Das BMI ist echt ganz schoen krass. Ich wuerde es gerne BMW nennen. Aber darueber habe ich nicht zu entscheiden und die Bayerische Motoren Werke AG haette wohl was dagegen. So nun zum Thema: Online-Durchsuchungen/-Durchsicht/-Spionage/-Whatever.
Das Thema brennt wohl vielen Menschen unter den Fingernaegeln. Die eine Seite will Online-Durchsuchungen mit allen Methoden durchsetzen und die andere Seite – und zu der ordne ich mich auch zu – sind strikt dagegen. Nun ist in den letzten Tagen einiges passiert.
Online-Durchsuchung Made in China
So oder nennt es der CCC in einem Bericht ueber die kuerzlich bekannt gewordenen Trojaner, die in Regierungscomputern gefunden wurden. Als Herkunft der Trojaner wird China genannt. Lustig daran ist, dass Frau Merkel kurz nachdem das bekannt wurde nach China reiste, da sie dort einen weiteren Termin wahrnehmen musste, bei dem sie und somit die deutschen Interessen nicht wahrgenommen werden.
Ich moechte schonmal etwas aus einer Stellungnahme des BMI zum Thema Online-Durchsuchungen vorweg nehmen. Ich zitiere
Wer berät sachverständig die Sicherheitsbehörden und das BMI bei der Konfiguration von Online-Durchsuchungen?
Die Sicherheitsbehörden und das Bundesministerium des Innern verfügen grundsätzlich über genügenden Sachverstand.
Sonst noch Fragen? Ich bezweifle stark, dass das Bundesministerium des Innern auch nur einen Funken Sachverstand besitzt, wenn sie sich selbst nicht einmal vor einer Inflitration schuetzen konnten (und sicher auch nicht in Zukunft schuetzen koennen). Daher sollte schon alleine aus diesem Grund die Debatte um ein geplantes Online-Durchsuchungs-Gesetz sofort beendet werden. Ansonsten wird unsere Regierung im Ausland noch laecherlicher erscheinen als sie es jetzt tut. Denn hey, Deutschland steht nicht so gut im Ausland da, wie es die Medien hier publizieren: “Alle lieben Angela Merkel! Sie auch?”, “Merkel beliebteste Regierungschefin”, usw. Klar spricht sich Sarkozy fuer Deutschland als staendiges Mitglied im Weltsicherheitsrat aus. Einfacher kann es ja gar nicht sein die radikalen Vorderungen durchzusetzen, als wenn Frau Merkel immer schoen nickt. Die Frau mag seit neustem Umweltpolitik und hat ja auch Erfolg damit (, da die anderen Laender, auf Grund vieler Beweise, mittlerweile nicht mehr “Nein” sagen koennen.
Viele haben vergessen, dass Frau Merkel damals aufgefordert wurde zurueckzutreten, da sie ihre ministerielle Aufsichtspflicht verletzt hat. Im Jahr 1998 wurde bekannt, dass die Grenzwerte bei Castor-Transporten nach Frankreich ueberschritten wurden. Aber Frau Merkel konnte ihre Verantwortung von sich auf die Laender wegdelegieren und rettete ihre Karriere damit. (Oder liess ihre Karriere dadurch retten? Oder dadurch wurde ihre Karriere gerettet?) Ich finde es auch sehr komisch, dass die Nachteile der Oekosteuer andauernd der SPD zugeschrieben werden. So war doch Frau Merkel 1997 nachweislich noch der Meinung die Abgabe auf Energietraeger (d.h. Oekosteuer) sollte regelmaessig erhoeht werden. Und dann auf einmal heisst es “die Steuern stammen von der SPD, wir wollen alle Steuern senken” und dann kam die Grosse Koalition und den Rest kennen wir ja.
