Also eigentlich will ich ja Politik weitgehend aus diesem Blog heraus halten, es soll schon weiterhin um IT-Security gehen, aber manchmal überschneidet sich das einfach zu sehr. Das Bundesinnenministerium bekommt zur Zeit schließlich von allen auf den Deckel, denn weniger Kompetenz in IT-Fragen geht eigentlich kaum noch. Inzwischen sind ein paar Dokumente bekannt geworden und von netzpolitik.org veröffentlicht, was sich das Bundesinnenministerium da so vorstellt. Ein paar Zitate will ich hier heraus greifen:
- „Es gibt eine Vielzahl von Einbringungsmöglichkeiten, die nunmehr auf Tauglichkeit für den jeweiligen Einsatz überprüft und eventuell angepasst werden müssen. Grundsätzlich ist dabei die unwissentliche Mitwirkung der Zielperson notwendig, um einen Entdeckung der Maßnahme zu verhindern. Eine generelle Aussage zur genauen Einbringungsmethode ist nicht möglich […]“
Aha, die erwarten also wirklich, dass der dumme User auf ein Attachment klickt und dann den Trojaner selbst installiert. Ich dachte ja eher an verdeckt in eine Wohnung eindringen, den Rechner aufschrauben, den Trojaner auf der Platte installieren und dann heimlich wieder abhauen, also so richtig coole Stasi-Methoden. Anscheinend ist das mit dem Einsteigen in die Wohnung aber eine größere Verfassungsänderung, also muss das wohl anders passieren. Ich fürchte ja, bei Beckstein und Co. dürfte das auch klappen. Aber Politiker sollten nicht immer von ihrem beschränkten Wissen auf andere schließen.
- „Die gewonnenen Ergebnisse werden so lange verschlüsselt auf dem informationstechnischen System zwischengelagert, bis eine Internetverbindung durch die Zielperson hergestellt wird. Bei aktiver Internetverbindung werden die verschlüsselten Daten auf einen von den Sicherheitsbehörden genutzten Server übertragen.“
Hihi, also wäre eine einfache Möglichkeit sich gegen den Bundestrojaner zu schützen, einfach die Festplatte zumüllen. Dann ist kein Platz für die Zwischenspeicherung. Mein DSL-Router protokolliert übrigens alle ein- und ausgehenden Verbindungen mit, die Protokolle werden auch zeitnah ausgewertet. Da fällt das auf, wenn plötzlich größere Datenmengen verschoben werden. Die rechnen echt nur mit dem dümmsten anzunehmenden User.
- „Das Versenden von E-Mails unter dem Namen einer anderen Behörde wäre mit großen Risiken verbunden und könnte nur in begründeten Ausnahmefällen in Absprache mit der betroffenen Behörde zum Einsatz kommen.“
Das klingt doch super und die Tagesschau hat das schön visualisiert. Ich kommuniziere ja ab und zu digital mit Behörden. Ich lasse mir jetzt von allen schriftlich mit Vertragsstrafe versichern, dass sie mir keinen Bundestrojaner schicken und mich sofort informieren, wenn das BKA auf sie zukommt. Wäre lustig, wenn das alle Bürger so machen würden 🙂 Krass ist jedoch, dass sie damit e-Government quasi komplett einstellen können. Wer vertraut denn noch so einer Regierung?
- „Grundsätzlich bestehen folgende Umgehungs/-Überwindungsmöglichkeiten (Anm.: für Verschlüsselung):
- „Abzweigen“ der Klar-Information vor bzw. nach Ver-/Entschlüsselung
- Verwendung von absichtlich „geschwächten“ Verschlüsselungsprodukten
- treuhänderische Hinterlegung von kryptographischen Schlüsseln („key escrow“)
- Zugriff auf im System gespeicherte oder über Tastatur eingegebene Schlüssel durch Einsatz von „Sniffer“-Software“
Sie haben aber erkannt, dass 2 und 3 zur Zeit politisch nicht durchsetzbar sind. Das erinnert mich an den SchlAG von Andreas Pfitzmann. Unbedingt lesen, sehr intelligent geschrieben.
