2219/J-BR/2004
Eingelangt am 13.07.2004
Dieser Text ist elektronisch textinterpretiert. Abweichungen vom Original sind
möglich.
Anfrage
der Bundesräte Prof. Konecny
und
GenossInnen
betreffend
Einsatz von Schnüffelsoftware in öffentlichen Dienststellen
der Republik Österreich
an den Bundesminister für Inneres
In der aktuellen Online-Ausgabe der Computerwoche (www.computerwoche.de)
ist
unter Produkte/Technologien folgender Artikel publiziert:
Schnüffelsoftware spioniert PC-Anwender aus
Von
CW-Redakteur Martin Seiler.
MÜNCHEN
(COMPUTERWOCHE) - Big Brother is watching you! Mittels Spyware können Unbefugte
detailliert
überwachen, was Anwender an ihrem PC tun, und auf diese Weise auch
Firmeninterna ausspionieren. Doch es
gibt Tools, mit denen die Schnüffelprogramme gefunden und entfernt werden
können.
Niemand
lässt sich gern auf die Finger schauen. Leider gibt es jedoch immer wieder
Personen, die es brennend
interessiert, was andere an ihren heimischen
PCs oder den Rechnern im Büro tun. Sogenannte Spyware
befriedigt diese Neugier, der von vielen gefürchtete gläserne Anwender wird
damit zur Realität.
Glaubt
man einschlägigen Untersuchungen, können sehr viele bereits Opfer sein, ohne es
zu wissen: So fanden
der US-amerikanische Provider Earthlink und
der Sicherheitsanbieter Webroot Software heraus, dass jeder
dritte PC mit Spyware-Programmen verseucht ist. Für ihren "Spy Audit
Report" haben die beiden Unternehmen
eigenen Angaben zufolge bei zirka 1,5 Millionen PC-Scans mehr als 500.000
Spyware-ähnliche Programme
gefunden, die auf den Rechnern mit oder ohne Kenntnis der Benutzer installiert
wurden. Fast 134.000 von mehr
als 420.000 allein im April überprüften Rechnern enthielten einen Trojaner oder
ein Systemüberwachungs-Tool,
etwa einen Keylogger.
Zu
ähnlichen Ergebnissen kommen andere Untersuchungen. So wollen die Analysten von
Harris Interactive bei
einer im Auftrag des Herstellers Websense
gestarteten Telefonumfrage unter US-amerikanischen IT-Experten
im Frühjahr herausgefunden haben, dass 29 Prozent aller Rechner mit Spyware
infiziert sind. Die
Unternehmensberatung Mummert Consulting warnte im September 2003, dass jeder
dritte
Computerarbeitsplatz in deutschen Unternehmen mit Hilfe entsprechender
technischer Maßnahmen überwacht
wird. Und aus dem Pest Research Center des
Herstellers Pestpatrol ist zu hören, dass über 85 Prozent aller
deutschen Unternehmen mit Spionageprogrammen infiziert sein sollen. Die
Gesamtzahl der im Umlauf
befindlichen Überwachungsprogramme sei von Dezember 2003 bis März 2004 Von
290.000 auf fast 550.000
angestiegen.
Diese
Zahlen klingen drastisch, relativieren sich jedoch, wenn man bedenkt, dass es
unterschiedliche Arten von
Spyware gibt. Allgemein gesprochen handelt
es sich dabei um Programme, die es ermöglichen, das Verhalten
eines PC-Benutzers zu überwachen und anschließend auszuwerten. Die
Bandbreite reicht dabei von einfachen
Browser-Cookies über entsprechende Funktionen innerhalb von werbefinanzierten
Hilfsprogrammen bis hin zu
spezialisierten Lösungen, die entweder
einzelne Aktivitäten wie zum Beispiel Tastatureingaben kontrollieren
oder die komplette Überwachung eines Rechners und aller daran stattfindenden
Aktivitäten erlauben.
