Können Antivirenprogramme Staatstrojaner finden?

Die Antivirenhersteller werden nicht müde, zu erzählen, dass sie staatliche Trojaner wie jede andere Malware behandeln: Erstens erkennen, zweitens entfernen. Dummerweise ist das einfacher gesagt als getan. Es liegt in der Natur der Sache, dass Antivirenlösungen nur „Massenware“ erkennen können, also Malware, von der bereits Millionen Kopien auf Rechnern argloser Nutzer installiert sind. Dass ein Programm, das sich selbst nicht weiterverbreitet, sondern gezielt auf weniger als 100 Rechnern installiert wird, in die Hände eines Antivirenherstellers kommt, ist zunächst einmal unwahrscheinlich. Das kann sich natürlich ändern, wenn ein Beschuldigter in seiner Gerichtsverhandlung erfährt, dass seine Skype-Gespräche abgehört und seine E-Mails abgefangen wurden. Dann ist er sicherlich bereit, seinen Laptop einer Organisation wie dem CCC zur weiteren Untersuchung zu übergeben.

Wird der Trojaner öffentlich gemacht, ist es ein Leichtes für die Antivirenhersteller, ihn zu erkennen und zu entfernen. Dass der R2D2-Trojaner, den der CCC jetzt analysiert hat, „verbrannt“ ist, dürfte auch dem technikfeindlichsten Innenminister einleuchten. Es gilt natürlich, einen neuen Trojaner zu entwickeln, der

• keine Dateien mit den Namen mfc42ul.dll oder winsys32.sys beinhaltet
• kein anderes Protokoll als HTTPS über Port 443 spricht
• keine Strings wie „C3PO-r2d2-POE“ zur Identifikation beim Command-and-Control-Sever verwendet
• keine Windows-Objekte mit dem Namen DeviceKeyboardClassC oder DosDevicesKeyboardClassC anlegt

und vieles mehr unterlässt, woran man ihn heuristisch wiedererkennen könnte. Das wissen die Behörden nur zu genau. Ferner sollten die Nachfolger des „Bundestrojaner 1.0“ sich nach Ende der Bespitzelung selbst durch Überschreiben mit Nullen löschen. Dann kann auch der CCC nichts mehr ausrichten, wenn ein Verdächtiger von seiner Überwachung erfährt.

Sollten Behörden natürlich weiterhin die aktuelle Version einsetzen oder eine, die nicht ausreichend modifiziert ist, wird der Verdächtige natürlich durch ein Antivirenprogramm gewarnt und geschützt. Davon ist aber nicht auszugehen, denn der BND verfügt offensichtlich über weiter entwickelte Trojaner, die man nur so weit abspecken muss, dass sie auch im Inland genutzt werden dürfen. Die Innenminister wollen darüber hinaus beim BKA ein Kompetenzzentrum einrichten, das neue Trojaner entwickelt. Im Endeffekt gibt es nur einen ziemlich sicheren Schutz gegen Staatstrojaner: Man installiert Linux und führt vertrauliche Kommunikation, etwa verschlüsselte VoIP-Gespräche, nur unter diesem Betriebssystem. Unter Linux lässt sich zwar grundsätzlich auch Quellen-TKÜ durchführen, allerdings braucht man für jeden Kernel einen eigenen Treiber. Einen Staatstrojaner mit Kernelmodetreiber kann man beispielsweise für „Ubuntu 10.10 mit Kernel 3.0.0-12“ schreiben. Sobald Canonical aber einen neuen Kernel herausbringt, etwa im Rahmen eines Security-Patches, ist der Trojaner nutzlos.