Von Stefan Sasse
Dem CCC ist gestern ein gigantischer Coup gelungen: sie veröffentlichten Teile des Quellcodes der seit ungefähr 2008 im Einsatz befindlichen Quellen-Telekommunikationsüberwachung, dem so genannten "Bundestrojaner". Was dabei herausgekommen ist hat das Zeug dazu, das Watergate der deutschen Netzpolitik zu werden. Denn was hier passiert ist, spottet jeder Beschreibung. Noch unter der Ägide von Innenminister Schäuble wurden nicht nur Vorgaben des Bundesverfassungsgerichts für den Einsatz des Bundestrojaners klar missachtet, sondern auch noch der Bürger bewusst belogen und ein gigantisches Sicherheitsrisiko (O-Ton CCC: "wie ein Scheunentor") geschaffen. Zur Erinnerung: der Bundestrojaner sollte ursprünglich nur die Überwachungslücke schließen, die durch das Aufkommen von Internetkommunikation, besonders etwa der Internettelefonie, entstanden war. Es wurde versprochen, dass der Einsatz stark beschränkt sein würde und dass der Bundestrojaner außerdem quasi handgemacht für jeden Einsatz angepasst werde. All das war glatt gelogen und ist ein ebenso glatter Bruch verfassungsgerichtlicher Vorgaben.
Der Bundestrojaner kann nämlich wesentlich mehr. Zwar ist es richtig, dass er in seiner "Grundversion" nur den Vorgaben gehorcht. Nur, passend zu seiner Natur als Trojaner kann man ihn im Nachhinein beliebig aufrüsten, ohne jegliche Kontrolle. Über den installierten Trojaner können jederzeit weitere Dateien, ja ganze Programme auf den infizierten Rechner geladen werden. Er kann außerdem auf Mikrofon, Tastatur und andere Systeme des PCs zugreifen. Das heißt, dass letztlich der gesamte Rechner und seine Umgebung (über Mikrofon) dem Zugriff der Fahnder offensteht. Sie können sogar alle Passwörter von GMX-Account bis Onlinebanking auslesen, indem sie die Tastaturanschläge aufzeichnen; jede Verschlüsselung würde sinnlos. Sie können sich empfangene Mails zusenden und Dateien aufspielen, ganz nach Gutdünken. Denn der Trojaner enthält all diese Funktionen, entgegen - man muss es noch einmal sagen - den ausdrücklichen Vorgaben des BVerfG.
Der Vergleich mit Watergate ist absolut nicht weit hergeholt. Im Fall der HSH Nordbank hatten Privatdetektive kinderpornographisches Material auf dem Rechner ihres Opfer untergebracht um ihn damit zu kompromittieren. Mit dem Bundestrojaner ist so etwas kein Problem. Man könnte solches Material problemlos auf den Rechner transferieren, vielleicht auch gleich noch ein bisschen kompromittierende Mails und Skype-Protokolle einbauen wo man gerade dabei ist, vielleicht eine Bank-Überweisung in irgendein undurchsichtiges Konto tätigen und schon hat man seinen Schuldigen. Beweisen ließe sich davon nachher nichts. Oder, fast nichts.
Denn glücklicherweise ist, entsprechend Fefes Diktum, die Unfähigkeit der Überwacher immer noch der beste Schutz. Der CCC hat den Bundestrojaner, der eigentlich über eine Art Selbstmordfunktion verfügt, überhaupt nur analysieren können, weil die schlampigen Ermittler ihn nur gelöscht haben. Und wie jeder User mit etwas mehr als Standardkenntnissen weiß, heißt "Löschen" nicht, dass die Datei nachher auch weg ist. Der CCC konnte den Trojaner so von eingesandten Festplatten rekonstruieren. Mit den glücklichen Umständen hört es hier aber auch schon auf, denn das Innenministerium hat nicht nur bei den Fähigkeiten des Trojaners gelogen, der offensichtlich wesentlich mehr kann als ursprünglich behauptet. Sie haben auch darin gelogen, dass diese Trojaner individuell gebaut werden. Sie teilen offensichtlich alle denselben Programmcode. Wer ihn also einmal geknackt hat, wie der CCC jetzt, kann theoretisch auf andere mit dem Trojaner infizierte Rechner ebenfalls zugreifen - inklusive der Behördenrechner selbst! Das ist das scheunengroße Einfallstor.
Offensichtlich waren sich die Täter darüber im Klaren, dass das was sie hier tun nicht hasenrein ist. Ihr schlechtes Gewissen lässt sich an der Tatsache erkennen, dass der Server, über den die ganze Sache abgewickelt wird, in den USA steht. Ausgerechnet diejenigen, die ständig das dumme Wort vom "rechtsfreien Raum Internet" gebrauchen, stellen sich dezidiert außerhalb den Raum deutschen Rechts! Das ist an Heuchelei kaum mehr zu überbieten und stellt davon abgesehen vor handfeste Probleme. Was, wenn Daten in den USA "verloren gehen"? Oder wenn der dortige Server einfach mal von der CIA beschlagnahmt wird? Oder wenn US-Geheimdienste einfach die Scheunentor-Sicherheitslücken nutzen und mitspielen? Die groben Fahrlässigkeiten und offensichtlichen Versäumnisse, die die Behörden sich mit dem Trojaner geleistet haben, machen wütend. Nicht nur wird hier offenkundig das Gesetz gebrochen und der Bürger glatt angelogen, dazu macht man es auch noch wie jeder billige Computerkriminelle auf ausländischen Server und setzte damit intime deutsche Daten großer Gefahr aus. Zu dem Verrat am eigenen Bürger kommt die Gefährdung der nationalen Sicherheit, und das ausgerechnet von denen, die keine Möglichkeit auslassen eine Verschärfung von Sicherheitsmaßnahmen zu fordern.
Der Fall "Bundestrojaner" hat absolut das Zeug dazu, das Watergate deutscher Netzpolitik zu werden. Vermutlich haben viele das Ausmaß dessen, was hier geschieht, noch gar nicht verstanden. Deswegen ist es umso lobenswerter, dass ausgerechnet die viel kritisierte "Qualitätspresse" im Print sich der Thematik angenommen hat. Die Veröffentlichung wurde in enger Zusammenarbeit mit der FAZ vorgenommen, und auch die ZEIT hat sich beteiligt. Das ist sehr gut, denn diese Blätter stehen nicht gerade im Verdacht linksradikaler Umtriebe. Sie sind, abgesehen von der Springerpresse, vielmehr die konservative Avantgarde. Ihre Kritik ist einhellig und vernichtend. Es steht also zu hoffen, dass mehr als die üblichen Verdächtigen von den Geschehnissen erregt sein werden. Bedenkt man, dass die Piratenpartei schon vor diesen Geschehnissen in bundesweiten Umfragen auf 8% kam kann man sich ausmalen, was dieses deutsche Netz-Watergate bedeuten könnte. Die Thematik von Internetsicherheit und Bürgerrechten, von Überwachungsschutz und dem Umgang mit dem Bürger dürfte die politische Agenda nachhaltiger beeinflussen, als man sich das im Umfeld der Berlin-Wahl zuerst vorgestellt hat. Ich wäre jedenfalls nicht überrascht, wenn die Piraten sich als sechste Partei etablieren.
Links: FefeFAZZEITNotizblogLawblog
Dem CCC ist gestern ein gigantischer Coup gelungen: sie veröffentlichten Teile des Quellcodes der seit ungefähr 2008 im Einsatz befindlichen Quellen-Telekommunikationsüberwachung, dem so genannten "Bundestrojaner". Was dabei herausgekommen ist hat das Zeug dazu, das Watergate der deutschen Netzpolitik zu werden. Denn was hier passiert ist, spottet jeder Beschreibung. Noch unter der Ägide von Innenminister Schäuble wurden nicht nur Vorgaben des Bundesverfassungsgerichts für den Einsatz des Bundestrojaners klar missachtet, sondern auch noch der Bürger bewusst belogen und ein gigantisches Sicherheitsrisiko (O-Ton CCC: "wie ein Scheunentor") geschaffen. Zur Erinnerung: der Bundestrojaner sollte ursprünglich nur die Überwachungslücke schließen, die durch das Aufkommen von Internetkommunikation, besonders etwa der Internettelefonie, entstanden war. Es wurde versprochen, dass der Einsatz stark beschränkt sein würde und dass der Bundestrojaner außerdem quasi handgemacht für jeden Einsatz angepasst werde. All das war glatt gelogen und ist ein ebenso glatter Bruch verfassungsgerichtlicher Vorgaben.
Der Bundestrojaner kann nämlich wesentlich mehr. Zwar ist es richtig, dass er in seiner "Grundversion" nur den Vorgaben gehorcht. Nur, passend zu seiner Natur als Trojaner kann man ihn im Nachhinein beliebig aufrüsten, ohne jegliche Kontrolle. Über den installierten Trojaner können jederzeit weitere Dateien, ja ganze Programme auf den infizierten Rechner geladen werden. Er kann außerdem auf Mikrofon, Tastatur und andere Systeme des PCs zugreifen. Das heißt, dass letztlich der gesamte Rechner und seine Umgebung (über Mikrofon) dem Zugriff der Fahnder offensteht. Sie können sogar alle Passwörter von GMX-Account bis Onlinebanking auslesen, indem sie die Tastaturanschläge aufzeichnen; jede Verschlüsselung würde sinnlos. Sie können sich empfangene Mails zusenden und Dateien aufspielen, ganz nach Gutdünken. Denn der Trojaner enthält all diese Funktionen, entgegen - man muss es noch einmal sagen - den ausdrücklichen Vorgaben des BVerfG.
