Seit dem 19. März 2007 wird die aktuelle ELSTER-Software für das Jahr
2006/2007 in der Version 8.1.0.0 [1] für den Steuerbürger bereitgestellt.
Schon von Anfang an hegten Experten Zweifel an der Integrität der 18 MB
großen .exe-Datei. Nach einer mehrtägigen intensiven Analyse fand der Chaos
Computer Club (CCC) nun deutliche Hinweise, dass über die fragwürdige
Software der sog. Bundestrojaner [2] verbreitet wird.

Der Bundestrojaner, kürzlich als neues Werkzeug des Überwachungsstaates in die
Schlagzeilen geraten, soll das Ausspähen der gesamten steuerpflichtigen
Bevölkerung ermöglichen. Jeder Bürger mit eigenem Einkommen wird in Zukunft
verpflichtet, die Steuererklärung mittels ELSTER-Software abzugeben. Dass es
dem CCC nach wenigen Tagen gelang, den Trojaner ausfindig zu machen, spricht
nicht eben für die Qualität der Spitzelsoftware.

Die Analyse zeigte verschiedene verdächtige Module, wie z. B.
wte0104-brsjm.digit, das u. a. vorhandene Mikrofone und Kameras in modernen
Computern einschalten kann. Weitere Routinen dienen der Durchsuchung der auf
dem Rechner gespeicherten Dateien. Eine Funktion sendet Daten vom
Benutzerrechner ferngesteuert an den BKA-Rechner mit der IP-Adresse
217.7.176.25 [3].

Der Trojaner tauscht offenbar auch einige Systemdateien aus, um sich
unabhängig vom ELSTER-Programm auf dem System einzunisten. Die Schadsoftware
erzwingt danach einen Neustart des Rechners. Auf dem Bildschirm des
betroffenen Computers erscheint dazu die Fehlermeldung: "Systemfehler
70797976 - Neustart erforderlich."

Pikanterweise wird ein Port auf dem infizierten Rechner geöffnet, der es
erlaubt, neue Suchbegriffe nachzuladen. Das ist insofern problematisch, da
die Suchfunktion eine Schwachstelle enthält, die es einem Angreifer erlaubt,
nicht nur Suchbegriffe, sondern beliebige Daten und ausführbaren Code auf dem
Rechner zu platzieren. "Damit ist der unbemerkten Manipulation aller Daten
Tür und Tor geöffnet." sagte CCC-Spezialexperte Jens-Thorben Janckiewozki.

Eine erste Ausnutzung dieser Nachladeschwachstelle wurde auch schon in der
freien Wildbahn beobachtet. Ein schwer zu analysierender, auf Schwachstellen
des Bundestrojaners aufsetzender Wurm dient wahrscheinlich dem Abfangen von
PIN- und TAN-Eingaben von Onlinebanking-Benutzern der Postbank. Auch erste
Zusammenschlüsse von gekaperten Rechnern zu sogenannten Botnetzen wurden im
Verlaufe des Samstags beobachtet. Der Chef des BSI hatte unlängst Botnetze
als größte Gefahr im Internet ausgemacht.

Bisher war weder das BKA noch das Bundesinnenministerium für eine
Stellungnahme zu erreichen. Unter der Hand gab ein Techniker des BKA jedoch
zu, dass in den eigenen Reihen niemand den Trojaner programmiert hätte. Dafür
mussten schon aus Kostengründen im Ausland Fachkräfte angeworben werden. Die
großen Antivirenhersteller haben mittlerweile ebenfalls mit der Analyse
begonnen und hoffen in den nächsten Tagen entsprechende Updates zu
verbreiten.

* [1] www.elster.de
* [2] de.wikipedia.org
* [3] www.ripe.net