Seite 3: Der weisse Spion

Inhaltsverzeichnis

Der weisse Spion

Softwaretechnisch deutlich aufwendiger ist die Spyware-Komponente. Muss sie sich doch im System über Tage, Wochen oder sogar Monate verstecken, im Hintergrund Informationen sammeln und diese auf Abruf übers Netz an den Ermittler weiterleiten. Und das alles auch noch in beweiskräftiger Form. Doch darüber müssen sich Schäubles Beamte nicht weiter den Kopf zerbrechen. Das gibt es nämlich schon – und sogar zu kaufen.

Encase von Guidance Software ist die Software für professionelle Beweismittelsicherung schlechthin; unter anderem FBI und BKA setzen sie ein. Und deren Hersteller bietet mit dem sogenannten Field Intelligence Model (FIM) zufällig ein Produkt an, dessen Beschreibung durchaus der Nährboden für Schäubles Überwachungsideen sein könnte:

Ein unauffälliger, passiver Software Agent mit Auto-Update, der auf den zu überwachendenn Arbeitsplatzsystemen oder Servern installiert wird. [...] Die Servlets haben spezielle Stealth-Funktionen und laufen auf folgenden Betriebssystemen: Alle Windows Versionen, Linux Kernel 2.4 und aufwärts, Solaris 8/9 mit 32/64 Bit und Mac OS X.

Wie das konkret funktioniert, bleibt leider offen, denn wie nicht anders zu erwarten, reagierte Guidance auf die Anfragen von heise Security zu Encase FIM nicht. Da man laut Produktbeschreibung ohnehin "ausschließlich an Strafverfolgungsbehörden" liefert, kann man Öffentlichkeit in dem Geschäft nicht brauchen.

Alles muss versteckt sein

Im Gegenteil: Gerade das Verstecken der Software dürfte eines der Hauptprobleme sein. Zwar konnte auf Nachfragen keiner der zehn befragten AV-Hersteller Signaturen für das Encase FIM-Servlet vorweisen. Doch die ließen sich ohnehin durch Modifikationen am Quellcode leicht umgehen.

Der Beschreibung nach zu urteilen, müsste aber auch jedes Behaviour Blocking, das seinem Namen auch nur halbwegs gerecht wird, die Aktivitäten eines derartigen Spyware-Programms bemerken. Denn wenn der Antiviren-Software ein Programm wie FIM durch die Maschen geht, gelingt das Spionageprogrammen aus kriminellen Quellen auch.

Ob die Antiviren-Software den Fund dann aber auch meldet, steht auf einem anderen Blatt. Zumindest theoretisch wäre es durchaus denkbar, dass sie in solchen Fällen mal ein Auge zudrückt. Marktführer Symantec wollte jedenfalls schonmal Fragen zu Encase FIM nicht beantworten.

Konkurrent Microsoft hingegen bezog deutlich Stellung zugunsten seiner Kunden: "Unsere Software meldet jedes verdächtige Verhalten, das ihr auffällt." Allerdings sei man dabei natürlich immer an die Gesetze eines Landes gebunden, schränkte Pressesprecher Thomas Baumgärtner im Hinblick auf die aktuelle Diskussion ein. Auch Dirk Kollberg von McAfees Avertlabs verneinte die Existenz diesbezüglicher Absprachen mit staatlichen oder sonstigen Behörden.

Da es ziemlich unwahrscheinlich ist, dass sich alle Hersteller auf Mauscheleien mit deutschen Behörden einlassen, wäre gleich das nächste Gesetz fällig: ein gesetzlich verordneter blinder Fleck für Sicherheitssoftware, damit sie den Bundertrojaner gewähren lässt. Schließlich darf es nicht sein, dass ein Softwarehersteller Millioneninvestitionen des deutschen Staates einfach hinfällig macht, indem er die Verdächtigen vor der Installation des Spyware-Moduls warnt.

Andererseits werden beispielsweise amerikanische Kunden keine Antiviren-Software kaufen, die bekanntermaßen eine "deutsche Hintertür" enthält. Es wird also zumindest im Ausland weiterhin AV-Software ohne geben – und genau die werden Kriminelle natürlich bevorzugt einsetzen. Das bedeutet im Umkehrschluss dann, dass früher oder später Forderungen auftauchen, den Einsatz von Sicherheitsoftware ohne diesen blinden Fleck in Deutschland zu verbieten, nach dem Motto: Es kann doch nicht angehen, dass sich kriminelle Subjekte den vom Gesetz legitimierten Durchsuchungen durch Strafverfolgungsbehörden erfolgreich entziehen.