US-Bundestrojaner CIPAV kommt offenbar inflationär zum Einsatz

Das US-Magazin Wired hat dank einer Anfrage nach dem Freedom of Information Act die Veröffentlichung von Dokumenten erreicht, die eigentlich noch eine Weile geheim bleiben sollten und das Online-Ermittlungstool des FBI betreffen – die sogenannte CIPAV-Software (Computer IP Address Verifier) lässt sich in Teilen mit dem in Deutschland konzipierten "Bundestrojaner" vergleichen. Obwohl man bislang davon ausgegangen war, dass dieses Tool recht selten verwendet wird, heißt es schon auf der ersten Seite des 27 Megabyte großen PDF-Dokuments seitens der amerikanischen Behörde:

"While the technique is of indisputable value in certain kinds of cases, we are seeing indications that it is being used needlessly by some agencies, unnecessarily raising difficult legal questions (and a risk of suppression) without any countervailing benefit."

Zwar sind in dem stark geschwärzten Dokument kaum Einzelheiten zur Funktionsweise des CIPAV enthalten, doch zusammen mit einem Antrag auf den Einsatz des Tools aus dem Jahr 2007, als die CIPAV-Software zur Identifizierung eines Jugendlichen führte, der seine ehemalige High School mit Bombendrohungen per E-Mail belästigte, lässt sich ein recht deutliches Bild zusammenfügen: Das FBI verwendet offenbar Exploits, die Schwachstellen des jeweiligen Web-Browsers ausnutzen, um das Schnüffelprogramm an den Mann zu bringen; die jeweiligen Opfer könnten durch entsprechende Social-Engineering-Methoden zum Besuch einer präparierten Website gebracht worde sein. Letztlich greift das FBI damit auf profane Mittel zurück, die in exakt derselben Manier auch von Internetkriminellen eingesetzt werden.

Diese Lehren und Erkenntnisse werfen auch auf den Einsatz des "Bundestrojaners" in Deutschland ein neues Licht: Wie in den USA behauptet man auch hierzulande, dass die Spionagesoftware lediglich wenige Male pro Jahr zum Einsatz kommen soll. Und während der bayerische Verfassungsschutz auch in Wohnungen einbrechen darf, um die Infiltration der Re…