Zusammenfassung der Informationen und der Machbarkeit der sogenannten Onlinedurchsuchung und des Bundestrojaners
Über den Bundestrojaner (offiziell als Remote Forensic Software
bezeichnet) wird seit Monaten in Medien, wie auch Politik und diverse
Stamm- und WG-Tischen geredet, Zeit die Fakten ein wenig zu sortieren.
Dabei soll es weniger um die juristische Seite gehen, weil diese nur
bedingt relevant ist. Wenn sie es wollen, wird dafür auch das
Grundgesetz geändert und notfalls kommt es auch als EU-Verordnung, wenn
es über das deutsche Parlament nicht durchsetzbar ist. Ähnliche
Entwicklungen kennen wir schon von anderen Maßnahmen, wie zum Beispiel
der Vorratsdatenspeicherung. Diese wurde auch von der Bundesregierung
maßgeblich in der EU durchgedrückt, nachdem sie zu Hause gescheitert
waren. Dann stellen sie sich hier hin und setzen “EU-Recht” in
nationale Gesetzgebung um. Allerdings geht im Fall der
Vorratsdatenspeicherung das deutsche Gesetz über die EU-Vorschrift
hinaus. Ähnliches wäre im Fall der Fälle auch von der
Onlinedurchsuchung zu erwarten. Die Onlinedurchsuchung ist Schäuble und
Co. scheinbar so wichtig, dass sie sich zu teils hahnebüchenen
Äusserungen hinreissen lassen, selbst weit über die Grenzen ihrer
Kompetenz und verfassungsrechtlicher Schranken. Irgendwie kann man sie
auch verstehen, stoßen sie doch zunehmend auf Verschlüsselung, gegen
die das BKA machtlos ist.
Eine
juristische Seite ist allerdings durchaus erwähnenswert: Der
Richtervorbehalt. Es wird immer wieder von den Befürwortern der
sogenannten Onlinedurchsuchung angebracht, dass ohne richterlichen
Beschluss nichts gehen würde. Schaut man in den Entwurf des
BKA-Gesetzes, welches der Chaos Computer Club letztens veröffentlichte (http://www.ccc.de/updates/2007/bkaterror),
erkennt man sofort, dass der gar nicht zwingend ist, sondern das BKA
schon mal ein paar Tage ohne lauschen können soll, natürlich nur bei
“Gefahr in Verzug”, was erfahrungsgemäß bei anderen Maßnahmen mit
Richervorbehalt erstaunlich oft der Fall ist. Das sollte dann auch
reichen, jeden Computer zu durchsuchen und alle Passwörter abzufischen,
ohne dass man einen Richter fragen muss. Selbst ein zwingender
Richtervorbehalt ist Augenwischerei. Wer schon einmal in einem
Richterzimmer war, weiss dass diese Leute einerseits chronisch
überarbeitet und andererseits im Bereich Computer, Internet und neue
Medien völlig unbedarft sind. Eine juristische Prüfung kann unter
diesen Voraussetzungen weder sachlich noch fachlich richtig erfolgen.
Das wird weder vor völlig unverhältnismäßigen Überwachungsmaßnahmen (http://www.mdr.de/fakt/5039319.html) noch vor Missbrauch durch einzelne Polizisten schützen (http://4topas.wordpress.com/2007/09/01/neue-affare-beim-bundesnachrichtendienst-bnd/).
Ziel
des Bundestrojaners ist, anders als oft in den Medien berichtet, nicht
nur Computer, sondern allgemein informationstechnische Anlagen.
Darunter fallen neben Computern, Laptops und ähnlichem auch
Mobiltelefone, PDAs, Faxgeräte, Anrufbeantworter, Telefonanlagen und
theoretisch sogar solche Sachen wie Hausrufanlagen. Der Begriff wurde
absichtlich schwammig gehalten, um so viel wie möglich manipulieren zu
können. Ebenso ist die Zielgruppe, auf die die Onlinedurchsuchung
angewendet werden soll, nicht scharf umrissen. In den Medien wird immer
von Terroristen gesprochen, manchmal auch von Besitzern von
Kinderpornos und sogar von Raubkopierern. Schon die Einstufung zum
Terroristen ist sehr weit gefasst, da wird schon mal von
Drogenabhängigen (nein, nicht die Drogenkartelle die damit Milliarden
verdienen) oder Hooligans als Terroristen gesprochen oder bei
Demonstranten im Allgemeinen, gerade zum G8-Gipfel. Wer Terrorist ist,
bestimmt immer noch Wolfgang Schäuble. Aber rein formal ist die
Onlinedurchsuchung nicht für Schwerstkriminalität reserviert, wie immer
behauptet wird, sondern auch für weniger schwere Straftaten. Der
Besitzt von Kinderpornos mag verwerflich sein, aber strafrechtlich ist
es kein sonderlich schweres Vergehen (üblicherweise mittels Strafbefehl
und Geldstrafe geahndet und damit vergleichbar zu Fahren ohne
Führerschein und nicht zu verwechseln mit Missbrauch oder dem
Anfertigen von Kinderpornos, die zu Recht härter bestraft werden),
trotzdem soll dagegen mittels Onlinedurchsuchung vorgegangen werden. Es
deutet sich also jetzt schon an, dass der Einsatz nach unten hin mehr
oder weniger schrankenlos sein wird.
All diese Widersprüche
und Vorgehensweisen erinnern stark an den “Großen Lauschangriff”, der
in den 90-er Jahren ähnlich kontrovers diskutiert wurde. Inzwischen hat
sich das als stumpfes Schwert herausgestellt. Die sogenannte
“Organisierte Kriminalität” konnte damit nicht wirksam bekämpft werden,
statt dessen wurde es oftmals gegen nur minderschwere Delikte
eingesetzt, für dass es ursprünglich gar nicht vorgesehen war. Dafür
wurden im Schlepptau des “Großen Lauschangriffs” andere Sachen
durchgezogen, die für sich alleine wohl für große Diskussionen gesorgt
hätten. So auch bei der Onlinedurchsuchung. Während sich alles auf den
Bundestrojaner stürzt, werden die anderen Maßnahmen des Katalogs
ignoriert. Dabei bedeutet der Gesamtkatalog einen völligen Umkehr der
bisherigen Doktrin und den Umbau des BKA von der Strafverfolgung hin zu
einer präventiv arbeitenden Behörde. Zwar gab es früher schon immer
wieder Vorwürfe die Trennung zwischen Polizei und Geheimdiensten
aufzuweichen, aber der jetzige Entwurf des BKA-Gesetzes geht weiter als
alles bisher. Es führt nicht zu einem BKA mit mehr Befugnissen, sondern
zu einer anderen Behörde, die rechtsstaatlich kaum zu rechtfertigen
ist. Über die Wirksamkeit lässt sich nur spekulieren, aber wie weiter
unten noch gezeigt wird, bestehen zumindest bei der Onlinedurchsuchung
ernsthafte Zweifel.
Die rechtliche Begutachtung soll hier
nicht Gegenstand sein, aber ein grundsätzliches Problem verursacht der
Bundestrojaner. Prinzipbedingt verändert jede installierte
Spionagesoftware den zu untersuchenden Computer (oder Handy, PDA usw.),
er manipuliert also Beweismittel. Auf die reale Welt umgesetzt ist das
in etwa damit zu vergleichen, wenn Polizisten an einen Tatort kommen
und erst einmal aufräumen, damit sie die Beweisstücke besser finden.
Jeder halbwegs talentierte Rechtsanwalt wird der ermittelnden Behörde
einen solchen manipulierten Tatort vor Gericht um die Ohren schlagen.
Ähnliches ist auch bei der Schadsoftware des Innenministeriums denkbar.
Wird der Trojaner vom Opfer erkannt, besteht auch die Möglichkeit, dass
manipulierte Informationen untergeschoben werden. Zusätzlich öffnet der
Trojaner Hintertüren auf dem System, welche von Dritten ausgenutzt
werden könnten, was die Beweiskraft der spionierten Informationen
nochmals senkt. Wie eine Trennung oder Zuordnung von Informationen an
Computern, die von mehreren Personen benutzt werden, stattfinden soll,
dazu schweigt sich das Innenministerium aus. Das alles kommt zum
tragen, wenn die Spionagesoftware richtig funktioniert. Bugs,
Inkompatibilitäten und Probleme mit anderer installierter Software
werden diese Nebeneffekte weiter verschärfen. Aber laut BKA ist die
geschriebene Software fehlerfrei, eine Aussage, die allen, die auch nur
etwas Ahnung von Informatik haben, nur ein müdes Lächeln abringen wird.
Es ist bezeichnend mit welcher Naivität an die Sache herangegangen
wird. Schäuble musste ja schon zugeben, dass er auch nur das erzählt,
was ihm seine Leute aufschreiben und er keinen blassen Schimmer von der
Sache hat. Aber er ist schwer dafür, dass es umgesetzt wird…
Auf
technischer Seite hat sich das BKA eine ziemlich komplexe Aufgabe
gestellt. Es geht darum einen Trojaner zu bauen, was erst einmal nicht
so schwierig ist, aber wenn man in’s Kleingedruckte schaut, was das
Ding können muss, sieht es schon anders aus und es darf bezweifelt
werden, dass sie in der Lage sind, diese Aufgabe zu bewältigen. Als
erstes mal muss die Schadsoftware unbemerkt vom User laufen. Wird die
Software bemerkt, und das kann schon jetzt als sicher gelten, dass sie
von Profis gefunden wird, dann hat sich die heimliche Durchsuchung und
alle gewonnenen Daten sind nicht mehr verwertbar, weil sie vom Opfer
manipuliert sein könnten. Selbst wenn man davon ausgeht, dass es die
Software vorerst nur für Windows geben wird, so trifft man selbst in
dieser recht definierten Umgebung auf so viele Möglichkeiten von
installierten Programmen, auch Schutzprogrammen, dass ein reibungsloser
Betrieb des Trojaners unwahrscheinlich erscheint. Das BKA will dem
vorbeugen, indem es für jede Durchsuchung einen neuen Trojaner schreibt
und den auf die Konfiguration des Systems optimiert. Den einen
Bundestrojaner wird es demnach nie geben, sondern eher so eine Art
Werkzeugkasten, aus dem sich genommen wird, was gerade gebraucht wird.
Dieses
Vorgehen ist aber nur begrenzt praxistauglich. Im Prinzip müsste das
BKA zwei Mal in die Wohnung einbrechen, virtuell oder real, einmal um
die Konfiguration des Computers herauszufinden, inklusive welche
Software installiert und wie die konfiguriert ist, und ein zweites Mal
um den Trojaner zu installieren. Dazwischen werden mindestens ein paar
Tage vergehen, in der der Trojaner angepasst wird. Sollte in der
Zwischenzeit etwas verändert worden sein, besteht die Gefahr, dass der
Trojaner sich ganz anders verhält. Das wird insbesondere dann spannend,
wenn das BKA Sicherheitslücken benutzen will, die beim ersten
Hausbesuch noch bestanden haben, aber inzwischen gefixt wurden oder für
die inzwischen Updates für die Virenscanner verbreitet wurden. Folgt
man ihren bisherigen Äusserungen, ist die Ausnutzung unbekannter
Sicherheitslücken ein Plan, fragt sich nur wo sie die herbekommen
sollen? Dafür bräuchten sie gute Leute, genauso wie für das Schreiben
einer entsprechenden Schadsoftware. Bei den Gehältern, was die zahlen,
werden sie aber kaum Spitzenkräfte anwerben können. Sie müssten die
Sicherheitslücken also im IT-Untergrund kaufen und damit bei mafiösen
Strukturen. Eine ganz tolle Idee, zumal die Mafiosi auch nicht dumm
sind und wissen, wem sie welche Sicherheitslücke verkauft haben und
damit können sie Vorsorge treffen, dass sie definitiv nicht darüber
angreifbar sind. Oder sie suchen im Netz gezielt nach Rechnern, die
diese Lücke aufweisen und suchen dort nach dem Bundestrojaner, mit
automatischen Scannern ist sowas nur eine Frage der Zeit. Was dann mit
den Informationen geschieht, ob sie die User warnen oder erpressen oder
den Bundestrojaner als Einfallstor für eigene Sauereien benutzen,
bleibt offen.
Betrachtet man die Probleme bei den polizeiinternen Informationssystemen (http://www.heise.de/newsticker/meldung/99164/from/rss09), dem digitalen Behördenfunk (http://www.heise.de/newsticker/meldung/92503) und anderen IT-Projekten des Innenministeriums (http://www.heise.de/newsticker/meldung/92543),
die von der Komplexität her noch unter dem Bundestrojaner sind, muss
man nicht viel spekulieren, wie der wohl aussehen wird. Um es kurz zu
machen, von der Qualität ist eher eine mittelmäßig bis schlechte
Software zu erwarten, mit der Profis keine Probleme haben werden. Schon
an dieser Stelle kann man getrost sagen, wen sie damit fangen werden,
sind unbedarfte Laien, aber sicher keine Terroristen. Aber wie der
BKA-Chef letztens meinte, ist es denen egal, hauptsache die fangen
überhaupt jemanden und die Allgemeinheit wird ihnen schon dankbar sein,
dass sie wenigstens die DAU-Terroristen aus dem Verkehr gezogen haben (http://www.heise.de/newsticker/meldung/99332).
Vermutlich wird die Onlinedurchsuchung enden wie die Kontoüberprüfung,
ein Mittel welches gegen Terroristen eingeführt wurde, inzwischen aber
zum Bespitzeln von HartzIV-Empfängern genutzt wird.
Der
Trojaner muss weiterhin in der Lage sein, die gewonnenen Informationen
irgendwie unbemerkt zu übertragen, das auch noch beweissicher, das
heisst auf dem Weg zum BKA nicht manipulierbar. Manipulationssicherheit
ließe sich über Verschlüsselung oder Signatur sicherstellen, was aber
wieder zu recht viel Arbeit für den Trojaner führt, die auffallen
könnte. Jede Bewegung auf der Festplatte, im Arbeitsspeicher und erst
recht auf der Internetleitung können den Trojaner verraten, weshalb der
möglichst schlank gehalten werden muss. Dazu besteht grundsätzlich die
Möglichkeit, dass nicht nur das System an sich manipuliert wird,
sondern auch gezielt Daten, die später als Beweismttel dienen sollen.
Aber sowas machen unsere Ermittler natürlich nie. (http://www.fehlurteil.at/pages/fall.htm, *)
Nach
getaner Arbeit soll sich der Trojaner selbst löschen. Damit wird dem
Verteidiger eine wichtige Möglichkeit genommen, seinen Mandanten zu
verteidigen, weil er nicht in der Lage ist nachvollziehen zu können,
was auf dem Computer manipuliert und wie erfasst wurde oder ob es gar
einen Zugriff durch Dritte gegeben hat. Zwar kann das BKA hinterher
immer behaupten, sie hätten dieses oder jenes gemacht, ihm sogar
irgendwelchen Programmcode zur Analyse vorlegen, aber faktisch ist die
Erhebung für den Verteidiger nicht mehr nachvollziehbar. Er bekommt
sozusagen immer unvollständige Ermittlungsakten von der Polizei und
kann es ihnen glauben oder nicht, ob sie ihm die richtige Software
ausgehändigt haben. Beweisen kann er es nicht. Es wird ihm die
Möglichkeit genommen selbst eine forensische Analyse des Systems zu
beauftragen. Es muss nicht einmal eine böswillige Manipulation seitens
der Behörden sein, es könnten auch Dritte oder einfach nur menschliche
oder technische Fehler für ein bestimmtes Ergebnis verantwortlich sein,
was aber im Nachhinein nicht mehr nachvollziehbar ist. Übrigens dürfte
es spannend werden, wenn sich der erste Verteidiger Einsicht in den
Programmcode der Schadsoftware des BKA eingeklagt hat, damit wäre
dieses Stück Code für zukünftige Einsätze verbrannt und müsste neu
entwickelt werden.
Ähnlich seltsam stellt sich das BKA auch
die eigentliche Arbeitsweise des Trojaners vor. Dieser soll nämlich mit
einer Stichwortliste nach verdächtigen Begriffen suchen und sowohl
Dateiinhalte, als auch Datei- und Verzeichnisnamen berücksichtigen.
Dadurch sollen unter anderen auch die besonders geschützen Inhalte, wie
zum Beispiel Tagebücher oder persönliche Emails, vor Durchsuchung
geschützt werden. Das ist erst mal von grundsätzlicher Seite her
Blödsinn, wie diese Beispiele zeigen (http://blog.kairaven.de/archives/1240-Kernbereichsschutz-und-Online-Durchsuchung.html).
Auf diese Weise ist keine inhaltliche Trennung zwischen terroristischer
und privater Tätigkeit möglich. Überhaupt ist eine Stichwortsuche wenig
sinnvoll, zeigt aber wieder die Naivität der Beamten. Wer glaubt mit
einer Stichwortliste tausende Dateien der verschiedensten Formate mit
möglicherweise hunderten Gigabyte Datenmenge unbemerkt zu durchsuchen,
hat Computer einfach nicht verstanden. Bei einfachen Textdateien mag
das noch funktionieren, selbst wenn man Sprach- und
Formatierungseinstellungen ausser Acht lässt. Aber selbst bei Dateien
für Microsoft Office könnte das schwierig sein, weil das
Dokumentenformat nicht vollständig offengelegt ist und so nicht klar
ist, wie der zu durchsuchende Text eigentlich aussieht und ob man nicht
statt des eigentlichen Textes nur die gelöschten Teile, die immer noch
in der History des Dokuments vorhanden sind. Und was ist mit
passwortgeschützen Dokumenten?
Wie allerdings Bilder,
Audiodateien oder Filme auf diesem Wege durchsucht werden sollen,
bleibt ein Rätsel. Alle großen Suchmaschinen forschen seit Jahren mit
tausenden Spitzenprogrammierern an diesem Problem, ohne ein wirklich
brauchbares Ergebnis. Selbst wenn die Dateinamen Aufschluss geben
sollten, bleibt immer noch das Problem diese Datenmengen unbemerkt zu
übertragen um sie visuell auswerten zu können. Aber welcher Terrorist
benennt seine Film- und Bildersammlng schon nach seinen
Anschlagszielen? Dafür heissen jetzt alle Dateien in meiner
Filmesammlung Dschihad*. Ich wünsche dem BKA-Trojaner viel Spass mit
mehreren hundert Filmen und insgesamt etwa 700GB Datenmenge. Bei
geschätzen 220kb/sec Upload braucht der Bundestrojaner dafür etwa 37
Tage, bei voller Auslastung meiner Internetleitung, die übrigens viel
mehr übertragen kann als übliche Heim-DSL-Anschlüsse. Mit einem
üblichen Anschluss vervielfacht sich diese Zeit etwa fünf- bis zehnfach
und das, wie gesagt, bei vollständiger Auslastung der Bandbreite. Um
nicht aufzufallen darf die Schadsoftware nur einen Bruchteil der
Leitung belegen und dann bleibt immer noch zu hoffen, dass es keine
Schutzsoftware merkt oder dem User einfach das Blinken der
Netzwerkleuchte auffällt.
Interessanterweise kommt selbst eine
von den Befürwortern der Onlinedurchsuchung in Auftrag gegebenen Studie
zu dem Schluss, dass die Onlinedurchsuchung so nicht wirklich sinnvoll
ist und empfiehlt alternative Vorgehensweisen (http://www.heise.de/newsticker/meldung/96914), insbesondere das Belauschen der sogenannten kompromittierenden Abstrahlung (Tempest, http://de.wikipedia.org/wiki/Van-Eck-Phreaking
). Jedes Kabel und jeder Monitor senden Siganle aus, die sich mit
passender Gerätschaft auswerten lassen. Am bekanntesten sind die
Abstrahlungen von Röhrenmonitoren, die lassen sich selbst mit relativ
einfachen Mitteln und über große Entfernung auffangen und sichtbar
machen. Aber auch andere Geräte wie TFT-Displays, Drucker, Tastaturen
und ähnliches strahlen Tempest ab und können somit zumindest
theoretisch abgehört werden. Wie praktikabel das ist, ist mir nicht
bekannt, aber aus der Empfehlung der Studie schließe ich, dass es wohl
möglich sein muss solche Geräte abzuhören, andernfalls würde es keinen
Sinn machen einen solchen Rat auszusprechen, wo inzwischen Notebooks
und TFT-Displays zu Hause Standard geworden sind. Übrigens müssen die
Störabstrahlungen nicht zwingend “über die Luft” übertragen werden, sie
können auch über Telefon- oder Stromleitungen ausgekoppelt werden.
