Sie müssen physischen Zugang zum Rechner haben, dann können sie einen Trojaner direkt installieren. Das geht auch ohne das Administrator-Passwort zu kennen. Ein Systempasswort, das
vor dem Booten abgefragt wird, ist da schon ein schwereres Hindernis.
Oder sie müssen es wie die Cracker über's Internet versuchen. Viel Spaß bei einem Linux-Rechner, bei Mickyschrott mag's gehen.
Entdeckt werden kann er, wenn man den eigenen Datenverkehr überwacht. Denn er sendet ja fleißig...Und dann kann's lustig werden. Man kann ihn einfach von der Festplatte putzen...oder auch mit Falschdaten füttern...man kann die IP-Adresse, an die er sendet, im Netz bekannt geben, sie mit einem DoS-Angriff dichtmachen oder mit Unsinns-Daten zuballern...seine Signatur bekanntgeben, damit sie in entsprechende Suchprogramme (Antivirenprogramme) aufgenommen wird...dem Zielrechner Schadprogramme senden, ihn seinerseits ausspionieren...der Möglichkeiten sind viele.
[url]http://www.dradio.de/dlf/sendungen/computer/620126/[/url]
Online-Durchsuchung kämpft mit technischen Problemen
Nachdem am vergangenen Mittwoch im Innenausschuss des Deutschen Bundestages Vertreter des Bundeskanzleramtes eingeräumt hatten, dass Online-Durchsuchungen durch Geheimdienste des Bundes bereits seit dem Jahr 2005 durchgeführt worden seien, hat Bundesinnenminister Schäuble Online-Durchsuchungen vorerst gestoppt. Das könnte jedoch auch technische Probleme als Hintergrund haben.
Manfred Kloiber: In Berliner Regierungskreisen wird gemunkelt, dass dieser Stopp der Online-Durchsuchungen in erster Linie technische Gründe habe. Was steckt dahinter, Peter Welchering?
Peter Welchering: Dahinter steckt, dass die bisherigen Online-Durchsuchungen nicht besonders erfolgreich verlaufen sind. Denn nach allem, was bisher bekannt wurde, sind die Programmierer der Geheimdienste noch längst nicht so weit, dass solch ein Bundestrojaner, der dann die Festplatteninhalte via Internet an den Geheimdienst schickt, einfach per Mail oder über eine Web-Seite auf den Zielcomputer angesetzt werden kann. Das zweite Problem: Offensichtlich hat das gezielte Ausspähen von Personal Computern und Festplatten nicht funktioniert, und es hat nicht schnell genug funktioniert. In einem Fall sollen Festplatteninhalte von 120 Gigabyte über Wochen hinweg an die Zieladresse des Verfassungsschutzes von einem Trojaner geschickt worden sein. Der betroffene PC-Besitzer, der da online ausgespäht wurde, hat das wohl nach 14 oder 15 Tagen gemerkt, weil er über ausgewertete Systeminformationen mitbekam, dass 120 Megabyte von seinem Rechner aus ins Netz geschickt wurden. Die Rechneranalyse ergab dann, dass ein Trojanisches Pferd Schadsoftware von einem Rechner eines V-Mannes herunter geladen hatte. Diese Schadsoftware bestand im Wesentlichen aus einem Programm, dass einen Port im Router der überwachten beziehungsweise online durchsuchten DV-Anlage öffnete und über diesen Port Dateien an einen Rechner schickte, dessen IP-Adresse maskiert war. Dass eine solche Online-Durchsuchung dann offenbar nach Tagen, wohlgemerkt während sie noch läuft, bemerkt wird, ist nicht nur blamabel, sondern gibt natürlich auch den betroffenen Besitzern durchsuchter PCs Möglichkeiten der Gegenwehr an die Hand. In einem anderen Fall hat der Besitzer eines online durchsuchten PCs unbestätigten Informationen zufolge den Trojaner gleich beim Einschleusen bemerkt, die Aktivitäten des Bundestrojaners genau analysiert und der Zieladresse dann regelrechten Datenmüll geschickt.
