Constanze Kurz und Frank Rieger vom Chaos Computer
Club sprachen am 25. April 2007 im tagesschau-Chat in Kooperation
mit politik-digital.de über den umstrittenen Einsatz von Bundestrojanern
auf Privat-PCs. Sie erklärten, dass man sich kaum davor schützen
kann: "Was hilft, den gesamten Rechner nie ans Netz zu stecken".
Moderatorin: Liebe Politik-Interessierte, herzlich
willkommen zum tagesschau-Chat. Unsere Gäste sind heute Constanze
Kurz und Frank Rieger vom Chaos Computer Club (CCC). Erstmal vielen
Dank Frau Kurz und Herr Rieger, dass Sie sich Zeit für unsere
User nehmen. Haben Sie Fragen zu Bundestrojanern auf dem Privat-PC,
dem elektronischen Fingerabdruck im Pass oder ähnlichen Themen,
dann ist jetzt die Gelegenheit, sie zu stellen. Denn der Chaos Computer
Club beschäftigt sich mit den Auswirkungen der technischen
Entwicklung auf unser Leben. Kann es losgehen?
Constanze Kurz: Gern.
Constanze Kurz, Chaos Computer Club
nixZuVerbergen: Wie soll der Bundestrojaner denn
auf meinen Computer kommen? Als E-Mail-Anhang? Als Script in der
E-Mail? Als präparierter Download? Oder geschieht der Zugriff
auf meine Daten im Internet (an „Vermittlungsstellen")?
Frank Rieger: Es gibt verschiedenste Wege. Wir
vermuten, dass je nach konkretem Einsatz unterschiedliche Methoden
verwendet werden. Das Anhängen an herunter geladene Dateien
wird in anderen Ländern schon praktiziert. Der Angriff auf
Schwachstellen im Rechner ist eine andere Variante.
Alex: Guten Tag, wird der Schwerpunkt der Trojaner
bei PCs liegen oder sind Macs sicherer?
nixZuVerbergen: Kann der Trojaner auch unter Linux
funktionieren?
Frank Rieger: Die Behörden werden sich sicher
nicht auf einen Rechnertyp festlegen. So wie auch heute schon können
Angriffe sowohl gegen PCs als auch gegen Macs oder Linux gefahren
werden.
Constanze Kurz: Man kann davon ausgehen, dass
derjenige, der ausgespäht werden soll und sein Betriebssystem
bereits vorher den Ermittlungsbehörden bekannt sind.
soran: Was genau kann der Bundestrojaner denn
mit meinem Rechner anstellen?
Frank Rieger: Technisch ist eine komplette Fernsteuerung,
das Auslesen von Dateien, das Abhören via Kamera und Mikrofon,
das Abhören der Tastatureingabe et cetera möglich.
Constanze Kurz: Natürlich kann auch die komplette
Kommunikation (E-Mail, Internettelefonie, Chat) mitgelauscht werden.
Frank Rieger: Es geht den Behörden vor allem
um das Umgehen von Verschlüsselungsverfahren. Das heißt,
Passworte sollen mitgelesen und Verschlüsselungskeys abgezogen
werden.
Moderatorin: Nachfrage zu Erfahrungen in anderen
Ländern:
mk: Heißt das, andere Länder spähen
uns schon aus?
Frank Rieger: „Uns" ist hier ein bisschen
weit gefasst. Solche Methoden werden seit langem in der Spionage
verwendet.
Constanze Kurz: Wirtschaftsspionage mit technischen
Mitteln wird seit Jahrzehnten erfolgreich betrieben.
Moderatorin: Dreimal zum gleichen Thema:
levin: Von der praktischen Seite her betrachtet:
Gibt es nicht genug Werkzeuge, um Trojaner aufzuspüren und
zu eliminieren?
tuxer: Kann ich mich durch das Verwenden von Firewalls
davor schützen?
StinoC: Mit welchem System, und gegebenenfalls
mit welcher zusätzlichen Software, kann ich mich gegen den
Trojaner schützen?
Frank Rieger: Prinzipiell ist ein Schutz sehr
schwer, solange der Rechner am Internet hängt.
