Die herrschende Meinung

Eigentlich hat es jeder PC-Nutzer selber in der Hand, ob er Vater Staat mittels Remote Forensic Software Zugriff auf seine Daten erlaubt oder nicht. Dazu benötigt er nicht teure Antiviren-Software geltungsgeiler Hersteller. Nein, schon einfache Bordmittel reichen aus, um die Big-Brother-Wanze auf Distanz zu halten.

Hier eine unvollständige Aufzählung:

• Systempasswort aktivieren: Jedes moderne BIOS eines PC bietet die Möglichkeit ein Systempasswort zu setzen. Dann startet der PC erst nach Eingabe des Codewortes. Das lässt sich zwar unter Umständen umgehen, aber während einer Zollkontrolle, wo man seinen Laptop aus dem Blick verliert, lässt sich das nicht aushebeln. Inbesondere nicht von Beamten, die ihr Computer-Wissen aus dem VHS-Kurs "So funktioniert das Internet" haben.
• Linux verwenden: Aufgrund der Architekturvielfalt beim offenen Betriebssystem Linux wird es Herstellern schwer fallen einen maßgeschneiderten Trojaner für eine besondere Linux-Variante herzustellen. Und wenn einem dieses Wegducken durch ein exotisches Betriebssystem zu risikobehaftet ist, so lässt sich unter Linux noch einfach eine Festplattenverschlüsselung integrieren. MacOS würde ich im Übrigen nicht empfehlen. Da ist die Firmenpolitik von Apple zu undurchsichtig, als dass die vielleicht doch eine Hintertür in ihr System eingebaut haben (freiwillig oder nicht).
• Exotische Software verwenden: Trojaner können nicht nur durch eine geheime Durchsuchung aufgebracht werden, sondern auch durch Webseiten oder Email-Attachements, die speziell präpariert sind. Um diese Attachements oder Webseiten aber präparieren zu können, muss die vom Opfer verwendete Software und darin enthaltene Schwachstellen bekannt sein. Bei exotischer Software ist die Wahrscheinlichkeit geringer, dass Schwachstellen bekannt sind. Die Wahrscheinlichkeit, dass Schwachstellen vorhanden sind, aber nicht!
  
• Flash und Adobe Reader nicht verwenden: Beide Programme zählen zu den Einfalltoren Nr. 1 für Malware. Deshalb Finger weg.
• ...
  

Der CCC teilt mit, er hätte eine Überwachungssoftware gefunden, die von staatlichen Institutionen eingesetzt würde und dabei auf gröbste die Vorgaben des Bundesverfassungsgerichtsurteils 1 BvR 370/07 verletzt. Einige deutsche Leitmedien haben das Thema mit aufgriffen und zeigen sich auf's Äußerste empört.

Nur:

1. Wieso sind sich die CCC-Leute so sicher, dass es sich um eine deutsche und staatliche Spionagesoftware handelt und nicht um das Werk russischer Krimineller oder chinesischer Geheimdienste? Einen Beleg für die "deutsche Herkunft" habe ich den CCC-Quellen nicht gefunden.
2. Selbst wenn es ein "deutscher Bundestrojaner" ist: Woher wissen die Analysten, dass er nicht doch die Vorgaben des BVerfG einhält und zum Schutze wichtigster Rechtsgüter eingesetzt wurde? Hier für spricht ja u.a. die "quick&dirty" Umsetzung des Programms.

Nun gut, vielleicht habe ich auch nur etwas überlesen...

Update: Jens Ferner schlägt in die selbe Kerbe.

Update II: heise.de klärt auf. Warum nicht gleich so?