Online-Durchsuchung Made in Germany
Jetzt komme ich endlich mal auf das eigentlich Thema, was mir Grade auf die Nerven geht. Das BMJ und die SPD-Bundestagsfraktion haben zwei Frageboegen an das BMI gesendet, in denen die Fragen stehen, die sich die beiden Institutionen im Bezug auf die Thematik der Online-Durchsuchung gestellt haben. Ich werde folgend ein paar Frage/Antwort-Paare zitieren und darauf weiter eingehen.
(SPD-Bundestagsfraktion) Wie kann der Kernbereich der privaten Lebensgestaltung der Beschuldig-ten bzw. anderer betroffener Benutzer des gleichen Systems (bei Multi-User-Systemen) sichergestellt werden?
(BMI) Aufgrund der vor der eigentlichen Online-Durchsuchung erforderlichen Aufklä-rung (Lebensgewohnheiten, Internetverhalten, Kontaktpersonen u.ä.) wird in der Regel eine nähere Auffindevermutung bestehen, so dass sich das Tool auf bestimmte Dateinamen oder Dateiformate, sogenannte Suchkriterien, beschränken kann. Kernbereichsrelevante Erkenntnisse sind für die sicherheitsbehördlichen Belange stets irrelevant.
Das BMI spricht von Suchkriterien, genauer nennt es Dateinamen und Dateiformate. Also man sucht nach Dateinamen und Dateiformaten um daraus nuetzliche Informationen zu gewinnen, ohne die Persoenlichkeitsrechte bzw. das Recht auf informationelle Selbstbestimmung aus Art. 2 Abs. 1 iVm Art. 1 Abs. 1 GG zu verletzen. Und das bei Multi-User-Systemen. Also nehmen wir an wir haben einen Computer, der von einer Kleinfamilie genutzt wird: Papa, Mama, Kind. Papa sei in dieser Annahme nun ein potentieller weltweit agierender Hyperterrorist, der natuerlich einen Anschlag auf XYZ in Deutschland plant. Auf Grund dieser Annahme verschafft sich das BMI Zugriff zum Computer der Familie. Dabei suchen sie jetzt nach eventuell nuetzlichen Dateien mit Hilfe eines Dateiname/-format-Suchmusters. Das Dateiformat laesst sich (meist) durch den Header einer Datei oder durch die Dateiendung identifizieren.
Problem Dateiname/-ort:
Wenn ich ein Terrorist waere, wuerde ich den Plan zu einem Anschlag in einer Datei namens “Anschlag.***” speichern? Ich denke nicht. Und umgekehrt: Vielleicht ist Mama ja eine Cineastin und hat eine Datei mit dem genannten Namen angelegt, in der sie Informationen zu Filmen oder Serien sammelt gespeichert. Was bringt das dem BKA? Ich spinne mal weiter: Was ist, wenn Mama Dateien mit persoenlichen Daten, dessen Einsicht ihre Rechte verletzen in einem gemeinsamen Verzeichnis abgelegt hat? Es gibt beim Betriebssystem Windows (meist) nur ein Verzeichnis, das nur von einem Benutzer allein benutzt wird: Eigene Dateien (und Unterverzeichnisse). Die meisten Computer verwenden von Werk aus (ja, selbstinstallierte Computer auch) mehrere Partitionen, wobei die meisten davon von allen Benutzern des Computers verwendet werden koennen. Nur selten werden auf den Partitionen dann Verzeichnisse namens “Papa dem sein Ordner” o.ae. angelegt. Ferner kennen die Benutzer des Computers ihre Verzeichnisse und wo sie sich befinden.
Problem Dateiformat:
Hier beziehe ich mich jetzt nur auf die Suche nach bekannten Dateiheadern. Ich ziehe unter den Begriff nun auch die Moeglichkeit Dateien anhand von protokollspezifischem Inhalt zu erkennen. (Grobes) Beispiel (das nur der Veranschaulichung dient): Eine HTML-Datei ist eine Textdatei mit einer anderen Dateiendung, was nicht heisst, dass es ein anderes Dateiformat ist. Die Datei enthaelt Bausteine der Markupsprache HTML und kann dadurch als HTML-Datei identifiziert werden. Nach dem Prinzip werden manche MIME-Typen Dateien zugeordnet. Jetzt zum Problem: Viele freie Dateiformate verwenden einen Kompressionsalgorithmus (meist ZIP o.ae.) um mehrere Dateien zu einer zusammenzufassen (Beispiel: OpenOffice swx, …). Damit eine Online-Durchsuchung nun auch zum Ziel fuehren kann, werden auch textenthaltende Dateien gesucht werden, also auch solche Dateiformate, die komprimiert vorliegen. Dadurch wird ein solches Suchmuster bei einer Suche auch andere – ungewuenschte – Dateien liefern. Somit werden die bestehenden Grundrechte des Benutzers verletzt. Dagegen gibt es kein Heilmittel.
Problem Dateiendung:
Kurz gesagt: Wer etwas verstecken will, kann der wird nichts unversucht lassen. Also kann er auch Dateiendungen faelschen, was nur durch eine Ueberpruefung des Dateiformates ueberwunden werden kann, was zum oben genannten Problem fuehrt.
Das war jetzt ein Frage/Anwort-Paar und schon sind mindestens drei Hindernisse aufgetreten, die ein solches Gesetz unmoeglich machen, wenn es andere Gesetze nicht untergraben darf. Ich zitiere weiter aus den Briefen des BMI:
(BMI) Bei einem Zugriff mittels einer RFS wird nicht die gesamte Festplatte der Zielperson kopiert, sondern es werden vielmehr zunächst in einem ersten Verfahrensschritt anhand von vorher festgelegten Suchkriterien die mutmaßlich relevanten Daten ermittelt. Erst danach werden diese selektiert und in einem weiteren Schritt gezielt angefordert.
Die oben genannten Kriterien Dateiname und Dateiendung koennen demnach angewendet werden. Wie bereits beschrieben fuehrt eine Suche nach Dateiendungen aber nicht zu einer ausreichend selektierten Menge von Dateien, die einer Untersuchung hilfreich sein koennen. Da aber – laut BMI – erst die Suche durchgefuehrt wird und dann erst gezielt Daten angefordert werden, kann das Suchkriterium Dateiformat nicht angewendet werden, denn eine Unterscheidung zwischen Dateiformatermittlung und Dateieinsicht ist bei einem Dateizugriff nicht moeglich, denn es gibt nur zwei relevante Dateizugriffsarten: Lesen und Schreiben. Hier wird gelesen, was gelesen wird kann im nachhinein nicht ausgewertet werden und faellt somit in eine Grauzone. Es wird fuer das BKA spaeter nicht moeglich sein nachzuweisen eine Suche durchgefuehrt zu haben ohne auch Dateien geoeffnet zu haben, auf denen ein Zugriff eine Verletzung der Rechte des Opfers zur Folge hat. Wir stehen also vor dem Problem, dass das BKA entweder eine riesige Menge an Dateien durchsuchen muss, wobei die Wahrscheinlichkeit etwas zu finden gering und die Moeglichkeit auf einen illegalen Zugriff hoch ist, oder dass das BKA auf die Dateien lesend zugreifen muss, was eine Unterscheidung zwischen legalem Zugriff und illegalem Zugriff unmoeglich macht. Beide Ansaetze fuehren ins Nichts. Hier ist ein weiteres Terminatorcodon fuer die Debatte.
Das BMI versucht sich ein Schlupfloch zu sichern:
Sollten trotz dieses mehrstufigen Verfahrens ausnahmsweise und zufällig Daten auf dem Rechner einer Zielperson gesichert werden, die dem Kernbereich persönlicher Lebensgestaltung zuzuordnen sind, wären diese unverzüglich zu löschen.
