Wie kommt der Bundestrojaner auf Dein Gerät? Alle Deine Geräte können betroffen sein.

Wie kommt der Bundestrojaner auf Dein Gerät?

Vor kurzem haben wir einen Artikel über den Bundestrojaner veröffentlicht. (Der neue Bundestrojaner ist bereits im Einsatz). Viele Leser haben mich gefragt, wie der Bundestrojaner auf die Geräte der zu überwachenden Personen gelangen.

Ich werde versuchen dies an dieser Stelle einfach zu erklären. Die Methode, welche wir hier beschreiben, führt in mehr als 90% aller Anwendungen dazu, dass der Trojaner unbemerkt auf das gerät der Zielperson gelangt. Daher ist dies die favorisierte Methode der deutschen Überwachungsbehörden. Es gibt aber auch noch andere Wege, wie ein Smartphone, Tablet oder auch PC mit dem „FINFISHER“ Überwachungstrojaner infiziert werden können. Der physikalische Zugriff auf die Geräte ist jedoch meistens nicht ohne weiteres möglich, weshalb der beschriebene Weg sozusagen den „Normalfall“ darstellt.

Nutzer denen der Bundestrojaner installiert wird, merken davon nichts. Keine Schutzsoftware oder auch kein Virenscanner kann diesen Trojaner entdecken oder die Installation verhindern.

Die Installation über Mithilfe des Internetanbieters „zB. Deutsche Telekom“.

Wie der Bundestrojaner installiert wird.
Wie der Bundestrojaner installiert wird.

 

Der übliche Weg, wie der Bundestrojaner auf ein beliebiges Gerät kommt (Windows, Mac OS, Android oder auch Apple iPhones und iPad sind davon betroffen), ist über eine Weiterleitung von häufig benutzten Webseiten auf Seiten, welche speziell für den Nutzer präpariert wurden. Diese Umleitung wird vom Internetanbieter des Nutzers nach einer Anordnung von Behörden umgesetzt.

 

Das bedeutet, wenn ein Nutzer zum Beispiel seine E-Mails (zB.bei gmx.de) öfters abfragt, dann kann die „Deutsche Telekom“ diesem Nutzer bei dem nächsten Öffnen der Webseite im Browser auf eine gleich aussehende Seite leiten. Der Nutzer merkt diese Umleitung nicht, er sieht eine Seite welche auch mit der selben Domain angezeigt wird. Die präparierte Seite ladet allerdings unbemerkt in den Browser auch eine Installationssoftware des Bundestrojaners.

Da der Nutzer aber eine manuelle Bestätigung abgeben muss, damit diese Installationssoftware auch aus dem Browser direkt im eigenen Gerät installiert werden kann, wird auf der „präparierten Webseite“ zum Beispiel das Bestätigen beim „Einloggen“ dazu missbraucht. Also der Nutzer meldet sich normal an einer Webseite an, in dem Moment wo er aber den Button zum Anmelden betätigt, wird die Installationssoftware des Trojaners lokal ausgeführt. Natürlich unbemerkt. Im Anschluß öffnet sich die echte Webseite im Browser des Nutzers, welcher davon nicht mitbekommen hat.

Deutsche Internetanbieter helfen auf Anweisung von Behörden.
Betroffen sind alle mobilen Geräte aber auch Computer und Laptops.

Dieser Vorgang wird aber auch von anderen Internetanbietern wie Unitymedia, oder Mobilfunkanbietern wie O2, Vodafon, Telekom etc. umgesetzt. Dabei wird zielgerichtet diese Umleitungen nur für einzelne Nutzer durchgeführt. Der Vorgang dauert nur wenige Sekunden und wird vollautomatisch umgesetzt und daraufhin ist der Bundestrojaner installiert und kann damit sämtliche Tätigkeiten und Eingaben am betroffenen Gerät überwachen, speichern und auch aktiv an die überwachende Behörden melden.

Wie geht das, die Webseitenzugriffe umleiten?

Diese Umleitungen werden über DNS und auch verschiedene andere Umleitungsmöglichkeiten im Netzwerk des Internetanbieters bewerkstelligt. (Basis: Layer 2). Damit ist eine Wahrscheinlichkeit, dass dies bei einem Nutzer angewendet werden kann und erfolgreich ist bei mehr als 95%. Darum ist diese Installationsmethode auch die am meisten verbreitete.

