Tumblelog by Soup.io
Newer posts are loading.
You are at the newest post.
Click here to check if anything new just came in.

February 24 2014

September 19 2013

Staatswohl: Bundesregierung verweigert Auskunft, ob deutsche Geheimdienste Verschlüsselung knacken können

Die Öffentlichkeit darf nicht erfahren, ob deutsche Behörden Verschlüsselungsverfahren knacken können, weil sonst das Staatswohl gefährdet wird. Mit dieser Begründung lehnt die Bundesregierung eine Auskunft über diese Frage ab. Mindestens Bundesamt für Verfassungsschutz und Zollkriminalamt setzen sich aber mit der Frage auseinander, das Bundeskriminalamt umgeht Verschlüsselung mit Staatstrojanern.

Vor zwei Wochen erhielten wir einen kleinen Einblick, wie die anglo-amerikanischen Geheimdienste verbreitete Verschlüsselungs-Technologien knacken und umgehen. Der Linkspartei-Bundestagsabgeordnete Andrej Hunko hat das zum Anlass genommen, die deutsche Bundesregierug mal zu fragen, auf welchem Stand deutsche Behörden bei der Überwindung von Verschlüsselung sind. Jetzt ist die Antwort da.

Also, wenn man das Wort “Antwort” gelten lässt. Auf mehr als zwei Seiten führt die Bundesregierung zunächst aus, dass “im Hinblick auf das Staatswohl” die eigentliche Antwort geheim ist. Das Geheimhaltungsinteresse der Behörden ist hier größer als das Fragerecht der Abgeordneten. Die Häppchen für die gemeine Öffentlichkeit lassen sich in etwa so zusammenfassen:

Bundeskriminalamt

Die Bundesoberbehörde kann Verschlüsselung nicht selbst brechen bzw. dechiffrieren. Sehr wohl jedoch haben sie mit Staatstrojanern die Verschlüsselung umgangen und wollen das auch weiterhin tun. Über weitergehende Mittel tauschen sie sich mit anderen Staaten in der “Remote Forensic Software User Group” aus.

Militärischer Abschirmdienst

Der Nachrichtendienst der Bundeswehr hat sich mit der Fragestellung noch nicht befasst.

Bundesamt für Verfassungsschutz

Der Inlandsnachrichtendienst beschäftigt sich mit dem Thema. Alles andere ist geheim.

Zollkriminalamt

Die Bundesmittelbehörde hat sich “auch mit dem Überwinden von verschlüsselten Verfahren befasst.” Zudem führt man “Marktbeobachtungen” durch, welche Produkte das können. Schließlich hat man sich auch in multilateralen Standardisierungsgremien damit befasst, hier wird “insbesondere” das Europäisches Institut für Telekommunikationsnormen (ETSI) genannt.

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

Reposted by02mydafsoup-01 02mydafsoup-01

April 09 2013

Oberlandesgericht Köln: Zollkriminalamt und DigiTask-Software wegen rechtswidriger Schnüffelei verurteilt

Kann eine staatliche Überwachungsmaßname besonders geschützte Kommunikation nicht unverzüglich löschen, darf diese nicht eingesetzt werden. Das hat das Oberlandesgericht Köln letzte Woche entschieden. Das Zollkriminalamt hatte Kommunikation mit einem Anwalt mitgeschnitten, aber ihre veraltete DigiTask-Software hatte noch keine Funktion zum selektiven Löschen.

Netzpolitik.org liegt ein Beschluss des Oberlandesgerichts Köln mit dem Aktenzeichen “16 Wx 16/12″ vor, in dem das Zollkriminalamt wegen rechtswidriger Schnüffelei verurteilt wird.

Im Jahr 2011 führte das Zollkriminalamt eine “präventive Telekommunikationsüberwachung” durch, also eine “normale” Überwachung eines Telefon- und Internet-Anschlusses. In so einem Fall leitet der Anschluss-Provider Telefongespräche als Audio und den Internet-Datenstrom im pcap-Format an die Behörde weiter. Dabei wurde aber auch Kommunikation eines Beschuldigten mit seinem Anwalt mitgeschnitten, “und zwar sowohl Telefonate als auch sog. IP-basierte Kommunikation, zu der jedenfalls E-Mails gehörten”. Das ist aber “besonders geschützte Kommunikation”:

Werden Daten erhoben, welche die Kommunikation des Betroffenen mit seinem Verteidiger betreffen, dann sind diese Daten zu löschen, sobald erkennbar ist, dass es sich um geschützte Kommunikation handelt. Eine inhaltliche Auswertung der Daten ist in diesen Fällen unzulässig.

