Was Wissen schafft: China kopiert nun auch trojanische Pferde

Jetzt sind die Ideendiebe aus Fernost aber wirklich zu weit gegangen. Gerade eben hatte der Bundesinnenminister die geniale Idee, die Heimcomputer der Bürger mit Hilfe eines „Trojaners“ auszuspionieren. Doch während die Regierung erst einmal kritische Fragen von Datenschützern zur geplanten Online-Durchsuchung beantworten muss, kopieren die Chinesen frech Schäubles Idee: Sie platzieren gleich haufenweise Trojaner im Kanzleramt, im Auswärtigen Amt, im Wirtschaftsministerium und im Forschungsministerium. Der Abtransport von rund 160 Gigabyte Daten aus Regierungs-PCs nach Fernost wurde laut „Spiegel“ erst im letzten Moment gestoppt.

Sind die internationalen Hackerbanden wirklich so allmächtig, dass selbst Regierungscomputer nicht zuverlässig geschützt werden können? Die Antwort ist beruhigend für gemeine PC-Bediener, jedoch beunruhigend für den Staatsschutz: Gewöhnliche PCs, wie die betroffenen Rechner von Regierungsmitarbeitern, sind ziemlich gut abzusichern. Die chinesischen Trojaner konnten jedoch im großen Stil eindringen, weil die Regierungscomputer nur mangelhaft geschützt waren.

Moderne Ausforschungsprogramme bestehen meist aus drei Komponenten: Dem Trojaner, der Spyware und dem Rootkit. Trojaner sind Programme, die vorgeben etwas Nützliches zu tun, jedoch heimlich Schaden anrichten. Ein typischer Trojaner gelangt im E-Mail-Anhang auf den PC, etwa als Word-Datei oder als Foto. Beim Öffnen des Anhangs installiert sich der Trojaner und lädt später, unbemerkt und unter Umgehung der Firewall, das eigentliche Ausforschungsprogramm aus dem Internet herunter. Diese Spyware kopiert dann Daten von der Festplatte, protokolliert den E-Mail- Verkehr und besuchte Websites, sammelt Passwörter oder zeichnet sogar die Tastaturanschläge und das Bild der (vermeintlich ausgeschalteten) Webcam auf. Die gesammelten Informationen verschickt die Spyware über das Internet an ihren Auftraggeber. Das Rootkit schließlich versteckt die Spyware tief in den Kellern des Betriebssystems, damit sie nicht von Antivirusprogrammen entdeckt wird. Eine bisher unbekannte Spyware, deren Erkennungsmuster („Signatur“) in den gängigen Antivirusprogrammen noch nicht hinterlegt ist, kann deshalb unter Umständen auch mit großem Aufwand kaum gefunden werden.

Bei der Virusabwehr kommt es also darauf an, Trojaner nicht hereinzulassen und auf keinen Fall auszuführen, damit sie die unsichtbaren Schadprogramme nicht aus dem Internet nachladen können.

E-Mail-Anhänge sollten deshalb nur geöffnet werden, wenn sie erwartet wurden – das gilt auch für bekannte Absender, weil Trojaner häufig Adressen aus infizierten Rechnern als Scheinabsender verwenden. Noch besseren Schutz bietet die digitale Signatur aller E-Mails. Doch obwohl diese sinnvolle Funktion in gängigen E-Mail- Programmen zur Verfügung steht, wird sie – auch in den Bundesministerien – kaum genutzt. Zweitens sollten in unbekannten E-Mails oder auf nicht mit SSL gesicherten Webseiten (SSL- Seiten haben den Vorspann https://) keine Links geöffnet werden, weil sich dahinter ein Downloadbefehl für einen Trojaner verstecken kann.

Schließlich müssen das Betriebssystem und die Anwenderprogramme (insbesondere MS-Office) immer aktuell gehalten werden, weil Trojaner auch durch deren Sicherheitslücken eingeschleust werden können. Eintrittspforten für noch unentdeckte Sicherheitslücken (Zero-Day-Exploits) werden auf dem Schwarzmarkt mit einigen Zehntausend Dollar gehandelt. Bis das Sicherheitsupdate herauskommt, können Geheimdienste und kriminelle Hacker mit diesen Zero-Day-Exploits einige Tage lang ihr Unwesen treiben. Wegen der hohen Kosten lohnt sich das aber nur bei staatlicher oder industrieller Spionage und nicht bei Privatcomputern.

Selbst wenn die chinesischen Hacker die Berliner Regierungsbehörden besonders heimtückisch mit einem Zero-Day-Exploit angegriffen haben sollten (wozu es bisher keine Stellungnahme gibt), entschuldigt das nicht die hohe Erfolgsquote der Attacke: Mit eiserner Mausklick-Disziplin und ordentlichen Software-Updates wären wahrscheinlich nicht vier Regierungsstellen, sondern höchstens eine Handvoll Rechner infiziert worden.

Der Autor ist Institutsdirektor und Professor für Medizinische Mikrobiologie in Halle. Foto: J. Peyer

Alexander S. Kekulé