Der Bundestrojaner wird auch „FINFISHER“ genannt. Die Hintergründe zu den „FINFISHER Entwicklern“ habe ich in einem vorigen Artikel genauer beschrieben. Hole Dir diese Informationen bitte aus dem verlinkten Beitrag. Das Besondere an der Software ist es auch, dass eine Entdeckung eigentlich unmöglich ist, die Anwendung kann sich selbst löschen und bei Bedarf auch selbstständig wieder nachladen. Einen eindeutigen Nachweis, dass man diesen Trojaner installiert hat, gibt es damit nicht.

Version des deutschen Bundestrojaners nun auch in Österreich.

Auch die österreichische Behörden haben erst vor wenigen Wochen einen Vertag mit dem Anbieter abgeschlossen, daher kann man davon ausgehen, dass „FINFISHER – Überwachungssoftware“ bereits auch in Österreich zum Einsatz kommt (Auch wenn es derzeit nur Testweise erfolgt). Klar ist auch, dass die gesetzlichen Rahmenbedingungen, welche dazu führen, dass die Internetanbieter wie A1, T-Mobile, Drei, UPC zur Mithilfe dabei verpflichtet werden, bereits in der Begutachtung zum Beschluss sich befinden. In Testphasen werden derzeit auch technische Machbarkeiten und Prozesse durchgespielt. Spätestens mit Sommer 2018 wird damit FINFISHER auch in Österreich flächendeckend gegen Personen zum Einsatz kommen können.


Fragen zum Bundestrojaner

Kann ich es verhindern, dass mir der Trojaner installiert wird?

Es gibt generell zwei Methoden wie der Torjaner auf Dein Gerät kommen kann:

  1. Physischer Zugriff und Installation auf das Gerät
  2. Über die beschriebene „Webseitenumleitung Deines Internetanbieters“

Im ersten Fall ist es notwendig, dass jemand auf Dein Gerät Zugriff hat und den Trojaner entsprechend installieren kann. Im zweiten Fall, wird der Trojaner über Deinen verwendeten Internetanbieter installiert. Das bedeutet, dass Du wenn Du dem Internetanbieter die Kontrolle über Deine Internet-Aktivitäten entziehst (Verwendung eines VPN Services und zwar ausnahmslos), dass dieser auch keine wirkungsvollen Umleitungen Deiner Aktivitäten steuern kann. Damit ist dieser Installationsweg nicht mehr umsetzbar und Du bist sicher.


Kann ich merken, wenn ich den Trojaner bereits installiert habe?

Nein. Du wirst weder mit Hilfe einer Software oder auch nicht manuell diese Trojaner auf Deinen Geräten entdecken können. Es gibt praktisch keine verräterischen Merkmale. Daher wenn Du sicher gehen willst, dann verwendest Du ein neues Gerät, welches Du niemals ungeschützt Deinem Internetanbieter nutzen hast lassen.


Schützt mich eine Firewall, oder ein Virenscanner vor der Installation?

Nein. Es werden dabei Sicherheitslücken in Deinem Betriebssystem als auch dem Browsern ausgenutzt. Firewalls und auch Virenscanner sind nicht in der Lage diese für Sie unbemerkte Installationsarten zu entdecken oder zu verhindern.


Welche Dinge kann der Bundestrojaner bei mir am Gerät tun?

Der Bundestrojaner ist ein hochentwickletes Tool das unglaublich klein programmiert wurde. In der vollen Ausstattung benötigt diese Software weniger als 5MB Größe auf Deinem Gerät. Damit sind sämtliche Betriebssysteminformationen abrufbar: GPS Daten, Bewegungserkennung über dem Beschleunigungssensor, Mikrofon und Lautsprecherzugriff, Sämtliche Bildschirmdarstellungen sind abrufbar sowie jede Texteingabe, Fotos, Videos, Kontaktdaten, SMS und so weiter sind abrufbar. Damit sind auch eigentlich verschlüsselte Nachrichten wie in Whatsapp, Telegram oder auch Signal Messenger sehr einfach verfolgbar.

Also der Trojaner hat genausoviel Zugriff auf alle Daten, wie das Gerät selbst oder Du als Nutzer hast.


