Tumblelog by Soup.io
Newer posts are loading.
You are at the newest post.
Click here to check if anything new just came in.

February 12 2014

Hacking Team greift freie Berichterstattung für Äthiopien an

Hacking Team” ist ein italienisches Unternehmen, das sich auf Überwachungssoftware spezialisiert hat. Kernangebot bildet die “Hacking Suite” Remote Control System, die man in etwa als Pendant zu FinFisher auf dem Markt der Staatstrojaner sehen kann. RCS wurde von Kaspersky beinahe auf der ganzen Welt gefunden, Hacking Team beschreibt die Fähigkeiten der Software einer geleakten Werbepräsentation nach folgendermaßen:

Es ist offensive Sicherheitstechnologie. Es ist Spyware. Es ist ein trojanisches Pferd. Es ist ein Bug. Es ist ein Angriffswerkzeug. Es ist ein Werkzeug, um Kontrolle über die Endpunkte zu erhalten, das heißt die PCs.

Citizen Lab hat jetzt veröffentlicht, dass im Dezember 2013 innerhalb von zwei Stunden drei Angriffe auf zwei Angestellte von ESAT festgestellt wurden. ESAT ist ein aus Amsterdam geführtes Medienunternehmen, das sich für die Förderung freier, kritischer und unabhängiger Berichterstattung in Äthiopien einsetzt. Das erklärt auch den Angriff, denn Äthiopien ist für die Unterdrückung der Meinungs- und Pressefreiheit im Land bekannt. Nach Eritrea kommt es dort zu den meisten Verhaftungen von Journalisten in ganz Afrika und seit 1993 wurden 75 Medienanstalten geschlossen. Darüberhinaus werden unerwünschte Journalisten gefoltert und misshandelt.

Das wirft ein anderes Licht auf die Sache, denn obwohl bekannt ist, dass Hacking Team – von Reporter ohne Grenzen als “Feind des Internets” geführt – seine Software auf der ganzen Welt verkauft, behaupten sie doch von sich selbst, nicht an Regierungen zu liefern, die von der EU, den USA, der NATO oder anderen Organisationen als repressive Regimes eingestuft werden. Ein Verkauf an regierungs- und geheimdienstunabhängige Stellen wird ebenso offiziell ausgeschlossen, RCS wird von Hacking Team als “hacking suite for governmental interception” beworben. Aber der Vorfall ist nicht der erste, bei dem RCS von augenscheinlich undemokratischen Regimes eingesetzt wird, wir haben in der Vergangenheit schon einmal von Einsätzen gegen arabische Aktivisten berichtet.

Der erste Angriff auf ESAT erfolgte auf einen Angestellten in Belgien, über einen Anhang, der als PDF-Dokument getarnte Spyware war. Beim Versuch, die Datei zu öffnen, passierte auf den ersten Blick nichts, im Hintergrund wurde jedoch eine SSL-Verbindung zu einem Server hergestellt, der ein von der “RCS Certification Authority” ausgestelltes Zertifikat nutzte, welches auf die IP-Adresse eines Servers in Mailand, dem Sitz von Hacking Team,  zurückführte und der überdies auf die Firma registriert war.

Im zweiten Versuch öffnete der Empfänger die Datei nicht, da ihm auffiel, dass eine *.exe hinter der Verkleidung steckte. Auf Nachfrage bekam er eine *.doc-Datei zugesandt, beim Öffnen war auch kurz ein leeres Dokument zu sehen. Durch das Ausnutzen eines früheren Bugs in Windows führte das zum Download einer Datei, die von RCS eingeschleust wurde. Der dritte und letzte registrierte Versuch geschah auch über ein Word-Dokument, dieses mal mit vorgeschobenem Inhalt, in welches das Schadprogramm eingebettet war.

Durch die IP-Adressen der kommunizierenden Server, die SSL-Zertifikate und einen zusätzlichen Abgleich der Signaturen anderer Spyware von Hacking Team ist klar, dass die Software von ihnen stammt. Und es zeigt, wie falsch die ständigen scheinheiligen Behauptungen dieser und anderer Herstellerfirmen von Überwachungssoftware sind, man liefere nur an “die Guten”. Durch Versprechen lässt sich dieses Problem nicht lösen. Ein wichtiger und längst überfälliger Schritt wäre Exportregulierung für Überwachungs- und Zensursoftware. Und deren wirksame Kontrolle.

Wir wollen netzpolitik weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

November 18 2013

CSC in alle großen IT-Vorhaben eingebunden: De-Mail, nPa, ePa, Staatstrojaner, Waffenregister, E-Gerichtsakte, E-Strafregister

Braucht vielleicht noch ein Piktogramm für

Braucht vielleicht noch ein Piktogramm für “US-Behörde”: Grafik zur Akzeptanzerhöhung von “De-Mail”.

Am Wochenende hatte die Süddeutsche Zeitung im Enthüllungsprojekt “Geheimer Krieg” weiter nachgelegt: Demnach sei die US-Beraterfirma CSC mit ihren elf Tochtergesellschaften nicht nur für heikle US-Geheimdienstmissionen unterwegs, sondern arbeite auch für deutsche Ministerien. Naheliegend sei, dass CSC die hierüber erlangten Informationen an US-Behörden weitergebe. Der Zeitung fiel auf, dass CSC-Firmen häufig “in der Nähe von US-Militärstützpunkten” residieren.

Die Bundesregierung hatte die Verbindungen von CSC zum US-Geheimdienst nicht kommentiert – dies war zu erwarten. Das Bundesinnenministerium richtete aus, ihm genügten entsprechende Klauseln in den Rahmenverträgen mit CSC. Demnach sei es untersagt, “bei der Vertragserfüllung zur Kenntnis erlangte vertrauliche Daten an Dritte weiterzuleiten”.

Auch wenn es im Projekt “Geheimer Krieg” von der Süddeutschen und dem NDR häufig nicht erwähnt wird: Viele der Recherchen gründen auf sogenannten “Parlamentarischen Initiativen” im Bundestag. Hierzu gehören neben den bekannteren Kleinen Anfragen auch sogenannte Schriftliche oder Mündliche Fragen. Diese müssen innerhalb einer Woche beantwortet werden. Auch die Informationen zu den an CSC oder Booz Hamilton vergebenen Aufträge stammen aus solchen Initiativen.

Eine Durchsicht der Anfragen seit Juni (mithin den ersten Veröffentlichungen der Dokumente von Edward Snowden) ergibt Haarsträubendes: So erhielten CSC Deutschland Services und CSC Deutschland Solutions allein zwischen 2009 und 2013 mehr als 25 Millionen Euro für Studien, die teilweise äußerst delikate Sicherheitsinteressen tangieren. Eine weitere Frage förderte zutage, dass dies nur die Spitze des Eisbergs ist. In den vergangen Legislaturperioden erhielt CSC mit seinen Tochterfirmen ein Vielfaches der Summe für ähnliche Aufträge:

CSC_Booz_1714530

Bekannt wurde CSC durch eine Auftragsvergabe zur Prüfung des Quellcodes des vorübergehenden Staatstrojaners der deutsch-britischen Firma Gamma, den das BKA bis zur Entwicklung einer eigenen Hackersoftware einsetzen will. CSC ist darüberhinaus in alle derzeit laufenden, größeren IT-Vorhaben der Bundesregierung eingebunden. Hierzu gehört die eine “Machbarkeitsstudie zum Thema Identitätsmanagement” in der Bundesverwaltung oder die Begleitung des Vorhabens “IT-Sicherheitskit” für die “elektronische Patientenakte”.

CSC wirkte maßgeblich bei der Umsetzung des “Nationalen Waffenregisters” mit. Bis 2010 wurde der Umzug der Leitstellenumgebung der Bundespolizei vorbereitet. Andere Studien widmeten sich der Nutzung von Geodaten. Für das Justizministerium ist CSC an einer Projektgruppe “Elektronische Akte in Strafsachen” beteiligt und zeichnet für die Projektbegleitung verantwortlich. Gleiches galt für die “Elektronische Gerichtsakte” sowie das Projekt “Elektronisches Gerichts- und Verwaltungspostfach”, das unter dem Namen “BundOnline” firmiert. Für das Bundesverwaltungsamt war CSC sogar für die komplette Durchführung eines “Backup- u. Restore-Konzepts” zuständig.

