Digitask – Staatstrojaner-Entwickler unter Beschuss

Wie sich jetzt herausgestellt hat, wurde der zweifelhafte Staatstrojaner von den Softwareentwicklern des hessischen Unternehmens Digitask entwickelt, der wiederum vom Bundesland Bayern beauftragt wurde. Digitask ist keine unbekannte Firma, wurde sie doch schon 2009 mit dem Negativpreis „Bigbrotheraward“ ausgezeichnet (mehr dazu im Artikel).

Nachdem ja schon der Chaos Computer Club auf die gravierenden Sicherheitslücken des Trojaners hingewiesen hatte, geben nun auch andere IT-Fachleute, die den Code erhalten haben, ihre Urteile dazu ab.

Digitask entwickelten Staatstrojaner

Das Unternehmen Digitask, welches den vom CCC entschlüsselten Staatstrojaner entwickelt hat, ist in der Sicherheitstechnikbranche kein Unbekannter. Schon lange entwickelt die Firma für Polizei und Behörden verschiedene Abhörtechniken für Telefon, Handy und SMS. Umso erstaunlicher ist es, dass die Urteile Dritter so vernichtend ausfallen.

„Dilettantisch programmiert“ war die Meinung des Chaos Computer Clubs wie auch vieler Antiviren-Spezialisten, die sich den Code anschauten. So soll einer sogar im Scherz gesagt haben „Sicherer wäre es, einen solchen Trojaner auf dem Schwarzmarkt für 3000 Euro zu kaufen“. (Quelle heise.de)

Die Softwareentwickler von Digitask versuchten dies damit zu entschuldigen, dass man ja nur das programmiert habe, was beauftragt wurde. Denn die Daten wurden nicht nur unverschlüsselt versendet, sie sollen auch so unverschlüsselt über einen US amerikanischen Proxy-Server umgeleitet worden sein, um so die Spur zu verwischen.

Laut der Meinung des IT-Sicherheitsspezialist Christoph Fischer könnte das entweder ein konzeptioneller Kryptographie-Fehler sein, oder aber auch gewollt, wenn die Behörde beispielsweise eine Billig-Variante gewählt habe.

Die Auftragsvergabe ist der eigentliche Skandal

Mich wundert es nur, dass ein Unternehmen, welches bereits Auszeichnungen wie den „Bigbrotheraward“ erhalten hat (ein Negativpreis für Unternehmen „die in auffallender Weise den Datenschutz verletzen oder missachten“),
vom Staat Aufträge erhält. Das ist für mich persönlich der eigentliche Skandal.

Dass bei der Auftragsbeschreibung keine genügenden Auflagen zum Einhalten von Recht und Ordnung gegeben wurden, kommt da nur noch oben drauf.

Staatstrojaner erstmal außer Betrieb

Ich finde es nur gut, dass das Ganze Dank des Chaos Computer Clubs so groß an die Glocke gehängt wurde. Zum Glück, schließlich war es nicht immer so, dass das Urteil des CCC so ernst genommen wurde wie heute. So ist Bayern jetzt erst einmal gezwungen, den Einsatz des Trojaners zu unterbinden.

Er kann in der jetzigen Form sowieso nicht mehr effektiv genutzt werden kann. Denn die Signatur wurde schon längst in dem internen Antivirenschutz von Microsoft wie auch von vielen anderen Antivirenprogramm-Herstellern hinterlegt.

Außerdem wurden Digitasks Geschäftspraktikenbzw. Arbeitsweisen endlich mal richtig publik gemacht, was beim nächsten Auftrag einer staatlichen Organisiation vielleicht dann doch mal berücksichtigt wird.

Tut mir leid, aber wenn ein Unternehmen sich so dermaßen über Recht und Ordnung hinweg setzt, dann muss das auch berücksichtigt werden. Da hilft es meiner Meinung nach auch nicht einfach auf den Auftraggeber zu verweisen. Schließlich bau ich ja auch keine Autobombe, nur weil mir jemand den Auftrag dafür gibt.

Bei jeder Verbeamtung werden sonst welche Untersuchungen mit den Kandidaten durchgeführt. Warum also nicht bei der Vergabe solcher sensiblen Aufträge?

Was haltet Ihr von der Sache?