Ist es erlaubt, dass mir jemand den Bundestrojaner installiert?

Ja, die gesetzliche Regelung sieht zwar das Einverständnis der Behörden voraus, ist aber klar auch gesetzlich geregelt. Interessant ist aber auch, dass deutlich mehr Installationen innerhalb Deutschlands bisher erfolgt sind, als die offiziellen Angaben dazu erkennen lassen. Deshalb kann man auch von einer eher unbürokratischen Möglichkeit für deutsche Dienste ausgehen. Auch ausländische Anforderungen werden berücksichtigt, so ist davon auszugehen, dass für die USA ebenso deutsche Bürger und auch Ausländer innerhalb Deutschlands damit ausgestattet werden.


Wie kann man sich vor dem Bundestrojaner schützen?

Im Grunde, wenn man die Installationsmethoden kennt, dann kann man auch diesen Möglichkeiten keine Chance geben und damit auch sicherstellen, dass der Trojaner nicht auf dem eigenen Gerät installiert wird.

Vorbereitung

Als erstes muss man sicherstellen, dass man den Trojaner nicht bereits installiert hat. Das ist am ehesten zu garantieren, wenn man ein neues gerät verwendet oder bei seinem bisherigen Geräten eine neue Festplatte oder Speicher verwendet (Betriebssytem zurücksetzen hilft nicht auf Smartphones!)

Die Installation verhindern

1. Physikalischen Zugriff ausschließen

Dann sollte man immer sicherstellen, dass niemand anders auf das Gerät Zugriff erhält, auch nicht für nur wenige Minuten!

2. Benutzer immer einen VPN!

Mit dem Gerät NIEMALS ohne eine aktive VPN Verbindung Webseiten öffnen oder das Internet benutzen. Verwende von Anfang an die Option: „KillSwitch“ auf Deinen Geräten.

VPN schützt vor Datenmanipulation durch den Internetanbieter
VPN schützt vor Datenmanipulation durch den Internetanbieter

Verwende zur Installation der VPN-Client Software die AppStores der Anbieter aber niemals den Webbrowser. In dem Moment wo Du mit einem Gerät den Webbrowser nutzt, und dies ohne eine aktive VPN Verbindung, kann Dein Internetanbieter auch Zugriff auf die übertragenen Daten erlangen und es besteht die Gefahr, dass der Trojaner bereits dabei installiert wird.

VPN Anbieter für „Sicherheit“ finden.


Hilfe & Beratung zum Schutz vor Überwachung oder Angriffen aus dem Netz.

Es gibt viele Organisationen und auch Personen, welche zu Recht Sorge darüber haben, dass die eigene Regierung mit diesen Überwachungsmassnahmen auch Druckmittel erlangen oder schwerwiegende Eingriffe in den Schutz der eigenen Kommunikation und Daten vornehmen kann.

Wir können mit dem Wissen aus erster Hand und Erfahrungen, dabei helfen, diese Überwachungsmassnahmen gänzlich auszuschließen. Wir bieten diese Hilfe und Beratung unentgeltlich an!

Bitte beachte auch, dass wir zwar einen LiveChat auf der Seite anbieten, für einfache Kommunikation und einfache Fragen zu den Themengebieten. Unser Verhaltenscodex erlaubt uns aber nicht, umfangreiche und komplexe Themengebiete, welche sicherheitsrelevante Auswirkungen haben können, per Chat zu besprechen. Dazu sind unserer Auffassung nach, nur persönliche und direkte Gespräche der richtige Rahmen.

Jedoch tun wir dies ausschließlich, wenn uns die möglichen Gefahren, wahrscheinlich erscheinen, oder es berechtigte Sorgen oder humanitäre oder demokratische Gründe dafür gibt, den staatlichen Überwachungsmassnahmen zu entgehen. (Beispiele: Journalisten, Whistleblower, Aktivisten für Frieden und Gerechtigkeit, Oppositionelle. etc)

Solltest Du daher eine entsprechende Beratung und Hilfe in Anspruch nehmen wollen, dann kannst Du uns kontaktieren unter unserer Adresse:
E-Mail: bt(at)vavt.de (PGP Public Key für Verschlüsselung)



Fragen & Hilfe - Kontakt

22 Gedanken zu “Wie kommt der Bundestrojaner auf Dein Gerät? Alle Deine Geräte können betroffen sein.

  1. Und wie bitte soll das gehen, daß man den Benutzern eine gefälschte Webseite unterschiebt, ohne daß er es merkt?
    Also ich persönlich verwende den Firefox mit den Addons Noscript und HTTPS Everywhere. Außerdem achte ich darauf, ob die Webseiten, die ich ansurfe, auch Transportverschlüsselung verwenden. Da wird das ein bißchen schwierig, ohne daß der Browser sich beschwert, oder?