CSC Deutschland Solutions ist auch für die Einführung des biometrischen Personalausweises verantwortlich. Bekanntlich hatte die Beraterklitsche “Public Opinions” hierfür ein Handbuch zur Propaganda und Medienzusammenarbeit erstellt, das unter anderem vor kritischen Blogs gewarnt hatte. Die Zuarbeit von CSC war aber weitaus gewichtiger: Die Firma erstellte beispielsweise eine “Studie zu Fragen der Berechtigungszertifikate” und unterstützte die MitarbeiterInnen der Ausweisbehörden bei der Umstellung. Hierzu gehörte auch die Versorgung mit nötigen Informationen, also jenen Fakten die zuvor im ominösen “Handbuch” zusammengetragen worden waren. CSC war danach für die Erstellung von “Handlungsleitfäden” verantwortlich. Ein weiterer Auftrag erging zur “Begleitung des Wirkbetrieb”, ein anderer lautete “Unterstützung bei der nPa Konzeption Webauftritt”. “nPa” steht für “Neuer Personalausweis”.

Weitaus delikater ist wohl die Mitarbeit von CSC bei der Einführung von “De-Mail”. Noch bis 2012 war die Firma mit der “Unterstützung bei der Fachkommunikation” befasst. Wie beim biometrischen Ausweis folgten mehrere Studien zur “Unterstützung bei der Öffentlichkeitsarbeit und Akzeptanzmanagement”. Ein Vorhaben “Projektunterstützung De-Mail” läuft noch bis März 2014. Das “Kompetenzzentrum De-Mail” wird bei der Presse- und Öffentlichkeitsarbeit beraten.

Nach den neuesten Veröffentlichungen der Süddeutschen, aber auch des Stern von vor drei Wochen gerät nun auch das Verteidigungsministerium in Bedrängnis. Denn auch dort wurden etliche Aufträge an CSC vergeben: Studien widmeten sich etwa Informationssystemen für die “Nationale Luftabwehr”, die Marine oder einzelne ihrer Fregatten. CSC beschaffte Software zur Cyberabwehr und reorganisierte die Datenverwaltung des Militärs. Noch andauernd ist die Beteiligung am maritimen Überwachungsprojekt “MARSUR”, das bald in das EU-Grenzüberwachungssystem EUROSUR integriert wird. Für die Marine war CSC sogar für ein IT-Sicherheitskonzept verantwortlich. Zum Auftragsvolumen gehörte unter anderem der Einbau einer Firewall.

Zum Vorab-Stöbern in weiteren Enthüllungen, die von “Geheimer Krieg” bis zum 28. November (dem entsprechenden Themenabend in der ARD) veröffentlicht werden, sei die Bundestagswebseite empfohlen. Die dortige Suchfunktion ist relativ zuverlässig; Suchbegriffe wie AFRICOM, “Cyber Storm” oder “DHS Frankfurt” fördern Antworten zutage, die uns in den nächsten Wochen weiter beschäftigen dürften.

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

September 19 2013

Staatswohl: Bundesregierung verweigert Auskunft, ob deutsche Geheimdienste Verschlüsselung knacken können

Die Öffentlichkeit darf nicht erfahren, ob deutsche Behörden Verschlüsselungsverfahren knacken können, weil sonst das Staatswohl gefährdet wird. Mit dieser Begründung lehnt die Bundesregierung eine Auskunft über diese Frage ab. Mindestens Bundesamt für Verfassungsschutz und Zollkriminalamt setzen sich aber mit der Frage auseinander, das Bundeskriminalamt umgeht Verschlüsselung mit Staatstrojanern.

Vor zwei Wochen erhielten wir einen kleinen Einblick, wie die anglo-amerikanischen Geheimdienste verbreitete Verschlüsselungs-Technologien knacken und umgehen. Der Linkspartei-Bundestagsabgeordnete Andrej Hunko hat das zum Anlass genommen, die deutsche Bundesregierug mal zu fragen, auf welchem Stand deutsche Behörden bei der Überwindung von Verschlüsselung sind. Jetzt ist die Antwort da.

Also, wenn man das Wort “Antwort” gelten lässt. Auf mehr als zwei Seiten führt die Bundesregierung zunächst aus, dass “im Hinblick auf das Staatswohl” die eigentliche Antwort geheim ist. Das Geheimhaltungsinteresse der Behörden ist hier größer als das Fragerecht der Abgeordneten. Die Häppchen für die gemeine Öffentlichkeit lassen sich in etwa so zusammenfassen:

Bundeskriminalamt

Die Bundesoberbehörde kann Verschlüsselung nicht selbst brechen bzw. dechiffrieren. Sehr wohl jedoch haben sie mit Staatstrojanern die Verschlüsselung umgangen und wollen das auch weiterhin tun. Über weitergehende Mittel tauschen sie sich mit anderen Staaten in der “Remote Forensic Software User Group” aus.

Militärischer Abschirmdienst

Der Nachrichtendienst der Bundeswehr hat sich mit der Fragestellung noch nicht befasst.

Bundesamt für Verfassungsschutz

Der Inlandsnachrichtendienst beschäftigt sich mit dem Thema. Alles andere ist geheim.

Zollkriminalamt

Die Bundesmittelbehörde hat sich “auch mit dem Überwinden von verschlüsselten Verfahren befasst.” Zudem führt man “Marktbeobachtungen” durch, welche Produkte das können. Schließlich hat man sich auch in multilateralen Standardisierungsgremien damit befasst, hier wird “insbesondere” das Europäisches Institut für Telekommunikationsnormen (ETSI) genannt.

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

Reposted by02mydafsoup-01 02mydafsoup-01

September 14 2013

Polizeiaufgabengesetz in Thüringen: Vorratsdatenspeicherung, Staatstrojaner, Abschalten von Kommunikationsnetzen

Thüringer Landtag in Erfurt. Bild: Lukas Götz. Lizenz: Creative Commons BY-SA 3.0.

Thüringer Landtag in Erfurt. Bild: Lukas Götz. Lizenz: Creative Commons BY-SA 3.0.

Dieser Gastbeitrag ist von Jens Kubieziel. Jens bietet mittelständischen Firmen Beratung zu IT-Sicherheit an und arbeitet als Datenschutzbeauftragter. Daneben engagiert er sich gegen ausufernde Überwachung und Zensur im Internet.

Verbringe einen Tag im Landtag und verliere den Glauben an die parlamentarische Demokratie. So oder so ähnlich lässt sich die gestrige Sitzung des Innenausschusses im Thüringer Landtag zusammenfassen. Was war passiert?

Der Thüringer Verfassungsgerichtshof entschied im November 2012, dass das alte Polizeiaufgabengesetz (PAG) überwiegend nicht mit der Landesverfassung vereinbar ist (PDF der Pressemitteilung des VerfGH). Die Landesregierung hat nun bis zum 30. September 2013, also bis in zwei Wochen, Zeit, das Gesetz zu verbessern.

Weiterhin erklärte das Bundesverfassungsgericht den Zugriff auf Bestandsdaten für teilweise verfassungswidrig (1 BvR 1299/05 vom 24.01.2012) und forderte Bund wie Länder zu einer Novellierung auf.

Die Thüringer Landesregierung legte im Mai 2013 einen Entwurf des PAG sowie des Ordnungsbehördengesetzes (OBG) vor und bat um schriftliche Stellungnahmen. Der Termin für die mündliche Anhörung war der 13. September 2013.

Ordnungsbehördengesetz

Das OBG nahm in der knapp fünfstündigen Anhörung einen geringeren Platz ein. Sinn der Gesetzesänderung ist es, Alkoholverbotszonen einzurichten. Im Bereich von Kindergärten, Schulen und Stellen mit alkoholbedingten Straftaten kann eine solche Zone ausgesprochen werden. Die Stadt Erfurt hatte eine solche Regelung in der Stadtordnung. Diese wurde vom Oberverwaltungsgericht gekippt (3 N 653/09 vom 24.06.2012). Daher soll die nun in ein Gesetz einfließen. Die Opposition äußerte Bedenken, dass die Regelung genutzt wird, um missliebige Gruppen (Punks etc.) aus der Innenstadt oder anderen Bereichen zu vertreiben. Denn Bierbikes oder Junggesellenabende haben teils ähnlichen Belästigungsgrad und werden aber akzeptiert. Das Ordnungsamt der Stadt Erfurt verwies in der Anhörung immer wieder auf hohe Beschwerdezahlen aus dem Jahr 2006. Angeblich hatte weder das Krämerbrückenfest noch die 2006 ausgetragene Fussball-WM einen Einfluss auf die Zahlen.

Polizeiaufgabengesetz

Die Aufgabe des Polizeiaufgabengesetzes ist es präventive Maßnahmen festzulegen, um drohende Gefahren abzuwehren. Dies steht im Gegensatz zur Strafprozessordnung, wo es um repressive Maßnahmen geht.

Die Novelle des PAG ist ein tiefer Griff in den Giftschrank. Es definiert Telekommunikationsüberwachung, Staatstrojaner, Einsatz von V-Leuten, Abschaltung von Handynetzen und einiges mehr. Um den Schutz der Grundrechte zu gewährleisten, müssen genaue Definitionen der Begriffe enthalten sein und Schutz gegen Missbrauch eingebaut sein. Wie die Stellungnahmen zeigten, mangelt es an beiden.

Stellungnahme der Polizeigewerkschaften

Die ersten Stellungnahmen zum PAG wurden von der Gewerkschaft der Polizei, der Deutschen Polizeigewerkschaft sowie vom Bund Deutscher Kriminalbeamten (BDK) abgegeben. Die beiden erstgenannten gaben in ihrer Stellungnahme sinngemäß an, dass sie keine schriftliche Stellungnahme angefertigt haben, das Gesetz unterstützen, es verfassungsgemäß ist, bei der Arbeit der Polizei hilft und sie das brauchen. Der Zuhörer konnte im Verlauf der Befragung den Eindruck gewinnen, dass sich beide Gewerkschaften nicht hinreichend mit dem Gesetzestext beschäftigt haben.

Helga Jürgens, Vorsitzende des Landesverbandes Thüringen des BDK, wies zu Anfang ihrer Stellungnahme ausführlich darauf hin, dass sich Deutschland rechtswidrig verhält. Sie mahnte an, dass doch endlich die Richtlinie zur Vorratsdatenspeicherung in nationales Recht umgesetzt werden soll. Sie wünschte sich weiter Regelungen im PAG zum Einsatz von IMSI-Catchern, die Möglichkeit der Unterbrechung von Telekommunikation zur Abwehr gemeiner Gefahren und weder sie noch ihre Experten konnten einzelne Paragraphen im vorliegenden Gesetz verstehen. Das BVerfG forderte eine so genannte Doppeltürregelung in der Entscheidung zur Bestandsdatenauskunft. Diese fehlt dem PAG. Weiterhin ist nach Ansicht des BDK der §36 Abs. 7 (Unterrichtung des Landtages) nicht konform zum Grundgesetz.

Stellungnahme von Burkhard Hirsch

Burkhard Hirsch empfand es als elementares Bedürfnis der Polizei ein bundeseinheitliches Polizeigesetz zu haben. Er empfahl daher, alle zu harmonisieren. Er erklärte Abgeordneten wie dem BDK die Lage der Vorratsdatenspeicherung und machte klar, dass vor einer Entscheidung des Europäischen Gerichtshofes keine Neuregelung der VDS zu erwarten wäre. Danach ging es um das Thüringer Gesetz.

Eines der zentralen Punkte im neuen Gesetz ist der § 34 PAG. Dr. Hirsch begann seine Ausführungen mit den Worten: “§ 34 ist ein Wunderwerk”. Das war nicht lobend gemeint. Das Gesetz bietet beispielsweise ungenügenden Schutz so genannter Berufsgeheimnisträger. Ein Rechtsanwalt, der kein Strafverteidiger ist, könnte beispielsweise abgehört werden. Doch ist dies überhaupt realistisch? Dr. Hirsch führte sowohl anhand praktischer Beispiele wie auch Entscheidungen der Gerichte aus, dass es hier keinen Unterschied gibt. Er meinte, dass er bei der Regelung in Zukunft mit seinem Mandanten zur Staatsanwaltschaft gehen und um Eröffnung eines Strafverfahrens bitten müsste. Erst dadurch könne er dann vertraulich mit seinem Mandaten zu kommunizieren …

Der Richtervorbehalt hat nur in zwei Fällen eine zeitliche Begrenzung. Gerade bei Überwachungsmaßnahmen können Menschen unbegrenzt lange abgehört werden.

Die Benachrichtigung der Betroffenen hat den Rang eines Grundrechtes. Die Festlegungen im PAG sind zu schwach und in der Praxis kommt es vermutlich zu keinen Benachrichtigungen.

Einige der Paragraphen entstammten anderen Gesetzen, wie beispielsweise dem G10-Gesetz und haben sich “wie ein Ölfleck auf dem Wasser” in andere Gesetze ausgebreitet.

Insgesamt meinte er am Ende seiner Stellungnahme zu § 34 PAG: “Der § 34 wird wohl nicht zu halten sein.”

Stellungnahme von Eugen Weber

Eugen Weber ist Ermittlungsrichter am Amtsgericht Gera und bearbeitet die Fälle in Ostthüringen. Er kritisierte nochmal die zeitlich unbegrenzten Überwachungsmaßnahmen und meinte, dass ihn insbesondere der § 20 PAG um den Schlaf bringt. Wenn die Polizei jemanden festsetzen, muss diese Person durch einen Richter angehört werden. Nach der Praxis sind das Leute, die mitten in der Nacht betrunken aufgefunden werden. Das heißt, das Handy des Richters klingelt und er müsste die Person anhören. Das geht aber nicht, da diese betrunken und damit nicht vernehmungsfähig ist. In dem Fall darf die Polizei dann selbst entscheiden und steckt die Person in eine Ausnüchterungszelle. Letztlich wird er nur geweckt, um zu sagen, dass er die Person nicht anhören kann.

Beispiele oder Fälle für die Praxis

Dirk Adams (Grüne) fragte nahezu jeden der Sachverständigen, nach einem Beispiel für die Anwendbarkeit des Gesetzes. Die Polizeivertreter bemühten sich um Beispiele. Nach einigem Suchen kamen sie auf den Fall einer Mutter. Diese kommt bei minus zwanzig Grad Kälte zur Polizei und vermisst ihre zweijährige Tochter. Die Polizei muss dann natürlich über die Handydaten, die Tochter ausfindig machen. Ob zweijährige Kinder wirklich immer ein Handy mitführen?

Martina Renner (Linke) wollte konkrete Fälle aus dem Polizeibereich. Aber die Vertreter der Polizei hatten dazu entweder keine Aussagegenehmigung oder waren zu lange aus der Praxis raus.

Innenminister Geibert nannte dann das Beispiel eines umherstehenden Koffers, der mittels eines Handys gezündet werden soll. Dann muss das komplette Handynetz in der Umgebung deaktiviert werden. Wie sinnvoll die Handyabschaltung an einem Bahnhof ist, mag jeder für sich selbst beurteilen.

Insgesamt konnte niemand genaue Beispiele geschweige denn Zahlen liefern. Seitens der Polizei kam das “Argument” dass solche Fälle selten sind. Aber sie brauchen das Instrumentarium dringend.

Staatstrojaner

Katharina König (Linke) sprach dann den § 34 a Abs. 2 des Gesetzes an. Dort wird der Einsatz der Staatstrojaner definiert. Auf ihre Frage, ob das so ist, herrschte zunächst längeres Schweigen. Jemand erklärte dann zuerst, dass das kein Staatstrojaner ist. Er verwendete eine sehr lange Wortschöpfung und Erklärung. Diese entsprach genau den Anforderungen des Staatstrojaners. Erst später bejahte die Landesregierung diese Frage.

Die Polizeivertreter schienen gar nicht zu wissen, was ein Staatstrojaner ist bzw. das sowas in dem Gesetz steht. Nichtsdestotrotz wurde später versichert, dass sie das Instrument dringend brauchen.

Die Landesregierung erklärte, dass es sich hier um Quellen-TKÜ handelt und keine Online-Durchsuchung ist. Diese Haarspalterei wurde bereits bei einer früheren BVerfG-Entscheidung benutzt. Das Gesetz spricht weiter von im Netz abgelegten Datenspeichern. Nach Vorstellungen der Landesregierung sind das E-Mails (vermutlich im Entwurfsordner) und diese werden als Quellen-TKÜ betrachtet.

Am Ende dieses Teils der Anhörung war mein Eindruck, dass die Polizei anfänglich gar nicht wusste, dass das überhaupt im Gesetz steht und auch keine Ahnung hat, wie das grundrechtskonform anzuwenden ist. Aber natürlich brauchen sie das in ihrer täglichen Arbeit.

Stand der Gesetzgebung

Ein Randereignis setzte meinem Tag im Landtag dann die Krone auf. Auf den Gängen des Landtages unterhielt sich ein Abgeordneter lautstark mit Pressevertretern. Er meinte, dass sich die Koalitionäre bereits geeinigt haben und das Gesetz am Mittwoch in dieser Form abstimmen werden.

Da nehmen sich also zahlreiche Sachverständige die Zeit und erarbeiten eine schriftliche Stellungnahme. Andere reisen an und teilen dem Parlament die Meinung mit. Sowohl Polizei wie andere Anzuhörende benennen diverse Schwachstellen im Gesetz, die vermutlich nicht mit der Verfassung zu vereinbaren sind. Und dann steht da jemand und äußert solche Worte. Das ist an Unverschämtheit kaum zu überbieten.

So wird das Gesetz wohl am 18. September abgestimmt werden und wieder einmal wird dann ein Verfassungsgericht eine Regierung in die Schranken weisen müssen.

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

August 07 2013

Staatstrojaner FinFisher: Vertrag bleibt geheim, Informationszugang würde die öffentliche Sicherheit gefährden

finfisher-infectedWenn bekannt wird, wie das Bundeskriminalamt den international berüchtigten Staatstrojaner einsetzt, wird die Funktionsfähigkeit der Sicherheitsbehörden beeinträchtigt und damit die öffentliche Sicherheit gefährdet. Mit dieser Begründung werden unsere Informationsfreiheits-Anfragen nach dem Dokument abgelehnt. Würde man sensible Informationen schwärzen, blieben “keine nennenswerten Informationen mehr übrig”.

Im Januar haben wir enthüllt, dass das Bundeskriminalamt den Staatstrojaner FinFisher der Firma Elaman/Gamma beschafft hat und einsetzen will. Seitdem versuchen wir, Einblick in den Vertrag zu bekommen. Jetzt haben sowohl das Bundeskriminalamt als auch das Beschaffungsamt des Innenministeriums unsere Anfragen nach Informationsfreiheitsgesetz beantwortet – und beide abgelehnt.

Gleich vier Gründe werden angeführt, warum die Öffentlichkeit keine Details zum Staatstrojaner-Deal erfahren darf:

Gefährdung der öffentlichen Sicherheit

Das BKA ist der Auffassung, dass ein Einblick in den Vertrag “die Funktionsfähigkeit der Sicherheitsbehörden” und “damit die öffentliche Sicherheit” insgesamt “beeinträchtigt bzw. gefährdet”:

Eine Einsichtnahme in den Vertrag würde den Erfolg der auf der Quellen-TKÜ basierenden polizeilichen Maßnahmen gefährden, weil Rückschlüsse auf das verwendete Gesamtsystem, dessen Hardware, eventuelle Schwachstellen sowie die polizeilichen Methoden/Einsatztaktik möglich wären. Dies führte zu einer eingeschränkten Wirksamkeit polizeilicher gefahrenabwehrender sowie strafverfolgender Maßnahmen der Quellen-TKÜ.

Im Ergebnis würde dies die Funktionsfähigkeit der Sicherheitsbehörden beeinträchtigen bzw. gefährden, wodurch die schützenswerten Interessen der Bundesrepublik Deutschland an einer wirksamen Bekämpfung von schwerer sowie schwerster Kriminalität mittels der Quellen-TKÜ und damit die öffentliche Sicherheit (und der darin aufgehenden inneren Sicherheit, vgl. oben) insgesamt beeinträchtigt bzw. gefährdet wären.

Dass das Prinzip Security by Obscurity nicht funktioniert, hat man da anscheinend nicht verstanden.

Geheim weil geheim

Der Vertrag ist mit einer Geheimhaltungsstufe versehen, die man auch nicht ändern will:

Der Vertrag mit der Fa. Elaman gilt als Verschlusssache mit dem Geheimhaltungsgrad „VS-NUR FÜR DEN DIENSTGEBRAUCH“, da die im Vertrag enthaltenen Informationen als „geheim zu haltende Tatsachen“ im Sinne des Sicherheitsüberprüfungsgesetzes (SÜG) in Verbindung mit der Verschlusssachenanweisung (VSA) eingestuft sind.

Die Gründe für die Einstufung als Verschlusssache wurden aus Anlass des IFG-Antrages nochmals geprüft, diese liegen weiterhin vor. Der Ausnahmetatbestand nach § 3 Nr. 4 IFG liegt somit aufgrund der Einstufung weiterhin vor.

Es ist also geheim, weil es geheim ist. Das erinnert an: “Wir sind eine PARTEI, weil wir eine PARTEI sind!

Firmengeheimnisse

Ein weiter Grund: Gammas Partner-Firma Elaman will nicht, dass ihr Vertrag bekannt wird:

Schließlich scheitert ein Anspruch auf Informationszugang nach dem IFG auch daran, dass durch das Bekanntwerden des Vertrages der Schutz geistigen Eigentums und von Betriebs- und Geschäftsgeheimnissen der Firma Elaman als Dritter gemäß § 6 IFG berührt würde. Die Firma Elaman hat ihre Einwilligung gemäß § 6 S. 2 IFG verweigert, weil durch eine Veröffentlichung des Vertrages kaufmännische Kalkulationen, einzelne Entwicklungsschritte und detaillierte Leistungsmerkmale ersichtlich würden, die wiederum Rückschlüsse auf das Gesamtsystem und dessen Hardwarekonfiguration ermöglichen würden.

Eine Firma schreibt also dem Staat vor, dass dieser keine Informationen über mit Steuergeldern bezahlte Überwachungsmaßnahmen veröffentlichen darf. Wer ist hier der Souverän?

Unkenntlichmachung sinnlos

Immerhin hat man eine Schwärzung sensibler Vertragsteile erwogen, dabei bleiben aber “keine nennenswerten Informationen mehr übrig”:

Im Falle einer Unkenntlichmachung derjenigen Vertragsinhalte, die schützenswerte Belange betreffen, wären die zu schwärzenden Passagen des Vertrages so umfangreich, dass ein Informationszugang praktisch nicht erfolgen würde, weil keine nennenswerten Informationen mehr übrig blieben. Eine Schwärzung gemäß § 7 Abs. 2 IFG des Vertrages kommt deshalb nicht in Betracht.

Die “transparenteste US-Regierung aller Zeiten” hatte vorgemacht, wie das aussieht.

“NSA-Denke in deutscher Form”

Constanze Kurz, Sprecherin des Chaos Computer Club, kommentiert diese Ablehnung gegenüber netzpolitik.org:

Die Behörden lassen sich bei ihrem Ankauf elektronischer Waffen, die gegen Computer von deutschen Bürgern eingesetzt werden sollen, weiterhin nicht in die Karten schauen. Sie warten diesmal mit allem auf, was an Ablehnungsgründen aus dem IFG rauszuholen ist, um auch nur den Anschein von Transparenz und Überprüfbarkeit ihrer Kooperation mit einem notorischen Hoflieferanten bekannter Folterregimes zu vermeiden.

Da zeigt sich die alte NSA-Denke in deutscher Form. Angeblich könne auch keine geschwärzte Version des Vertrages gesendet werden. Vermutlich dürfen wir schon dankbar sein, dass die Existenz des Papiers nicht geleugnet wird. Die Funktionalitäten von FinFisher sind mittlerweile durchaus bekannt, allerdings ist es ein Recht der deutschen Öffentlichkeit, zu erfahren, wo das BKA die Exploits einkaufen lässt und was dafür bezahlt wird.

Natürlich lassen wir das nicht einfach so auf uns sitzen und bitten den Bundesbeauftragten für die Informationsfreiheit um Vermittlung, eh wir vielleicht offiziell Widerspruch einreichen. Selbstverständlich nehmen wir auch weiterhin anonyme Zusendungen und braune Briefumschläge entgegen.

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

Reposted by02mydafsoup-01towsermofo

June 28 2013

Netzpolitischer Wochenrückblick: KW 26

Die wichtigsten netzpolitischen Themen der vergangenen Woche im Rückblick:

  • Internes Dokument belegt: Innenministerium gibt fast 150.000 Euro für Staatstrojaner FinFisher/FinSpy aus

Für den international bekannten Staatstrojaner FinFisher/FinSpy geben Innenministerium und Bundeskriminalamt 147.166,11 Euro aus. Das bestätigt das Ministerium in einem ehemals geheimen Dokument, das wir an dieser Stelle veröffentlichen. [Zum Artikel]

  • Loveblog: Anhörung von Johannes Scheller zu Netzneutralität im Petitionsausschuss

Am Montag berichteten wir live aus dem Petitionsausschuss im Deutschen Bundestag. [Zum Artikel]

  • Die Positionen der Bundestagsfraktionen zur Netzneutralität

Die Ankündigung der Deutschen Telekom, Internet-Anschlüsse zu drosseln und gleichzeitig Überholspuren einzuführen, hat eine breite Diskussion angestoßen, unter anderem zum Aspekt der Netzneutralität. [Zum Artikel]

  • Netzneutralität: EU-Parlamentarier drängeln

Während sich in Deutschland die Bundestags-Ausschüsse mit dem Thema Netzneutralität beschäftigen, wartet das Europäische Parlament auf das „Go“ der Europäischen Kommission in Form einer entsprechenden Initiative, wie man sie von Kommissarin Neelie Kroes seit längerem erwartet. [Zum Artikel]

  • BMI zu PRISM: Von der grundsätzlichen Überwachung waren wir nicht überrascht. Das kann niemand behaupten, der sich damit beschäftigt.

Im Unterausschuss Neue Medien im Deutschen Bundestag gab es am Montag eine kurze Fragestunde zu PRISM & Co, bei der das Innenministerium irgendwie Fragen beantworten sollte. [Zum Artikel]

  • Edward Snowden belegt: Die NSA hackt chinesische Mobilfunkanbieter, Backbone-Netze und Glasfaser-Betreiber

Der amerikanische Geheimdienst NSA hackt chinesische Mobilfunkanbieter und Betreiber von Backbone- und Glasfaser-Netzen. [Zum Artikel]

  • Neuer NSA-Leak: Obamas Vorratsdatenspeicherung

Barack Obama hat die de facto Vorratsdatenspeicherung von George W. Bush bis 2011 fortgeführt. Zudem gibt es Hinweise auf neue US-Rasterprogramme für Verkehrsdaten. [Zum Artikel]

  • Vorratsdatenspeicherung: Europäischer Gerichtshof verhandelt am 9. Juli – und stellt “revolutionäre Fragen”

Der Europäische Gerichtshof will wissen, wie sich aus Vorratsdaten Persönlichkeitsprofile erstellen lassen und was das für das Grundrecht auf Schutz personenbezogener Daten bedeutet. [Zum Artikel]

  • TAT-14: Britischer Geheimdienst zapft auch deutsches Glasfaser-Kabel an

Unter den mehr als 200 Glasfaser-Kabeln, die der britische Geheimdienst GCHQ anzapft und abhört, ist auch das Kabel TAT-14. [Zum Artikel]

  • Großbritannien nimmt OECD-Beschwerde gegen Spähsoftware-Hersteller Gamma an

Privacy International, die Reporter ohne Grenzen, das European Center for Constitutional and Human Rights sowie Bahrain Watch haben Anfang des Jahres Beschwerde gegen die Münchener Trovicor GmbH und die britisch-deutsche Gamma Group bei der OECD, der Organisation für wirtschaftliche Zusammenarbeit und Entwicklung, eingelegt. [Zum Artikel]

  • Das Wunder von Marrakesch: Besserer Zugang zu Büchern für Menschen mit Sehbehinderung

Dienstag Nacht wurde im Rahmen der Vertragskonferenz der World Intellectual Property Organisation (WIPO) in Marrakesch zu Schrankenregelungen für das Urheberrecht zugunsten von Menschen mit Sehbehindungen ein Durchbruch erzielt. [Zum Artikel]

Habt ein schönes Wochenende!

CC BY NC SA by  John Jones

CC BY NC SA by John Jones

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

June 21 2013

Freedom Online Coalition: Deutschland tritt Bündnis zur Freiheit im Internet bei – und sollte vor der Haustür kehren

freedomonline.tnDeutschland ist der “Freedom Online Coalition” beigetreten, einem Bündnis von 19 Staaten, die das Internet frei und offen halten wollen. Das verkündete der Menschenrechtsbeauftragte der Bundesregierung im Umfeld einer Konferenz in Tunesien. Das klingt nett, grenzt aber an Heuchelei – so lange hierzulande Internet-Überwachung ausgebaut wird und Überwachungstechnologien exportiert werden.

Während des Arabischen Frühlings gründete die damalige amerikanische Außenministerin Hillary Clinton großspurig die “Freedom Online Coalition”. Im Gründungsdokument finden sich allerlei gute Punkte über die Möglichkeiten eines freien und offenen Internets für Menschenrechte und die Meinungsfreiheit, die es zu schützen gilt. Auf der Webseite der dritten Freedom Online Conference in Tunesien Anfang der Woche ist auch Deutschland als Mitglied aufgelistet.

Das hat Matthias Becker als Anlass für einen Audio-Bericht beim Deutschlandfunk genommen: Exportschlager Überwachungstechnik: Die deutsche Cyberaußenpolitik und die Freiheit des Internets (hier ist die MP3). Mit vielen interessanten Personen durfte auch ich etwas beisteuern.

Als Reaktion auf den Arabischen Frühling schmiedeten die USA eine Freedom Online Coalition. Auch Deutschland will dem Bündnis für ein freies Internet nun beitreten. Doch die meisten Staaten der Koalition vollziehen einen Spagat: Sie propagieren ein freies Netz – und liefern die technischen Mittel für seine Unterdrückung.


Markus Löning, der Menschenrechtsbeauftragte der Bundesregierung, sagte:

Uns liegt daran, in unserer Außenpolitik, diejenigen, die das Internet nutzen als Instrument zur Freiheit, als Instrument für Meinungsfreiheit, für bürgerliches Engagement, diejenigen zu unterstützen. Ich werde jetzt, wenn ich zurück bin von der Konferenz in Tunis, hier einen runden Tisch organisieren mit deutschen NGOs, die in dem Bereich arbeiten. Zum Beispiel geht es da um Fragen, wie kann ich mich als Dissident, als Blogger schützen vor staatlicher Verfolgung, wie muss ich meine Email-Accounts einrichten. Da gibt es Leute, die lehren so etwas, die bringen Leuten so was bei, wie schütze ich mich vor staatlicher Repression. Und solche Projekte unterstützen wir zum Beispiel.

Erklärt die Bundesregierung auch, wie man sich gegen Vorratsdatenspeicherung und strategische Fernmeldeaufklärung schützt?

Ein zweites Problem sind die Überwachungstechnologien wie Staatstrojaner und Massenüberwachung:

Das Bundeswirtschaftsministerium sieht im Export von Überwachungstechnologien einen der Wachstumsmärkte der Zukunft.

Markus Löning ist übrigens in der FDP und war für sie Bundestagsabgeordneter und Landesvorsitzender in Berlin. Unser Wirtschaftsminister Philipp Rösler ist zufällig in der selben Partei. Schizophren, nicht?

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

May 24 2013

Netzpolitischer Wochenrückblick: KW 21

Die wichtigsten netzpolitischen Themen der Woche im Überblick und als kleiner Podcast (mp3):

  • ePetition für gesetzliche Festschreibung der Netzneutralität

Auf der offiziellen ePetitionsplattform des Deutschen Bundestag gibt es seit Dienstag die Petition “Wirtschaftspolitik – Verpflichtung der Internetanbieter zur Netzneutralität vom 23.04.2013” des Studenten Johannes Scheller zum mitzeichnen. [Zum Artikel]

  • Bundestag debattiert Netzneutralität – im Protokoll

Der Bundestag hat in der Plenardebatte am vergangenen Donnerstag theoretisch über Netzneutralität diskutiert. Theoretisch dadurch, dass die Debatte nur als “Reden zu Protokoll” stattfand, weil die Opposition wohl alle Plenardebatten-Kärtchen bereits gezogen hatte und die Regierungskoalition anscheinend kein großes Interesse an einer öffentlichen Debatte hatten. Konkret ging es um einen Gesetzentwurf der Linksfraktion, die Netzneutralität festzuschreiben. [Zum Artikel]

  • Netzneutralität in der EU: Parlament “bekräftigt das Prinzip”, Kommission “bereitet Empfehlungen vor”

Die EU-Kommissarin für die Digitale Agenda eiert noch immer um eine gesetzliche Festschreibung der Netzneutralität herum. Das geht aus ihrer Antwort auf einen Protest-Brief von Verbraucherschutz- und Digital Rights-Organisation hervor. Unterdessen hat das Parlament in einem Bericht beiläufig das Prinzip der Netzneutralität bekräftigt. [Zum Artikel]

  • Nicht ACTA, aber genau so wichtig: Entscheidung über EU-Datenschutzreform fällt jetzt

In den letzten Tagen ist uns immer wieder aufgefallen, dass sowohl Netzbewegte als auch Journalistinnen und Journalisten den Anschluss an die Vorgänge rund um die EU-Datenschutzreform verloren haben – und natürlich auch Sascha Lobo(s Mutter). Dabei wird es gerade spannend: Das Europäische Parlament und die zuständigen Minister basteln momentan an eurem Datenschutz für die nächsten 20 Jahre. Bis zur Sommerpause wollen sie über ihre Positionen abstimmen. Wer sich einbringen will, muss das jetzt – während der Verhandlungen – tun. Am Tag der Abstimmung ist es schon zu spät. [Zum Artikel]

  • Staatstrojaner für Mac: Aktivist aus Angola mit Spyware überwacht, die weltweit zur Spionage eingesetzt wird

Der Apple-Rechner eines Anti-Korruptions-Aktivisten aus Angola wurde mit einem Staatstrojaner infiziert, der Screenshots an die Angreifer verschickt hat. Das hat der Sicherheitsforscher Jacob Appelbaum letzte Woche entdeckt. Laut einer Sicherheits-Firma ist die Malware Teil eines größeren digitalen Spionage-Netzes, das auch Ziele in Deutschland infiziert hat. [Zum Artikel]

  • Operation Aurora: Chinesische Hack-Angriffe auf Google galten nicht nur Aktivisten, sondern der Unterstützung von Spionen

Die Hack-Angriffe auf Google und andere Firmen im Jahr 2009 sollten wohl herausfinden, welche chinesischen Spione von den USA beobachtet werden. Das berichten ein Mitarbeiter von Microsoft sowie aktuelle und ehemalige Regierungsbeamte. Google hatte nach der “Operation Aurora” den chinesischen Markt verlassen – angeblich weil Menschenrechtsaktivisten ausgespäht wurden. [Zum Artikel]

  • Deutsche Telekom erklärt soziale Frage der Drosselpläne

Der Drossel-Aspekt bei den aktuellen Drosselkom-Plänen ist der eine Aspekt, die geplante Abschaffung der Netzneutralität ist aber der gravierendere Teil dabei. Trotzdem ist die Kritik an der geplanten Abschaffung der Flatrates gerechtfertigt. Etwas irritierend agiert dabei die Deutsche Telekom. [Zum Artikel]

  • Chaos Computer Club veröffentlicht graphische Darstellung vom Grundgesetz

Anlässlich des 64. Geburtstages des deutschen Grundgesetzes, hat der Chaos Computer Club (CCC) gestern die Open-Data-Plattform DocPatch veröffentlicht. Das Ziel von DocPatch ist es, dass Nutzer die Entwicklung des Grundgesetzes in Graphiken und Texten nachvollziehen zu können. [Zum Artikel]

  • Informationsfreiheit: Malte Spitz verklagt Bundesregierung auf Herausgabe von Umfragen zur politischen Stimmungslage

Ein Einblick in Umfragen des Bundespresseamts zur politischen Stimmungslage in Deutschland würde die Regierungstätigkeit gefährden. Mit diesem Argument verweigert die Bundesregierung Anfragen nach Informationsfreiheitsgesetz. Der Grüne Politiker Malte Spitz hat deswegen Klage gegen die Bundesregierung eingereicht. [Zum Artikel]

  • Internet-Zensur: Australische Finanz-Aufsichtsbehörde lässt Webseiten sperren

Die australische Regierung hat bestätigt, dass die australische Finanz-Aufsichtsbehörde (ASIC) für die Sperrung einer Reihe von Webseiten verantwortlich ist, welche mit betrügerischen Online-Angeboten in Verbindung gebracht werden. Doch die Sperrung ist aus mehreren Gründen nicht unumstritten. [Zum Artikel]

  • Google verabschiedet sich größtenteils von offenen Standards für Instant Messaging

Wie immer mal wieder während Googles I/O Entwicklerkonferenz genannt und nun von der Electronic Frontier Foundation (EFF) zusammengefasst, will Google die derzeit existierende Instant-Messaging Plattform “Talk” durch eine neue ersetzen, “Hangouts”. Diese mindert die Unterstützung für das freie Instant Messaging Protokoll XMPP (Jabber) enorm und gibt ebenfalls keine Möglichkeit mehr, die Archivierung aller Chat Nachrichten zu deaktivieren. Ein Wechsel von freien zu proprietären Protokollen und ein großer Schritt zurück für viele Nutzerinnen und Nutzer. [Zum Artikel]

  • Zwischenstand unserer Leserfinanzierungskampagne nach einem Monat Laufzeit

Vor fünf Wochen haben wir eine kleine Kampagne gestartet, um als weitere Refinanzierungssäule unserer Arbeit die Leserfinanzierung aufzubauen. In Zeiten, wo Werbung oftmals als die Hauptfinanzierungsquelle von Online-Journalismus gilt, wollten wir darauf verzichten, eine Adblocker-Ausschalt-Kampagne zu starten. [Zum Artikel]

  • Datenspuren 2013 – Privacy by Design

Unter dem Motto “Privacy by Design” findet am 7. und 8. September in Dresden die 2013er Ausgabe des Symposiums “Datenspuren” statt. [Zum Artikel]

Habt ein schönes Wochenende!

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung, auch um weiterhin einen Full-RSS-Feed anbieten zu können. Investiere in digitale Bürgerrechte.

flattr this!

