Ich finde das ist ein geeignetes Thema um mal wieder mit dem Bloggen warm zu werden. Es ist zwar schon alles zum Staatstrojaner (0zapftis) gesagt, aber eben noch nicht von mir. Ideal geeignet also!
Worum geht es eigentlich?
Tja, das ist die Frage. Die Einführung eines sogenannten Bundestrojaners, also einer staatlichen Schadsoftware, welche persönliche und vor allem private Daten auf Computern ausspäht und an Sicherheitsbehörden weiterleitet, ist bereits seit einigen Jahren im Gespräch. Vor ein paar Tagen, am 8.10., hat der Chaos Computer Club (CCC), die größte europäische Hackervereinigung, eine Analyse des mutmaßlichen Staatstrojaners veröffentlicht, und die hat es in sich. Exemplare des Trojaners wurden dem CCC von Betroffenen zugespielt.
Hatten Behörden der Länder und des Bundes bisher stets dementiert dass solcherart Überwachungssoftware eingesetzt werden, sind die Beweise und vorgelegten Informationen mittlerweile so erdrückend dass sie keine Wahl mehr haben als reihenweise zuzugeben die Trojanersoftware zu nutzen. Und die Stellungnahmen sind auch nicht immer widerspruchsfrei.
Was darf und soll der Trojaner eigentlich können?
Die Antwort auf diese Frage hatte das Bundesverfassungsgericht bereits im Jahr 2008 sehr klar umrissen als es das Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme beschrieb (siehe besonders Absatz 3 u. 4). Der Einsatz solcher Software ist nur und ausschließlich für eine Quellen-Telekommunikationsanalyse (Quellen-TKÜ) erlaubt.
Da dieses Wortungetüm wohl nur wenigen etwas sagen wird, sei es an dieser Stelle kurz erklärt: Bekannterweise haben Polizeibehörden die Möglichkeit Telefonate von Verdächtigen abzuhören. Da dies aber einen sehr tiefen Eingriff in die Privatssphäre oder, wie es im Formaldeutsch heißt, den Kernbereich privater Lebensgestaltung darstellt, ist dies nur innerhalb sehr enger Grenzen und unter richterlichem Vorbehalt möglich.
Nun verlagert sich die zwischenmenschliche Kommunikation aber immer weiter auf elektronische Medien (zB Skype, Teamspeak, Mumble, ...) und die haben die Angewohnheit die Sprachverbindung zu verschlüsseln sodass niemand mithören kann. Und dort greift der besagte Trojaner, oder eher der Trojaner wie er erlaubt wäre: Auf dem Rechner des Computers, also der Quelle, eingeschleust fängt er die eingegebene Kommunikation noch vor der Übertragung und folglich der Verschlüsselung ab und ermöglicht es den Beamten auch weiterhin mitzulauschen.
Und was kann der Trojaner nun wirklich?
Ihr habt es wohl schon erraten, natürlich beschränkt sich der Trojaner nicht auf die gesetzlich zugelassene Funktion der Quellen-TKÜ, sondern hat noch einige Extras in Petto.
Die zwei brisantesten sind die folgenden:
1.) Die Screenshotfunktion
Ja, das Ding macht Bildschirmfotos. Zwar nicht von der gesamten Bildschirmanzeige, sondern 'nur' von der Anwendung im Fokus, also der die gerade im Vordergrund läuft, aber das macht die Sache irgendwie auch nicht besser. Das Programm macht also Bilder, von Dokumenten, Verzeichnissen, E-Mailkommunikation, der Textverarbeitung, Browserinhalten, Historien und und und. Also fast alles Dinge bei denen nicht einmal im Ansatz eine Kommunikation stattfindet, und selbst bei E-Mails ungeachtet des Umstandes ob eine Nachricht wirklich versendet oder nur geschrieben wird.
2.) Die "Update"-Funktion
Der CCC beschreibt die Funktion als eine Hintertür in der Hintertür. Der Trojaner bietet den Ermittlern die Möglichkeit über einen Programmbefehl den Trojaner mit weiteren Funktionalitäten auszustatten. Denkbar wäre da so einiges, wie etwa die Möglichkeit Tastatureingaben mitzuprotokollieren oder die angeschlossene Webcam oder das Mikrofon einzuschalten und die Aufzeichnungen zu übertragen. Der notwendige Code dafür wird übrigens schon in der 'Basisversion' mitgeliefert, nur der Aktivierungsbefehl fehlt noch.
Sehr spannend finde ich auch die Möglichkeit mit dieser Updatefunktion selbst Beweismittel zu platzieren wenn die gefundenen mal den "Anfangsverdacht" nicht bestätigen sollten. Dann kann man eben selbst mal Bombenbauanaleitungen oder ähnlich beliebte Freizeitspäße auf dem Computer hinterlassen und hat anschließend eine super Vorlage ihn festzunehmen.
