Überwachung - 16

Irgendwie werde ich das Gefühl nicht los, dass uns alle verarschen. Jetzt sind alle Politiker aus dem Sommerloch zurück und bereiten sich auf den Postenkampf nach der Machtübernahme in Bayern vor. Und Frau Merk, unsere Justizministerin äussert sich zum Bundestrojaner:

[Es kann] selbstverständlich auch Situationen geben [...], in denen es nicht möglich ist, eine richterliche Genehmigung einzuholen, in denen die Zeit einfach so drängt. Und in solchen Fällen - und ich sage, das sind wirklich absolute Ausnahmefälle - muss es dann auch möglich sein, dass zuallererst eben durch einen hochrangigen Staatsanwalt eine entsprechende Entscheidung getroffen wird und hernach dann durch den Richter.

Da spricht einerseits der BKA-Chef von Spezialsoftware, die individuell auf den Zielrechner zugeschnitten ist, weshalb man ja auch nur 10 Stück pro Jahr schaffen wird. Andererseits kann sich die Justizministerin vorstellen, dass es Eilfälle gibt, wo man nicht rechtzeitig einen Richter aus dem Bett holen kann. Falls es wirklich so ist, dass die Softwarespezialisten unserer Geheimdienste schneller ihre Hacks schreiben als unsere Richter einen Durchsuchungbeschluss, sollten wir dringend in den Nachtschichtausgleich oder die Schreibmaschinenkurse unserer Justiz investieren...

[Zum Richtervorbehalt] verpflichtet uns der Rechtsstaat, und er verpflichtet uns auch dazu, dass wir, wenn eine solche Durchsuchung gemacht wird, hernach aus datenschutzrechtlichen Gründen die Betroffenen davon benachrichtigen.

Fein, dass unser Rechtsstaat so hoch geschätzt wird. Bei der Telefonüberwachung drückt sich diese Wertschätzung darin aus, dass 2,3% aller Überwachten von der Staatsanwaltschaft von sich aus darüber informiert wurden, 50% anlässlich der Anklageerhebung. Oder anders ausgedrückt: 94% aller unschuldig Überwachten wurden nicht verständigt.

So richtig ärgerlich fand ich den vorletzten Satz der Ministerin:

Frage: Von wem gehen diese Fehlinformationen aus?

Merk: Die gehen sicherlich von Diskutanten mit aus, die ideologisch verbrämt diskutieren, die hier Dinge ansprechen, die vor allen Dingen schon allein von der Technik her überhaupt nicht möglich sind und damit natürlich Ängste wecken, ganz klarer Fall.

Bis jetzt kam der technische Unsinn ja hauptsächlich aus der Ecke der Befürworter der heimlichen Onlinedurchsuchung.

Zur Behauptung "Wir müssen wegkommen von diesen Gespensterdebatten, von diesen Horrorszenarien, dass eine flächendeckende Durchsuchung gemacht würde, geplant wäre oder überhaupt technisch möglich wäre. Das alles ist nicht der Fall. Es ist ein begrenzter Bereich schwerster Straftaten" hilft vielleicht ein Blick auf die Statistik der Bundesnetzagentur zur Telefonüberwachung [Quelle (PDF)]. Entweder ist die Schwerkriminalität in den letzten 8 Jahren enorm gestiegen oder der Trend geht tatsächlich in Richtung "flächendeckende Überwachung". Auffällig ist auch der fehlende Peak um 2001 rum. Anscheinend hat der Terrorismus nicht sonderlich zugenommen.

Vielleicht liegts aber auch nur daran, dass die Gattinnen unserer Geheimdienstmitarbeiter zunehmend untreu werden und man dringend an die Mails der Nebenbuhler kommen muss.

Ich muss meinen Beitrag vom 3.8. zurücknehmen. Das war alles Stuss, was Herr Ziercke und seine zwei Experten der Chip verraten haben. Sagt jedenfalls das BKA:

Eine BKA-Sprecherin erklärte auf Nachfrage, das Gespräch mit Ziercke sei nicht autorisiert gewesen.

Wie muss man sich diese Sommerpause in der Politik eigentlich vorstellen? Handeln die zurückgebliebenen untergeordneten Beamten eigentlich im Auftrag und schmeissen Nebelgranaten wenn der Chef weg ist? Oder muss ich mir das eher so vorstellen, dass die Eltern aus dem Haus sind und die Kinder in der sturmfreien Bude Party machen und sich ein neues Terrorabhörzentrum aus den Sofakissen zusammenschieben wo sie dann zusammensitzen und sich Szenarien irgendwo zwischen 007 und Star Wars ausdenken?

Fest steht: Nix genaues weiss ma ned. Die Fachwelt rätselt wies funktionieren soll, aber alle sind sich ganz sicher, dass man die Online-Durchsuchung dringend braucht und man keinen Tag länger warten darf.

Wenn ich mir so durchlese, was Chip beim Hintergrundgespräch mit BKA-Chef Zierke, seinem Pressesprecher, dem IT-Chef und dem Entwickler des Schnüffel-Tools so rausbekommen hat, frag ich mich schon, welches Bild die so von ihrer Kundschaft haben:

... obliegt es einem BKA-Team, einen Weg zum PC des Verdächtigen zu finden. Das mag in seltenen Fällen tatsächlich ein E-Mail-Trojaner sein; aufgrund der mageren Erfolgsaussichten bevorzugt man in Wiesbaden aber robustes Agenten-Handwerk: heimlich in die Wohnung eindringen und Images von allen PC-Festplatten ziehen.
Diese Daten analysiert dann der BKASoftware- Entwickler und bastelt ein Tool, das perfekt auf die Rechner-Umgebung zugeschnitten ist.

Entweder ist das alles nur Unsinn zur Beruhigung der Bevölkerung, oder die gehen wirklich ein wenig blauäugig an die Sache ran.

Ich glaube nicht, dass die alle Daten bei mir kopieren können, bevor ich aus der Arbeit heimkomme. Da müssten sie schon warten, bis ich mal wieder im Ausbildungscamp für längere Zeit im Ausland sitze. Ich glaube nicht mal, dass die eine Kopiermaschine mit allen passenden Schnittstellen zur Hand haben und meine kriminellen Aktivitäten werde ich eh nur noch auf dem SPARC-I-Clon planen, sowas kennen die jungen Beamten vom IT-Stosstrupp nicht mehr...

Nein, ich glaubs nicht. Das ist wieder ein Ablenkungsmanöver, sonst hätte ja auch Herr Uhl gelogen, als er dem PC-Magazin sein Interview gab. Bei dem klang das noch viel internetmässiger:

Während das BKA auf Nachfrage zu technischen Details der Online-Durchsuchung öffentlich keine Stellung nehmen will, verrät der innenpolitische Sprecher der Bundestagsfraktion der CDU/CSU, Dr. Hans-Peter Uhl, gegenüber der Onlineredaktion schon einmal Einzelheiten und spricht von entwickelten Spionageprogrammen, „die über das Trojaner-Prinzip hinausgehen". Diese würden Computer automatisch nach ungesicherten Einfallstoren durchsuchen, sobald sie sich im Internet anmelden. Doch der elektrische Spion soll noch mehr können: „Nach getaner Arbeit deinstallieren sich die Spione dann selbst und verschwinden unerkannt".

In den USA gibt es ja gerüchteweise schon länger das, was bei uns Bundestrojaner genannt wird. Die Amis nennen das CIPAV (Computer and Internet Protocol Address Verifier) und verwenden es wohl weniger als heimlichen Schnüffler auf der Festplatte als vielmehr als Spürhund für versteckte Surfer.

Jetzt gibts erstmalig (soweit ich weiss) eine Dokumentation zu diesem Programm, nachzulesen in einer beeideten Erklärung eines FBI-Agenten zu einem Gerichtsverfahren wegen falscher Bombendrohungen. Die Geschichte wird bei Heise, Gulli und c|net erzählt, deshalb nur in Kürze:

Ein Schüler einer high school eröffnet einen Account bei Myspace, lädt andere Schüler ein, unterhält sich mit denen über ein Sprengstoffattentat auf seine Schule. Er schickt auch Bombendrohungen an die Schule die zur Evakuierung derselben führt.
Zum Anmelden bei Myspace und in seine Mailaccounts verwendet er aufgemachte Proxies, unter anderem in Italien beim dortigen Nationalen Institut für Nuklearphysik.
Deshalb kommt das FBI mit den IP-Adressen von Myspace, Google-mail ... nicht weiter und setzt CIPAV ein.
Sie erwischen den Schüler und verknacken ihn zu 90 Tagen Arrest. In diesem Prozess ist die Anordnung des Schnüffeleinsatzes wichtig. In dessen Anforderung gibt es die Erklärung des Special Agent Sanders, der erzählt, was CIPAV ist und wie es funktioniert.

Interessant ist, was dieses CIPAV alles tut, so richtig klar ist es natürlich nicht beschrieben, aber es eine Vorstellung bietet die Erklärung schon:

• CIPAV muss zugestellt werden. Das Verfahren zur Zustellung ist ein "electronic messaging program from an account controlled by the FBI". Also Mail oder Instant Messenger. c|net behauptet, die Wortwahl spräche im FBI-Jargon für Mail. Alternative Methode wäre ein Angriff über den Browser, ausgelöst durch Manipulation in seinem Myspace-Profil.


