Tumblelog by Soup.io
Newer posts are loading.
You are at the newest post.
Click here to check if anything new just came in.

August 10 2012

Angezapft: Warum Staatstrojaner mit Gesetzen nicht kontrollierbar und damit grundsätzlich abzulehnen sind

CC BY-SA 2.0 mellowboxDer staatliche Einsatz von Trojaner-Software lässt sich schon per Definition weder technisch noch gesetzlich beschränken. Das ist das Ergebnis einer Diplomarbeit an der Berliner Humbold-Universität, die netzpolitik.org an dieser Stelle exklusiv veröffentlicht. Die Konsequenz kann nur lauten, dass der Staat keine Schadsoftware einsetzen darf.

Seit mindestens sieben Jahren überwachen deutsche Staatsorgane fremde Computersysteme mit Staatstrojanern. Etwa 35 mal pro Jahr setzen Behörden von Bund und Ländern solche Überwachungs-Software ein, mehr als hundert Mal in drei Jahren. Zahlen aller Geheimdienste sind nicht bekannt, aber schon Anfang 2009 hatte allein der Bundesnachrichtendienst über 2.500 Rechner infiltriert. Die gesellschaftliche Debatte hinkt dabei der technischen Entwicklung hinterher.

In seiner Diplomarbeit unterstreicht der Student Rainer Rehak, wie groß dieser Graben ist: Angezapft – Technische Möglichkeiten einer heimlichen Online-Durchsuchung und der Versuch ihrer rechtlichen Bändigung. Darin wird deutlich, dass sich staatliche Trojaner allein durch ihre Anforderungen schon technisch nicht hinreichend einschränken lassen, erst recht nicht durch Gesetze. Code ist eben Gesetz.

Die Qualität der Diplomarbeit überzeugte auch seine Gutachter am Informatik-Institut der Berliner Humbold-Universität: sie bekam die Note 1,0. Zunächst arbeitet Rehak anhand öffentlicher Aussagen der verantwortlichen Stellen heraus, welche Funktionen eine heimliche Online-Durchsuchung haben muss. Aus diesen konzeptionellen Anforderungen leitet er technische Eigenschaften einer solchen Software ab.

Probleme schon im Konzept

Ein Staatstrojaner muss beispielsweise zwangsläufig System- und Schreibrechte auf einem Zielsystem haben. Nur so kann sich die Software möglichst gut verstecken und Abwehrprogramme umgehen. Auch zum effektiven und heimlichen Abgreifen der gewünschten Daten sind Systemrechte notwendig. Zudem muss sich ein Staatstrojaner updaten lassen, um sich an Änderungen des Zielsystems anzupassen oder neue Funktionalitäten nachzuladen. Doch sobald eine Software einmal solche umfangreichen Rechte hat, kann eine Beschränkung der Funktionalität nicht mehr sichergestellt oder belegt werden.

Die mit einem Trojaner abgeschnorchelten Daten haben zudem wenig Aussagekraft. Da die Software auf einem fremden System operiert, können die Überwacher nicht erkennen, ob die übermittelten Daten echt oder manipuliert sind. Der CCC hat diese Möglichkeit bereits beim DigiTask-Trojaner demonstriert, in dem falsche Screenshots zurück geschickt wurden. Das war nicht nur ein Problem der konkreten Software, sondern ist grundsätzlich bei jedem Trojaner möglich. Die so erlangten Daten haben daher keine Beweiskraft.

In Deutschland wird der Einsatz staatlicher Trojaner vor allem mit der so genannten Quellen-Telekommunikationsüberwachung (TKÜ) gerechtfertigt. Im Gegensatz zu einer Online-Durchsuchung soll dabei nur Telekommunikation abgehört werden. Nicht nur in der Praxis funktioniert diese Unterscheidung zwischen Telekommunikations- und anderen Daten nicht, wie der Bericht des bayrischen Datenschutzbeauftragten zeigt. Die Trennung der Datentypen ist technisch schlicht nicht hinreichend lösbar. Daher muss auch bei einer Quellen-TKÜ stets die maximale Eingriffshürde angewendet werden.

Auch der vom Bundesverfassungsgericht definierte Kernbereich privater Lebensgestaltung ist durch Staatstrojaner zwangsläufig betroffen. Durch den Einzug informationstechnische Systeme in alle Bereiche des menschlichen Lebens werden auch die Teile der Intim- und Privatsphäre auf solchen Systemen abgebildet, die gegen staatliche Eingriffe absolut geschützt sind. Eine Software kann diesen Kernbereich mit technischen Mitteln nicht erkennen. Eine Einordnung von Daten in den Kernbereich kann nur von Menschen in den Behörden geleistet werden, dann ist der Eingriff aber schon passiert. Somit verletzt jeder Staatstrojaner den Kernbereich privater Lebensgestaltung.

Programmierter Verfassungsbruch

All diese Mängel ergeben sich direkt aus dem Konzept eines Staatstrojaners und betreffen daher grundsätzlich jede Implementation. Hersteller, Funktionen und sogar die Verfügbarkeit von Quellcode sind irrelevant. Das Bundesverfassungsgericht hat in seinem Urteil aus dem Jahr 2008 viele dieser Probleme erkannt. Trotzdem hat es den Einsatz, wenn auch unter engen Grenzen, erlaubt. Dabei zeigt diese Arbeit, dass die grundsätzlichen Probleme nicht durch Recht und Gesetz zu bändigen sind. Fehler und Missbrauch sind hier noch gar nicht eingerechnet.

Daher ist jede Form von Staatstrojanern abzulehnen. Umso schlimmer ist es, dass der Einsatz nicht nur weiter geht, sondern dabei noch nicht einmal das bestehende, unzureichende Recht eingehalten wird. Das hat Frank Rieger in der FAS treffend kommentiert: Rechtsbruch wird Tradition.

flattr this!

October 16 2011

0zapftis: Der Staatstrojaner zwischen Grauzone und Nachladefunktion

In der Union gibt es wohl unterschiedliche Interpretationen, ob die Staatstrojaner in einer rechtlichen Grauzone eingesetzt worden sind. Die These mit der rechtlichen Grauzone vertritt momentan Hans-Peter Uhl:

“Wir haben die Ministerin immer wieder darauf hingewiesen, dass die Ermittler beim Einsatz von Spionagesoftware in Strafverfahren in einer gesetzlichen Grauzone arbeiten.” Geschehen sei aber “absolut nichts”, sagte Uhl.

Währenddessen sagt unser Innenminister Friedrich:

Für die Quellen-TKÜ gibt es eine rechtliche Grundlage.

Weiter erklärt Friedrich in einem Interview mit der FAZ:

Der CCC hat nichts aufgeklärt, sondern dem Chaos in seinem Namen alle Ehre gemacht. Da sind viele Missverständnisse entstanden. Die Landesbehörden haben völlig zu Recht darauf hingewiesen, dass sie die Grenzen dessen, was rechtlich zulässig ist, nicht überschritten haben.

Also bis auf die bayrischen Sicherheitsbehörden, was ja vor Gericht bewiesen wurde, auch wenn die Landesregierung das gerade wieder etwas leugnet und mal schauen, was jetzt noch so rauskommt… Übrigens will Friedrich von den illegal eingesetzten und gerichtlich dokumentierten Staatstrojanern in Bayern ebenfalls nichts wissen, sondern erklärt:

Es stand die Behauptung im Raum, die Länder hätten eine Software eingesetzt, die mehr kann, als sie durfte. Das darf natürlich nicht sein. Es gibt jedoch nach meinem jetzigen Kenntnisstand keinerlei Hinweise, dass gegen Recht und Gesetz verstoßen worden ist.

Die Lösung ist übrigens laut Friedrich:

Das Landgericht Landshut hat zu den Möglichkeiten der Quellen-Telekommunikationsüberwachung eine andere Rechtsauffassung vertreten als die bayerische Staatsregierung.

Aber kann mal passieren.

Aktueller Stand ist derzeit übrigens, dass deutsche Behörden offenbar in hundert Fällen Computer mit Hilfe eines Staatstrojaners ausspioniert haben. Wieviele Einsätze davon legal oder illegal waren, wird vielleicht noch aufgeklärt.

Der aktuelle Print-Spiegel meldet heute, dass DigiTask Behörden den Sourcecode zur Kontrolle vorab gezeigt habe. Wenn das so war, dann klingt das wie Verfassungsbruch mit Vorsatz.

Und dann war da noch der Vorwurf mit der Nachladefunktion des entdeckten Staatstrojaners. Dafür gibt es jetzt eine Erklärung von Innenminister Friedrich:

“Wir brauchen diese Nachladefunktion, um uns den normalen Updates auf dem Zielcomputer anpassen zu können.”

Man mag sich gar nicht ausmalen, wieviele Steuergelder in die Finanzierung von Krisenkommunikation diese Woche geflossen ist, um sich so eine Ausrede zusammen zu basteln, warum Erkenntnisse des Ermittlungsverfahrens durch den Staatstrojaner-Einsatz damit laut Vorgaben des Bundesverfassungsgericht nicht mehr gerichtsfest sind. Diese Woche könnte noch spannend werden, da Sitzungswoche im Bundestag ist und die Debatte dort weiter geht.

flattr this!

October 13 2011

Die Trojaner-Attacke – Wer schützt uns vor dem Staat?

Heute Abend gibt es bei Phoenix ab 22:15 die Phoenix-Runde featuring Innenminister Uwe Schünemann (CDU/Niedersachen) und Andreas Bogk (CCC). Das wird sicher lustig, denn es geht um “Die Trojaner-Attacke – Wer schützt uns vor dem Staat?” Livestream gibts bei phoenix.de.

Schlagworte wie „großer Lauschangriff“ oder „gläserne Bürger“ sind in der Medienlandschaft fest etabliert. Mit dem so genannten Bundestrojaner geht die Diskussion um Ziele und Grenzen staatlicher Überwachung nun in eine neue Runde. Mit Hilfe eines Spähprogramms machten bayerische Polizeibeamte rund 60.000 Photos vom Computerbildschirm eines verdächtigten Drogenkriminellen. Unklar ist, bei welchen anderen Behörden und in welchem Ausmaß solche Programme noch zum Einsatz kamen. Haben wir schon längst eine neue Stufe der Überwachung erreicht, ohne uns dessen bewusst gewesen zu sein? Wie weit darf der Staat im Namen von Verbrechensbekämpfung gehen? Die Trojaner-Attacke – Wer schützt uns vor dem Staat?

Alexander Kähler diskutiert u.a . mit:

- Andreas Bogk (Chaos Computer Club)
- Bernhard Witthaut (Bundesvorsitzender der GdP)
- Gudula Geuther (Deutschlandradio)
- Uwe Schünemann, CDU (Innenminister Niedersachsen)

flattr this!

Joachim Herrmann erklärt den Trojanereinsatz

Die Grünen haben Monty Python remixt, um dem bayrischen Innenminister das mit dem Staatstrojaner erklären zu lassen:

flattr this!

October 12 2011

0zapftis: Podcasts rund um den Staatstrojaner

In Alternativlos-Podcast Folge 19 sprechen Frank Rieger, Felix von Leitner und Constanze Kurz über den Staatstrojaner und plaudern etwas aus dem Nähkästchen. Hier ist die MP3.

Zu Besuch beim Küchenradio war gestern der Richter und Verfassungsrechtler Ulf Buermeyer, den wir vorgestern interviewt haben. Hier ist die MP3.

Thomas Wiegold hat den Mitschnitt der heutigen Bundespressekonferenz rund um den Staatstrojaner online gestellt. Es sprachen: Für das Innenministerium Jens Teschke, für das Finanzministerium Martin Kotthaus. Außerdem der stellvertretende Regierungssprecher Georg Streiter und für das Bundesjustizministerium Thorsten Bauer. Die MP3 gibt es hier.

Trojaner Bundespressekonferenz 12oct2011 by Wiegold

flattr this!

October 11 2011

Sammelwut in der Parallelwelt, oder: die digitale Machtfrage

“hr2 – Der Tag” hat heute eine Stunde lang über “Sammelwut in der Parallelwelt, oder: die digitale Machtfrage” berichtet. Das ist hörenswert und hier ist die MP3.

Wo wären wir ohne den Chaos Computer Club? Wahrscheinlich längst versunken im Chaos der Datensammler, ausgeforscht und aufgesogen von der digitalen Parallelwelt. Sind wir auch mit dem Chaos Computer Club, sagen die Pessimisten. Die recht haben könnten – der Unterschied ist nur, dass wir Dank der akribischen Arbeit der vereinigten Hacker immer wieder davon erfahren. Davon, wie weit der Staat ist beim Brechen seiner eigenen Gesetze und Beugen der Verfassung – und wie weit die Industrie ist beim Verfertigen eigener digitaler Marktgesetze. Das hilft uns beim Innehalten und Stellen der wichtigsten Frage zur ungebremsten Datensammelwut: Cui bono? Wem nützt das? Und was wollen die Sammler mit unseren Daten?

flattr this!

#0zapftis: Auch Polizei Rheinland-Pfalz arbeitet mit Staatstrojaner

StaatstrojanerNach anderen Ländern gibt auch Rheinland-Pfalz zu, bereits in einem Fall den Einsatz eines Staatstrojaners “technisch vorbereitet” zu haben. Der Stellungnahme des Innenministeriums vom 10. Oktober nach sei bislang jedoch keine heimliche Online-Durchsuchung oder Quellen-TKÜ damit vorgenommen worden. Eine “Ausleitung” von Daten habe nicht stattgefunden. Es sei eine Software “zum Einsatz” gekommen, die nicht aus Rheinland-Pfalz stamme:

Die Polizei Rheinland-Pfalz hat bislang in einem einzigen strafrechtlichen Ermittlungsverfahren im Jahr 2010 aufgrund eines richterlichen Beschlusses technische Vorbereitungen zur Durchführung einer Quellen- Telekommunikationsüberwachung (Quellen-TKÜ) getroffen. Hierbei kam Software zum Einsatz, die von einer Polizeibehörde außerhalb von Rheinland-Pfalz im Wege der Amtshilfe zur Verfügung gestellt wurde; diese Software hat den Vorgaben des richterlichen Beschlusses entsprochen. Zu einer Ausleitung von Daten kam es dabei nicht. Die Landespolizei selbst hat bisher weder eine präventiv-polizeiliche Quellen-TKÜ noch eine Online-Durchsuchung durchgeführt.

Für mich liest sich das “kam zum Einsatz” und der Verweis, dass bislang keine Daten “ausgeleitet” worden seien dabei bisher so, dass der Trojaner wohl nicht nur auf den konkreten Fall angepasst wurde, sondern auch bereits auf den betroffenen Rechner eingeschleust wurde, dann jedoch keine weiteren Daten ausspioniert oder Kommunikationsvorgänge mehr abgehört wurden. Zu den Gründen, warum die Überwachung hier offenbar abgebrochen wurde oder abbrach, schweigt sich das Ministerium bislang aus.

Aus dem Schreiben geht auch hervor, dass beim LKA ein eigenes “TKÜ-Kompetenzzentrum” eingerichtet wurde, das im Falle eines Trojaner-Einsatzes eine dem jeweiligen richterlichen Beschluss entsprechende Software konfigurieren soll (und vermutlich auch von dort aus einsetzen soll). In Rheinland-Pfalz hatten SPD, CDU und FDP erst in diesem Jahr die heimliche Online-Durchsuchung im Rahmen eines großen Überwachungspaketes im  Polizei- und Ordnungsbehördengesetz eingeführt.

(Bild: CC BY-NC-SA 2.0 by @leralle, thx)

flattr this!

October 10 2011

Netzpolitik-Interview: Ulf Buermeyer über den Staatstrojaner

Ich hab dem Berliner Richter und Verfassungsrechtler Ulf Buermeyer einige Fragen rund um den Staatstrojaner und den rechtlichen Grundlagen gestellt, die dieser freundlicherweise beantwortet hat. Ulf Buermeyer ist u.a. Mitverfasser des Fachaufsatzes “Zur Rechtswidrigkeit der Quellen-Telekommunikationsüberwachung auf Grundlage des § 100a StPO“.

netzpolitik.org: Was ist der Unterschied zwischen einer Onlinedurchsuchung und einer Quellen-TKÜ?

Ulf Buermeyer: Der technische Unterschied ist relativ gering – aus rechtlicher Sicht muss man aber beides auseinander halten:

In beiden Fällen wird ein Trojaner eingespielt, der im Prinzip die volle Kontrolle über den Rechner erlaubt. Digital hat der Staat dann also “den Fuß in der Tür” – er kann durch bloßes Nachladen von Modulen alles Mögliche mit dem Zielrechner anstellen. Daher sind beide Maßnahmen technisch auf das engste verwandt.

Der Unterschied liegt nur in der exakten Funktion: Bei der Quellen-TKÜ darf lediglich Kommunikation “abgeschnorchelt” werden, um den schönen Begriff von Constanze Kurz zu zitieren – also all das, was man auch bei einer “normalen” TKÜ über den Provider / Telefonanbieter mitlesen könnte. Screenshots oder der Zugriff auf die Festplatte sind nicht erlaubt.

Eine Online-Durchsuchung hingegen bedeutet grundsätzlich vollen Zugriff auf den Computer – also all das, was der CCC bei den nun analysierten Trojanern gefunden hat. Beide Funktionen – Online-Durchsuchung und Quellen-TKÜ – sind nach der Entscheidung des Bundesverfassungsgerichts nach dem Grundgesetz zwar möglich. Man braucht dann aber unbedingt eine spezielle rechtliche Grundlage. Die gibt es bislang z.B. im BKA-Gesetz. Für strafrechtliche Ermittlungen – um die es hier geht – gibt es aber bisher kein Gesetz; die Polizeigesetze erlauben die Eingriffe nur zur Abwehr von zukünftigen Gefahren, aber nicht zur Verfolgung vergangener Straftaten.

netzpolitik.org: Der Chaos Computer Club hat auf verschiedenen Festplatten einen Trojaner gefunden, der sehr wahrscheinlich von Sicherheitsbehörden eingesetzt wurde. Ist der Einsatz eines solchen Trojaners legal?

Ulf Buermeyer: Eindeutig Nein; solche Software darf es niemals geben, und zwar weil sie auch das Einspielen von Daten auf dem Zielsystem erlaubt. Das ist unter Geltung des Grundgesetzes stets unzulässig, wie das Bundesverfassungsgericht entschieden hat: Selbst eine Online-Durchsuchung darf eben nur durchsuchen und nicht manipulieren.

Aus informationstechnischer Sicht ist diese juristische Differenzierung aber wenig sinnvoll: Die Integrität eines Systems ist stets verletzt, sobald Software eingespielt wird – egal ob die dann nur lesen oder auch schreiben kann. Insofern kann man mit guten Gründen bezweifeln, ob es überhaupt einen rechtmäßigen Fernzugriff durch Einspielen von Software geben kann.

netzpolitik.org: Was sind die klaren Grenzen, die das BVerfg beim IT-Grundrecht zugelassen hat, um möglicherweise eine Onlinedurchsuchung durchzuführen?

Ulf Buermeyer: Das Bundesverfassungsgericht hat die großen Gefahren gesehen, die vom Einsatz einer staatlich gesteuerten Überwachungssoftware ausgehen. Es hat daher sehr hohe Hürden aufgestellt: Nur bei einer konkreten Gefahr für “ein überragend wichtiges Rechtsgut” sind solche Maßnahmen möglich, das bedeutet Leib, Leben, Freiheit der Person oder “solche Güter der Allgemeinheit, deren Bedrohung die Grundlagen oder den Bestand des Staates oder die Grundlagen der Existenz der Menschen berührt” – also zB wenn jemand einen Bombenanschlag auf ein AKW plant. Zur Strafverfolgung ist eine solche Maßnahme verfassungsrechtlich zwar auch zulässig, aber wohl nur bei Straftaten, die mindestens so schwer wiegen wie die genannten Gefahren.

netzpolitik.org: Ist Ihnen Trojaner-Software bekannt, womit man rechtlich einwandfrei eine Quellen-TKÜ durchführen könnte?

Ulf Buermeyer: Nein; bisher nicht. Vor allem aber fehlt es an einer Rechtsgrundlage, um sie im Strafverfahren einsetzen zu können. Wenn der Bundestag der Meinung ist, die mit jedem Trojaner verbundenen Gefahren in Kauf nehmen zu wollen, ob nun für Online-Durchsuchung oder Quellen-TKÜ, dann muss er die Strafprozessordnung entsprechend ändern und dort Regelungen vorsehen, wie man so etwas durchführen kann. Das hat das Bundesverfassungsgericht ausdrücklich so verlangt.

Unverständlicherweise werden derzeit aber gelegentlich bereits Quellen-TKÜ-Maßnahmen mittels Trojaner angeordnet, und zwar nach denselben Regeln, die für “normales” Telefon-Abhören gelten – gerade so, als gäbe es die besonderen Gefahren von Trojanern nicht, vor denen sogar das Bundesverfassungsgericht warnt und die der CCC nun wieder aufgedeckt hat. Diese Rechtsansicht ist verfassungsrechtlich unhaltbar und wird auch nur von einigen wenigen Richtern geteilt, während die Rechtswissenschaft diese Anordnungen einhellig als Bruch der Entscheidung zur Online-Durchsuchung kritisiert. Es scheint, als hätten die Verantwortlichen die enormen Risiken von Trojanern völlig unterschätzt.

Die Konsequenz der Erkenntnisse des CCC kann jedenfalls aus meiner Sicht nur lauten: Quellen-TKÜ-Maßnahmen darf es zukünftig allenfalls dann geben, wenn der Gesetzgeber das ausdrücklich so vorsieht. Eine Quellen-TKÜ ist etwas völlig anderes als eine normale Telefonüberwachung. Die Justiz darf sich ihre Rechtsgrundlagen nicht selbst zurechtbasteln – und sie kann offensichtlich auch gar nicht effektiv kontrollieren, was die Polizei mit ihren Beschlüssen letztlich anstellt.

netzpolitik.org: Hans-Peter Uhl verkündete in einer Pressemitteilung, dass die Justizministerin Schuld sei, dass es keine Rechtsgrundlage geben würde. Kann es eine solche Rechtsgrundlage für den jetzt entdeckten Trojaner geben, wenn das BVerfg klare Vorgaben gibt?

Ulf Buermeyer: Es gibt klare Vorgaben des BVerfG, und z.B. im BKA-Gesetz sind sie auch schon umgesetzt – wenn auch eventuell nicht ganz zutreffend; die entsprechende Verfassungsbeschwerde liegt derzeit noch in Karlsruhe. Richtig ist jedenfalls, dass es keine Rechtsgrundlage für Quellen-TKÜ oder Online-Durchsuchung für die Strafverfolgung gibt. Richtig ist aber auch, dass sich Teile der Justiz die fehlende Rechtsgrundlage einfach selbst schaffen, indem sie die Regeln für “normale” Telefonüberwachungen für anwendbar erklären. Insofern hat Herr Uhl durchaus Recht, wenn er eine saubere Rechtsgrundlage fordert: Immerhin würde dann der Trojaner-Einsatz im verfassungsrechtlichen Abseits gestoppt. Ein entsprechendes Gesetz müsste aber sehr strenge technische Vorgaben machen, um Exzesse wie bei den nun aufgedeckten Trojanern wirksam auszuschließen.

netzpolitik.org: In dem jetzt aufgedeckten Fall in Bayern geht es nicht um Terrorismus, sondern um Betäubungsmittel. Zählt dies zur Definition “schwerster Kriminalität”, wonach laut BMI der Einsatz einer Quellen-TKÜ gestattet sei? Oder gibt es andere Rechtsgrundlagen, um in einem solchen Fall eine Quellen-TKÜ durchzuführen?

