All posts under Staatstrojaner

FollowUs – Die Netzpiloten-Tipps aus Blogs & Mags

Follow me
  • STAATSTROJANER netzpolitik: Streit um geplantes Hessentrojaner-Gesetz bei den Grünen: In Hessen soll jetzt ein Gesetz auf den Weg gebracht werden, dass den Gebrauch von geheimdienstlichen Staatstrojanern erlauben soll. Verantwortlich dafür zeigt sich die scwarz-grüne Landesregierung. Der Gesetzentwurf soll im Novemberplenum des hessischen Landtages behandelt werden. Sicherheitslücken sind notwendig, um Staatstrojaner anzuwenden, aber genau darin sehen viele die große Gefahr. Selbst aus den eigenen Reihen gibt es Widerstand, so positioniert sich die grüne Jugend dagegen, verzichtet aber auf eine Komplettablehnung.

  • FACEBOOK sueddeutsche: Facebook-Nutzer sollen Nacktbilder hochladen, um sich vor Rachepornografie zu schützen: Von “Rachepornogafie” spricht man in der Regel von pornografischen Inhalten, die gegen den Willen von Ex-Partnern auf Social Media Kanälen hochgeladen werden. Facebook empfiehlt jetzt aber einen ungewöhnlichen Schritt zur Vorsorge. Wer also um die Veröffentlichung solcher Inhalte bangt, soll sich die Inhalte zunächst selbst per Facebook-Messenger schicken. Wenn dann ein dritter versucht die entsprechenden Fotos erneut hochzuladen, blockt Facebook die Veröffentlichung und sperrt den Account. Das Pilotprojekt läuft aktuell in Australien, weitere Länder sollen folgen.

  • TECH wired: Ashton Kutcher will Kinderhandel mit Tech stoppen: Den meisten ist er wohl eher durch seine Rolle in der Sitcom „Two and a half men“ bekannt, aber Schauspieler Ashton Kutcher engagiert sich auch neben seiner Schauspielkarriere. Auf der Dreamforce-Konferenz erklärte er jetzt, wie er mit seiner Stiftung „Thorn“ die Entwicklung von Software unterstützt, die Kindesmissbrauch verhindern soll. Eine dieser Softwares ist beispielsweise „Spotlight“, mit welcher Daten ausgewertet werden sollen, die aus den Ergebnissen einer Umfrage unter Opfern hervorgehen. Mithilfe derer sollen dann digitale Fußabdrücke der Täter erstellt werden.

Weiterlesen »

FollowUs – Die Netzpiloten-Tipps aus Blogs & Mags

Follow me
  • STAATSTROJANER netzpolitik: Staatstrojaner: Kritik des Bundesrates an der weitgehenden Erlaubnis zum staatlichen Hacken: Das erst kürzlich verabschiedete Staatstrojaner-Gesetz steht wieder in harter Kritik. Grund dafür sind zum einen die Beschneidung der Grundrechte, zum anderen die Risiken für die IT-Sicherheit, sollte ein staatliches Hacken legalisiert werden. Denn die Spähsoftware könnte Schwachstellen, die bei einer solchen Installation nötig sind, auch von Kriminellen genutzt werden könnte. Da der Bundesrat an der Gesetzgebung nicht beteiligt war und im Sinne der Verbraucher sprechen konnte, wird jetzt um einen Vermittlungsausschuss gebeten, um das Gesetz erneut zu überprüfen. Ein Hindernis bei dieser erneuten Revision könnte jedoch der Rechtsausschuss sein, da dieser im Vergleich zu dem Verbraucherausschuss keine Notwendigkeit für einen zusätzlichen Ausschuss sieht.

  • DATENLECK golem: Datenleck bei der Deutschen Post: Die Deutsche Post hat bei der Sicherheit eines ihrer betriebenen Portale deutliche Sicherheitslücken. Das Umzugsportal „umziehen.de“ bietet einen Service an, dass man mittels einer Umzugsmitteilung Banken und Versicherungen automatisch informieren kann. Aufgrund eines Fehlers auf Seiten der Deutschen Post waren die Adressdaten von etwa 200.000 Kunden frei im Internet abrufbar.Die Deutsche Post meldete, dass die durch ein Sicherheitsupdate erstellte Kopie aufgrund „menschlichen Versagens nicht gelöscht wurde“. Für den Zugriff auf die Datenbanken war kein Expertenwissen zugänglich, man musste nur den Dateinamen der Datenbank kennen, der standartmäßig für Datenbankdateiendieses Typs identisch ist.

  • ALGORITHMEN t3n: Algorithmen kontrollieren: Heiko Maas möchte Daten in „gut” und „böse” teilen: Justizminister Heiko Maas fordert eine staatliche Agentur, die ein digitales Antidsikriminierungsgesetz und Transparenz für Algorithmen zur Aufgabe haben soll. Nach der Umsetzung des Netzwerkdurchsetzungsgesetzes könnte die staatliche Unterwerfung von Algorithmen weiterreichende Folgen haben. Nun wird kritisiert, dass es keine Diskriminierung durch Algorithmen gebe, nur Menschen tun es. Hate Speach entsteht nur da, wo Menschen auf andere Menschen treffen. Derzeit gibt es laut Algorithm Watch keine belastbare Studie, die belegt, dass Google über das Ranking von Suchergebnissen die öffentliche Meinung aktiv beeinflusst. Mit der Kontrolle von Algorithmen lässt sich da nicht viel tun, allenfalls mit tiefen Einschnitten in die Meinungsfreiheit.

  • MACHT sueddeutsche: Software frisst die Welt: Viele Anteile unseres Lebens warden immer mehr von Software und Geräten beeinflusst. Große Konzerne wie Google, Apple und Facebook sind schon lange nicht mehr nur Internetkonzerne, sondern auch Autobauer für autonome Fahrzeuge und Städteplaner für Smarte Städte und strecken dadurch die Grenzen des Machbaren. Der Staat gibt so einige Entscheidungen aus der Hand, kritisieren manche. Die Spielregeln für das World Wide Web schreibt heute weitestgehend eine kleine Programmiererelite im Silicon Valley. Die Frage ist, ob der demokratische Rechtsstaat diese zunehmende Machtverschiebung hinnehmen kann oder ob er seine Instrumente „updaten“ muss.

  • AUTONOMES FAHREN t3n: Volvo in Australien: Bewegungsmuster von Kängurus überfordern selbstfahrende Autos: Der Skandinavische Autohersteller Volvo testet seine Autonomen Fahrzeuge momentan in Australien. Bis jetzt konnten die Fahrzeuge den so genannten „Elchtest“ problemlos absolvieren, stellten in Australien jedoch ein anderes Problem fest. Das Nationaltier des Kontinents, das Känguru, überfordert den Tiererkennungs-Algorithmus des Autos. Volvos Technik-Manager in Australien: „Wenn die Tiere in der Luft sind, sieht es aus, als seien sie weiter entfernt, wenn sie am Boden aufkommen, erscheinen sie dagegen näher.”

Weiterlesen »

FollowUs – Die Netzpiloten-Tipps aus Blogs & Mags

Follow me
  • AMAZON heise: Amazon Prime Reading: Prime-Mitglieder bekommen Lesestoff: Eine Amazon Prime Mitgliedschaft ermöglicht seinen Mitgliedern seit längerer Zeit schon schnellen Versand oder das Streaming von Filmen- und Serieninhalten. Jetzt kommen auch Leseratten in den Genuss einer Leseflatrate. Ohne weitere Zusatzkosten – außer der Prime-Mitgliedschaft – können nun hunderte E-Books, E-Magazine und Comics gelesen werden. Ein Amazon E-Reader ist nicht notwendig, lesen geht auch per Leseapp auf dem Smartphone und ist auf iOs und Android verfügbar.

  • ÜBERWACHUNG br: „Staatstrojaner“ passiert den Bundestag: Gestern hat die schwarz-rote Koalition im Bundestag das „Gesetz zur effektiveren und praxistauglicheren Ausgestaltung des Strafverfahrens“ verabschiedet – und das beinhaltet auch den Einsatz sogenannter Staatstrojaner. Künftig müssen also auch Hehler, Drogendealer und Steuersünder damit rechnen, dass Strafverfolger eine digitale Wanze auf ihrem Handy platzieren. Das war bislang nur bei schwersten Straftaten wie zum Beispiel terroristischen Anschlägen oder deren Vorbereitung erlaubt.

  • YOUTUBE techcrunch: YouTube chops 360 video in half with new VR180 format: Die Video-Plattform Youtube hat jetzt ein neues Videoformat vorgestellt – aus 360 wird 180 Grad! Das 360-Grad-Videoformat wird zwar nicht vernachlässigt, wird aber laut Youtube von VR-Videogestaltern nicht zum vollsten Potential genutzt. Produktions- und Hardwareprobleme seien ein Grund, wieso viele Videoschöpfer noch eher von VR abgeschreckt sind. Außerdem würden sich die Filmschaffenden meist eher auf den 180 Grad-Bereich direkt vor ihnen beschränken. Die Videos werden für mobile Headsets wie Cardboard oder Daydream bereitgestellt und werden auch Livestreaming unterstützen.

  • SNAPCHAT t3n: Snap Maps: Wie Snapchat sich Instagram vom Leib halten will: In der Welt der Social-Media-Apps ist es wohl ein Kampf der Titanen – Snapchat und Instagram liefern sich schon seit einiger Zeit einen heftigen Schlagabtausch. Die zu Facebook zugehörige Bilder-Plattform Instagram kopiert schon seit einiger Zeit schamlos Funktionen des Konkurrenten des Snap-Konzerns, wie die Story- oder Filterfunktion – und verbucht deutlich mehr Nutzer. Die fast schon „letzte Instanz“ für Snapchat soll jetzt eine Location-Sharing-Funktion namens „Snap Maps“ werden und das Teilen des eigenen Standorts mit Freunden für spontane Treffen zu ermöglichen oder besondere Events in der Nähe zu entdecken.

  • STEAM chip: Steam Summer Sale 2017 gestartet: Mit diesen Tipps gibt’s die besten Schnäppchen: Seit gestern 19 Uhr ist der halbjährliche Gamer-Shopping-Wahnsinn wieder in vollem Gange. Beim Steam Summer Sale werden bis zum 5. Juli wieder allerhand Schnäppchen-Games angeboten und die Spiele-Bibliotheken bis zum Zerbersten mit Titeln gefüllt, die man eh nie spielen wird. Zu den besten Angebotstiteln zählen „The Witcher 3: Wild Hunt“ oder der Unterwasser-Indie-Titel „Abzu“.

Weiterlesen »

Staatstrojaner auch bei Alltagskriminalität?

Handschellen (adapted) (image by 3839153 [CC0] via pixabay)

Das neue Staatstrojaner-Gesetz – wieder einmal mit möglichst wenig öffentlicher Aufmerksamkeit durch die Gremien gewunken – ist ein höchst bedenklicher Eingriff in die Grundrechte. Der Einsatz invasiver und potentiell gefährlicher Schadsoftware soll demnach auch bei einer ganzen Reihe alltäglicher Straftaten zulässig sein, nicht mehr nur bei schwerer und schwerster Kriminalität. Dieses Vorgehen ist ein weiteres Beispiel dafür, wie Überwachungsmaßnahmen erst mit Verweis auf Ausnahmesituationen und schwere Verbrechen eingeführt und dann “durch die Hintertür” ausgeweitet werden.

Ein weiteres problematisches Überwachungsgesetz

Die aktuelle schwarz-rote Bundesregierung hat mit der Vorratsdatenspeicherung und dem BND-Gesetz bereits zwei extrem problematische Überwachungsgesetze verabschiedet. Nun, kurz vor dem Ende der Legislaturperiode, kommt ein drittes hinzu. Es soll den flächendeckenden Einsatz sogenannter Staatstrojaner erlauben. Darunter versteht man Schadsoftware, die von den Behörden gezielt auf den Geräten Verdächtiger installiert wird, um dort Daten abzugreifen.

Mit dem neuen Gesetz soll der Staatstrojaner-Einsatz immer dann erlaubt werden, wenn auch eine reguläre Telekommunikationsüberwachung – also beispielsweise ein Abhören des Telefons – zulässig wäre. Der Straftatenkatalog für diese Maßnahme ist sehr groß und umfasst unter anderem Betrug, Hehlerei und Bestechung.

Beschluss im stillen Kämmerlein

Die Verabschiedung des neuen Gesetzes fand weitgehend ohne öffentliche Diskussion statt. Das ist von der Regierung offensichtlich so gewollt. Die neue Regelung wurde erst diskret in einem vollkommen anderen Gesetzesentwurf versteckt und auch später kaum öffentlich diskutiert. Wie so oft bei derartigen Überwachungsgesetzen will sich die Bundesregierung offenbar keiner kontroversen Diskussion stellen.

Ein doppeltes Risiko für die Privatsphäre

Ein Staatstrojaner-Einsetz ist ein großer Eingriff in die Privatsphäre. Diese wird nicht nur durch die Ermittlungsbehörden kompromittiert. Das Installieren einer Schadsoftware auf dem betreffenden Gerät – meist entweder ein Computer oder ein Mobilgerät wie Smartphone oder Tablet – reißt zudem potentiell gefährliche Sicherheitslücken auf, durch die auch unbefugte Dritte leichter Zugriff auf private Daten haben. Das gilt auch, wenn die Schadsoftware keine gespeicherten Daten auf dem Gerät abgreift, sondern „nur“ im Rahmen einer sogenannten Quellen-Telekommunikationsüberwachung eingesetzt wird. Bei dieser Überwachungs-Variante wird der Staatstrojaner dazu eingesetzt, Anrufe und Textnachrichten des oder der Verdächtigen direkt auf deren Gerät mitzulesen, bevor diese übertragen und dabei verschlüsselt werden.

Untergraben der Grundrechte durch scheinbaren Ausnahmezustand

Das Vorgehen der Bundesregierung beim Staatstrojaner ist ein weiteres Beispiel dafür, wie Überwachungsmaßnahmen schrittweise und über den Umweg eines scheinbaren Ausnahmezustands eingeführt werden. Zunächst sollte diese Maßnahme laut Gesetz lediglich der Bekämpfung von schwerer und schwerster Kriminalität, beispielsweise von Terrorismus, dienen. Selbst, wenn dies nötig und effektiv gewesen wäre – worüber sich sicher streiten lässt – wäre der verantwortungsvolle Kurs gewesen, die Maßnahme immer wieder transparent zu überprüfen, um festzustellen, ob diese Notwendigkeit nach wie vor besteht, und sie abzuschaffen, sobald die Überwachung sich als überflüssig oder unverhältnismäßig herausstellt.

Stattdessen geschah – wieder einmal – das Gegenteil. Eine ursprünglich für den Notfall vorgesehene, äußerst invasive Überwachungsmaßnahme wurde stillschweigend auf eine ganze Reihe von Verbrechen, darunter auch eher alltäglicher Missetaten, ausgeweitet. Nicht nur steht dabei die Verhältnismäßigkeit der Maßnahme massiv in Zweifel. Es ist auch davon auszugehen, dass eine externe Prüfung und Kontrolle (etwa durch eine Richterin oder einen Richter) bei solchen Fällen angesichts von deren Häufung flüchtiger ausfällt als bei wenigen Einzelfällen, was wiederum die Gefahr eines Missbrauchs erhöht.

Schon seit Jahren ist dieser Trend in Deutschland – wie auch vielfach im Rest Europas und in den USA – zu beobachten. Problematische Sicherheitsmaßnahmen werden mit Verweis auf Ausnahmesituationen eingeführt, aber niemals zurückgenommen, sondern schrittweise und häufig ohne öffentliche Diskussion auf weitaus alltäglichere Situationen ausgeweitet.

