Bundestrojaner, die Zweite.
Was da gerade auf twitter abgeht, ist ja hochgradig spannend. Nachdem seitens des Regierungssprechers und seitens des BKA das Dementi kam, dass es sich bei der vom CCC analysierten Software um den Bundestrojaner handelt, kochte die Gerüchteküche hoch, wie selten. Dazu fällt mir eigentlich nur eines ein:
Qui s’excuse, s’accuse. (Stendhal)
Warum? Weil es im Prinzip völlig wurscht ist, ob das Ding nun vom Bund oder von den Ländern unters Volk geschmissen wurde. Dass es sich um eine nichtstaatliche Software handelt, bin ich nicht bereit zu glauben, denn die Kriminellen™ haben in der Regel andere Software mit anderen Funktionen die anderen Zielen dient, am laufen. Wie ein klassischer Verbrecher-Trojaner funktioniert, kann man sich in den Blogs und anderen Publikationen quasi jedes Antivirensoftwareherstellers ansehen. Sie sind ungleich besser gestrickt und dienen in der Regel anderen Zielstellungen. Dort geht es um das möglichst automatisierte Ausspähen von Passwörtern, Log-Ins, TANs, anderen Onlinebankingdaten oder um die Errichtung eines Botnetzes. Was hätten Kriminelle denn davon, eine Platte mit Screenshots vollaufen zu lassen. Oder mit Captures von Webcams oder Toninformationen, die aus dem Stream eines Webcammikrofons generiert werden? Richtig: Nüscht. Weil daraus lässt sich in den seltensten Fällen Geld generieren. Und dann noch was: Die vom CCC analysierte Schadsoftware war nur selten in freier Wildbahn anzutreffen – ein Kriminellentrojaner funktioniert nur in der Masse, denn erstens steht zu erwarten, dass ein Gutteil von Avira, Kaspersky und Co. einfach gelöscht wird und wenn nicht, dann ist auch nicht jeder verbleibende Schuss ein Treffer, denn nichtjeder nutzt eBanking oder andere für Kriminelle interessante Programme bzw. Dienste.
Also: Allein der Funktionsumfang spricht für eine Software zum Zwecke der Umsetzung der sog. „Quellen-TKÜ“, das dürfte auch Nicht-ITlern, die die Analyse des CCC mal grob überlesen haben, aufgehen.
Ich möchte noch etwas anderes erwähnen: Gestern wurde ja bereits festgestellt, dass sie das DLL auf dem Windowsrechner ziemlich regelwidrig verhält. Wäre der Schadcode von Kriminellen abgefasst worden, hätten diese genau das zu vermeiden gesucht, allein schon, um auszuschließen, dass die DLL im heuristischen Läusekamm der lokal installierten Antivirensoftware hängenbleibt. Soviel, liebes BKA, lieber Regierungssprecher, verstehe sogar ich, der ich nun bei Leibe kein ITler bin – ich habe mir ursprünglich mal Sozialpädagogik draufgeschafft.
Zur Entkräftung der dem Dementi inhärenten Argumente bedarf es keiner IT-Profession sondern nur einfachster Logik. Dumm, wenn sowas auffliegt.
Und ich wiederhole an dieser Stelle nochmal: Selbst wenn es sich nicht um den Bundestrojaner sondern einen Landestrojaner handelt, macht das die Sache nicht besser. Jetzt darauf zu spekulieren, die Schuld einem Zwillingsbruder in die Schuhe zu schieben oder einfach zu warten, ob der Urheber der Sauerei erwischt wird und dann zu sagen: „Wir wissen, dass da was schiefgelaufen ist, wir wissen aber nicht, wer es war“ – das ist die unterste Schublade.
Warum wird so gehandelt? Warum wird geleugnet? Es ist ein simples Spiel: Man disketiert den CCC, aber eben nur ein bisschen. Denn der Code ist da, die Aussagen im Kompendium beweisbar. Allerdings weiß der Staat wohl nicht, wer die Informanten des CCC sind. Würde der CCC sich hierüber äußern, wäre das Dementi-Spiel geplatzt, der CCC hätte aber seine Quellen offengelgt. Jeder kann sich ausrechnen, dass der CCC das nicht tun wird. In der öffentlichen Kommunikation ist also eine Art Patt entstanden: Politiker und Beamte sagen (in übertragenem Sinne) „Wir waren es nicht“, der CCC sagt: „Doch, ihr seid ertappt, aber zum Schutz der Quellen müssen wir die Beweise erst mal schuldig bleiben“. Wenn hier nun jemand eher den Beamten und Politikern glaubt als dem CCC, dann ist das nicht mehr mit Naivität zu erklären – sondern nur noch mit Dummheit oder bösem Willen.
Wir mussten indes auch nicht lange warten, bis ein Dummer aufsteht und dem CCC die Quelle zu entlocken. Der Dumme, von dem ich spreche, ist kein geringerer als Bosbach (Quelle: SZ). Nun, es ist schon bezeichnend, dass Herr Bosbach meint, er könne durch Spucken großer Töne den CCC aufs Glatteis führen. Wer seinem Widersacher so wenig Intelligenz zutraut, der darf mit Fug und Recht als Dumm bezeichnet werden.
Der Bosbachsche Trick ist dabei einfach zu billig: Er will einfach die Beweislast umkehren. Er sagt: Wir waren es nicht – der CCC soll doch erst mal beweisen, dass wir es waren. Das ist natürlich völliger Schwachsinn. Der Bürger misstraut ob des Rechtsbruchs mit der Spionagesoftware dem Staat. Daher muss der Staat und dessen Politiker, darunter auch Bosbach, beweisen, dass sie es NICHT waren. Nach dieser SZ-Meldung drängen sich mir ernsthafte Zweifel an der Intelligenz des Mannes auf…
Nun aber nochmal zu etwas ganz anderem: Viele werden sich fragen, wie man erkennen kann, ob der eigene Computer nun mit der Staatsspionagesoftware verseucht ist oder nicht. Das ist sehr sehr einfach, man braucht noch nichtmal einen Virenscanner dafür sondern nur die Windows-Suche (sic!).
Wie dem Kompendium zum Staatstrojaner zu entnehmen ist, liegen auf dem infizierten Rechner zwei Dateien: mfc42ul.dll und winsys32.sys.
Und nun aktiviert man einfach die Windows-Suche und gibt jeweils mfc42ul.dll und winsys32.sys ein. Wird was gefunden? Festplatte sicherst löschen (mehrfaches Überschreiben mit Nullen) und System neu aufsetzen. Wird nichts gefunden, ist mit größter Wahrscheinlichkeit nichts da. Auch den im Kompendium genannten Pfad (vgl. Seite 3) kann man händisch sichten – mehr braucht es aber nicht.
Ich war selbst zutiefst verunsichert, ob es wirklich so einfach sei. Und ich erfuhr aus mehreren berufenen Mündern, dass das Ding so schlecht gemacht ist, dass es in der Tat so einfach ist.
Ich bin gespannt, was sich dieser Tage noch entwickelt, klar ist aber schon jetzt: Der Staatstrojaner stellt einenklaren Rechtsbruch dar. Weder Politiker noch Beamte sind in der Lage, zu beweisen, dass die Schadsoftware nicht von Bund oder Ländern stammt. Das Ding ist leicht zu finden und schnell loszuwerden.
Update: Folgende Virenscaner erkennen den Staatstrojaner: http://mcblogs.craalse.de/sku/48h-spater-der-bundestrojaner-bei