Diskurs Bundestrojaner
Aus Iundg2008
wird bearbeitet von millstone (theGroup)
Technik: [fl]Referent:[qb]
Macht: [Reso]
Ideologie: [klausdieter]
Normen: [Couch_Boa]
Kommunikation: [sumpfi]
Technik:
Gesicherte Erkenntnisse?
Aktuelle Quellen kaum zu nennen, da keine gesicherten Quellen zur technischen Umsetzung existieren, daher alles nur Spekulationen. Exaktes über technisches Vorgehen / Probleme bei Online-Durchsuchen wird erst bekannt werden, wenn erste Exemplare des "Bundestrojaners" in der realen Welt auftauchten und analysiert wurden. Möglichst lange Geheimhaltung ist auch im Interesse der eventuell verbreitenden Behörden und somit werden von dieser Seite auch keine Informationen verbreitet werden.
Alles in allem sollte Entwicklung extrem komplex und aufwändig sein und mit aktueller Kostenplanung (2 Programmierer, 200k Euro Kosten) kaum zu realisieren sein, auch wenn die technischen Probleme ausgeräumt sind.
Verbreitungsmöglichkeiten:
- Unter "Mithilfe" des Anwenders nach dem Prinzip aktueller Trojaner. Der Anwender müsste bspw. einen eMail-Anhang öffnen
- Einschleusen in Downloads, realisierbar
über zwingen der Provider, spezielle Proxyserver bereitzuhalten, die den Bundes-Code in beliebige Downloads einschleusen könnten. ->
Kosten und Aufwand für Privatwirtschaft - Ausnutzen von Sicherheitslücken in
Applikationen. Diese dürften nach Bekanntwerden aber relativ schnell
geschlossen und somit wertlos werden. Lücken kaum aufzuspüren, zwar Schwarzmarkt erhältlich, aber extrem teuer, und dieser Weg auch nicht für Behörde akzeptabel
- eine Mögliche technische Umsetzung ist bislang noch nicht bekannt, allerdings dürften sehr viele praktische Probleme bei dem Erstellen eines "Bundestrojaners" auftreten:
- Soll eine Online-Durchsuchung bei einer bestimmten Person erfolgen, und nicht generell technische Möglichkeiten hierzu gegeben werden, so müsste das Zielsystem genau identifiziert werden (Betriebssystem und ähnliches) um einen entsprechenden Angriff durchzuführen, aber wie sollte dies geschehen
- Kompromitierung des Zielsystems, es entstehen durch die Benutzung angreifbare Schwachstellen, die andere ausnutzen können, den Computer nach ihrem Belieben zu manipulieren. Selbst wenn dies nicht absichtlich geschieht, so ist es doch höchstwahrscheinlich, dass diese durch Programmierfehler, welche in nahezu jedem Programm auftreten, erzeugt werden.
- Größe von Daten auf Festplatten übersteigen die Möglichkeiten der Übermittlung, selektive Auswahl möglich, doch wie, ohne alle Daten anzusehen
- Möglicher entstehender Schaden: verlorene Prozessorzeit, bei allen Nicht-Flatrate-Kunden Traffic der bezahlt werden muss
- Unverändertheit der Daten kann nicht garantiert werden
- Programm würde vermutlich von Viren- oder Malwarescannern erkannt werden, verhinderbar nur durch Kooperation mit allen Herstellen (unwahrscheinlich, einige Hersteller verfolgen die entgegengesetzte Strategie und wollen identifizieren und neutralisieren können, etwa Kaspersky). Wenn nicht, dann mutmaßliche Entdeckung spätestens wenn das Programm Kontakt zu seinen Versendern aufnimmmt. Möglich zur Verhinderung wäre Trennung von Infiltrations- und Spionagesoftware. Erstere könnte dauernd verändert werden und so Virenscannern etc. entgehen und dann zweite nachladen, diese würde ab dem ersten Bekanntwerden aber vermutlich wieder entdeckbar sein.
- Durchsuchung müsste heimlich erfolgen, da diese sonst einfach von Zielperson verhindert werden könnte (Internetverbindung trennen). Konflikt zur rechtsstaatlichen Untersuchungshandlung. Somit auch starker Eingriff in die Privatspähre, erst recht wenn evenetuell Mikrofone und Kameras der Computer angezapft werden
- noch viele ungeklärte Fragen mehr...
http://www.heise.de/security/artikel/86415/0
Macht:
Seien hier die Politik(im Konkreten die Regierung), die Privatpersonen und die Wirtschaft genannt.