In der Summe sorgt dieser ständige Ausnahmezustand für eine schrittweise Einschränkung der Grundrechte. Aufgrund der mangelnden öffentlichen Diskussion und des graduellen Charakters wird dies häufig kaum wahrgenommen. Mitunter werden sogar diejenigen, die davor warnen, als panische Bedenkenträger diffamiert. Doch die Gefahr ist real und sollte, beim Staatstrojaner wie bei ähnlichen Maßnahmen, entschlossen bekämpft werden.


Image (adapted) „Handschellen“ by 3839153 (CC0 Public Domain)


Weiterlesen »

WhatsApp-Überwachung: Neue Forderungen verfehlen das Ziel

spy-whatsapp-messages (adapted) (Image by Sam Azgor [CC BY 2.0] via Flickr)

Bayerns Innenminister Joachim Herrmann (CSU) fordert eine juristische Grundlage für den Zugriff der Bundesbehörden auf WhatsApp-Kommunikation. Das soll nach Ansicht des Ministers bei der Terrorismus-Bekämpfung helfen. Hermanns Äußerungen zeigen, dass die gefährliche und kontraproduktive Idee, Hintertüren in Software einzubauen, noch immer nicht gänzlich tot und begraben ist (und im Wahlkampf nur allzu gerne reaktiviert wird). Es wird Zeit, dass sich das ändert.

Joachim Hermann fordert WhatsApp-Überwachung

Gegenüber der in Düsseldorf erscheinenden Zeitung „Rheinische Post“ sagte Herrmann: „Wir wissen, dass die Terroristen WhatsApp nutzen, deshalb müssen wir die gesetzliche Kontrollmöglichkeit nach der Wahl sofort angehen.“ Herrmann kritisierte die SPD dafür, dass sich bislang in dieser Sache nichts getan hat. Er sagte: „Seit einem Jahr mahnen wir das bei der SPD an, geschehen ist nichts.“

Staatstrojaner oder Backdoor

Wie genau er sich die technische Umsetzung seiner Forderungen vorstellt, sagte Herrmann nicht. Es gibt allerdings nicht viele realistische Möglichkeiten. WhatsApp-Chats sind seit letztem Jahr standardmäßig verschlüsselt. Die Verschlüsselung ist so umgesetzt, dass die Daten auf dem kompletten Übertragungsweg geschützt sind, und bestand schon mehrere Audits und Tests von IT-Sicherheitsfachleuten. Das lässt Angreiferinnen und Angreifern, selbst staatlichen mit entsprechenden Mitteln, nicht viele Optionen.

Joachim Herrmann (adapted) (Image by JouWatch [CC BY-SA 2.0] via flickr)
Möchte gern in euer Handy schauen: Joachim Herrmann (adapted) (Image by JouWatch [CC BY-SA 2.0])

Eine mögliche – wenn auch aufwändige – Variante wäre der Einsatz eines sogenannten Staatstrojaners, also einer von den Behörden entwickelten und gesteuerten Schadsoftware, die die Daten direkt bei einem der Gesprächspartner abgreift. Dieses Vorgehen birgt eine ganze Reihe von Risiken, von der Kompromittierung des betroffenen Systems mit nachfolgendem Eindringen böswilliger Dritter bis hin zur Möglichkeit, dass die staatliche Schadsoftware oder die zu ihrer Platzierung vorgesehenen, meist bewusst offen gelassenen Sicherheitslücken Kriminellen in die Hände fallen. Dass Letzteres keineswegs nur ein unrealistisches Horrorszenario ist, zeigt sehr deutlich der Fall des destruktiven Ransomware-Schädlings WannaCry.

Die zweite, noch bedenklichere Variante ist die bewusste Platzierung einer Backdoor – also einer zusätzlichen Zugriffsmöglichkeit – für die Behörden. Davon abgesehen, dass die Software-Anbieter dem kaum zustimmen dürften – immerhin gehört WhatsApp zu Facebook, also einem US-Unternehmen, das nicht an deutsches Recht gebunden ist – ist diese Option alles andere als wünschenswert. Wie staatliche Schadsoftware kann auch eine solche Backdoor Kriminellen in die Hände fallen, sei es durch einen Insider, der entsprechende Informationen weitergibt, oder schlichtweg durch einen Angreifer mit Fertigkeiten in der IT-Forensik und womöglich einem Quäntchen Glück. In diesem Fall wären die sensiblen Daten sämtlicher WhatsApp-Nutzerinnen und -Nutzer gefährdet.

Gefährlich und ineffektiv

Zusammenfassend lässt sich sagen, dass es keine realistische Möglichkeit gibt, Joachim Herrmanns Forderungen auf eine Art und Weise umzusetzen, die die IT-Sicherheit und den Datenschutz nicht in unverantwortlicher Weise schwächt. Es ist nicht genau zu sagen, ob der CSU-Minister sich lediglich keine Gedanken über die technischen Hintergründe gemacht hat – was bei einem derartigen Thema zumindest fahrlässig wäre – oder die Vielzahl von negativen Nebeneffekten billigend in Kauf nimmt, um medienwirksam einen scheinbar bedeutsamen Schritt gegen den Terrorismus zu unternehmen.