Ulf Buermeyer: Wie gesagt, es gibt derzeit gar keine Rechtsgrundlage für strafrechtliche Quellen-TKÜ-Maßnahmen. Eine klassische Telefonüberwachung kann man wegen “Drogenhandels” durchaus anordnen. Im konkreten Fall kenne ich die Akten nicht, insofern ist das schwer einzuschätzen. Das LG Landshut jedenfalls hielt dies für zulässig.

netzpolitik.org: Wieso hat die Staatsanwaltschaft in diesem einen Fall in Bayern die Ermittlungen nicht gestoppt? Gibt es ausreichend Kontrollmöglichkeiten in solchen Fällen (Was müsste gemacht werden, wenn nicht?)

Ulf Buermeyer: Wir müssen abwarten, welche Details ans Licht kommen. Nach meinen Informationen hat die Staatsanwaltschaft in Landshut zwar – insoweit auch schon zu Unrecht – eine Quellen-TKÜ beantragt. Dass der konkret verwendete Trojaner noch viel mehr konnte, haben die Verantwortlichen bei der Staatsanwaltschaft aber vermutlich selbst nicht gewusst. Was das LKA genau wusste, wird allerdings noch zu klären sein, nicht zuletzt durch die Staatsanwaltschaft: Die LKA-Beamten könnten sich ja selbst strafbar gemacht haben – schließlich war das offenbar staatliches Hacking ohne rechtliche Grundlage.

netzpolitik.org: Vielen Dank für das Interview.

flattr this!

0zapftis: Erste erwischte Täter sitzen beim LKA Bayern

Heute Morgen versuchte Wolfgang Bosbach im Deutschlandfunk, die Diskussion um den Staatstrojaner etwas zu entschärfen, indem er den Chaos Computer Club aufforderte, Beweise vorzulegen.

Der Vorsitzende des Bundestagsinnenausschusses, Bosbach, hat den Chaos Computer Club aufgefordert, Vorwürfe zu belegen, wonach Bundesbehörden heimlich Überwachungssoftware einsetzen. Derartige Behauptungen seien nicht zulässig ohne konkrete Beweise, sagte der CDU-Politiker im Deutschlandfunk. Sollten sich die Vorhaltungen bewahrheiten, sei dies ein ernst zu nehmender Vorgang

Der CCC hatte bisher darauf verzichtet, um die eigenen Quellen zu schützen, bzw. den Quellen selbst die Möglichkeit zu geben, an die Öffentlichkeit zu gehen.

Nun ist der Rechtsanwalt Patrick Schladt mit einer Presseerklärung an die Öffentlichkeit gegangen und erklärt, dass einer seiner Mandanten in Bayern betroffen war und er den Rechner samt Trojaner an den CCC übergeben hätte.

Einer der vom CCC dokumentierten „Staatstrojaner“ wurde auf der Festplatte eines meiner Mandanten gefunden, die ich im Einvernehmen mit dem Mandanten an einen öffentlich bekannten Vertreter des CCC habe übergeben lassen. Es handelt sich dabei um den Fall des „Screenshot-Trojaners“, der bereits im Frühjahr diesen Jahres Gegenstand der öffentlichen Diskussion war, siehe http://ijure.org/0zapftis. Die Beweiskette von mir zum CCC ist dabei lückenlos dokumentiert.

(Da der Server gerade zu schnell zu oft verlinkt wurde, ist der jetzt tot. Hier gibts den Google-Cache mit der PM.)

Über genau diesen Fall hatten wir übrigens bereits gestern spekuliert. Beim CCC sollen aber noch mehr Festplatten von mehr Betroffenen, auch aus anderen Bundesländern eingetroffen sein.

flattr this!

Uhl: Eine Skandalsierung legitimer Maßnahmen dagegen hilft nicht weiter

Hans-Peter Uhl meldet sich mit einer Pressemitteilung zum Staatstrojaner zu Wort. Sinngemäß erklärt er, dass die Bundesjustizministerin Schuld daran ist, dass womöglich eine Sicherheitsbehörde diesen Trojaner verfassungswidrig eingesetzt hat:

“Wer dagegen wie die Bundesjustizministerin eine spezialgesetzliche Rechtsgrundlage für die Quellen-TKÜ verweigert und die Strafverfolgungsbehörden damit zum Rückgriff auf die allgemeine TKÜ-Rechtsvorschrift zwingt, darf nicht beklagen, dass Vorgaben nicht eingehalten würden, die es derzeit noch nicht gibt und für deren Schaffung die Justizministerin zuständig wäre. Eine Skandalsierung legitimer Maßnahmen dagegen hilft nicht weiter.”

