne Riesenpferd in der Geschichte von Homer dazu dienen, Angreifer heimlich einzuschleusen.

Auch in diesem Moment schwirren Tausende E-Mails mit angehängten Trojanern durchs Internet. Viele davon sind getarnt als Rechnungen oder angeblich wichtige Mitteilungen, um die Empfänger zu animieren, auf sie zu klicken. Selbst als gefälschter Strafbefehl unter dem vermeintlichen Absender des BKA sind schon Trojaner verschickt worden.

Es ist unwahrscheinlich, dass die Strafverfolger oder Geheimdienste zu so hinterhältigen Mitteln greifen, denn sie wollen nicht – wie die üblichen Versender von Trojanischen Pferden – möglichst viele Rechner infizieren, um sie auf verdächtiges Material zu durchforsten. Das betont auch BKA-Chef Ziercke. Die Strategie sei vielmehr ein „gezielter Einsatz mit spezieller Software”. Und gezielt kann man die massenhaft versandte Schadsoftware wahrhaftig nicht nennen. Selbst wenn die Kriminalbeamten einem bestimmten Verdächtigen eine E-Mail mit einem solchen Anhang schickten, wären die Erfolgsaussichten ziemlich gering: Schließlich warnen Experten die Internet-Nutzer immer wieder davor, Mail-Anhänge von unbekannten Absendern zu öffnen. Gewiefte PC-Anwender würden die elektronische Post ungelesen löschen – und sie dadurch unschädlich machen.

Eine Möglichkeit zu einem gezielten Angriff wäre, die Hersteller der Betriebssysteme für PCs zu verpflichten, eine Hintertür in ihre Programme einzubauen. Die könnten die Strafverfolger dann gegebenenfalls öffnen, um sich Zugang zu einem Rechner zu verschaffen. Gibt es allerdings in einem System eine Hintertür, ist damit auch dem Missbrauch durch Kriminelle Tür und Tor geöffnet. Man könne nicht eine „Backdoor” für die einen öffnen und für die anderen schließen, sagt Thomas Baumgärtner, Pressesprecher Security und Copyright bei Microsoft Deutschland in Unterschleißheim. Zudem ist es unmöglich, eine Hintertür nur in das deutsche Windows-Betriebssystem einzubauen. Denn deutsch ist an der Software nur die Oberfläche.

Die darunterliegende Logik des Programms und dessen Sicherheitseinrichtungen sind für alle Länder gleich – das gilt für Windows ebenso wie für das Mac-Betriebssystem oder Linux. Jeder Windows-Computer auf der Welt hätte damit ein und dieselbe Hintertür. Doch das will niemand – weder der Hersteller noch seine Kunden, zu denen schließlich auch viele Regierungen und Behörden gehören. „Wir haben bislang keine Hintertüren in unsere Betriebssysteme eingebaut und werden das auch nie tun”, versichert Baumgärtner. In einem offenen System wie Linux dürfte es ohnehin unmöglich sein, eine Backdoor einzubauen: Da die Quellcodes der Software für jedermann zugänglich („open source”) sind, würde sie relativ schnell auffallen – und wieder beseitigt.

Wenn also die Hintertür nicht vorkonfiguriert werden kann, muss sie auf den Rechner geschmuggelt werden. Das geht zum Beispiel über einen „Man-in-the-Middle”-Angriff – so genannt, weil ein Angreifer in der Mitte zwischen dem Angegriffenen und einem von ihm aufgerufenen Server steht. Lädt der Angegriffene ein Programm aus dem Internet herunter, kann der Angreifer dort eine Schadsoftware hineinschmuggeln – zum Beispiel einen Trojaner. Installiert der angegriffene Internet-Nutzer die so präparierte Software, öffnet er selbst eine Hintertür in sein System. Für einen solchen Angriff bieten sich am ehesten Programme an, die regelmäßig aktualisiert werden. Allerdings geht es prinzipiell auch bei jedem anderen Software-Download.

Eine alternative Möglichkeit, eine Tür zu einem Rechner zu öffnen, beschreibt Klaus Brunnstein, Professor am Institut für Informatik der Universität Hamburg, der sich seit über zwei Jahrzehnten mit Viren und anderer Schadsoftware beschäftigt: „Die ideale Angriffsform ist, eine E-Mail im HTML-Format zu schicken.” In den Code der Mail wird der Befehl eingebaut, eine Verbindung mit einem anderen Computer aufzunehmen. Öffnet der Empfänger die E-Mail, führt der Rechner diesen Befehl aus und lädt das Programm aus dem Internet herunter.

Beide Verfahren, der Man-in-the-Middle-Angriff und der Zugriff per E-Mail im HTML-Format, haben jedoch eine entscheidende Schwachstelle: Sie sind in gewisser Weise auf die Mitwirkung des Angegriffenen angewiesen. Lädt dieser keine Programme aus dem Internet auf seinen PC oder hat der er die HTML-Funktionalität in seinem Mailprogramm abgeschaltet, wird es sehr schwierig für den Lauscher.

