Open Source im professionellen Einsatz

Zehn Einfallstore für einen Linux-Bundestrojaner und zehn Abwehrstrategien

Einbruch für den Bund

Nils Magnus

Wie ginge ein Sicherheitsexperte vor, wenn ihn das Bundeskriminalamt darum bitten würde, einen Linux-fähigen Bundestrojaner zu projektieren? Wer meint, das Unterfangen wäre schwer und Linux per se sicher, möge die folgenden zehn Punkte studieren. Wer etwas gegen Schäuble- und Malware tun will, auch.

"Die Bedrohung heiligt die Mittel", so lautet offenbar die aktuelle Arbeitshypothese im Bundesinnenministerium und im Bundeskriminalamt. Deren Ankündigung, Online-Durchsuchungen zu legalisieren [1], sorgt für Aufregung auch außerhalb von IT-Kreisen (siehe Kasten "Der Bundestrojaner"). Nicht nur Datenschützer meinen, Minister Schäuble (Abbildung 1) nutze und schüre sogar die Angst der Bevölkerung vor Terror und organisierter Kriminalität, um Bürgerrechte und Privatsphäre zugunsten der inneren Sicherheit zu opfern.

Der Bundestrojaner
Das Innenministerium unter Minister Wolfgang Schäuble plant gegenwärtig das "Gesetz zur Abwehr von Gefahren des Internationalen Terrorismus durch das Bundeskriminalamt" [1]. Es soll dem BKA eine gesetzliche Grundlage verschaffen, um unerkannt Inhalte von "informationstechnischen Systemen" zu durchsuchen. Während eine herkömmliche Wohnungs- und Hausdurchsuchung eine einmalige Aktion ist, bei der zudem der Beschuldigte oder sein Vertreter anwesend sind, soll die Online-Durchsuchung im Verborgenen stattfinden und über einen längeren Zeitraum dauern. Damit trägt die sie Züge einer Abhöraktion. Das Innenministerium selbst grenzt die Online-Durchsuchung deutlich von einer Telekommunikationsüberwachung ab, für die bereits eine gesetzliche Verordnung (TKÜV) besteht. Auf Nachfrage des Justizministeriums gibt es an, dass die neuen Pläne auf Systeme zielen, die "sich nicht im direkten physikalischen Zugriff der Sicherheitsbehörden befinden, aber über Kommunikationsnetze erreichbar sind" [3]. Fernforensik im Dienste des BKA Um das zu erreichen, will das BKA eine so genannte Remote Forensic Software (RFS) auf jedem überwachten System installieren. Diese sucht nach Dateien, Passwörtern oder Systeminformationen, lagert sie zwischen und verschickt sie verschlüsselt an die Ermittlungsbehörden, sobald eine Internetverbindung besteht. Damit auch sporadisch bestehende Netzanbindungen mit geringer Bandbreite genügen, sollen die Suchkriterien eng gefasst sein. Da zur Wohnraumüberwachung bereits eine gesetzliche Grundlage besteht, darf die RFS keine Peripheriegeräte (Mikrofone, Webcams) nutzen. Gegner der Online-Durchsuchung bezweifeln die Abgrenzung von der akustischen Wohnraumüberwachung und haben daher Verfassungsbeschwerde beim Bundesverfassungsgericht eingelegt. Diese wendet sich allerdings nicht gegen das Gesetzesvorhaben aus Berlin, sondern gegen ein ähnliches Landesgesetz in Nordrhein-Westfalen. Den Urteilsspruch des Anfang Oktober beginnenden Verfahrens wollen die politischen Entscheidungsträger offenbar noch abwarten, bevor sie das BKA-Gesetz ins Parlament einbringen.

Der Bundestrojaner

Das Innenministerium unter Minister Wolfgang Schäuble plant gegenwärtig das "Gesetz zur Abwehr von Gefahren des Internationalen Terrorismus durch das Bundeskriminalamt" [1]. Es soll dem BKA eine gesetzliche Grundlage verschaffen, um unerkannt Inhalte von "informationstechnischen Systemen" zu durchsuchen. Während eine herkömmliche Wohnungs- und Hausdurchsuchung eine einmalige Aktion ist, bei der zudem der Beschuldigte oder sein Vertreter anwesend sind, soll die Online-Durchsuchung im Verborgenen stattfinden und über einen längeren Zeitraum dauern. Damit trägt die sie Züge einer Abhöraktion.

