Online-Durchsuchungen: Experten nehmen Bundes-Trojaner auseinander (Spiegel Online, 29.8.2007)

Online-Durchsuchungen

Experten nehmen Bundes-Trojaner auseinander 

Hanebüchen, unglaubwürdig, verschleiernd: Informatiker zerfleddern die jetzt enthüllten Erklärungen von Schäubles Innenministeriums zum Bundes-Trojaner. Die Opposition kritisiert, das Programm zum Ausschnüffeln von Computern und Mobilgeräten hätte gar nicht fertiggestellt werden dürfen.

Spiegel Online, 29.8.2007

Wolfgang Schäubles Innenministerium ist sich seiner Sache ganz sicher. Der Bundes-Trojaner sei einsatzbereit, verfassungskonform und nicht aufzuspüren: Das hatte es in Antwortschreiben an die SPD-Fraktion und das Justizministerium mitgeteilt. Die insgesamt 43-seitige Erklärung war gestern bekannt geworden, SPIEGEL ONLINE dokumentierte die Kernaussagen. Doch jetzt wird immer deutlicher, dass die Schreiben mehr Fragen aufwerfen, als sie beantworten.

Das beginnt schon mit der Aussage, die Entwicklung einer einsatzfähigen Version der sogenannten "Remote Forensic Software" ("Fernforensische Software", RFS) könnte "bei Aufhebung des gegenwärtig verfügten Entwicklungsstopps unverzüglich abgeschlossen" sein. Es gebe schon "fertiggestellte Teilmodule".

Diese Aussage verblüfft. Denn am 10. April hat die Bundesregierung eine Anfrage der FDP-Fraktion zum Entwicklungsstand so beantwortet: "Im BKA (Bundeskriminalamt – d.Red.) wird derzeit die technische Umsetzbarkeit einer Online-Durchsuchung im Rahmen eines Entwicklungsprojektes geprüft." Ob diese Maßnahme als polizeiliches Mittel tauglich sei, könne noch gar nicht bewertet werden. Das klingt gar nicht nach einer "einsetzbaren Version".

Unklar ist, wann der Bundes-Trojaner fertiggebaut wurde. In den Schreiben des Innenministeriums ist von einem Entwicklungsstopp die Rede. Der gilt offenbar seit dem 26. April – da teilte das Innenministerium mit, es gebe ein "Moratorium".

Zu diesem Widerspruch sagt Gisela Piltz, innenpolitische Sprecherin der FDP-Bundestagsfraktion, im Gespräch SPIEGEL ONLINE: "Entweder hat die Bundesregierung das Parlament bewusst unvollständig informiert, oder es wurde trotz Entwicklungsstopps heimlich an der Umsetzung der Online-Durchsuchungen weitergearbeitet."

Die FDP-Bundestagsfraktion will nun erneut einen Bericht des Innenministers zum Entwicklungsstand des Bundes-Trojaners einfordern. Denn Innenminister Schäuble habe "heimliche Online-Durchsuchungen als geheimes Vorhaben der Bundesregierung behandelt und die Entwicklung am Parlament vorbei in Gang gesetzt", sagt Piltz. Damit stehe er in der "Tradition von Otto Schily".

Außerdem widersprechen Experten in vielen technischen Details den Ausführungen und Einschätzungen des Innenministeriums.

SPIEGEL ONLINE dokumentiert die Widersprüche:

RFS muss nicht immer neu programmiert werden

Der Präsident des Bundeskriminalamts (BKA) Jörg Ziercke nennt in einem Interview mit dem Magazin "Stern" die Debatte um Online-Durchsuchungen eine "Angstmacher-Diskussion". Es gehe "um maximal zehn solcher Maßnahmen im Jahr". Mehr seien nicht möglich, "weil wir jeweils eine eigene Software entwickeln müssen".

Diese Argumentation überzeugt den Informatiker Andreas Pfitzmann von der TU Dresden nicht. Das Zuschneiden der Software auf verschiedene Systeme sei nicht so aufwendig. Pfitzmann zu SPIEGEL ONLINE: "Das kann man automatisieren, so dass die Mitarbeiter letztlich in einem Toolkit nur alle Details zum zu überwachenden System eingeben müssen und dann eine passende Software erhalten."

Außerdem ist zu bedenken, dass viele Computer mit der Standardinstallation ab Werk arbeiten. Hat man eine RFS für einen dieser Rechner fertiggestellt, sind alle anderen ebenso konfigurierten mit demselben Programm angreifbar. Eine vergleichbare Standard-Konfiguration gibt es auch in vielen Unternehmen. In so einer Umgebung kann dasselbe Programm ohne Aufwand alle Rechner ausspähen, sagt Hartmut Pohl, Sprecher des Arbeitskreises Datenschutz und IT-Sicherheit der deutschen Gesellschaft für Informatik.

Dennoch stimmen die Experten darin überein, dass es keine massenhafte, flächendeckende Überwachung durch die RFS geben werde. Pohls Sorge ist eher, dass "Behörden dieses sehr aufwendige und kostspielige Verfahren wenig effizient einsetzen und Steuergelder verschwenden". Er verlangt daher eine Kosten-Nutzen-Analyse.