Bleibt eine letzte, recht unheimliche Möglichkeit: von außen einen Trojaner einzuspielen und damit gezielt auf einen Rechner zuzugreifen. „Doch das halte ich für unmöglich”, sagt der Bielefelder Datenschutz-Aktivist „padeluun” – ein Pseudonym, das auch in seinem Pass eingetragen ist. Er ist der Gründer des „ Vereins zur Förderung des öffentlichen bewegten und unbewegten Datenverkehrs” (FoeBuD) und hat den Big Brother Award mitgegründet, der alljährlich an Behörden, Organisationen und Unternehmen vergeben wird, die die Privatsphäre von Menschen besonders beeinträchtigen. „Ich glaube eher, dass jemand in die Wohnung einbricht und das Spionageprogramm direkt auf dem Rechner installiert”, vermutet padeluun. Ist der Angreifer erst einmal am heimischen Rechner, hilft auch ein Passwortschutz nicht mehr viel. „Der normale Computer ist ja kein Hochsicherheitsrechner. Wenn ein Fachmann direkten Zugriff auf einen Computer hat, bietet sich ihm auch eine Möglichkeit, in den PC hineinzukommen”, sagt padeluun.

Ist der Zugang zu einem Rechner erst einmal geöffnet, ist der Rest recht einfach: Der Trojaner lädt das Überwachungsprogramm, eine sogenannte Spyware nach. Es nistet sich im System ein, sammelt Daten und schickt sie an einen Rechner der Behörde. Um die Durchsuchung „komplett” zu machen, spielen die Beamten wahrscheinlich noch einen Tastaturrekorder, auch Keylogger genannt, auf. Dieses Programm wird zwischen Tastatur und Betriebssystem geschaltet und zeichnet auf, welche Tasten ein Nutzer auf seiner Tastatur betätigt. Auf diese Weise lassen sich auch Passwörter für Bankkonten oder für ein Verschlüsselungsprogramm erlauschen. Denn ohne das entsprechende Passwort ist es kaum möglich, verschlüsselte Texte oder E-Mails zu knacken.

Festzustellen, ob sich gerade unliebsame Mitleser auf dem Rechner zu schaffen machen, ist für den Laien fast unmöglich. Virenscanner werden die Schadsoftware kaum finden. Sie spüren meist nur jene Programme auf, die bereits öffentlich bekannt sind, weil sie millionenfach durch das Internet geistern. Das BKA jedoch will eine exklusive Software entwickeln, der kein Virenscanner gewachsen ist – ähnlich wie sie Geheimdienste immer wieder zur Industriespionage einsetzen.

Experten hingegen kommen der Spionage-Software problemlos auf die Spur: Bei der Auswertung von Systeminformationen können sie erkennen, wenn von einem Rechner große Datenmengen verschickt wurden. Eine Analyse des Computers wird dann mit großer Wahrscheinlichkeit den Trojaner zu Tage fördern. Nach einem Bericht vom Deutschlandradio von Ende April 2007 soll genau das bereits geschehen sein: Einer der – namentlich nicht genannten – Überwachten soll herausgefunden haben, dass sein System mit einem Trojaner infiziert war und daraufhin die Behörden gezielt mit für sie unbrauchbarem Datenmüll gefüttert haben.

Es bedarf nicht einmal ausgefeilter Technik, um die Polizei auszutricksen. Wer etwas zu verbergen hat, kann den staatlichen Lauschern mit einfachen Maßnahmen die Arbeit schwer machen: Es reicht, den Computer nicht ans Internet anzuschließen. Will ein Dunkelmann dennoch Dateien über das Internet verschicken, braucht er diese nur auf seinem vom Netz abgekoppelten Computer zu verschlüsseln und auf einen USB-Speicherstick zu kopieren. Den mobilen Speicher nimmt er dann mit in ein Internet-Café. Dort wählt sich der Terrorist oder Ganove in ein Postfach bei einem ausländischen Anbieter ein, von dem aus er seine Daten verschicken kann – sicher vor dem Zugriff durch polizeiliche Fahnder.

Der Hamburger Informatikprofessor Brunnstein hält deshalb die Online-Durchsuchung für „kein brauchbares Instrument”. Er ist überzeugt, dass die Schwerkriminellen sich inzwischen mit genug professionellem Know-how versorgt haben, um ihre Computer gegen Angriffe von außen zu schützen. ■

Werner Pluta arbeitet als freier Wissenschafts- und Technikjournalist in Hamburg. Der Gedanke, dass sein PC heimlich von der Polizei überwacht wird, lässt ihn schaudern.

Werner Pluta