• Die Zustellung erfolgt zwischen 6 und 22 Uhr, weil nur zu dieser Zeit Durchsuchungsbeschlüsse zugestellt werden dürfen (jo, klingt kurios). Die "activation" durch das Opfer wird aber zu einem späteren unbestimmbaren Zeitpunkt vorgenommen. Auch das spricht für Mail oder Message, finde ich.


• Danach macht sich CIPAV genau ein mal auf die Suche auf dem Zielrechner und ermittelt IP-Adresse, MAC-Adresse, offene Ports, Betriebssystem mit Seriennummer, laufende Programme, alles was sich auf Windows-Rechnern mit "SET" ermitteln lässt, den angemeldeten User, die History des Browsers.


• Später übermittelt es permanent, aber nur noch IP-Adresse, "Kontaktdaten der elektronischen Kommunikation", Routing der Kommunikation.

In dem ganzen Text wird der Begriff "registry" und "environment" auf die Umgebung des Browsers bezogen, also Spracheinstellung und solche Dinge, sehr tief scheint das Ding nicht ins Betriebssystem einzudringen. Allerdings frage ich mich, wie man so oberflächlich dann "alle IP-Adressen der elektronischen Kommunikation" erfassen will. Es sei denn man schränkt auch diesen Begriff auf "Outlook und Internet-Explorer" ein.

Alles in allem ein recht interessanter Bericht, um den Stand der Technik bei hölzernen Polizeipferdchen zu erfahren, ohne die Phantasie gross anzustrengen. Und auch irgendwie beruhigend. Von "Schlüsselwortsuche" wie sie unserem Kabinett vorschwebt ist das noch weit entfernt und mein Betriebssystem ist sicher nicht berücksichtigt. Allerdings ist CIPAV auch nicht direkt als Schnüffeltool konzipiert sondern als Suchhilfe. Über Art und Verbreitungsweg von Nachfolgern oder gefährlicheren Brüdern dieses Pferdes wird leider nichts erzählt. Eine weitere Ausforschung des übernommenen Zielrechners muss aber beabsichtigt sein, sonst bräuchte man die Liste der offenen Ports und der laufenden Programme ja nicht.

Leider ist nicht klar, inwieweit die Mithilfe des Opfers bei der Aktivierung des Trojaners erforderlich ist. Das hätte ich noch gerne gewusst, ob "suesse_terroristin.exe" als Attachmentname ausreicht oder ob irgendwelchen raffinierteren Automatismen in Mailprogramme/Messengers zum Einsatz kommen. Gegen Automatismen spricht aber wieder, dass der Schüler Webmail-Dienste benutzt hat, seine unfreiwilligen italienischen Verbündeten haben ja vermutlich nur einen Web-Proxy zur Verfügung gestellt.

Basierend auf  der Vermutung, der Schüler sei so raffiniert  vorgegangen und würde nie ein Attachment anklicken oder einem Link in einer Message folgen kommen andere zum Schluss, ein Mailattachment scheide aus, es können nur ein Browserbug und ein manipuliertes Myspace-Profil sein. Ich bin mir da nicht so sicher, wer lange genug mit jemandem chattet findet sicher einen Ansatzpunkt, den ein Programm ausführen zu lassen.

Hans-Peter Uhl, der für die CSU im Innenausschuss sitzt und das neue BKA-Gesetz berät hat der Tagesschau Neuigkeiten zum Bundestrojaner mitgeteilt:

Es würden nur einzelne Dateien übertragen. Sicherheitsbehörden würden dazu heimlich ein Programm auf Zielcomputer übertragen, die dort gespeicherten Daten auf Stichworte hin durchsuchen und die so aufgefundenen Dateien online zurück übertragen. Die Software dazu existiere bereits und könne auch eingesetzt werden, sagte der CSU-Politiker.

Obwohl ich ja die weit verbreitete Meinung nicht teile, dass die Schnüffler zu doof zum Hacken sind, das glaub ich ihm auch wieder nicht. Dem Herrn Uhl erst recht nicht, der hat schonmal bewiesen, das er eine Anordnung zur Online-Durchsuchung nichtmal erkennt, wenn sie ihm vorgelesen wird.

Die Stichwortliste hätte ich auch gerne, mit der sie den privaten Kernbereich von krimineller Tätigkeit abtrennen wollen. Ich glaub, die Liste würde tiefe Einblicke ins Privatleben der Programmierer erlauben...