Die Onlinedurchsuchung

Sonntag, 17. Dezember 2017 um 13:00 - futziwolf

Zusammenfassung der Informationen und der Machbarkeit der sogenannten Onlinedurchsuchung und des Bundestrojaners


Über den Bundestrojaner (offiziell als Remote Forensic Software bezeichnet) wird seit Monaten in Medien, wie auch Politik und diverse Stamm- und WG-Tischen geredet, Zeit die Fakten ein wenig zu sortieren. Dabei soll es weniger um die juristische Seite gehen, weil diese nur bedingt relevant ist. Wenn sie es wollen, wird dafür auch das Grundgesetz geändert und notfalls kommt es auch als EU-Verordnung, wenn es über das deutsche Parlament nicht durchsetzbar ist. Ähnliche Entwicklungen kennen wir schon von anderen Maßnahmen, wie zum Beispiel der Vorratsdatenspeicherung. Diese wurde auch von der Bundesregierung maßgeblich in der EU durchgedrückt, nachdem sie zu Hause gescheitert waren. Dann stellen sie sich hier hin und setzen "EU-Recht" in nationale Gesetzgebung um. Allerdings geht im Fall der Vorratsdatenspeicherung das deutsche Gesetz über die EU-Vorschrift hinaus. Ähnliches wäre im Fall der Fälle auch von der Onlinedurchsuchung zu erwarten. Die Onlinedurchsuchung ist Schäuble und Co. scheinbar so wichtig, dass sie sich zu teils hahnebüchenen Äusserungen hinreissen lassen, selbst weit über die Grenzen ihrer Kompetenz und verfassungsrechtlicher Schranken. Irgendwie kann man sie auch verstehen, stoßen sie doch zunehmend auf Verschlüsselung, gegen die das BKA machtlos ist.

Eine juristische Seite ist allerdings durchaus erwähnenswert: Der Richtervorbehalt. Es wird immer wieder von den Befürwortern der sogenannten Onlinedurchsuchung angebracht, dass ohne richterlichen Beschluss nichts gehen würde. Schaut man in den Entwurf des BKA-Gesetzes, welches der Chaos Computer Club letztens veröffentlichte ( http://www.ccc.de/updates/2007/bkaterror ), erkennt man sofort, dass der gar nicht zwingend ist, sondern das BKA schon mal ein paar Tage ohne lauschen können soll, natürlich nur bei "Gefahr in Verzug", was erfahrungsgemäß bei anderen Maßnahmen mit Richervorbehalt erstaunlich oft der Fall ist. Das sollte dann auch reichen, jeden Computer zu durchsuchen und alle Passwörter abzufischen, ohne dass man einen Richter fragen muss. Selbst ein zwingender Richtervorbehalt ist Augenwischerei. Wer schon einmal in einem Richterzimmer war, weiss dass diese Leute einerseits chronisch überarbeitet und andererseits im Bereich Computer, Internet und neue Medien völlig unbedarft sind. Eine juristische Prüfung kann unter diesen Voraussetzungen weder sachlich noch fachlich richtig erfolgen. Das wird weder vor völlig unverhältnismäßigen Überwachungsmaßnahmen ( http://www.mdr.de/fakt/5039319.html ) noch vor Missbrauch durch einzelne Polizisten schützen ( http://4topas.wordpress.com/2007/09/01/neue-affare-beim-bundesnachrichtendienst-bnd/ ).

Ziel des Bundestrojaners sind, anders als oft in den Medien berichtet, nicht nur Computer, sondern allgemein informationstechnische Anlagen. Darunter fallen neben Computern, Laptops und ähnlichem auch Mobiltelefone, PDAs, Faxgeräte, Anrufbeantworter, Telefonanlagen und theoretisch sogar solche Sachen wie Hausrufanlagen. Der Begriff wurde absichtlich schwammig gehalten, um so viel wie möglich manipulieren zu können. Ebenso ist die Zielgruppe, auf die die Onlinedurchsuchung angewendet werden soll, nicht scharf umrissen. In den Medien wird immer von Terroristen gesprochen, manchmal auch von Besitzern von Kinderpornos und sogar von Raubkopierern. Schon die Einstufung zum Terroristen ist sehr weit gefasst, da wird schon mal von Drogenabhängigen (nein, nicht die Drogenkartelle die damit Milliarden verdienen) oder Hooligans als Terroristen gesprochen oder bei Demonstranten im Allgemeinen, gerade zum G8-Gipfel. Wer Terrorist ist, bestimmt immer noch Wolfgang Schäuble. Aber rein formal ist die Onlinedurchsuchung nicht für Schwerstkriminalität reserviert, wie immer behauptet wird, sondern auch für weniger schwere Straftaten. Der Besitz von Kinderpornos mag verwerflich sein, aber strafrechtlich ist es kein sonderlich schweres Vergehen (üblicherweise mittels Strafbefehl und Geldstrafe geahndet und damit vergleichbar zu Fahren ohne Führerschein und nicht zu verwechseln mit Missbrauch oder dem Anfertigen von Kinderpornos, die zu Recht härter bestraft werden), trotzdem soll dagegen mittels Onlinedurchsuchung vorgegangen werden. Es deutet sich also jetzt schon an, dass der Einsatz nach unten hin mehr oder weniger schrankenlos sein wird.

All diese Widersprüche und Vorgehensweisen erinnern stark an den "Großen Lauschangriff", der in den 90-er Jahren ähnlich kontrovers diskutiert wurde. Inzwischen hat sich das als stumpfes Schwert herausgestellt. Die sogenannte "Organisierte Kriminalität" konnte damit nicht wirksam bekämpft werden, statt dessen wurde es oftmals gegen nur minderschwere Delikte eingesetzt, für dass es ursprünglich gar nicht vorgesehen war. Dafür wurden im Schlepptau des "Großen Lauschangriffs" andere Sachen durchgezogen, die für sich alleine wohl für große Diskussionen gesorgt hätten. So auch bei der Onlinedurchsuchung. Während sich alles auf den Bundestrojaner stürzt, werden die anderen Maßnahmen des Katalogs ignoriert. Dabei bedeutet der Gesamtkatalog einen völligen Umkehr der bisherigen Doktrin und den Umbau des BKA von der Strafverfolgung hin zu einer präventiv arbeitenden Behörde. Zwar gab es früher schon immer wieder Versuche die Trennung zwischen Polizei und Geheimdiensten aufzuweichen, aber der jetzige Entwurf des BKA-Gesetzes geht weiter als alles bisher. Es führt nicht zu einem BKA mit mehr Befugnissen, sondern zu einer anderen Behörde, die rechtsstaatlich kaum zu rechtfertigen ist. Über die Wirksamkeit lässt sich nur spekulieren, aber wie weiter unten noch gezeigt wird, bestehen zumindest bei der Onlinedurchsuchung ernsthafte Zweifel.

Die rechtliche Begutachtung soll hier nicht Gegenstand sein, aber ein grundsätzliches Problem verursacht der Bundestrojaner. Prinzipbedingt verändert jede installierte Spionagesoftware den zu untersuchenden Computer (oder Handy, PDA usw.), er manipuliert also Beweismittel. Auf die reale Welt umgesetzt ist das in etwa damit zu vergleichen, wenn Polizisten an einen Tatort kommen und erst einmal aufräumen, damit sie die Beweisstücke besser finden. Jeder halbwegs talentierte Rechtsanwalt wird der ermittelnden Behörde einen solchen manipulierten Tatort vor Gericht um die Ohren schlagen. Ähnliches ist auch bei der Schadsoftware des Innenministeriums denkbar. Wird der Trojaner vom Opfer erkannt, besteht auch die Möglichkeit, dass manipulierte Informationen untergeschoben werden. Zusätzlich öffnet der Trojaner Hintertüren auf dem System, welche von Dritten ausgenutzt werden könnten, was die Beweiskraft der spionierten Informationen nochmals senkt. Wie eine Trennung oder Zuordnung von Informationen an Computern, die von mehreren Personen benutzt werden, stattfinden soll, dazu schweigt sich das Innenministerium aus. Das alles kommt zum tragen, wenn die Spionagesoftware richtig funktioniert. Bugs, Inkompatibilitäten und Probleme mit anderer installierter Software werden diese Nebeneffekte weiter verschärfen. Aber laut BKA ist die geschriebene Software fehlerfrei, eine Aussage, die allen, die auch nur etwas Ahnung von Informatik haben, nur ein müdes Lächeln abringen wird. Es ist bezeichnend mit welcher Naivität an die Sache herangegangen wird. Schäuble musste ja schon zugeben, dass er auch nur das erzählt, was ihm seine Leute aufschreiben und er keinen blassen Schimmer von der Sache hat. Aber er ist schwer dafür, dass es umgesetzt wird...

