Seit Jahren regt sich vor allem in Deutschland beachtlicher Widerstand gegen den sogenannten Bundestrojaner. Behörden der Strafverfolgung wollen ein Trojanisches Pferd einsetzen, um Computersysteme von potentiellen Tätern überwachen zu können. Damit sollen die Möglichkeiten der Quellen-TKÜ (Quellen-Telekommunikationsüberwachung) an die Gegebenheiten des Informationszeitalters angepasst werden. Argumentiert wird in erster Linie damit, dass Dezentralisierung und Verschlüsselungsmechanismen klassische Überwachungsmassnahmen verhindern.

Am 08. Oktober 2011 veröffentlichte der Chaos Computer Club Details zu einem solchen Staatstrojaner. Dieser wurde dem CCC durch einen Anwalt zugespielt, dessen Mandant einer voraussichtlich unlauteren Observation zum Opfer gefallen ist. Eine technische und konzeptionelle Analyse dieser Hintertür hat die im Raum stehende technische und juristische Kritik in praktisch allen Punkten bestätigt.

Grundsätzlich sehen wir drei Gründe, warum ein Einsatz eines Trojanischen Pferds im Rahmen einer Strafverfolgung problematisch ist:

• Tangieren der Privatsphäre: Es findet ein bisweilen unkontrollierbarer Eingriff in die Privatsphäre eines potentiellen Täters statt. Nach wie vor ist auf juristischer Ebene nicht klar geregelt, wie und in welchem Umfang eine solche Software Daten erheben darf und inwiefern etwaige Einschränkungen auf technischer Ebene durchgesetzt werden können.

• Kompromittieren der Integrität: Die Invasivität des Eingriffs, eine einmalige Besonderheit dieser Art der Überwachung, führt zu Veränderungen am Zielsystem, wodurch dessen Integrität kompromittiert und damit die forensische Auswertung in Frage gestellt wird.

• Erhöhen der Angriffsfläche: Das Einspielen zusätzlicher Software auf einem System führt immer eine Erweiterung der Angriffsfläche ein, wodurch eben dieses attackiert und längerfristig kompromittiert werden kann. Die fehlende oder fehlerhafte Qualität des Trojanischen Pferds kann zu einem kompletten Verlust der Sicherheit des Systems führen.

Dessen Problemen sind wir uns bei der Durchführung von Backdoor-Tests sehr wohl bewusst, wie wir beispielsweise im jüngsten Interview für 20 Minuten erklärt haben. Auf technischer und organisatorischer Ebene investieren wir sehr viel Aufwand, um diese Risiken zu minimieren. Dazu gehört zum Beispiel zu verhindern, dass unwillentlich private Daten gesammelt oder die Infektion einer Drittperson in Kauf genommen wird.

Dass diese Qualitätsanforderungen, die wir an uns selbst stellen, in einem Rechtsstaat ebenso für Strafverfolgungsbehörden zu gelten haben, das ist für uns eine Selbstverständlichkeit. Bevor grundlegende Dinge in dieser Angelegenheit nicht einwandfrei geklärt sind, raten wir von einem Einsatz eines solchen Bundestrojaners ab.

About the Author

Marc Ruef has been working in information security since the late 1990s. He is well-known for his many publications and books. The last one called The Art of Penetration Testing is discussing security testing in detail. He is a lecturer at several faculties, like ETH, HWZ, HSLU and IKF. (ORCID 0000-0002-1328-6357)

Links

• http://heise.de/-124581
• http://heise.de/-1359980
• http://www.20min.ch/digital/webpage/story/13720413
• http://www.ccc.de/de/updates/2011/staatstrojaner
• http://www.ccc.de/system/uploads/76/original/staatstrojaner-report23.pdf
• http://www.hrr-strafrecht.de/hrr/archiv/09-10/index.php?sz=8