Tumblelog by Soup.io
Newer posts are loading.
You are at the newest post.
Click here to check if anything new just came in.

February 12 2014

Hacking Team greift freie Berichterstattung für Äthiopien an

Hacking Team” ist ein italienisches Unternehmen, das sich auf Überwachungssoftware spezialisiert hat. Kernangebot bildet die “Hacking Suite” Remote Control System, die man in etwa als Pendant zu FinFisher auf dem Markt der Staatstrojaner sehen kann. RCS wurde von Kaspersky beinahe auf der ganzen Welt gefunden, Hacking Team beschreibt die Fähigkeiten der Software einer geleakten Werbepräsentation nach folgendermaßen:

Es ist offensive Sicherheitstechnologie. Es ist Spyware. Es ist ein trojanisches Pferd. Es ist ein Bug. Es ist ein Angriffswerkzeug. Es ist ein Werkzeug, um Kontrolle über die Endpunkte zu erhalten, das heißt die PCs.

Citizen Lab hat jetzt veröffentlicht, dass im Dezember 2013 innerhalb von zwei Stunden drei Angriffe auf zwei Angestellte von ESAT festgestellt wurden. ESAT ist ein aus Amsterdam geführtes Medienunternehmen, das sich für die Förderung freier, kritischer und unabhängiger Berichterstattung in Äthiopien einsetzt. Das erklärt auch den Angriff, denn Äthiopien ist für die Unterdrückung der Meinungs- und Pressefreiheit im Land bekannt. Nach Eritrea kommt es dort zu den meisten Verhaftungen von Journalisten in ganz Afrika und seit 1993 wurden 75 Medienanstalten geschlossen. Darüberhinaus werden unerwünschte Journalisten gefoltert und misshandelt.

Das wirft ein anderes Licht auf die Sache, denn obwohl bekannt ist, dass Hacking Team – von Reporter ohne Grenzen als “Feind des Internets” geführt – seine Software auf der ganzen Welt verkauft, behaupten sie doch von sich selbst, nicht an Regierungen zu liefern, die von der EU, den USA, der NATO oder anderen Organisationen als repressive Regimes eingestuft werden. Ein Verkauf an regierungs- und geheimdienstunabhängige Stellen wird ebenso offiziell ausgeschlossen, RCS wird von Hacking Team als “hacking suite for governmental interception” beworben. Aber der Vorfall ist nicht der erste, bei dem RCS von augenscheinlich undemokratischen Regimes eingesetzt wird, wir haben in der Vergangenheit schon einmal von Einsätzen gegen arabische Aktivisten berichtet.

Der erste Angriff auf ESAT erfolgte auf einen Angestellten in Belgien, über einen Anhang, der als PDF-Dokument getarnte Spyware war. Beim Versuch, die Datei zu öffnen, passierte auf den ersten Blick nichts, im Hintergrund wurde jedoch eine SSL-Verbindung zu einem Server hergestellt, der ein von der “RCS Certification Authority” ausgestelltes Zertifikat nutzte, welches auf die IP-Adresse eines Servers in Mailand, dem Sitz von Hacking Team,  zurückführte und der überdies auf die Firma registriert war.

Im zweiten Versuch öffnete der Empfänger die Datei nicht, da ihm auffiel, dass eine *.exe hinter der Verkleidung steckte. Auf Nachfrage bekam er eine *.doc-Datei zugesandt, beim Öffnen war auch kurz ein leeres Dokument zu sehen. Durch das Ausnutzen eines früheren Bugs in Windows führte das zum Download einer Datei, die von RCS eingeschleust wurde. Der dritte und letzte registrierte Versuch geschah auch über ein Word-Dokument, dieses mal mit vorgeschobenem Inhalt, in welches das Schadprogramm eingebettet war.

Durch die IP-Adressen der kommunizierenden Server, die SSL-Zertifikate und einen zusätzlichen Abgleich der Signaturen anderer Spyware von Hacking Team ist klar, dass die Software von ihnen stammt. Und es zeigt, wie falsch die ständigen scheinheiligen Behauptungen dieser und anderer Herstellerfirmen von Überwachungssoftware sind, man liefere nur an “die Guten”. Durch Versprechen lässt sich dieses Problem nicht lösen. Ein wichtiger und längst überfälliger Schritt wäre Exportregulierung für Überwachungs- und Zensursoftware. Und deren wirksame Kontrolle.