Auf technischer Seite hat sich das BKA eine ziemlich komplexe Aufgabe gestellt. Es geht darum einen Trojaner zu bauen, was erst einmal nicht so schwierig ist, aber wenn man in`s Kleingedruckte schaut, was das Ding können muss, sieht es schon anders aus und es darf bezweifelt werden, dass sie in der Lage sind, diese Aufgabe zu bewältigen. Als erstes mal muss die Schadsoftware unbemerkt vom User laufen. Wird die Software bemerkt, und das kann schon jetzt als sicher gelten, dass sie von Profis gefunden wird, dann hat sich die heimliche Durchsuchung und alle gewonnenen Daten sind nicht mehr verwertbar, weil sie vom Opfer manipuliert sein könnten. Selbst wenn man davon ausgeht, dass es die Software vorerst nur für Windows geben wird, so trifft man selbst in dieser recht definierten Umgebung auf so viele Möglichkeiten von installierten Programmen, auch Schutzprogrammen, dass ein reibungsloser Betrieb des Trojaners unwahrscheinlich erscheint. Das BKA will dem vorbeugen, indem es für jede Durchsuchung einen neuen Trojaner schreibt und den auf die Konfiguration des Systems optimiert. Den einen Bundestrojaner wird es demnach nie geben, sondern eher so eine Art Werkzeugkasten, aus dem sich genommen wird, was gerade gebraucht wird.

Dieses Vorgehen ist aber nur begrenzt praxistauglich. Im Prinzip müsste das BKA zwei Mal in die Wohnung einbrechen, virtuell oder real, einmal um die Konfiguration des Computers herauszufinden, inklusive welche Software installiert und wie die konfiguriert ist, und ein zweites Mal um den Trojaner zu installieren. Dazwischen werden mindestens ein paar Tage vergehen, in der der Trojaner angepasst wird. Sollte in der Zwischenzeit etwas verändert worden sein, besteht die Gefahr, dass der Trojaner sich ganz anders verhält. Das wird insbesondere dann spannend, wenn das BKA Sicherheitslücken benutzen will, die beim ersten Hausbesuch noch bestanden haben, aber inzwischen gefixt wurden oder für die inzwischen Updates für die Virenscanner verbreitet wurden. Folgt man ihren bisherigen Äusserungen, ist die Ausnutzung unbekannter Sicherheitslücken ein Plan, fragt sich nur wo sie die herbekommen sollen? Dafür bräuchten sie gute Leute, genauso wie für das Schreiben einer entsprechenden Schadsoftware. Bei den Gehältern, was die zahlen, werden sie aber kaum Spitzenkräfte anwerben können. Sie müssten die Sicherheitslücken also im IT-Untergrund kaufen und damit bei mafiösen Strukturen. Eine ganz tolle Idee, zumal die Mafiosi auch nicht dumm sind und wissen, wem sie welche Sicherheitslücke verkauft haben und damit können sie Vorsorge treffen, dass sie definitiv nicht darüber angreifbar sind. Oder sie suchen im Netz gezielt nach Rechnern, die diese Lücke aufweisen und suchen dort nach dem Bundestrojaner, mit automatischen Scannern ist sowas nur eine Frage der Zeit. Was dann mit den Informationen geschieht, ob sie die User warnen oder erpressen oder den Bundestrojaner als Einfallstor für eigene Sauereien benutzen, bleibt offen.

Betrachtet man die Probleme bei den polizeiinternen Informationssystemen ( http://www.heise.de/newsticker/meldung/99164/from/rss09 ), dem digitalen Behördenfunk ( http://www.heise.de/newsticker/meldung/92503 ) und anderen IT-Projekten des Innenministeriums ( http://www.heise.de/newsticker/meldung/92543 ), die von der Komplexität her noch unter dem Bundestrojaner sind, muss man nicht viel spekulieren, wie der wohl aussehen wird. Um es kurz zu machen, von der Qualität ist eher eine mittelmäßig bis schlechte Software zu erwarten, mit der Profis keine Probleme haben werden. Schon an dieser Stelle kann man getrost sagen, wen sie damit fangen werden, sind unbedarfte Laien, aber sicher keine Terroristen. Aber wie der BKA-Chef letztens meinte, ist es denen egal, hauptsache die fangen überhaupt jemanden und die Allgemeinheit wird ihnen schon dankbar sein, dass sie wenigstens die DAU-Terroristen aus dem Verkehr gezogen haben ( http://www.heise.de/newsticker/meldung/99332 ). Vermutlich wird die Onlinedurchsuchung enden wie die Kontoüberprüfung, ein Mittel welches gegen Terroristen eingeführt wurde, inzwischen aber zum Bespitzeln von HartzIV-Empfängern genutzt wird.

