Der breite Funktionsumfang des "Staatstrojaners", den der Chaos Computer Club aufgedeckt hat, sorgt in der deutschen IT-Sicherheitsbranche für Kopfschütteln.
vonn Simon Hülsbömer, COMPUTERWOCHE
Dem Chaos Computer Club (CCC) war der Code einer von der Haiger Softwarefirma DigiTask entwickelten "staatlichen Spionagesoftware" zugespielt worden, die in Bayern und Baden-Württemberg im Rahmen von Ermittlungen bereits im Einsatz gewesen ist. Der CCC machte die Analyseergebnisse öffentlich und kritisierte, dass der Funktionsumfang des "Staatstrojaners" die verfassungsrechtlichen Vorgaben zur Online-Durchsuchung deutlich übersteige.
So könne die Software über das Internet weitere Programme nachladen und ferngesteuert zur Ausführung bringen. Eine Erweiterbarkeit auf ihre volle Funktionalität - das Durchsuchen, Schreiben, Lesen sowie Manipulieren von Dateien (wie das nachträgliche "Unterschieben" von gefälschtem belastenden Material) - sei von Anfang an vorgesehen gewesen, so der CCC. Es sei gar ein digitaler großer Lausch- und Spähangriff möglich, indem ferngesteuert auf das Mikrofon, die Kamera und die Tastatur zugegriffen werden könne.
IT-Branche hat kein Verständnis
Bitkom-Präsident Dieter Kempf gab in einer Stellungnahme des Branchenverbandes zu bedenken, "dass bei allen Überwachungsmaßnahmen die Verhältnismäßigkeit genaustens bedacht werden" müsse. Er forderte die Behörden auf, die Vorwürfe des Chaos Computer Clubs schnellstmöglich aufzuklären.
Die Security-Hersteller, deren Virenscaner die Spionagesoftware meist als "Backdoor.R2D2" erkennen, zeigten sich ebenfalls schockiert über das Ausmaß der Funktionalität: "Wir haben den Trojaner untersucht und waren überrascht, wie schlecht er zum einen programmiert wurde und zum anderen den gesetzlich erlaubten Rahmen überschreitet", berichtete Kathrin Beckert vom Bochumer Unternehmen G Data. Rüdiger Trost von F-Secure bezeichnete den gesamten Vorgang als "peinliche Geschichte": "Das Schlimme an diesem Trojaner ist, dass seine Funktionalität viel weiter geht, als regierungsintern vereinbart und öffentlich bekannt war." Auch Sandra Wiesbeck, Managerin des Bayerischen IT-Sicherheitsclusters, dem Verbund der bayerischen Security-Unternehmen, beurteilte es "kritisch, dass Funktionen implementiert sind, deren Anwendung selbst mit richterlicher Genehmigung gesetzeswidrig wären."
Sachar Paulus, Security-Analyst beim Beratungshaus KuppingerCole sowie Professor für Unternehmenssicherheit und Risikomanagement an der Fachhochschule Brandenburg bezeichnete die Art und Weise, wie Auftraggeber und Entwickler in dieser Sache vorgegangen seien, als "dilettantisch". Er empfahl, bei der künftigen Entwicklung staatlicher Überwachungssoftware, "Sicherheits-Experten zu Rate zu ziehen, um derartige Vorgänge in einem moderierten Prozess zu reflektieren, ähnlich wie es bei Open Source Software geschieht." (sh/cw)
Dieser Beitrag erschien in der ChannelPartner-Schwesterpublikation COMPUTERWOCHE
Quelle Teaserbild Homepage: Symantec