Oliver Pott, Geschäftsführer von Pestpatrol Deutschland,
räumt ein, dass nur sieben bis acht Prozent der
Spionageprogramme
zur höchsten Gefährdungsklasse gehören. Das Gros der Schnüffler stellen Cookies
dar,
die aufzeichnen, wann ein User welche
Web-Seiten besucht und welche Inhalte er dabei aufruft.
Einen Schritt weiter geht so genannte Adware, also
mittels Werbung finanzierte Programme: Diese
beschränken sich
häufig nicht darauf, dem Benutzer hin und wieder ein paar Produkteinblendungen
zuzumuten,
sondern sammeln wie die Software des
Unternehmens Gator, das inzwischen unter Claria firmiert, Daten über
das Surfverhalten der User und verkaufen diese Informationen an die
Werbekunden weiter. Der Hersteller nennt
dies selbstbewusst "Online-behavioural
Marketing", was so viel heißt wie am Online-Verhalten des Surfers
orientiertes Marketing. Auch die Client-Software der
Internet-Tauschbörse "Kazaa" sammelt fleißig
Informationen über
ihre Benutzer und übermittelt diese zur Auswertung und Weiterverarbeitung über
das
Internet an spezielle Server.
Der Anbieter Webroot warnt, dass Adware Komponenten auf
dem Rechner installiert, die persönliche
Informationen, beispielsweise über das Alter, Geschlecht, Wohnort,
Kaufinteressen oder Surfgewohnheiten
sammeln. Häufig
sind nur versteckt in den Nutzungsbedingungen der Software Hinweise darauf zu
finden, dass
überhaupt Spyware installiert wird. Der zumeist ahnungslose Mitarbeiter kann
sich daher nicht erklären, woher
die plötzliche Flut von Popup-Einblendungen
kommt, warum sein System langsamer läuft und auch die
Netzverbindung schlechter ist als sonst.
Die bei weitem gefährlichste Spyware-Kategorie bilden
jedoch Tools, die sich unter Oberbegriffen wie
Systemüberwachung oder Aktivitäts-Monitoring zusammenfassen lassen. Dazu
gehören etwa Keylogger, die
sämtliche Tastatureingaben erfassen und in eine Datei speichern. Diese kann von
einem Angreifer später
ausgewertet und
beispielsweise auf darin enthaltene Passwörter, Kreditkartennummem oder
sonstige sensible
Informationen untersucht werden.
"Keylogger stellen einen relativ hohen Anteil innerhalb der Spyware
dar",
warnt Experte Pott. Inzwischen verbreiten sich Keylogger auch über Viren und
Würmer: "Fizzer" (Mai 2003),
"Bugbear.B" (Juni 2003) und "Mydoom" (Januar 2004)
enthielten alle ein entsprechendes Modul, das auf den
infizierten Rechnern installiert wurde.
Eine
andere Form der Überwachung ermöglicht das im Internet verfügbare Programm
"Soundsnooper": Einmal
installiert, überwacht es die Soundkarte des PC und beginnt automatisch mit der
Aufzeichnung, sobald über das
dazu notwendige Mikrofon Sprache wahrgenommen wird. Um Festplattenplatz zu
sparen, stoppt die Aufnahme,
sobald es ruhig ist. Der Anbieter nennt als
Anwendungsmögljchkeiten unter anderem das Aufzeichnen von
Konferenzen, das Mitschneiden von Telefonaten sowie das Überwachen von
Mitarbeitern.
Neben
diesen auf bestimmte Funktionen spezialisierten Tools gibt es aber auch
Produkte, die fast alle Aktivitäten
an einem PC überwachen und dokumentieren können. Dazu gehören unter anderem
"System Recon", "Surf Spy"
(von dem es auch eine Enterprise-Version gibt), "Eblaster",
"Farsighter", "Realtime Spy", "Spy Agent", "Actmon",
"Orvell", "Spector" oder
"Winston". Einige dieser Werkzeuge erfassen nahezu alles, was am PC
geschieht. Zum
Standard zählt neben dem Protokollieren der Tastaturanschläge, der aufgerufenen
Anwendungen und der
besuchten Web-Seiten das Anfertigen von Screenshots in einem festgelegten
Intervall (siehe Kasten "Spyware-
Arten"). Auch Chat-Sessions, E-Mail-Verkehr oder Instant Messaging lassen
sich aufzeichnen, einzelne
Lösungen können sogar so konfiguriert werden, dass sie nur bei bestimmten
Schlüsselwörtern aktiv werden.
Die
Programme können zumeist völlig unsichtbar im Hintergrund laufen, so dass das
Opfer bis auf eine etwas
längere Antwortzeit seines Rechners nichts
von der Überwachung merkt. Die gesammelten Daten können
entweder automatisch per E-Mail versendet oder aber über das lokale Netz auf
einem Server gespeichert
werden, von wo aus sich dann Auswertungen starten und umfassende Reports
erstellen lassen. Auf Wunsch
blenden Produkte wie etwa Actmon Fenster ein, die den PC-Benutzer auf die
Überwachung hinweisen - eine
Funktion, die besonders beim offiziellen
Einsatz in Unternehmen interessant sein dürfte.
Orvell, Spector und Winston sind über das in Saarbrücken
ansässige Unternehmen Protectcom erhältlich.
Dessen Geschäftsführer Carsten Rau nimmt kein Blatt vor den Mund, wenn er über
die Produkte spricht:
"Überwachungssoftware
hat sich etabliert, und wir haben kein Problem damit, deutlich zu sagen, was
unsere
Software tut".
Der Erfolg des
Unternehmens scheint ihm Recht zu geben: Nachdem Protectcom im
Jahr 2002 rund 7000 Lizenzen verkaufte,
durften sich Rau und sein Team im darauf
folgenden Jahr über eine Zunahme des Geschäfts um 75 Prozent freuen. Auch in
diesem Jahr liege das Wachstum "im zweistelligen Bereich". Anrüchig
ist die
Spionagesoftware aus Sicht von Rau auch deshalb nicht, weil inzwischen neben
Privatkunden immer mehr Unternehmen, Behörden und offizielle Stellen wie
das österreichische Bundeskanzleramt derartige Tools kaufen und einsetzen.
Auch das Staatsarchiv Münster gehört zu den Kunden des
Herstellers. In der Landesbehörde ist der "Webspy
Analyzer" im
Einsatz, um zu kontrollieren, welche Web-Seiten die Mitarbeiter besuchen. Wie
Christian Wortmann,
zuständig für die Netzwerkverwaltung und die
Anwenderbetreuung, erzählt, wird jeden Monat das Surfverhalten
von zwei nach dem Zufallsprinzip ausgewählten Mitarbeitern mit Hilfe des
Tools untersucht. "Wir wollen nicht den
Big Brother spielen, aber dennoch eine
Möglichkeit der Kontrolle haben", erzählt der Spezialist, demzufolge die
Überwachung "auf einem niedrigen Level" stattfindet. Der Einsatz der
Software wurde den Mitarbeitern vorher
mitgeteilt, außerdem sichert eine Dienstvereinbarung die Auswertung rechtlich
ab.
Programme wie Orvell, Eblaster oder Actmon laden
natürlich zu Missbrauch ein, was die Hersteller auch
bereitwillig
zugeben. Sie weisen auf ihren Internet-Seiten immer wieder darauf hin, dass
hierzulande niemand
ohne seine Zustimmung überwacht werden darf.
Mathias Roth, Vice President von iOpus Software, dem
Hersteller von Actmon, glaubt an die richtige
Positionierung und verantwortungsvolle Werbung als ein Mittel, um
Missbrauch
vorzubeugen: "Wir sehen unsere Software vor allem als Werkzeug für
Systemadministratoren und
den technischen Support und bewerben sie auch entsprechend." Werbung im
Stil von "Spionieren Sie Ihrem
Gatten hinterher" sei für das Unternehmen daher tabu.
Von Actmon ist derzeit eine neue
Version in Vorbereitung, die im Sommer erscheinen soll. Diese wird Roth
zufolge die Möglichkeit bieten, auch Aktivitäten wie das Löschen oder Kopieren
von Dateien auf einem Rechner
zu protokollieren. Außerdem könne die
Software dann auch feststellen, wenn der Rechner via Netzwerk oder
USB-Stick "angezapft" wird. Roth sieht in dieser Funktion
"eine Art Intrusion Detection für das Frontend".
Fazit
Leider
arbeiten nicht alle Reinigungs-Tools
immer 100-prozentig zuverlässig: So haben
Tests
gezeigt, dass beispielsweise weder Spy-
bot
S&D noch Spy Sweeper momentan in der
Lage sind, Actmon zu erkennen. Im Zweifels-
fall
hilft also nur der Rückgriff auf ein Werk-
zeug
wie Wintasks 4 Professionals.
Dem
Manager zufolge sind es in erster Linie Firmen, die sich die Software zulegen: Derzeit
interessieren sich überwiegend Kunden aus Nordamerika (USA und Kanada) für
Actmon, in Europa und Asien sei jedoch eine steigende Nachfrage zu beobachten. Auf das Einsatzgebiet der Software
angesprochen, gibt der Manager das
Überwachen sicherheitsrelevanter PCs oder - bei einem konkreten
Verdachtsfall - einzelner Mitarbeiter an. Protectcom-Mann Rau zufolge ist es
mit Hilfe des Tools schon mehreren
Unternehmen gelungen, Mitarbeiter zu überführen, die firmeninterne
Informationen an die Konkurrenz weitergeleitet
haben.
In Fällen wie diesen ist der Einsatz von
Überwachungs-Tools also durchaus sinnvoll. In vielen anderen
Situationen haben
jedoch nicht nur einzelne Mitarbeiter im Unternehmen, sondern auch die für die
Sicherheit
zuständigen IT-Experten aus Gründen der
Geheimhaltung beziehungsweise Spionageabwehr ein Interesse
daran, Spyware zu finden und zu entfernen. Diese kann schließlich auch
von einem externen Angreifer in das
Netz geschleust worden sein. Der US-amerikanische Sicherheitsexperte Marcus
Ranum kritisiert im jüngsten
Sicherheits-Newsletter des
System-Administration-, Networking- and Security-(SANS-) Institute, dass die
IT-
Abteilungen dieses Problem viel zu lange ignoriert haben: "Ein Elefant
lässt sich nicht unter den Teppich
kehren."
Wer einen Rechner von Spionagesoftware befreien will,
kann dazu Spezial-Tools wie "Wintasks 4
Professionals" benutzen. Diese Lösung bietet umfangreiche
Analysefunktionen, die weit über das
Leistungsvermögen des Windows-eigenen Task Managers" hinausgehen und dem
Anwender selbst im
Hintergrund verborgen laufende Prozesse und Anwendungen anzeigen. Diese lassen
sich dann gezielt
beenden,
ungewünschte Programme können dauerhaft aus dem System entfernt werden.
Allerdings erfordert
die Bedienung dieser Software spezifische Systemkenntnisse und ist zudem
zeitraubend. Leichter geht es mit
speziellen Tools, die den Rechner
untersuchen und Schnüffelprogramme deinstallieren.
Eine ganze Reihe von Anbietern hat sich inzwischen auf
solche Spyware-Entferner spezialisiert. Ähnlich wie
Virenschutzprogramme benutzen diese Lösungen Signaturen, anhand derer sie
datensammelnde Eindringlinge
entlarven. In der Regel lassen sich verdächtige Anwendungen zunächst isolieren,
bevor sie in einem weiteren
Schritt dauerhaft
vom System gelöscht werden. Zu den bekanntesten Vertretern dieser Gattung
gehören "Spybot
Search & Destroy", "Spy Sweeper" oder
"Pestpatrol".
Im Internet finden sich zudem kostenlose Utilities zur
Überprüfung des Rechners, etwa "Elbtecscan" des
Hamburger
Softwarehauses Elbtec GmbH. Dieses kompakte Werkzeug ist jedoch insofern
eingeschränkt zu
benutzen, als es lediglich Spector, Eblaster
und Orvell erkennt. Der Hersteller Pestpatrol bietet unter
www.pestscan.de einen Online-Service, der den Rechner auf
Schnüffel-Tools untersucht.
Speziell für Unternehmen, die sicherstellen wollen, dass
niemand Unbefugtes den eigenen Mitarbeitern bei der
Arbeit über die Schulter sieht, bietet sich Version 5.5 von
"Pestpatrol" an. Die Software ist Server-basiert, und
lässt sich von dort auf den Arbeitsplatzrechnern der Mitarbeiter installieren.
Von einer zentralen Konsole aus
können Administratoren dann den virtuellen Kammerjäger durchs Netz schicken und
die elektronischen Spione
von den Rechnern
ihrer Mitarbeiter entfernen lassen. Auch Websense macht mit "Websense
Enterprise" Jagd auf
die Schnüffelsoftware. Dabei wird der
Datenverkehr im Netz mit Hilfe spezieller Algorithmen gefiltert.
Der Einsatz solcher Technologien erlaubt es dem
Dienstgeber - eventuell dem
Ressortchef oder leitendem Beamten -jede Aktivität der MitarbeiterInnen
auf ihren
EDV-Arbeitsplätzen zu kontrollieren. Jede besuchte Internetseite kann
aufgezeichnet
werden, jedes Email, das gesendet oder empfangen wurde, kann der
Dienstgeber
lesen, alle Tastenanschläge werden gespeichert, wann welches Programm
aufgerufen wird wird dem Dienstgeber mitgeteilt und durch regelmäßige
Bildschirmaufnahmen können alle Chatunterhaltungen und sonstige Anwendungen
(auch Spiele) registriert werden.
Nicht umsonst wurde für ein Programm der Titel „Orvell
Monitoring" gewählt: Alle
DienstnehmerInnen werden für den Dienstgeber zur gläsernen Person.
Die unterzeichneten Bundesräte richten daher an das
genannte Mitglied der
Bundesregierung folgende
Anfrage
1.
Haben Sie oder ihr Ressort Software beschafft, die es
ermöglicht, das
Verhalten der MitarbeiterInnen am EDV-Arbeitsplatz zu überwachen oder zu
kontrollieren?
2.
Wenn ja, um welche Software handelt es sich genau?
Wieviele Lizenzen
wurden angekauft?
3.
Wenn ja, welche
Kosten hat diese Beschaffung verursacht?
4.
Wenn ja, wie wird diese Software im Detail eingesetzt? Welche
MitarbeiterInnen werden in welchem
Umfang überwacht?
5.
Wenn ja, auf welcher Rechtsgrundlage basiert der Einsatz dieser
„Überwachungs-Software"?
6.
Wenn ja, haben sie
diesen Einsatz mit der Personalvertretung abgesprochen?
7.
Wenn ja, wurden von diesem Einsatz alle MitarbeiterInnen umfassend
informiert?
8.
Wenn ja, was
passiert mit den aufgezeichneten Daten und wer hat Zugang
aus welchen Gründen zu diesen?
9.
Wenn ja, was soll
mit der Überwachung erreicht werden?
10.
Wenn ja, haben diese Überwachungen zu konkreten dienstrechtlichen
Schritten
gegenüber einem oder mehreren MitarbeiterInnen geführt?