Für
den Endanwender stellt sich natürlich die Frage, wie man sich dagegen
schützen kann, von Schäubles Schadsoftware heimgesucht zu werden. Neben
den üblichen Sicherheitsmaßnahmen am Computer, die man grundsätzlich
einhalten sollte, schon um gefahrlos das Internet benutzen zu können,
muss man die verschiedenen Infektionswege kennen. Am einfachsten dürfte
das bei einem Windows-System mit Standardinstallation und
-konfiguration gehen. Da der Bundestrojaner eine speziell angepasste
Software ist, dürfte sie nicht in den Datenbanken der Virenscanner und
Personal Firewalls auftauchen und bei nicht ganz so dummen Vorgehen
wird auch die Heuristik (http://de.wikipedia.org/wiki/Heuristik)
nichts erkennen. In der öffentlichen Diskussion wurde seitens des
Innenministeriums schon verkündet, dass die planen, den Trojaner in
gefälschte Behördenmails einzubetten. Bei den genannten
Windows-Systemen ist das ein durchaus erfolgversprechender Weg. Aber
schon wer hier einen anderen Emailclient als Outlook benutzt und dieser
halbwegs sinnvoll konfiguriert ist, dürfte dem BKA einige Probleme
bereiten. Natürlich lassen sich Trojaner auch remote installieren, sei
es über bekannte Sicherheitslücken im Betriebssystem, installierte
Software, die eine Verbindung zum Internet aufbaut (zum Beispiel
Filesharingprogramme) oder Fernwartungssoftware wie Remote Desktop oder
VNC. Aber dazu ist sowohl die aktuelle IP-Adresse des Ziels als auch
dessen Systemkonfiguration wichtig, was für eine Behörde wie das BKA
nicht schwer sein sollte herauszufinden. Aber damit so ein Angriff
unbemerkt bleibt, braucht es Experten, die dem BKA, wenn überhaupt, nur
begrenzt zur Verfügung stehen.
Einfacher dürfte es für das BKA
sein, das Opfer selbst die Schadsoftware herunterladen zu lassen, sei
es über manipulierte Webseiten, indem sein Internetverkehr umgeleitet
und die heruntergeladenen Dateien durch mit dem Trojaner infizierte
ausgetauscht werden oder wie schon weiter oben beschrieben als
Email-Anhang. Aber da besteht das Problem, dass das Opfer die
Ratschläge des BSI (http://www.bsi.de/fachthem/sinet/index.htm)
beherzigen könnte und mit einem nichtprivilegierten Account auf seinem
Computer arbeitet und es für die Installation des Trojaners einfach
nicht genügend Benutzerrechte gibt. Bei der einzigen bisher bekannten
Onlinedurchsuchung, die natürlich vergeigt wurde, haben es die Behörden
so versucht, dass sie dem Opfer eine CD mit der angeblichen
Zugangssoftware seines Internetproviders in den Briefkasten gesteckt
haben, in der Hoffnung er würde sie installieren. Hat er aber nicht.
Trotzdem ist der Weg des Social Hackings nicht zu unterschätzen, kaum
einer kann dem gefundenen USB-Stick widerstehen oder schaut nach, was
sich auf der CD im Briefkasten oder einer Zeitung (die gegen die
original beigelegte CD ausgetauscht worden sein kann) befindet. Oder
man bekommt von einem Freund per ICQ oder MSN einen Tip, wo man sich
etwas ganz Tolles herunterladen kann. Das Dumme ist, solche Systeme wie
ICQ usw sind weder abhörsicher noch manipulationssicher und eine
Nachricht kann eingeschleust werden, so dass sie aussieht wie von
jemanden anderes. Hier helfen nur Signatur- und Verschlüsselungssysteme
wie OTR (http://de.wikipedia.org/wiki/Off-the-Record_Messaging)
weiter. Selbst GPG ist da kein Schutz, weil nur verschlüsselt, nicht
aber zwingend mit dem Key des anderen signiert wird. Jeder mit Zugriff
auf den Public Key kann damit Nachrichten verschlüsseln.
