«Wenige Sekunden genügen»

Herr Ruef, Sie decken im Auftrag von Dritten heikle Sicherheitslücken auf. Haben Sie auch schon einen Staatstrojaner entwickelt?
Marc Ruef: Dazu möchte ich nichts sagen. Ich äussere mich nicht öffentlich über allfällige Kundenbeziehungen.

Marc Ruef ist Computer-Sicherheitsexperte. (Bild: PD) Zur Person: Marc Ruef

Der Schweizer Marc Ruef (30) beschäftigt sich seit seiner Jugend mit Viren und Trojanern. Heute sucht der ehemalige Hacker im Auftrag der Zürcher Sicherheitsfirma Scip AG nach Schwachstellen in Computer-Systemen. Das Unternehmen bietet sogenannte Backdoor-Tests an: Dabei entwickeln die Spezialisten auch Trojaner und versuchen, in streng geschützte Rechner einzudringen. Im Bereich der Netzwerksicherheit hat er Hunderte Beiträge in Fachzeitschriften publiziert und mehrere Bücher verfasst, darunter Standardwerke wie «Hacking Intern» und «Die Kunst des Penetration Testing». (dsc) Staatstrojaner

Der Begriff Staatstrojaner oder Bundestrojaner bezeichnet eine Spionage-Software, die staatliche Behörden auf Computern von Verdächtigen installieren. Technisch funktioniert das Programm analog zu einem Trojaner, welcher mit krimineller Absicht installiert wird, um Zugriff auf einen fremden Computer zu erlangen. Je nach Aufbau kann ein solches Programm die auf dem Rechner gespeicherten Daten lesen, auf Mikrofon oder Webcam des Computers zugreifen, die Tastatureingabe protokollieren oder verschlüsselt übertragene Sprach- und E-Mail-Kommunikation überwachen. Die Installation einer solchen Spionage-Software muss heimlich und unter Umgehung allfälliger Antiviren-Software geschehen. (mdr)

Wer sind denn – allgemein gefragt - Ihre Kunden?
Wir beraten Schweizer Banken, Versicherungskonzerne und andere private Unternehmen, aber auch Staatsanwaltschaften.

Was wünschen die Kunden?
Wir bieten elektronische «Aufklärung» an. Es geht beispielsweise darum, im Auftrag einer Versicherung einen IV-Betrüger zu überführen.

Wie machen Sie das?
Etwa indem wir verräterische Bilder der fraglichen Person bei Facebook aufspüren.

Sie dringen in fremde Computer ein. Wo sind die Grenzen?
Rein technisch betrachtet, könnten wir praktisch alle Dinge herausholen. Aber rechtlich geht das natürlich nicht. Damit würden wir gegen das Gesetz verstossen. Ich kann aber gut verstehen, dass sich die Strafverfolgungsbehörden ein solches Instrument wünschen.

Zurzeit wird heftig über staatliche Schnüffel-Programmen diskutiert. Wie ist Ihre persönliche Meinung?
Ich finde die öffentliche Diskussion sehr wichtig. Den Älteren ist die Fichen-Affäre in Erinnerung. Es scheint aber, dass sich die heutige Facebook-Generation nicht dafür interessiert. Aber eigentlich dürfte so etwas in einem Rechtsstaat nicht passieren.

Was ist daran problematisch?
Wenn ein Trojaner auf einem Rechner installiert wird, ist das ein invasiver Eingriff. Das heisst, Sie müssen etwas im Computer-System verändern, um es zu kontrollieren. In der Forensik (Spurensicherung, Anmerk. d. Red.) ist aber gerade entscheidend, dass die Beweismittel nicht verändert, also manipuliert wurden. Ausserdem ist nicht klar, was durch den Trojaner alles erfasst wird.

Wie meinen Sie das?
Wir entwickeln ja selber Trojaner, um die Sicherheitssysteme unserer Auftraggeber zu überprüfen. Bei solchen Backdoor-Tests dürfen wir aber keine privaten Dinge herausholen. Es dürfen verständlicherweise keine persönlichen Mails der Mitarbeiter mitgelesen werden – obwohl auch solche Informationen vom Trojaner erfasst werden.

Wie schaffen Sie es, in ein fremdes System einzudringen?
Es gibt unzählige Möglichkeiten. Der einfachste und unkomplizierteste Weg ist aber nicht zwingend der sinnvollste. Wenn Sie der Zielperson eine manipulierte E-Mail senden und der Trojaner wird entdeckt, dann wird es schwierig. Gerade bei Leuten mit einer berufsbedingten Paranoia empfiehlt sich ein anderes Angriffszenario.