    • Nein ist es überhaupt nicht, wenn ich Dein Internetzugangsanbieter bin, kann ich jede Form der Manipulation vornehmen OHNE dass Du es merken wirst. Du wirst vermutlich ja nicht überprüfen, dass der Websererver der aufgerufen wird auch die selbe IP-Adresse hat wie der Webserver der eigentlichen Seite. Und die Umleitungen brauchen kaum Daten dazu. Also wer den Zugang zum Internet kontrolliert und die verwendeten DNS Server umleiten kann, der kann jede Umgebung auch völlig unbemerkt vortäuschen oder auch in die Daten welche übertragen werden jede Art der Manipulation vornehmen. Denn das Netzwerk das Du verwendest (Zwischen Deinem Internetrouter + dem Internetanbieter) ist ein privates Netzwerk mit lokalen und privaten IP-Adressen und Regeln. Sicherheitsmechanismen die im Internet verfügbar sind, sind in privaten Netzwerken immer auch umgehbar.

      • Tja, das Problem für den Provider fängt damit aber schon mal dort an, daß ich meinen eigenen DNS-Server betreibe. (Auf einem Raspberry.)

        Und die Transportverschlüsselung stellt ja nicht nur sicher, daß keiner mitlesen kann, sondern auch, daß die Inhalte nicht manipuliert werden können und die Authentizität der Seite geprüft wird. (Und es gibt ja auch sowas wie Key Pinning, was der Firefox unterstützt.)

        Also nochmal die Frage, damit ich das verstehe: wie will der Provider das so machen, daß ich das nicht mitkriege?

        • Wenn Du deinen eigenen DNS betreibst ist das löblich keine Frage aber eben unrealistisch das von den meisten Nutzern zu erwarten.
          Und ich kann Dir das gerne zeigen wie das geht, Du kommst zum mir, benutzt mein lokales Netzwerk und Du wirst Seiten aufmachen und keine Transportdatenüberwachung wird merken, dass Du nicht die eigentliche Seite geöffnet hast. Die Internetnutzer verwenden auch nur die lokalen Netzwerke der ISP, dahingehend ist das dann völlig identisch. Gerne bist Du eingeladen, jederzeit einfach melden.

  2. Koennte nicht eine pro aktive malware wie Hitman den trojaner aufspüren ?

    Jede trojan-Software hat doch ein Verhaltensmuster oder ?

    Gruesse john

    • Mir ist keine Lösung bekannt, mit der man dies aufspüren kann, nachdem ja vorwiegend Betriebssystem eigene Funktionen genutzt werden, und die Nutzer aktiv die Installation freigeben, verhaltet sich der Trojaner nicht zwangsläufig wie ein Schadsoftware.

  3. Grüß Gott,
    Programme können bei iOS doch nur über den Apple AppStore heruntergeladen und installiert werden.
    Der Trojaner kann dann also nur mit Apple Hilfe installiert werden.
    Meiner Meinung nach sollte man keinem IT Produkt vertrauen.

    • Das iOS Geräte Nutzer die Kontrolle über die Sicherheit generell an Apple ausgelagert haben ist bekannt ja.
      Daher muss man dabei Apple zu 100% vertrauen, und kann daran auch nichts ändern.
      Apple agiert aber derzeit meiner Ansicht nach nicht auf Anforderungen von EU Behörden, daher würde ich mal ausschließen, dass der BT darüber installiert wird. e Apps

      Es ist auch nicht notwendig, denn um dieses Tool auf iOS zu installieren werden andere Methoden gewählt, und ist damit unabhängig von der Installation über den Appstore. Also nein der BT ist keine App die über den Appstore geladen wird.

      • Wenn Du sagen kannst über welchen Webdienst oder Server die ein/ausgehenden Verbindungen stattfinden, dann ja. Ich denke aber das wird sehr schwer werden, das von anderen offenen TCP-Verbindungen zu trennen.