Constanze Kurz: Der normale Computerbenutzer wird
sich nicht wirkungsvoll schützen können.
Frank Rieger: Man kann davon ausgehen, dass bei
der Vorerkundung vor dem Angriff etwaige Firewalls et cetera mit
berücksichtigt werden. Antivirus-Software kann nur Trojaner
finden, die dem Hersteller bekannt sind. Und die Behörden planen,
ihren Trojaner geheim zu halten. (Ich weiß, das klingt ein
bisschen traurig.)
Snoopy: Wird der Chaos Computer Club dem Trojaner
„nachgehen" und versuchen, ihn ausfindig zu machen?
Constanze Kurz: Sofern jemand tatsächlich
entdeckt, dass es ein solches Spionageprogramm auf seinem Rechner
hat und es dem Chaos Computer Club zur Kenntnis bringt, werden wir
natürlich den Trojaner untersuchen, so gut wir können.
Adam: Denken Sie nicht, dass es freie Antivirus-Software
geben wird, die eine Lösung dafür findet? Die „Open
Source“-Gemeinde ist ja sehr kreativ.
Frank Rieger: Wir gehen davon aus, dass jeweils
modifizierte Trojaner zum Einsatz kommen. Antivirus-Software arbeitet
mit Signaturen (das heißt mit Mustern, die erkannt werden)
und Heuristiken, das heißt, mit Verhaltensweisen, die erkannt
werden.
Belias: Es gibt doch Netzwerküberwachungstools,
mit denen man den Traffic beobachten kann. Kann man nicht dadurch
auch einen Trojaner erkennen?
Frank Rieger: Eine erfolgreiche Abwehr erfordert,
dass man die Verhaltensweisen, die sich nicht sehr von normalen
Programmen unterscheiden, erkennen kann oder einen Trojaner zum
Mustererkennen findet. Also Open Source wird da wenig helfen.
Constanze Kurz: Wenn es derart gute Netzwerküberwachungstools
gäbe, hätten wir kein Problem mit Schadsoftware. Dem Bundestrojaner
wird solche Software wenig anhaben können, sofern die Ermittler
keine groben Fehler machen.
Frank Rieger: Prinzipiell kann man natürlich
auf die Inkompetenz der Behörden vertrauen, aber sicher nicht
auf Dauer.
Loopie: Bisher haben es unzählige Firmen
und Hacker versucht, ihre Trojaner und Viren geheim zu halten. Alle
ohne Erfolg. Selbst diverse Rootkits, wie zuletzt von Sony BMG lassen
sich nicht dauerhaft verstecken. Die Idee ist meiner Meinung nach
schon von Anfang an zum Scheitern verurteilt.
Frank Rieger: Wenn ein Trojaner nur einmal verwendet
wird und ansonsten immer wieder modifiziert wird, geht das schon.
Constanze Kurz: Es gibt heute wohl Rootkits, die
sich wirkungsvoll verstecken können, und zwar so gut, dass
selbst Spezialisten sie nicht ausfindig machen können.
demlak: Es ging durch die Presse, dass bereits
eine Art Bundestrojaner seit längerem im Einsatz ist. Wie ist
der Kenntnisstand des Chaos Computer Clubs zu der bisher eingesetzten
Software?
Frank Rieger: Im Bereich Industriespionage passiert
das durchaus schon länger.
Constanze Kurz: Wir gehen davon aus, dass deutsche
Geheimdienste diese Techniken anwenden, allerdings natürlich
nicht in großem Umfang.
Snoopy: Wenn man der Regierung Glauben schenken
kann, soll der Trojaner bei ausgesuchten Personen eingesetzt werden.
Glauben Sie daran? Ich kann mir mittlerweile sehr gut vorstellen,
dass ein flächendeckender Einsatz geplant sein könnte.
Moderatorin: Ist das technisch machbar?
Constanze Kurz: Wir denken, dass die Spionage-Software
tatsächlich nur gezielt eingesetzt werden soll. Auf breiter
Basis wäre auch die Entdeckungsgefahr viel zu groß.