Kloiber: Hat der Vertreter des Bundeskanzleramtes denn auch etwas zu den Einsatzgebieten und der Erfolgsquote der bisherigen Online-Durchsuchungen gesagt, als er im Innenausschuss Rede und Antwort gestanden hat?
Welchering: Nein, dazu gab es trotz mehrfacher Nachfrage einzelner Abgeordneter keine Auskünfte. Die Presseabteilung des Bundesinnenministeriums hat gestern Nachmittag gegenüber dem Deutschlandfunk einen Fall einer Online-Durchsuchung durch den Verfassungsschutz bestätigt und als Grund dafür einen islamistisch-terroristischen Hintergrund angegeben. Die ganze Angelegenheit ist im Bundestag vom Innenausschuss relativ rasch in das parlamentarische Kontrollgremium gewandert, das die Geheimdienste überwachen soll. Die Bundesregierung will damit verhindern, dass Einzelheiten über die bisherigen Online-Durchsuchungen herauskommen. Einige Details der Online-Durchsuchungen sind dann aber doch publik geworden, aber weder vom Bundesinnenministerium noch vom Bundeskanzleramt bestätigt worden. So zum Beispiel, dass der Versand der Bundestrojaner per Mail oder via Internet noch nicht funktioniert.
Kloiber: Wie sind die Trojanischen Pferde denn dann auf die Zielrechner gekommen?
Welchering: Dazu schweigt sich die Bundesregierung auch aus. Es gibt allerdings Hinweise, dass der Verfassungsschutz den Bundestrojaner bisher auf zwei Verbreitungswegen in die Zielrechner geschleust hat. Zum einen, das ist sozusagen die sichere Methode, sollen Verfassungsschutzmitarbeiter einfach in Büroräume eingedrungen sein und den Bundestrojaner dann händisch auf die Zielrechner überspielt haben. Mit dem zweiten Verbreitungsweg, von dem man aus so genannten informierten Kreisen hört, haben die Verfassungsschützer damit offensichtlich keine so guten Erfahrungen gemacht. Sie sollen mit Trojaner verseuchte CDs verteilt haben. Und das Problem dabei soll gewesen sein: Neben den Zielrechnern, die sie online durchsuchen wollten, sind auch andere Rechner mit diesem Trojaner wohl verseucht worden. Und das soll zur Folge gehabt haben, dass so viele Daten an den Zielrechner geschickt worden sind, dass der Sammelrechner, auf dem die ganzen Durchsuchungsdaten landen sollten, sich offensichtlich wie bei einem Denial of Servcie Angriff verhalten hat. Das heißt, ob der vielen Daten soll der einfach in die Knie gegangen sein.
Kloiber: Wie sieht es eigentlich mit der Gerichtsverwertbarkeit der so eingesammelten Daten aus?
Welchering: Das ist ein weiteres Problem, mit dem allerdings der Verfassungsschutz nichts zu tun hat. Die spähen einfach nur Rechner aus. Aber wenn das Bundeskriminalamt solche Bundestrojaner einsetzen will, dann brauchen sie eine forensische Methode, um nachweisen zu können, dass die ausgespähten Inhalte nicht nachträglich verändert wurden. Für die physische Beschlagnahme von Festplatten gibt es verfügbare forensische Methoden. Also wenn Polizisten mit einem richterlich angeordneten Hausdurchsuchungsbefehl ins Büro kommen und eine Festplatte beschlagnahmen, dann lassen sie eine Prüfsumme über die Platte errechnen, mit der sichergestellt werden kann, dass keine Daten auf der Platte verändert wurden. Bei der Online-Durchsuchung funktionieren solche forensischen Methoden noch nicht, beziehungsweise sie würden in der Ausführung von den PC-Besitzern bemerkt werden. Und das soll ja gerade nicht passieren.
