Bundestrojaner: Experten zweifeln erfolgreichen Einsatz an

Behörden müssten Sicherheitslücken veröffentlichen

Hartmut Pohl, Forscher zum Thema Informationssicherheit am Fachbereich Informatik der FH Bonn-Rhein-Sieg und Sprecher des Arbeitskreises "Datenschutz und IT-Sicherheit" der Gesellschaft für Informatik e.V. (GI), ortet in seiner Analyse eine weitere Problematik. In der Septemberausgabe der Fachzeitschrift "Datenschutz und Datensicherheit" weist er darauf hin, dass bei Onlinedurchsuchungen durch den BND vorwiegend unveröffentlichte Sicherheitslücken ausgenutzt werden. Seine Aussagen stützt er auf Daten, die über ein Dutzend solcher Durchsuchungsaktionen verfügbar sind.

Dabei kommen Programme zum Einsatz, die der Forscher "Less-Than-Zero-Day-Exploits" nennt. Diese werden von Entdeckern neuer Sicherheitslücken entwickelt und dann weiterverkauft. Wenn nun der Staat ebenfalls als Abnehmer dieser Exploits auftritt, werde diese Untergrundszene intensiv finanziell gefördert. Der Staat dürfe jedoch im Sinne der allgemeinen Sicherheit derartige Aktivitäten nicht unterstützen. Im Gegenteil müssten Behörden alle ihnen bekannt gewordenen Sicherheitslücken in IT-Systemen und damit auch die dafür entwickelten Less-Than-Zero-Day-Exploits unverzüglich veröffentlichen.

Pohl merkt zudem an, dass die Zahl der Experten, die fähig sind, Sicherheitslücken zu erkennen und Exploits zu entwickeln, in Deutschland sehr begrenzt sein dürfte. Also müsste zur Entwicklung von Bundestrojanern auf ausländische Hilfe zurückgegriffen werden. "Das Know-how in dieser Beziehung ist in China oder Russland sicher deutlich größer", meint auch Urbanski. Sowohl von Seiten der Befürworter wie auch von den Gegnern des Bundestrojaners ist bereits klar gestellt worden, dass ein Trojaner für einen Einsatz extra angefertigt werden muss, um den attackierten Rechner unbemerkt zu infizieren. Schließlich müsse jedoch auch sichergestellt werden, dass das Überwachungsprogramm auch auf dem gewünschten Zielsystem installiert wird. Damit gäbe es wiederum keine Alternative zur manuellen Installation mit physischem Zugang. "Alle anderen Methoden sind sehr zeitaufwändig, technisch komplex und teuer", schreibt Fox. (pte/mje)