Der rheinland-pfälzische Landtag hat am 26. Januar 2011 heimliche Online-Durchsuchungen erlaubt, um persönliche Daten von Verdächtigen zum Beispiel von deren Festplatten zu ermitteln, In Rheinland-Pfalz wird die heimliche Online-Durchsuchung von der regierenden SPD sowie den Oppositionsparteien CDU und FDP befürwortet. Nach Bayern ist Rheinland-Pfalz damit das zweite Bundesland, das den Sicherheitsbehörden eine heimliche Online-Durchsuchung von privaten Festplatten erlaubt. Das Bundeskriminalamt hat nach Angaben der Bundesregierung bis Mai vergangenen Jahres vom Einsatz des Bundestrojaners abgesehen. Doch nach allem, was man aus Mainz hört, soll der Saumagen-Trojaner als Standardinstrument der Ermittlungen eingesetzt werden.

Das ist aus rechtstaatlicher Sicht hochgradig bedenklich und aus technischer Sicht kompletter Unfug. Organisierte Kriminalität kann mit dem Saumagen-Trojaner genauso wenig bekämpft werden wie mit dem Bundestrojaner.

Natürlich muss man sehen, dass gefälschte Behördenmails, wie vor einigen Mail angeblich vom BKA verschickte Mails, von vielen Computernutzern gern geöffnet werden, arglos, ohne sich um Sicherheitsrisiken zu kümmern. Insofern kann mit gefälschten Behördenmails eine Menge Schadsoftware auf Rechner gespielt werden. Aber bei der Online-Hausdurchsuchung mit dem Saumagen-Trojaner geht es ja um das gezielte Ausspähen einzelner Rechner und gerade nicht darum,  PCs massenhaft mit Schadsoftware zu verseuchen. Die Wahrscheinlichkeit, dass Menschen mit krimineller Energie und Terroristen arglos irgendwelche Mail öffnen, ist gering. Die Wahrscheinlichkeit, dass gerade solche kriminellen Computernutzer sehr effizient Antivirenprogramme einsetzen, ist sehr hoch. Man erinnere sich nur einmal an die im afghanischen Khost gefundene Schutzsoftware der Bruderschaft Bin Laden. Al Qaida weiß ihre Rechner hochgradig zu schützen, Gefälschte Behördenmails, die den Saumagen-Trojaner oder eine Schadsoftware aus der Abteilung Bundestrojaner  transportieren sollen, würden zu einem sehr hohen Prozentsatz von Antivirensoftware und Schutzsoftware erkannt werden.

Bei der marktgängigen Schutzsoftware kommen zwei Methoden zum Einsatz. Entweder wird ein Schädlingsprogramm an seiner Signatur erkannt, das ist so etwas wie ein Fingerabdruck, den diese Software hinterlässt. Weist eine Datei, die mit per Mail zugespielt wird, einen solchen Fingerabdruck auf, schlägt das Antivirenprogramm Alarm. Zweitens überprüft sogenannte heuristische Software das Verhalten von Computerprogrammen. Werden bei einem Computerprogramm Aktivitäten festgestellt, die nicht dem Programmprofil entsprechen, schlägt die Schutzsoftware auch Alarm. Wenn also beispielsweise die Spionagesoftware für die Online-Hausdurchsuchung auf einem Rechner die Festplatte durchscannen und Dateien an einen Zielserver, nämlich dem der Sicherheitsbehörden kopieren würde, dann würde die heuristische Software erkennen, dass hier regelwidrige Softwareaktivitäten vorliegen. Der Kopierprozess würde unterbrochen. Die Online-Hausdurchsuchung wäre aufgeflogen. Insofern ist es überhaupt nicht realistisch, dass Virenschutzsoftware einfach hintergangen werden kann. Zumal die Antivirenhersteller übereinstimmend erklärt haben, dass sie hier nicht mit den Behörden zusammenarbeiten und nicht zusammenarbeiten werden.