Das Innenministerium selbst grenzt die Online-Durchsuchung deutlich von einer Telekommunikationsüberwachung ab, für die bereits eine gesetzliche Verordnung (TKÜV) besteht. Auf Nachfrage des Justizministeriums gibt es an, dass die neuen Pläne auf Systeme zielen, die "sich nicht im direkten physikalischen Zugriff der Sicherheitsbehörden befinden, aber über Kommunikationsnetze erreichbar sind" [3].

Fernforensik im Dienste des BKA

Um das zu erreichen, will das BKA eine so genannte Remote Forensic Software (RFS) auf jedem überwachten System installieren. Diese sucht nach Dateien, Passwörtern oder Systeminformationen, lagert sie zwischen und verschickt sie verschlüsselt an die Ermittlungsbehörden, sobald eine Internetverbindung besteht. Damit auch sporadisch bestehende Netzanbindungen mit geringer Bandbreite genügen, sollen die Suchkriterien eng gefasst sein. Da zur Wohnraumüberwachung bereits eine gesetzliche Grundlage besteht, darf die RFS keine Peripheriegeräte (Mikrofone, Webcams) nutzen.

Gegner der Online-Durchsuchung bezweifeln die Abgrenzung von der akustischen Wohnraumüberwachung und haben daher Verfassungsbeschwerde beim Bundesverfassungsgericht eingelegt. Diese wendet sich allerdings nicht gegen das Gesetzesvorhaben aus Berlin, sondern gegen ein ähnliches Landesgesetz in Nordrhein-Westfalen. Den Urteilsspruch des Anfang Oktober beginnenden Verfahrens wollen die politischen Entscheidungsträger offenbar noch abwarten, bevor sie das BKA-Gesetz ins Parlament einbringen.

Abbildung 1: Bundesinnenminister Schäuble will dem BKA erlauben in verdächtige Computer einzudringen und sie aus der Ferne zu untersuchen.

Fachleute irritiert zudem die Tatsache, dass die Behörden technische Details zu einer Computer-Razzia nicht oder wenn, dann mit Widersprüchen spezifizieren [2]. Das bildet einen idealen Humus für Spekulationen. Eine davon - gern von Linux-Anwendern vorgebracht - ist, dass ein Bundestrojaner auf ihrem Betriebssystem nicht funktionieren könne.

Der Auftrag

Was käme wohl heraus, wenn BKA und Innenministerium einen Linux-Sicherheitsexperten anheuerten, ein Dossier über die Machbarkeit eines Linux- und Open-Source-Software-fähigen Bundestrojaners niederzuschreiben? Mit einiger Wahrscheinlichkeit ungefähr das folgende Zehn-Punkte-Programm.

Das Gedankenspiel beginnt bei den Angriffstechniken, die ein BKA-Entwickler vermutlich aus der Windows-Welt bestens kennt. Doch es geht kreativer: Würmer, Backdoors, E-Mails, Sourcecode fälschen und so ziemlich jede vorhandene PC-Komponente angreifen.

Und was kann ein Benutzer dagegen tun? In einem der zehn Fälle nichts. Für die anderen weiß es dieser Artikel.

Angriff 1: Viren und Würmer

Ein Virus nach klassischer Bauart (Abbildung 2) befällt vorhandene Files, modifiziert sie und breitet sich via Filesystem weiter aus. Eine ähnliche Form von Malware heißt Wurm, wenn sie selbstständig läuft (ohne Wirtsprogramm) und sich über Netzwerkfunktionen verbreitet. Beiden gemein sind zwei grundsätzliche Komponenten: Replikation und Schadfunktion. Mit der ersten infizieren sie weitere Ziele, die zweite löscht etwa die Festplatte, Passwörter und Liebesbriefe oder spioniert den Plan für den nächsten Selbstmordanschlag aus.

Abbildung 2: Ganz wie dieser biologische Virus infizieren auch Computerviren einen Träger, mit dessen Hilfe sie sich verbreiten und Schaden anrichten.

Für Linux sind zwar etliche Würmer bekannt, aber kaum klassische Viren. Gegen Linux-Viren spricht, dass es einem nicht-privilegierten Prozess kaum möglich ist, fremde Programme und Systemdateien zu überschreiben. Linux-Software ist in aller Regel legal und frei verfügbar, daher ist auch das Windows-Phänomen der virenverseuchten Raubkopien hier unbekannt. Bleiben Makroviren. Die könnte es sehr wohl unter Linux geben, in freier Wildbahn wurden bislang aber kaum welche gesichtet.