Gelesen ist gelesen und somit ist ein Recht verletzt worden. Eine unverzuegliche Loeschung hat nicht zur Folge, dass eine illegale Handlung rueckgaengig gemacht wird. Es ist eher eine Verschleierung einer Straftat. Soweit zum Thema Sachverstand.
Weiter gehts:
Die Durchführung einer Online-Durchsuchung soll ebenfalls lückenlos dokumentiert werdem. So werden die Einbringung der RFS auf den Zielrechner, jeder Remote-Zugriff auf den Zielrechner, alle Befehle für den Zielrechner und die Übertragung der Daten vom Zielrechner protokolliert. Damit ist die gesamte Maßnahme einer späteren gerichtlichen Überprüfung zugänglich.
Falsch. Denn weder “Einbringung der RFS auf den Zielrechner, jeder Remote-Zugriff auf den Zielrechner” noch “alle Befehle für den Zielrechner und die Ãœbertragung der Daten vom Zielrechner” geben Auskunft darueber, was der Trojaner wirklich macht. Das BMI schreibt:
Die entwickelte Software soll grundsätzlich nur einmal zum Einsatz kommen.
Und das heisst, dass nur lueckenhaft nachweisbar sein kann, was die RFS wirklich anstellt, schliesslich kann die RFS im nachhinein ausgetauscht werden, sodass weder eine MD5-Checksumme noch irgendetwas Anderes beweisen kann, dass genau die RFS eingesetzt wurde. Dadurch entsteht ein grosses Potential des Missbrauchs.
(SPD-Bundestagsfraktion) Wenn keine Softwareteile wiederbenutzt werden, wie hoch schätzen Sie den Mehraufwand für die jeweilige komplette Neuentwicklung?
(BMI) Die Kosten sind von der jeweiligen Fallkonstellation abhängig und können daher nicht näher beziffert werden.
Eine Entwicklung einer Software ohne die wiederholte verwendung von Softwareteilen – also eine Entwicklung From Scratch – ist nicht nur eine hohe finanzielle Belastung, sondern auch eine zeitlich sehr aufwendige Aktion. Ein Trojaner muesste an das Sicherheitssystem des Opfers zuvor speziell angepasst werden (NAT, bestimmte Firewall und Antivirenprogramme, …). Das heisst, dass es Wochen dauern kann, bis eine solche Software entwickelt wurde. Es ist unwahrscheinlich nach einer so langen Zeit zwischen Verdacht und Zugriff noch etwas zu finden. Die Kosten-Nutzen-Rechnung wuerde also jeden Hauptschueler skeptisch machen.
(SPD-Bundestagsfraktion) Welche Gefahren für den Kernbereich der privaten Lebensgestaltung er-öffnen sich und wie kann ein Missbrauch der Spionagesoftware technisch unterbunden werden? In welcher Weise ist der vom Bundesverfassungs-gericht geforderte Schutz des Kernbereichs privater Lebensgestaltung beim Einsatz von Spionagesoftware technisch machbar?
(BMI) Bei der hier in Rede stehenden RFS handelt es sich nicht um eine „Spionagesoftware“, sondern um ein technisches Mittel zur Datenerhebung.
Im Rahmen der Designkriterien für die RFS ist unter anderem festgelegt, dass die Software keine eigenen Verbreitungsroutinen und auch einen wirksamen Schutz gegen Missbrauch durch Dritte beinhaltet. Speziell wird sichergestellt, dass die Software nicht ohne erheblichen Aufwand dazu veranlasst werden kann, an einen anderen Server als den von den Sicherheitsbehörden benutzten Server zurückzumelden, und dass die Software weder von außen erkannt noch angesprochen werden kann.
Das Risiko einer Entdeckung kann durch technische Maßnahmen reduziert wer-den. Abgesehen davon, dass das Entdeckungsrisiko als solches als gering einzustufen ist, wäre eine anschließende Manipulation im Vergleich zu anderen Möglichkeiten der Nutzung von frei verfügbarer Schadsoftware extrem aufwen-dig. Niemand ist ernsthaft darauf angewiesen, eine RFS zu analysieren und für eigene Zwecke zu verändern, da entsprechende Produkte mit sehr großem Missbrauchspotenzial im Internet frei erhältlich sind (z.B. Optix Pro oder Back Orifice).