Schwachstellen in Betriebsystemen, Kommunikationsprotokollen und systemnaher Software oder Exploits, auf diese Schwachstellen abzielende Angriffprogramme, sind in der Tat Angriffspunkte. Es gibt weltweit ungefähr 30.000 sogenannte Exploit-Researcher. Das sind Spezialisten, die nach diesen Schwachstellen in Betriebssystemen und in Anwendungssoftware suchen. Haben sie eine Schwachstelle gefunden, wird diese Schwachstelle dem Betriebsystemhersteller oder den Herstellern von Schutzsoftware verkauft. Üblicherweise werden für eine gut auszunutzende Schwachstelle 10.000 bis 15.000 Dollar gezahlt. Für die Angriffsprogramme geht mehr Geld über die virtuelle Ladentheke, solche Exploits bringen zwischen 30.000 und 50.000 Dollar. Haben die Hersteller diese Sicherheitslücken oder sogar die bei diesen Lücken wirksamen Angriffsprogramme gekauft, werden meist sowohl die Schwachstellen als auch sogenannte Patches veröffentlicht, Das sind Flickstücke, die diese Schwachstellen schließen sollen. Es gibt tatsächlich Überlegungen, dass Sicherheitsbehörden solche Schwachstellen und die dazugehörigen Exploits von Hackern und Firmen aufkaufen sollen, die sich ansonsten ihr Geld mit dem Phishing von Kontendaten oder dem Versenden von Spam-Mails verdienen. Diese Schwachstellen sollen dann gezielt für das Ausspionieren einzelner PCs angewendet werden. Der Saumagen-Trojaner wie auch der Bundestrojaner sollen auf dieser Grundlage eingesetzt werden. Dann dürfen allerdings diese Schwachstellen nicht öffentlich bekannt werden. Außerdem müssen die Sicherheitsbehörden beim Einsatz solcher Exploits eine Menge über das auszuspionierende System wissen: Welche Betriebssystemversion mit welchen speziellen Schutzprogrammen sind auf dem Rechner, welche Kommunikationssoftware wird eingesetzt? Erst dann können diese Schwachstellen für die Online-Hausdurchsuchung genutzt werden.

Wenn Sicherheitsbehörden die bisher bekannten Techniken für die Online-Hausdurchsuchung via Saumagen-Trojaner einsetzen, so ist das also bei den meisten arglosen Computerbenutzern für die Sicherheitsbehörden unproblematisch. Denn viele Computer sind ungeschützt oder nur unzureichend geschützt. Abgeschirmte Rechner von Terroristen oder der Organisierten Kriminalität können damit in der Regel nicht erreicht werden. Die Erkenntnisse über das Computerlabor der Al Qaida zeigen das. Wenn dann viele ungeschützte Rechner vom Saumagen-Trojaner befallen sind, entsteht eine gefährliche Situation. Denn das können auch Kriminelle oder Terroristen ausnutzen und diese Rechner als Basis für ihre Computerkriminalität einsetzen, z.B. zum Ausspionieren von Kontendaten.

Der Saumagen-Trojaner ist also für den ganz normalen PC-Besitzer und Internet-Anwender genauso gefährlich wie der Bundestrojaner. Hinzu kommt, dass Regierungen, die ihre Sicherheitsbehörden mit dieser Schadsoftware arbeiten lassen, sträflich leichtsinnig handeln. Sie müssen nämlich die Sicherheitslücken geheim halten, die vom Saumagen-Trojaner oder Bundestrojaner ausgenutzt werden. Solange diese Sicherheitslücken nicht veröffentlicht werden, können sie von der Programmierer-Community nicht geschlossen werden. Wenn eine Regierung sich also für den Einsatz von Instrumenten wie Saumagen-Trojaner oder Bundestrojaner entscheidet, wird sie zum Sicherheitsrisiko für die kritischen IT-Infrastrukturen des Landes.