Der
Umweg, den Trojaner über Updates für Betriebssystem oder
Anwendungsprogramme einzuschleusen, ist wesentlich eleganter, zumal
diese immer mit den entsprechenden Rechten heruntergeladen und
installiert werden, in der Regel sogar automatisch. Aber auch das ist
nicht ganz so einfach, weil inzwischen alle halbwegs intelligenten
Betriebssysteme ihre Updatepakete signieren, so dass ein einfacher
Austausch sofort bemerkt werden würde. Selbst Windows-Updates sind
entsprechend signiert, wobei über die Qualität dieser Signatur wenig
bekannt ist. Für Schäubles Leute wäre es demnach zwingend, wollten sie
auf dem Weg ihren Trojaner verbreiten, sich mit den Herstellern der
Software zusammenzutun. Was ich mir bei Microsoft, Apple und diversen
anderen kommerziellen Anbietern noch gut vorstellen kann, dass es zu so
einer Kooperation kommt, bei Open Source Software, insbesondere bei
Community-gepflegten Projekten wie Debian oder FreeBSD, würde schon
eine solche Anfrage sofort öffentlich gemacht werden. Andere Anbieter
haben bereits jetzt angekündigt, dass sie auf keinen Fall eine solche
Kooperation eingehen werden, andere, insbesondere die Hersteller von
Sicherheitssoftware, die Schäuble erst kürzlich mit seiner
Neuformulierung des §202 (http://www.heise.de/newsticker/meldung/90250)
mächtig verärgert hat, haben sogar angekündigt den Bundestrojaner aktiv
zu bekämpfen. So lange es keine gesetzliche Pflicht gibt, mit dem
Innenministerium zu kooperieren, kann das sehr lustig werden. Sollte
die eingeführt werden, dann läd man sich seine Linux-Distribution und
andere Software einfach im Ausland herunter und checkt die Signaturen,
um Manipulationen auszuschließen.
Im Prinzip bleibt Schäubles
Haufen nur ein Weg, wollen sie ihre Schadsoftware sicher verteilen: Sie
müssen in die Wohnung des Opfers einbrechen und das gleich doppelt.
Zuerst müssen sie die Konfiguration des Computers herausbekommen, dann
nach Hause gehen und ihre Schadsoftware entsprechend anpassen, um
schließlich später wiederzukommen um sie zu installieren. Neben einem
physischen Einbruchsschutz (gute Schlösser, die sich nicht so einfach
spurlos picken lassen (http://www.ssdev.org/SSDeV/start.php)),
dürften WG’s oder Wohnprojekte einen guten Schutz darstellen, wenn
immer jemand zu Hause ist. Auch eine Alarmanlage ist nett, selbst
billige Angebote bei Conrad Elektronik oder aus dem Baumarkt sind bei
entsprechender Installation nur schwer zu umgehen. Grundsätzlich gilt,
je mehr Hürden es gibt, um so kleiner wird das Zeitfenster, welches
ausgenutzt werden kann. Kleine Fallen, Siegel oder ähnliche
Gemeinheiten runden den Spaß entsprechend ab. Auch eine Webcam am
eigenen PC, die die Manipulation aufzeichnet, erfreut die Beamten (http://www.go1984.de/).
Aber selbst einfachste Maßnahmen verhindern, dass ein PC unbemerkt
manipuliert wird, zum Beispiel indem er nicht heruntergefahren wird,
sondern dauernd läuft oder auch im Schlafmodus (stromsparen!) ist, und
der Bildschirmschoner mit Passwortschutz eingestellt ist. Um den
Rechner zu manipulieren, muss er ausgeschaltet werden, was sofort
bemerkt werden würde, wenn der Rechner neu gestartet wurde, es sei
denn, es gibt Sicherheitslücken, die im laufenden Betrieb ausnutzbar
sind, aber da kommen die Beamten sicher nicht in die Wohnung, sondern
nehmen einen der oben beschriebenen Wege.
Ein weiteren Weg,
der aber nur schwer zu bemerken ist, stellt manipulierte Hardware dar.
Statt die Software auf dem Rechner zu manipulieren, könnten einzelne
Komponenten getauscht oder zusätzlich eingebaut werden. Am einfachten
dürften solche Sachen wie Keyghost sein (http://www.keyghost.com/),
welche es in den verschiedensten Bauformen gibt und die alle
Tastatureingaben mitprotokollieren. Diese Geräte sind zum Teil sehr
billig (ab etwa 25 Euro) zu bekommen und betriebssystemunabhängig,
funktionieren also auch bei der Benutzung von Live-CD wie Knoppix und
sie zeichnen Bootpassworte auf. Eine Versiegelung des Computergehäuses
und der Tastatur schützen auch hier recht zuverlässig, vorausgesetzt
man benutzt keine Siegel, die sich einfach fälschen lassen. Natürlich
müssen die auch regelmäßig kontrolliert werden. Zum Beispiel ist ein
Daumenabdruck in Siegelwachs nur sehr schwer zu fälschen, selbst wenn
die Fingerabdrücke beim BKA vorliegen sollten, schon gar nicht in der
Kürze der Zeit, die die verbeamteten Einbrecher haben um den Rechner zu
manipulieren. Ausserdem hat man den Daumenabdruck immer dabei,
verlieren geht nicht so einfach. Am besten man tropft das Wachs über
die Gehäuseschrauben (eine pro Deckel reicht schon) und dann drückt man
den Daumen drauf. Um das Gehäuse zu öffnen muss das Siegel entfernt
werden. Klar geht das Gehäuse auch mit der Flex auf, aber das sollte
dann ein eindeutiges Merkmal sein, dass da wer rumgespielt hat.
