Leseprobe aus c't 18/10
Persönliche Rechner vom Schreibtisch-PC bis zum Smartphone verarbeiten mehr Informationen über ihren Benutzer, als ein Privatdetektiv sammeln könnte. Mit handelsüblicher Software lassen sich diese Gerätschaften als Maulwürfe rekrutieren und geben danach bereitwillig private oder dienstliche Geheimnisse preis.
Auch wenn beim Stichwort PC-Spionage zuerst Würmer und Trojaner in den Sinn kommen, die sich als E-Mail-Anhänge oder von präparierten Websites aus einschleichen und anschließend „nur“ Passwörter klauen – in diesem und dem folgenden Beitrag geht es um ganz andere Software. Gemeint sind handelsübliche Spyware-Pakete, die deren Anwender mit voller Absicht auf einem von ihnen kontrollierten Rechner installieren. Mit den so installierten Datensammlern bespitzeln sie anschließend ahnungslose Mitarbeiter oder Familienmitglieder, die denselben Rechner benutzen.
Zwar kann man mit etwas Social Engineering auch eine kommerzielle Spyware als E-Mail-Anhang an ein Bespitzelungs-Opfer im Bekanntenkreis schicken und dieses unter irgendeinem Vorwand beschwatzen, das betreffende Programm zu installieren. Doch wer solchen „Freundesempfehlungen“ mit gesunder Vorsicht begegnet und ansonsten ganz sicher als einziger physischen Zugriff auf seinen Rechner hat, braucht sich um die hier beschriebenen Bedrohungen keine Sorgen zu machen. Allerdings wird in der familiären Wohnung oder im Büro niemand einen PC permanent unter Verschluss halten können. Auch einem Amateur-Spion genügen meist wenige unbeobachtete Minuten, um auf einem fremden Rechner ein Überwachungsprogramm aufzuspielen. Dieses kann anschließend Tastatureingaben und besuchte Webseiten mitsamt dort hinterlassenen Passwörtern, PINs und sonstigen Angaben mitschreiben, ein- und ausgehende E-Mails sammeln, laufende Anwendungen notieren, Screenshots aufnehmen und das alles in regelmäßigen Abständen zum Auftraggeber schicken – um nur einige der möglichen Indiskretionen zu nennen.
Zu den Benutzern solcher Software zählen Eltern, die ihren Kindern heimlich beim Surfen über die Schulter gucken wollen, oder auch Ehepartner, die ihre(n) Angetraute(n) der Untreue verdächtigen. Einer Düsseldorferin bescherte die PC-Bespitzelung im vergangenen November fast den Tod, als ihr Ehemann sie von hinten mit einem Beil angriff. Zur Begründung gab der Täter vor Gericht den „unglaublichen Betrug“ durch seine Frau an. Er habe ein Spionageprogramm auf ihrem Rechner installiert und Liebesmails an seinen besten Freund entdeckt, die ihn um den Verstand gebracht hätten.
Alle einschlägigen Produkte kann man übers Internet beschaffen, und der Markt blüht: Allein vom Programm eBlaster sollen in Deutschland mehr als 100 000 Kopien verkauft worden sein, und in einem Katalog neu erschienener Anwendungsversionen fanden wir auf Anhieb 16 Spyware-Programme, die seit Jahresanfang überarbeitet worden sind. Viele der altbekannten Produkte, auch eBlaster, waren darunter noch nicht einmal vertreten. Einige dieser Anwendungen sind im Beitrag auf S. 112 tabellarisch aufgeführt.
In diesem Frühjahr kam heraus, wie eine Schulbehörde im US-Bundesstaat Philadelphia jahrelang ihre Schüler per Computer bespitzelt hat. Vorgeblich, um Diebstahlsfälle aufzuklären, statteten die Verantwortlichen schuleigene Macbooks, die sie ihren Schülern ausliehen, mit einer getarnten Überwachungssoftware aus. Offiziell handelt es sich bei dem verwendeten Softwarepaket LANrev um ein Werkzeug zur Wiederbeschaffung gestohlener Mobilgeräte. So wie die Schulinspektoren die Software konfiguriert hatten, war sie aber auch ohne Verdacht auf einen Diebstahl permanent aktiv. Alle 15 Minuten rund um die Uhr nahm sie einen Screenshot sowie mit der Notebook-Kamera ein Foto auf und schickte die Daten ans behördliche Rechenzentrum.
Die inzwischen als Webcamgate bezeichnete Affäre flog erst auf, als die Schulbehörde mit ihrem Werkzeug einen Jugendlichen beim vermeintlichen Umgang mit Drogen fotografierte – wie sich später herausstellte, waren es in Wirklichkeit nur Süßigkeiten – und dem mutmaßlichen Junkie einen Verweis erteilte. Daraufhin mussten die Spione natürlich ihre Beweise auf den Tisch legen und die Praxis kam ans Tageslicht. Nebenbei kam heraus, dass drei Administratoren die Fotofunktion außerdem als eine Art Peepshow benutzt hatten, um Studentinnen zu beobachten. Nach Angaben des Herstellers kommt LANrev auch in europäischen Schulen zum Einsatz, wir erhielten aber keine Auskunft, ob darunter auch deutsche Institutionen vertreten sind.
Mit diesem und anderen handelsüblichen Programmpaketen können auch Eltern ihre Kinder ohne lästigen Gesprächsbedarf kontrollieren. Das wäre jedoch nicht nur moralisch fragwürdig, sondern je nach Alter der überwachten Kinder womöglich auch strafbar.
In der Arbeitswelt kommen zusätzliche Gesichtspunkte ins Spiel, wenn man zwischen schutzwürdiger Intimsphäre und betrieblichen Anforderungen unterscheiden will. Einerseits sind Unternehmen verpflichtet, geschäftliche E-Mail zu archivieren und diese auf Anforderung vor einem Buchprüfer offenzulegen. Bei leitenden Angestellten oder etwa bei Kundenberatern einer Bank kann es für den Selbstschutz eines Unternehmens erforderlich sein, deren komplette Korrespondenz einschließlich E-Mails und Telefonaten nach ausdrücklicher Information aller Betroffenen zu speichern. Andererseits ist die permanente Befürchtung, das eigene Handeln könnte gerade überwacht werden, ein schwerwiegender Eingriff in die persönliche Intimsphäre. Das Interview ab Seite 110 macht deutlich, dass Arbeitgeberinteressen solch schwer wiegende Maßnahmen selbst nach vorheriger Ankündigung nur in sehr speziellen Fällen rechtfertigen.
(hps)
Den vollständigen Artikel finden Sie in c't 18/2010.
Version zum Drucken | Per E-Mail versenden | Heft bestellen
Permalink: http://heise.de/-1053642
Kommentare lesen (14 Beiträge)
Das aktuelle Heft ist jetzt im Handel erhältlich.
Ältere Artikel können Sie über unser Zeitschriften-Archiv bestellen.
Mehr zum Thema Datenschutz Monitoring
RSS