Frank Rieger: Solange die Regierung nicht die
Hersteller zwingt, Hintertüren für sie in weit verbreitete
Produkte einzubauen… Was ich angesichts des Schäuble-Wahns
nicht ausschließen würde.
Moderatorin: Mal ganz persönlich:
SomeBdyElse: Mir ist zu Ohren gekommen, dass Chaos
Computer Club-Mitglieder Jobangebote bekommen haben, die mit dem
Trojaner in Zusammenhang stehen könnten. Ist da was dran?
Constanze Kurz: Ja, wir haben einige Mitglieder,
die so etwas berichtet haben.
Moderatorin: Und die Reaktion?
Frank Rieger: Die angesprochenen Mitglieder haben
die Anfrage direkt publiziert. Damit war dann Ende.
Constanze Kurz: Man muss sich klar machen, dass
die Ermittlungsbehörden in Sachen Bundestrojaner Personal und
Kompetenz hinzukaufen müssen, insofern ist das nicht überraschend.
gubrats: Kann der Trojaner auch Daten auf meinen
Rechner hochladen? Also könnten mir Beweise untergeschoben
werden?
Constanze Kurz: Das kann er, ebenso wie Daten,
die auf deiner Festplatte sind, manipulieren.
Frank Rieger: Das ist eines der Kernprobleme beim
Bundestrojaner. Die Beweissicherheit ist damit hinüber.
Moderatorin: Nachfrage zum Personal:
soran: Wäre es nicht sinnvoll, ein Chaos
Computer Club-Mitglied auf diesem Wege in das Bundesministerium
des Innern einzuschleusen. Als Gegentrojaner?
Constanze Kurz: Wir sind doch kein Geheimdienst.
Wir arbeiten nicht mit solchen Methoden.
Frank Rieger: Unsere Erfahrungen bei derartigen
Spielen sind nicht so besonders gut ;-).
trara: Ich hab es noch nicht ganz verstanden:
Trojaner haben ja auch eine bestimmte Logik, sind eine bestimmte
Art von Software, die eine gute Anti-Viren-Software eigentlich erkennen
sollte – an der Heuristik. Warum soll der Bundestrojaner da nicht
entdeckt werden?
Constanze Kurz: Es wird keine breite Schadsoftware,
sondern eine gezielt eingesetzte Spionage-Software gegen einen konkreten
Verdächtigen geben. Insofern haben die Virenhersteller keine
Chance.
Moderatorin: Übrigens kommen im Moment sehr,
sehr viele Fragen rein. Wir springen deshalb ein wenig zwischen
den Themen!
Wisniewski: Sind Gegenmaßnahmen gegen den
Trojaner „Widerstand gegen die Staatsgewalt“?
Frank Rieger: Das ist eine spannende Frage. Wir
sind keine Juristen, aber da der Trojaner im Zweifel nicht mit Bundesadler
daherkommt, wird es schwer zu erkennen sein, wer einen gerade hackt.
Constanze Kurz: Ich meine, dass es natürlich
legitim für jeden Computerbenutzer ist, seine privaten Daten
zu schützen.
levin: Könnte der „Bundestrojaner "
auch europa-, beziehungsweise EU-weit greifen?
Frank Rieger: Derzeit ist das eine Länder-individuelle
Geschichte.
StinoC: Mal eine weniger praktische Frage: Bedenkt
Schäuble eigentlich nicht, wie sich die Leute fühlen,
bei diesem Maß an Überwachung? Wer überwacht die
Überwacher noch?
Frank Rieger: Ich glaube, das ist dem egal.
maldoror: Wer legt fest, wer ein konkreter Verdächtiger
ist? Wenn das richterlich geschehen soll, warum reichen dann nicht
herkömmliche Methoden?
Constanze Kurz: Generell ist für den Bundestrojaner
ein Richtervorbehalt vorgesehen. Aus der Vergangenheit haben wir
allerdings gelernt, dass nicht jeder Richter die Zeit hat, so etwas
genau zu prüfen.
abulafia: Was schätzt denn der Chaos Computer
Club, wie groß der individuelle Arbeitsaufwand für die
Schaffung eines individuellen Trojaners ist?