Der Trojaner muss weiterhin in der Lage sein, die gewonnenen Informationen irgendwie unbemerkt zu übertragen, das auch noch beweissicher, das heisst auf dem Weg zum BKA nicht manipulierbar. Manipulationssicherheit ließe sich über Verschlüsselung oder Signatur sicherstellen, was aber wieder zu recht viel Arbeit für den Trojaner führt, die auffallen könnte. Jede Bewegung auf der Festplatte, im Arbeitsspeicher und erst recht auf der Internetleitung können den Trojaner verraten, weshalb der möglichst schlank gehalten werden muss. Dazu besteht grundsätzlich die Möglichkeit, dass nicht nur das System an sich manipuliert wird, sondern auch gezielt Daten, die später als Beweismttel dienen sollen. Aber sowas machen unsere Ermittler natürlich nie. ( http://www.fehlurteil.at/pages/fall.htm )

Nach getaner Arbeit soll sich der Trojaner selbst löschen. Damit wird dem Verteidiger eine wichtige Möglichkeit genommen, seinen Mandanten zu verteidigen, weil er nicht in der Lage ist nachvollziehen zu können, was auf dem Computer manipuliert und wie erfasst wurde oder ob es gar einen Zugriff durch Dritte gegeben hat. Zwar kann das BKA hinterher immer behaupten, sie hätten dieses oder jenes gemacht, ihm sogar irgendwelchen Programmcode zur Analyse vorlegen, aber faktisch ist die Erhebung für den Verteidiger nicht mehr nachvollziehbar. Er bekommt sozusagen immer unvollständige Ermittlungsakten von der Polizei und kann es ihnen glauben oder nicht, ob sie ihm die richtige Software ausgehändigt haben. Beweisen kann er es nicht. Es wird ihm die Möglichkeit genommen selbst eine forensische Analyse des Systems zu beauftragen. Es muss nicht einmal eine böswillige Manipulation seitens der Behörden sein, es könnten auch Dritte oder einfach nur menschliche oder technische Fehler für ein bestimmtes Ergebnis verantwortlich sein, was aber im Nachhinein nicht mehr nachvollziehbar ist. Übrigens dürfte es spannend werden, wenn sich der erste Verteidiger Einsicht in den Programmcode der Schadsoftware des BKA eingeklagt hat, damit wäre dieses Stück Code für zukünftige Einsätze verbrannt und müsste neu entwickelt werden.

Ähnlich seltsam stellt sich das BKA auch die eigentliche Arbeitsweise des Trojaners vor. Dieser soll nämlich mit einer Stichwortliste nach verdächtigen Begriffen suchen und sowohl Dateiinhalte, als auch Datei- und Verzeichnisnamen berücksichtigen. Dadurch sollen unter anderen auch die besonders geschützen Inhalte, wie zum Beispiel Tagebücher oder persönliche Emails, vor Durchsuchung geschützt werden. Das ist erst mal von grundsätzlicher Seite her Blödsinn, wie diese Beispiele zeigen ( http://blog.kairaven.de/archives/1240-Kernbereichsschutz-und-Online-Durchsuchung.html ). Auf diese Weise ist keine inhaltliche Trennung zwischen terroristischer und privater Tätigkeit möglich. Überhaupt ist eine Stichwortsuche wenig sinnvoll, zeigt aber wieder die Naivität der Beamten. Wer glaubt mit einer Stichwortliste tausende Dateien der verschiedensten Formate mit möglicherweise hunderten Gigabyte Datenmenge unbemerkt zu durchsuchen, hat Computer einfach nicht verstanden. Bei einfachen Textdateien mag das noch funktionieren, selbst wenn man Sprach- und Formatierungseinstellungen ausser Acht lässt. Aber selbst bei Dateien für Microsoft Office könnte das schwierig sein, weil das Dokumentenformat nicht vollständig offengelegt ist und so nicht klar ist, wie der zu durchsuchende Text eigentlich aussieht und ob man nicht statt des eigentlichen Textes nur die gelöschten Teile, die immer noch in der History des Dokuments vorhanden sind. Und was ist mit passwortgeschützen Dokumenten?

Wie allerdings Bilder, Audiodateien oder Filme auf diesem Wege durchsucht werden sollen, bleibt ein Rätsel. Alle großen Suchmaschinen forschen seit Jahren mit tausenden Spitzenprogrammierern an diesem Problem, ohne ein wirklich brauchbares Ergebnis. Selbst wenn die Dateinamen Aufschluss geben sollten, bleibt immer noch das Problem diese Datenmengen unbemerkt zu übertragen um sie visuell auswerten zu können. Und welcher Terrorist benennt seine Film- und Bildersammlng schon nach seinen Anschlagszielen? Dafür heissen jetzt alle Dateien in meiner Filmesammlung Dschihad*. Ich wünsche dem BKA-Trojaner viel Spass mit mehreren hundert Filmen und insgesamt etwa 700GB Datenmenge. Bei geschätzen 220kb/sec Upload braucht der Bundestrojaner dafür etwa 37 Tage, bei voller Auslastung meiner Internetleitung, die übrigens viel mehr übertragen kann als übliche Heim-DSL-Anschlüsse. Mit einem üblichen Anschluss vervielfacht sich diese Zeit etwa fünf- bis zehnfach und das, wie gesagt, bei vollständiger Auslastung der Bandbreite. Um nicht aufzufallen darf die Schadsoftware nur einen Bruchteil der Leitung belegen und dann bleibt immer noch zu hoffen, dass es keine Schutzsoftware merkt oder dem User einfach das Blinken der Netzwerkleuchte auffällt.

Interessanterweise kommt selbst eine von den Befürwortern der Onlinedurchsuchung in Auftrag gegebenen Studie zu dem Schluss, dass die Onlinedurchsuchung so nicht wirklich sinnvoll ist und empfiehlt alternative Vorgehensweisen ( http://www.heise.de/newsticker/meldung/96914 ), insbesondere das Belauschen der sogenannten kompromittierenden Abstrahlung (Tempest, http://de.wikipedia.org/wiki/Van-Eck-Phreaking ). Jedes Kabel und jeder Monitor senden Signale aus, die sich mit passender Gerätschaft auswerten lassen. Am bekanntesten sind die Abstrahlungen von Röhrenmonitoren, die lassen sich selbst mit relativ einfachen Mitteln und über große Entfernung auffangen und sichtbar machen. Aber auch andere Geräte wie TFT-Displays, Drucker, Tastaturen und ähnliches strahlen Tempest ab und können somit zumindest theoretisch abgehört werden. Wie praktikabel das ist, ist mir nicht bekannt, aber aus der Empfehlung der Studie schließe ich, dass es wohl möglich sein muss solche Geräte abzuhören, andernfalls würde es keinen Sinn machen einen solchen Rat auszusprechen, wo inzwischen Notebooks und TFT-Displays zu Hause Standard geworden sind. Übrigens müssen die Störabstrahlungen nicht zwingend "über die Luft" übertragen werden, sie können auch über Telefon- oder Stromleitungen ausgekoppelt werden.


Für den Endanwender stellt sich natürlich die Frage, wie man sich dagegen schützen kann, von Schäubles Schadsoftware heimgesucht zu werden. Neben den üblichen Sicherheitsmaßnahmen am Computer, die man grundsätzlich einhalten sollte, schon um gefahrlos das Internet benutzen zu können, muss man die verschiedenen Infektionswege kennen. Am einfachsten dürfte das bei einem Windows-System mit Standardinstallation und -konfiguration gehen. Da der Bundestrojaner eine speziell angepasste Software ist, dürfte sie nicht in den Datenbanken der Virenscanner und Personal Firewalls auftauchen und bei nicht ganz so dummen Vorgehen wird auch die Heuristik ( http://de.wikipedia.org/wiki/Heuristik ) nichts erkennen. In der öffentlichen Diskussion wurde seitens des Innenministeriums schon verkündet, dass die planen, den Trojaner in gefälschte Behördenmails einzubetten. Bei den genannten Windows-Systemen ist das ein durchaus erfolgversprechender Weg. Aber schon wer hier einen anderen Emailclient als Outlook benutzt und dieser halbwegs sinnvoll konfiguriert ist, dürfte dem BKA einige Probleme bereiten. Natürlich lassen sich Trojaner auch remote ( http://de.wikipedia.org/wiki/Remote ) installieren, sei es über bekannte Sicherheitslücken im Betriebssystem, installierte Software, die eine Verbindung zum Internet aufbaut (zum Beispiel Filesharingprogramme) oder Fernwartungssoftware wie Remote Desktop oder VNC. Aber dazu ist sowohl die aktuelle IP-Adresse des Ziels als auch dessen Systemkonfiguration wichtig, was für eine Behörde wie das BKA nicht schwer sein sollte herauszufinden. Aber damit so ein Angriff unbemerkt bleibt, braucht es Experten, die dem BKA, wenn überhaupt, nur begrenzt zur Verfügung stehen.

Einfacher dürfte es für das BKA sein, das Opfer selbst die Schadsoftware herunterladen zu lassen, sei es über manipulierte Webseiten, indem sein Internetverkehr umgeleitet und die heruntergeladenen Dateien durch mit dem Trojaner infizierte ausgetauscht werden oder wie schon weiter oben beschrieben als Email-Anhang. Aber da besteht das Problem, dass das Opfer die Ratschläge des BSI ( http://www.bsi.de/fachthem/sinet/index.htm ) beherzigen könnte und mit einem nichtprivilegierten Account auf seinem Computer arbeitet und es für die Installation des Trojaners einfach nicht genügend Benutzerrechte gibt. Bei der einzigen bisher bekannten Onlinedurchsuchung, die natürlich vergeigt wurde, haben es die Behörden so versucht, dass sie dem Opfer eine CD mit der angeblichen Zugangssoftware seines Internetproviders in den Briefkasten gesteckt haben, in der Hoffnung er würde sie installieren. Hat er aber nicht. Trotzdem ist der Weg des Social Hackings nicht zu unterschätzen, kaum einer kann dem gefundenen USB-Stick widerstehen oder schaut nach, was sich auf der CD im Briefkasten oder einer Zeitung (die gegen die original beigelegte CD ausgetauscht worden sein kann) befindet. Oder man bekommt von einem Freund per ICQ oder MSN einen Tip, wo man sich etwas ganz Tolles herunterladen kann. Das Dumme ist, solche Systeme wie ICQ usw sind weder abhörsicher noch manipulationssicher und eine Nachricht kann eingeschleust werden, so dass sie aussieht wie von jemanden anderes. Hier helfen nur Signatur- und Verschlüsselungssysteme wie OTR ( http://de.wikipedia.org/wiki/Off-the-Record_Messaging ) weiter. Selbst GPG ist da kein Schutz, weil nur verschlüsselt, nicht aber zwingend mit dem Key des anderen signiert wird. Jeder mit Zugriff auf den Public Key kann damit Nachrichten verschlüsseln.

Der Umweg, den Trojaner über Updates für Betriebssystem oder Anwendungsprogramme einzuschleusen, ist wesentlich eleganter, zumal diese immer mit den entsprechenden Rechten heruntergeladen und installiert werden, in der Regel sogar automatisch. Aber auch das ist nicht ganz so einfach, weil inzwischen alle halbwegs intelligenten Betriebssysteme ihre Updatepakete signieren, so dass ein einfacher Austausch sofort bemerkt werden würde. Selbst Windows-Updates sind entsprechend signiert, wobei über die Qualität dieser Signatur wenig bekannt ist. Für Schäubles Leute wäre es demnach zwingend, wollten sie auf dem Weg ihren Trojaner verbreiten, sich mit den Herstellern der Software zusammenzutun. Was ich mir bei Microsoft, Apple und diversen anderen kommerziellen Anbietern noch gut vorstellen kann, dass es zu so einer Kooperation kommt, bei Open Source Software, insbesondere bei Community-gepflegten Projekten wie Debian oder FreeBSD, würde schon eine solche Anfrage sofort öffentlich gemacht werden. Andere Anbieter haben bereits jetzt angekündigt, dass sie auf keinen Fall eine solche Kooperation eingehen werden, andere, insbesondere die Hersteller von Sicherheitssoftware, die Schäuble erst kürzlich mit seiner Neuformulierung des §202 ( http://www.heise.de/newsticker/meldung/90250 ) mächtig verärgert hat, haben sogar angekündigt den Bundestrojaner aktiv zu bekämpfen. So lange es keine gesetzliche Pflicht gibt, mit dem Innenministerium zu kooperieren, kann das sehr lustig werden. Sollte die eingeführt werden, dann läd man sich seine Linux-Distribution und andere Software einfach im Ausland herunter und checkt die Signaturen, um Manipulationen auszuschließen.

