13. Dezember 2006

Wie der Heise Newsticker berichtet, hat der Bundesgerichtshof die "Online-Durchsuchung" von Computersystemen mittels Hacker-Technologien und/oder Schädlingssoftware auf Basis der bestehenden Gesetze erst einmal untersagt. Interessanterweise kam das Verbot allerdings zustande, weil unsere staatlichen Ermittler diese Ermittlungsmethode in Einzelfällen aktuell schon eingesetzt haben - offensichtlich interessierte es dabei keinen der letztlich vom Bürger bezahlten und ausdrücklich auf das Grundgesetz vereidigten Gesetzeshüter, ob jene Ermittlungsmethode in irgendeiner Form gesetzeskompatibel ist.

Genau hier liegt allerdings auch schon ein zukünftiger Stolperstein: Denn das nun ausgesprochene Verbot bezieht sich wie gesagt nur auf die derzeitige Gesetzeslage. Schafft der Gesetzgeber hingegen entsprechende Gesetze, wie derzeit in Nordrhein-Westfalen für den Verfassungsschutz geplant und auch auf Bundesebene weiterhin im Gespräch, wird auch diese Ermittlungsform wiederum legal. Ein solches Gesetz könnte dann nur noch wegen Verfassungswidrigkeit zurückgewiesen werden - was nicht bedeutet, daß es unter Umständen nicht jahrelang genutzt wird, ehe es zu einem diesbezüglichen Beschluß der Verfassungsrichter kommt ;).

http://www.heise.de/newsticker/meldung/82341
http://www.heise.de/newsticker/meldung/82495

20. Dezember 2006

Laut dem Heise Newsticker hat das Bundesland Nordrhein-Westfalen nun ein neues Verfassungsschutzgesetz, welches dem Geheimdienst des Bundeslandes gestattet, über das Internet weltweit in die Rechner vom Geheimdienst observierter Personen einzudringen. Damit erhält der Verfassungsschutz in diesem Bundesland Befugnisse, welche (nach einem Urteil des Bundesgerichtshofes) nicht einmal der Polizei zustehen. Daß es dabei keinen Richtervorbehalt gibt, bei welchem also erst ein Richter seine Zustimmung zur sogenannten "Online-Durchsuchung" anhand eines nachweisbaren Tatverdachts (zu einer schweren Straftat) geben muß, ist allerdings nur folgerichtig - schließlich verfolgt der Verfassungsschutz im gewöhnlichen keine Straftäter und kann damit per Prinzip nicht mit einem Tatverdacht dienen. Ob allerdings angesichts dieser äußerst laxen Voraussetzungen einem noch dazu weitestehend ohne Kontrolle arbeitenden Dienst eine solch scharfe Ermittlungswaffe zusteht, dürfte sicherlich noch ein Thema vor dem Bundesverfassungsgericht werden.

http://www.heise.de/newsticker/meldung/82814

9. Januar 2007

Laut de.internet.com spricht sich nun auch noch der Bund deutscher Krimimalbeamter für die sogenannte "Online-Durchsuchung" aus, das heimliche Ausspähen der Rechner von Verdächtigen über das Internet. Allerdings geht es hier natürlich um ein solches Recht für die Polizei, welche dieses dann nur unter strengen Auflagen (Zustimmung eines Richters erforderlich, Mindeststrafen-Katalog) und Kontrolle (Information des betroffenen Bürgers nach Abschluß der Ermittlungen - ok, in 90 Prozent der Fälle leider nur graue Theorie) ausüben dürfte - und nicht wie bei einem vergleichbaren Recht für Geheimdienste eben im geheimen und ohne der geringsten Kontrollmöglichkeiten für die zivile Gesellschaft.

Viel interessanter ist damit aber eine andere Passage, in welcher der Vertreter des Bundes deutscher Kriminalbeamter für ein neues Gesetz die erweitere Möglichkeit zur Sperrung von Internetseiten forderte - und zwar solchen mit "für deutsche Internetnutzer gefährlichen Inhalten". Einmal abgesehen von der noch zu klärenden Frage, wie man sich ganz praktisch eine von der reinen Ausgabe von Bild und Ton ausgehende "Gefahr" vorstellen muß (Stromschläge per Tastatur, ausgelöst von ActiveX-Controls? .. oder aber eine Online-Gehirnwäsche durch Scientology-Inhalte?), gilt doch festzustellen, daß es sich hier um die exakt selbe Formulierung handelt, mit welcher solche Staaten wie China ihre allumfassenden Zensurbestrebungen rechtfertigen.

http://de.internet.com/index.php?id=2047120&section=Security

11. Januar 2007

Wie der Heise Newsticker berichtet, sind für die Entwicklung des sogenannten "Bundestrojaners" zwei Programmierer-Stellen beim Bundeskriminalamt vorgesehen, insgesamt will Vater Staat immerhin 200.000 Euro für die Entwicklung dieser Software springen lassen. Allerdings ist dabei immer noch nicht klar, wie man sich eine solche Software vorstellen muß - bzw. ob die Verantwortlichen überhaupt eine gewisse Vorstellung von so etwas haben ;). Denn so viel 200.000 Euro Steuergelder auch klingen mögen, für eine wirklich schlagkräftige Software, welche ja auch schließlich nicht wie die üblichen Trojaner nur ein paar Tage/Wochen funktionieren soll, dürfte ein deutlich höherer Erstaufwand (und auch ständige Pflege) vonnöten sein.

Momentan läuft die Sache unserer Meinung nach auf drei größere Möglichkeiten hinaus: Erstens wäre es möglich, daß es wirklich so einfach ist, einen Bundestrojaner zu entwickeln - dies setzt allerdings die Mithilfe von Microsoft in Form von Backdoors in Windows voraus. Dies wäre zwar die erschreckendste der drei Möglichkeiten, aber andererseits gibt es gegen diese auch ein Universalrezept: OpenSource. Damit lassen sich zwar genausowenig Angriffe auf bisher nicht bekannte Lücken verhindern, dafür aber kann man sich relativ sicher sein, daß OpenSource-Code keine Backdoors enthält. Die zweite Möglichkeit wäre es, daß der Bundestrojaner allgemein als zu hoch eingeschätzt wird, man damit seitens der Polizei nicht wirklich hacken will (und kann), sondern einfach einmal auf den Busch klopft ob vorhandener Systemlücken, sei es durch fehlende Patches, falsche Systemkonfiguration oder fehlende Firewall.

Mit dieser Variante könnte man im übrigen mit recht wenig Aufwand allerhand erreichen, denn die grassierenden Spam- und Würmerwellen beweisen doch immer wieder eindrucksvoll, daß es genügend unabgesicherte Rechner im Internet gibt. Dann würde wohl auch die veranschlagte Summe ausreichen, es müsste ja schließlich nur eine Oberfläche zur gezielten Ausnutzung bereits bekannter Sicherheitslücken entstehen. Eine Absicherung dagegen wäre aber ebenfalls recht einfach zu erzielen, hierfür dürfte im Idealfall schon eine gute Firewall ausreichend sein. Die Nutzung von Software abseits der Microsoft-Standardprodukte wäre ebenfalls ein guter Schutz, da für jene naturgemäß weniger Sicherheitslücken existieren. Die dritte und letzte Möglichkeit wäre dann schlicht, daß die verantwortlichen Beamten nicht den Schimmer einer Ahnung von der Materie haben, aber eben auch einmal Hacker spielen wollen.

Sprich: Es soll wirklich das "Super-Tool" erstellt werden, welches derzeit in vielen Foren ernsthaft diskutiert wird - obwohl diese Vorstellung eher lächerlich ist, denn es ist recht unwahrscheinlich, daß Vater Staat ohne jede Erfahrung mit schlicht zwei Programmierer-Stellen etwas deutlich besseres auf die Beine stellt, als mit was uns die mittlerweile langjährig erfahrenen Autoren von Schadsoftware fortdauernd traktieren. Im eigentlichen könnte es sogar unmöglich sein, ein solches Super-Tool auf die Beine zu stellen: Denn während die übliche Schadsoftware schließlich nur über einen kurzfristigen Zeitraum wirken soll, muß der "Bundestrojaner" natürlich dauerhaft wirken können. Eine solch exzellente Schadsoftware ist bisher aber noch nie erstellt worden - und dürfte wohl auch nie zu erstellen sein, denn sie setzt voraus, daß sie niemals (auch nicht im Einzelfall) entdeckt wird.

Denn sollte sie einmal entdeckt werden, ist die Wirkung natürlich dahin, weil im Internet innerhalb kürzester Zeit entsprechende Gegenmaßnahmen verbreitet werden würden. Dabei sind die "offiziellen" Virenscanner noch gar nicht einmal eingerechnet - aber ob sich hier die insbesondere im Ausland sitzenden Antiviren-Unternehmen von der Bundesregierung breitschlagen lassen, den Bundestrojaner dann nicht als Schadsoftware zu klassifizieren, wäre doch arg zu bezweifeln (auch weil es die Antiviren-Unternehmen auf einen Schlag massiv an Reputation und auch an Verträgen kosten würde). Insofern kann man wohl sagen, daß die letztgenannte Möglichkeit eine eher utopische ist, weil die Realisierung eines derartigen Super-Tools als schwer unwahrscheinlich einzustufen ist.

http://www.heise.de/newsticker/meldung/83538

13./14. Januar 2007

Zum Thema des Bundestrojaners seien uns noch ein paar Anmerkungen gestattet: Erstens einmal ist zu bedenken, daß die Bundesregierung Einblick in den Quellcode von Windows XP hat und für Windows Vista sicherlich noch bekommt, was doch ein gewisser Vorteil gegenüber den Autoren "gewöhnlicher" Schadsoftware bedeutet. Anzumerken gilt hier allerdings auch, daß der Quellcode nur dann von Bedeutung wäre, wenn man wirklich (zeitaufwendig und ohne der Gewähr auf Erfolg) einen Super-Trojaner entwickeln wollte. Reicht den staatlichen Ermittlern und Schlapphüten dagegen ein Tool, welches nur bekannte Sicherheitslücken mit einer einfach zu bediendenden Oberfläche verbindet, ist die Einsicht in den Quellcode natürlich nicht weiter von Belang.

Und zweitens sei hiermit auf eine besonders perfide Angriffsmöglichkeit hingewiesen, welche Vater Staat im Gegensatz zu normalen Hackern besitzt: Danach könnten Polizei und Geheimdienste auch direkt beim Internet Service Provider ansetzen und dort direkt den Datenstrom verfälschen. Wie dies generell funktionieren könnte, wird in einem Foren-Posting bei Golem beschrieben. Glücklicherweise ist die Angelegenheit nicht ganz so einfach wie in diesem Posting dargelegt, sehr gute Einwände bietet ein nachfolgendes Posting an. Nichts desto trotz gilt es diese Möglichkeit im Auge zu behalten, denn sofern Verfälschungen des Datenstroms inklusive intakter Checksummen & Bytezähler der IP-Pakete in irgendeiner Form doch eines Tages gelingen, sind die typischen Abwehrmaßnahmen wie etwa eine Firewall spielend zu überwinden.

http://forum.golem.de/read.php?14855,805919,805919#msg-805919
http://forum.golem.de/read.php?14855,805919,820090#msg-820090

5. Februar 2007

Wie u.a. der Spiegel berichtet, hat der Bundesgerichtshof am Montag die sogenannte "Online-Durchsuchung", sprich die heimliche Durchsuchung der Computer von Verdächtigen mittels des Einschleussens von Trojaner oder aber Hacker-Angriffen aus dem Internet verboten, da es hierfür keine Rechtsgrundlage gibt. Interessanterweise kam dabei auch heraus, daß entgegen früheren Meldungen die "Online-Durchführung" bereits vereinzelt eingesetzt wurde. Dies ist nun nicht mehr statthaft, solange nicht der Gesetzesgeber schlicht eine gesetzliche Grundlage schafft - wie bereits mittels des neuen Verfassungsschutzgesetzes in Nordrhein-Westfalen geschehen. Der dort ansässige Verfassungsschutz darf also weiterhin die "Online-Durchsuchung" anwenden - ironischerweise jedoch nicht einmal nur auf Nordrhein-Westfalen beschränkt, sondern gleich weltweit.

Und wie nicht anders zu erwarten war, will Bundesinnenminister Schäuble den Richterspruch laut der FAZ schlicht dadurch umgehen, daß eine entsprechende Rechtsgrundlage geschaffen wird, welche dann Polizei und Verfassungsschutz bundesweit das rechtliche Mittel der "Online-Durchsuchung" gibt. Ändern tut sich mit dem Richterspruch des Bundesgerichtshof also faktisch kaum etwas, ein endgültiges Urteil kann hier wohl nur das Bundesverfassungsgericht fällen, welches dann zu beurteilen hat, ob die "Online-Durchsuchung" zu weit in diverse verfassungsmäßig garantierte Grundrechte eingreifen - oder nicht. Entsprechende Klagen, die sich auf das nordrhein-westfälische Verfassungsschutzgesetz beziehen, sind bereits in Vorbereitung, so daß in einer gewissen Zeit hier mit einer Entscheidung zu rechnen ist.

http://www.spiegel.de/netzwelt/web/0,1518,464288,00.html
http://www.faz.net/s/Rub28FC768942F34C5B8297CC6E16FFC8B4/Doc~E86782CDF9BA84310B0D3F8259A5B4107~ATpl~Ecommon~Scontent.html

6. Februar 2007

Der Spiegel hat einen Artikel, welcher vorgibt, sich mit den bei der sogenannten "Online-Durchsuchung" angewandten Methoden zu beschäftigt. Allerdings bringt auch dieser Artikel keine wirkliche Klärung in der Frage, wie weit der Staat in technischer Hinsicht zu gehen bereit ist. Allerdings drängt sich nach den wenigen zur Verfügung stehenden Informationsfetzen durchaus der Verdacht auf, daß es sich hierbei vornehmlich um Attacken niedriger Qualität handelt, sprich der Versuch mittels eMail-Anhängen Trojaner zu installieren. Selbst wenn diese Trojaner dann bisher noch unentdeckte Sicherheitslücken ausnutzen und somit keine Angst vor Virenscanner und Firewall zu haben brauchen - mit dieser Methode ist immer noch die Mithilfe des Nutzer vonnöten, welcher den eMail-Anhang öffnet (und wer sich im Jahr 2007 immer noch so einfach aufs Kreuz legen läßt, verdient es dann wohl auch nicht besser).

Natürlich gibt es weit bessere und auch gegenüber erfahrenen Nutzern durchschlagskräftigere Methoden, um in die Computer von Verdächtigen einzusteigen - allerdings, um hier mal mit dem CCC zu sprechen, müssen jene an dieser Stelle nicht näher erörtert werden, um den staatlichen Schnüfflern nicht ungewollt Nachhilfe zu geben ;). Bemerkenswert und in der bisherigen Diskussion noch zu kurz gekommen ist allerdings die Begründung, mit welcher beispielsweise der BKA-Chef eine rechtliche Grundlage für die "Online-Durchsuchung" fordert: Danach finden wir heute im "Internet Bombenbauanleitungen, Aufträge für die Durchführung von Anschlägen, die Rekrutierung junger Menschen zum Dschihad". Ok, alles korrekt - nur warum will man dann auf private Computer zugreifen, wenn das Internet selber als das Problem erkannt wurde?! Ein privater Computer ist nicht das Internet, er verbindet sich nur mit dem Internet.

Wenn der BKA-Chef das vorgenannte bekämpfen will, wird er im Internet selber suchen müssen, nicht auf privaten Computern. Auf diesen sind meisten Gedanken, Notizen etc. der User gespeichert, zumeist sehr persönliche Dinge. Will man hier eindringen, ist das eine ganz andere Kategorie - es ist in etwa so, als wolle man in die Gehirne der Verdächtigen hereinsehen und dabei herausfinden, was diese wirklich denken. Dabei wollen wir an dieser Stelle nicht einmal Partei für die eine oder andere Seite ergreifen. Was sich aber einfordern läßt, ist eine gewisse Ehrlichkeit seitens des Staates und der Politik, wenn solcherart Grundrechtseingriffe geplant sind: Und dazu gehört auch, daß man zugibt, daß die "Online-Durchsuchung" auch so eine Art "Gedankenpolizei" spielen soll, um seitens des Staates (vom Verdächtigen unbemerkt) festzustellen, für was manche Bürger wirklich stehen.

http://www.spiegel.de/netzwelt/tech/0,1518,464629,00.html

8. Februar 2007

Die Telepolis hat interessante Details zum Thema der "Online-Durchsuchung" zu berichten: Danach soll es zumindestens die bisher schon vereinzelt gemeldeten Online-Durchsuchungen nie gegeben haben, dies würde auf einer Falschmeldung der TAZ beruhen, von welcher alle weiteren Berichterstattungen schlicht abgeschrieben hätten. Vielmehr hätte sich ein Oberstaatsanwalt in einem Aufsatz für ein Fachmagazin mit der theoretischen Möglichkeit einer "Online-Durchsuchung" beschäftigt, allerdings aus technischer Sicht äußerst laienhaft. Prinzipiell kommt hierbei das zum Vorschein, was wir vor einiger Zeit schon vermutet hatten: Da hat irgendein Beamter mal etwas davon gehört, daß man Computer über das Internet ausspionieren bzw. übernehmen kann - und will dies nun für die Strafverfolger nutzen, ohne irgendeine genauere Ahnung von der Materie und den Schwierigkeiten zu haben.

Auch in der Diskussion der Medien über dieses Thema wird schließlich vielfach außer acht gelassen, daß eine der üblichen Wurmwellen etwas ganz anderes darstellt als der Versuch von gleich wem, einen bestimmten Rechner zu hacken. Denn den Verbreitern der üblichen Schadsoftware geht es nicht darum, einen bestimmten Rechner zu kapern, sondern möglichst viele davon - egal welche. Das bedeutet, daß auch die "Mißerfolge" (jene Rechner, welche man nicht übernehmen konnte) für die Spammer nicht relevant sind, wenn sie denn nur eine genügende Zahl neuer Opfer gefunden haben. Das Hacken eines bestimmten Rechners ist da schon eine ganz andere Kategorie: Hier geht es ja darum, bedingungslos Erfolg bei diesem einem Rechner zu haben - was durchaus andere Ansätze erfordert als dies bei gewöhnlichen Wurmattacken der Fall ist.

Insofern ist die allgemeine Erkenntnis, daß viele Rechner über das Internet verwundbar sind, nur äußerst bedingt übertragbar in eine Situation, wo man Zugriff auf einen bestimmten Rechner erlangen will. Scheinbar machen es sich die Spitzenbeamten und Politiker doch deutlich zu einfach und reden über die Verteilung des Bärenfells, lange bevor sie auch nur eine Ahnung haben, wie sie diesen denn erlegen wollen. Dies will die Möglichkeit, daß die "Online-Durchsuchung" nicht doch kommen mag, allerdings nicht kleinreden: Wo ein Wille ist, ist auch ein Weg - und an Willen zur "Online-Durchsuchung" mangelt es manchem Politiker zweifellos nicht. Allerdings läßt sich diesen schon jetzt entgegenschleudern, daß für alle Maßnahmen, welche man sich hierfür ausdenkt, schon jetzt eine Gegen-Maßnahme existiert. Daß einzige, was man allerdings langfristig durch staatlichen Hacken erreichen wird, ist eine weitere Abkehr der Bürger vom Staat bzw. die zunehmende Einschätzung der Staatsgewalt als latente Bedrohung für den Bürger.

http://www.heise.de/tp/r4/artikel/24/24587/1.html

10./11. Februar 2007

Das Interview, welches der deutsche Bundesinnenminister Wolfgang Schäuble der TAZ zum Thema der Online-Durchsuchung gab, hat aufgrund einiger (verkürzter) Zitate daraus ziemliche Wellen geschlagen - wenngleich sich das Interview selber, wenn man es denn im Original liest, weit weniger aufregend anhört. Natürlich ist es etwas belustigend, wenn der Bundesinnenminister eine Aussage trifft, daß man ihm keine (staatlichen) Trojaner schicken muß, weil er ja schließlich "anständig" sei - hier muß klar gekontert werden, daß es erstens (auch durch seine eigene Arbeit so definierte) Aufgabe des Staates ist, daß festzulegen und zweitens er ja nichts zu befürchten hat, wenn er denn wirklich "anständig" sei ;).