Frank Rieger: Es wird vermutlich mit einem Baukasten
gearbeitet werden, der den Aufwand reduziert. Ich denke, der Aufwand
für die Anpassung wird im Bereich von Tagen liegen, wenn die
Beamten oder ihre Dienstleister wissen, was sie tun.
Adam: Wie sieht es mit Geschäftsgeheimnissen
aus? Denken Sie nicht, dass Firmen etwas dagegen hätten, dass
die Bundesregierung eine offene Tür in ihre Systeme haben will?
Frank Rieger: Das ist eines der Kernprobleme.
Nicht nur der Zugriff auf Firmeninterna ist zu erwarten. Für
Hersteller von IT-Produkten in Deutschland ist auch alleine der
Verdacht, dass ihre Produkte Trojaner enthalten könnten schon
ein echtes Problem.
Constanze Kurz: Ein Problem in diesem Zusammenhang
ist auch, dass beispielsweise Kriminelle die vom Bundestrojaner
ausgenutzten Schwachstellen ebenfalls benutzten könnten, zum
Beispiel für Wirtschaftsspionage.
thomas l.: Ist ein solcher Trojaner nicht einfach
zu umgehen, indem man eine USB-Festplatte physikalisch trennt, wenn
man online ist?
Frank Rieger: Der Trojaner kann sich auf dem Rechner
verankern und die Daten kopieren, sobald die Platte angesteckt ist.
Was hilft, ist, den gesamten Rechner nie ans Netz zu stecken.
Fluxus: Ist es tatsächlich denkbar, dass
Softwarehersteller hier mit den Bundesbehörden zusammenarbeiten,
um das Trojanerprogramm rauszubringen? Wäre das nicht viel
zu schnell öffentlich? Wie schätzen Sie das ein?
Moderatorin: Ist der Hersteller dann nicht „erledigt"
in der Öffentlichkeit?
Frank Rieger: Bisher funktioniert das so, dass
einfach Schwachstellen nicht oder verspätet gefixt werden.
Der Hersteller kann dann immer behaupten, das hätte andere
Gründe gehabt. Das heißt, der Nachweis, dass das Absicht
des Herstellers war, wird sehr schwer.
Constanze Kurz: Die Bundesbehörden haben
schon eine große Marktmacht als Softwarekäufer, insofern
werden einige Hersteller vielleicht gern mit den Ermittlern kooperieren.
Außerdem kann man sich mal fragen, ob nicht Softwarefirmen
deshalb zusammenarbeiten mit den Behörden, um sich nicht dem
Vorwurf auszusetzen, Terroristen zu schützen. Die Ermittler
werden den Auszuspähenden und sein System schon vorher gut
kennen.
SdK: Wie wird sichergestellt, dass man genau den
richtigen Rechner „infiziert"? Viele haben mehrere oder
auch verschiedene Internetzugänge.
Frank Rieger: Das fragen wir uns auch 🙂 Es wird
im Zweifel eine intensive Vorerkundung geben, aber Fehler werden
passieren.
Knut: Online-Banking kann man wohl abhaken?
Frank Rieger: Wir empfehlen, Dinge, die man wirklich
schützen will, auf einem nicht am Netz hängenden Rechner
zu lagern. Auf Dein Konto haben sie aber ohnehin schon direkten
Zugriff.
CyborgMax: Wie sieht es mit Krankenhäusern
und Arztpraxen aus? Da sind viel sensiblere Daten.
Constanze Kurz: Auch Ärzte, Journalisten
oder Anwälte werden betroffen sein.
thomas l.: Welche Gegenstrategie hat der Chaos
Computer Club parat, um nicht ausspioniert zu werden?
Frank Rieger: Verhindern auf der politischen Ebene
und wieder mehr Notizbücher kaufen (vorzugsweise essbare).
Constanze Kurz: Wir gehen davon aus, dass der
Bundestrojaner nicht verfassungsgemäß ist.
alexking: Ist der Staat nicht rechtlich verpflichtet,
mich zu informieren, dass gegen mich ermittelt wird?
