Manfred Kloiber: Bundesinnenminister Wolfgang Schäuble hat ehrgeizige Pläne, denn er will eine elektronische Sicherheitsarchitektur errichten. Und dazu gehört ein bundesweiter Datenverbund mit Fingerabdruckdaten und auch die Online-Durchsuchung. Noch in diesem Frühjahr soll alles auf den Gesetzesweg gebracht werden, doch die Kritik ist schon laut geworden. Einer der zentralen Punkte dabei ist die Online-Durchsuchung mit dem "Bundestrojaner". Die Antiviren-Hersteller haben dem Innenminister hier eine ziemlich deutliche Absage erteilt. Der setzt deshalb auf neuartige Spionageschnittstellen. Wie sollen die aussehen, Peter Welchering?
Peter Welchering: Nach den hier vorliegenden Informationen sind auf der so genannten Arbeitsebene der Sicherheitsbehörden zwei Szenarien für Online-Durchsuchungen diskutiert worden. Beim ersten Szenario geht es darum, die Internet-Provider dazu zu verpflichten, spezielle Proxy-Server aufzustellen, auf denen häufig aufgerufenen Web-Seiten, die von bestimmten Internet-Nutzern immer wieder aufgesucht werden, gespeichert sind. Wird nun von einer verdächtigen IP-Adresse eine solche Seite aufgerufen, wird der PC-Benutzer, der die Seite haben will, zu diesem Proxy-Server umgeleitet, dort wird seinem Rechner mit dem nächsten Download ein Trojanisches Pferd verpasst, das sämtliche Schutzvorrichtungen wie Firewalls oder Virenscanner auf dem Ziel-PC abschaltet. Die Vorgehensweise ist nicht neu. Russische und südamerikanische Internet-Kriminelle arbeiten seit ungefähr neun Monaten mit dieser Methode der gezielten Einschleusung, mit der Personal Computer gekidnappt werden, einfach indem ihre Schutzsoftware abgeschaltet wird. Der russische Virenspezialist Eugene Kaspersky bewertet das so.
"Unglücklicherweise lassen sich diese Sicherheitsvorkehrungen abschalten und unglücklicherweise lassen sich die Sicherheitsvorkehrungen ohne Wissen des Anwenders abschalten."
Welchering: Das ist auch das Tückische bei der hier diskutierten Schnittstelle für die Zwangsproxies: Der PC-Anwender merkt gar nicht, dass seine Sicherheits-Software nicht mehr läuft und Stück für Stück durch Schadsoftware ersetzt wird. Binnen weniger Stunden ist der PC dann vollkommen unter fremder Kontrolle, alle Dateien können ausgelesen, verändert, manipuliert werden.
Kloiber: Wenn Schutzsoftware wie Virenscanner oder Firewalls auf einem PC ausgeschaltet sind, können aber nicht nur Sicherheitsbehörden, sondern beliebige Internet-Kriminelle darauf zugreifen. Können die Sicherheitsbehörden das noch kontrollieren?
Welchering: Nein, dieser Rechner ist dann völlig außer jeder Kontrolle. Deshalb, und weil das böse Wort Bundestrojaner möglichst vermieden werden soll, wird auch über ein zweites Szenario in Sicherheitskreisen nachgedacht. Bei diesem Szenario wird kein Trojanisches Pferd vom Server des Internet-Providers auf den PC des verdächtigten Internet-Nutzers geschickt, sondern eine Verbindung mit dem File Transfer Protocol aufgebaut. Die Methode ist in Prag entwickelt worden und greift auf zwei Dateien des Actice-X-Control-Pakets zurück, die einen FTP-Transfer ohne Nachfrage beim PC-Besitzer erlauben. Der PC-Benutzer merkt nichts davon. Der Vorteil dabei für die Sicherheitsbehörden: sie können für die Beweissicherung alle Dateien vom PC des Verdächtigen herunterladen, die übrige Schutzsoftware arbeitet aber weiter und schließt Virenangriffe Dritter aus.
Kloiber: Wenn aber die Sicherheitslöcher in den von Ihnen erwähnten Active-X-Dateien gestopft werden, funktioniert doch diese Methode auch nicht?
Welchering: Das ist der klare Nachteil dieser Methode. Sie setzt eine, wie es im Sicherheitsbehördendeutsch so schön heißt: "Standardschnittstelle zur forensischen Beweissicherung", die von sämtlicher Sicherheitssoftware beachtet werden muss. Antivirenexperte Kaspersky glaubt nicht, dass sich ein solcher behördlicher Sicherheitsstandard durchsetzen lässt:
"Ich denke, es wird nicht möglich sein, einen solchen Sicherheitsstandard einzuführen. Das gilt nicht nur für die Computersicherheit. Wenn wir es mit einer gefährlichen Umgebung zu tun haben, nehmen wir einmal die Bösewichte, die auf der Straße sind, und es gibt einen Standard, zum Beispiel für Kraftfahrzeug-Alarmanlagen und deren Abschaltung, was tun diese Bösewichte dann? Ganz einfach, sie knacken Autos, und zwar reihenweise, denn sie müssen ja nur die Standards für die Abschaltung der Alarmanlagen beachten. In allen Sicherheitsfragen, nicht nur in Fragen der Computersicherheit, dürfen wir einfach solche Standards nicht einführen."
Welchering: Deshalb experimentieren Online-Dursuchungsexperten im Bundeskriminalamt ja auch gerade mit dem Field Intelligence Modul von Guidance Software, das einen solchen Sicherheitsstandard nicht voraussetzt, sondern Überwachungssoftware einschleust, indem Sicherheitslücken der Betriebssysteme ausgenutzt werden. Deshalb werden sämtliche Betriebsysteme kontinuierlich analysiert. Für das Einschleusen werden nur solche Sicherheitslöcher benutzt, die noch nicht bekannt sind. Allerdings fehlt auch für dieses dritte, sich neu ergebende Szenario die gesetzliche Grundlage hierzulande. Das wird im Bundesinnenministerium in gewisser Weise noch als Nachteil empfunden.
Peter Welchering: Nach den hier vorliegenden Informationen sind auf der so genannten Arbeitsebene der Sicherheitsbehörden zwei Szenarien für Online-Durchsuchungen diskutiert worden. Beim ersten Szenario geht es darum, die Internet-Provider dazu zu verpflichten, spezielle Proxy-Server aufzustellen, auf denen häufig aufgerufenen Web-Seiten, die von bestimmten Internet-Nutzern immer wieder aufgesucht werden, gespeichert sind. Wird nun von einer verdächtigen IP-Adresse eine solche Seite aufgerufen, wird der PC-Benutzer, der die Seite haben will, zu diesem Proxy-Server umgeleitet, dort wird seinem Rechner mit dem nächsten Download ein Trojanisches Pferd verpasst, das sämtliche Schutzvorrichtungen wie Firewalls oder Virenscanner auf dem Ziel-PC abschaltet. Die Vorgehensweise ist nicht neu. Russische und südamerikanische Internet-Kriminelle arbeiten seit ungefähr neun Monaten mit dieser Methode der gezielten Einschleusung, mit der Personal Computer gekidnappt werden, einfach indem ihre Schutzsoftware abgeschaltet wird. Der russische Virenspezialist Eugene Kaspersky bewertet das so.
"Unglücklicherweise lassen sich diese Sicherheitsvorkehrungen abschalten und unglücklicherweise lassen sich die Sicherheitsvorkehrungen ohne Wissen des Anwenders abschalten."
Welchering: Das ist auch das Tückische bei der hier diskutierten Schnittstelle für die Zwangsproxies: Der PC-Anwender merkt gar nicht, dass seine Sicherheits-Software nicht mehr läuft und Stück für Stück durch Schadsoftware ersetzt wird. Binnen weniger Stunden ist der PC dann vollkommen unter fremder Kontrolle, alle Dateien können ausgelesen, verändert, manipuliert werden.
Kloiber: Wenn Schutzsoftware wie Virenscanner oder Firewalls auf einem PC ausgeschaltet sind, können aber nicht nur Sicherheitsbehörden, sondern beliebige Internet-Kriminelle darauf zugreifen. Können die Sicherheitsbehörden das noch kontrollieren?
Welchering: Nein, dieser Rechner ist dann völlig außer jeder Kontrolle. Deshalb, und weil das böse Wort Bundestrojaner möglichst vermieden werden soll, wird auch über ein zweites Szenario in Sicherheitskreisen nachgedacht. Bei diesem Szenario wird kein Trojanisches Pferd vom Server des Internet-Providers auf den PC des verdächtigten Internet-Nutzers geschickt, sondern eine Verbindung mit dem File Transfer Protocol aufgebaut. Die Methode ist in Prag entwickelt worden und greift auf zwei Dateien des Actice-X-Control-Pakets zurück, die einen FTP-Transfer ohne Nachfrage beim PC-Besitzer erlauben. Der PC-Benutzer merkt nichts davon. Der Vorteil dabei für die Sicherheitsbehörden: sie können für die Beweissicherung alle Dateien vom PC des Verdächtigen herunterladen, die übrige Schutzsoftware arbeitet aber weiter und schließt Virenangriffe Dritter aus.
Kloiber: Wenn aber die Sicherheitslöcher in den von Ihnen erwähnten Active-X-Dateien gestopft werden, funktioniert doch diese Methode auch nicht?
Welchering: Das ist der klare Nachteil dieser Methode. Sie setzt eine, wie es im Sicherheitsbehördendeutsch so schön heißt: "Standardschnittstelle zur forensischen Beweissicherung", die von sämtlicher Sicherheitssoftware beachtet werden muss. Antivirenexperte Kaspersky glaubt nicht, dass sich ein solcher behördlicher Sicherheitsstandard durchsetzen lässt:
"Ich denke, es wird nicht möglich sein, einen solchen Sicherheitsstandard einzuführen. Das gilt nicht nur für die Computersicherheit. Wenn wir es mit einer gefährlichen Umgebung zu tun haben, nehmen wir einmal die Bösewichte, die auf der Straße sind, und es gibt einen Standard, zum Beispiel für Kraftfahrzeug-Alarmanlagen und deren Abschaltung, was tun diese Bösewichte dann? Ganz einfach, sie knacken Autos, und zwar reihenweise, denn sie müssen ja nur die Standards für die Abschaltung der Alarmanlagen beachten. In allen Sicherheitsfragen, nicht nur in Fragen der Computersicherheit, dürfen wir einfach solche Standards nicht einführen."
Welchering: Deshalb experimentieren Online-Dursuchungsexperten im Bundeskriminalamt ja auch gerade mit dem Field Intelligence Modul von Guidance Software, das einen solchen Sicherheitsstandard nicht voraussetzt, sondern Überwachungssoftware einschleust, indem Sicherheitslücken der Betriebssysteme ausgenutzt werden. Deshalb werden sämtliche Betriebsysteme kontinuierlich analysiert. Für das Einschleusen werden nur solche Sicherheitslöcher benutzt, die noch nicht bekannt sind. Allerdings fehlt auch für dieses dritte, sich neu ergebende Szenario die gesetzliche Grundlage hierzulande. Das wird im Bundesinnenministerium in gewisser Weise noch als Nachteil empfunden.