Staatstrojaner

60 Prozent von 0zapftis sind entschlüsselt

In einem knapp einstündigen Video erklärt der CCC, wie er dem 0zapftis genannten Staatstrojaner auf die Spur kam - und dass dieser viel mehr kann, als er dürfte. Der Club nennt einige neue technische Details und rechnet auch mit Politikern ab.

Auf der Konferenz Datenspuren 2011 des CCC Dresden haben Frank Rieger und Constanze Kurz ausführlich erklärt, wie der erste öffentlich bekanntgewordene Staatstrojaner gefunden werden konnte. Kurz sagte, bei der ersten Untersuchung habe man sich gewundert, dass die Ermittler "so dämlich" gewesen seien, die Programme nicht irreversibel zu löschen.

Daher, so Rieger, sei es ein Leichtes gewesen, die Daten mittels Autopsy wiederherzustellen. Bei dieser Anwendung handelt es sich um eine grafische Benutzeroberfläche für das Sleuth Kit, ein Standardwerkzeug für die forensische Analyse von Datenträgern. Dabei wird aus Gründen der Beweissicherung nie mit den originalen Datenträgern, sondern nur mit Images davon gearbeitet.

Die Festplatte, um die es ging, das bestätigte Rieger klar, war dem Club in Verbindung mit einem vor dem Landgericht Landshut verhandelten Verfahren zur Verfügung gestellt worden. Dieses damals als Bayerntrojaner bekanntgewordene Schnüffelprogramm ist auch der Schädling, der nun als 0zapftis vom CCC untersucht wurde. Außer diesem Trojaner besitzt der CCC nach der Darstellung auf seiner Webseite noch weitere Varianten.

Laut Frank Rieger hat der Schädling weiter über die Überwachung von Telekommunikation hinausgehende Funktionen. Einige dieser Teile, wie den zum Anzapfen von Skype-Telefonaten, hat der CCC mangels Interesse gar nicht untersucht. Bisher, so Rieger, seien "60 bis 70 Prozent" des Trojaners entschlüsselt. Das Programm ist in C++ geschrieben und lässt sich nur durch Reverse Engineering verstehen. Weitere Ergebnisse und kommentierten Code will der CCC bald veröffentlichen, dazu gibt es eine Staatstrojaner-Webseite.

Screenshots, Raumüberwachung und Platzieren von Dateien

Sämtliche umstrittenen Funktionen wie das Einschalten eines PC-Mikrofons und das Erstellen von Screenshots soll 0zapftis beherrschen. Sie sind Rieger zufolge teilweise nur durch "Sicherungen" abgeschaltet, die sich aber aus der Ferne auch auslösen lassen. Diese Fernsteuerung kritisierte Rieger deutlich: Sie ist nämlich in keiner Weise verschlüsselt, wer die IP-Adresse des Steuerrechners kennt, kann die Kontrolle über den infizierten Rechner übernehmen.

Auch das Ablegen von Dateien auf dem ausgespähten PC ist dem Vortrag zufolge problemlos möglich, der Trojaner beherrscht das. Fatal: Dass solche Dateien mit möglicherweise illegalem Inhalt nicht vom Anwender selbst erstellt wurden, lässt sich später nicht mehr nachweisen. Unter anderem deswegen hält Rieger den Einsatz eines solchen Trojaners zum Zweck der Beweissicherung für völlig ungeeignet.

Constanze Kurz analysierte in ihrem Teil des Vortrags vor allem die Reaktionen der Politik. Sie gipfelte in dem Satz über Bundesinnenminister Hans-Peter Friedrich (CSU):"Ich finde, aus meiner Sicht muss er weg!" Auch dem bayerischen Innenminister Joachim Herrmann, ebenfalls CSU, legte sie den Rücktritt nahe. Beide Minister hatten nach dem Fund des Staatstrojaners die Notwendigkeit von staatlicher Schnüffelsoftware bekräftigt und haben auch bisher nicht eingeräumt, dass in der Art der Anwendung solcher Programme Rechtsvorschriften gebrochen wurden.