- Politik
- (Regierung) hat sehr wohl die Macht, Onlinedurchsuchungen gesetzlich legitim zu machen (per Stand jetzt nicht gesetzeskonform)
- hätte die Macht, (deutsche) SW-Produzenten per Gesetz zu zwingen, die SW-technischen Voraussetzungen zu schaffen bzw. die "Onlinesuche" zu ermöglichen
- Macht, Ihre noch so weit hergeholten Begründungen als entscheidendes Kriterium anzusetzen, um die gesetzliche Durchsetzung voranzutreiben
- Macht, die doch eher kriminelle Vorgehensweise unter den Deckmantel der Sicherheit für das Land, des Friedens und der Kriminalitäts- bis hin zur Terrorbekämpfung e.t.c. zu stellen
- ob auch die Macht, wirklich jeden online zu durchsuchen? (Expertenwissen = höherer Selbstschutz vor Onlinedurchsungen)
- auch die Macht, jederzeit "up2date" zu sein, um ständiges "Umgehen" und "Blocken" zu unterbinden? (Analogie: Computerviren vs. Antivirensoftware - eine Seite ist der Anderen immer einen Schritt voraus, aber oft auch nicht lange)
- Privatepersonen
- generell wenig Macht bzw. Einflussnahme auf die Entscheidungsfällung, Macht eher bezogen auf den zum Einsatz gekommenen "Bundestrojaner"
- Macht, technische Barrieren zu schaffen bzw. vorhandene zu Einsatz bringen (macht man sich dann strafbar??? oder gar verdächitg???)
- Macht, alle technischen Erkenntnisse über den "Bundestrojaner" zu Verbreiten, um sich dagengen zu wehren/schützen
- Wirstschaft (im Speziellen "SW-Produzenten")
- Macht, die Politik zu beeinflussen (in beide Richtungen)
- gegensteuern ; erste Bedenken siehe http://www.heise.de/newsticker/meldung/88659
- konform zu gehen und Ihre SW von Hause aus mit "Backdoor´s" zu versehen
- technische Voraussetzungen zuschaffen bzw. mitzugestallten (analog - Speicherungsverpflichtungen der Onlineservicesprovider)
Ideologie:
Der Kerngedanke des Bundestrojaners besteht laut offiziellen Aussagen in der "Terrorabwehr".
Hierbei soll die "Sicherheit" der Bürger der Bundesrepublik Deutschland durch präventive "Online-Durchsuchungen" gewährleistet werden.
Eine Software würde diesbezüglich den heimischen PC überwachen und übeträgt bei "Gefahr" verdächtige Daten an 37 Sicherheitsbehörden darunter das Gemeinsame Terrorismusabwehrzentrum (GTAZ) des Bundesinnenministeriums.
Es handelt sich laut Aussagen um "den Austausch von Informationen zu Sprengvorrichtungen, eine konkrete Anschlagplanung, die Unterstützung für den internationalen Dschihad und die Anwerbung für ein Selbstmordattentat über das Internet, Recherchen zu einem möglichen Landesverrat durch die Weitergabe von Konstruktionszeichnungen und das Aufklären von Umtrieben eines fremden Geheimdienstes."
Momentan verstößt diese geplante Handhabe gegen mindestens ein grundlegendes Grundgesetz - den geschützten Kernbereich privater Lebensgestaltung. Der 3. Strafsenat des Bundesgerichtshofs hat auf die Beschwerde des Generalbundesanwalts dieses auch abgelehnt.
Personen
- Jörg Ziercke (CDU), Präsident des Bundeskriminalamtes
- Wolfgang Schäuble
"So, wie unter bestimmten Voraussetzungen aufgrund richterlicher Entscheidungen Telefone und Post kontrolliert werden können, so muss man natürlich auch die Chance haben, die neuen Kommunikationsformen zu erreichen."