Online-Übertragung ist problematisch

Aufwendig macht die Online-Durchsuchung nicht so sehr das Zuschneiden der RFS auf die Zielrechner, sondern eher die Installation. Das Innenministerium behauptet, es gebe eine "Vielzahl von Einbringungsmöglichkeiten". BKA-Präsident Ziercke sagt im Stern-Interview, es sei möglich, "die Software online über das Internet auf den Computer aufzuspielen".

Diese Behauptung erstaunt Frank Rosengart, Sprecher des Chaos Computer Clubs. Er nennt im Gespräch mit SPIEGEL ONLINE die "ganze Idee einer Fern-Installation und einer verschlüsselten Übertragung der Fundstücke über eine Internetverbindung" fragwürdig. Informatiker Pfitzmann von der TU Dresden ist derselben Meinung: "Wer etwas zu verbergen hat, wird nicht nach dem Bundes-Trojaner suchen – sondern verhindert, dass der auf seinen Rechner kommt." Die einfachste Methode: "Er wird seinen Laptop bei sich tragen und den nicht ans Internet hängen."

Entdeckungsrisiko höher als behauptet

Das Risiko, dass die RFS durch Anti-Viren-Programme entdeckt werde, sei "sehr gering", schreibt das Innenministerium in seinen Antwortbriefen zuversichtlich. Doch die technischen Begründungen dafür machen Informatiker skeptisch.

Zum einen schreibt das Innenministerium, die "insgesamt geringe" Einsatzhäufigkeit der RFS mache eine Entdeckung wenig wahrscheinlich. Dazu Hartmut Pohl von der Gesellschaft für Informatik: "Wenn ein Sicherheitsprogramm verdächtiges Verhalten bemerkt, gelingt das auch beim ersten Mal." Moderne Virenscanner achteten nicht mehr allein auf bekannte Dateimuster von Schadprogrammen, sondern suchten immer häufiger nach verdächtigen Verhaltensweisen, sagt Informatiker Pfitzmann.

Er hält auch die zweite Begründung des Innenministeriums für wenig stichhaltig, wonach die RFS Fundstücke auf der Festplatte des Ausgespähten verschlüsselt. Das verhindert laut Pfitzmann kaum, dass das Programm entdeckt wird: "Es gibt praktikable Methoden, gerade nach verdächtigen, verschlüsselten Informationen auf einer Festplatte zu suchen."

Das Entdeckungsrisiko sei bei solchen Schnüffelprogrammen immer gegeben, sagt auch Frank Rosengart vom Chaos Computer Club. Und: "Wenn der Trojaner erstmal entdeckt wird, können den Ermittlern sogar gefälschte Beweismittel untergejubelt werden."

Zweifel an der Vereinbarkeit mit der Verfassung

Vorab definierte Suchkriterien sollen eine "begrenzte Suche" sicherstellen, behauptet das Innenministerium. Das ist im Hinblick auf eine Prüfung durch das Bundesverfassungsgericht wichtig. Die Richter hatten nämlich in ihren Urteilen zum Lauschangriff verlangt, dass ein "Kernbereich privater Lebensgestaltung" unangetastet bleibe. Das soll die RFS leisten, indem die "Verwendung bestimmter Suchkriterien" generell verboten wird. Soweit das Innenministerium.

"Realtitätsfern" nennt Hartmut Pohl von der deutschen Gesellschaft für Informatik diese Begründung. "Wie soll man denn da herausfinden, dass etwa das Codewort für einen Anschlag ‚Ich küsse dich‘ lautet?" Pohl hält es für eine Illusion, bei Online-Durchsuchungen vorab etwas ausklammern zu können. Seine Einschätzung: "Das kann man im Nachhinein tun – aber das setzt eine aufwendige inhaltliche Prüfung voraus."

Experten-Fazit: "Hanebüchene Äußerungen"

Die Details in der Argumentation des Innenministeriums überzeugen die Experten nicht. Frank Rosengart vom "Chaos Computer Club" nennt die Stellungnahme des Innenministeriums eine "Nebelkerze". Seine Organisation, sonst einer der schärfsten Kritiker mangelnden technischen Verständnisses bei Behörden, könne "dem BKA so viel technisches Unwissen nicht abnehmen". Rosengarts Fazit: "Hier wird mit hanebüchenen Äußerungen abgelenkt, heruntergespielt und verschleiert."

Solch ein Verhalten erscheint auch Andreas Pfitzmann plausibel, der schon als Experte in Bundestagsausschüssen gesprochen hat. Ihn überrascht die geringe fachliche Qualität der Ministeriumsschreiben nicht. Pfitzmann zu SPIEGEL ONLINE: "Ich habe im März und Mai den BKA-Präsidenten Ziercke zum Bundes-Trojaner sprechen hören. Die Aussagen waren unplausibel, uninformiert und realitätsfern."

Auch Pfitzmann nimmt dem BKA so wenig Sachverständnis nicht ab. Seine Vermutung: "Behörden gehen taktisch sehr klug vor" – vor allen in Bezug darauf, "wie viel Detailwissen Mitarbeiter haben, die sich öffentlich äußern müssen".

© SPIEGEL ONLINE 2007
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH