VG-Wort Pixel

Der Staatstrojaner Harmlos oder Superschnüffler?


Die vom Chaos Computer Club untersuchte Schnüffel-Software sorgt für Misstrauen in der Bevölkerung. Doch was genau macht der Staatstrojaner? Und wie kann man sich dagegen schützen? stern.de stellt den Datendieb genauer vor.
Von Christoph Fröhlich

Was ist ein Staatstrojaner?

Hinter dem Begriff Staatstrojaner verbirgt sich ein digitales Spionage-Werkzeug, das unbemerkt die Computer von verdächtigen Bürgern überwachen soll. Erlaubt ist dabei nur die sogenannte Quellen-Telekommunikationsüberwachung, mit der Internettelefonie-Programme wie beispielsweise Skype ausspioniert werden. Umfangreichere Überwachungen hat das Bundesverfassungsgericht Anfang 2008 verboten, da sonst die Persönlichkeit des Bürgers verletzt werde.

Was kann das Spionage-Tool?

Nach Angaben des Chaos Computer Clubs (CCC) gibt sich der Datenschnüffler mit dem Aufzeichnen von Telefongesprächen nicht zufrieden. Neben der Skype-Überwachung kann das Tool demnach auch E-Mails und Chatprogramme lesen, den Browser überwachen und Screenshots anfertigen. Besonders heikel: Der Trojaner kann zusätzliche Module aus dem Internet laden, womit das Programm auch an den Computer angeschlossene Mikrofone oder Webcams aktivieren kann, um so das Zimmer auszuspionieren. Ebenso können alle Eingaben auf der Tastatur aufgezeichnet werden.

Birgt der Trojaner Gefahren?

Neben der Verletzung der Privatsphäre können die Nutzer der Spionagesoftware sowohl Dateien vom überwachten Rechner herunterladen als auch fremde Dateien auf die Festplatte schieben. Theoretisch könnten so belastende Beweise geschaffen werden, die vor Gericht verwendet werden können. Die Fälschungen sind nicht als solche erkennbar. Das macht die Software nicht nur moralisch heikel, sondern auch verfassungswidrig.

Können auch Fremde auf die Daten zugreifen?

Ja. Die Computerwanze ist nicht nur viel zu mächtig, sondern auch schlecht programmiert, lautet das Urteil der Experten. So werden die ausgespähten Daten nur unzureichend verschlüsselt, was Dritten einen Datendiebstahl ermöglicht. Auch der Trojaner wird nur mit ungeschützten Befehlen gesteuert, womit das Programm theoretisch von Fremden gekapert werden könnte. Außenstehende könnten so Daten manipulieren und Ergebnisse fälschen. Ein weiteres Problem: Um seinen Zielort zu verschleiern, leitet der Trojaner die Dateien zunächst über einen Server in den USA. Sollten die Dateien dort verloren gehen, bleibt es fraglich, ob ein deutscher Bürger sein Grundrecht auf wirksamen Rechtsbehelf ausüben kann.

Wie wurde die Software überhaupt gefunden?

Der CCC hat mehrere anonyme Festplatten zugeschickt bekommen, auf denen verdächtigen Dateien waren. Entdeckt wurde der Trojaner allerdings nur wegen seiner schlampigen Programmierung: Wird der Trojaner nicht mehr benötigt, kann er über eine Selbstzerstörungsfunktion aus der Ferne gelöscht werden. Doch statt unbemerkt vom Rechner zu verschwinden, wie es professionelle Programme vorziehen, verschieben sich die Dateien nur in den Windows-Papierkorb, wo sie von aufmerksamen Nutzern entdeckt wurden.

Wie kommt das Programm auf den Rechner?

Wie die Software genau auf dem Rechner kommt, ist unklar. Es gibt allerdings mehrere Möglichkeiten: Bei der ersten Variante benötigen die Behörden einen direkten Zugriff auf den Rechner, um das Programm zu installieren – dafür müssten sie allerdings den Rechner beschlagnahmen oder unbemerkt in die Wohnung gelangen. Eine andere Möglichkeit wäre die Verbreitung über infizierte E-Mail-Anhänge oder verseuchte Webseiten, wie sie auch andere Schadsoftware verwendet.

Wie merkt man, ob der Rechner infiziert ist?

Der Trojaner installiert zwei Komponenten auf dem Computer: eine spezielle Systemdatei, eine Windows-DLL, wird im Ordner c:\windows\system32\mfc42ul.dll abgelegt, außerdem wird ein Windows-Modul namens winsys32.sys installiert. Erfahrene Windows-Nutzer können zusätzlich in der Registrierungsdatenbank prüfen, ob der Eintrag SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs vorhanden ist – über diesen Eintrag wird der DLL-Code geladen und ausgeführt. Die Datei funktioniert nur auf einem 32-Bit-Windows, Nutzer von 64-Bit-Betriebssystemen sowie von Linux oder Macintosh-Rechnern sind nach derzeitigem Kenntnisstand auf der sicheren Seite.

Kann man sich schützen?

Sollte der Rechner vom Staatstrojaner befallen sein, gibt es Möglichkeiten, diesen zu blockieren. Die Experten vom CCC haben herausgefunden, dass der Trojaner mit einem eigenen Sprachprotokoll über den TCP-Port 443 kommuniziert. Mithilfe einer guten Firewall kann der Trojaner somit erkannt und blockiert werden. Antivirenprogramme bieten hingegen keinen ausreichenden Schutz.


Mehr zum Thema


Wissenscommunity


Newsticker