- Uwe Schünemann (CDU)
UPDATE
Online-Durchsuchungen laufen bereits: http://www.heise.de/newsticker/meldung/88824
Quellen (Stand 25.04.07)
<a name="Bundestrojaner">http://bundestrojaner.zenzizenzizenzic.de/</a>
http://juris.bundesgerichtshof.de/cgi-bin/rechtsprechung/document.py?Gericht=bgh&Art=pm&Datum=2007&Sort=3&nr=38775&pos=0&anz=17
http://www.heise.de/newsticker/meldung/87421
http://www.spiegel.de/netzwelt/web/0,1518,464405,00.html
http://www.heise.de/newsticker/meldung/82962
http://www.heise.de/tp/r4/artikel/24/24587/1.html
Normen:
Kommunikation:
Wegen fehlender rechtlicher Grundlage hatte der Bundesgerichtshof Bespitzelungen privater PCs oder von Speicherplattformen im Internet durch die Polizei Ende Januar untersagt. Seitdem fordern insbesondere Bundesinnenminister Wolfgang Schäuble und das Bundeskriminalamt (BKA) die rasche Schaffung einer gesetzlichen Basis für die umkämpfte Ausforschungsmaßnahme.
Die Bundesregierung hält zudem Online-Durchsuchungen durch die Geheimdienste bereits aufgrund einer vagen Passage im Bundesverfassungsschutzgesetz für machbar. Eine ausdrückliche gesetzliche Verankerung derartiger nachrichtendienstlicher Befugnisse hat bislang nur Nordrhein-Westfalen unter einem FDP-geführten Innenministerium geschaffen.
In der hitzigen Debatte über die Sicherheitsplaene von Bundesinnenminister Wolfgang Schäuble hat sich der SPD-Innenpolitiker Dieter Wiefelspütz klar für die umstrittenen Online-Durchsuchungen ausgesprochen. Er wandte sich in der Neuen Osnabrücker Zeitung auch gegen die massive Kritik des Bundesdatenschutzbeauftragten Peter Schaar. "Für mich ist klar, dass wir diese Ermittlungsmaßnahme brauchen. Ebenso klar ist aber, dass sie nur mit sehr hohen Hürden und in extremen Ausnahmefaellen zum Einsatz kommen kann", sagte Wiefelspütz. Er rechne mit einer Größenordnung von etwa 10 bis 20 Fällen pro Jahr.
Schaar hatte die Plaene zum Ausspaehen privater Computer über das Internet in seinem Datenschutzbericht als "nebulös" bezeichnet, was Wiefelspütz als "unfair" zurückwies. "Die Arbeit an den Details dieser rechtlich heiklen Maßnahme hat gerade erst begonnen. Da ist es nur logisch, dass es im Moment noch mehr Fragen als Antworten gibt." Wiefelspütz betonte zugleich, dass die SPD genau prüfen werde, ob Schaars Vorwurf massiver Versaeumnisse der Regierung beim Datenschutz zutreffe. "Wir werden sicher nicht zulassen, dass Datenschutz als Täterschutz diffamiert wird" – es handele sich vielmehr um ein zentrales Bürgerrecht.
Auch Unions-Fraktionsvize Wolfgang Bosbach (CDU) wies Schaars Vorwurf zurück, die Regierung vernachlässige sträflich den Schutz der Daten von Bürgern. So sei das Instrument der Online-Durchsuchung unverzichtbar für die Gefahrenabwehr. Bosbach: "Sonst gibt es im Internet einen geschützten Raum für Verbrecher, der vom Staat nicht kontrolliert werden kann."
BKA-Praesident Jörg Ziercke bemüht sich derweil, Bedenken gegen unverhältnismäßige Grundrechtseingriffe bei Online-Durchsuchungen auszuräumen. Es komme darauf an, „dass wir sehr auf den Einzelfall bezogen eine Maßnahme entwickeln, die ganz gezielt auf die spezielle Umfeldsituation programmiert wird“. In einem Interview führte der Sozialdemokrat aus, dass durch den Einsatz von „Schlüsselbegriffen“ sichergestellt werde, dass private Dateien vom durchsuchenden Programm nicht zur Kenntnis genommen würden und der Kernbereich der privaten Lebensgestaltung geschützt bleibe.
Quellen:
http://www.heise.de/ct/07/09/038/
http://www.heise.de/newsticker/meldung/88790