Reposted by02mydafsoup-01 02mydafsoup-01

May 21 2013

Staatstrojaner für Mac: Aktivist aus Angola mit Spyware überwacht, die weltweit zur Spionage eingesetzt wird

KITM_screenshot_dump_folderDer Apple-Rechner eines Anti-Korruptions-Aktivisten aus Angola wurde mit einem Staatstrojaner infiziert, der Screenshots an die Angreifer verschickt hat. Das hat der Sicherheitsforscher Jacob Appelbaum letzte Woche entdeckt. Laut einer Sicherheits-Firma ist die Malware Teil eines größeren digitalen Spionage-Netzes, das auch Ziele in Deutschland infiziert hat.

Letzte Woche fand das Oslo Freedom Forum statt, eine Konferenz, auf der hunderte “Dissidenten, Innovatoren, Journalisten, Philanthropen und Politiker” diskutieren, wie man am besten “autoritäre Regime herausfordern und freie und offene Gesellschaften fördern kann”. Einer der Gäste war Rafael Marques de Morais, der sich in Angola gegen Korruption einsetzt. In einem Workshop, wie man seine Geräte gegen staatliche Überwachung schützen kann, entdeckte der Aktivist Jacob Appelbaum auf dessen Computer eine neue Überwachungs-Software.

De Morais nutzt einen Apple-Laptop mit OS X und verwendet die Anonymisierungs-Software Tor. Am 8. April erhielt er eine E-Mail mit einem infizierten Dateianhang. Beim Öffnen installierte sich eine eher einfache Spyware, die mit einer validen Apple Developer ID signiert war. Die Spähsoftware machte regelmäßig Screenshots vom Rechner und schickte die an Server in den Niederlanden.

Mit diesen Screenshots lassen sich unter anderem Dokumente, Skype-Chats und E-Mails des Überwachten mitlesen, wie Jacob in einem Video erläutert:

Zeitgleich mit dieser Entdeckung veröffentlichte die IT-Security Firma Norman Shark einen Bericht über Spyware aus Indien. Die norwegische Telefongesellschaft Telenor wurde ebenfalls mit der “Spear Phishing” Methode angegriffen und ausgespäht. Bei der Untersuchung des Angriffs stellte sich heraus, dass Telenor nur eines von vielen Zielen in einem größeren Angriffsnetzwerk ist. Zunächst wurden demnach Ziele “von nationalem Interesse”, wie in Pakistan, überwacht. In den letzten Jahren widmeten sich die Angreifer/innen auch Zielen zur Industrie-Spionage.

Bei genauerer Untersuchung stellte sich heraus, dass der Angriff auf den Laptop von Rafael Marques de Morais mit der selben Infrastruktur durchgeführt wurde, wie die Spionage made in Indien. Eine weitere Spähsoftware wurde von der selben Apple Developer ID signiert. Die Ziele waren nicht wenige:

We do not know all countries affected by attacks from the Hangover group, but we have seen indicators from countries Norway, Pakistan, US, Iran, China, Taiwan, Thailand, Jordan, Indonesia, UK, Germany, Austria, Poland, Romania and more – and the activist in Oslo Freedom Forum was reportedly from Angola.

Dieser Fall zeigt erneut, dass es gegen Spähsofwtare keinen ausreichenden technischen Schutz gibt. Mit genug Aufwand wird jedes Computersystem zur Wanze. Umso wichtiger ist es, Staatstrojaner politisch zu verhindern und bekämpfen.

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung, auch um weiterhin einen Full-RSS-Feed anbieten zu können. Investiere in digitale Bürgerrechte.

flattr this!

May 17 2013

Staatstrojaner FinFisher: Bundeskriminalamt bezahlt möglicherweise illegale Software, um den Quellcode zu bekommen

Das Bundeskriminalamt hat einen Vertrag über den Staatstrojaner abgeschlossen und Geld gezahlt, weil der Hersteller Gamma sonst den Quellcode nicht herausgegeben hätte. Das antwortete das Innenministerium auf eine Frage der Linkspartei. Ob die Schnüffelsoftware überhaupt legal eingesetzt werden darf, wird noch immer überprüft.

Nach unserem ersten Bericht im Januar würde kürzlich auch offiziell bestätigt, dass das Bundeskriminalamt den international bekannten Staatstrojaner FinFisher/FinSpy für 150.000 Euro gekauft hat.

Der Bundestags-Abgeordnete Andrej Hunko (Linkspartei) hat mal nachgefragt, wann die Zahlungen fällig werden und warum das schon vor Abschluss der Quellcode-Prüfung passiert:

Wann werden hinsichtlich des Vertrages zwischen dem Beschaffungsamt des Bundesministeriums des Innern und der Firma Elaman GmbH vom März 2013 bezüglich des Kaufs von staatlich genutzter Hackersoftware jeweils Zahlungen fällig – bitte auch die Höhe im Einzelnen angeben, aufgeschlüsselt nach einmaliger Kaufsumme sowie Lizenzgebühren –, und aus welchem Grund ist der Vertrag bereits geschlossen bzw. fließen bereits Gelder, obschon die Überprüfung des Quellcodes der Software durch die Firma noch nicht abgeschlossen ist, nach Ansicht des Fragestellers die Funktionsweise der Spionagesoftware also unbekannt ist und die rechtliche Vereinbarkeit ihrer Nutzung deshalb nicht zugesichert werden kann?

Gestern antwortete Dr. Christoph Bergner, Parlamentarischer Staatssekretär beim Bundesminister des Innern:

Das Bundeskriminalamt, BKA, setzt zur Überwachung verschlüsselter elektronischer Kommunikation eine Überwachungssoftware nach Maßgabe gesetzlicher Befugnisse ein.

Die Verwendung der Begriffe Hacker- bzw. Spionagesoftware legen den unrechtmäßigen Gebrauch nahe. Die Bundesregierung distanziert sich erneut von solchen Vorwürfen.

Das BKA hat im Herbst 2012 eine kommerzielle Software am Markt erworben, um verschlüsselte Kommunikation überwachen zu können, bis die vom BKA entwickelte Überwachungssoftware – sogenannte Eigenentwicklung – einsatzbereit ist.

Die Funktionen der erworbenen Überwachungssoftware waren dem BKA bereits vor Erwerb der Softwarelösung bekannt.

Die Prüfung des Quellcodes ist jedoch – wie ich bereits mehrfach vorgetragen habe – bei dem Erwerb einer Software nicht üblich und konnte nur Aufgrund der Bereitschaft dieses Herstellers erfolgen.

Er hat jedoch den Abschluss eines Kaufvertrags zur Bedingung gemacht.

Die mit dem Vertragspartner vereinbarten Zahlungsbedingungen sehen vor, dass lediglich eine Teilzahlung des vereinbarten Entgelts unmittelbar fällig wird, eine weitere Rate im Juni 2013 und die Schlusszahlung bei Auslieferung einer Softwareversion, die den Vorgaben der Standardisierenden Leistungsbeschreibung vollständig entspricht.

Der Erwerb im “Herbst 2012″ ist interessant, sagte uns das das BKA vor zwei Wochen noch:

Der Vertrag wurde durch das Beschaffungsamt des Bundesministerium des Innern und der Firma Elaman im März 2013 geschlossen.

Ob der Staatstrojaner überhaupt legal eingesetzt werden darf, ist weiterhin ungewiss. Noch immer überprüft die Firma CSC Deutschland Solutions GmbH , ob die gelieferte Version der FinFisher/FinSpy-Suite den Anforderungen der standardisierenden Leistungsbeschreibung entspricht. Erst, wenn das der Fall ist, dürfte die Software offiziell zum Einsatz kommen.

Frank Rieger, Sprecher des Chaos Computer Club, kommentierte den Kauf gegenüber netzpolitik.org:

Dieses Vorgehen des BKA ist de facto Wirtschaftsförderung für ein Unternehmen, das im Ruf steht Spitzelsoftware zu liefern, mit denen demokratische Oppositionelle in aller Welt ausgeforscht werden. Sich in derartige moralische Abgründe zu begeben, obwohl es keine Rechtsgrundlage für das Abhören per Trojaner in Deutschland gibt, zeugt einmal mehr vom kompletten Verlust des Realitätssinnes bei BKA und Innenministerium.

