Wenn es um IT-Technik, “Cyber*”, Datenschutz und -Sicherheit geht, fallen bei vielen Bürgern oft schon die Augen zu. Diese Themen werden erwartet mit trockener Theorie, unverständlichen Algorithmen und “das ist doch so ein Nerd-Zeugs?!”

(Foto: Quelle Kaspersky)

Ich möchte den Versuch wagen, die Problematik rund um den “Hessentrojaner” leicht verdaulich aufzubereiten.

Dabei werde ich jedoch um gewisse Fremdworte bzw. Fachbegriffe nicht herum kommen:

  • Zero-Days-Exploits
  • Trojanisches Pferd
  • Spyware
  • Datensicherheit in der IT-Infrastruktur

Zu Beginn jedoch, was ist der “Hessentrojaner”, bzw. was steckt dahinter.

Hinter dem Begriff “Hessentrojaner” verbirgt sich ein Gesetzesentwurf zur Legitimation, eine staatlich entwickelte Software einzusetzen, die den Zugriff auf entfernte Computer ermöglichen soll. Normalerweise wird dazu die Einwilligung des Besitzers benötigt, welcher dann im weiteren Verlauf im System den Zugriff erlaubt. Entweder durch Preisgabe von Benutzerzugangsdaten zum gesamten Computer, durch entsprechende Regeln in der Firewall.

Der Plan ist jedoch, diesen Zugriff geheim zu halten, zu einem beliebigen Zeitpunkt ausführen zu können, auf beliebige Daten (also vollkommenen) Zugriff zu haben und bei Bedarf weitere Software installieren zu können.

Das Argument ist, das dies zur Abwehr von Terror und zur Aufdeckung von Kriminalität dienen soll, da sich Kriminelle heutzutage eben auch mit Computer und Internet vernetzen, also diese Medien benutzen.
Soweit, so gut.

Die Konsequenzen, dieses Gesetz zu verabschieden bedeutet jedoch, das es langfristig einen nicht abschätzbaren hohen Schaden an der Sicherheit des Landes verursacht, also einen Bärendienst erweist!

Es geht nicht um den Einsatz von Überwachungssoftware bei “Gefahr im Verzug“, sondern als Erlaubnis zum generellen Einsatz, bei jedem Bürger, auf jedem System!

Warum das so ist, muss im Zusammenhang mit der Realisierung einer solchen Software und dem heimlichen Installieren selbiger auf einem Zielcomputer betrachtet werden.

In TV-Serien wie zB. “Navy CIS” wird einem Glauben gemacht, der “Gute” – also der Geheimdienst – drückt auf “Install Software” und alles ist erledigt. Dem ist bei Weitem nicht so.  Um Zugriff auf einen entfernten Rechner zu bekommen, müssen sich Geheimdienste genau die Methoden aneignen, welche von Hackern benutzt werden, um das gleiche Ziel zu erreichen.

Nicht selten werden Hacker von Geheimdiensten angeworben oder an IT-Universitäten rekrutiert, denn die Anforderungen an jemanden, der in der Lage ist, Schwachstellen in Systemen zu finden und auch entsprechend auszunutzen, ist weit über dem Durchschnitt der Fähigkeiten von Absolventen “normaler” IT-Spezialisten. Doch diese sind eben durch ihre Qualifikation sehr teuer.

Damit kommen wir zum ersten Fachbegriff: Exploits

Der Begriff “Exploits” wird seit jeher verwendet, wenn Schwachstellen in Betriebssystemen und Software gefunden wurden und (das ist wichtig!) offengelegt werden. In aller Regel sind diesen Exploits rekonstruierbare Auslöser beigefügt, also unter welchen Umständen der Fehler auftaucht.

Das Offenlegen soll mehrere Fliegen mit einer Klappe schlagen: Administratoren von Systemen, Benutzer von Software und auch die Entwickler können darauf schnell reagieren und möglichst zeitnah die Sicherheitslöcher zum Beispiel durch Sperren schließen. Entwickler werden so zu zeitnahen Updates gedrängt und sicherheitsbewusste Benutzer können vorab Informationen über die Qualität einholen, um bei Entscheidungen relevante Hilfe zu erhalten.

Als “Zero-Days-Exploits” werden frisch gefundene Schwachstellen bezeichnet, welche noch keinen (also NULL-Tage) Tag alt sind. Deren hauptsächliche Eigenschaft ist es: es gibt noch keine Gegenmaßnahmen!

Bestimmte Gruppen haben ein sehr hohes Interesse an diesen Zero-Days-Exploits, also höher als gewöhnlich. In der sogenannten Untergrund-Szene werden diese Exploits sogar teuer gehandelt. Es steht immer zur Debatte, einen Exploit nicht zu veröffentlichen, sondern für eine Gegenleistung (Geld, Straffreiheit, Informationstausch, Erpressung) geheim zu halten. Es existiert also ein Markt, der vergleichbar ist mit Drogen, Waffen, Informationen und dergleichen mehr.