Als ich das las, musste ich erst lachen, dann husten, dann schreien und dann etwas kaputt machen. Der erste Satz brachte mich zum Lachen. Dann hustete ich, weil ich auf einmal dachte, dass sich da wirklich jemand erkundigt hat (Trojanerclient meldet sich beim Server zurueck) dann musste ich schreien, weil von einem “wirksamen Schutz gegen Missbrauch durch Dritte” gesprochen wird. Das behauptet Microsoft seit DOS, wobei ich jetzt mal nichts gegen Microsoft sagen moechte. Es ist ja nicht so dass Microsoft – als weltgroesster Softwarekonzern – Sicherheitsluecken absichtig einbaut oder moechte, dass die eigene Software solche enthaelt. Dennoch ist es den Entwicklern von Microsoft selbst nach Jahrzehnten nicht gelungen eine Software gaenzlich ohne Sicherheitsluecken zu entwickeln. Das geht nicht nur Microsoft so. Apple geht es genauso und den freien Entwicklern von OpenSource Systemen auch. Summiert man die Anzahl, das Wissen und die Erfahrung der Entwickler der genannten Firmen und Organisationen, dann kann man nur bezweifeln, dass ein Entwicklerteam auf kosten des Steuerzahlers eine Software entwickeln kann, die gegen die Ausnutzung durch Dritte geschuetzt ist. Das ist unglaublich laecherlich. Es heisst auch, dass das Entdeckungsrisiko als gering einzustufen sei. Jemand, der etwas zu verbergen hat, wird sich schuetzen. Da reicht eine Hardwarefirewall, da reicht ein gut konfigurierter Router, da reicht so vieles aus um einen Zugriff unmoeglich zu machen bzw. einen Zugriff zu entdecken. Kaputt machen musste ich dann etwas, weil es so lapida heisst “Niemand ist ernsthaft darauf angewiesen, eine RFS zu analysieren und für eigene Zwecke zu verändern [...]“. Niemand ist ernsthaft darauf angewiesen die Sicherheitsluecke in Windows zu analysieren und fuer eigene Zwecke auszunutzen. Dennoch gibt es immer mehr Viren (siehe heise oder andere Quellen). Der Satz endet mit “da entsprechende Produkte mit sehr großem Missbrauchspotenzial im Internet frei erhältlich sind (z.B. Optix Pro oder Back Orifice)”. Der Sachverstand, der Sachverstand! Hilfe! Optix Pro und Back Orifice sind zwar sehr bekannte Trojanertools, aber sie sind auch mindestens genauso schlecht. Sie werden durch Antivirenprogramme erkannt und sind nur fuer Scriptkiddies interessant. Jemand, der wirklich etwas ausspionieren will, der wird auch gerne auf ein Disassembly eines Bundestrojaners zugreifen.
(SPD-Bundestagsfraktion) Eine Schwachstelle in einem Computersystem, die ausgenutzt wird, lässt ein Tor offen für andere Spionageprogramme – sehen Sie eine Gefahr möglicher Schadensersatzforderungen betroffener Unternehmen?
(BMI) Mit der RFS werden keine zusätzlichen „Tore“ geöffnet. Die RFS wird so entwickelt, dass von ihr nach dem aktuellen Stand der Technik keine Schadfunktionen ausgehen. Insofern sind diesbezügliche Schadensersatzforderungen nicht zu erwarten.