Im Prinzip bleibt Schäubles Haufen nur ein Weg, wollen sie ihre Schadsoftware sicher verteilen: Sie müssen in die Wohnung des Opfers einbrechen und das gleich doppelt. Zuerst müssen sie die Konfiguration des Computers herausbekommen, dann nach Hause gehen und ihre Schadsoftware entsprechend anpassen, um schließlich später wiederzukommen um sie zu installieren. Neben einem physischen Einbruchsschutz (gute Schlösser, die sich nicht so einfach spurlos picken lassen ( http://www.ssdev.org/SSDeV/start.php )), dürften WG`s oder Wohnprojekte einen guten Schutz darstellen, wenn immer jemand zu Hause ist. Auch eine Alarmanlage ist nett, selbst billige Angebote bei Conrad Elektronik oder aus dem Baumarkt sind bei entsprechender Installation nur schwer zu umgehen. Grundsätzlich gilt, je mehr Hürden es gibt, um so kleiner wird das Zeitfenster, welches ausgenutzt werden kann. Kleine Fallen, Siegel oder ähnliche Gemeinheiten runden den Spaß entsprechend ab. Auch eine Webcam am eigenen PC, die die Manipulation aufzeichnet, erfreut die Beamten ( http://www.go1984.de/ ). Aber selbst einfachste Maßnahmen verhindern, dass ein PC unbemerkt manipuliert wird, zum Beispiel indem er nicht heruntergefahren wird, sondern dauernd läuft oder auch im Schlafmodus (stromsparen!) ist, und der Bildschirmschoner mit Passwortschutz eingestellt ist. Um den Rechner zu manipulieren, muss er ausgeschaltet werden, was sofort bemerkt werden würde, wenn der Rechner neu gestartet wurde, es sei denn, es gibt Sicherheitslücken, die im laufenden Betrieb ausnutzbar sind, aber da kommen die Beamten sicher nicht in die Wohnung, sondern nehmen einen der oben beschriebenen Wege.

Ein weiteren Weg, der aber nur schwer zu bemerken ist, stellt manipulierte Hardware dar. Statt die Software auf dem Rechner zu manipulieren, könnten einzelne Komponenten getauscht oder zusätzlich eingebaut werden. Am einfachten dürften solche Sachen wie Keyghost sein ( http://www.keyghost.com/ ), welche es in den verschiedensten Bauformen gibt und die alle Tastatureingaben mitprotokollieren. Diese Geräte sind zum Teil sehr billig (ab etwa 25 Euro) zu bekommen und betriebssystemunabhängig, funktionieren also auch bei der Benutzung von Live-CD wie Knoppix und sie zeichnen Bootpassworte auf. Eine Versiegelung des Computergehäuses und der Tastatur schützen auch hier recht zuverlässig, vorausgesetzt man benutzt keine Siegel, die sich einfach fälschen lassen. Natürlich müssen die auch regelmäßig kontrolliert werden. Zum Beispiel ist ein Daumenabdruck in Siegelwachs nur sehr schwer zu fälschen, selbst wenn die Fingerabdrücke beim BKA vorliegen sollten, schon gar nicht in der Kürze der Zeit, die die verbeamteten Einbrecher haben um den Rechner zu manipulieren. Ausserdem hat man den Daumenabdruck immer dabei, verlieren geht nicht so einfach. Am besten man tropft das Wachs über die Gehäuseschrauben (eine pro Deckel reicht schon) und dann drückt man den Daumen drauf. Um das Gehäuse zu öffnen muss das Siegel entfernt werden. Klar geht das Gehäuse auch mit der Flex auf, aber das sollte dann ein eindeutiges Merkmal sein, dass da wer rumgespielt hat.

Subtiler sind die Manipulationen via Bluetooth, Funktastatur und ähnlicher Schnittstellen. Hier gilt, dass grundsätzlich abgeschaltet werden sollte, was man nicht braucht, sowohl am Handy als auch am Computer zu Hause. Das spart nicht nur Strom, was insbesondere bei Mobilgeräten vorteilhaft ist, es entledigt einen schwer zu beherrschenden Angriffsvektor, vor allen bei Handys. Funktastaturen scheiden komplett aus, nicht nur, dass sie in der Regel völlig unzureichend gegen Abhören geschützt sind, es könnten über Funk sogar Befehle an den Computer geschickt werden, die dann die Installation eines Trojaners veranlassen. Wer nur etwas Sinn für Privatsphäre am Rechner hat, sollte einen großen Bogen um Funktastaturen aller Art machen, nicht nur wegen Behördenspionage, selbst ein neugieriger Nachbar kann mit einem baugleichen Gerät oftmals ohne große Probleme einfach die Tastatureingaben mitlesen, mit etwas technischen Know How kann eine bessere Antenne angebracht werden, dann ist die Übertragung über größere Entfernung kein wirkliches Problem. Selbst wenn die Funktastatur eine Verschlüsselung anbieten sollte, weiss man nicht, wie gut diese ist, ob es Implementationsfehler oder gar absichtliche Hintertüren seitens des Herstellers gibt.