Wirklich interessant an dem Interview - außer das jenes einen durchaus exzellenten Eindruck über die generelle Denkweise von "Sicherheitspolitikern" gibt - ist allerdings eher der Punkt der Lebensdauer von einmal getroffenenen Kompromissen zwischen (vorgeblichem) Sicherheitsgewinn und Datenschutz bzw. Bürgerrechten: Hierzu bedauerte der Minister ausdrücklich, daß beim seinerzeitigen Mautgesetz eine andere Verwendung der erhobenen Daten außer für die Maut selber noch direkt ausgeschlossen wurde und will zukünftig in ähnlichen Fälle keine gleichlautenden Versprechungen mehr abgeben. Dabei wollen wir dem Minister gar keinen Strick daraus drehen, daß er (als "Sicherheitspolitiker" gehört dies wohl zu seinem Job) immer noch mehr will und dabei auch alte Vereinbarungen keinen Bestand mehr haben sollen. Wichtig ist es eher, daß wir erkennen, wieviel in Gesetze eingebauten Schranken pro Datenschutz und Bürgerrechte sowie seitens der Politik diesbezüglich gemachte Versprechungen wirklich wert sind.

Dazu ein absolut treffendes Zitat des Minsters himself: "Der Gesetzgeber behält immer die Möglichkeit, einmal getroffene Entscheidungen später zu revidieren." Gerade bei neuen Maßnahmen, welche gewisse Dammbrüche mit sich bringen (wie die Maut oder aktuell eben die Online-Durchsuchung) und dem Staat völlig neue Möglichkeiten an die Hand geben, sollte man das doch im Hinterkopf behalten: Alles was an Daten über die Bürger erreichbar ist, wird über kurz oder lang von Vater Staat auch benutzt werden. Spricht man sich also gegen die Benutzung eine neuen Methode o.ä. aus, so hat man wohl keine andere Wahl, als dies an der Wurzel, sprich bei der Entstehung dieser Methode zu bekämpfen. Denn ein Kompromiß, welcher die Nutzung einer neuen Methode nur mit Einschränkungen erlaubt, ist aus Sicht der "Sicherheitspolitiker" niemals ein endgültiges Versprechen, sondern immer nur ein Pakt auf Zeit.

http://www.taz.de/pt/2007/02/08/a0169.1/text

14. Februar 2007

Das Thema der Online-Durchsuchung läßt uns wohl vorerst nicht wieder los, dazu drei neue Anmerkungen: Erstens entnehmen wir einer Meldung des Heise Newstickers einen wohl sehr gewichtigen Grund für die Online-Durchsuchung. Danach sagte BKA-Chef Jörg Ziercke aus, daß verschlüsselte Festplatten für seine Ermittler zu einem großem Problem geworden sind, demzufolge sei es für seine Behörde wichtig, die Daten genauso wie der Nutzer selber ohne Verschlüsselung lesen zu können. Hier ist es in der Tat rein aus technischer Sicht notwendig, auf dem User-Level an die verschlüsselten Daten heranzukommen - ob das Umgehen von (vollkommen legaler) Verschlüsselung allerdings prinzipiell zum Repertoire staatlicher Ermittler gehören sollte, ist dann keine technische, sondern eher eine politische sowie verfassungsrechtliche Frage.

Mit letzterer wird man sich in Nordrhein-Westfalen beschäftigen müssen, denn das dortige Verfassungsschutzgesetz erlaubt dem Verfassungsschutz Nordrhein-Westfalen schon jetzt die Online-Durchsuchung - und zwar weltweit. Dagegen liegt nun laut wiederum dem Heise Newsticker eine Verfassungsbeschwerde an, welcher eine ziemliche Aussicht auf Erfolg zu bescheinigen ist, hat das nordrhein-westfälische Verfassungsschutzgesetz doch arge handwerkliche Mängel: So fehlt jeglicher Richtervorbehalt, so daß allein die Verfassungsschutz-Beamten über den Einsatz der neuen Methode entscheiden können. An diesem Punkt dürfte zumindestens das derzeitige nordrhein-westfälische Verfassungsschutzgesetz ziemlich sicher scheitern. Gut möglich ist allerdings, daß hierbei eine ähnliche Entscheidung herauskommt wie kürzlich seitens des Bundesgerichtshofes gefällt.

Diese Entscheidung könnte erst einmal ein Verbot des Vorhandenen beinhalten - dafür aber die Möglichkeit offenlassen, schlicht ein neues Gesetz unter Auflagen bezüglich der Verhältnismäßigkeit und mit einem gewissen Schutz der Privatsphäre einbringen zu können. Und letztlich verweist die Telepolis noch auf einen hochinteressanten Fall, wo einem Beschuldigten seitens der Polizei entweder versehentlich oder womöglich gar absichtlich Beweise auf seinem Computer untergeschoben worden sind. Diese bislang eher nur theoretisch genannte Möglichkeit existiert also auch in der Praxis - womit man solche Fälle eben auch bei der Online-Durchsuchung einkalkulieren muß. Wie der Bürger aber gegenüber einer solchen Problematik geschützt werden soll, ist bei der Online-Durchsuchung bislang überhaupt noch nicht klar, sollte aber vorher ausreichend geklärt werden.

Im übrigen sei hiermit aber generell vor all zu großen Erwartungen der Politik und der Sicherheitsorgane an die Schlagkraft der sogenannten "Online-Durchsuchung" gewarnt: Einmal abgesehen davon, daß auf solche müden Tricks wie das Versenden von Trojanern per eMail oder das Abklappern auf (mittels Patches schließbarer) Sicherheitslücken sowieso nur die eher unversierten Nutzer hereinfallen, werden sich die wirklich dicken Fische mit einer möglicherweise kommenden neuen Gesetzeslage arangieren und für Polizei und Verfassungsschützer relevante Daten generell nur noch auf nicht mit dem Internet oder einem Netzwerk verbundenen Computern speichern - womit die Online-Durchsuchung komplett ins Leere laufen würde.

Denkbar wäre auch eine Lösung, wo der Nutzer nur in einer virtuellen Maschine online geht, ein dort möglicherweise eingeschleuster Trojaner dann aber nicht auf Daten des Host-Systems zugreifen kann. Um es ganz perfekt zu machen, könnte man die virtuelle Maschine dann auch noch täglich (beispielsweise aus einem garantiert Trojaner-freien Backup) neu aufsetzen - es wird immer Möglichkeiten geben, sich der geplanten Online-Durchsuchung wirksam zu entziehen. Insofern muß eigentlich noch viel deutlicher die Frage gestellt werden, ob es die Sache wirklich wert ist: Im Ergebnis einer beiderseitigen Hochrüstung werden die Sicherheitsorgane keinen nennenswerten Informationsgewinn erzielen können, gleichzeitig begibt sich der Staat mit der Benutzung solcher Methoden jedoch in moralische Niederungen, welche sonst nur die Phishing-Mafia erreicht.

http://www.heise.de/newsticker/meldung/85220
http://www.heise.de/newsticker/meldung/85064
http://www.heise.de/tp/r4/artikel/24/24638/1.html

3./4. März 2007

Einen beachtenswerten Artikel zur Online-Durchsuchung hat die Telepolis verfasst. Erst einmal ist an dem Artikel die klare rechtliche Einordnung der geplanten Online-Durchsuchung lobenswert: Als eine Hausdurchsuchung - jedoch ohne Zeugen, ohne Protokoll und ohne Information der betreffenden Personen (sowie derzeit in Nordrhein-Westfalen sogar ohne Richtervorbehalt). Wichtig ist in diesem Zusammenhang vor allem der Hinweis, wieso die staatlichen Ermittler bei einer regulären Hausdurchsuchung überhaupt solche Hürden wie Zeugen, Protokoll & Informationspflicht auf sich nehmen: Weil dieser schwere Eingriff in die Privatsphäre der Bürger nur dann statthaft sein kein, wenn jener transparent, nachvollziehbar und anfechtbar erfolgt. Gerade aber bei der Online-Durchsuchung wäre dies nicht mehr gegeben - der Staat würde (unter einem gewissen Blickwinkel) auf das Niveau von Kriminellen abrutschen.

Der zweite wichtige Punkt des Artikels beschäftigt sich mit dem Verbreitungsweg des geplanten Bundestrojaners - wobei der Artikel hierbei konträr zu bisherigen Meldungen zum Thema eine völlig andere Meinung vorbringt. Danach hat es Vater Staat wohl nicht nötig, billig per eMail dem Überwachungsobjekt Schadsoftware zu schicken - und dabei zu hoffen, jenes würde die eMail unvorsichtigerweise öffnen. Vielmehr geht der Telepolis-Artikel davon aus, daß die staatlichen Ermittler direkt bei den Internet Service Providern (ISPs) ansetzen und den Datenstrom zum User manipulieren werden, so daß jener beispielsweise beim Download irgendeiner Datei möglicherweise genau diese Datei, aber mit angehängtem Trojaner bekommt.

Und dies wäre dann kaum noch durch den User zu bekämpfen - schließlich kann man als Netzbetreiber notfalls selbst jene Webseite fälschen (nur für das Überwachungsobjekt wohlgemerkt), welche die Checksum für den eben abgeschlossenen Download enthält. Allerdings wird seitens der Telepolis dieser Weg in den Rechner der Überwachungsobjekte nicht nur als reine Theorie genannt, sondern vielmehr soll dies mit den für die Telekommunikations-Überwachungsverordnung (TKÜV) bei den Providern installierten SINA-Boxen schon jetzt möglich sein. In diesem Punkt sind wir allerdings etwas skeptisch, denn die dato zum SINA-Modell vorliegenden Informationen deuten nicht darauf hin, daß der Datenverkehr von Überwachungsobjekten über diese Boxen umgeleitet wird, sondern nur das die Daten über diese Boxen weitergeleitet werden.

Konkret würde dies bedeuten, daß beim derzeitigen SINA-Modell nur eine Kopie der Telekommunikation der Überwachungsobjekte über die SINA-Box an die entsprechenden Behörden ausgeliefert wird. Damit hängt die SINA-Box aber nicht im eigentlichen Datenstrom, somit wäre auch keine Veränderung des Datenstroms möglich. Natürlich müssen wir eingestehen, daß dieser Punkt derzeit nicht wirklich sicher ist - allerdings deuten auch andere Überwachungskonzepte darauf hin, daß man diese möglichst netzneutral aufbaut: Beispielsweise schneidet die NSA den Backbone-Datenverkehr der amerikanischen ISPs nicht direkt mit, sondern operiert mit Kopien. Dies hat zweierlei Vorteile: Erstens einmal sind die Überwachungsserver somit nicht in der Netzstruktur sichtbar, da der eigentliche Datenverkehr nicht über sie läuft - und zweitens würde ein Leistungsengpass bei den NSA-Servern somit nicht gleich das ganze Internet lahmlegen können.

Und da die SINA-Boxen gemäß der Telekommunikations-Überwachungsverordnung ja eigentlich auch nur für den Zweck des Mitschneidens und nicht des Veränderns erfunden worden sind, kann man durchaus auch dort von einem gleichen System ausgehen - womit die Idee des Telepolis-Artikels, staatliches Hacking wäre auf diesem Wege schon jetzt möglich, doch stark bezweifelt werden darf. Dies ändert natürlich nichts an der weiterhin vorhandenen theoretischen Möglichkeit - prinzipiell ist ein solcher Weg machbar, auch wenn natürlich die Installation neuer staatlicher Gerätschaften bei den ISPs nicht ohne entsprechenden Aufsehen in der Presse realisierbar sein wird. Dabei stehen vor einem solchen Weg aber auch noch hohe rechtliche Hürden: Denn der Verbreitungsweg des Bundestrojaners über das Verfälschen des Datenstroms wäre eine Straftat gemäß des Paragraphen 303a ("Datenveränderung").

Natürlich kann man diesen auch ändern, aber zumindestens ist es mit einer reinen Rechtsgrundlage für die Online-Durchsuchung in Form eines einfachen Gesetzes nicht getan (wie sie beispielsweise in Nordrhein-Westfalen derzeit schon existiert). Es ist allerdings anzunehmen, daß man eine Änderung des Strafgesetzbuches nicht einfach im vorübergehen erledigen kann: Denn während sich unter der Online-Durchsuchung viele Bürger und Politiker schließlich kaum etwas konkretes vorstellen können, wäre es zu offensichtlich, wenn jener Paragraph plötzlich eine Ausnahme nur für den Staat erhalten würde. Zumindestens wären vor diesem Zeitpunkt alle Attacken über den seitens des Telepolis-Artikels beschriebenen Weg eher sehr unwahrscheinlich, Vater Staat wird dato wohl oder übel sein Glück mit Trojanern per eMail oder/und dem Abklopfen üblicher Sicherheitslücken versuchen müssen.

http://www.heise.de/tp/r4/artikel/24/24766/1.html
http://de.wikipedia.org/wiki/NSA
http://bundesrecht.juris.de/stgb/__303a.html

7. März 2007

Hochinteressante Neuigkeiten bezüglich der in den großen deutschsprachigen Ländern unioso diskutierten Online-Durchsuchung hat man bei der SonntagsZeitung: Danach soll es wohl jetzt schon üblich sein, daß staatliche Stellen Software-Hersteller darum bitten, neue Sicherheitslücken "noch eine kurze Zeit für die Behörden offen zu halten und erst dann zu beseitigen" - so zumindestens die Aussage von CCC-Sprecher Frank Rosengart. Sollte sich dies bestätigen, wäre das natürlich ein sehr dicker Hund - und ganz nebenbei hätten sich die entsprechenden Beamten der Begünstigung der Verbreitung von Schadsoftware schuldig gemacht, was gleich über mehrere Wege strafbar ist. Einschränkenderweise muß hierzu allerdings gesagt werden, daß ein solches Ansinnen der Behörden zum jetzigen Zeitpunkt in unseren Augen keinen größeren Sinn ergibt.

Denn bis vor wenige Wochen gab es in Deutschland keinerlei Rechtsgrundlage für die Online-Durchsuchung - zudem soll diese auch nur zweimal versucht worden sein, wobei es einmal an technisch noch nicht vorhandenen Möglichkeiten scheiterte, und einmal an der Ablehnung der Maßnahme durch einen Richter (was dann auch den Anstoß zum bekannten vorläufigen "Verbot" durch den Bundesgerichtshof ergab). Insofern erscheint es uns ein wenig zweifelhaft, wieso staatliche Stellen von den Software-Herstellern das kurzfristige Offenlassen von Sicherheitslücken erbeten, wenn diese Möglichkeit nach dato bekanntem Wissen nicht genutzt wird. An dieser Stelle wäre es wohl sinnvoll, wenn der CCC-Sprecher seine Aussage doch noch ein wenig präzisieren könnte, bis dahin ist diese Information ein gewisser Wackelkandidat. Andererseits muß man durchaus einkalkulieren, daß die Information auch stimmen könnte - mit der wenig hoffnungsvollen Auswirkung, daß man dann nicht einmal mehr den Herstellern von Anti-Schadprogrammen trauen könnte.

Ein anderer interessanter Einwurf zum Thema der Online-Durchsuchung kommt aus dem Blog von Isotopp. Dort hat man sich mit der rechtlichen Seite des Bundestrojaners beschäftigt und dabei festgestellt, daß mit dem Einsatz dieses Ermittlungsinstruments die staatlichen Ermittler Schwierigkeiten haben dürften, gerichtsverwertbare Beweise zu produzieren. Als erstes wäre da die Forderung nach Kopien der vollständigen Datenträger von (möglichem) Beweismaterial zu sehen - wenn der Bundestrojaner also einfach eine "bomb.xls" nach Hause telefoniert, wäre diese einzelne Datei vor Gericht womöglich vollkommen wertlos, egal wie gut oder schlimm der Inhalt ausfällt. Andererseits stellt der Bundestrojaner aber auch ein gewisses Hindernis dar, wenn man die Daten erst später mittels einer regulären Hausdurchsuchung beschlagnahmen will.

Denn eine andere Bedingung zur Erlangung gerichtsverwertbarer Beweise lautet, daß keine Handlung der Polizei irgendwelche Daten auf einem (für eine Gerichtsverhandlung) zu untersuchenden Computer verändern darf - doch da der Bundestrojaner zwangsläufig Daten auf dem Angriffsobjekt verändert, ist diese Bedingung technisch gar nicht einzuhalten. Einschränkenderweise muß hier jedoch gesagt werden, daß diese Richtlinien eher nur eine interne Arbeitsanleitung für staatliche Ermittler darstellen und wohl keinen Gesetzesstatus innehaben - es liegt also im Ermessen des Richters, unkorrekt erlangte Beweise anzuerkennen oder abzulehnen. Allerdings haben wir den leisen Verdacht, daß das Ziel der Online-Durchsuchung eigentlich weniger im Auffinden gerichtsverwertbarer Beweise liegt, vielmehr soll damit so etwas wie eine "Gesinnungsprüfung" durchgeführt werden - wohl der Hauptgrund, warum sich vor allem die Geheimdienste (welche per Definition keine Straftaten aufklären sollen) für die Online-Durchsuchung interessieren.

http://www.sonntagszeitung.ch/dyn/news/multimedia/725981.html
http://blog.koehntopp.de/archives/1600-Der-Bundestrojaner-durchdekliniert.html
http://www.edv-beweismittelsicherung.de/edv/richtlinien-zur-erfolgreichen-sicherung-von-edv-beweismitteln.php

8. März 2007

Der Heise Newsticker berichtet erneut zum Thema der Online-Durchsuchung. Danach hat der BKA-Präsident Jörg Ziercke bei einer Rede auf dem 10. europäischen Polizeikongress die geplante Online-Durchsuchung explizit mit den versuchten Kofferbomben-Anschlägen vom 31. Juli vergangenen Jahres begründet, da auf dem Rechner eines der Verdächtigen das BKA inzwischen Bombenbauanleitungen gefunden hat. Hochinteressant ist die Konsequenz, welche sich aus dieser Aussage ableiten läßt: Denn da keiner der Tatverdächtigen vor der Tat von Polizei oder Geheimdiensten einer Gefährdergruppe zugerechnet wurde oder sonstwie irgendwie auffällig war, kann das nur bedeuten, daß man den Bundestrojaner auf allen deutschen PCs installieren muß, wenn man diese konkrete Tat verhindern wollte.

Etwas schade ist in diesem Zusammenhang, daß der BKA-Chef für solche Aussagen nicht von den Massenmedien in den journalistischen Schwitzkasten genommen wird, sprich an dieser Stelle nicht entschieden nachgebohrt wurde: Denn entweder will der BKA-Chef wirklich den Bundestrojaner auf allen deutschen PCs - dann soll er das auch so offen sagen, selbst auf die Gefahr hin, daß eine kleine Gruppe unverbesserlicher Verfassungsanhänger ;) dies dann als schwerst verfassungsfeindlich brandmarkt. Oder aber der BKA-Chef muß zugegeben, das er schlichten Unsinn redet, wenn er meint, daß die Möglichkeit der Online-Durchsuchung im konkret von ihm selber zitierten Fall der sogenannten "Kofferbomber" die versuchte Tat hätte verhindern können - dieses dann allerdings auf die Gefahr hin, daß man ihm die grundlegende Qualifikation für seinen Job absprechen könnte.

http://www.heise.de/newsticker/meldung/86388

10./11. März 2007

Gleichzeitig hat sich der deutsche Bundesrat am Freitag laut wiederum dem Heise Newsticker aber auch gegen eine rasche Regelung für die Online-Durchsuchung ausgesprochen, wie es vom Bundesland Thüringen gefordert worden war. Dies bedeutet natürlich nicht, daß die Sache aufgehoben ist - sie ist schlicht nur aufgeschoben und dürfte uns vermutlich noch eine ganze Weile begleiten. Unterdessen korrigiert man bei Isotopp unsere Berichterstattung vom letzten Wochenende, wo es um den potentiellen Einsatz der SINA-Boxen zur Einschleusung des Bundestrojaners ging. Hier hält man nun dagegen, daß die SINA-Boxen dafür nicht gebaut sind, sie stellen nur den verschlüsselten internen Teil eines Regierungsnetzes dar, was aber von sich aus wohl keinen Zugriff auf Daten im "unsicheren" allgemeinen Teil des Internets hat.

Erhält beispielsweise ein Internet Service Provider eine Überwachungsanordnung gemäß TKÜV, so hat der ISP den Datenzugriff selbstständig zu organisieren, nur die Weiterleitung der Daten an die staatlichen Ermittler erfolgt dann über das SINA-System. Dies würde wohl bedeuten, daß es für den Staat derzeit keine direkte Eingriffsmöglichkeiten in den Datenverkehr bei den Internet Service Providern gibt, womit auch der Verbreitungsweg des Bundestrojaners über die Manipulation des Internet-Datenverkehrs laut dem Artikel der Telepolis vorerst nicht existent wäre. Doch selbst bei einer technischen Lösung in dieser Frage würde hier immer noch das rechtliche Problem anstehen, daß der Staat nicht rechtmäßig den Datenverkehr verändern kann (Strafgesetzbuch Paragraph 303a: Datenveränderung) - und eine rechtmäßige Veränderung von Daten steht nur den Rechteinhabern oder beauftragten Personen zu.