Wir wollen netzpolitik weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

November 18 2013

CSC in alle großen IT-Vorhaben eingebunden: De-Mail, nPa, ePa, Staatstrojaner, Waffenregister, E-Gerichtsakte, E-Strafregister

Braucht vielleicht noch ein Piktogramm für

Braucht vielleicht noch ein Piktogramm für “US-Behörde”: Grafik zur Akzeptanzerhöhung von “De-Mail”.

Am Wochenende hatte die Süddeutsche Zeitung im Enthüllungsprojekt “Geheimer Krieg” weiter nachgelegt: Demnach sei die US-Beraterfirma CSC mit ihren elf Tochtergesellschaften nicht nur für heikle US-Geheimdienstmissionen unterwegs, sondern arbeite auch für deutsche Ministerien. Naheliegend sei, dass CSC die hierüber erlangten Informationen an US-Behörden weitergebe. Der Zeitung fiel auf, dass CSC-Firmen häufig “in der Nähe von US-Militärstützpunkten” residieren.

Die Bundesregierung hatte die Verbindungen von CSC zum US-Geheimdienst nicht kommentiert – dies war zu erwarten. Das Bundesinnenministerium richtete aus, ihm genügten entsprechende Klauseln in den Rahmenverträgen mit CSC. Demnach sei es untersagt, “bei der Vertragserfüllung zur Kenntnis erlangte vertrauliche Daten an Dritte weiterzuleiten”.

Auch wenn es im Projekt “Geheimer Krieg” von der Süddeutschen und dem NDR häufig nicht erwähnt wird: Viele der Recherchen gründen auf sogenannten “Parlamentarischen Initiativen” im Bundestag. Hierzu gehören neben den bekannteren Kleinen Anfragen auch sogenannte Schriftliche oder Mündliche Fragen. Diese müssen innerhalb einer Woche beantwortet werden. Auch die Informationen zu den an CSC oder Booz Hamilton vergebenen Aufträge stammen aus solchen Initiativen.

Eine Durchsicht der Anfragen seit Juni (mithin den ersten Veröffentlichungen der Dokumente von Edward Snowden) ergibt Haarsträubendes: So erhielten CSC Deutschland Services und CSC Deutschland Solutions allein zwischen 2009 und 2013 mehr als 25 Millionen Euro für Studien, die teilweise äußerst delikate Sicherheitsinteressen tangieren. Eine weitere Frage förderte zutage, dass dies nur die Spitze des Eisbergs ist. In den vergangen Legislaturperioden erhielt CSC mit seinen Tochterfirmen ein Vielfaches der Summe für ähnliche Aufträge:

CSC_Booz_1714530

Bekannt wurde CSC durch eine Auftragsvergabe zur Prüfung des Quellcodes des vorübergehenden Staatstrojaners der deutsch-britischen Firma Gamma, den das BKA bis zur Entwicklung einer eigenen Hackersoftware einsetzen will. CSC ist darüberhinaus in alle derzeit laufenden, größeren IT-Vorhaben der Bundesregierung eingebunden. Hierzu gehört die eine “Machbarkeitsstudie zum Thema Identitätsmanagement” in der Bundesverwaltung oder die Begleitung des Vorhabens “IT-Sicherheitskit” für die “elektronische Patientenakte”.

CSC wirkte maßgeblich bei der Umsetzung des “Nationalen Waffenregisters” mit. Bis 2010 wurde der Umzug der Leitstellenumgebung der Bundespolizei vorbereitet. Andere Studien widmeten sich der Nutzung von Geodaten. Für das Justizministerium ist CSC an einer Projektgruppe “Elektronische Akte in Strafsachen” beteiligt und zeichnet für die Projektbegleitung verantwortlich. Gleiches galt für die “Elektronische Gerichtsakte” sowie das Projekt “Elektronisches Gerichts- und Verwaltungspostfach”, das unter dem Namen “BundOnline” firmiert. Für das Bundesverwaltungsamt war CSC sogar für die komplette Durchführung eines “Backup- u. Restore-Konzepts” zuständig.