Der Vergleich mit Watergate ist absolut nicht weit hergeholt. Im Fall der HSH Nordbank hatten Privatdetektive kinderpornographisches Material auf dem Rechner ihres Opfer untergebracht um ihn damit zu kompromittieren. Mit dem Bundestrojaner ist so etwas kein Problem. Man könnte solches Material problemlos auf den Rechner transferieren, vielleicht auch gleich noch ein bisschen kompromittierende Mails und Skype-Protokolle einbauen wo man gerade dabei ist, vielleicht eine Bank-Überweisung in irgendein undurchsichtiges Konto tätigen und schon hat man seinen Schuldigen. Beweisen ließe sich davon nachher nichts. Oder, fast nichts.
Denn glücklicherweise ist, entsprechend Fefes Diktum, die Unfähigkeit der Überwacher immer noch der beste Schutz. Der CCC hat den Bundestrojaner, der eigentlich über eine Art Selbstmordfunktion verfügt, überhaupt nur analysieren können, weil die schlampigen Ermittler ihn nur gelöscht haben. Und wie jeder User mit etwas mehr als Standardkenntnissen weiß, heißt "Löschen" nicht, dass die Datei nachher auch weg ist. Der CCC konnte den Trojaner so von eingesandten Festplatten rekonstruieren. Mit den glücklichen Umständen hört es hier aber auch schon auf, denn das Innenministerium hat nicht nur bei den Fähigkeiten des Trojaners gelogen, der offensichtlich wesentlich mehr kann als ursprünglich behauptet. Sie haben auch darin gelogen, dass diese Trojaner individuell gebaut werden. Sie teilen offensichtlich alle denselben Programmcode. Wer ihn also einmal geknackt hat, wie der CCC jetzt, kann theoretisch auf andere mit dem Trojaner infizierte Rechner ebenfalls zugreifen - inklusive der Behördenrechner selbst! Das ist das scheunengroße Einfallstor.
Offensichtlich waren sich die Täter darüber im Klaren, dass das was sie hier tun nicht hasenrein ist. Ihr schlechtes Gewissen lässt sich an der Tatsache erkennen, dass der Server, über den die ganze Sache abgewickelt wird, in den USA steht. Ausgerechnet diejenigen, die ständig das dumme Wort vom "rechtsfreien Raum Internet" gebrauchen, stellen sich dezidiert außerhalb den Raum deutschen Rechts! Das ist an Heuchelei kaum mehr zu überbieten und stellt davon abgesehen vor handfeste Probleme. Was, wenn Daten in den USA "verloren gehen"? Oder wenn der dortige Server einfach mal von der CIA beschlagnahmt wird? Oder wenn US-Geheimdienste einfach die Scheunentor-Sicherheitslücken nutzen und mitspielen? Die groben Fahrlässigkeiten und offensichtlichen Versäumnisse, die die Behörden sich mit dem Trojaner geleistet haben, machen wütend. Nicht nur wird hier offenkundig das Gesetz gebrochen und der Bürger glatt angelogen, dazu macht man es auch noch wie jeder billige Computerkriminelle auf ausländischen Server und setzte damit intime deutsche Daten großer Gefahr aus. Zu dem Verrat am eigenen Bürger kommt die Gefährdung der nationalen Sicherheit, und das ausgerechnet von denen, die keine Möglichkeit auslassen eine Verschärfung von Sicherheitsmaßnahmen zu fordern.
Der Fall "Bundestrojaner" hat absolut das Zeug dazu, das Watergate deutscher Netzpolitik zu werden. Vermutlich haben viele das Ausmaß dessen, was hier geschieht, noch gar nicht verstanden. Deswegen ist es umso lobenswerter, dass ausgerechnet die viel kritisierte "Qualitätspresse" im Print sich der Thematik angenommen hat. Die Veröffentlichung wurde in enger Zusammenarbeit mit der FAZ vorgenommen, und auch die ZEIT hat sich beteiligt. Das ist sehr gut, denn diese Blätter stehen nicht gerade im Verdacht linksradikaler Umtriebe. Sie sind, abgesehen von der Springerpresse, vielmehr die konservative Avantgarde. Ihre Kritik ist einhellig und vernichtend. Es steht also zu hoffen, dass mehr als die üblichen Verdächtigen von den Geschehnissen erregt sein werden. Bedenkt man, dass die Piratenpartei schon vor diesen Geschehnissen in bundesweiten Umfragen auf 8% kam kann man sich ausmalen, was dieses deutsche Netz-Watergate bedeuten könnte. Die Thematik von Internetsicherheit und Bürgerrechten, von Überwachungsschutz und dem Umgang mit dem Bürger dürfte die politische Agenda nachhaltiger beeinflussen, als man sich das im Umfeld der Berlin-Wahl zuerst vorgestellt hat. Ich wäre jedenfalls nicht überrascht, wenn die Piraten sich als sechste Partei etablieren.
Links: FefeFAZZEITNotizblogLawblog