Bisher war die IT-Sicherheitswelt in "Schwarze" und "Weiße Hüte" aufgeteilt: Blackhats sind die bösen Hacker, Whitehats die guten. Demnächst möchte eine dritte Partei mitmischen: Die Schlapphüte von Verfassungsschutz und Co. möchten gerne mit Trojanern dem Bösen auf die Schliche kommen. Als ich das zum ersten Mal gehört habe, musste ich sicherheitshalber auf den Kalender gucken: 1. April? 11.11.? Rosenmontag? Nein, es ist tatsächlich Dezember. Die scheinen das also wirklich ernst zu meinen. Ernst nehmen kann ich die, die sich das ausgedacht haben, allerdings nicht.

Nichts Genaues weiß man nicht, darum habe ich auf Links verzichtet. Lassen wir das ganze Hörensagen mal außer Acht und gehen das Problem systematisch an:
Punkt 1: Da möchte also jemand einen Trojaner einsetzen, um Benutzer auszuspionieren. Das ist ein so alter Hut, dass man darüber eigentlich gar nicht weiter nachdenken müsste. Was man gegen Trojaner machen kann, ist bekannt. Nun ist dieser 'jemand' ein Geheimdienst. Ändert das etwas? Eigentlich nicht. Zwar könnte die Regierung versuchen, die Erkennung ihrer Trojaner durch Virenscanner zu verbieten. Aber da stellt sich doch gleich die Frage: Welche Regierung, welche Trojaner? Wenn die deutsche Bundesregierung die Erkennung der Trojaner BND.007 und MAD.08/15 verbieten würde - was würde das bringen? Dann gäbe es vielleicht in Deutschland keine Virenscanner mehr zu kaufen, die diese Trojaner erkennen. Aber wen würde das stören? Die Bösen bestimmt nicht, die besorgen sich einen Scanner aus irgendeinem "Schurkenstaat", und der erkennt dann die hiesigen Behörden-Trojaner unter Garantie. OK, wird eben die Einfuhr von Virenscannern verboten. Aber wen würde das stören? Die Bösen haben noch viel Böseres vor, als einen verbotenen Virenscanner zu benutzen. Hat schon mal jemand gehört, dass ein Bankräuber auf den Bankraub verzichtet hat, weil das für die Flucht evtl. notwendige Fahren mit überhöhter Geschwindigkeit verboten ist?

Punkt 2: Angenommen, es gäbe so einen Geheimdienst-Trojaner, der von keinem Virenscanner gemeldet wird: Wie soll der in den Rechner des zu beobachtenden Bösewichts gelangen? Über eine unveröffentlichte Schwachstelle des Betriebssystems? Welches Betriebssystems? Da gibt es ja nun deutlich mehr als eins, und vermutlich dürfte die Anzahl der verschiedenen Systemversionen die Anzahl verschiedener Systeme um ein Vielfaches übersteigen. Vereinfachen wir das mal bis zum geht nicht mehr und gehen davon aus, es gibt diesen Geheimdienst-Trojaner samt passender Schwachstelle in Windows XP SP2. Die Schwachstelle wird nicht ewig unentdeckt bleiben, vor allem nicht, wenn sie ausgenutzt wird. Security by Obscurity funktioniert nicht. Auch wenn das bei Geheimdiensten sonst immer klappen sollte, im IT-Bereich klappt es erwiesenermaßen nicht. Irgendwann findet ein unbeteiligter Dritter die Schwachstelle und veröffentlicht sie. Was dann? Microsoft muss die Schwachstelle patchen, der Trojaner ist nutzlos. Die Geheimdienst-Trojaner-Entwickler müssten also immer einen ausreichenden Vorrat bisher unbekannter Schwachstellen haben. Vollkommen illusorisch. Also ein anderer Ansatz: Keine supergeheime Schwach-, sondern eine noch geheimere Schnittstelle. Die Betriebssystemhersteller werden sicher ganz begeistert sein, für zig Geheimdienste Hintertüren einbauen zu dürfen. Und selbst wenn, es gilt dasselbe Argument wie für eine unentdeckte Schwachstelle. Und wenn so eine geheime Schnittstelle entdeckt wird, möchte ich nicht in der Haut des Systemherstellers stecken...

Und Punkt 3: Was mache ich, wenn ich irgendwo auf einen neuen Trojaner stoße? Bisher würde ich antworten: Sichern, an die Anti-Viren-Hersteller schicken, das System säubern. Muss ich dann in Zukunft erst beim Verfassungsschutz anfragen, ob das ein guter oder böser Trojaner ist? Oder kann der Trojaner sich ausweisen?

Mal von verfassungsrechtlichen Bedenken ganz abgesehen - rein technisch ist die Idee so unsinnig, dass man sie sofort hätte verwerfen sollen. Aber vermutlich sind da ein paar Leute ganz wild auf eine Watschen durchs Verfassungsgericht. Ein gerahmter Ausdruck des berühmten Zitats "If privacy is outlawed, only outlaws will have privacy" von Phil Zimmermann wäre wohl ein geeignetes Weihnachtsgeschenk für einige unserer Sicherheitspolitiker.

And now something completely different...
Nur damit es nicht im Vorweihnachtstrubel untergeht: Am Dienstag hat Microsoft Patchday. Angekündigt sind fünf Security Bulletins für Windows, darunter mindestens ein "kritisches", sowie ein kritisches Bulletin für Visual Studio. Damit bleibt die letzte Woche entdeckte Schwachstelle in Word für diesen Monat ungepatcht, sofern Microsoft nicht noch kurzfristig einen Patch dazwischen schiebt. Anders als beim sonst schon üblichen "Same procedure as last month" erwarte ich diesmal keine neuen Schwachstellen/Schädlinge direkt nach dem Patchday. Diesmal werden die Bösewichte vermutlich bis Weihnachten warten. Ein dann auftauchender neuer Schädling dürfte einige Tage freie Bahn haben, bis Gegenmaßnahmen entwickelt und überall eingeführt wurden.

Carsten Eilers