Auf der anderen Seite gibt es inzwischen belegbare Versuche von staatlicher Seite, sich das nötige KnowHow für einen Bundestrojaner zu verschaffen: So berichtet ein hauptberuflich als Programmierer tätiger Blogger über zwei an ihn adressierte diesbezügliche Job-Angeboten aus den letzten Monaten: Zum einen wurde ihm seitens des Bundesamt für Sicherheit in der Informationstechnik (BSI) eine Schulung für Mitarbeiter diverser Behörden mit dem Thema "Wie schreibe ich einen buffer overflow exploit" angetragen, was besonders bezeichnend ist, da das BSI doch eigentlich eindeutig für die IT-Sicherheit in der Bundesrepublik Deutschland zuständig ist - und nicht für das genaue Gegenteil.

Und zum anderen gab es die Anfrage nach einem Programm, welches den "Download eines ausführbaren Programms erkennt und dieses on-the-fly mit einem Trojaner versieht", was wiederum in die Kerbe der Verbreitung des Bundestrojaners mittels der Veränderung des Datenstroms schlägt (wobei sich die technische Realisierung immer noch sehr schwierig gestaltet). Zwar nahm der Blogger diese Job-Angebote nicht an, allerdings - wie er selber korrekt anmerkt - könnte der nächste fähige Programmierer "vielleicht weniger Skrupel oder mehr wirtschaftlichen Druck" haben. Insgesamt läßt sich somit sagen, daß sich staatliche Stellen in der Tat schon mit der technischen Realisierung des Bundestrojaners beschäftigen - gleichfalls läßt sich aber auch erkennen, daß man dafür (angesichts der vorstehenden Job-Beschreibungen) auf das Niveau von kriminellen Hackern heruntersinken muß.

http://www.heise.de/newsticker/meldung/86510
http://blog.koehntopp.de/archives/1609-Bundestrojaner,-Sina-Boxen-und-Mailueberwachung.html
http://bundesrecht.juris.de/stgb/__303a.html
http://www.andreas.org/blog/?p=307

13. März 2007

Bei Technology Review hat man sich mit vielen Aspekten der geplanten Online-Durchsuchung beschäftigt. Dabei macht man auch auf ein Hauptproblem des Bundestrojaners aufmerksam: Selbst wenn dieser einmal im System ist, gilt es, diesen auch weiterhin selbst vor neuester Antiviren-Software sicher zu verstecken. Bei der Schwere der Aufgabenstellung würde man wohl kaum an einer "Zusammenarbeit" mit den Herstellern von Antiviren-Software vorbeikommen: Diese müssten sich dann verpflichten, den Bundestrojaner bewußt nicht erkennen, ansonsten wäre die Wirksamkeit des staatlichen Schnüffelprogramms schnell aufgehoben. Daß die Hersteller von Antiviren-Software eine solche Anforderung allerdings akzeptieren werden, wäre eher stark zu bezweifeln.

Insofern müsste die Bundesregierung also eine gesetzliche Grundlage schaffen, welche die Hersteller zur Nichterkennung staatlicher Schnüffelprogramme verpflichtet, was dann natürlich deren Produkte vollkommen diskreditieren würde. Jedoch droht gemäß Silicon.de den deutschen IT-Security-Anbieter schon allein durch die laufende Diskussion über die Online-Durchsuchung ein hoher Image-Schaden im Ausland und damit auch Umsatzverluste. Bisher wurden IT-Security-Produkte "Made in Germany" im Ausland wohl immer als besonders vertrauenswürdig angesehen - was aber in Folge der aktuellen Diskussion schnell ins Gegenteil umkippen kann. Interessanterweise sollen US-amerikanische Security-Produkte derzeit schon einen schweren Stand im Markt haben, weil die Hersteller nicht überzeugend versichern können, daß bei jenen nicht die US-Geheimdienste mithören ;).

http://www.heise.de/security/artikel/86415/0
http://www.silicon.de/enid/wirtschaft_und_politik/25959

19. März 2007

Gemäß der FutureZone macht sich nun auch der stellvertretende CDU-Fraktionsvorsitzende Wolfgang Bosbach für die Online-Durchsuchung stark. Starkes Erstaunen löst dabei allerdings die angeführte Begründung aus, Zitat: "Die Online-Durchsuchung dient der Sicherung von flüchtigen Beweisen." Nun kann man zwar mit der Online-Durchsuchung sicherlich einen Informationsgewinn erzielen, gerichtsverwertbare Beweise werden sich jedoch kaum ergeben können. Dagegen spricht das reine Prinzip der Online-Durchsuchung, welches vollständig entgegen gängiger Beweismittelsicherungs-Verfahren steht. Die Chancen, daß direkt durch den Bundestrojaner erworbene Informationen vor Gericht als Beweise anerkannt werden, stehen somit denkbar ungünstig - insofern kann man die Online-Durchsuchung derzeit auch schlecht mit diesem Punkt "bewerben".

http://futurezone.orf.at/it/stories/179393/
http://www.edv-beweismittelsicherung.de/edv/richtlinien-zur-erfolgreichen-sicherung-von-edv-beweismitteln.php

23. März 2007

Nach Informationen des Spiegels hat das bundesdeutsche Innenministerium bestätigt, daß die bundesdeutschen Geheimdienste BND, VS und MAD befugt sind, eine Online-Durchsuchung schon jetzt auf Grundlage der aktuellen Gesetzeslage durchzuführen. Die entsprechenden Geheimdienstgesetze kennen zwar die Online-Durchsuchung nicht explizit, lassen aber große Interpretationspielräume, welche das Innenministerium hiermit offensichtlich zu nutzen versucht. Eine Auskunft, ob und in welchem Umfang die Online-Durchsuchung bereits genutzt wird, gab das Innenministerium allerdings nicht - dies unterliegt der den Geheimdiensten vorbehaltenen Geheimhaltung. Die fehlende explizite Rechtsgrundlage bedeutet zudem aber auch, daß keine wirklichen Einschränkungen wie ein bindender Richtervorbehalt existiert.

Es gibt für die Geheimdienste zwar das (geheim tagende) Parlamentarische Kontrollgremium (PKG) - jenes wird in aller Regel aber erst im Nachhinein informiert, was nicht dasselbe wie eine vorherige Prüfung durch einen Amtsrichter darstellt. Doch auch unabhängig davon, ob die Online-Durchsuchung derzeit von den bundesdeutschen Geheimdiensten schon durchgeführt wird oder nicht, muß klar gesagt werden, daß dieses Ermittlungsinstrument in den Händen von Geheimdiensten nichts mit einer angeblichen Verbrechensbekämpfung zu tun hat: Die Geheimdienste betreiben per Definition Gesinnungsschnüffelei, strafrechtliche Ermittlungen sind dagegen Aufgabe der polizeilichen Dienste. Insofern läßt sich die Online-Durchsuchung durch Geheimdienste eben nicht mit der Aufklärung von Straftaten begründen - was allerdings das derzeit vorgebrachte Hauptargument pro der Online-Durchsuchung darstellt.

Wenigstens gibt es von anderer Seite diesbezüglich mal (passabel) gute Nachrichten: Wie unter anderem die FutureZone berichtet, wollen die Hersteller von Antiviren-Software keine Ausnahmen für den Bundestrojaner in ihren Programmen machen. Allerdings betonen die Hersteller auch, daß falls die Macher des Bundestrojaners "ihre Hausaugaben gemacht hätten", es für die Antiviren-Software eher unmöglich sein wird, den Bundestrojaner sofort zu erkennen. Man spricht damit ein mittlerweile enormes Problem im Sicherheitsbereich ein, nämlich das einmal erkannte Schadsoftware durch nur geringfügige Modifikationen am Code sehr schnell wieder unsichtbar für Scanner-Software gemacht werden kann. Im Endeffekt erkennen somit fast alle Antiviren-Programme nur schon bekannte Schadsoftware und haben gegen brandneue Schadsoftware keine wirkliche Chance - auch wenn das die Hersteller selten so offen zugeben.

http://www.spiegel.de/netzwelt/tech/0,1518,473562,00.html
http://futurezone.orf.at/it/stories/179475/

27. März 2007

BKA-Chef Jörg Ziercke hat der TAZ ein weiteres Interview zur Online-Durchsuchung gegeben, handfeste neue Hinweise zur Funktionsweise der Online-Durchsuchung gab es dabei aber leider nicht. Dafür zeigten sich jedoch wiederum einige Logikbrüche in der Argumentation des BKA-Chefs: So stellt sich die Polizei bei der Online-Durchsuchung angeblich einer dreifachen Kontrolle durch Richtervorbehalt, Staatsanwalt und Datenschutzbeauftragten. Dafür gibt es aber derzeit - wie für die gesamte Maßnahme überhaupt - keine verbindliche gesetzliche Grundlage. Wenn, dann wäre das zum derzeitigen Zeitpunkt also nicht anders als rein freiwillig zu betrachten (wenn man denn überhaupt eine vom Gesetz nicht ausdrücklich gebilligte Maßnahme als rechtmäßig ansehen will).

Desweiteren sind die Ausführungen zum verfassungsrechtlich vorgeschriebenen Schutz des "Kernbereichs der privater Lebensgestaltung" nur als infantil zu beschreiben: Danach will die Polizei mit Schlüsselwörtern steuern, daß höchst private Daten nicht untersucht werden. Das sich nun natürlich genau die Zielgruppe der Online-Durchsuchung diese Lücke auf jeden Fall zu nutzen machen wird, scheint dabei noch niemanden aufgefallen zu sein. Auf der anderen Seite besteht hier durchaus der leise Verdacht, daß diese Schlüsselwörter-Geschichte eigentlich nur zur Beruhigung der Medien dient: Das BKA wird doch wohl durchaus wissen, daß solcherart offensichtliche Lücken in der Überwachung generell ausgenutzt werden, womit man früher oder später nur zu einer lückenlosen Überwachung greifen kann, will man die eigengesteckten Ziele erreichen können.

Auch wieder auffallend war die üble Vermischung von Kommunikation mit der Online-Durchsuchung. Für das Abhören von Kommunikation gibt es bereits entsprechende Gesetzesgrundlagen, dafür bedarf es keiner Online-Durchsuchung. Zudem durchsucht die Online-Durchsuchung keine Kommunikation, sondern fest gespeicherte Daten. Allerdings ist das Kommunikations-Argument natürlich einfacher den Medien zu vermitteln - ganz besonders, wenn man so tut, als würden die üblichen Verdächtigen das Internet völlig unbeobachtet nutzen können und die arme Polizei würde hilflos danebenstehen. Gleiches gilt für die Maßgabe, die Online-Durchsuchung nur gegen Schwerstkriminelle einsetzen zu wollen: Dies wollen wir bezüglich der polizeilichen Ermittlungen gar nicht anzweifeln - doch wieso sollen bzw. dürften die bundesdeutschen Geheimdienste diese Maßnahme dann ebenfalls einsetzen, wo diese doch mit der Aufklärung von Straftaten generell überhaupt nichts zu tun haben?!

http://www.taz.de/pt/2007/03/26/a0119.1/text

2. April 2007

Wieder einmal ein paar Nebelkerzen zur Online-Durchsuchung wirft der BKA-Präsident Jörg Ziercke, der Berichterstattung des Heise Newstickers zu entnehmen. Zuerst versuchte man den Bundestrojaner nicht als Schadsoftware (kein direkter Schadcode) bzw. Trojaner (kein scheinbares Nutzprogramm mit dann zusätzlicher versteckter Funktionalität) darzustellen, was natürlich nur auf rein technischer Ebene eine gewisse Berechtigung hat - im Sinne des Nutzers (und auch der Antivirensoftware-Hersteller) ist der Bundestrojaner aber natürlich trotzdem eine klare Schadsoftware. Desweiteren will man nur bestimmte Dateien übertragen, nicht den Inhalt kompletter Festplatten. Technisch mag dies sinnvoll sein, für eine Beweissicherung ist dies jedoch ausgesprochen unzureichend - solcherart gewonnene "Beweise" dürften gleich aus mehreren Gründen vor Gericht wertlos sein.

Ob die Online-Durchsuchung für die polizeilichen Dienste verhältnimäßig ist, wenn mittels dieser sowieso keinerlei gerichtsverwertbaren Beweise gewonnen werden können, ist sowieso noch eine der großen offenen Fragen zum Thema. Eine andere ungeklärte Frage ist diejenige, was passiert, wenn der Bundestrojaner versehentlich das System des Nutzers beeinträchtigt - beispielsweise in dem Dateien gelöscht werden oder gar das Betriebssystem selber beeinflußt wird. Da der Bundestrojaner schließlich tief im System hängen muß, um nicht aufzufallen und gleichzeitig vollsten Zugriff auf alles zu haben, ist ein solcher Fall prinzipiell nicht ausschließbar. So weit scheint man mit dem Bundestrojaner derzeit aber noch bei weitem nicht zu sein, derzeit soll das Projekt gerade einmal den Status "theoretisch inzwischen klarer umrissen" haben - was wohl bedeuten mag, daß bislang nur Wunschvorstellungen der Politiker und Sicherheitsbeamten gesammelt wurden und noch kein Programmierer konsultiert wurde, ob das ganze denn überhaupt realisierbar sei.

http://www.heise.de/newsticker/meldung/87421
http://www.edv-beweismittelsicherung.de/edv/richtlinien-zur-erfolgreichen-sicherung-von-edv-beweismitteln.php

3. April 2007

So wie es ausschaut, soll der Bundestrojaner wohl nicht über Sicherheitslücken in die Systeme der Überwachungsobjekte gelangen - was sowieso immer eine unsichere Angelegenheit darstellt, weil so etwas umfangreiche Kenntnisse über das jeweilige Zielsystem voraussetzt. Vielmehr deutet sich laut dem Heise Newsticker derzeit eher ein Verbreitungsweg über die Manipulation der Netzarchitektur an - sprich, der Bundestrojaner wird in einem vom User angeforderten Download gepackt. Technisch ist ein solcher Angriff allerdings nicht wirklich einfach auszuführen, unter anderem müsste Vater Staat dann die Datenpakete direkt beim Internet Service Provider manipulieren, für was es derzeit nach unserem Kenntnisstand weder eine technische Lösung noch eine rechtliche Grundlage gibt.

http://www.heise.de/newsticker/meldung/87612

5. April 2007

Der Heise Newsticker berichtet zu der auch in der Schweiz geplanten Online-Durchsuchung sowie präventiven Telekommunikations-Überwachung. Damit ist von den großen deutschsprachigen Ländern bislang nur die Republik Österreich ohne konkrete Bestrebungen für eine Online-Durchsuchung - auch wenn das Thema dort genauso schon diskutiert wird. Beachtenswert im konkreten Fall ist zudem die Offenheit einiger Beführworter der Online-Durchsuchung in der Schweiz: So sollen die geplanten neuen Maßnahmen "ausdrücklich auch gegen Personen ermöglicht werden, gegen die kein konkreter Verdacht auf strafbares Verhalten besteht". Ergänzenderweise muß hier dazugesagt werden, daß dies jedoch auch in Deutschland der Fall ist, denn die Geheimdienste betreiben nun einmal in aller Regel nur Vor- und Umfeldaufklärung und haben mit der Aufklärung oder Aufdeckung von Straftaten primär nichts zu tun.

Weiterhin sehr bemerkenswert ist der Einwand des schweizer Datenschutzbeauftragten genau zu diesem Punkt: So brachte er zur Sprache, daß der in der Schweiz auch für die Geheimdienste vorgesehen Richtervorbehalt in jenen Fällen völlig obsolet wird, wo den Überwachungsobjekten keine konkrete Straftat vorgeworfen wird. Schließlich können die ermittelnden Behörden dem Richter dann zur Prüfung keinerlei handfeste Indizien für eine Straftat vorlegen. Das, was eigentlich den Sinn eines Richtervorbehalts ausmachen sollte, nämlich die unabhängige Prüfung von vorhandenen Fakten, würde damit komplett ausgehebelt, weil sich der prüfende Richter auf die (subjektiven) Einschätzungen von Geheimdienststellen verlassen müsste, welche nun einmal weit entfernt von gerichtsfesten Fakten sind. Auch hier gilt anzumerken: Selbstverständlich gilt diese Problematik genauso auch für die in Deutschland geplante und womöglich schon stattfindende Online-Durchsuchung, sofern sie von Geheimdiensten durchgeführt wird.

http://www.heise.de/newsticker/meldung/87914

12. April 2007

Das Deutschlandradio hat ein Interview mit dem Wissenschaftsjournalisten Peter Welchering geführt, welches einige neue Anhaltspunkte zum Verbreitungsweg des geplanten Bundestrojaners bringt. So sollen von den Sicherheitsbehörden bislang zwei Verbreitungswege diskutiert worden sein: Gemäß der ersten Variante sollen dabei die Internet Service Provider (ISPs) Proxy-Server für besonders bekannte Internetseiten aufstellen, über welche dann allerdings die staatlichen Überwacher die Kontrolle hätten. Somit will man, sobald sich ein Überwachungsobjekt eine der auf dem Proxy-Server gespiegelten Webseiten ansieht und dort eventuell etwas downloaded, diesen Download dann mit einem Trojaner versetzen.

Mittels dieser durchaus gerissenen Methode geht man auch üblichen Gegenmaßnahmen bei "verseuchten" Downloads aus dem Weg, da dem Spiegeln und Verändern von kompletten Webseiten weder mit verschlüsselten Verbindungen noch mittels des Abgleichs von Checksummen beizukommen ist. Technisch stellt sich dies also hervorragend ausgedacht dar - allerdings scheint bisher niemand an die drohenden rechtlichen Verwicklungen gedacht zu haben. Denn erstens stellt sich hier der Strafrechtsparagraph 303a "Datenveränderung" entgegen, gleichzeitig könnten aber auch diese Webseiten, welche von den staatlichen Überwachern gespiegelt (und in der Kopie verändert) werden, auf Unterlassung gemäß der Urheberrechtsgesetzgebung klagen.

In einem konkreten Überwachungsfall wäre es sogar möglich, daß eine betroffene Webseite auf hohe Schadensersatzsummen aufgrund der entstehenden Rufschädigung klagt, falls bekannt wird, das diese Webseite von den staatlichen Überwachern zur Einschleussung des Bundestrojaner benutzt wird. Natürlich kann man die entsprechenden Gesetze zugunsten der Online-Durchsuchung abändern - wir sind allerdings sehr gespannt auf diese Gesetzesvorlagen, welche dem Staat völlig andere rechtliche und moralische Regeln geben als den Bürgern selber ;). Momentan scheint dies jedoch nicht so die Sorge der Sicherheitsbehörden zu sein - dort wird eher das permanente Risiko des Bundestrojaners diskutiert, das ein infizierter Rechner durch Abschaltung der auf diesem Rechner laufenden Sicherheitsprogramme "außer Kontrolle geraten könnte", sprich sich reihenweise weitere Schadsoftware einfangen könnte.

Um diesem Szenario zu entgehen, wird eine zweite Variante der Online-Durchsuchung angedacht, bei welcher man ganz ohne dem Bundestrojaner auskommen will. Dabei will man angeblich einen FTP-Transfer zum Rechner des Überwachungsobjektes initieren können, ohne das dieser etwas davon bemerkt oder aber das gewöhnliche Sicherheitssoftware dies registrieren würde. Dies halten wir allerdings für über alle Maßen unglaubwürdig, denn dies würde eine bekannte, jedoch nicht geschlossene und zudem überaus klare Sicherheitslücke voraussetzen. Da diese Methode zudem explizit über ActiveX funktionieren soll, wären damit automatisch Rechner ohne Windows-Betriebssystem oder deaktiviertem ActiveX unangreifbar.

Allerdings könnte es durchaus sein, daß man sich doch vom reinen Prinzip her dieser zweiten Variante bedient und dabei einfach variabel mit verschiedenen Sicherheitslücken experimentiert. Dies wäre dann auch unabhängig des jeweils eingesetzten Betriebssystems, könnte dafür aber natürlich auch an einem wirklich gut abgesicherten System scheitern. Interessanterweise gibt es für solche "Anwendungsfälle" bereits professionelle, nur an Regierungsstellen verkäufliche Software, mit welchem sich Zielsysteme auf eventuelle Lücken durch nicht geschlossene oder gänzlich neue Sicherheitslücken überprüfen lassen, unter deren Ausnutzung dann letztlich doch wieder der Bundestrojaner (bzw. eine Überwachungssoftware) auf dem PC landet.

http://www.dradio.de/dlf/sendungen/computer/613173/
http://bundesrecht.juris.de/stgb/__303a.html

25. April 2007

Wie die Tagesschau berichtet, hat der seinerzeitige Bundesinnenminister Schily die Online-Durchsuchung bereits im Jahr 2005 mittels einer einfachen Dienstanweisung möglich gemacht (ob sie auch rechtens ist, wäre damit noch lange nicht gesagt). Angeblich haben in Folge dessen Geheimdienste und das Bundeskriminalamt die Online-Durchsuchung bereits mehrfach zur Anwendung gebracht. An dieser Stelle ist aber nicht klar, ob dies über die zwei bekannten Fälle des BKAs hinausgeht - was wir derzeit einfach einmal bezweifeln: Die reine dienstrechtliche Möglichkeit bedeutet noch lange nicht den realen Einsatz, ganz besonders da die technische Umsetzung des Bundestrojaners derzeit ja immer noch im Stadium frühester Planungen steht. Nichts desto trotz ist diese Dienstanweisung natürlich eine infame Mißachtung des Grundgesetzes - für welche aber wohl wieder einmal niemand zur Verantwortung gezogen werden wird.

http://www.tagesschau.de/aktuell/meldungen/0,1185,OID6658014_NAV_REF1,00.html

2. Mai 2007

Der Heise Newsticker berichtet darüber, daß die Dienstanweisung zur Online-Durchsuchung womöglich auf einem Mißverständnis beruht: Der damals zuständige Staatssektretär sagte aus, daß es seinerzeit rein offiziell darum gegangen sei, "abgeschottete" Online-Foren ausspähen zu können - was im Sinne der (legalen) Telekommunikations-Überwachung sicherlich auch schon damals von den entsprechenden Gesetzen gedeckt wurde. Natürlich aber bedingt die technische Umsetzung dieses Vorhabens dennoch immer noch den Einbruch in den PC eines der Foren-Teilnehmer - aber eben nur aus dem einzigen Grund, um an die entsprechenden Zugangsdaten zu kommen, sprich hierbei würde es sich um eine Online-Durchsuchung mit extremer Zweckbindung handeln.

Allerdings scheint diese Zweckbindung wohl nicht in der bewußten Dienstanweisung vermerkt zu sein - insofern kann diese dann natürlich auch dazu ausgenutzt werden, einen mittels Bundestrojaner geknackten Computer auch gleich vollständig zu durchsuchen (wofür in diesem umfassenden Fall dann wieder die Rechtsgrundlage fehlt). Dem Staatssekretär war es nach eigenen Angaben allerdings nicht bewußt, was für Möglichkeiten er damit den Geheimdiensten an die Hand gab. Dies wirft aber durchaus die Frage auf, ob diejenigen (unbekannten) Ministerialbeamten oder/und Geheimdienstler, welche seinerzeit den Anstoß zu dieser Dienstanweisung gegeben haben, eventuell genauso blauäugig handelten - oder aber den Staatssekretär bewußt eine Dienstanweisung unterzeichnen lassen haben, welche deutlich mehr hergibt, als was man dem Unterzeichner offenlegen wollte.

http://www.heise.de/newsticker/meldung/89115

6. Mai 2007

Mal wieder ein Interview mit dem IT- und Wissenschaftsjournalisten Peter Welchering zum Thema der Online-Durchsuchung hat das Deutschlandradio geführt. Dabei wurden einige hochinteressante Informationen über die bisher in Deutschland schon gelaufenen bzw. versuchten Online-Durchsuchungen genannt, welche teilweise schon zum Schmunzeln sind. Denn offensichtlich sind die entsprechenden Behörden derzeit noch lange noch nicht so weit, um die bisher spekulativ genannten Verbreitungswege eines Bundestrojaners über manipulierte Downloads oder das direkte Hacken eines Computers zu realisieren. Vielmehr versuchte man es bisher dadurch, Überwachungsobjekten möglichst gezielt entsprechend manipulierte CD unterzuschieben.

Allerdings ging das mit dem "gezielt" natürlich schief und so landete die auf den CDs enthaltene Überwachungssoftware auch auf anderen Computern, welche dann ebenfalls dem Remote-Computer ihre Überwachungsergebnisse zu schicken versuchten. Damit war der Remote-Computer der ermittelnden Behörde dann überlastet und ging wie bei einem DDoS-Angriff schlicht in die Knie ;). Deswegen fand man auch eher Geschmack an dem zweiten Verbreitungsweg der Überwachungssoftware, welcher "schlicht" in einem gewöhnlichen Einbruch in die Räume des Überwachungsobjektes und der manuellen Installation der Überwachungssoftware auf den Ziel-Computer besteht. Unklar bleibt hier natürlich, wieso man bei einer solchen Gelegenheit nicht einfach gleich eine komplette Kopie der Festplatte angefertigt hat - sollte das die technischen Kenntnisse der entsprechenden Beamten überstiegen haben?

Denn auf der anderen Seite wollte man in einem Fall mittels der Online-Durchsuchung per Internet eine komplette Festplatte mit 120 GB Daten übertragen. Dies dauert natürlich seine Zeit - und nach ca. zwei Wochen fielen diese Aktivitäten dann sogar dem Computerbenutzer auf, womit die heimliche Online-Durchsuchung enttarnt war. In einem anderen Fall scheiterte man noch früher: Da wurde der Bundestrojaner gleich beim Versuch der Einschleusung in den Zielrechner bemerkt, worauf sich der Computernutzer den Spaß machte, den Remote-Computer der ermittelnden Behörde mit Datenmüll zu füttern ;). In der Summe sieht das ganze derzeit eher nach einer Episode von "Clever und Smart" aus als denn nach vorhandenem IT-Sachverstand. Auf der anderen Seite darf man die Kräfte pro der Online-Durchsuchung auch nicht unterschätzen, auch dort wird mit der Zeit hinzugelernt.

http://www.dradio.de/dlf/sendungen/computer/620126/

16. Mai 2007

Gegenüber der Zeit hat der Chaos Computer Club (CCC) die Aussage getroffen, daß es für den normalen Computernutzer keinen funktionierenden Schutz vor der geplanten (und teilweise schon durchgeführten) Online-Durchsuchung geben würde. Dies mag pro forma richtig sein - wenn ein guter Hacker es auf einen Computer abgesehen hat, wird er mit einem gewissen Zeitaufwand auch in diesen eindringen können. Auf der anderen Seite überdramatisiert der CCC die ganze Angelegenheit auch wieder, denn gleiches gilt ja schließlich auch für die üblichen Viren- und Würmerflut des Internets: Auch hiergegen gibt es keinen allumfassenden und jederzeit hundertprozentigen Schutz - und die Chance, von Viren und Würmern traktiert zu werden, ist sicherlich dramatisch höher als diese, von der Online-Durchsuchung betroffen zu sein.

Davon abgesehen entwickeln sich Antivirenlösungen derzeit gerade in diese Richtung, nicht mehr stur nach Signaturen von bekannten Schädlingen zu suchen, sondern die Einschätzung, ob eine Software gefährlich ist oder nicht, von dem Wirken dieser Software abhängig zu machen. Diese Entwicklung ist zwar noch lange nicht dort, wo sie einmal hin soll, wird aber langfristig solchen Angriffen wie dem Bundestrojaner mit hoher Erfolgsquote begegnen können. Und einen Nachteil hat der Bundestrojaner gegenüber gewöhnlicher Schadsoftware immer: Er darf übliche Sicherheitsprogramme zwar umgehen, aber wenn die Umgehung nicht möglich ist, niemals ausschalten. Denn im Gegensatz zu gewöhnlicher Schadsoftware ist der Bundestrojaner immer an Recht und Gesetz gebunden und darf demzufolge keine Straftaten begehen (Stichworte Datenveränderung & IT-Sicherheit).

Dies ergibt durchaus einen erheblichen Nachteil zuungunsten des Bundestrojaners, da wirklich gute Sicherheitssoftware schon jetzt relativ schlecht zu überlisten ist und von Schadprogrammen demzufolge regelmäßig ausgeschaltet wird. Insofern spielt auch die Zeit gegen den Bundestrojaner, denn in einigen Jahren dürfte es zum Alltagsbrot von normaler Antivirensoftware gehören, nicht nach Schädlingssignaturen zu scannen, sondern vielmehr das System generell nach sich verdächtig verhaltender Software zu überwachen. Und dann wäre auch für Otto Normalsurfer der Schutz gegenüber dem Bundestrojaner möglich - welcher heute noch denjenigen vorbehalten ist, welche sich mit ihrem Betriebssystem und Überwachungsprogrammen für dieses entsprechend gut auskennen.

Davon abgesehen gibt es inzwischen schon eine erste Firma, welche auf der Welle der Berichterstattung über die Online-Durchsuchung mitsurfen und dabei Geschäfte machen will: Wie bei OpenPR nachlesen, preist die Firma SecurStar hierzu diverse eigene Produkte an. Das Stichwort "Online-Durchsuchung" läßt man dabei allerdings wohlweislich aus, denn die hauptsächlich angebotenen Verschlüsselungsprogramme helfen natürlich nicht gegen eine Online-Durchsuchung - vielmehr wurde die Online-Durchsuchung ja auch deswegen aus der Taufe gehoben, um an die Daten von verschlüsselten Datenträgern heranzukommen. Und letztlich wäre zum Thema noch auf einen Aufsatz bei HRR-Strafrecht verwiesen: Dieser stellt in sachlicher Weise alle bekannten Informationen zur Online-Durchsuchung zusammen und kann damit durchaus als Standardwerk bei der Diskussion zur Online-Durchsuchung gelten.

http://www.zeit.de/online/2007/20/abwehr-gegen-online-durchsuchungen
http://openpr.de/news/134699/Unschuldige-als-Opfer-digitaler-Spionage-SecurStar-schafft-Abhilfe-durch-Verschluesselung.html
http://www.hrr-strafrecht.de/hrr/archiv/07-04/index.php?sz=8

18. Mai 2007

Seitens der Zeit gibt es einen weiteren Artikel zur Online-Durchsuchung. Bemerkenswert ist dabei, mit welcher Begründung die Bundesanwaltschaft die Online-Durchsuchung trotz fehlender Gesetzesgrundlage bisher ansetzt (angeblich gibt es bisher 12-15 Fälle, wobei dies wohl die insgesamten Versuche darstellen dürften): Danach stelle die Online-Durchsuchung nichts anderes als eine andere Form der Hausdurchsuchung dar. Die Vorschrift, daß der Beschuldigte bei dieser Maßnahme anwesend sein müsse, werde bei der Online-Durchsuchung dadurch gedeckt, daß der Beschuldigte schließlich online sei. Ehrlicherweise fehlen einem hier fast die Worte: Denn einmal abgesehen davon, daß ein online befindlicher PC nicht darauf schließen läßt, daß auch der Benutzer zwingend online sein muß, bedingt eine Hausdurchsuchung in allererste Linie das direkte Wissen des Beschuldigten um diese Maßnahme.

Dies alles kann aber bei einer heimlichen Durchsuchung nicht der Fall sein. Zudem hat die gewöhnliche Hausdurchsuchung noch ein paar andere Regeln, wie beispielsweise die vorherige Vorlage eines richterlich abgezeichneten Durchsuchungsbeschlusses oder auch eine Quittung der ermittelnden Beamten über alle beschlagnahmten Güter - welche bei einer heimlichen Online-Durchsuchung allesamt nicht erfüllbar sind. Es spricht nicht unbedingt für den vielzitierten Rechtsstaat, wenn ausgerechnet die Bundesanwaltschaft zugunsten der Online-Durchsuchung nicht nur das hierfür gar nicht gedachte Recht auf Hausdurchsuchungen ansetzt, sondern auch gleich noch dessen Regeln auf infamste (und womöglich strafbare?) Art und Weise verbiegt.

http://www.zeit.de/online/2007/06/online-durchsuchungen02
http://www.gulli.com/untergrund/szene/hausdurchsuchung/

7. Juni 2007

Wie die Telepolis berichtet, versucht man mit einem höchst interessanten Ansatz in Nordrhein-Westfalen das dort existierende Verfassungsschutzgesetz zu verteidigen, welches die Online-Durchsuchung in diesem Bundesland schon jetzt erlaubt. Danach wird ein im Internet stehender Computer aufgrund der im Internet angeblich lauernden Gefahren nicht derart "privat" wie beispielsweise die eigene Wohnung angesehen, womit die verfassungsrechtlichen Regelungen zum Schutz der Privatsphäre nicht greifen würden. Diese schon "dummdreist" zu nennende Begründung ist natürlich weder rechtlich haltbar (das Recht auf Unverletzlichkeit der Wohnung wurde noch nie daran ausgemacht, daß diese besonders gesichert wäre) noch entspricht sie dem Sinn des Grundgesetzes.

http://www.heise.de/tp/r4/artikel/25/25421/1.html

18. Juni 2007

Laut Teltarif hat der Schweizer Bundesrat am letzten Freitag den Einsatz der Online-Durchsuchungen in der Schweiz beschlossen. Allerdings muß das entsprechende Gesetz noch einige andere Hürden überspringen - beispielsweise die parlamentarische - so daß nicht sicher ist, ob die Online-Durchsuchung in der Schweiz auch wirklich kommen wird. Im Fall des Falles schätzt man allerdings den Zeitraum auf anderthalb Jahre, ehe das Gesetz in Kraft treten kann - von den technischen Schwierigkeiten, dies überhaupt zu realisieren, einmal ganz abgesehen. Als "Sichererungsmaßnahmen" sind wie in Deutschland der Richtervorbehalt vorgesehen (welcher allerdings prinzipiell anzuzweifeln ist, da den Richtern hierbei oftmals nur nicht nachprüfbare Geheimdienst-Informationen vorgelegt werden), hinzu kommt allerdings noch eine in Deutschland fehlende Informationspflicht für die Betroffenen nach Ende der Abhöraktion.

http://www.teltarif.de/arch/2007/kw25/s26299.html

9. Juli 2007

Der Heise Newsticker bringt ein paar weitere Details zur nunmehr doch schon recht konkret geplanten "Online-Durchsuchung". Dabei ist durchaus positiv zu notieren, daß der richterlich zu bewilligende Antrag auf die Durchführung dieser Maßnahme vom BKA-Präsidenten oder einer seiner Vertreter kommen muß - was darauf hindeutet, daß diese Maßnahme nicht für den breitflächigen Einsatz geplant erscheint. Was natürlich - genauso wie alle anderen Regeln rund um die Online-Durchsuchung - nicht in Stein gemeißelt für alle Ewigkeiten so bleiben muß, es gibt hierbei leider eine nicht von der Hand zu weisende Historie, solcherart stark in die Grundrechte der Bürger eingreifenden Gesetze im Stil einer Salamitaktik über die Jahre maßgeblich aufzuweichen.

Wahrscheinlich auch aus diesem Grund streiten sich innerhalb der regierenden Großen Koalition SPD und CDU/CSU derzeit über die Online-Durchsuchung, welche bei Zustimmung der SPD im Rahmen des neuen Anti-Terrorpakets für das Bundeskriminalamt schon innerhalb der nächsten Tage verabschiedet werden könnte. Noch ziert sich die SPD allerdings, die von der CDU/CSU ausgerufene "Notwendigkeit" der Online-Durchsuchung anzuerkennen, zudem will man auch erst einmal den Spruch der Verfassungsrichter zum Verfassungsschutzgesetz in Nordrhein-Westfalen abwarten, auf dessen Grundlage die Online-Durchsuchung bekannterweise schon jetzt möglich ist. Bleibt zu hoffen, daß man wenigstens im letzten Punkt standhaft bleibt - denn sicherlich ist es bei diesem doch äußerst heiklen Verhaben nicht verkehrt, vorher die Meinung der Verfassungsrichter anzuhören, ehe das Gesetz verabschiedet und nachträglich dann doch wieder als verfassungswidrig erklärt werden würde.

http://www.heise.de/newsticker/meldung/92358
http://www.heise.de/newsticker/meldung/92424

13. Juli 2007

Laut Golem will die SPD der Online-Durchsuchung nunmehr unter den Bedingungen zustimmen, daß es einen Richtervorbehalt sowie eine nachträgliche Information der Betroffenen gibt. Damit dürften faktisch alle Hürden genommen sein - denn diese Bedingungen gelten schon bei weniger invasiven Maßnahmen wie der Telefonüberwachung. Insofern sieht diese SPD-Äußerung auch eher denn nach einem Rückzugsgefecht aus, denn daß auch die Online-Durchsuchung diese zwei Bedingungen bekommen wird, war eigentlich schon von Anfang an klar. Somit ist es zu erwarten, daß diese Ermittlungsmöglichkeit wohl schon in nächster Zeit im Rahmen des ansonsten fertigen BKA-Gesetzes von der große Koalition in Deutschland durchgesetzt werden wird - Sinnhaftigkeit, Verfassungsmäßigkeit und Meinung der Bürger hin oder her.

http://www.golem.de/0707/53474.html

16. Juli 2007

Wie ein führender CDU-Innenpolitiker gegenüber der Tagesschau angegeben hat, soll die Software für die Online-Durchsuchung angeblich bereits fertig sein und auf ihren Einsatz warten. Leider gibt es an dieser Stelle nicht mehr Informationen, so daß nicht klar ist, wie ernst gemeint diese Aussage ist bzw. wieviel technisches Verständnis dieser Poltiker überhaupt mitbringt, um eine solche Aussage fachgerecht treffen zu können ;). Generell ist aber sowieso nicht mehr zu erwarten, daß es zu einem "Bundestrojaner" kommen wird, also einer Software für alle Anwendungsfälle. So etwas ist für Phisher etc. interessant, welche ihre Schadsoftware millionenfach verbreiten und hoffen, daß wenigstens ein paar tausend User darauf hereinfallen.

In diesem Fall des staatlichen Hackings geht es aber um eine ganz andere Ausgangssituation, welche dann auch eine ganz andere Art von Software benötigt: Es sollen gezielt bestimmte Computer gehackt werden, eine Weiterverbreitung der Software ist sogar hoch unerwünscht. Auf diese Weise ist auch die Chance äußerst gering, irgendwann einmal bei den Herstellern von Antivirensoftware zu landen und in deren Schadsoftware-Datenbank aufgenommen zu werden - was wohl ein ziemlicher PR-GAU für Vater Staat wäre. Für den beschriebenen Aufgabenzweck wird aber wie gesagt weniger eine Trojaner-ähnliche Software benötigt, sondern eigentlich etwas völlig anderes. Denkbar ist für die Software zur Online-Durchsuchung die Aufteilung in zwei Komponenten: Mit der ersten wird ein Zielsystem auf Schwachstellen hin abgeklopft, hierfür gibt es schon reichlich Software seitens IT-Security-Firmen oder auch aus dem Hacker-Bereich.

Den wirklichen Zugriff kann man dann sogar halb-manuell vornehmen: Je nach vorgefundenen Schwachstellen wird versucht, über diese in den Zielcomputer einzudringen und dort die staatliche Überwachungssoftware zu installieren. Dies kann man natürlich auch mit vorgefertigten Exploits erreichen, welche dann schlicht die eigentliche Überwachungssoftware nachladen. Nicht desto trotz erscheint dieser Part aber eher als Handarbeit, da schließlich für jedes System der anzugreifende Schwachpunkt manuell ausgewählt wird. Zudem könnte es auch sein, daß die eigentliche Überwachungssoftware als zweiter Teil des Softwarepakets zur Online-Durchsuchung für jeden einzelnen Zielcomputer manuell angepasst wird - je nachdem, um welches Betriebssystem es sich handelt und welche dort installierten Sicherheitsschranken zu überwinden sind.

Damit würde der direkt nachweisbare Teil der Software zur Online-Durchsuchung auch jedesmal anders aussehen, womit die Hersteller von Antiviren-Software das gleiche Problem hätten wie mit den ständig veränderten Versionen von Viren und Würmern, welche mit jeder neuen Version jedesmal neu der Schadsoftware-Datenbank zugefügt werden müssen. In der Summe wären diese beiden Software-Komponenten aber wesentlich einfacher zu erstellen als die vormals noch angenommene "Super-Software", welche jeden Computer weltweit knacken können sollte. Die staatlichen Hacker können sich hierbei auf eine Vielzahl von schon vorhandenen Security- und Hacker-Tools stützen - faktisch braucht es nur ein paar erfahrene IT-Experten, um diese für die Online-Durchsuchung etwas zu modifizieren und vor allem auch einzusetzen.

Insofern könnte durchaus etwas dran sein an der vorstehend genannten Aussage, die Online-Durchsuchung wäre technisch gesehen bereits einsatzfähig. Klar muß aber auch sein, daß obiges Modell nur dann sinnvoll einsetzbar ist, wenn es sich um eine arg begrenzte Anzahl an Online-Durchsuchungen handelt, sprich unter 100 im Jahr (zum Vergleich: die Telefonüberwachungen in Deutsachland gehen in die zehntausende im Jahr). Insofern würde hierbei schon der reine Software-Ansatz als ein Mittel zur Beruhigung der Netzgemeide dienen können, sie würde mit der wohl kommenden Legalisierung der Online-Durchsuchung zukünftig breitflächig ausspioniert werden. Nachteiligerweise handelt es sich natürlich nur um einen vermuteten Software-Ansatz, kann für vorstehend gesagtes natürlich unmöglich die Hand ins Feuer gelegt werden. Kleine Ironie zum Schluß: Alle für die Online-Durchsuchung angesetzten Tools und Werkzeuge dürften natürlich vollumfänglich unter das entsprechende Verbot des neuen Hackerparagraphen fallen ;).

http://www.tagesschau.de/aktuell/meldungen/0,1185,OID7105910_NAV_REF1,00.html
http://www.netzpolitik.org/2007/kinderreporter-fragen-politiker-nach-dem-internet/
http://www.netzeitung.de/internet/693170.html

25. Juli 2007

Daß selbst Verfassungsrichter in Internetdingen teilweise eine erschreckende Anfängernaivität aufweisen können, beweist laut dem Heise Newsticker der ehemalige Bundesverfassungsrichter Hans Hugo Klein am Beispiel der Online-Durchsuchung: Jener versteht einen dem Internet angeschlossenen Computer gar so weit als Teil des Internets, daß dieser Computer dann nicht mehr hauptsächlich Teil der (verfassungsrechtlich besonders geschützten) Wohnung des Besitzer sei, womit sich dann bei der Online-Durchsuchung auch gar nicht erst die Frage nach der vielzitierten "Unverletzlichkeit der Wohnung" stellen solle.

Ehrlicherweise lesen wir das so, daß der Herr Richter faktisch jeden Internetnutzer zu einfachsten Sicherheitsvorkehrungen für seinen PC für zu blöd hält. Allerdings dürften der ehemalige Verfassungsrichter und auch die anderen Beführworter dieser abenteuerlichen Theorie gern erklären, wie auf einem auch nur halbwegs vernünftig abgesicherten PC die dort abgelegten (und nicht explizit fürs Internet freigegebenen Daten) im Internet frei verfügbar sein (aka zur "Sozialsphäre" des Nutzers gehören) sollen. Wenn man hier nicht gerade von Vorsatz ausgehen will, fehlt offensichtlich zumindestens allergrundlegendstes IT-Verständnis, womit sich solcherart Richter besser aus IT-Dingen heraushalten sollten, anstatt die Welt durch fachfremde Urteile zusätzlich zu verkomplizieren.

http://www.heise.de/newsticker/meldung/93258

3. August 2007

Die Chip berichtet neues zur Online-Durchsuchung: Danach soll diese Maßnahme nun kaum mehr etwas mit "online" zu tun haben, vielmehr soll der Trojaner, welcher die Passwörter für verschlüsselte Dateien und Festplatten abgreifen soll, in den meisten Fällen ganz manuell installiert werden - durch einen klassischen Wohnungseinbruch ;). Zwar lehnt man die Methode, den Trojaner auch bei eMail zu verschicken und dann auf die pure Unachtsamkeit des Anwenders zu hoffen (wie es das FBI kürzlich getan hat), nicht ab, aber da das Ziel der Maßnahme zumeist sowieso in einer kompletten Kopie der Festplatten besteht und man diese am besten eben durch den direkten Zugriff auf die Hardware bekommt, bietet es sich natürlich an, auch den Bundestrojaner auf diesem Wege zu installieren.

Dabei dürfte diese OldSchool-Methode durchaus erfolgsversprechender sein als alle Angriffe über das Internet, welche in letzterer Zeit dem Bundestrojaner und der Online-Durchsuchung zugeordnet wurden, denn gegen einen direkten Zugriff auf den eigenen Rechner kann man sich nur schlecht mittels Software schützen. Zudem nimmt diese Methode auch Befürchtungen den Wind aus den Segeln, das über kurz oder lang die halbe Bevölkerung mittels der Online-Durchsuchung ausspioniert werden würde: Denn der Wohnungseinbruch ist nun im Gegensatz zu einer General-Überwachungssoftware nicht in Massenabfertigung realisierbar. Zudem fällt durch das Fehlen einer echten Online-Komponente auch die Befürchtung in sich zusammen, Vater Staat könnte die Sicherheitsanstrengungen der gesamten IT-Branche kompromitieren und damit erheblichen Schaden für den IT-Standort Deutschland verursachen.

Problematisch dürfte allerdings sein, daß es sich bei der vorgestellten Methode faktisch um eine "heimliche Wohnungsdurchsuchung" handelt - welche es nicht einfach haben dürfte, vor den Verfassungsrichtern zu bestehen. Nicht umsonst wird die derzeitige Wohnungsdurchsuchung als offene, für den Betroffenen sichtbare Maßnahme durchgeführt, schließlich wird damit natürlich das Recht auf Unverletzlichkeit der Wohnung ausgehebelt. Sehr erschwerend kommt hierbei noch hinzu, daß die Online-Durchsuchung ja in Fällen eingesetzt werden soll, wo man nicht konkrete Straftaten aufklären will, sondern Netzwerke auszuforschen zu gedenkt. Selbst bei aller Ehrbarkeit der Absicht dürfte dies wie gesagt noch sehr interessant werden, was die Verfassungsrichter zu diesen Ideen sagen. Davon abgesehen bleibt natürlich abzuwarten, ob sich diese Informationen der Chip bestätigen lassen oder ob das BKA hier nicht eventuell ganz bewußt Nebelkerzen verstreut ;).

http://www.chip.de/artikel/c1_artikel_28281878.html
http://www.wired.com/politics/law/news/2007/07/fbi_spyware

24. August 2007

Gemäß des Heise Newstickers spricht das Bundesinnenministerium nun wieder von einem Verbreitungsweg des Bundestrojaners über das Anhängen an eine eMail. Aus der Formulierung "kann je nach Einzelfall ein geeignetes Mittel darstellen" ist allerdings eher zu schließen, daß man - wie früher schon angedeutet - für jeden Fall eine Einzelanalyse vornehmen und dann das jeweils passende Mittel einsetzen wird, um den Bundestrojaner an den Mann (oder die Frau) zu bringen. Bei als technisch unversiert einzuschätzenden Zielpersonen kann dies sicherlich über den Trojaner per eMail erfolgen - will man allerdings wirklich die schweren Jungs fangen, um die es (angeblich) immer geht, dürfte dies jedoch eher die Ausnahme bleiben und man eher zu "handfesteren" Methoden greifen.

http://www.heise.de/newsticker/meldung/94881

27. August 2007

Gulli, Golem und der Heise Newsticker berichten von einigen Ausführungen des Bundesinnenministeriums zur Online-Durchsuchung, welche technisch inzwischen unter dem Namen "Remote Forensic Software" (RFS) entwickelt wird (wobei bei dem Begriff "Forensic" allen in dieser Disziplin tätigen Personen der Kaffe hochkommen dürfte, kann doch eine als Trojaner auf ein System gekommende Software nicht einmal die Grundregeln der EDV-Forensik erfüllen). Interessant ist wiederum die Passage zum Schutz des Kernbereichs der privaten Lebensgestaltung - diese wäre damit sicherzustellen, "dass keine Suchbegriffe verwendet werden, die gezielt zur Erfassung solcher Daten führen". Was sich erst einmal gut anhört, bedeutet letztlich aber nur, daß es erkennbare Lücken in der Überwachung geben wird, in welche die Zielpersonen natürlich hereinstossen werden und damit die gesamte Maßnahme zwecklos machen werden.

Davon abgesehen ist in der letzten Zeit in der ganzen Diskussion über die Online-Durchsuchung das Haupt-Gegenargument gegen diese Ermittlungsmaßnahme weitgehend verlorengegangen, so daß man derzeit eher den Eindruck hat, es würde sich hier um den Wettstreit zwischen vorpreschenden Ermittlern und zurückhaltenden Bürgerrechtlern gehen. Sicherlich ist es so, daß der forensische Wert einer Online-Durchsuchung gegen Null geht, daß allgemein die Erfolgsquote dieses Ermittlungsverfahrens als viel zu gering angesichts des Aufwandes einzuschätzen ist und daß es wie gesagt Bedenken ob des Eindringens in den verfassungsrechtlich geschützten Kernbereichs der privaten Lebensgestaltung gibt.

Das eigentliche Gegenargument gegen die Online-Durchsuchung ist aber eher der Vertrauensverlust, welchen der Staat gegenüber seinen Bürgern erleidet, wenn sich der Staat wie gewöhnliche Kriminelle verhält. Und nichts anderes passiert schließlich bei der Online-Durchsuchung - wie die Vertreiber üblicher Schadprogramme bricht man in einem Computer ein und entwendet vertrauliche Daten. Der wesentliche Unterschied zu üblichen polizeilichen Maßnahmen besteht dabei in der Heimlichkeit, mit welcher hier eine äußerst invasive Maßnahme betrieben wird - so arbeiten eigentlich nur Geheimdienste. Für die immer mehr auf Obrigkeitshörigkeit pochende Politikerkaste mag dieser Punkt für den Moment noch bedeutungslos sein - doch wo der Vertrauensverlust der Bürger gegenüber dem Staat und seinen Vertretern letztlich enden kann, hat man anno 1989 in der DDR gesehen :).

http://www.gulli.com/news/bundestrojaner-2007-08-27/
http://www.golem.de/0708/54369.html
http://www.heise.de/newsticker/meldung/94896

28. August 2007

Seitens des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein (ULD) gibt es ein PDF zu einem Vortrag zur geplanten Online-Durchsuchung, welcher sich recht umfassend mit allen Aspekten dieses Themas beschäftigt. Zwei Punkte wären hieraus zu erwähnen: Erstens einmal wurde herausgestellt, daß die Online-Durchsuchung aufgrund ihrer technischen Ausführung prinzipbedingt nicht vor Fehlern gefeit sein kann. Daraus ergeben sich verschiedene Implikationen, wie die Frage nach der Haftung bei durch den Bundestrojaner hervorgerufenen Schäden - und natürlich immer wieder die Frage nach der Verläßlichkeit der Ergebnisse. Bei der regulären forensischen Sichtung von Computern umgeht man diese prinzipielle Fehleranfälligkeit dadurch, das man streng mit Kopien des eigentlichen Datenträgers arbeitet - was bei der Online-Durchsuchung nicht machbar ist.

Und zweitens werfen die Datenschützer den bislang neuen Punkt auf, daß die erfolgreiche Infiltration eines Computers durch den Bundestrojaner als Beleg dafür angesehen werden kann, daß dies auch anderen Personen möglich gewesen sein könnte, womit Manipulationen von Daten des PC-Besitzers durch Dritte weder belegt noch widerlegt werden können. Klar ist das immer ein sehr unwahrscheinlicher Fall - aber das es eben nicht unmöglich ist, würde der Bundestrojaner und damit Vater Staat ja höchstselbst beweisen. Im dümmsten Fall können sich dann diese "schweren Jungs", die man mittels der Online-Durchsuchung eigentlich fassen will, jene teuren Anwälte leisten, welche sich aus so einer Sache mit den vorstehenden Argumenten noch herauswinden können.

https://www.datenschutzzentrum.de/sommerakademie/2007/sak2007-hansen-krause-online-durchsuchung.pdf

29. August 2007

Wie der Spiegel ausführt, denken die Verantwortlichen für die Ausarbeitung der Online-Durchsuchung offenbar daran, den Bundestrojaner als Anhang an eine (gefälschte) behördliche eMail auf das Zielsystem zu bringen. Sicherlich dürfte das nur ein möglicher Verbreitungsweg sein, der klassische Wohnungseinbruch als eine der anderen Möglichkeiten dürfte damit kaum vom Tisch sein. Die Verbreitung über gefälschte Behörden-eMails mag da zwar weniger invasiver sein, dafür ist man aber damit mit Anlauf ins nächstgrößere Fettnäpfchen gesprungen: Denn natürlich sind gefälschte Behörden-eMails mit Trojaner im Anfang ein gefundenes Fressen für die Presse, weil damit das Vertrauen in jede behördliche eMail unterminiert wird. Einen Vorteil hat die ganze Angelegenheit dann aber doch noch: Mittels dieser in der Tat ausgesprochen dummen Idee könnte die geplante Online-Durchsuchung endlich auch stärker in den Blickpunkt der Mainstream-Medien rutschen, womit die Diskussion darüber dann nicht mehr nur von Politikern und Datenschützern geführt werden würde.

http://www.spiegel.de/politik/deutschland/0,1518,502827,00.html

30. August 2007

Gerade wenn der BKA-Chef bezüglich der Online-Durchsuchung mal wieder beschwichtigende Worte findet, daß es kaum auf 10 Online-Durchsuchungen pro Jahr hochkommen würde (was unabhängig des generellen Problems der Online-Durchsuchung sicherlich ein beachtbares Argument darstellt), kommen seitens des Bundesinnenministers die nächsten Offenbarungen. Wie die Netzeitung ausführt, soll die Online-Durchsuchung nun auch für einen begrenzten Zeitraum ohne vorherige richterliche Prüfung erlaubt werden. Leider wurde dies nicht genauer ausgeführt, aber allein der Ansatz ist natürlich schon als deutlich zweifelhaft zu titulieren - ganz besonders, weil die Online-Durchsuchung keine Maßnahme ist, die zeitlich übers Knie gebrochen werden kann, womit sich immer die Zeit finden läßt, vorher eine richterliche Genehmigung einzuholen.

http://www.netzeitung.de/deutschland/725830.html

8./9. September 2007

Die aktuelle Diskussion über die Online-Durchsuchung haben die in der Initiative "IT Security made in Germany" zusammengeschlossenen Unternehmen dazu genutzt, mittels einer Selbstverpflichtung zu versichern, daß die Produkte dieser Unternehmen keinerlei versteckte Zugangsmöglichkeiten enthalten und man somit nicht Vater Staat bei seinen geplanten Überwachungsmaßnahmen unterstützten wird. Was sich erst einmal gut anhört, entpuppt sich bei genauerer Betrachtung jedoch als das genaue Gegenteil dessen, was in der Presse mehrheitlich über diese Selbstverpflichtungs-Erklärung berichtet wird. Wie dies der Rabenhorst sehr gut aufgedeckt hat, erklärt der Punkt 6 der Selbstverpflichtung ganz klar, daß diese Selbstverpflichtung dort endet, wo "aus Gründen der Befolgung von Rechtsvorschriften, gerichtlichen Entscheidungen oder Maßnahmen der Strafverfolgungsbehörden" Vater Staat diese versteckten Zugangsmöglichkeiten dann doch wieder einfordert.

Die Information der (zahlenden) Kunden über solche "Ausnahmen" soll dann im übrigen auch nur noch erfolgen, wenn dies gesetzlich zulässig ist. Somit wären wir letztlich wieder nur bei amerikanischen Zuständen: Eine einhundertprozentige Sicherheit vor Schwachstellen ab Werk gibt es nicht - und Informationen darüber auch nur, wenn es rechtlich zulässig ist. Jetzt will keiner den Unternehmen der Initiative "IT Security made in Germany" deswegen an die Kandare fahren, weil man dort die Gesetze der Bundesrepublik konsequent einhalten will. Es verbietet sich jedoch, dies unter das Siegel "besonderer Sicherheit" vor staatlichem Schnüffelwahn zu stellen, wenn man faktisch nur die illegalen Auskunftsbegehren zurückweisen will - denn dies sollte die automatische Pflicht von Unternehmen aus dieser Branche sein. Von einer Selbstverpflichtung kann man wenn dann erwarten, daß man mehr tun will als es die gesetzlichen Regelungen und die allgemein übliche Vorgehensweise in dieser Branche bereits vorgeben.

http://www.itsmig.de/news/news.php?nid=429
http://blog.kairaven.de/archives/1310-Sauber-und-sicher-aus-Deutschland.html

10. September 2007

Welche Maßnahmen zur Überwachung der Online-Kommunikation schon jetzt und damit noch vor der Online-Durchsuchung existieren, hat die Zeit aufgelistet. Als relevanten Unterschied zur Online-Durchsuchung handelt es sich dabei ausschließlich um Maßnahmen, welche Kommunikation belauschen, wohingegen die Online-Durchsuchung primär zur Durchsuchung von Festplatten aus der Ferne gedacht ist. Damit ist jedoch auch der Name "Online-Durchsuchung" eigentlich unpassend, da dieser suggeriert, es würden hierbei Online-Aktivitäten und damit in dem Sinne öffentliche Aktivitäten (im Internet) überwacht. Es ist bekanntermaßen bei der Online-Durchsuchung jedoch das Gegenteil der Fall, es soll hierbei Zugriff auf persönliche Daten, die eben nicht im Internet stehen, genommen werden. In diesem Sinne wäre damit der Begriff "Remote-Durchsuchung" möglicherweise treffender.

http://www.zeit.de/online/2007/37/online-durchsuchung-hintergrund?page=all

18. September 2007

Der Heise Newsticker berichtet zur Online-Durchsuchung, daß nach fachmännischer Analyse der bisher vom BND durchgeführten Online-Durchsuchungen diese sich vor allem auf unveröffentlichte Sicherheitslücken stützen würden. Im Klartext würde das bedeuten, daß Vater Staat (in diesem Fall der BND) bei kriminellen Hacker-Netzwerken bislang unbekannte Sicherheitslücken erstanden hätte - womit man letztlich mit Steuergeldern (!) das organisierte Verbrechen unterstützt hätte. Hier würde uns durchaus brennend interessieren, ob das nicht - BND hin oder her - "leicht" strafbar gewesen ist - von der moralischen Komponente, daß Vater Staat, anstatt den Bürger auftragsgemäß vor Sicherheitslücken zu schützen, diese dann zum Eigenzweck einsetzt, einmal ganz abgesehen.

http://www.heise.de/newsticker/meldung/96124

8. Oktober 2007

Wie die Netzeitung berichtet, hat das bayerische Landeskriminalamt zugegeben, in leichtem Vorgriff auf die Online-Durchsuchung zur Überwachung von verschlüsselter IP-Telefonie wie beispielsweise Skype schon jetzt Spionageprogramme auf den Rechnern von Zielpersonen zu installieren. Dabei ordnet man diese Überwachungsmethode rein rechtlich der (erlaubten) Telekommunikations-Überwachung zu, was im Sinne dessen, daß hierbei nur Telekomunikation belauscht werden soll, auch erst einmal zutreffend ist. Bezüglich der technischen Herausforderungen ist diese "Telefonüberwachung" allerdings ziemlich deutlich mit der Online-Durchsuchung gleichzusetzen: Es muß in den Zielrechner eingedrungen werden, dort eventuell bestehende Sicherheitssysteme müssen überlistet werden und es muß gleichzeitig ein Weg gefunden werden, die gewonnenen Daten sicher und unbemerkt zu den Rechnern der Ermittlern zu übertragen.

Faktisch hat man damit die Online-Durchsuchung erreicht - nur daß eben nur Telefonate überwacht werden und nicht zusätzlich noch auf dem Rechner der Zielpersonen herumgestöbert wird. Für all das existiert jedoch keine klare Rechtsgrundlage - nur weil die Telekommunikationsüberwachungsverordnung das Abhören von Telefonen erlaubt, bedeutet das noch lange nicht, daß man dafür in fremde Rechner eindringen und dort Daten verändern darf (es käme ja auch keiner auf die Idee, für die normale Telefonüberwachung in die Technik der Deutschen Telekom einzusteigen). Es ist in diesem Zusammenhang durchaus beachtlich, mit welcher Gleichgültigkeit vor Recht und Gesetz die staatlich bestellten Gesetzeshüter diese Maßnahme seit Mitte des Jahres einfach einsetzen. Davon abgesehen wäre es noch interessant zu wissen, wie hierbei der konkrete Angriffsweg gewählt wird.

