Das unbemerkte Durchsuchen von PCs durch Ermittlungsbehörden soll gesetzlich geregelt und dann auch umgesetzt werden. Rein technisch wäre das sogar machbar. Doch erst bei genauer Betrachtung zeigt sich, in welches Dilemma die Behörden dabei geraten.
Einige Spekulationen rund um das heimliche Ausforschen von Internet-PCs kann man schnell aussortieren. Selbst wenn es – wie im Kontext des sogenannten NSA-Keys vermutet – tatsächlich eine Hintertür in Windows geben sollte, käme die für solche Zwecke kaum zum Einsatz. Käme die Existenz einer solchen Hintertür raus – und das würde sie früher oder später – wäre es ein PR-GAU ohnegleichen. Und es ist kaum vorstellbar, dass ein multinationaler Konzern wie Microsoft das Wohl & Wehe seines Aktienkurses der Schweigsamkeit eines deutschen Polizisten anvertraut.
So ganz ohne weiteres kann man nicht von außen auf die Daten eines Rechners zugreifen; im Regelfall wird der Netzwerkverkehr des Zielsystems gefiltert. Auf Systemen mit direktem Internet-Zugang kommen oft Personal Firewalls zum Einsatz, in vielen Fällen erledigt diese Aufgabe aber auch ein externer Router mit Firewall-Funktionen, der nur ausgehenden Verkehr zu lässt. Zugang für Online-Durchsuchungen über eine Hintertür in Firewalls ist zwar technisch möglich aber schon aufgrund der Vielfalt eher unwahrscheinlich. Somit muss man irgendwas an der Firewall vorbeischmuggeln, was dann die Tür von Innen öffnet.
Aufgabenteilung
Dabei ist es sehr naheliegend, dass sich der Bundestrojaner an der Architektur moderner Schädlinge orientiert, die eine strikte Aufgabenteilung vornehmen: die Infiltration und die eigentliche Spionage. Bei der Infiltration geht es darum, einmalig die Sicherungsmechanismen des PCs zu umgehen und ein kleines Programm zur Ausführung zu bringen. Gefragt ist hier also ein typisches trojanisches Pferd.
Einmal im Innern lädt der Trojaner das eigentliche Überwachungsmodul nach, das sich dann im System einnistet, dort versteckt, Daten sammelt und diese entweder aktiv nach außen verschickt oder solange bereit hält, bis sie abgerufen werden. Das entspricht vom Anforderungsprofil einer Mischung aus Spyware und Rootkit. Der weitere Text unterscheidet folglich zwischen einer Trojaner- und einer Spyware-Komponente.
Diese Trennung in zwei Komponenten bringt eine Reihe von Vorteilen mit sich. Insbesondere kann man das trojanische Pferd vergleichsweise einfach und schnell neu erstellen, um Viren-Signaturen auszuweichen oder es sogar individuell auf die Zielperson maßzuschneidern. Die technisch anspruchsvollere Spyware-Komponente hingegen kommt erst zum Einsatz, wenn man bereits einen Treffer gelandet hat und wird somit keinem unnötigen (Entdeckungs-)Risiko ausgesetzt.
Pferdezucht
Die Trojaner-Komponente wird eine Form von Downloader sein, der das Spyware-Modul von irgendwo aus dem Netz nachlädt und startet. Sowas ist schnell entwickelt und auf Grund der recht unspezifischen Beschreibung schwer zu identifizieren. Ausgehende Verbindungen lassen sich immer irgendwie als normaler Netzwerkverkehr tarnen und am Anwender und dessen Schutz-Software vorbeimogeln, wenn man es drauf anlegt.
Spannend ist die Frage, wie dieser Downloader auf das Zielsysten gelangt und dort aktiviert wird. Da gibt es im wesentlichen drei Szenarien. Das einfachchste: Etwas wie die Rechnungs-Trojaner "in gut". Wenn die Profifahnder im Rahmen ihrer Ermittlungen ohnehin bereits Informationen über den Verdächtigen gesammelt haben, haben sie dafür beste Voraussetzungen. Sie könnten dem Verdächtigen unter der tatsächlichen Adresse eines Freundes mit passender persönlicher Ansprache ein "geiles Spiel" oder einen zum Hobby passenden Bildschirmschoner unterjubeln. Und wenn es nicht auf Anhieb funktioniert, ist es auch nicht weiter schlimm: Ein Virus mehr in der Inbox wird kaum Verdacht erregen.