„Das ist unwürdig“

IT-Sicherheitsexperte zum „Bundestrojaner“

Sebastian Schreiber, 39 Jahre, ist Chef der Tübinger IT-Firma Syss, die sich in Firmen-Netzwerke hackt, um deren Schwachstellen zu finden. Mit Spionagesoftware kennt er sich aus. In den Händen des Staates sieht er sie ungern – gerade dann, wenn sie „miserabel programmiert“ ist.

TAGBLATT: Das vom Chaos Computer Club untersuchte Spionageprogramm, das eine Polizeibehörde zum Ausspähen des Computers eines Verdächtigen benutzt haben soll, sendet als Kennung den Namen eines Roboters aus der Star-Wars-Filmreihe. Sind Sie ein Star-Wars-Fan?

Sebastian Schreiber: Nein, definitiv nicht.

Der Trojaner stammt also nicht aus Ihrer Firma?

Nein, obwohl wir wüssten, wie das geht. Unsere Mitarbeiter sind auf verschiedene Arten der Cyber-Angriffe spezialisiert, aber wir würden so etwas unter keinen Umständen verkaufen – auch nicht an Ermittlungsbehörden.

Aber bei Ihren Live-Hackings, bei denen Sie Firmennetzwerke kapern, verwenden Sie solche Programme?

Ja. Es gibt Trojaner, die übers Internet erhältlich sind, die wir auch benutzen – oder wir schreiben sie selbst. Auf einen Rechner können die beispielsweise über einen USB-Stick gebracht werden, oder indem ich dem Benutzer eine infizierte PDF-Datei schicke. Dann habe ich das Zielsystem trojanisiert. Anschließend zeige ich Ihnen, dass wir die Herrschaft über Ihr System haben. Ich rufe Sie dann an und lasse einmal ferngesteuert Ihr CD-Laufwerk auf und zu gehen. Das beweist, dass ich im Prinzip mit Ihrem PC alles machen kann.

Haben Sie sich den veröffentlichten Trojaner denn angeschaut? Was kann der denn?

Den Trojaner kannten wir noch nicht. Er ist miserabel ausprogrammiert. Er hat deutliche Schwachstellen. Das Programm ist so gebaut, dass es sich bei einem Server anmeldet und dort beispielsweise Bildschirmfotos des infizierten Rechners hoch lädt. Als Angreifer könnte ich jedoch den Trojaner selbst übernehmen und dem Steuerungsserver vorgaukeln, dass von mir eingespieltes Material vom eigentlich ausgespähten Rechner stammt. Da gibt es bessere Trojaner im Internet – sogar kostenlos.

Kann ich denn erkennen, ob mein Rechner infiziert ist?

Wenn die Virenscanner versagen, haben Sie als privater Nutzer keine Chance. Sie können nur regelmäßig Ihre Systeme pflegen, sich im Internet vorsichtig verhalten und keine Daten von Seiten herunterladen, denen Sie nicht vertrauen. Wenn Sie Angst haben, dass die Behörden sie ausspähen, dann müssen Sie eben dafür sorgen, dass die Ermittler ihren Rechner nicht in die Hand kriegen.

Aber die könnten mir doch auch ein infiziertes PDF schicken.

Die Landeskriminalämter scheinen sowas heute noch nicht zu beherrschen. Die amerikanischen Dienste könnten das. Egal, wie der Trojaner auf den Rechner kommt: Das eigentlich Schlimme ist, dass sich unser Staat offenbar selbst nicht an das Gesetz hält. Das ist eines Rechtsstaates unwürdig. Da kommt in den nächsten Tagen bestimmt noch einiges raus.

Die Fragen stellte Jonas Bleeser