Lieber Herr Uhl, ist denn die Skandalisierung eines Verfassungsbruchs (nicht) in Ihrem Sinne und in diesem Fall gerechtfertigt oder werfen Sie mit Ihrer Pressemitteilung nur eine Nebelkerze?

Update: bleed verweist noch auf einen weiteren Höhepunkt in der Pressemitteilung, die Uhl’sche Definition:

“Quellen-TKÜ (die Überwachung der Telekommunikation am Rechner vor ihrer Entschlüsselung)”

flattr this!

October 09 2011

0zapftis: Bayern als erstes Bundesland im Verdacht

Es gibt einen ersten Spitzenkandidaten unter den Bundesländern bei der Suche, wer den Bundes- / Staatstrojaner illegal eingesetzt hat. Sowohl Erich Moechl bei FM4 als auch die Frankfuter Rundschau von Morgen tippen auf Bayern. Das ist natürlich vollkommen überraschend, wenn man den Hashtag #0zaptis genauer betrachtet. Erich Moechl verweist auf Dokumente der Firma Digitask aus Hessen, die seit 2008 bei Wikileaks liegen. Digitask bietet die passende Software an, die alle Spezifikationen erfüllt, die der CCC entdeckt hat.

In eben diesem Zusammenhang ist das deutsche Unternehmen DigiTask bereits 2008 aufgefallen, als ein diesbezügliches Angebot an die bayerischen Strafverfolger in Wikileaks erschien. Aus den Dokumenten geht hervor, dass DigiTask eine spezielle “Skype Capture Unit” anbietet, die 3.500 Euro pro Monat und Arbeitsplatz kostet. Damit könnten nicht nur 10 Skype-Telefonate parallel abgehört werden, der Trojaner übermittelt auch alle anderen Skype-Dienste wie Chat oder Dateitransfers, ebenso wie die Buddy-List, also das Adressbuch.

Die Frankfurter Rundschau hat ebenfalls DigiTask und Bayern im Verdacht:

Interne Schriftwechsel aus dem Bayerischen Justizministerium zeigen, dass schon vor vier Jahren mit der Entwicklung und dem Einsatz von rechtswidriger Überwachungssoftware begonnen wurde – und dass der Staat die Kontrolle über das Programm der Trojaner in die Hände privater Firmen legte. In dem Schriftwechsel zwischen Ministerium, Oberlandesgerichtspräsidenten und Generalstaatsanwälten, der der FR vorliegt, geht es um eine Spionagesoftware, die von der Firma DigiTask im hessischen Haiger entwickelt wurde.

Mal schauen, was noch alles rauskommt. Über den Bayerntrojaner wurde bereits im Sommer berichtet, die bayrische Regierung hat wohl auch eine handvoll Fälle zugegeben. Dazu passt auch: Landgericht: LKA Bayern setzt rechtswidrig Screenshot-Trojaner ein.

flattr this!

Bundestrojaner: Es ist dieses diffuse Gefühl der Angst und Ohnmächtigkeit

Es ist ein Hammer, den der Chaos Computer Club gestern Abend im Zusammenspiel mit verschiedenen Medien veröffentlicht hat: Deutsche Sicherheitsbehörden setzen offensichtlich einen Bundestrojaner ein, der weit über die engen verfassungsgemäßen Vorgaben des Bundesverfassungsgerichtsurteils von 2008 hinausgeht und damit illegal eingesetzt wird. Bisher hat sich das Bundesinnenministerium noch nicht dazu geäußert und viele Sachen liegen dadurch auch noch im Dunkeln. Und doch könnte diese Geschichte weitreichende Folgen haben. Vor allem emotional.

Man kann sich natürlich auch vorstellen, wie die Trojaner-Software programmiert wurde: Wahlweise als Ausschreibung, bei denen Behörden das günstigste Angebot gewählt haben oder selbstprogrammiert von den IT-Experten bei den Sicherheitsbehörden. Also von denjenigen, die für wenig Geld in den Öffentlichen Dienst gehen und das schlechte Image auf sich nehmen, bei Überwachungsmaßnahmen beteiligt zu sein. Das sind nicht immer die Besten. Auch ein Kombination kann man sich vorstellen, dass die Software von einem privaten Anbieter kam und dann niemand in den Behörden in der Lage war, die Sicherheitslücken und die Verfassungswidrigkeit zu erkennen. Auch in diesen Fällen wäre es ein Skandal.