Das ist nicht die Antwort, auf die Frage, die gestellt wurde. Die Behauptung, dass keine zusaetzlichen Tore geoeffnet werden ist erstmal grundsaetzlich Falsch, da zwar der Wille des BMI besteht, das zu verhindern, aber nicht die Faehigkeit. Das ist keine unsachliche Kritik, sondern viel mehr eine Tatsache, denn kein Mensch ist unfehlbar. Auch keine langzeitstudierten Softwareentwickler, die fuer den Staat arbeiten. Klar enthaelt ein Trojaner keine “Schadfunktionen”. Ein Trojaner ist schliesslich eine Spionagesoftware und kein destruktiver Virus. Schadensersatzforderungen koennen auf Grund von Sicherheitsluecken in der Spionagesoftware auftreten, wenn eine Sicherheitsluecke Wirtschaftsspionage ermoeglicht hat. Demnach sind Schadensersatzforderungen sehr wohl zu erwarten. Der Sachverstand…
Jetzt kommt mal was – fuer mich – total unverstaendliches und unsinniges:
(SPD-Bundestagsfraktion) Was ist vorgesehen, um die Software zu steuern oder abzuschalten, wenn der Port für die Kommunikation beispielsweise mittels einer Firewall gesperrt ist?
(BMI) Sollte der Kommunikationsport während eines laufenden Einsatzes geschlossen werden und keine Kommunikation mit dem Steuerungssystem möglich sein, deinstalliert sich die Software selbständig.
Also das BKA hat gerade den trojaner installiert bekommen, der Rechner des Opfers wird runtergefahren oder auch nur die Internetverbindung wird auf Grund von was auch immer unterbrochen und der Trojaner deinstalliert sich selbststaendig? Das halte ich fuer eine blanke Luege. Eine Software kann technisch unmoeglich einschaetzen, ob eine Internetverbindung wiederhergestellt wird oder nicht. Sachverstand, bitte bitte!
(SPD-Bundestagsfraktion) Wie soll sichergestellt werden, dass die Online-Durchsuchungssoftware unbemerkt bleibt, vor allem beim Einsatz von Firewalls und Systemüber-wachungssoftware? Sollen diese evtl. durch die Online- Durchsuchungs-software ausgeschaltet werden? Wenn ja, wie sehen Sie die dann erhöhte Anfälligkeit des Systems gegenüber anderen Angreifern?
(BMI) Vor einem Einsatz wird die Systemumgebung des Zielsystems erkundet, insbesondere die darauf installierten Sicherheitsvorkehrungen. Die RFS wird hinsichtlich ihrer Tauglichkeit zu deren Ãœberwindung getestet und gegebenenfalls modifiziert. Es ist nicht vorgesehen, die auf dem System befindlichen Sicherheitssysteme auszuschalten.
Erinnert mich an SciFi-Serien. “Der Kompensator wird overloaded um die spezifische Akzeptanz des Systems mit dem Hosprovider in ein sicheres Niveau zu bringen, wobei die Systemstabilitaet des Heckantriebes vorher simuliert wird, was verhindert, dass ein Crash den Hauptcomputer deaktiviert…” (frei erfunden). Das ist unsinniges Gerde. Sachverstand! Sachverstand? Wie ist das eigentlich definiert?
(SPD-Bundestagsfraktion) Wie soll verfahren werden, wenn gängige Anti-Viren-Programme oder Firewalls die Tools bzw. die Online-Durchsuchungssoftware entdeckt haben?
(BMI) Es ist nicht zu erwarten, dass die RFS entdeckt wird. Sollte dies dennoch der Fall sein, wird das verwendete Tool vom Zielsystem entfernt. In dem Fall, dass die RFS durch eine Firewall oder eine Anti-Virus-Software erkannt wird, ist der Rückschluss auf die Sicherheitsbehörden nicht gegeben.
Wenn ein AntiVir & Co. eine Malware finden, dann zeigen sie eine eindeutig definierte Bezeichnung fuer das gefundene Objekt an. Somit ist ein Rueckschluss auf die Sicherheitsbehoerden definitiv moeglich. Sachverstand, Sachverstaendiger – gehoert das wirklich zum selben Wortstamm?
To be continued…
Referenzen:
