CCC deckt Sicherheitslücken im Bundestrojaner auf

PolitikRechtSicherheitSicherheitsmanagementÜberwachung

Der Chaos Computer Club hat die staatliche Spionagesoftware eingehend untersucht und gravierende Sicherheitsmängel entdeckt: unverschlüsselte Datenübertragung, fehlende Authentifizierung und Datenübertragung in die USA landeten auf der Mängelliste.

Der Bundestrojaner würde »elementarsten Sicherheitsanforderungen« nicht genügen, sagte ein CCC-Sprecher am Wochenende, als der Chaos Computer Club seine Erkenntnisse präsentiert. Ein beliebiger Angreifer könnte die Kontrolle über Rechner übernehmen, die von den deutschen Behörden infiltriert wurden.

Auf eine Verschlüsselung der Steuerkommandos wird beim Trojaner laut CCC komplett verzichtet, und auch eine Authentifizierung oder Integritätsprüfung findet nicht statt. Selbst mäßig begabte Angreifer könnten so den Behördentrojaner fernsteuern, lautet das vernichtende Urteil. Selbst ein Angriff auf die behördliche Infrastruktur sei denkbar.

Die von der Schnüffelsoftware erstellen Screenshots und Audiodateien werden zwar verschlüsselt übertragen, doch die Verschlüsselung sei mangelhaft, so der CCC. Zudem würden die Daten sowie die Kommandos über einen Server in den USA geleitet, um sie zu tarnen, und damit den Geltungsbereich deutschen Rechts verlassen. Das sei nicht nur ein unkalkulierbares Sicherheitsrisiko, sondern werfe auch die Frage auf, wie ein Bürger sein Grundrecht auf wirksamen Rechtsbehelf ausüben könne, sollten die Daten im Ausland verloren gehen.

Zudem bemängelt der CCC, die Software verletze die Vorgaben des Bundesverfassungsgerichts und könne nicht nur die elektronische Kommunikation überwachen, sondern beliebige andere Funktionen nachladen. Damit sei es möglich, Dateien zu durchsuchen oder zu manipulieren oder ferngesteuert auf Kamera und Mikrofon des Rechners zuzugreifen. »Damit ist die Behauptung widerlegt, dass in der Praxis eine effektive Trennung von ausschließlicher Telekommunikationsüberwachung und dem großen Schnüffelangriff per Trojaner möglich oder überhaupt erst gewünscht ist«, so ein CCC-Sprecher. Es sein nicht einmal versucht worden, sicherzustellen, dass die Erfassung von Daten strikt auf die Telekommunikation beschränkt bliebe.

Das Bundeskriminalamt habe den Trojaner nicht eingesetzt, hieß es laut Spiegel beim Bundesinnenministerium. »Was auch immer der CCC untersucht hat oder zugespielt bekommen haben mag, es handelt sich dabei nicht um einen sogenannten Bundestrojaner.« Der Hinweis, die Justiz- und Sicherheitsbehörden des Bundes und der Länder seien »jeweils eigenständig für die Einhaltung technischer und rechtlicher Vorgaben verantwortlich«, lässt dem Nachrichtenmagazin zufolge jedoch den Schluss zu, die Polizeibehörden der Bundesländer könnten das Spionageprogramm durchaus genutzt haben.

»Der Einsatz von Überwachungssoftware ist nur lückenhaft geregelt. Während für das Bundeskriminalamt zur Abwehr schwerster Verbrechen eindeutige gesetzliche Vorgaben bestehen, fehlen vergleichbar klare Auflagen für Polizei und Staatsanwaltschaft im Bereich der Strafverfolgung«, meinte denn auch der Bundesdatenschutzbeauftragte Peter Schaar in der Neuen Osnabrücker Zeitung. Der Staat dürfe nur Programme einsetzen, die technisch beherrschbar und damit frei von Missbrauchsrisiken seien, so seine Forderung. Es sei wichtig, die Überwachung der Kommunikation rechtlich und technisch strikt von der Online-Durchsuchung zu trennen.

(Quelle kleines Bild oben: kebox – Fotolia.com)