Mal ganz abgesehen von der Annahme, das unser Staatsschutz auf diesem Markt V-Männer beschäftigen muss, um an diese Zero-Days-Exploits heranzukommen, diese mit den eben genannten Gegenleistungen auslösen muss, bleibt eine bittere Pille übrig: der ursprüngliche Sinn der Exploit-Datenbanken, Schwachstellen zu veröffentlichen um eine IT-Sicherheit zu gewährleisten bzw. zu unterstützen wird ausgehebelt. Und das betrifft weltweit alle Benutzer, Administratoren von IT-Systemen. Nicht nur der Bürger mit seinem PC, Tablet oder Smartphone, sondern auch Kraftwerke, Krankenhäuser und (fremde) Regierungsnetzwerke.

Ein weiteres Problem besteht, wenn der BND selbst Opfer eines digitalen Angriffs wird, und als Eigentümer von Hackertools diese letztlich “staatlich legitimiert” wieder von anderen genutzt werden können (siehe auch Snowden-Enthüllungen, NSA). Die Worest-Case-Szenarien sind hier grenzenlos!

Nundenn, wir gehen davon aus, das der Staatssicherheits- bzw. Bundes-Nachrichtendienst erfolgreich einen unbemerkten Zugriff auf einen Zielrechner hat. Während dieser Rechner abgehört, durchsucht und ausgewertet wird, werden auch Metadaten und Kontakte, welche vollkommen unerheblich sind gespeichert. Dies wird nur in der aktuellen Falllage von Menschen übernommen, meistens jedoch von weiterer Software ausgewertet und je nach Relevanz zusammengefügt.

Solange der BND sich hoheitlich gibt und sich einer Prüfung seiner Arbeit verweigert, besteht die Gefahr, das Fehlentscheidungen beim offenen Vollzug – seien es Routinekontrollen oder gar Entscheidungshilfen in der Ergreifung – bestehen. Vollzugsbeamte haben nicht die Möglichkeit, die Daten zu verifizieren.

Dieser Umstand ist sehr skeptisch zu betrachten!

Trojanische Pferde

Damit die staatliche Überwachungssoftware auch auf dem Zielsystem geheim bleibt, ist es u.a. notwendig Anti-Viren-Software zu umgehen und andere Auffälligkeiten zu verhindern. Um dies bewerkstelligen zu können muss sich also der BND direkt an der AV-Software zu schaffen machen, sein eigenes “Trojanisches Pferd” – also getarnte Software – sogenannterweise “whitelisten” und diese Handlung verschleiern.

Bei jedem Update (teilweise aktualisieren AV-Software-Systeme sogar stündlich) muss gewährleistet sein, das der Trojaner weiterhin erlaubt bleibt und seine Existenz verborgen.

Dies ist nicht so ohne weiteres möglich!

Ich habe noch nicht die wesentlich höheren Anforderungen bei UNIX-/Linuxbasierten Systemen angesprochen. Dort wird das Ganze zwar schwieriger, jedoch technisch wesentlich anspruchsvoller.
Letztlich: Kein System ist Sicher!

Außerdem habe ich nicht angesprochen, welche benachbarten Systeme bzw. Computer, Router, Smartphones, IoT-Geräte, heimische IP-/Webcams ebenfalls kompromittiert werden und nach einer “Beendigung” der Maßnahme in den Urzustand zurückgesetzt werden sollten.

Dieser Artikel beschäftigt sich tatsächlich nur sehr oberflächlich mit der Gesamtproblematik zum Hessentrojaner, seiner Varianten und der Kritikfähigkeit vom BND. Doch sollte er zumindest eine leicht verständliche, kleine Sicht hinter die Kulissen ermöglicht haben.

Noch eine kleine Anmerkung:
Diese Information könnten Sie nicht sehen, wenn die Netzsperren angewendet und der BND hierfür einen Grund nennen würde.


Weiterführende Informationen:
Analyse Gesetzesentwurf
https://restgedanken.de/hsvg-teil-1-gesetzentwurf-fuer-das-neue-hessische-verfassungsschutzgesetz/

Analyse Bundestrojaner
http://www.ccc.de/de/updates/2011/staatstrojaner
http://www.ccc.de/de/tags/staatstrojaner
https://www.heise.de/newsticker/meldung/CCC-knackt-Staatstrojaner-1357670.html
http://ijure.org/wp/archives/727
https://media.ccc.de/v/camp2015-6995-staatstrojaner_in_karlsruhe

Snowden /
NSA-Leak, “Stolen Hackertools from NSA”
https://theintercept.com/2016/08/19/the-nsa-was-hacked-snowden-documents-confirm/
https://www.theguardian.com/us-news/the-nsa-files
http://www.businessinsider.de/snowden-confirm-hacked-nsa-files-2016-8?r=US&IR=T
https://thehackernews.com/2016/08/nsa-hacking-tools.html