Über den genauen Aufbau und die Funktionsweise von Finspy, der Überwachungssoftware des deutsch-britischen Herstellers FinFisher, ist prinzipiell nur wenig bekannt: Das Produkt wird offiziell ausschließlich an staatliche Behörden verkauft, der Quellcode gilt also beinahe als Staatsgeheimnis. Die Whistleblower-Plattform Wikileaks hat vor einigen Wochen Insider-Informationen zum sogenannten "Staatstrojaner" erhalten und publiziert. Dadurch war es der Sicherheitsfirma ESET möglich, die Malware unter die Lupe zu nehmen und ihre Funktionsweise offenzulegen.

Relativ einfach entdeckbar - wenn man weiß, wo

Auffällig ist, dass der Schadcode der Software nicht getarnt oder gepackt ist, sondern prinzipiell relativ einfach entdeckt werden kann. Die Dateien werden entweder durch physische Infiltration oder Phishing auf den Rechner des Überwachungsopfers geschleust, sie verhalten sich dann "wie normale Windows-Anwendungen". Anfangs überprüft FinSpy, ob auf dem Rechner bereits andere Versionen der Schadsoftware installiert sind. Dann beginnt die Malware, verschiedene Dienste und Treiber zu starten, durch die der Fremdzugriff auf das Gerät ermöglicht wird.

Überwachung total

Dann entfaltet FinSpy seine vielfältigen Überwachungsmöglichkeiten. Dabei wird kaum eine Möglichkeit ausgelassen, das Opfer auszuspähen: FinSpy kann Videos vom Desktop des Nutzers aufnehmen, die Webcam einschalten, Tastenanschläge aufzeichnen, sogar gelöschte Dokumente entwenden und selbstständig Befehle an den Rechner erteilen.

Prinzipiell unterscheidet sich FinSpy nicht groß von "normaler Malware". Allerdings fällt es Virenprogrammen viel schwieriger, sie zu entdecken. ESET plädiert allerdings dafür, alle Schadprogramme offenzulegen – auch wenn es sich dabei um staatliche Spähtrojaner handle. Denn "angesichts des Schadens" muss der Anwender "noch mehr geschützt" werden. (fsc, derStandard.at, 16.10.2014)