So oder so müssen Joachim Herrmanns Pläne ebenso energisch bekämpft werden wie ähnliche Forderungen (meist konservativer) Politikerinnen und Politiker im In- und Ausland. Das gilt umso mehr, als eine WhatsApp-Überwachung keineswegs so effektiv gegen den Terrorismus sein dürfte, wie der Minister sich das anscheinend vorstellt. Mitglieder entsprechender Gruppen könnten leicht auf andere, weniger bekannte Dienste ausweichen – oder nutzen ohnehin keine Instant Messenger. Eine Kompromittierung verschlüsselter Kommunikation, gerade im Falle eines so populären Dienstes wie WhatsApp, würde somit vor allem vollkommen unbeteiligte Nutzerinnen und Nutzer mit einem legitimen Interesse an privater und sicherer Telekommunikation treffen.


Image (adapted) „Joachim Herrmann“ by JouWatch (CC BY-SA 2.0)

Image (adapted) „Spy Whatsapp Messages“ by Azgor (CC BY 2.0)


Weiterlesen »

Der Staatstrojaner als Kommunikations-Überwachung

Troians keep out! (adapted) (Image by Martin aka Maha [CC BY-SA 2.0] via Flickr)

Wie in Deutschland soll auch im Nachbarland Österreich zukünftig ein Staatstrojaner eingesetzt werden. Die Verantwortlichen bestreiten allerdings, dass es sich dabei um eine regelrechte Überwachungssoftware handelt. Die Begründung: die Software soll lediglich zum Mithören verschlüsselter Kommunikation auf dem Rechner benutzt werden. Doch auch diese in Deutschland als Quellen-Telekommunikationsüberwachung bezeichnete Maßnahme ist hochproblematisch und bietet großes Potential für Fehler und Missbrauch.

Auch die Österreicher setzen auf den Staatstrojaner

In Deutschland ist die Diskussion um den sogenannten Bundestrojaner schon seit Jahren immer wieder aktuell. Nach dem Skandal um die früher verwendete unsichere und verfassungswidrige gekaufte Software wurde das Bundeskriminalamt (BKA) verpflichtet, eine eigene Software zu entwickeln. Das scheint ihnen nun gelungen zu sein, auch wenn die Experten nach wie vor skeptisch sind, ob die Neuentwicklung alle Vorgaben des Gerichts erfüllt.

Nun wollen auch unsere österreichischen Nachbarn nachziehen: Durch eine Gesetzesänderung dürfen Ermittler in Österreich verschlüsselte Kommunikation mit der vom Staat gekauften Spionagesoftware überwachen. Anlass für die erneute Diskussion dieser Maßnahme ist – wenig überraschend – der jüngste Terror in Brüssel. Immer wieder geben ja Terroranschläge Anlass zu einer Verschärfung von Überwachungsgesetzen, auch wenn bestenfalls unklar ist, ob diese tatsächlich zukünftige Terroranschläge effektiv verhindern kann.

Keine Online-Durchsuchung

Eine regelrechte Online-Durchsuchung, also das Auslesen von auf dem Computer gespeicherten Dateien mit Hilfe der Überwachungssoftware, planen die Ermittler derzeit nicht. Vielmehr soll es sich um eine Überwachung von verschlüsselter Kommunikation direkt an der Quelle handeln. Wie das österreichische IT-Newsportal Futurezone, dem der Gesetzesentwurf nach eigenen Angaben vorliegt, berichtet, ist darin wörtlich von der “Überwachung von Nachrichten und von Personen sowie Überwachung von Nachrichten, die im Wege eines Computersystems übermittelt werden” die Rede.

Trotz allem problematisch

Vorweg: dadurch, dass die Online-Durchsuchung (oder wie hier die Quellen-Telekommunikationsüberwachung) nur gegen Verdächtige eingesetzt wird, ist sie in gewisser Weise weniger problematisch als verdachtsunabhängige Maßnahmen wie etwa die Vorratsdatenspeicherung, flächendeckende Kameraüberwachung oder die Datenabfrage ganzer Mobilfunk-Zellen. Dennoch bringt auch diese Maßnahme ein erhebliches Missbrauchspotential mit sich, die dem aktuellen Gesetzesentwürfen nicht angemessen Rechnung tragen.

Das gilt auch, wenn statt des Zugriffs auf Dateien “nur” eine verschlüsselte Kommunikation überwacht wird. Sobald der “Staatstrojaner” erst einmal auf dem Rechner ist, kann schwer kontrolliert werden, was damit passiert.

Da ist zunächst einmal der technische IT-Sicherheitsaspekt. Viele in der Vergangenheit verwendete Varianten von Überwachungssoftware waren mangelhaft programmiert und rissen Löcher in das System. Durch diese können dann IT-Kriminelle eindringen und den Betroffenen schädigen, oder aber für verdächtiges Verhalten sorgen mit dem womöglich der Betroffene angelastet wird. In ähnlicher Weise konnte bei einigen Staatstrojanern die Kommunikation zwischen Trojaner und Ermittlungsbehörden (aufgrund einer fehlenden oder mangelhaften Verschlüsselung) mitgelesen und so von Unbefugten missbräuchlich genutzt werden. All diese Szenarien beinhalten massive Datenschutzprobleme. Eine gründliche Untersuchung und Freigabe des Staatstrojaners durch qualifizierte Fachleute wäre das absolute Minimum an Schutz, das hier von Nöten wäre.

Neben dem technischen ist aber auch der menschliche Faktor problematisch. Wie lassen sich diejenigen, die den Staatstrojaner einsetzen, an einer missbräuchlichen Nutzung hindern? Wie lässt sich beispielsweise sicherstellen, dass diese nicht doch auf private Dateien zugreifen oder aber inkriminierendes Material auf dem Rechner hinterlegen, um einen Ermittlungserfolg vorzutäuschen? Natürlich, die Mehrzahl der Beamten wird verantwortungsbewusst und regelkonform handeln. Aber das entbindet die Verantwortlichen nicht von der Notwendigkeit, auch den anderen Fall in ihre Überlegungen mit einzubeziehen und dafür Vorsorge zu treffen. Schließlich werden hier Menschen (in diesem Fall den Ermittlungsbeamten mit der Software) ein erhebliches Ausmaß an Macht über ihre Mitmenschen (die Verdächtigen) gegeben. Eine solche Macht darf nie ohne Kontrolle bleiben.

Last but not least ist auch der juristische Aspekt zu bedenken: Überwachungsgesetze, das ist seit Jahren bekannt, werden gerne und oft schrittweise ausgeweitet. Einmal mit der Begründung eines Ausnahmezustands eingeführt, bleiben sie jahrelang unabhängig von ihrer Effektivität und auch in friedlicheren Zeiten bestehen. Sie werden zudem häufig noch um zusätzliche Überwachungsmöglichkeiten erweitert. Somit könnte es von der Quellen-Telekommunikationsüberwachung bis zur regelrechten Online-Durchsuchung, bei der auf unsere privatesten Daten zugegriffen wird, nur noch ein kleiner Schritt sein. Schon deswegen sollten wir, Deutsche wie Österreicher, ebenfalls die aktuelle Situation kritisch betrachten.


Image (adapted) „Troians keep out!“ by Martin aka Maha (CC BY-SA 2.0)


Weiterlesen »

Neues vom Staatstrojaner oder wie das BSI die IT-Sicherheit schwächt

Troians keep out! (adapted) (Image by Martin aka Maha [CC BY-SA 2.0] via Flickr)

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) arbeitete wohl am Staatstrojaner mit – ein Desaster für die IT-Sicherheit in Deutschland. Das BSI soll an der Entwicklung des sogenannten „Staatstrojaners“, einer Software, mit der die Behörden heimlich auf die Rechner Verdächtiger zugreifen können, beteiligt gewesen sein. Das belegen interne Dokumente, die dem Blog Netzpolitik.org  zugespielt wurden. Bisher hatte die Behörde eine Verbindung zu dieser höchst umstrittenen Angelegenheit stets dementiert. Das Verhalten des BSI schadet nicht nur der Freiheit, sondern auch der IT-Sicherheit in Deutschland erheblich.

BSI programmierte am Staatstrojaner mit

Das BSI, so geht aus den Netzpolitik.org vorliegenden Dokumenten hervor, programmierte am Staatstrojaner mit und steuerte Quellcode zu diesem bei. Eigentlich liegt die umstrittene Überwachungssoftware in den Händen des BKA – das sich damit aber in den letzten Jahren mehrfach überfordert zeigte. Angekaufte professionelle Software erwies sich als äußerst fehlerhaft und zudem gesetzeswidrig, die Programmierung eines eigenen Trojaners verlief schleppend. Da nahm man die Hilfe des in Sachen IT-Know-How gut aufgestellten BSI wohl dankbar an.

Das BSI: eine Defensivbehörde

Das BSI allerdings ist nicht, wie etwa die NSA oder das britische GCHQ, ein „technischer Geheimdienst“. Es ist auch keine Cyber-Polizei. Beim BSI handelt es sich vielmehr um eine reine Defensivbehörde – es ist dafür zuständig, die IT-Sicherheit in Deutschland aufrecht zu erhalten und zu verbessern und wendet sich dabei an Verwaltung, Unternehmen und Bürger. Zu seinen Aufgaben zählen die Beobachtung der Bedrohungslage und Herausgabe entsprechender Empfehlungen, die Durchführung von Schulungsprogrammen und die Entwicklung sicherer Software. Von Malware-Programmierung ist in der Aufgabenbeschreibung der Behörde nirgendwo die Rede.

Angreifbar durch Staatstrojaner

Der Staatstrojaner beziehungsweise die sogenannte Online-Durchsuchung ist das Gegenteil einer die IT-Sicherheit fördernden Maßnahme. Die Tatsache, dass der Staat selbst hierbei unautorisiert auf das System einer Zielperson zugreift, ist unter Umständen erst der Anfang. Es ist sehr gut möglich, sogar wahrscheinlich, dass dieser Zugriff auch das Risiko für Angriffe durch Dritte erhöht.

Da ist natürlich zunächst einmal die Tatsache, dass der Staatstrojaner irgendwie ins System kommen muss. Hierzu benötigt es entweder Hardware-Zugriff, gezieltes Social Engineering oder Schwachstellen in Software oder Betriebssystem. Bei letzteren kann es sich entweder um sogenannte Zero-Day-Exploits, also vom Anbieter noch nicht behobene Schwachstellen durch Softwarefehler, oder um eine bewusst eingebaute Hintertüren der Behörden handeln. Variante Eins bedeutet: eine Sicherheitslücke, deren Existenz bekannt ist, wird dem zuständigen Unternehmen nicht gemeldet, um von diesem geschlossen zu werden, sondern absichtlich offen gelassen. Bei Variante Zwei wird die Lücke sogar absichtlich eingebaut. Beides bedeutet eine bewusste Schwächung von IT-Systemen – nicht nur dem des Betroffenen, sondern auch denen vollkommen unbescholtener Menschen, die diese Systeme womöglich produktiv für wichtige Zwecke einsetzen – die dadurch anfälliger für Angriffe durch Dritte werden.

Auf dem System der eigentlichen Zielperson reißt ein Staatstrojaner-Einsatz womöglich sogar noch weitaus mehr Lücken. Seien es Software-Schwachstellen, die das System angreifbarer machen, oder eine zu schlecht gesicherte Netzwerk-Verbindung, über die Angreifer sensible Daten mitlesen können – ein so kompromittiertes System wird schnell zur leichten Beute für IT-Kriminelle.

Gefährlicher Vertrauensverlust

Noch schädlicher für die IT-Sicherheit ist auf lange Sicht die Tatsache, dass das BSI sich durch seine heimliche, mehrfach dementierte Mitarbeit am Staatstrojaner selbst als vollkommen unglaubwürdig und wenig Vertrauen erweckend darstellt. Dies rächt sich, sobald die nächste IT-Sicherheits-Kampagne der Behörde ansteht. Wer glaubt schon dem, der einmal so dreist gelogen hat? Und wer installiert freiwillig Software einer Behörde, die mit der Entwicklung von Schadsoftware in Verbindung gebracht wird?

Unter diesen Umständen kann das BSI seiner Aufgabe, die IT-Infrastruktur in Deutschland sicherer zu machen, kaum nachkommen. Profitieren tun davon wohl in erster Linie IT-Kriminelle, seien es chinesische Wirtschaftsspione, russische Banking-Betrüger oder der scheinbar seriöse deutsche Unternehmer mit der Abzock-Website.

Eine Schande für ein demokratisches Land

Neben den Bedenken um die IT-Sicherheit darf natürlich auch nicht vergessen werden, dass das Verhalten des BSI noch aus ganz anderen Gründen verwerflich ist. Seine Bürger dermaßen anzulügen und über die Aufgaben einer Behörde zu täuschen, sollte unter dem Niveau eines demokratischen Staates sein (dass es das nicht ist, dafür gab es leider in den letzten Jahren schon genug Beispiele) und untergräbt dessen fundamentale Prinzipien. Zudem ist der Staatstrojaner selbst ein undemokratisches und freiheitsfeindliches Instrument, das wie der Rest der staatlichen Total-Überwachung der letzten Jahre unsere Menschenrechte erheblich einschränkt.

Das BSI, so lässt sich wohl festhalten, hat Deutschland mit seinem Verhalten auf ganzer Linie geschadet – ein Beweis dafür, dass, wo der Verlust von Freiheit billigend in Kauf genommen wird, mitunter auch die Sicherheit erheblich leidet.


Image (adapted) „Troians keep out!“ by Martin aka Maha (CC BY-SA 2.0)


Weiterlesen »

Ahnungslosigkeit im BMI: Staatstrojanisches Versteckspiel

Welcher Auftrag wurde an DigiTask vergeben? Mit dieser Frage geriet unser Autor in den wirren Erklärungsdschungel des Bundesinnenministeriums – und entdeckte Interessantes.

Ahnungslosigkeit im BMI: Staatstrojanisches Versteckspiel

Dem Informationsfreiheitsgesetz sei Dank, richtete ich eine Frage via http://www.fragdenstaat.de an das Bundesinnenministerium: „Was wurde vom BMI nach dem Urteil des Bundesverfassungsgerichts zu Online-Durchsuchungen bei der Firma DigiTask in Auftrag gegeben? Ist der Auftrag im Wege der freihändigen Vergabe in Auftrag gegeben worden? etc.

Weiterlesen »

Weiterlesen »

Alternativlos: Politischer Diskurs im Wandel der Zeit

AlternativlosIn dieser zweistündigen Aufnahme der Reihe „Alternativlos“ reden die Macher Frank Rieger und Felix von Leitner (fefe) mit Frank Schirrmacher, einem der Herausgeber der FAZ, über den politischen Diskurs im Wandel der Zeit. Man geht auf den Verfall der politischen Diskussion in Deutschland ein und vergleicht auch die Rhetorik der Staatsmänner der Nachkriegszeit mit denen der Gegenwart. Dabei werden vorallem Adenauer, Weizsäcker, Schmidt und Kohl mit Personen wie Merkel, Guttenberg und Wulff verglichen. Das Fazit in diesem Vergleich hält wenige Überraschungen bereit.

Für einige Überraschungen sorgen aber Frank Schirrmachers Einschätzungen wie es um die Kompetenzen der heutigen Politiker in Bezug auf die aktuellen Themen Staatstrojaner, Griechenland-Krise oder Fukushima steht.

Weiterlesen »

Weiterlesen »

Video: Auf den Spuren des Staatstrojaners (CCC-Event)

Datenspuren 2011: Constanze Kurz und Frank RiegerIn diesem einstündigen Video, das im Rahmen der Veranstaltung Datenspuren 2011 des CCC Dresden aufgenommen wurde, erklären Constanze Kurz und Frank Rieger vom Chaos Computer Club, wie sie dem Staatstrojaner auf die Schliche gekommen sind. Auch eine Abrechnung mit den verantwortlichen Politikern haben sich die beiden Redner nicht nehmen lassen. Viel Spaß mit diesem Echtzeit-Krimi!

Weiterlesen »

Weiterlesen »

Staatstrojaner: Links ist da, wo der Daumen rechts ist…

Hans-Peter UhlGestern wurde im Bundestag die Aktuelle Stunde zum Staatstrojaner gehalten. Was dort passierte, scheint einer öffentlichen Hinrichtung der CDU/CSU gleichzukommen. Innenminister Friedrich, der zuvor offen heftig kritisiert wurde aufgrund seiner konfusen Versuche, den Staatstrojaner zu legitimieren, erschien erst gar nicht und schickte seinen Vertreter Ole Schröder in die Bütt. Um dem Ganzen dann noch den endgültigen Gnadenstoß zu verpassen, durfte auch Hans-Peter Uhl seine geistigen Ergüsse dazu preisgeben.

Dabei geht es gar nicht mehr darum, dass der Staatstrojaner angewendet wurde. Dies wurde von Hans-Peter Uhl auf der Tagung sogar zugegeben. Vielmehr geht es darum, dass das Innenministerium in seiner blinden Überwachungswut gar nicht wusste, was der Trojaner alles kann und nicht kann. Genau das ist nämlich das Resümee, dieser außerordentlichen Sitzung. Die ZEIT betitelt diese Farce inzwischen schon kreativ mit „Denn die Behörden wissen nicht, was sie tun“ und bedient sich dabei an dem Titel des vorletzten Filmes von James Dean. Passend, wenn man von ausgehen mag, dass auch die CDU/CSU hier aufgrund ihres Großmutes bald das Zeitliche segnen wird. Das wäre nämlich die logische und heiß erwartete Konsequenz aus diesem Skandal.

Weiterlesen »

Weiterlesen »

Behörden-Trojaner schlecht programmiert?

Die neue Frontlinie der Behörden, die den öffentlich bezahlten Trojaner in diversen Varianten einsetzen, kommt nun vom Hersteller selbst. Das Tool sei von 2007. Offenbar haben weder die Sicherheitspolitiker noch deren nachgeordnete Exekutivbehörden das Urteil des obersten Gerichts gelesen. Denn dort ist ganz klar gesagt worden, dass es aus Sicht der Verfassung keine rechtlichen oder technischen Wege geben darf, die eine Online-Untersuchung des Computers ermöglichen können. Die sogenannte Quellen-TKÜ, also das digitale Pendant zum Abhören des Telefons (hier Skype et al.) kann daher rechtssicher nur über die Schnittstellen ablaufen, die die Hersteller extra dafür eingerichtet haben, falls Behörden irgendwelcher Länder das Abhören begehren. Dazu müssten die natürlich den Namen kennen. Da Kriminelle aber selten unter Klarnamen eigenen Skype-Accounts nutzen, wird es schwer, sehr schwer. Trotzdem ist eine Vorrichtung, die die Festplatte des Verdächtigen verändert oder gar Programme etc. nachladen kann, ein Unding. Denn dann könnten auch Daten nachgeladen werden, die nachher als Beweis für ein Straftat gelten sollen. Aus rechtlicher Sicht ist daher jeder Eingriff der Behörden auf einer Festplatte strenggenommen eine Ursache dafür, alle vorgefundenen Inhalte NICHT in einem Verfahren verwenden zu können. Bleibt also nur noch der Einsatz als Mittel der Prophylaxe bzw. der Ermittlung. Wenn aber keine rechtssichere Ermittlung erfolgen kann per digitaler Wanze, wie soll dann später vor Gericht vorgetragen werden?

Der Hinweis, dass die Variante alt sei, geht also am Problem an sich vorbei. Das Ding müsste resident im RAM liegen und dort bleiben. Aber da noch nicht mal die meisten großen deutschen DAX-Firmen so eine Sicherheitssoftware für ihre geschäftskritischen Daten einsetzen, um sich vor Wirtschaftspionage und Hackern bzw. frustrierten Mitarbeitern zu schützen, werden auch die Behörden gar nicht wissen, dass dort der beste Sitz für alles Wesentliche wäre – man müsste dann sogar erklären, dass gewiefte Kriminelle sowieso nur Live-CDs von Betriebssystemen nutzen um eben gerade KEINE Daten auf die Festplatte zu schreiben. Aber die Experten im Staatsdienst können ja noch nicht mal selber solche Trojaner verfassen, wie sollen sie dann so etwas wissen. Das kommt vom vielen TVÖD. Davon wird man nach dem Peak beim Diplom oder Abitur schrittweise der Demenz anheim gestellt.

Um es klar zu sagen: Verfassungskonform ist wohl das Abgreifen von E-Mails über den Provider bzw. Maildienst und das Abhorchen von Skype via Anfrage beim Anbieter Skype. Gerichtsfest sind Daten, die mit einer Wanze auf dem Computer ermittelt wurden in keiner Weise, wie jeder Forensiker, der sich mit digitalen Datenquellen befasst, bestätigen wird. In dem Moment, wo die Behörde an der Festplatte etwas verändert, ist Schluss mit der Verwendbarkeit vor Gericht.

Weiterlesen »