Pressemitteilung der Piratenpartei:

Die Piratenpartei kritisiert auch den neuen Entwurf des BKA-Gesetzes. Die berechtigte Kritik der Fachleute wurde wieder nicht berücksichtigt. Es bleibt bei kosmetischen Korrekturen. Nach wie vor ist die Online-Durchsuchung ohne richterlichen Beschluss möglich. "Die Exekutiv-Befugnisse des BKA sind in dieser ungezügelten Form nicht akzeptabel", so Arne Ludwig, Kandidat für das EU-Parlament. "Und der Einsatz des Bundestrojaners bei Gefahr im Verzuge erscheint als schlechter Witz. Erst beteuert man, dass nur auf den Einzelfall zugeschnittene Software eingesetzt werden kann, die über viele Monate entwickelt werden muss, und dann braucht man angeblich eine Eilbefugnis ohne richterliche Kontrolle."

Auch die auf das Jahr 2020 terminierte Befristung wird von den PIRATEN scharf kritisiert: "Die Frist ist viel zu lang. Genausogut hätte man die Befristung auf das Jahr 2150 setzen können", so Ludwig. "Eine solche Frist dient doch der zeitnahen Überprüfung der Wirksamkeit. Ich bin aber optimistisch, dass das Bundesverfassungsgericht das Gesetz noch vor Ende dieser Frist korrigieren wird."

Die Piratenpartei hat die heimliche Online-Durchsuchungen immer wieder kritisiert, da sie schon aus technischer Hinsicht nicht mit rechtstaatlichen Mitteln durchführbar ist. Der Zugriff auf Privatcomputer ist ein schwerer Eingriff in die Privatsphäre, der weder heimlich, noch ohne richterliche Kontrolle geschehen darf.

Auch in anderen Bereichen hat die Piratenpartei das neue BKA-Gesetz immer wieder kritisiert: Das Aussageverweigerungsrecht wird aufgeweicht und geheimdienstliche Mittel in den Werkzeugkasten des BKA aufgenommen. Die Ermächtigungen sind häufig unbestimmt und weitreichend, während die Kontrolle der neuen Befugnisse stark vernachlässigt wird. Unklar bleibt, ob auch unverdächtige Kontaktpersonen weiterhin wie Kriminelle behandelt werden sollen.

Wie der Saarländische Rundfunk in seinem Videotext berichtet, befürwortet der saarländische Innenminister Klaus Meiser die Einführung der Online-Durchsuchung.

Diese Maßnahme solle aber nur bei einer nachweisbaren Terrorgefährdung zum Einsatz kommen. Es gehe bei den Onlinedurchsuchungen nicht um die Einschränkung von Persönlichkeitsrechten.
So sei ein solcher Einsatz in Deutschland nur zwei- bis dreimal im Jahr nötig.

Ob in dem Redaktionsgespräch zwischen dem SR und dem Innenminister auch auf das Bundesverfassungsgerichtsurteil zur Online-Durchsuchung eingegangen wurde, geht aus dem Beitrag nicht hervor.

Gerade hat der BGH fesgestellt:

Die "verdeckte Online-Durchsuchung" ist mangels einer Ermächtigungsgrundlage unzulässig. Sie kann insbesondere nicht auf § 102 StPO gestützt werden.

Und schon kontert der Bundesinnenminister:

„Aus ermittlungstaktischen Gründen ist es unerlässlich, dass die Strafverfolgungsbehörden die Möglichkeit haben, eine Online-Durchsuchung nach entsprechender richterlicher Anordnung verdeckt durchführen können. Hierdurch können regelmäßig wichtige weitere Ermittlungsansätze gewonnen werden. Durch eine zeitnahe Anpassung der Strafprozessordnung muss eine Rechtsgrundlage für solche Ermittlungsmöglichkeiten geschaffen werden“

Was auffällt ist, dass in der Pressemitteilung des Bundesinnenministeriums nicht ein Wort fällt, dass mit "Terror*" beginnt. Diese Wörter kann man dort wahrscheinlich auch schon nicht mehr hören.