Aber, ob die entdeckten Trojaner ein Ergebnis von skandalösem Dilletantismus oder vorsätzlicher Verfassungsbruch waren, eines bleibt:

Es ist dieses diffuse Gefühl der Angst und Ohnmächtigkeit, dass nach zehn Jahren Ausbau des Überwachungsstaates durch unzählige Sicherheitsgesetze, diese gegen die eigene Bevölkerung eingesetzt werden. Es ist dieser weiterer Schritt, weniger Vertrauen in unsere Sicherheitsbehörden zu haben, weil diese ja (zumindest in den dokumentierten Fällen) offensichtlich machen, was sie wollen. Und das ist gefährlich für einen Rechtsstaat, der davon lebt, dass die Bürger an ihn glauben.

Wer übernimmt eigentlich die politische Verantwortung?

flattr this!

CCC über das Innenleben des Bundestrojaners

Der Chaos Computer Club ist im Besitz eines Bundestrojaners und hat diesen ausführlich untersucht und analysiert.


Die Analyse des Behörden-Trojaners weist im als “Quellen-TKÜ” getarnten “Bundestrojaner light” bereitgestellte Funktionen nach, die über das Abhören von Kommunikation weit hinausgehen und die expliziten Vorgaben des Verfassungsgerichtes verletzen. So kann der Trojaner über das Netz weitere Programme nachladen und ferngesteuert zur Ausführung bringen. Eine Erweiterbarkeit auf die volle Funktionalität des Bundestrojaners – also das Durchsuchen, Schreiben, Lesen sowie Manipulieren von Dateien – ist von Anfang an vorgesehen. Sogar ein digitaler großer Lausch- und Spähangriff ist möglich, indem ferngesteuert auf das Mikrophon, die Kamera und die Tastatur des Computers zugegriffen wird.

Ein Video beschreibt die Analyse:

Das Video gibt es hier als MP4.

Zeit-Online berichtet darüber: CCC enttarnt Bundestrojaner.

Ihr Urteil: Die viel diskutierte Onlinedurchsuchung funktioniert. Ermittler von Landeskriminalämtern, vom Zoll oder dem Bundeskriminalamt können auf fremde Computer zugreifen und sich von ihnen beliebige Informationen holen – und sie tun es auch, obwohl sie das gar nicht dürfen. Denn im Jahr 2008 hatte das Bundesverfassungsgericht diese Art der Überwachung stark eingeschränkt und den Ermittlern enge Grenzen gesetzt. Polizeibehörden und Politiker von Union und SPD hatten zuvor gefordert, es müsse möglich sein, via Internet die Computer von Verdächtigen zu untersuchen und auf deren Festplatten gefundene Indizien zu sichern. Kritiker sahen darin eine Verletzung diverser in der Verfassung garantierter Rechte. Angesichts der nun entdeckten Spähsoftware entsteht der Eindruck, dass sich die Behörden nicht an die vom Verfassungsgericht gesetzten Beschränkungen halten und sogar bewusst dagegen verstoßen.

Frank Rieger beschreibt in der FAZ die Analyse: Ein amtlicher Trojaner – Anatomie eines digitalen Ungeziefers.

Wie der Staatstrojaner zerlegt wurde: Die Hacker vom Chaos Computer Club haben die Überwachungssoftware gefunden, analysiert – und gehackt. Das Ergebnis ist erschreckend. Der Trojaner kann unsere Gedanken lesen und unsere Computer fernsteuern.

Und Frank Schirrmacher kommentiert den Bundestrojaner in der FAZ und zieht dafür “Code is law” von Lawrence Lessig heran: Staatstrojaner – Code ist Gesetz.

Wer hat die Macht über die Programmierer? Wer bestellt den Code? Reicht es wirklich, nur auf die Grundgesetztreue des Staates und seiner Diener zu hoffen, wenn der Code, den nur die Auftraggeber und die Eingeweihten verstehen, diese Treue bereits durchbricht? Alle diese Fragen sind unbeantwortet. Nicht nur Menschen und Branchen revolutionieren durch das Netz ihre Architektur. Wir sehen jetzt: Der Staat selbst tut es. Von der Frage, wie er Code und Gesetz in Einklang bringt, hängt die Freiheit des Einzelnen ab. Jetzt, seit dem Erfolg der Piratenpartei, besteht die Chance, dass diese Aufgabe zum Gegenstand von Realpolitik wird. Dazu aber ist es nötig zu erkennen, dass die neue Welt nicht nur schön ist und neu, sondern das Zeug dazu hat, den Staat zum Ungeheuer zu machen.

Wir sind mal gespannt, was unser Bundesinnenminister zu dem Fall sagt. Der muss sich sicherlich erstmal die ganze Sache erklären lassen.

flattr this!

Older posts are this way If this message doesn't go away, click anywhere on the page to continue loading posts.
Could not load more posts
Maybe Soup is currently being updated? I'll try again automatically in a few seconds...
Just a second, loading more posts...
You've reached the end.

Don't be the product, buy the product!

Schweinderl