Die aufgezeichneten Telefongespräche wurden deshalb zwei Monate später gelöscht. Aber die Internet-Überwachung nicht:

Die Löschung der Internetkommunikation war zunächst nicht erfolgreich. Vielmehr wurden diese Daten erst im Juli 2012 gelöscht.

Das Problem:

Das Zollkriminalamt macht geltend, dass aus technischen Gründen eine Löschung nur der geschützten Kommunikation nicht früher möglich gewesen sei. Die Internet- basierten Kommunikationsdaten würden in einem Rohdatenstrom übermittelt, der in der Folge dekodiert und damit in E-Mails, VoIP-Daten, Internet-Surfsessions u.ä. aufgeteilt werden. Erst mit der Dekodierung würden die Daten sichtbar bzw. auswertbar. Das Löschen bestimmter Teile des Rohdatenstroms sei nicht möglich. Der Löschung des gesamten Rohdatenstroms stehe entgegen, dass hierdurch auch andere, für die Maßnahme erforderliche Daten gelöscht würden.

Der technische Grund war: Die eingesetzte Software aus dem Hause DigiTask hatte keine Funktion zum selektiven Löschen. DigiTask hat diese Funktion zwar in einer neuen Version nachgerüstet, die läuft aber auf dem alten Betriebssystem des Zollkriminalamts (wohl Windows 2000 Server) nicht. Diesen Grund lassen die Richter/innen nicht gelten:

Es handelt sich um behebbare Schwierigkeiten, wie der Umstand zeigt, dass nach Angaben des Zollkriminalamts die Daten inzwischen gelöscht worden sind. Auch das vom Zollkriminalamt vorgelegte Schreiben des Softwareherstellers DigiTask vom 22.7.2011 zeigt, dass es technisch möglich wäre, die geschützte Kommunikation zu löschen und das Problem in der Hardware- und Software-Ausstattung des Zollkriminalamts liegt. Nach diesem Schreiben setzen – Stand Juli 2011 – die “fachlichen Anforderungen des Zollfahndungsdienstgesetzes zur Kernbereichsbehandlung die Version 1.90 der TKÜ-Auswertsoftware voraus.” Diese Software könne (nur) deshalb nicht installiert werden, weil die vom Zollkriminalamt eingesetzten “betagten” Server und das dort installierte Betriebssystem von der Software nicht unterstützt würden.

Soweit für die Löschung eine andere technische Ausstattung (Hardware, Betriebssystem, aber auch Software) als beim Zollkriminalamt vorhanden erforderlich ist, rechtfertigt dies nicht die Speicherung der geschützten Daten. Vielmehr muss das Zollkriminalamt, um den Anforderungen des Gesetzes und der Verfassung nachzukommen, notfalls auf andere Hard- oder Software zurückgreifen. Insoweit ergibt die Abwägung den Vorrang der Interessen des Beschwerdeführers am Schutz der Verteidigerkommunikation vor rein fiskalischen Erwägungen. Die technische Ausstattung muss den (verfassungs)rechtlichen Vorgäben entsprechen. Verwaltungsinterne Probleme bei der Beschaffung der erforderlichen Hard- und Software rechtfertigen keinen Grundrechtseingriff.

Auf deutsch: Es gibt keinen Grundrechtsschutz nach Kassenlage. Entweder kann die eingesetzte Software die rechtlichen Anforderungen erfüllen, oder sie darf eben nicht eingesetzt werden.

Diese Entscheidung ist nicht nur relevant, weil die DigiTask GmbH auch die vom Chaos Computer Club zerlegten Staatstrojaner produziert hat. Trojaner können grundsätzlich den gesetzlich geschützten Kernbereich privater Lebensgestaltung nicht erkennen, was auch das Bundeskriminalamt in der Leistungsbeschreibung ihrer Trojaner zugibt:

Automatisierte Verfahren zur Erkennung kernbereichsrelevanter Abschnitte bei der Datenerhebung entsprechen derzeit weder dem Stand der Technik noch dem der Wissenschaft.

Dumm nur, dass sich Überwachungs-Software nach dem Gesetz richten muss und nicht andersrum.

vgwort pixel

flattr this!

Older posts are this way If this message doesn't go away, click anywhere on the page to continue loading posts.
Could not load more posts
Maybe Soup is currently being updated? I'll try again automatically in a few seconds...
Just a second, loading more posts...
You've reached the end.

Don't be the product, buy the product!

Schweinderl