Gegen die kompromittierende Abstrahlung gibt es im Prinzip zwei Gegenmaßnahmen, die Abstrahlung durch Abschirmung soweit zu dämpfen, dass eine sinnvolle Auswertung nicht mehr möglich ist oder die Abstrahlung mit chaotischem Rauschen zu überdecken, was einerseits so stark ist, dass es die Tempest-Abstrahlung überdeckt und andererseits so unvorhersagbar, dass es nicht herausgefiltert werden kann. Es gibt Geräte, die dieses leisten, aber die sind sehr teuer und müssen ebenfalls vor Manipulation geschützt werden. Dazu kommt, dass der Betrieb von Störsendern rechtlich schwierig ist und so allein der Betrieb eines solchen Gerätes als Repressionsgrund herhalten könnte. Abschirmung ist auch nicht ganz ohne, speziell abgeschirmte Computer- und Monitorgehäuse sind sehr teuer und mitunter auch nur begrenzt wirksam, zum Beispiel wenn man seine Hardware im Rechner aufrüstet kann das die Schutzwirkung schon vermindern. Glücklicherweise erfordert die Tempest-Überwachung einen hohen Aufwand an Personal und Gerätschaften, so dass es eine recht hohe Hürde ist, es einzusetzen. Auf der anderen Seite haben die Ermittlungen zu Andrej H. in Berlin und anderswo gezeigt, dass selbst in solchen Bagatellfällen und insgesamt dürftiger Beweis- oder Indizienlage das volle Programm seitens des BKA aufgefahren wird. Bei dem durchgeknallten Innenminister und der allgemeinen Stimmung ist nicht zu erwarten, dass sich das in naher Zukunft ändert. Im Gegenteil, die Praxis zeigt, dass alleine politische Betätigung reicht um sich verdächtig zu machen und mit dem vollen Umfang an Überwachungsmaßnahmen konfrontiert zu werden. Der beste Schutz ist immer noch das nötige Wissen sich selbst zu schützen und eine angemessene Portion Paranoia.



* Ich war erstaunt wie viele Berichte ich über manipulierte Beweismittel und Falschaussagen von Polizeibeamten im Netz gefunden habe. Das ist eine Sache, womit man durchaus mal einen Abend Realitätsabgleich bei Google verbringen kann...


Autor : Alexander Heidenreich
Copyright: Dieser Text wurde unter der Creative-Commons-Lizenz lizensiert: Einige Rechte sind vorbehalten http://creativecommons.org/licenses/by-nc-sa/2.0/de/

Bildnachweis: http://www.jurblog.de/2007/04/28/hab-ihn-erwischt-den-bundestrojaner/

Alle Rechte liegen beim Verfasser

NIXSPAM.alex@blacksec.org http://www.blacksec.org

Quelle: http://de.indymedia.org/2007/11/200830.shtml

Trackbacks

  1. Onlinedurchsuchung

    Einen sehr guten Artikel zum Thema Onlinedurchsuchen (Machbarkeit und wirksame Schutzmassnahmen) schrieb Alexander Heidenreich. Neu in der Rubrik schoene neue welt .

Kommentare

Ansicht der Kommentare: (Linear | Verschachtelt)

    Noch keine Kommentare


Kommentar schreiben


Umschließende Sterne heben ein Wort hervor (*wort*), per _wort_ kann ein Wort unterstrichen werden.
Standard-Text Smilies wie :-) und ;-) werden zu Bildern konvertiert.

Um maschinelle und automatische Übertragung von Spamkommentaren zu verhindern, bitte die Zeichenfolge im dargestellten Bild in der Eingabemaske eintragen. Nur wenn die Zeichenfolge richtig eingegeben wurde, kann der Kommentar angenommen werden. Bitte beachten Sie, dass Ihr Browser Cookies unterstützen muss, um dieses Verfahren anzuwenden.
CAPTCHA

BBCode-Formatierung erlaubt