Bezüglich der Online-Durchsuchung wird ja bereits darüber diskutiert, Zero-Day-Exploits (bisher noch unbekannte Sicherheitslücken) auf dem "freien Markt" zu kaufen. Dies ist bislang nur eine theoretische Diskussion, welche durch den aktuellen Fall aber urplötzlich hochinteressant werden könnte: Denn man kann den Einkauf von Sicherheitslücken durch Vater Staat durchaus als Unterstützung der organisierten Kriminalität ansehen (es gibt schließlich keinen legalen Absatzmarkt für Sicherheitslücken), welches also selbst mit guten Absichten strafbar wäre. Zumindestens hat man aber den mit der Online-Durchsuchung einhergehenden Vertrauensverlust auch jetzt schon erreicht: Beim Widerstand gegen diese Maßnahme geht es schließlich zumeist weniger darum, daß der Staat nicht auf fremden Festplatten herumschnüffelt, sondern in erster Linie darum, daß dieser eigentlich überhaupt nichts mit solchen für beim normalen Bürger als hochkriminell bewerteten Handlungen wie das Hacken und Ausspähen von Computern zu tun haben sollte.

http://www.netzeitung.de/deutschland/770470.html

10. Oktober 2007

Gulli berichtet über die Verhandlung zur Verfassungsbeschwerde gegen die Online-Durchsuchung bzw. das entsprechende Polizeigesetz in Nordrhein-Westfalen. Einige der dabei von Regierungs-, Polizei- und Geheimdienstvertretern getroffenen Aussagen lassen sich durchaus als Gegenargumente für die Online-Durchsuchung rahmen: So wollte der Regierungsvertreter NRWs als überwachbare Kommunikationsdaten auch bereits schon Entwürfe für eMails sehen, welche bislang nur im Entwurfsordner des Mailprogramms gespeichert sind und damit noch nie jemals übermittelt (Stichwort: Kommunikation) wurden. Ein Vertreter des Verfassungsschutzes räumte danach sogleich mit der Idee auf, eine Online-Durchsuchung wäre irgendwie auf bestimmte Dateitypen oder in anderer Weise begrenzbar: "Wenn wir sowas gemacht hätten ... dann hätten wir uns die gesamte Festplatte angesehen" heisst es hierzu.

In eine nicht unähnliche, allerdings deutlich breit gefasstere Kerbe schlug dagegen der Vertreter des Bundeskriminalamtes. Nach dessen Ausführungen solle man in einem Netzwerk, wo nicht klar ist, welcher Rechner nun derjenige der Zielperson sei, schlicht "solange durchsuchen, bis man den richtigen Rechner hat" - Online-Durchsuchung für alle sozusagen. Angesichts solcher Aussagen dürfte es schwer fallen, die Argumentation von Anhängern der Online-Durchsuchung, daß es sich hierbei nur um eine arg begrenzte Zahl an Fällen handelt, überhaupt noch ernst zu nehmen. Den Schlußpunkt setzte wieder der Landesvertreter, welcher meinte, daß die Online-Durchsuchung ja nun wirklich nicht so schlimm sei angesichts der vielen Rechner, welche sowieso schon Trojaner-verseucht durch Netz torkelt ;). Früher wäre man an dieser Stelle eventuell auf die Idee gekommen, daß es die Aufgabe des Staates ist, Kriminalität in all ihren Ausprägungsformen zu bekämpfen - heute dient sie als wohlfeile Begründung, wenn Vater Staat dieselben Methoden für seine Überwachungsmanie benötigt.

http://www.gulli.com/news/bundesverfassungsgerichts-2007-10-10/

29. November 2007

Gestern schon verlinkt, aber nicht extra gewürdigt wurde ein Artikel zur Online-Durchsuchung seitens Indymedia, welcher sich vorwiegend mit möglichen Abwehrmaßnahmen beschäftigt. Dabei wurde auch eine bislang kaum beachtete und dabei sehr griffige Abwehrmaßnahme genannt: Wenn man schlicht den eigenen Rechner nie (oder nur im eigenen Beisein) herunterfährt, ist es faktisch nicht möglich, die vorhandene Software-Umgebung auf Schwachstellen abzuklopfen bzw. den Bundestrojaner manuell zu installieren, ohne das dies auffallen würde. Denn derzeit scheint der Königsweg für den Bundestrojaner ja wohl darin zu bestehen, sich zuerst mittels eines staatlichen Wohnungseinbruchs die vorhandene Software-Umgebung anzusehen und dann in einem zweiten Wohnungseinbruch einen darauf maßgeschneiderten Bundestrojaner zu installieren.

Dies setzt natürlich voraus, daß die Überprüfung der vorhandenen Software-Umgebung zum Finden von Schwachstellen nicht schon über das Internet möglich ist. Schon eine einfache Firewall dürfte dies aber effektiv verhindern - und um dann herauszufinden, mit was für einem System und welcher Software (vor allem, welcher Sicherheitssoftware, weil diese ja für den Bundestrojaner zuverlässig ausgeschaltet werden muß) die Zielperson arbeitet, führt kaum ein Weg an einer "physischen Kontrolle" vorbei. Stehen unsere staatlichen Aufpasser dann aber vor einem Rechner, der gar nicht heruntergefahren ist, sondern zur Deaktivierung des Bildschirmschoners ein Passwort einfordert, dürften diese erst einmal ziemlich doof aus der Wäsche schauen (entsprechende Bilder einer WebCam wären sicherlich preisverdächtig).

Das Zielsystem ist mit einem beherzten Reboot zwar trotzdem ausspähbar - es ist dann aber nahezu unmöglich zu verhindern, daß dies nicht später bemerkt werden kann. Windows zeichnet schließlich auf, wann es abgestürzt ist und wann es wieder anlief - wenn hier eine größere Zeitspanne dazwischenliegt (in welcher man die Festplatte ausgebaut und kopiert hat), dann ist automatisch etwas faul. Richtig auf die Spitze treiben kann man es damit, wenn die Festplatten auch noch komplett verschlüsselt sind - dann kommt man an deren Inhalt nur heran, wenn das Betriebssystem selber schon läuft, welches wiederum ohne dem richtigen Passwort gar nichts preisgibt. Der Idee der "Sicherheitsbehörden", sich an ausgeschalteten und damit faktisch wehrlosen Rechnern zu vergehen, kann man also schlicht damit entgegnen, den Rechner inklusive allen aktivierten Sicherheitsfeatures (Verschlüsselung, Passwörter, etc.) ständig laufen zu lassen.

Damit wird die Online-Durchsuchung zwar nicht unmöglich, aber um einige Potenzen schwerer: Die Ordnungshüter müssen dann wohl oder übel ausschließlich den Weg über das Internet gehen, um von dort aus irgendeine Schwachstelle des verwendeten Betriebssystems bzw. der verwendeten Software auszunutzen. Gerade letzteres wird allerdings äußerst zeitaufwendig, wenn die benutzte Software-Umgebung nicht genau bekannt ist (deswegen ja im Normalfall der Wohnungseinbruch). Bei Attacken ohne exakter Kenntnis der vom Zielsystem verwendeten Software-Umgebung besteht zudem immer das Problem, daß diese Attacke vom Nutzer bzw. dessen Sicherheitssoftware erkannt werden könnte - was so ziemlich der GAU für die Sicherheitsbehörden wäre. Insofern läßt sich wohl mit Fug und Recht sagen, daß der Schutz vor dem Bundestrojaner deutlich weniger aufwendig ist als dessen geplante Erstellung, die Erfolgsaussichten dieses Projekts angesichts dieser eindeutigen Ausgangslage nur schwach über dem Nullpunkt flimmern.

http://de.indymedia.org/2007/11/200830.shtml

6. Januar 2008

Der Focus berichtet über die einzige Online-Durchsuchung, welche bislang innerhalb von Deutschland (der BND hat wohl im Ausland womöglich schon mehrfach online durchsucht, allerdings bleibt genaueres hierzu bislang noch im Dunklen) durchgeführt und auch erfolgreich war. Als Verbreitungsweg diente hierbei eine infizierte eMail - insofern hat man sich in diesem konkreten Fall wohl nicht viel mehr Mühe gegeben als die üblichen Verbreiter von Schadsoftware. Interessanterweise soll seinerzeit bei dem Verdächtigen sogar der Virenscanner angesprungen sein, was insofern eine starke Leistung darstellt, als daß für den Bundestrojaner derzeit keine Virensignatur vorliegt (und diese auch Quatsch wäre, weil der Bundestrojaner für jeden Einsatz neu angepasst wird) und somit die Heuristik des Antiviren-Programms die Schadsoftware erkannt haben müsste.

Mittels der Heuristik-Funktion von Antiviren-Programmen wird in aller Regel versucht, bisher unbekannte Schädlinge nicht an ihrer (bekannten) Signatur, sondern an ihrem Verhalten im System zu erkennen - und genauso anspruchsvoll wie diese Aufgabe ist, genauso fehleranfällig ist sie auch, Fehlalarme sind hier die Regel und nicht die Ausnahme. Insofern kann man sich leider nicht darauf verlassen, daß der Bundestrojaner im nächsten Einsatzfall wieder von der Heuristik eines Antiviren-Programms gefunden wird. Allerdings ist aufgrund dieser Informationen die allgemeine Qualität dieses Angriffs derzeit als stark unterdurchschnittlich einzuordnen - sprich, wer sich auf seinem System wirklich auskennt, wird diesen Angriff wohl spielend unterbinden können und selbst einen schon erfolgreichen Angriff im nachhinein noch erkennen können.

http://www.focus.de/magazin/kurzfassungen/focus-_aid_232291.html

30. Januar 2008

Der Heise Newsticker hat einige Ausführungen den laufenden Europäischen Polizeikongreß und die Online-Durchsuchung betreffend. Am interessantesten war dabei, mit welcher Vehemenz man für die Online-Durchsuchung eintrat, diese solle nunmehr gar als "zentrale staatliche Maßnahme" dienen. Dies hört sich natürlich ganz anders an als frühere Aussagen, wonach es sich bei der Online-Durchsuchung angeblich um Einzelfälle in einem Bereich von 10 bis 20 Anordnungen pro Jahr handeln solle. Denn unter einer "zentralen staatlichen Maßnahme" kann man sich vielmehr eine übliche und damit absolut in der Breite angewandte Ermittlungsmaßnahme vorstellen, nicht aber eine Ausnahme für sehr seltene Fälle.

Davon abgesehen ziemlich lustig ist der Hinweis auf TrustedComputing als Beispiel für die Innovationskraft und Visionsfähigkeit der Industrie in der IT-Technologie, wovon sich die staatlichen Ermittler zukünftig eine Scheibe abschneiden sollen. Zwar stimmt dies prinzipiell erst einmal, gerade aber TrustedComputing könnte sich - wenn es denn richtig ausgeführt wird - als arger Bremsklotz für alle staatlichen Schnüffelbemühungen erweisen. Denn beispielsweise die heute schon angedachte und teilweise schon realisierte Überwachung eines Arbeitssystems durch ein (stark abgespecktes) Kontrollsystem auf demselben PC wird jeglichem Bundestrojaner das Leben extrem schwer bis unmöglich machen. Dies gilt natürlich nur dann, wenn TrustedComputing richtig gemacht wird - d.h. wenn der Nutzer (und nicht der Computerhersteller) die vollständige Kontrolle über das System hat und wenn es in TrustedComputing keine per Gesetz verordnete Schnittstellen für staatliche Schnüffler gibt.

Zudem bei dieser Gelegenheit ein Wort zum angeblichen Abhören von Skype-Telefonaten durch bundesdeutsche Ermittler, welche technisch ebenfalls durch eine Trojaner-Lösung realisiert wird - wobei dieser Trojaner dann halt eben nur Skype abhört und nicht gleich die ganze Festplatte durchsucht. Prinzipiell ist so etwas natürlich machbar, ob allerdings die diesbezüglichen Meldungen schon auf einen Einsatz einer solchen Software hindeuten, wäre erst einmal noch zu bezweifeln. Insbesondere die hierzu veröffentliche Leistungsbeschreibung stellt ja eher das reine Angebot einer sich offensichtlich wichtig machen wollenden Software-Firma dar - was nicht bedeutet, daß dieses Angebot bislang genutzt wurde (oder aber das unsere Polizei technisch in der Lage wäre, jenes zu nutzen).

Gerade auch zu dem angebenen Preis von 3500 Euro pro Monat und Maßnahme läßt sich wenn dann nur eine totale Sparmaßnahme realisieren, was bedeutet: Bei der Infiltration setzt man entweder auf eMails, wo die "Zielperson" ahnungslos auf einen Anhang klicken soll - oder aber auf die Mithilfe der Polizei, welche den Trojaner manuell bei einem kleinen Wohnungseinbruch installiert. Danach dürfte das Programm über keinerlei besondere Tarn- oder Sicherheitsmaßnahmen verfügen, so etwas ist bei diesem Preis unrealistisch. Insofern sollte dieser Trojaner - auch wenn die Festplatte nicht ausgespäht wird, ist es ja letztlich nichts anderes - durchaus für einen erfahrenen Benutzer erkennbar sein, ganz besonders wenn dieser Trojaner aus rechtlichen Gründen eventuelle Sicherheitsprogramme nicht ausschalten darf (umgehen ja, aber das ist wieder nicht so einfach zu realisieren).

Damit ist die ganze Angelegenheit natürlich als wenig schlagkräftig einzuschätzen - aber wie gesagt, wahrscheinlich handelt es sich hierbei sowieso erst einmal nur um ein Angebot einer Software-Firma an die Polizei, nicht aber um eine bereits im Einsatz befindliche Lösung. Die größeren Hürden dürften aber sowieso auf der rechtlichen Seite stehen: So dürfte der Wohnungseinbruch zur Installation des Trojaners höchst illegal sein, da das Recht der Polizei auf die Telefonüberwachung nicht das Recht der Verdächtigen auf die Unversehrtheit der Wohnung aushebelt. Wenn man staatlichen Ermittlern ein solches Recht geben wollte, müsste dieses wenn dann schon explizit formuliert sein - die platte Annahme, mittels einer angeordneten Telefonüberwachung würde der Verdächtige jegliche anderen seiner Grundrechte verlieren, trifft jedenfalls nicht zu.

Desweiteren liegt ein generelles weiteres Problem darin, daß das Abhören eines Telefonats nicht über die eigentliche Telefonleitung, sondern akustisch am Entstehungsort nichts mit einer "Telefonüberwachung" zu tun hat, sondern faktisch einen "großen Lauschangriff" darstellt - es wird das laut in den eigenen vier Wänden ausgesprochene Wort abgehört, nicht in dem Sinne eine Telefonübertragung. Für diesen großen Lauschangriff existieren aber auch ganz andere Regeln und Einschränkungen als für die "gewöhnliche" Telefonüberwachung - und vor allem kann eine normale Anordnung zur Telefonüberwachung nicht einfach in einen großen Lauschangriff umgedeutet werden. Was nicht bedeutet, daß dies nicht eventuell doch so gemacht wird - nur würden sich die befehlenden und durchführenden Beamten damit rechtlich total aufs Glatteis begeben.

http://www.heise.de/newsticker/meldung/102700
http://www.piratenpartei.de/node/381
http://de.wikipedia.org/wiki/Gro%C3%9Fer_Lauschangriff

18. Februar 2008

Fefes Blog vermeldet eine neue Stellenausschreibung des Bundeskriminalamtes nach IT-Fachkräften, welche beim BKA offenbar den Bundestrojaner erstellen sollen. Zumindest deutet der Text der Stellenausschreibung klar in die Richtung von Software-Entwicklung, sollen hierbei in jedem Fall polizeispezifische Tools geschaffen werden. Wie Fefes Blog allerdings schon richtig anmerkt, dürfte es schwierig sein, mit der Besoldung des öffentlichen Dienstes in irgendeiner Form Leute zu finden, welche die hohe Aufgabe eines funktionierenden Bundestrojaners stemmen können. Im übrigen sind alle der ausgeschriebenen Stellen auf zwei Jahre befristet - in dieser Zeit will man also den Bundestrojaner fertigbekommen.

http://blog.fefe.de/?ts=b9482722

26. Februar 2008

Mit dem heutigen Urteil des Verfassungsgerichts zur Online-Durchsuchung in Nordrhein-Westfalen gibt es nun erstmals einen höchstrichterlichen Spruch zu diesem höchst umstrittenen Thema. Dabei haben sich die Verfassungsrichter aber nicht nur zum speziellen Fall des NRW-Gesetzes geäußert, sondern sind vielmehr ganz allgemein auf das Thema eingegangen, was letztlich in der faktischen Deklarierung eines neuen Grundrechts mündete.

Artikel: Das Verfassungsgericht zur Online-Durchsuchung (http://www.3dcenter.org/artikel/2008/02-27.php)

27. Februar 2008

Zum gestern eigentlich schon behandelten Urteil des Bundesverfassungsgerichts zur Online-Durchsuchung noch ein paar Nachträge: Erstens einmal hat das mit dem Urteil deklarierte Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme nicht nur die beschriebenen Auswirkungen auf das Verhältnis der Bürger zum Staat, sondern auch auf das Verhältnis der Bürger zur Privatwirtschaft. Denn auch diese wird zukünftig dieses Grundrecht beachten müssen und kann nicht mehr einfach so jede Idee umsetzen, für welche es kein spezielles gesetzliches Verbot gibt. Dies gilt beispielsweise für diverse Auswüchse von Trusted Computing, wo dem Nutzer unbemerkt die Kontrolle über das eigene Systeme entzogen werden soll. Inzwischen ist die Industrie zwar aufgrund energischer Proteste von solcherart Plänen offiziell abgerückt, das neue Grundrecht steckt aber gleich einmal für zukünftige ähnliche Überlegung den rechtlichen Rahmen ab.

Ein zweiter wichtiger Punkt ist, daß das Bundesverfassungsgericht mit seiner Differentierung, wo das genannte Grundrecht dann doch ausnahmsweise aufgehoben werden kann, indirekt auch eine Aussage zur Frage getroffen hat, ob jegliche Ermittlungsmaßnahme eingesetzt werden soll, sofern sie nur Nutzen verspricht. Dies ist gern die Argumentation der Sicherheitsbehörden und auch einiger Politiker, diesem hat das Bundesverfassungsgericht aber eine gehörige Abfuhr erteilt: So darf das neue Grundrecht nur noch bei einer konkreten Gefahr aufgehoben werden - und wenn diese Gefahr vorbei ist, hat auch der Grundrechtseingriff zu unterbleiben. Konkret bedeutet dies, daß beim Verdacht auf ein konkret geplantes Tötungsdelikt online-durchsucht werden darf, bei der Aufklärung einer begangenen gleichwertigen Tat dieses Untersuchungsmittel aber schon wieder tabu ist.

Was sich erst einmal widersprüchig anhört, hat durchaus seinen Sinn: Das Bundesverfassungsgericht gibt dem neuen Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme als Teil des allgemeinen Persönlichkeitsrechts einen so hohen Rang, daß prinzipiell erst einmal keinerlei Ausnahmen vorgesehen sind. Nur dann, wenn sich eine konkret geplante Tat verhindern läßt, wird dieses ausnahmsweise doch zulässig. Der Aufhänger ist hierbei also nicht die Höhe der verfolgten Straftat, sondern nur der Punkt der Rettung von Leib und Leben. Damit gibt es die Online-Durchsuchung also nicht als reguläre Maßnahme zur Straftatenaufklärung - womit wie gesagt indirekt auch ausgesagt wird, daß mitnichten jede erfolgversprechende Maßnahme auch benutzt werden darf. Gerade die hier dem Urteilsspruch zugrundeliegende Idee der freiwilligen Möglichkeits-Beschneidung dürfte sich als Richtschnur für ähnliche Fälle in der Zukunft noch bezahlt machen.

Und letztlich müssen wir uns im Fall der Quellen-Telekommunikationsüberwachung (Quellen-TKÜ) noch etwas korrigieren: Diese ist gemäß Richterspruch nun doch erlaubt und wird auch nicht direkt der Online-Durchsuchung zugehörig gesehen. Dies allerdings unter der Voraussetzung, daß mittels der Quellen-TKÜ keine anderen Inhalte des Zielcomputers betroffen sind oder abgehört werden können. Hier wird es entscheidend darauf ankommen, wie man diese Aussage letztlich auslegt - denn rein technisch entspricht die Quellen-TKÜ einwandfrei einer Online-Durchsuchung. Daß sich die Ermittler bei einer Quellen-TKÜ freiwillig die Verpflichtung auferlegen, nur Telefongespräche mitzuhören, ändert an der technischen Konstellation erst einmal gar nichts.

