Gefährliche Trojaner: «Wenige Sekunden genügen»

Marc Ruef: Dazu möchte ich nichts sagen. Ich äussere mich nicht öffentlich über allfällige Kundenbeziehungen.

Wir beraten Schweizer Banken, Versicherungskonzerne und andere private Unternehmen, aber auch Staatsanwaltschaften.

Wir bieten elektronische «Aufklärung» an. Es geht beispielsweise darum, im Auftrag einer Versicherung einen IV-Betrüger zu überführen.

Etwa indem wir verräterische Bilder der fraglichen Person bei Facebook aufspüren.

Rein technisch betrachtet, könnten wir praktisch alle Dinge herausholen. Aber rechtlich geht das natürlich nicht. Damit würden wir gegen das Gesetz verstossen. Ich kann aber gut verstehen, dass sich die Strafverfolgungsbehörden ein solches Instrument wünschen.

Ich finde die öffentliche Diskussion sehr wichtig. Den Älteren ist die Fichen-Affäre in Erinnerung. Es scheint aber, dass sich die heutige Facebook-Generation nicht dafür interessiert. Aber eigentlich dürfte so etwas in einem Rechtsstaat nicht passieren.

Wenn ein Trojaner auf einem Rechner installiert wird, ist das ein invasiver Eingriff. Das heisst, Sie müssen etwas im Computer-System verändern, um es zu kontrollieren. In der Forensik (Spurensicherung, Anmerk. d. Red.) ist aber gerade entscheidend, dass die Beweismittel nicht verändert, also manipuliert wurden. Ausserdem ist nicht klar, was durch den Trojaner alles erfasst wird.

Wir entwickeln ja selber Trojaner, um die Sicherheitssysteme unserer Auftraggeber zu überprüfen. Bei solchen Backdoor-Tests dürfen wir aber keine privaten Dinge herausholen. Es dürfen verständlicherweise keine persönlichen Mails der Mitarbeiter mitgelesen werden – obwohl auch solche Informationen vom Trojaner erfasst werden.

Es gibt unzählige Möglichkeiten. Der einfachste und unkomplizierteste Weg ist aber nicht zwingend der sinnvollste. Wenn Sie der Zielperson eine manipulierte E-Mail senden und der Trojaner wird entdeckt, dann wird es schwierig. Gerade bei Leuten mit einer berufsbedingten Paranoia empfiehlt sich ein anderes Angriffszenario.

Wir verschicken zum Beispiel eine CD-ROM, die ein harmloses Gewinnspiel enthält. Die Zielperson macht dann bei einem Wettbewerb mit und beantwortet am Computer drei Quiz-Fragen. Im Hintergrund wird derweil ein Späh-Programm installiert.

Ein solches Vorgehen lohnt sich in der Regel nur bei mehreren Zielpersonen. Der Aufwand steigt exponentiell an – das Gewinnspiel muss ja absolut professionell wirken. Diese Angriffsmethode hat aber auch ihre Tücken.

Stellen Sie sich vor, die Zielperson gibt die CD mit dem Wettbewerb ahnungslos an einen Kollegen weiter. Dann wird der Trojaner ungewollt auf einem weiteren Rechner installiert.

Wir programmieren entsprechende Schutzmechanismen. So prüft der Trojaner beispielsweise anhand des Benutzernamens, ob es sich wirklich um einen Mitarbeiter des Unternehmens handelt, das wir ausspionieren sollen.

Grundsätzlich ist jedes System angreifbar. Das ist eine Frage des Aufwands – und damit der Kosten. Im Prinzip lässt sich auch eine Dreambox oder ein Smartphone ausspionieren.

Auch ein iPhone kann mit einem Trojaner infiziert werden – das ist allerdings sehr aufwändig und komplex. Es braucht schätzungsweise 40 Manntage, bis eine solche Software reibungslos funktioniert. Das heisst, wenn man eine Lösung von Null auf programmieren würde. Mit unseren bestehenden Produkten sind Anpassungen in ein paar Stunden oder Tagen möglich.

Schon der Chaos Computer Club hat das Produkt ja als sehr bedenklich beurteilt bezüglich Funktionsweise und Sicherheit. So etwas würde bei uns nie zum Einsatz kommen.

Offenbar wurden die Daten, die bei den Opfern herausgeholt wurden, unverschlüsselt übers Internet gesendet. Das ist absolut fahrlässig, ja idiotisch.

Der physische Zugriff auf ein Gerät erleichtert die Sache natürlich. Um einen Trojaner zu platzieren, braucht es im Idealfall wenige Sekunden. Wenn die Festplatte nicht verschlüsselt ist und keine Login-Abfrage vorhanden ist, genügt eine Exe-Datei, die blitzschnell via USB-Port installiert wird.

Ich halte mich an die bekannten Vorsichtsmassnahmen. Was ich nicht brauche und nicht kenne, klicke ich nicht an. Meinen Laptop lasse ich unterwegs nicht aus den Augen – sobald jemand unbemerkt darauf zugreifen kann, ist er kompromittiert.

Unsere Firma bietet seit 2004 die sogenannten Backdoor-Tests an. Bislang ist noch kein einziges Schnüffel-Tool an Dritte weitergegeben worden. Wir wissen uns zu schützen.

Sehr regelmässig. Wir haben ungefähr ein neues Projekt pro Woche.

Ja. Wir konzentrieren uns aber auf den Schweizer Markt.

Klassische Antiviren-Lösungen erkennen bösartigen Programmcode anhand konkreter Muster. Damit ein Muster erkannt werden kann, muss es dem Antiviren-Hersteller bekannt sein. Solange ein trojanisches Pferd also nicht einem Antiviren-Hersteller zur Analyse bereitgestellt wurde, kann er es auch nicht erkennen.

Diesen Einschränkung werden heuristische Mechanismen entgegengehalten. Hierbei wird das Verhalten einer Anwendung auf verdächtige Aktionen hin untersucht. Dieser Mechanismus ist jedoch sehr komplex, erfordert ein Mehr an Ressourcen und neigt zu Falschmeldungen. Deshalb wird er gerne aussen vor gelassen.