- „Ausgeschlossen werden kann, dass Daten auf dem Zielsystem durch den Einsatz der RFS manipuliert werden, da der Einsatz umfangreich und nachvollziehbar dokumentiert wird.“
Das kenne ich von anderen Softwarefirmen. Sicherheitsrisiken können natürlich komplett ausgeschlossen werden. Vielleicht lassen sie die Software von Microsoft entwickeln?
- „Speziell wird sichergestellt, dass die Software nicht ohne erheblichen Aufwand dazu veranlasst werden kann, an einen anderen Server als den vom Bundeskriminalamt verwendeten zurückzumelden, und dass die Software weder von außen erkannt noch angesprochen werden kann.“
Aha.
- „Die Durchführung einer Online-Durchsuchung soll ebenfalls lückenlos dokumentiert werden. So werden die Einbringung der RFS auf den Zielrechner, jeder Remote-Zugriff auf den Zielrechner, alle Befehle für den Zielrechner und die Übertragung der Daten vom Zielrechner protokolliert.“
Verstehe ich jetzt nicht. Grad eben hat das Bundesinnenministerium doch noch behauptet, dass die Software von außen weder erkannt noch angesprochen werden kann. Aber Remote-Zugriff ist doch möglich? Werden die beschlagnahmten Drogen denn nicht vernichtet sondern im BMI verbraucht? Und wie wollen die protokollieren, wenn die Festplatte z.B. voll ist? Wird dann nicht durchsucht?
- „Das Bundeskriminalamt hat beim (verdeckten) Zugriff auf das informationstechnische System kein Interesse an der Kenntnisnahme etwa von Krankheitsberichten, Tagebüchern oder Liebesbriefen. Von Interesse sind vielmehr allein ermittlungsrelevante Informationen zu Terroristen und Extremisten, […]“
Terroristen und Extremisten. So wie in der Definition des StGB 129a, da fällt der CCC vermutlich jetzt auch schon drunter. Wegen organisierter Verstöße gegen StGB 202c. In wenigen Jahren sind Filesharer dann auch Extremisten, das kennen wir von anderen Beispielen wie dem Kontozugriff oder der Autobahnmaut.
- „Bei der hier in Rede stehenden RFS handelt es sich nicht um eine „Spionagesoftware“, sondern um ein technisches Mittel zur Datenerhebung.“
Stimmt. Back Orifice ist auch kein Backdoor-Programm sondern ein Remote-Administrationstool. Ich frage mich ja, wenn das BMI dieses Teil auf meinem Rechner installiert und ich das finde und für einen Hackerangriff verwende, muss dann der Bundesinnenminister wegen Zugänglichmachung der „Hackingtools“ nach §202c in den Knast?
- „Abgesehen davon, dass das Entdeckungsrisiko als solches als gering einzustufen ist, wäre eine anschließende Manipulation im Vergleich zu anderen Möglichkeiten der Nutzung von frei verfügbarer Schadsoftware extrem aufwendig.“
Schon, aber das hat noch nie jemanden abgehalten, z.B. das iPhone freizuschalten oder die XBox zu hacken. Ein wenig naiv ist die Vorstellung der Beamten da schon.
- „Die Sicherheitsbehörden und das Bundesministerium des Innern verfügen grundsätzlich über genügenden Sachverstand. [Anm.: bei der Konfiguration von Online-Durchsuchungen].“
Ha, ist das so viel Sachverstand wie bei den Chinesen-Trojanern? Die machen sich doch komplett lächerlich! Das ist ja gar nicht mehr zu fassen.
Sehr schön ist folgende Feststellung der SPD-Fraktion:
- „Damit einher geht eine Umwertung der bisherigen Sicherheitspolitik. Die Sicherheitsbehörden und das BSI machen das Netz nicht sicherer, sondern im Gegenteil: Es gibt ein staatliches Interesse, „Hintertüren“ in Betriebs- und Anwendungssysteme zu nutzen oder sogar „einzubauen“. Hinzu kommt, dass wenn die deutschen Sicherheitsbehörden heimlich auf Rechner zugreifen können, dass dies dann auch Dienste anderer Staaten können.“
Da scheint jemand tatsächlich einen Teil der Problematik auf den Punkt gebracht zu haben.
Naja, warten wir ab … Sony hat sich bei so etwas ähnlichem schon mal eine blutige Nase geholt.