Somit stellt sich die Frage, ob es überhaupt möglich ist, eine Quellen-TKÜ durchzuführen, ohne das Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme zu verletzen - wenn dabei irgendwelche Dateien auf den Zielcomputer übertragen werden, erscheint dies eigentlich unmöglich mit diesem Grundrecht vereinbar. Denn das Grundrecht bezieht sich schon des Namens her auf die Integrität von IT-Systemen - wenn da auf dem eigenen Computer eine polizeiliche Software zur Telefonüberwachung schlummert, widerspricht dies schon dem Namen des Grundgesetzes, selbst wenn wirklich und ausschließlich nur Telefoniedaten mitgeschnitten werden. Wenn, dann erscheint eine Quellen-TKÜ nur mit dem neuen Grundrecht vereinbar, wenn man nicht direkt in den für die Telefonverbindung benutzten Computer einsteigt - was dann wiederum an der Verschlüsselung von Voice-over-IP-Verbindungen scheitern sollte.

Dieser Punkt der Quellen-Telekommunikationsüberwachung ist bislang unserer Meinung nach noch halbgar geklärt, weil das Bundesverfassungsgericht diese zum einen als zulässig erklärt hat, andererseits diese Maßnahme in der heutigen Durchführungsform (mittels Trojaner) sich automatisch mit dem Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme beißt. Sollte das Bundesverfassungsgericht wirklich meinen, das ein Trojaner-Einsatz nur für die Quellen-TKÜ nicht das neu deklarierte Grundrecht verletzen würde, wäre jenes in der Tat nur halb so viel wert. In diesem Punkt bleibt die Angelegenheit also weiterhin spannend - noch dazu, wo unsere Strafermittler und Verfolger von vermeintlichen, echten und einfach mal so deklarierten Terroristen in Zukunft die Quellen-TKÜ sicherlich noch viel häufiger einsetzen wollen, da Voice-over-IP nun einmal weiterhin rasant an Bedeutung gewinnt.

http://redblog.twoday.net/stories/4737692/

1./2. März 2008

Beim Bundestrojaner Blog sieht man die Karlsruher Entscheidung zur Online-Durchsuchung wesentlich kritischer als wir und zeigt gleichzeitig einige weitere Lücken der eigentlich schon fortschrittlichen Argumentation des Verfassungsgerichts auf. Nicht unbedingt nur auf die Online-Durchsuchung zutreffend ist dabei das (korrekte) Argument, daß es keinerlei echten Mißbrauchsschutz gibt, obwohl es doch auch bei ähnlichen ermittlungstechnischen Maßnahmen (in Einzelfällen) erwiesenermaßen Mißbrauch sowohl aus politischen wie auch aus privaten Interesse gab und gibt. Gerade da das Bundesverfassungsgericht die Online-Durchsuchung als besonders invasive Maßnahme einstuft, wäre es nicht verkehrt gewesen, dieses Problem zu bedenken und dem Gesetzgeber die Verpflichtung mit auf den Weg zu geben, im entsprechenden Gesetz auch gleich den Mißbrauch mit einer Sanktionsandrohung zu versehen. Das bisherige Maximum in solcherart Fällen - daß ein Gericht eine Maßnahme einige Monate später als nicht gesetzesgemäß erklärt, es aber keinerlei dienst-, zivil- oder strafrechtliche Konsequenzen oder gar Kompensationen gibt - fordert Mißbrauch nun einmal geradezu heraus.

http://bundestrojaner.blogspot.com/2008/02/startschuss-fr-den-bundestrojaner.html
http://www.3dcenter.org/artikel/2008/02-27.php

7. März 2008

Der Kurier berichtet über einen Fall, wo die Online-Durchsuchung auch schon in Österreich in einem Fall von Terrorismus-Verdacht angewandt wurde. Zwar gibt es in Österreich ebenso wie in Deutschland noch keine gesetzliche Grundlage, die Ermittler beriefen sich allerdings auf den (richterlich für diesen Fall erlaubten) großen Lauschangriff, um auf den Computer des Verdächtigen eine Software zu schleusen, welche die Tastatureingaben protokollierte und aller 60 Sekunden einen Screenshot des Bildschirms schoss. Über den ermittlungstechnische Sinn dieser Maßnahme können wir mangels weiterer Informationen zu diesem konkreten Fall kaum urteilen, mitzunehmen ist aus diesem Einzelfall aber vor allem die Kreativität der Beamten zur Verschleierung der Tatsache, daß man es mit einer der Online-Durchsuchung gleichzusetzenden Maßnahme zu tun hat.

Insbesondere hervorzuheben ist dabei die Aussage eines Ermittlers vor Gericht, wonach es sich schließlich nicht um eine Online-Durchsuchung, sondern "nur" um eine "Online-Überwachung" gehandelt hätte. Dies ist allerdings aus zweierlei Sicht Nonsens: Erstens einmal ist eine Live-Überwachung faktisch noch invasiver als nur das nachträgliche Durchfilzen einer Festplatte. Und zweitens sind die technischen Ansetzungen bei beiden Maßnahmen die absolut selben: Es wird ohne Wissen des Computer-Besitzers (was der Beamte vor Gericht im übrigen erstaunlicherweise bestritt) eine Software auf dessen Computer gebracht, welche diesen in der einen oder anderen Form ausspioniert. Ob man sich hierbei dann auf Live-Daten beschränkt oder gleich die komplette Festplatte filzt, ist nur noch eine Unterscheidung niedrigeren Ranges - noch dazu, wo es technisch keinerlei Unterschied gibt, dieselbe Spionage-Software prinzipiell für alle diese Zwecke eingesetzt werden kann.

Dieses Beispiel aus Österreich zeigt damit, daß der Fall Online-Durchsuchung leider noch lange nicht ausgestanden ist - vielmehr weichen die Überwachungs-Beführworter einfach auf andere Namensnennungen aus. In Österreich erfindet man so die "Online-Überwachung", in Deutschland die "Quellen-TKÜ". Beide Möglichkeiten sollen dann an weniger Regeln gebunden werden, womit den Ermittlern ein höherer Spielraum zum Einsatz solcherart Maßnahmen bleibt. Beide Möglichkeiten verletzen aber weiterhin strikt das zumindest in Deutschland deklarierte Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme - denn ob man mit diesen nur bestimmte Daten erfasst, ändert nichts daran, daß durch diese die Integrität des jeweiligen Computers zweifelsfrei komprimitiert wird. Aufgrund des vorgenannten Grundrechts müssten also auch in diesen Fällen, wo weniger Daten erhoben werden als durch einen kompletten Festplatten-Scan möglich, die gleichen hohen gesetzlichen Hürden wie bei der regulären Online-Durchsuchung gelten. Setzt sich diese Auslegung nicht durch, dann kommt die Online-Durchsuchung dann doch noch - durch die Hintertüren "Online-Überwachung" oder "Quellen-TKÜ".

http://www.kurier.at/nachrichten/136619.php
http://www.3dcenter.org/artikel/2008/02-27.php

3. April 2008

Wie der Heise Newsticker berichtet, sind laut einer Parlamentsanfrage derzeit noch keine Online-Durchsuchungen am laufen, der bundesdeutsche Zoll bereitet aber den Einsatz einer Online-Überwachung in einem konkreten Fall vor. Bei dieser Quellen-Telekommunikationsüberwachung (Quellen-TKÜ) genannten Maßnahme wird nur die Kommunikation des PC-Nutzers mitgeschnitten, um konkreten Fall soll es um Internet-Telefonie per Skype gehen. Technisch funktioniert die Maßnahme aber exakt so wie eine einwandfreie Online-Durchsuchung: Es wird per Trojaner oder manuell (Wohnungseinbruch) ein Spionageprogramm auf den Rechner gebracht und dieses agiert dann verdeckt vor dem Nutzer.

Sicherlich ist es richtig, daß bei der Quellen-TKÜ nur aktuelle Kommunikationsdaten abgegriffen werden, während bei der Online-Durchsuchung gleich die komplette Festplatte durchsucht wird - beiden Fällen bleibt aber gleich, daß der Zielrechner mit einem Spionageprogramm kompromitiert wird. Und an dieser Stelle beißt sich das unserer Meinung nach erheblich mit dem erklärten Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme - schon allein zum Namen dieses Grundrechts passt dieser Eingriff nicht. Und im Fall der Online-Überwachung passt es auch nicht zu den vom Verfassungsgericht definierten Ausnahmen, welche doch recht eng gefasst sind.

Dagegen wird die Quellen-TKÜ unter dieselben Regeln gestellt wie jene für die "normale" Telefonüberwachung - und die sind bei einigen zehntausenden Telefonüberwachungen im Jahr nun einmal deutlich breiter angelegt. Zwar ist der konkrete Fall nicht bekannt, aber es ist doch eher weniger davon auszugehen, daß der bundesdeutsche Zoll sich um solcherart Fälle kümmert, wo es um die vom Verfassungsgericht definierten Ausnahmen geht. Dabei ist die vom Zoll im konkreten Fall angesetzte Maßnahme einer Telefonüberwachung höchstwahrscheinlich korrekt und man möchte es dem Zoll sicherlich auch zustehen, bei einer verschlüsselten Internet-Telekommunikationsverbindung diesem Gespräch unverschlüsselt zu lauschen. Dieses durchaus berechtigte Ansinnen im Einzelfall beißt sich aber ganz deutlich mit dem Recht der Mehrheit auf die (bis auf ganz wenige Ausnahmen) immer sichergestellte Integrität ihrer IT-Systeme.

Sprich: Die Maßnahme mag für sich selber in Ordnung sein, aber mit der Methode der Ausführung verletzte man automatisch Grundrechte (da man nicht unter die definierten Ausnahmen fällt). Und dieses Grundrecht gilt nun einmal trotz das ob der bundesdeutsche Zoll im konkreten Fall das richterlich abgesegnete Recht zu einer Telefonüberwachung hat - das Kompromitieren von IT-Systemen ist eine andere Stufe und wäre richterlich nochmals extra zu genehmigen, falls man keinen anderen Weg sieht. Leider zeichnet sich hier ab, daß nach der fast vollständig gescheiterten Online-Durchsuchung diese in Form der Quellen-TKÜ als faktische Online-Durchsuchung light doch noch zur Anwendung kommt. Und wie der Fall des Zolls beweist, eher als alltägliches Ermittlungsinstrument und nicht als die Ausnahme mit mal prognostiziert weniger als zwei Dutzend Fällen im Jahr.

http://www.heise.de/newsticker/Online-Ueberwachung-dank-Software-Fernsteuerung-beim-Zoll--/meldung/105904
http://www.golem.de/0804/58752.html
http://www.3dcenter.org/artikel/2008/02-27.php

5./6. April 2008

Die TAZ berichtet über Pläne des Bundesinnenministeriums, für die Online-Durchsuchung/Überwachung der Polizei das Betreten der Wohnung des Verdächtigen zur Installation des Bundestrojaners zu erlauben. Zum einen bedeutet dies, daß man wohl von den bisherigen Ideen der Infiltration über das Internet bzw. Sicherheitslücken im Zielsystem abgekommen ist - die Erfolgsaussichten hierfür liegen jetzt schon niedrig und dürften in Zukunft mit immer besser werdenden Sicherheitsarchitekturen auch nicht mehr größer werden. Zum anderen ist die Begründung interessant, wonach dieser kleine Wohnungseinbruch legal sein soll: Schließlich darf beim "großen Lauschangriff" die Polizei ja auch schon die Wohnung des Verdächtigen zur Installation von Wanzen betreten.

Was bezogen auf die Online-Durchsuchung sicherlich genauso gelten dürfte, allerdings bezogen auf die Online-Überwachung aka Quellen-TKÜ reichlich Fragen aufwirft. Denn bei der Online-Durchsuchung handelt es sich um eine Maßnahme für die wirklich schweren Fälle (vergleichbar mit dem "großen Lauschangriff"), hier kann die Unverletzbarkeit der Wohnung durchaus temporär ausgesetzt werden. Die Online-Überwachung ist dagegen mit der "normalen" Telefonüberwachung gleichzusetzen, welche in Deutschland einige zehntausendmal im Jahr angesetzt wird und inzwischen auch quer durch den Straftatenkatalog angeordnet werden kann. Hierfür den staatlichen Wohnungseinbruch zu legalisieren, würde bedeuten, daß die grundgesetzlich garantierte Unverletzlichkeit der Wohnung faktisch ausgehebelt wäre, denn bei potentiell einigen zehntausenden Fällen im Jahr (Tendenz weiter nach oben gehend) könnte man auch nicht mehr von "Ausnahmen" reden.

Es zeigt sich hierbei immer mehr, daß über das Einfallstor der Online-Durchsuchung die Maßnahme der Online-Überwachung mit hereingebracht wird, obwohl letztere eigentlich nur eine gewöhnliche Telefonüberwachung darstellt und daher nicht unter die Ausnahmeregelung der Online-Überwachung fällt. Gleichzeitig sollen aber alle die "Vorteile" der Online-Durchsuchung zugunsten der Ermittler auch für die Online-Überwachung gelten, so soll bei dieser das Grundrecht auf die Unverletzlichkeit der Wohnung wie auch der Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme nicht mehr gelten. Für die staatlichen Ermittler ergibt sich somit eine wahrhaft perfekte Maßnahme: Mittels der Online-Überwachung schummelt man sich an den beiden genannten Grundrechten vorbei und hat zudem noch den Vorteil, daß man diese Maßnahme im Gegensatz zur Online-Durchsuchung in der (fast) vollständigen Breite des Strafgesetzbuches ansetzen kann.

http://www.taz.de/nc/1/archiv/digitaz/artikel/?ressort=in&dig=2008%2F04%2F04%2Fa0077&src=GI&cHash=d47eb69dc1
http://www.heise.de/newsticker/Bundesnetzagentur-veroeffentlicht-Jahresstatistik-zur-Telefonueberwachung--/meldung/88898/
http://www.3dcenter.org/artikel/2008/02-27.php

15. April 2008

Wie unter anderem der Spiegel berichtet, haben sich Bundesjustizministerin Zypries und Bundesinnenminister Schäuble in Fragen der Online-Durchsuchung nun auf eine gemeinsame Linie geeignet und bereiten ein entsprechendes Gesetz bis zum Sommer vor. Entscheidener Punkt der Einigung ist, daß der "Bundestrojaner" nur über das Internet installiert werden soll, es kein "Betreten" der Wohnung durch Polizeibeamte zur Installation dieser Software geben wird. Was zum einen eine gute Nachricht darstellt, weil damit der polizeiliche Wohnungseinbruch vom Tisch ist, nimmt sie der Maßnahme aber natürlich auch eine gewisse Schärfe, weil bei der Internet-Installation des Bundestrojaners die Erfolgsaussichten generell niedrig liegen, bei speziell gesicherten Systemen (beispielsweise Surfen nur in einer virtuellen Maschine) sind die Ermittler faktisch chancenlos.

http://www.spiegel.de/politik/deutschland/0,1518,547602,00.html

20. Juni 2008

Den Versuch, eine normale Telekommunikations-Überwachung in eine Online-Überwachung umzuwandeln, hat laut einer Meldung des Heise Newstickers das Landgericht Hamburg nicht durchgehen lassen. Eine Online-Überwachung stellt erst einmal keine Online-Durchsuchung dar, wo also der komplette Computer des Verdächtigen durchsucht werden soll - bei einer Online-Überwachung sollen "nur" Kommunikationsdaten abgegriffen werden. In aller Regel geht es dabei um verschlüsselte Internet-Telefonie, welche eben noch vor ihrer Verschlüsselung abgehört werden soll. Technisch entspricht die Online-Überwachung allerdings 1:1 der Online-Durchsuchung, da auch in diesem Fall unbemerkt in den Computer des Verdächtigen eingedrungen wird.

Hier steht erst einmal sowieso das Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme entgegen, welches nur für sehr extreme Fälle eine Ausnahme hiervon vorsieht (welche im konkreten Fall nicht zutreffen würden). Schon kurz nach der Erklärung dieses neuen Grundrechts begannen aber schon die Versuche, dieses Grundrecht durch die Konstruktion einer Online-Überwachung auszuhebeln, welche (angeblich) ja nur eine Telekommunikationsüberwachung wäre und daher auch nur den hierfür geltenden Vorschriften unterworfen sei. Das Landgericht Hamburg hat das erst einmal zurückgewiesen und hierfür zwei wichtige und zukünftig sicherlich noch einmal bedeutsame Begründungen geliefert.

Erstens einmal sah man den Einsatz einer solchen Software generell als Eingriff in die Unverletzlichkeit der Wohnung (wozu man im konkreten Ermittlungsfall nicht befugt ist), was das entsprechende Grundrecht erheblich gegenüber diesen Personen stärkt, welche einen mit dem Internet verbundenen Computer gern als "außerhalb der Wohnung befindlich" definieren wollten. Vor allem aber wird damit die Idee einiger Politiker zurückgewiesen, daß es durch die Maßnahme der Online-Durchsuchung/Überwachung gleich automatisch kein Grundrecht auf die Unverletzlichkeit der Wohnung mehr ergibt und diese einfach so von den ermittelnden Beamten zur Installation des Bundestrojaners betreten werden darf.

Dadurch, daß die Unverletzlichkeit der Wohnung nicht einfach so automatisch ausgehebelt werden darf, sondern nur dann, wenn die dafür gesetzlichen vorgeschriebenen Hürden explizit erfüllt werden, werden Online-Durchsuchung/Überwachung automatisch auf diese Fälle beschränkt, wo diese Maßnahme als Ultima Ratio auch wirklich angebracht erscheint und dürfte einer maßlose Ausweitung im Laufe der Zeit vorgebeugt werden. Der zweite Punkt geht dann in eine ähnliche Richtung: Laut dem Landgericht Hamburg zielt das Gesetz zur Telekommunikationsüberwachung generell nur auf eine Aufhebung des Telekommunikationsgeheimnisses beim Provider, nicht aber in den eigenen vier Wänden. Auch dies hebt die Hürden für Online-Durchsuchung/Überwachung wiederum so hoch, daß eigentlich nur noch diese (angeblich zehn pro Jahr) Ausnahmefälle durchkommen sollten, wo die Schwere der Vorwürfe diese doch sehr invasive Maßnahme dann wirklich rechtfertigt.

http://www.heise.de/newsticker/Gericht-Keine-VoIP-Ueberwachung-per-Trojaner--/meldung/109704
http://www.3dcenter.org/artikel/das-verfassungsgericht-zur-online-durchsuchung

2. Juli 2008:

Gemäß dem Heise Newsticker soll nunmehr schon ab dem 1. August in Bayern online durchsucht werden können, ein entsprechendes Gesetz biegt gerade auf die Zielgerade und ist aufgrund der eindeutigen Mehrheitsverhältnisse im Freistaat kaum noch zu verhindern. Der letzte Ausweg liegt damit wieder einmal in einer Verfassungsklage, welche allerdings auch ihre Zeit benötigen wird. Dabei dürfte eine solche Verfassungsklage einige Aussichten auf Erfolg haben, gibt sich der bayrische Gesetzgeber doch deutlich mehr Spielraum bei der Online-Durchsuchung als zum Anfang des Jahres vom Bundesverfassungsgericht eigentlich ziemlich eindeutig definiert wurde.

So belaufen sich die Ausnahmen, wo eine Online-Durchsuchung zulässig ist, grob gesagt auf konkrete Vorbereitung oder/und Ausführung von Totschlag, Mord, Geiselnahme, Terrorismus sowie ähnlicher Taten, welche den Bestand des Staates gefährden. Dies wurde auch größtenteils sehr exakt vom Verfassungsgericht ausgeführt, so daß etwas unklar ist, wieso der Freistaat Bayern dies nun reichlich umdeutet und erweitert: So spricht man in Bayern auch von der "Sicherheit des Staates", was ein extrem dehnbarer Begriff ist, der leider auch in der Praxis entsprechend gedehnt wird. Die Formulierung des Verfassungsgerichts vom "Bestand des Staates" ist da schon deutlich klarer, weil dies eine außerordentliche Schwere eines Angriffs voraussetzt - was beim Sicherheits-Begriff nicht der Fall ist.

Desweiteren geht man in Bayern auch nicht schon bei einer unmittelbaren Gefahr heran, wie dieserart vom Verfassungsgericht gefordert, sondern auch schon bei einer "künftigen Gefahr". Auch dies ist wieder eine extrem dehnbare Formulierung, vor allem da es sich bei einer solchen Einschätzung immer um eine Ansichtssache handelt, die nicht auf beweisfesten Fakten basieren muß. Das ganze wurde sogar in dieser Form direkt so formuliert: Es reicht in Bayern nunmehr eine begründete Annahme aus, jemand würde eine schwerwiegende Straftat begehen (wobei die Begründung wie gesagt eine Einschätzung der zuständigen Beamten ist und keinesfalls gerichtsfest sein muß). Das weitet die Online-Durchsuchung in jedem Fall deutlich weiter aus als die vielzitierten 10 Fälle pro Jahr, vor allem aber wird die Online-Durchsuchung damit zu einem normalen Ermittlungsparagraphen.

Dies ändert dann aber auch das Verhältnis der Bürger zu dieser Maßnahme: Während man nach dem Verfassungsgerichtsurteil noch von einer echten Ausnahme sprechen konnte, welche nur greift, wenn wirklich Not am Mann ist, will Bayern die Online-Durchsuchung nunmehr zum normalen Ermittlungsinstrument machen, wenn auch (noch) nicht quer durch den gesamten Straftatenkatalog. Nichtsdestotrotz höhlt dies das eigentlich deklarierte Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme gleich erst einmal grundlegend aus - mit Vater Staat als größter Bedrohung für dieses Grundrecht. Und da es leider keine Gewähr dafür gibt, nicht völlig unschuldig als Terrorist verdächtigt zu werden, kommt der Frage nach dem Schutz vor der Online-Durchsuchung dann doch wieder eine größere Bedeutung zu.

http://www.heise.de/newsticker/Weg-frei-fuer-heimliche-Online-Durchsuchungen-in-Bayern--/meldung/110332
http://www.3dcenter.org/artikel/das-verfassungsgericht-zur-online-durchsuchung
http://www.3dcenter.org/news/2007-08-22

5./6. Juli 2008

Wie schon erwähnt, darf ab dem 1. August in Bayern durch Polizei und Geheimdienste (!) online durchsucht werden, wobei das Anwendungsfeld wesentlich weiter gefasst ist als vom Bundesverfassungsgericht eigentlich zugelassen. Doch bevor auch das neue bayrische Polizeigesetz in Karlsruhe noch einmal auf den Prüfstand kommt, hat der Freistaat erst einmal eine Menge Zeit, um das neue Spielzeug auch intensiv ausprobieren zu können. Ob man etwas damit erreicht, steht dabei in den Sternen - schließlich gibt es die Sicherheitsmaßnahmen gegen die Online-Durchsuchung schon viel länger als diese selber.

Insbesondere der bayrische Sonderweg ist besonders einfach auszuhebeln, da sich der Freistaat als Infiltrationsmethode für einen gewöhnlichen Wohnungseinbruch entschieden hat. Dies mag im Sinne der Online-Durchsuchung sogar technisch besser sein, weil die Erfolgsaussichten von Infiltrationsversuchen direkt über das Internet generell nicht rosig sind, zudem besteht immer das Risiko, am Ende noch den falschen Rechner zu erwischen ;). Bei einem Wohnungseinbruch kann man dagegen in aller Regel ausreichende Informationen über das Zielsystem beschaffen (was wichtig zur Unterwanderung der jeweils benutzten Sicherheitsprogramme ist) - und wenn alle Stricke reißen, kann man ja immer noch eine Komplettkopie der Festplatte ziehen.

Und genau hier setzt die einfachste wie effektivste Abwehrmaßnahme an: Wer sich physikalischen Zugang zu den Rechnern verschafft, wird immer und am besten über Boot- bzw. Screensaver-Passwörter und eine Komplettverschlüsselung der Festplatte ausgehebelt. Letzteres ist ja spätestens mit TrueCrypt ab Version 5.0 kein Thema mehr und mit einer halbwegs vernünftigen Hardware-Ausstattung auch nicht mehr mit Performance-Verlusten verbunden. Hier schlägt sich die bayrische Online-Durchsuchung ausgerechnet durch die eigene Unverfrorenheit bei der Wahl der Mittel (polizeilicher Wohnungseinbruch) selber ;). Umgehbar wäre diese Sicherheitsmaßnahme nur mit einer direkten Infiltration über das Internet, was in Bayern aber derzeit wohl nicht vorgesehen ist und gegenüber gut abgesicherten Systemen sowieso nur geringe Erfolgsaussichten hat.

Bei der (geplanten) Online-Durchsuchung des Bundeskriminalamtes redet man dagegen über einen solchen Weg - allerdings eigentlich auch nur mangels dessen, daß der polizeilichen Wohnungseinbruch bei den momentanen Mehrheitsverhältnissen im Bund nicht durchgeht. Eine wirkliche Vorstellung von den Schwierigkeiten einer Online-Infiltration bei gut abgesicheten Computersystemen scheint derzeit sowieso keiner der beteiligten Würdenträger zu haben. Das einzige, was hier mit einer recht hohen Erfolgsaussicht funktioniert, ist das Einschleussen von Datenpaketen beim Provider - und selbst dagegen gibt es ein probates Gegenmittel (das Surfen in einer virtuellen Umgebung). Trotzdem gilt es weiterhin zu beobachten, ob diese Methode eventuell vorangetrieben wird - denn wenn schon Vater Staat das Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme nicht respektiert, wollen wir wenigstens noch den Internet Service Providern vertrauen können.

http://www.3dcenter.org/news/2008-07-02
http://www.3dcenter.org/artikel/das-verfassungsgericht-zur-online-durchsuchung

7. November 2008

Die Einigung der bundesdeutschen großen Koalition bezüglich des neuen BKA-Gesetzes und damit auch der Online-Durchsuchung wurde auch in den Massenmedien mehrfach genannt, ebenso wurde über Kritik und Zustimmung von verschiedenen Seiten berichtet. Leider läßt sich unsererseits noch nicht viel kommentieren (daher auch unsere bisherige Zurückhaltung), weil der genaue Text noch nicht öffentlich verfügbar ist – und es letztlich bei solch heiklen Angelegenheiten immer um die Feinheiten und die exakten Formulierungen geht. Insbesondere der aktuell am meisten kritisierte Punkt – der des nicht vorhandenen Richtervorbehalts in dringenden Fällen – ist eigentlich am wenigstens interessant, weil auch so der Richtervorbehalt ein reines Placebo darstellt.

Denn ähnlich wie bei der Telefonüberwachung und anderen genehmigungspflichtigen Grundrechtseingriffen prüfen die Amtsrichter in aller Regel nur, ob ein entsprechender Antrag formal korrekt ist, für eine inhaltliche Prüfung fehlt allein schon die Zeit. Wichtiger bei der Online-Durchsuchung wird aber eher der Punkt, ob man sich beim BKA-Gesetz wirklich an die Vorgaben des Bundesverfassungsgerichts gehalten hat, welches die Online-Durchsuchung eben nur bei ganz bestimmten Anlässen erlaubt hat. Vor allem die diversen Zustimmungsaussagen lassen derzeit aber eher vermuten, daß die Online-Durchsuchung als Schnüffelparagraph gedacht ist – nicht also, um (schwerste) Straftaten aufzuklären, sondern um Gesinnungen zu ermitteln.

Sollte sich dies auch so im Gesetzestext wiederfinden bzw. dieser eben die Gesinnungsschnüffelei erlauben, ist eigentlich unmöglich eine Verfassungskonformität zu erreichen – und das ganz wäre wieder einmal ein klassischer Schuß in den Ofen. So oder so ist aber auch jetzt schon klar, daß das neue BKA-Gesetz in Form von Klagen verschiedener Personen vor dem Bundesverfassungsgericht landen wird und dort erst – sagen wir im Jahr 2010 oder so – über dessen Zulässigkeit entschieden wird. Und sollte es dort nicht gleich ganz zerpflückt werden, wird man – Erfahrungswert ;) – ziemlich sicher nachbessern müssen und dann gibt es vielleicht im Jahr 2012 ein verfassungsrechtlich unbedenkliches BKA-Gesetz, was auch erst dann rechtmäßig in Anwendung gehen kann.

http://www.3dcenter.org/artikel/das-verfassungsgericht-zur-online-durchsuchung

10. November 2008

Netzpolitik haben das Kompromiß-Papier zum BKA-Gesetz online gestellt, welches auch die einige Ausführungen zur Online-Durchsuchung enthält. Diese Maßnahme ist dabei recht ausführlich beschrieben und kommentiert, so daß man sich ziemlich gut vorstellen kann, wie die ganze Sache seitens der Politik gedacht ist. Ein paar Fleißpunkte versuchte man sich nebenbei dadurch zu erwerben, daß das mögliche Aussetzen des Richtervorbehalts durch Fallbeispiele begründet wurde – was allerdings gründlich danebengeht, die Fallbeispiele sind allesamt heftig konstruiert und drehen sich vor allem nicht um eine möglicherweise vorhandene Eilbedürftigkeit, sondern stellen vornehmlich die absolute Notwendigkeit des Richtervorbehalts in Frage.

Aber das ist wie schon einmal ausgeführt eher ein Nebenkriegsschauplatz – die Frage ist doch eher, ob sich die Online-Durchsuchung an die Vorgaben des Bundesverfassungsgerichts hält in der Frage, wo diese statthaft ist und wo nicht. Auch hierzu gibt es ein Fallbeispiel, welches abgekürzt darauf hinausläuft, daß eine Person X gemäß geheimdienstlichen Erkenntnissen ausländischer Geheimdienste einen Anschlag in Deutschland planen würde, wobei diese Erkenntnis nur auf einer Berichterstattung eines V-Manns basiert, also keine handfesten Beweise vorliegen. Dabei stellt man selber fest, daß dies für einen Anfangsverdacht gemäß der Terrorismusparagraphen 129a/b nicht ausreichend ist – und sieht dies dann aber umgehend als klassischen Anwendungsfall der Online-Durchsuchung.

Ganz egal wie man diesen Fall selber einordnen würde, daß Bundesverfassungsgericht hat dieses Fallbeispiel eindeutig nicht unter diese Ausnahmen eingeordnet, wo eine Online-Durchsuchung statthaft wäre. Hier fehlt nicht nur die konkrete Tatvorbereitung, sondern vor allem fehlt überhaupt der Ansatzpunkt für eine strafrechtliche Ermittlung, weil die vorliegenden Informationen aus juristischer Sicht keinen höheren Gehalt als "Höhrensagen" haben. Es ist schon so absurd, daß es wieder lustig ist: Weil es nicht einmal reicht, um den bekannten Gummiparagraphen 129 a/b einsetzen zu können, wird gleich die härteste Waffe gezückt, welche die Ermittler in den Händen halten. Sicherlich ist das ganze nur ein Fallbeispiel, damit ist also nicht gesagt, daß der Amtsrichter der Online-Durchsuchung in diesem Fall zustimmen würde (ironischerweise handelt es sich wieder um ein Fallbeispiel, um das Aussetzen des Richtervorbehalts zu begründen).

Wenn allerdings ein solches Fallbeispiel in einem solchen Papier seelenruhig gehandelt wird, darf fest davon ausgegangen werden, daß die Online-Durchsuchung eben doch als Gesinnungsschnüffelparagraph gedacht und gesetzlich ausgelegt ist, welcher demzufolge weit öfter in Anwendung kommen soll als die oftmals zitierten "weniger als eine Handvoll Fälle pro Jahr". Die vom Bundesverfassungsgericht aufgestellten Regelungen zur Online-Durchsuchung finden sich in diesem Papier jedenfalls mitnichten wieder, das ganze ist vielmehr eine geradezu infame Mißachtung des vom Bundesverfassungsgericht aufgestellten Grundrechts auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme – und damit natürlich auch des Bundesverfassungsgericht selber. Das einzige positive an der Situation ist wohl, daß dieses Gesetz in dieser Form niemals vor den Verfassungsrichtern durchgehen wird.

http://netzpolitik.org/2008/bka-gesetz-der-kompromiss-text/
http://www.3dcenter.org/artikel/das-verfassungsgericht-zur-online-durchsuchung
http://dejure.org/gesetze/StGB/129a.html

21. Januar 2009

Wie der Heise Newsticker ausführt, will der BKA-Chef die mit dem neuen BKA-Gesetz mögliche Online-Durchsuchung nun auch gegen organisierte Kriminalität einsetzen. Seinen Strafverfolgungseifer und auch die ganze Idee, welche sich prinzipiell richtig anhört, in allen Ehren – trotzdem ist es doch mehr als verwunderlich, wenn die engen Vorgaben des Bundesverfassungsgerichts zur Online-Durchsuchung von einem der obersten Polizeibeamten der Republik so einfach aus dem Handgelenk mißachtet werden. Diese Vorgaben sagen nämlich eindeutig aus, daß die Online-Durchsuchung nur gegen die "konkrete Vorbereitung oder/und Ausführung von Totschlag, Mord, Geiselnahme, terroristischer Taten sowie ähnlicher Taten, welche den Bestand des Staates gefährden" eingesetzt werden kann.

Daß, was der BKA-Chef dagegen vorhat, ist das präventive Ausspähen krimineller Organisationen – da geht es weder darum, irgendwelche konkreten Straßtaten aufzuklären wie zu verhindern, sondern einfach darum, ein Netzwerk zu studieren und Beweise gegen dieses zu sammeln. Und nochmals: Die Idee ist gut, ehrlich und man kann sie nicht von der Hand weisen. Man kann sogar zugeben, daß die Online-Durchsuchung eigentlich viel eher nutzvoll zur Ausforschung von Netzwerken krimineller oder terroristischer Natur wäre – aber das Verfassungsgericht hat das nun einmal klar anders gesehen und die Online-Durchsuchung als präventives Schnüffelinstrument nicht zugelassen (bei einem solchen Einsatzzweck wären natürlich auch die angeblich nur 4-6 Einsätze im Jahr nicht mehr haltbar), sondern nur eher als Ausnahme im Notfall. Und es ist durchaus auch vom BKA-Chef einzufordern, sich an diesen Urteilsspruch des höchsten bundesdeutschen Gerichts zu halten.

So aber muß man sich wirklich nicht wundern, wenn selbst sinnvolle Maßnahmen auf immer heftigeren Widerstand seitens Datenschützern und besorgten Bürgern stoßen – einfach, weil man immer wieder die Erfahrung machen musste, daß nach der Salami-Taktik ein einmal genehmigter Grundrechtseingriff so lange aufgeweicht wird, bis dieser dann zum Standardermittlungsinstrument geworden ist. Genauso ist es wenig überraschend, wenn hier und da schon von "Stasi 2.0" gesprochen wird, momentan nehmen die Angriffe auf Grund- und Bürgerrechte auf breiter Front einfach überhand, hinter jedem neu beschlossenen Gesetz lauert schon die nächste Forderung nach weiterer Aufweichung und mehr Möglichkeiten für Vater Staat. Dann sogar noch "Vertrauen" in die hemmungslosen Überwacher zu fordern, ist eine schon wirklich absurde Verdrehung der Realität.

http://www.3dcenter.org/news/2009-01-21
http://www.heise.de/newsticker/BKA-Chef-will-Bundestrojaner-auch-gegen-organisierte-Kriminalitaet-einsetzen--/meldung/122019
http://www.3dcenter.org/artikel/das-verfassungsgericht-zur-online-durchsuchung

27. April 2009

Über einen wirklich dicken Hund berichtet die Zeit aus der Feder des bekannten Autors Günter Wallraff: Danach hat die Deutsche Bahn nicht nur die eigenen Mitarbeiter umfangreich ausspioniert, sondern auch mißbeliebigen Mitarbeitern offenbar Daten (mit rechtsradikalem bzw. pornographischem Inhalt) auf deren Arbeitsplatz-PCs untergeschoben, um diese dann auf Grundlage dieses "Datenfunds" kündigen zu können. Hier zeigen sich eindrucksvoll die Risiken gerade der Online-Durchsuchung: Auch wenn diese eigentlich nur dazu gedacht ist, um die vorhandenen Daten zu "kontrollieren", ist die dafür benutzte technische Methode absolut genauso geeignet, um Daten auch zu manipulieren. Und was an Möglichkeiten vorhanden ist, wird über kurz oder lang auch benutzt werden – wie an diesem Fall zu sehen, sogar noch viel schneller als gedacht.

http://www.zeit.de/2009/18/Bahn

9. Oktober 2011

Einige Wellen schlägt dieses Wochenende die Meldung über die Analyse des Bundestrojaners durch den Chaos Computer Club (CCC). Dabei wird in erster Linie auf zwei Punkten eingeschlagen, welche aber unter diesen Umständen vielleicht eher "normal" sind: Erstens geht es darum, daß die staatlichen Schnüffler für die Quellen-TKÜ (Abhören der reinen Kommunikation) und genauso für die Vollüberwachung keine unterschiedliche Software programmiert haben, sondern daß dies dieselbe Software ist – womit also zur Quellen-TKÜ eine Software eingesetzt wird, welche genauso auch zur Vollüberwachung befähigt wäre. Und zweitens stößt die Funktionalität des Bundestrojaners auf, nachträglich weitere Software-Module nachladen zu können, womit der Funktionsumfang also auch erweitert werden kann – darunter dann potentiell auch illegale Funktionen zur Deponierung belastender Indizien auf dem Rechner der Zielperson.

Dabei ist es allerdings verständlich, wenn für den Zweck eines Bundestrojaners – der also unbemerkt ein PC-System überwachen soll – nicht zwei unterschiedliche Programme entwickelt werden, welche sich nur im Grad der Überwachungsmaßnahmen unterscheiden. Selbst wenn man für die Quellen-TKÜ einen extra Bundestrojaner auflegen würde – die Software für die genauso mögliche Vollüberwachung muß (in ihrem Sinne) nun einmal über die vorgenannten Fähigkeiten verfügen. Die in den aktuellen Presseberichten beschworene Angst vor der Willkür staatlicher Ermittler (bezüglich des Deponierens von belastenden Indizien) mag einfach verkaufbar sein, bei vielen anderen polizeilichen Ermittlungsmethoden besteht allerdings genauso wenig ein echter Schutz davor, daß die staatlichen Ermittler bewußt unfair spielen – belastender Indizien können genauso gut auch bei Hausdurchsuchungen oder aber bei der behördlichen Auswertung von beschlagnahmten Rechnern deponiert werden.

Unser Rechtssystem geht nun einmal dogmatisch davon aus, daß die staatlichen Ermittler sich an die gesetzlichen Vorgaben halten bzw. zumindest Niemanden durch manipulierte Beweise belasten. Wer so etwas vor Gericht behauptet, der ist in der Bringpflicht, dies entsprechend zu beweisen – und nicht der Ermittlungsbeamte muß beweisen, daß er korrekt und nachweisbar gearbeitet hat. Natürlich wird es mittels des Bundestrojaners einfacher, jemanden bewußt falsche Indizien unterzuschieben – andererseits wird es durch den Bundestrojaner genauso auch einfacher, jegliche elektronischen Beweismittel generell abzulehnen, sofern der Bundestrojaner im Spiel war. Denn durch die schlechte Programmierung der Software kann nicht ausgeschlossen werden, daß sich Dritte zwischenschalten und auf dem Rechner der Zielperson herumfuhrwerken – in gewissem Sinne haben die staatlichen Ermittler mit diesem Bundestrojaner also ein klassisches Eigentor geschossen.

Daneben ist sicherlich noch der Punkt interessant, ob man das Wirken des Bundestrojaners mittels einfacher Mittel selber erkennen kann. Die Ausführungen des CCC gehen an dieser Frage leider etwas vorbei, sagen läßt sich aber folgendes: Erstens einmal liegt unter c:\windows\system32\ eine Datei namens "mfc42ul.dll" (es liegen dort üblicherweise auch andere, ungefährliche Dateien mit dem Namen mfc42*.dll), die aber nicht von Microsoft kommt. Und zweitens wird eine "winsys32.sys" (den exakten Dateiort hat der CCC leider nicht genannt) über die AppInit-Funktion mit jedem Betriebssystem-Start automatisch geladen. Diesen Autorun-Eintrag zeigt beispielsweise Sysinternals Autoruns an, mittels dieses Tools sollte man eine Infektion durch den Bundestrojaner gemäß diesen Informationen also entdecken können. Da die Kommunikation mit dem Control-Server des Bundestrojaners zudem über ein Andocken an den Windows-Explorer läuft, wäre der Trojaner anscheinend wirkungslos, wenn man dem Windows-Explorer den Internetzugang (den dieser sowieso nicht benötigt) mittels einer Firewall verbietet. Sofern die Antiviren-Hersteller allerdings Wort halten, wird der Bundestrojaner sowieso demnächst von jeder normalen Antiviren-Software entdeckt werden.

http://www.ccc.de/de/updates/2011/staatstrojaner