Subtiler
sind die Manipulationen via Bluetooth, Funktastatur und ähnlicher
Schnittstellen. Hier gilt, dass grundsätzlich abgeschaltet werden
sollte, was man nicht braucht, sowohl am Handy als auch am Computer zu
Hause. Das spart nicht nur Strom, was insbesondere bei Mobilgeräten
vorteilhaft ist, es entledigt einen schwer zu beherrschenden
Angriffsvektor, vor allen bei Handys. Funktastaturen scheiden komplett
aus, nicht nur, dass sie in der Regel völlig unzureichend gegen Abhören
geschützt sind, es könnten über Funk sogar Befehle an den Computer
geschickt werden, die dann die Installation eines Trojaners
veranlassen. Wer nur etwas Sinn für Privatsphäre am Rechner hat, sollte
einen großen Bogen um Funktastaturen aller Art machen, nicht nur wegen
Behördenspionage, selbst ein neugieriger Nachbar kann mit einem
baugleichen Gerät oftmals ohne große Probleme einfach die
Tastatureingaben mitlesen, mit etwas technischen Know How kann eine
bessere Antenne angebracht werden, dann ist die Übertragung über
größere Entfernung kein wirkliches Problem. Selbst wenn die
Funktastatur eine Verschlüsselung anbieten sollte, weiss man nicht, wie
gut diese ist, ob es Implementationsfehler oder gar absichtliche
Hintertüren seitens des Herstellers gibt.
Gegen die
kompromittierende Abstrahlung gibt es im Prinzip zwei Gegenmaßnahmen,
die Abstrahlung durch Abschirmung soweit zu dämpfen, dass eine
sinnvolle Auswertung nicht mehr möglich ist oder die Abstrahlung mit
chaotischem Rauschen zu überdecken, was einerseits so stark ist, dass
es die Tempest-Abstrahlung überdeckt und andererseits so
unvorhersagbar, dass es nicht herausgefiltert werden kann. Es gibt
Geräte, die dieses leisten, aber die sind sehr teuer und müssen
ebenfalls vor Manipulation geschützt werden. Dazu kommt, dass der
Betrieb von Störsendern rechtlich schwierig ist und so allein der
Betrieb eines solchen Gerätes als Repressionsgrund herhalten könnte.
Abschirmung ist auch nicht ganz ohne, speziell abgeschirmte Computer-
und Monitorgehäuse sind sehr teuer und mitunter auch nur begrenzt
wirksam, zum Beispiel wenn man seine Hardware im Rechner aufrüstet kann
das die Schutzwirkung schon vermindern. Glücklicherweise erfordert die
Tempest-Überwachung einen hohen Aufwand an Personal und Gerätschaften,
so dass es eine recht hohe Hürde ist, es einzusetzen. Auf der anderen
Seite haben die Ermittlungen zu Andrej H. in Berlin und anderswo
gezeigt, dass selbst in solchen Bagatellfällen und insgesamt dürftiger
Beweis- oder Indizienlage das volle Programm seitens des BKA
aufgefahren wird. Bei dem durchgeknallten Innenminister und der
allgemeinen Stimmung ist nicht zu erwarten, dass sich das in naher
Zukunft ändert. Im Gegenteil, die Praxis zeigt, dass alleine politische
Betätigung reicht um sich verdächtig zu machen und mit dem vollen
Umfang an Überwachungsmaßnahmen konfrontiert zu werden. Der beste
Schutz ist immer noch das nötige Wissen sich selbst zu schützen und
eine angemessene Portion Paranoia.
* Ich war erstaunt
wie viele Berichte ich über manipulierte Beweismittel und
Falschaussagen von Polizeibeamten im Netz gefunden habe. Das ist eine
Sache, womit man durchaus mal einen Abend Realitätsabgleich bei Google
verbringen kann…