    • Die Berichte der Bundesregierung beziehen sich auf einen kleinen Teil des Umfanges der Nutzung. Alleine in den Testphasen vor der Einführung/gesetzlichen Regelung wurde ausserordentlich mehr als 100 Lizenzen der Software abgerufen und auch verwendet. Alle Informationen dazu gelten, auch wenn es demokratisch natürlich nicht passend ist, als „Amtsgeheimnis“ eingestuft. Daher sind Informationen die in den Berichten gegeben werden immer nur ein kleiner Ausschnitt des Gesamtbildes und lassen viele Aspekte unberücksichtigt. Es gibt leider eigentlich kaum eine wirklich zuverlässige offizielle Quelle dazu, aber es ist auch zu kurz erfasst, wenn man nur den offiziellen Berichten glauben schenkt. Wie immer wird die Wahrheit dazu in der Mitte oder eben gänzlich wo anders zu suchen sein.

  4. „Mit dem Gerät NIEMALS ohne eine aktive VPN Verbindung Webseiten öffnen oder das Internet benutzen.“

    Irgendwie muss ich doch die VPN-Programme und Konfigurationsdateien herunterladen. Ganz gemein wäre es, wenn mir die VPN-Software verwanzt wird oder die heruntergeladene Konfiguration auf einen anderen Server verweist.

    Gibt es eine Empfehlung, wie ich sicher das VPN von Anfang an einrichte?

    • Es gibt auch Software die so zusagen als Träger für Trojaner dient. Das ist und war bei CCleaner so und auch bei HotSpotShield.
      Je nach Anbieter kann man die Software aver auch direkt runterladen (auch APK Dateien) und dann über USP oder zb auch per E-Mail an das Zielgerät senden.
      Das ist aber von Anbieter zu Anbieter und auch bei Geräten und Plattformen unterschiedlich. Deshalb habe ich hier nicht angefangen diese Wege zu beschreiben, es macht aber Sinn sich in jedem Einzelfall dabei den besten Weg zu überlegen. Immer dann, wenn Du sozusagen ohne Internetverbindung und offline einen VPN Client installierst ist das ratsam.

      Was auch möglich ist, ein neues Gerät NICHT mit dem eigenen Internetanbieter oder der eigenen SIM Karte in betrieb zu nehmen. Damit reduziert man das Risiko wenn es auf einen abgesehen wurde auch deutlich. Am Ende ist das ja alles auch zielgerichtet auf die Anschlüsse die Einzelpersonen verwenden.

      TIPP: Oder Du verwendest VPN am Router, dann sind die damit verbundenen Geräte auch alle geschützt obwohl Du dann die Software auch direkt über den Browser auf dein Gerät laden kannst.

      • Grüß Gott,
        bei physikalischen Zugriff auf das iOS Gerät kann eine Installation von Software funktionieren,
        daß kann ich mir vorstellen,aber wie soll denn eine Software installiert werden ohne physikalischen Zugrif und ohne AppStore?

        • Du wirst verstehen, dass Möglichkeiten um durch Sicherheitslücken auszunutzen oder eben auch Veränderungen durchzuführen, kein Thema dieses Beitrages sein wird. Aber dass iOS ebenso entsprechende Lücken hat, welchen Zugriffe und auch Möglichkeiten zur Manipulation zulassen ist unbestreitbar. Dabei ist die Mitwirkung von Apple möglich, aber nicht unbedingt erforderlich. (Nur ein Beispiel: Cellebrite)

  5. ‚… Diese Umleitungen werden über DNS und auch verschiedene andere Umleitungsmöglichkeiten im Netzwerk des Internetanbieters bewerkstelligt. …‘

    Hilft da eine manuelle Einstellung in dem Router (z.B. FritzBox) zu https://dns.yandex.com/ ?
    Oder ist es hierbei sinnlos?

    • DNS ist leider nur ein Weg, der zwar sehr einfach für den ISP ist aber, es gibt auch andere Wege für den ISP die Datenzugriffe zu Webseiten umzuleiten. Also je nach verwendeten Gerät, und auch ISP kann es helfen oder eben auch nicht. Es ist aber wichtig alternative DNS zu verwenden, immer.

Schreibe einen Kommentar