Hier noch zwei Links der politischen Gegner zu diesem Thema:

• Bundesgerichtshof stärkt erneut die Grundrechte
• Computer ist kein rechtsfreier Raum

Einen faszinierenden Beitrag habe ich gerade bei golem.de im Forum gelesen: Staats-Hacking: Das Durchführungs-Konzept

Kurz zusammengefasst steht dort, dass von kontrollierten Internet-Vermittlungsstellen Datenpakete an einen "Verdächtigen" abgefangen und soweit manipuliert werden, dass sie bisher unbekannte Sicherheitslücken zur Installation des Trojanischen Pferdes ausnutzen. Da es sich um "individuelle Trojaner" handelt, werden diese nicht von Antiviren-Software erkannt und Hardware-Firewalls schlagen nicht an, da die Pakete vorher von dem Zielrechner angefordert wurden. Software-Firewalls können ggf. den "unerlaubten" ausgehenden Traffic des Trojaners wahrnehmen, wenn diese nicht auch Ziel des Hackings sind. Diese zentrale Möglichkeit der Verbreitung der Bundestrojaner würde auch die relativ niedrigen Entwicklungskosten der Überwachungssoftware erklären.

Als einziges Gegenmittel gegen eine solche Bedrohung eines Computers ist mir nur der exklusive Einsatz von virtuellen Maschinen für die Kommunikation über das Internet eingefallen. Diese müssten nach jeder Nutzung in ihren nicht-infiltrierten Ausgangszustand zurückgesetzt werden und auf einem externen Datenlaufwerk sollten nur nicht ausführbare Daten vorgehalten werden.

Land auf, Land ab wird gerade wieder eine neue Sau durchs Dorf getrieben: Der Hackerangriff oder besser die "virtuelle Hausdurchsuchung" durch den Verfassungsschutz bzw. das BKA. Mit Hilfe von Hackingtechniken sollen Spionageprogramme auf den Computern von Terroristen oder Landesverrätern installiert werden. So soll der § 5 II des Verfassungsschutzgesetz NRW nun wie folgt lauten:

(2) Die Verfassungsschutzbehörde darf nach Maßgabe des § 7 zur Informationsbeschaffung als nachrichtendienstliche Mittel die folgenden Maßnahmen anwenden:

Nr. 11
heimliches Beobachten und sonstiges Aufklären des Internets, wie insbesondere die verdeckte Teilnahme an seinen Kommunikationseinrichtungen bzw. die Suche nach ihnen, sowie der heimliche Zugriff auf informationstechnische Systeme auch mit Einsatz technischer Mittel. Soweit solche Maßnahmen einen Eingriff in das Brief-, Post- und Fernmeldegeheimnis darstellen bzw. in Art und Schwere diesem gleichkommen, ist dieser nur unter den Voraussetzungen des Gesetzes zu Artikel 10 Grundgesetz zulässig;

Meiner Ansicht nach dient diese Diskussion nur für ein besseres Gefühl der inneren Sicherheit. Das durch Hacking-Attacken Leuten beigekommen werden kann, die oft leider einen IQ überhalb der Aussentemperatur haben, ist in weiten Teilen Illusion. Man stelle sich das in Spiegel online geschilderte Szenario vor, dass einer verdächtigen Person eine "interessante Datei" zugespielt wird, die die entsprechende Spyware enthält. Hegt die Zielperson nur den kleinsten Verdacht wird sie sich die Datei in einer Virtual Machine oder einem zum Honeypot umfuktionierten Rechner anschauen. Dort ist die Spyware dann gefangen und liefert genau die Daten aus, die der Verdächtige auch ausliefern will.

Auch ein anderes Problem, das Spiegel online schildert, dürfte für die ermittelnden Stellen schwierig zu lösen sein:

Für das BKA dürfte das Hauptproblem sein, dass gute Hacker schwer zu bekommen sind. Wer sich wirklich auskennt mit Sicherheitslücken und Trojanern, Viren und Hintertürchen, der lässt sich lieber von einem Großunternehmen oder einem Hersteller von Virensoftware gut bezahlen. Dem Innenministerium müssen Beamten-Besoldungsgruppen und der Dienst am Vaterland als Argumente ausreichen.