Verraten Sie uns einen entsprechenden Trick?
Wir verschicken zum Beispiel eine CD-ROM, die ein harmloses Gewinnspiel enthält. Die Zielperson macht dann bei einem Wettbewerb mit und beantwortet am Computer drei Quiz-Fragen. Im Hintergrund wird derweil ein Späh-Programm installiert.

Das klingt nach viel Aufwand.
Ein solches Vorgehen lohnt sich in der Regel nur bei mehreren Zielpersonen. Der Aufwand steigt exponentiell an – das Gewinnspiel muss ja absolut professionell wirken. Diese Angriffsmethode hat aber auch ihre Tücken.

In welcher Hinsicht?
Stellen Sie sich vor, die Zielperson gibt die CD mit dem Wettbewerb ahnungslos an einen Kollegen weiter. Dann wird der Trojaner ungewollt auf einem weiteren Rechner installiert.

Was können Sie dagegen tun?
Wir programmieren entsprechende Schutzmechanismen. So prüft der Trojaner beispielsweise anhand des Benutzernamens, ob es sich wirklich um einen Mitarbeiter des Unternehmens handelt, das wir ausspionieren sollen.

Können Sie in jedes System eindringen?
Grundsätzlich ist jedes System angreifbar. Das ist eine Frage des Aufwands – und damit der Kosten. Im Prinzip lässt sich auch eine Dreambox oder ein Smartphone ausspionieren.

Auch das iPhone?
Auch ein iPhone kann mit einem Trojaner infiziert werden – das ist allerdings sehr aufwändig und komplex. Es braucht schätzungsweise 40 Manntage, bis eine solche Software reibungslos funktioniert. Das heisst, wenn man eine Lösung von Null auf programmieren würde. Mit unseren bestehenden Produkten sind Anpassungen in ein paar Stunden oder Tagen möglich.

Was halten Sie vom deutschen «Bundestrojaner», der auch in die Schweiz verkauft wurde?
Schon der Chaos Computer Club hat das Produkt ja als sehr bedenklich beurteilt bezüglich Funktionsweise und Sicherheit. So etwas würde bei uns nie zum Einsatz kommen.

Warum?
Offenbar wurden die Daten, die bei den Opfern herausgeholt wurden, unverschlüsselt übers Internet gesendet. Das ist absolut fahrlässig, ja idiotisch.

Der Computer eines Betroffenen wurde am Flughafen während einer angeblichen Routinekontrolle infiziert. Was halten Sie davon?
Der physische Zugriff auf ein Gerät erleichtert die Sache natürlich. Um einen Trojaner zu platzieren, braucht es im Idealfall wenige Sekunden. Wenn die Festplatte nicht verschlüsselt ist und keine Login-Abfrage vorhanden ist, genügt eine Exe-Datei, die blitzschnell via USB-Port installiert wird.

Wie schützen Sie sich – und Ihre Geräte?
Ich halte mich an die bekannten Vorsichtsmassnahmen. Was ich nicht brauche und nicht kenne, klicke ich nicht an. Meinen Laptop lasse ich unterwegs nicht aus den Augen – sobald jemand unbemerkt darauf zugreifen kann, ist er kompromittiert.

Müssen Sie nicht befürchten, dass früher oder später alles ans Licht kommt?
Unsere Firma bietet seit 2004 die sogenannten Backdoor-Tests an. Bislang ist noch kein einziges Schnüffel-Tool an Dritte weitergegeben worden. Wir wissen uns zu schützen.

Wie häufig werden solche Schnüffel-Aufträge erteilt?
Sehr regelmässig. Wir haben ungefähr ein neues Projekt pro Woche.

Sind Sie auch im Ausland tätig?
Ja. Wir konzentrieren uns aber auf den Schweizer Markt.

Warum werden die Trojaner eigentlich nicht von gängiger Antivirus-Software erkannt?
Klassische Antiviren-Lösungen erkennen bösartigen Programmcode anhand konkreter Muster. Damit ein Muster erkannt werden kann, muss es dem Antiviren-Hersteller bekannt sein. Solange ein trojanisches Pferd also nicht einem Antiviren-Hersteller zur Analyse bereitgestellt wurde, kann er es auch nicht erkennen.

Diesen Einschränkung werden heuristische Mechanismen entgegengehalten. Hierbei wird das Verhalten einer Anwendung auf verdächtige Aktionen hin untersucht. Dieser Mechanismus ist jedoch sehr komplex, erfordert ein Mehr an Ressourcen und neigt zu Falschmeldungen. Deshalb wird er gerne aussen vor gelassen.