CSC Deutschland Solutions ist auch für die Einführung des biometrischen Personalausweises verantwortlich. Bekanntlich hatte die Beraterklitsche “Public Opinions” hierfür ein Handbuch zur Propaganda und Medienzusammenarbeit erstellt, das unter anderem vor kritischen Blogs gewarnt hatte. Die Zuarbeit von CSC war aber weitaus gewichtiger: Die Firma erstellte beispielsweise eine “Studie zu Fragen der Berechtigungszertifikate” und unterstützte die MitarbeiterInnen der Ausweisbehörden bei der Umstellung. Hierzu gehörte auch die Versorgung mit nötigen Informationen, also jenen Fakten die zuvor im ominösen “Handbuch” zusammengetragen worden waren. CSC war danach für die Erstellung von “Handlungsleitfäden” verantwortlich. Ein weiterer Auftrag erging zur “Begleitung des Wirkbetrieb”, ein anderer lautete “Unterstützung bei der nPa Konzeption Webauftritt”. “nPa” steht für “Neuer Personalausweis”.

Weitaus delikater ist wohl die Mitarbeit von CSC bei der Einführung von “De-Mail”. Noch bis 2012 war die Firma mit der “Unterstützung bei der Fachkommunikation” befasst. Wie beim biometrischen Ausweis folgten mehrere Studien zur “Unterstützung bei der Öffentlichkeitsarbeit und Akzeptanzmanagement”. Ein Vorhaben “Projektunterstützung De-Mail” läuft noch bis März 2014. Das “Kompetenzzentrum De-Mail” wird bei der Presse- und Öffentlichkeitsarbeit beraten.

Nach den neuesten Veröffentlichungen der Süddeutschen, aber auch des Stern von vor drei Wochen gerät nun auch das Verteidigungsministerium in Bedrängnis. Denn auch dort wurden etliche Aufträge an CSC vergeben: Studien widmeten sich etwa Informationssystemen für die “Nationale Luftabwehr”, die Marine oder einzelne ihrer Fregatten. CSC beschaffte Software zur Cyberabwehr und reorganisierte die Datenverwaltung des Militärs. Noch andauernd ist die Beteiligung am maritimen Überwachungsprojekt “MARSUR”, das bald in das EU-Grenzüberwachungssystem EUROSUR integriert wird. Für die Marine war CSC sogar für ein IT-Sicherheitskonzept verantwortlich. Zum Auftragsvolumen gehörte unter anderem der Einbau einer Firewall.

Zum Vorab-Stöbern in weiteren Enthüllungen, die von “Geheimer Krieg” bis zum 28. November (dem entsprechenden Themenabend in der ARD) veröffentlicht werden, sei die Bundestagswebseite empfohlen. Die dortige Suchfunktion ist relativ zuverlässig; Suchbegriffe wie AFRICOM, “Cyber Storm” oder “DHS Frankfurt” fördern Antworten zutage, die uns in den nächsten Wochen weiter beschäftigen dürften.

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

September 20 2013

Polizeiaufgabengesetz in Thüringen: Landtag beschließt Gesetz trotz aller Kritik

Thüringer Landtag in Erfurt. Bild: Lukas Götz. Lizenz: Creative Commons BY-SA 3.0.

Thüringer Landtag in Erfurt. Bild: Lukas Götz. Lizenz: Creative Commons BY-SA 3.0.

Letzte Woche berichtete Jens Kubieziel über das Polizeiaufgabengesetz in Thüringen mit so tollen Vorschlägen wie Vorratsdatenspeicherung, Staatstrojaner und Abschalten von Kommunikationsnetzen. Gestern hat der Landtag das Gesetz trotz aller Kritik beschlossen. Hier erneut ein Gastbeitrag von Jens Kubieziel.

Das Polizeiaufgabengesetz (PAG) im Freistaat Thüringen sei sehr gut geprüft und gehöre zu den modernsten Regelungen in der Bundesrepublik. Mit diesen oder ähnlichen Argumenten versuchte der Abgeordnete Wolfgang Fiedler (CDU) die Kabinettskollegen im Jahr 2008 zu überzeug