Das diese Möglichkeit nicht nur massive ethische Probleme aufweist ist wohl selbstverständlich, aber es bringt auch rechtliche Probleme mit sich. Eine Beweismittelsicherheit ist also nicht mehr gegeben, denn man kann nicht nachweisen ob die Beweismittel vom Verdächtigen selbst oder den Ermittlungsbehörden hinterlassen wurden. So gesehen könnte man durchaus davon sprechen dass der Einsatz des Trojaners den Ermittlungserfolg eher behindert als verbessert. Könnte!
Aber keine Sorge, natürlich wurde auch daran gedacht: Der Trojaner bietet augenscheinlich auch die Möglichkeit sich selbst wieder vom System zu entfernen, damit wäre es den Betroffenen quasi unmöglich zu beweisen dass die platzierten Beweise nicht von Ihnen sind. Clever oder?
Über handwerkliche Fehler
Nun, als wäre es nicht genug dass der Trojaner über Funktionen verfügt, welche vom Bundesverfassungsgericht eindeutig als verboten klassifiziert wurden, ist die handwerkliche Ausführung sehr, nunja, lückenhaft. Um nicht zu sagen, vollkommen dilettantisch.
Der Kracher überhaupt ist folgendes: Die gesammelten Daten des Trojanes werden natürlich an die Ermittlungsbehörde übertragen, klar, sonst würde das nix bringen. Um die Übertragung zu sichern wird sie verschlüsselt, und zwar mit dem AES-Algorithmus. Dagegen ist prinzipiell nichts einzuwenden, AES ist ein verbreiteter und erprobter Verschlüsselungsstandard. Aber wie kommt man bitte auf die Idee KEINE AUTENTHIFIZIERUNG DURCHZUFÜHREN?!
Es findet keine Authentifizierung der Befehle statt. Das bedeutet es wird nicht überprüft ob der Befehlsgeber überhaupt berechtigt ist, dem Trojaner etwas anzuweisen. Praktisch jeder könnte sich dazwischenklemmen und entweder
Dem Trojaner vorgaukeln er wäre die Ermittlungsbehörde, und Befehle geben
oder
Sich als Trojaner ausgeben und gefälschte Ergebnisse versenden.
Ein absoluter Sicherheitsalptraum! Den Programmierern sollte man Berufsverbot erteilen. Das wäre so als ob ein Waffenhändler seine Ware offen in der Fußgängerzone auslegt und dann ein Nickerchen einlegt.
Wer setzt den Trojaner ein?
Tja, da das ist die Frage, denn nichts genaues weiß man nicht. Oder so ähnlich.
Nach der Veröffentlichung der Analyse durch den CCC wurde erklärt keine Bundesbehörde würde den analysierten Trojaner einsetzen. Nehmen wir mal vorerst an das würde stimmen, wer bliebe dann übrig? Genau, die Landesbehörden. Besonders im Verdacht stehen dabei dann natürlich die Landeskriminalämter (unterstehen dem Innenministerium) oder der Zoll (unterstehen dem Finanzministerium).
Lassen wir mal Äußerungen von Spitzenpolitikern wie Hans-Peter Uhl oder Wolfgang Bosbach außen vor, haben folgende Länder mittlerweile zugegeben Staatstrojaner eingesetzt zu haben:
- Baden-Württemberg
- Bayern
- Brandenburg
- Bremen
- Hamburg
- Hessen
- Niedersachsen
- Nordrhein-Westfalen
- Rheinland-Pfalz
- Schleswig-Holstein
In Sachsen-Anhalt gibt es Hinweise darauf dass auch dort der Staatstrojaner eingesetzt wurde, auch wenn eine öffentliche Bestätigung aussteht. Blieben nur Berlin, Mecklenburg-Vorpommern, das Saarland, Sachsen und Thüringen in denen 0zapftis noch nicht eingesetzt wurde. Bzw die es noch nicht zugegeben haben.
Aber der spaßige Teil kommt jetzt: Zwar haben mittlerweile 10 Bundesländer zugegeben den Trojaner eingesetzt zu haben, aber fast alle zeigen mit dem Finger auf den Bund. Der Trojaner sei entweder vom Bund bereitsgestellt worden, oder er sei im Rahmen einer Amtshilfe selbst tätig geworden.
Ich erinnere: "[...]wurde erklärt keine Bundesbehörde würde den analysierten Trojaner einsetzen".
Ich halte jedenfalls mein Popkorn bereit und werden den Artikel bei neuen Informationen updaten. Da das ganze noch alles sehr undurchsichtig und widersprüchlich ist, fühlt euch frei mich in den Kommentaren zu berichtigen, auf Neuerungen hinzuweisen oder das Thema zu diskutieren!
Sehr schön zusammengefasst.Danke
AntwortenLöschen