Frank Rieger: Ja, hinterher. Bei den Abhöranordnungen
bisher wird nicht einmal die Hälfte der Betroffenen wirklich
hinterher informiert.
bernd: Wie schätzen Sie eigentlich die Erfolgsquote
ein? Ein potentieller Terrorist wird doch eher selten auf verdächtige
Mail-Anhänge klicken, oder seinen Rechner ungeschützt
(sprich: Router/ Firewall) ans Internet hängen.
Constanze Kurz: Ja, es wird eine nachträgliche
Information geben wie bei fast allen Überwachungsmaßnahmen.
In der Praxis wird dies allerdings häufig nicht geschehen.
Frank Rieger: Offenbar glauben die Behörden,
dass Terroristen nicht wirklich schlau sind. Vielleicht haben sie
ja damit recht…
Constanze Kurz: Die wahrscheinlichste Methode
bei einem versierten Computerbenutzer ist, dass er während
eines anderen Downloads die Schadsoftware auf den Rechner bekommt.
Moderatorin: Zweimal mit Humor:
Adam: Denken Sie nicht, dass es in der Linux-Gemeinde
eher als Herausforderung, eine Art Spiel, angesehen wird? Neue Distribution:
"Debian Bundestrojaner-Free"?
DarkKnight: Was ist, wenn sich der Staat durch
diese Art der Durchsuchung einen Virus bei mir einfängt? Bin
ich dann dafür verantwortlich 😉 ?
Frank Rieger: Adam, ja, das wird schon passieren.
Die spannende Frage ist dann, wie es mit der Garantie aussieht.
Constanze Kurz: DarkKnight, tja, auch Bundeskriminalamt-Rechner
können Schwachstellen haben. Also tu’ dir keinen Zwang an.
Moderatorin: Als Viel-Surfer können Sie folgende
Frage vielleicht beantworten:
CyborgMax: Haben Onlinedurchsuchungen vielleicht
auch tatsächliche Vorteile in der Terrorbekämpfung? Läuft
wirklich soviel Terrorplanung über IT ab?
Frank Rieger: Nachdem, was wir von Bundeskriminalamt-Leuten
hören, benutzen deren Lieblingsverdächtige Computer genau
wie andere Menschen.
Constanze Kurz: Ich denke, die Ermittlungsbehörden
haben schon heute alle nötigen Mittel in der Hand, Terroristen
zu fangen. Dafür brauchen sie wirklich nicht den Bundestrojaner.
Frank Rieger: Rechner beschlagnahmen et cetera
sollte eigentlich reichen.
muckisan: Welche Zeichen sind (un)sichtbar, die
darauf hinweisen, dass ich von Behörden online durchsucht werde?
Frank Rieger: Keine, wenn sie keine Fehler machen.
Irgendwann kommt dann halt das Schreiben mit der Mitteilung.
Michael44: Mal ehrlich, würdest Du einen
Anschlag am PC planen, vielleicht noch simulieren?
Frank Rieger: Keine Ahnung. Nach allem, was berichtet
wird, nicht.
Constanze Kurz: Wenn man mal etwas weiterdenkt,
dann wird man feststellen, dass gegen Leute, die sich in die Luft
sprengen wollen, einfach auch kein Bundestrojaner hilft.
ThSch: Zunächst mal Grüße an alle
Chaosradio-Hörer [Radiosendung des Chaos Computer Club, Anm.
d. Red.] und natürlich die anwesenden Macher :-). Meine Frage:
Wie kann man als Bürger kurzfristig politisch aktiv werden,
um die akut drohende Totalüberwachung zu verhindern?
Constanze Kurz: Man kann seinem Bundestagsabgeordneten
schreiben. Man kann sich im Chaos Computer Club engagieren. Man
kann mit den normalen Leuten, die noch nichts davon mitbekommen
haben, reden.
Frank Rieger: Und die im Zweifel anstehenden Verfassungsklagen
supporten.
Constanze Kurz: Hauptsache ist, man steht dem
nicht gleichgültig gegenüber und artikuliert eben seine
Meinung.
Moderatorin: Fanpost:
StinoC: Hi. Das Engagement des Chaos Computer
Club beeindruckt mich immer wieder!!! Bravo. Ist es wahr, dass der
Bundestrojaner tatsächlich über die Steuersoftware vertrieben
wird?
Constanze Kurz: Nein, das war ein Aprilscherz
des Chaos Computer Club. Wir haben keine konkreten Hinweise, dass
der Bundestrojaner über die ELSTER-Software verbreitet werden
soll.
FeX: Was macht eigentlich der Bundesbeauftragte
für Datenschutz?
Constanze Kurz: Er äußert sich regelmäßig
zu Fragen der Überwachung, aber mehr als mahnen und meckern
kann er schlicht nicht tun. Er hat keine politische Macht.
Hans Hubert: Ich sehe die Diskussion um den Bundestrojaner
oder auch die Speicherung von Fingerabdrücken als Ablenkungsmanöver.
Andere Themen (Vorratsdatenspeicherung, Speichern von Passbildern
…) geraten dabei in den Hintergrund des öffentlichen Interesses
und können leichter durchgesetzt werden. Teilen Sie meine Meinung?
Frank Rieger: Wir sehen das eher als Gesamtpaket,
so wie es auch gemeint ist. Die öffentliche Meinung scheint
ja gerade zu kippen, wenn man sich so die Mainstream-Presse ansieht.
Constanze Kurz: Auch die anderen Probleme mit
den biometrischen Daten und der Vorratsdatenspeicherung beschäftigen
uns. Natürlich. Der Bundestrojaner ist aber besonders widerwärtig
als Überwachungsmaßnahme, da er heimlich ist und außerdem
die intimsten Daten der Benutzer preisgibt.
siemensi: Wie sieht es beim E-Personalausweis
beziehungsweise E-Pass aus. Gibt es eine Chance, dass die Funkchips
da drin sicher sind?
Frank Rieger: Die Schnüffelchips da drin
sind auch nur Computer wie alle anderen. Das heißt, sie werden
Fehler haben und zu Problemen führen. Wie auch gestern in der
Bundestagsanhörung zu hören war.
Adam: Wäre man vor dem Trojaner sicher, wenn
man über einen ausländischen Provider ins Internet käme?
Wie sollen denn die „deutschen" Benutzer gefunden werden?
Constanze Kurz: Das würde nicht helfen, nein.
Michael44: Funkchips dienen genauso wie Paybackkarten
et cetera dazu, Verbraucher und Nutzer auszuspionieren.
Moderatorin: Gretchenfrage: Haben Chaos Computer
Club-Mitglieder Kundenkarten?
Frank Rieger: Zu experimentellen Zwecken schon
*hust*
Constanze Kurz: Wir stehen RFID [Radio Frequency
Identification, eine Radiowellentechnologie zur automatischen Identifizierung
und Lokalisierung, Anm. d. Red.] prinzipiell kritisch gegenüber.
Moderatorin: Warum?
Frank Rieger: In der Regel erfüllt RFID keinen
sinnvollen Zweck, außer Probleme, die schon einmal gelöst
wurden, noch mal mit Datenerhebung zu lösen.
Constanze Kurz: Die Chips sind klein und für
den Träger oft kaum sichtbar. Dass man damit detektiert werden
kann, wissen die meisten Menschen nicht. Daher haben sie ein hohes
Überwachungspotential.
Spectator: Hilft es, den Pass in Aluminiumfolie
einzuwickeln, solange man ihn nicht vorzeigen muss?
Frank Rieger: Vermutlich ja, aber es löst
nicht das eigentliche Problem. Die biometrische Vollerfassung wird
dadurch nicht verhindert.
Moderatorin: Das waren 60 Minuten tagesschau-Chat
bei tagesschau.de und politik-digital.de. Vielen Dank Constanze
Kurz und Frank Rieger, dass Sie sich Zeit genommen haben. Das Protokoll
des Chats ist wie immer in Kürze zum Nachlesen auf den Seiten
von tagesschau.de und politik-digital.de zu finden. Das Tagesschau-Chat-Team
dankt allen Teilnehmern für Ihr Interesse und die zahlreichen
Fragen und wünscht noch einen angenehmen Tag.
Constanze Kurz: Auf Wiedersehen.
Frank Rieger: Auf Wiedersehen.