Andrej Hunko kommentierte gegenüber netzpolitik.org:

Deutlich wird, wie derartige Beschaffungsvorgänge vernebelt werden. Dass die nun mitgeteilten Details nicht im Auskunftsbegehren von netzpolitik herausgegeben wurden, illustriert die arrogante Haltung des BKA zur Informationsfreiheit.

Wieder werden immense Summen für digitale Spähwerkzeuge versenkt. Der Vertrag mit Elaman kam zustande, obwohl rechtliche Rahmenbedingungen zum Einsatz staatlich genutzter Trojaner längst nicht geklärt sind. Dies ist aus Sicht der Bürgerrechte ein fatales Signal an die Hersteller von Überwachungstechnologie.

Ich kritisiere die Meinung des Bundesinnenministeriums, wonach der Quellcode der polizeilich genutzten Software dem Betriebsgeheimnis der Hersteller unterliegen soll. Hier gehen Kapitalinteressen vor Datenschutz. Das gilt natürlich nicht nur für Trojaner (die ich übrigens sehr wohl als staatlich genutzte Hackersoftware bezeichnen würde). Denn die Entwicklung digitaler Analysewerkzeuge für den Bereich „Innere Sicherheit“ schreitet weiter fort. Dies beinhaltet die Nutzung von Suchmaschinen in polizeilichen Datenbanken ebenso wie Anwendungen zur automatisierten Auswertung der Videoüberwachung.

vgwort pixel

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung, auch um weiterhin einen Full-RSS-Feed anbieten zu können. Investiere in digitale Bürgerrechte.

flattr this!

Reposted by02mydafsoup-01 02mydafsoup-01

April 09 2013

Oberlandesgericht Köln: Zollkriminalamt und DigiTask-Software wegen rechtswidriger Schnüffelei verurteilt

Kann eine staatliche Überwachungsmaßname besonders geschützte Kommunikation nicht unverzüglich löschen, darf diese nicht eingesetzt werden. Das hat das Oberlandesgericht Köln letzte Woche entschieden. Das Zollkriminalamt hatte Kommunikation mit einem Anwalt mitgeschnitten, aber ihre veraltete DigiTask-Software hatte noch keine Funktion zum selektiven Löschen.

Netzpolitik.org liegt ein Beschluss des Oberlandesgerichts Köln mit dem Aktenzeichen “16 Wx 16/12″ vor, in dem das Zollkriminalamt wegen rechtswidriger Schnüffelei verurteilt wird.

Im Jahr 2011 führte das Zollkriminalamt eine “präventive Telekommunikationsüberwachung” durch, also eine “normale” Überwachung eines Telefon- und Internet-Anschlusses. In so einem Fall leitet der Anschluss-Provider Telefongespräche als Audio und den Internet-Datenstrom im pcap-Format an die Behörde weiter. Dabei wurde aber auch Kommunikation eines Beschuldigten mit seinem Anwalt mitgeschnitten, “und zwar sowohl Telefonate als auch sog. IP-basierte Kommunikation, zu der jedenfalls E-Mails gehörten”. Das ist aber “besonders geschützte Kommunikation”:

Werden Daten erhoben, welche die Kommunikation des Betroffenen mit seinem Verteidiger betreffen, dann sind diese Daten zu löschen, sobald erkennbar ist, dass es sich um geschützte Kommunikation handelt. Eine inhaltliche Auswertung der Daten ist in diesen Fällen unzulässig.

Die aufgezeichneten Telefongespräche wurden deshalb zwei Monate später gelöscht. Aber die Internet-Überwachung nicht:

Die Löschung der Internetkommunikation war zunächst nicht erfolgreich. Vielmehr wurden diese Daten erst im Juli 2012 gelöscht.

Das Problem:

Das Zollkriminalamt macht geltend, dass aus technischen Gründen eine Löschung nur der geschützten Kommunikation nicht früher möglich gewesen sei. Die Internet- basierten Kommunikationsdaten würden in einem Rohdatenstrom übermittelt, der in der Folge dekodiert und damit in E-Mails, VoIP-Daten, Internet-Surfsessions u.ä. aufgeteilt werden. Erst mit der Dekodierung würden die Daten sichtbar bzw. auswertbar. Das Löschen bestimmter Teile des Rohdatenstroms sei nicht möglich. Der Löschung des gesamten Rohdatenstroms stehe entgegen, dass hierdurch auch andere, für die Maßnahme erforderliche Daten gelöscht würden.

Der technische Grund war: Die eingesetzte Software aus dem Hause DigiTask hatte keine Funktion zum selektiven Löschen. DigiTask hat diese Funktion zwar in einer neuen Version nachgerüstet, die läuft aber auf dem alten Betriebssystem des Zollkriminalamts (wohl Windows 2000 Server) nicht. Diesen Grund lassen die Richter/innen nicht gelten:

Es handelt sich um behebbare Schwierigkeiten, wie der Umstand zeigt, dass nach Angaben des Zollkriminalamts die Daten inzwischen gelöscht worden sind. Auch das vom Zollkriminalamt vorgelegte Schreiben des Softwareherstellers DigiTask vom 22.7.2011 zeigt, dass es technisch möglich wäre, die geschützte Kommunikation zu löschen und das Problem in der Hardware- und Software-Ausstattung des Zollkriminalamts liegt. Nach diesem Schreiben setzen – Stand Juli 2011 – die “fachlichen Anforderungen des Zollfahndungsdienstgesetzes zur Kernbereichsbehandlung die Version 1.90 der TKÜ-Auswertsoftware voraus.” Diese Software könne (nur) deshalb nicht installiert werden, weil die vom Zollkriminalamt eingesetzten “betagten” Server und das dort installierte Betriebssystem von der Software nicht unterstützt würden.

Soweit für die Löschung eine andere technische Ausstattung (Hardware, Betriebssystem, aber auch Software) als beim Zollkriminalamt vorhanden erforderlich ist, rechtfertigt dies nicht die Speicherung der geschützten Daten. Vielmehr muss das Zollkriminalamt, um den Anforderungen des Gesetzes und der Verfassung nachzukommen, notfalls auf andere Hard- oder Software zurückgreifen. Insoweit ergibt die Abwägung den Vorrang der Interessen des Beschwerdeführers am Schutz der Verteidigerkommunikation vor rein fiskalischen Erwägungen. Die technische Ausstattung muss den (verfassungs)rechtlichen Vorgäben entsprechen. Verwaltungsinterne Probleme bei der Beschaffung der erforderlichen Hard- und Software rechtfertigen keinen Grundrechtseingriff.

Auf deutsch: Es gibt keinen Grundrechtsschutz nach Kassenlage. Entweder kann die eingesetzte Software die rechtlichen Anforderungen erfüllen, oder sie darf eben nicht eingesetzt werden.

Diese Entscheidung ist nicht nur relevant, weil die DigiTask GmbH auch die vom Chaos Computer Club zerlegten Staatstrojaner produziert hat. Trojaner können grundsätzlich den gesetzlich geschützten Kernbereich privater Lebensgestaltung nicht erkennen, was auch das Bundeskriminalamt in der Leistungsbeschreibung ihrer Trojaner zugibt:

Automatisierte Verfahren zur Erkennung kernbereichsrelevanter Abschnitte bei der Datenerhebung entsprechen derzeit weder dem Stand der Technik noch dem der Wissenschaft.

Dumm nur, dass sich Überwachungs-Software nach dem Gesetz richten muss und nicht andersrum.

vgwort pixel

flattr this!

April 02 2013

Citizen Lab Bericht: Tibetische Aktivisten erneut mit gezielten Android-Trojanern ausspioniert

Android Berechtigungen der richtigen und der infizierten App.

Android Berechtigungen der richtigen und der infizierten App.

Tibetische Aktivisten wurden bereits mit mehreren Android-Trojanern gezielt angegriffen und ausspioniert. In einem neuen Bericht analysiert das Citizen Lab einen Trojaner, der Kontakte, Anruflisten und SMS-Nachrichten abhört. Staatliche Trojaner existieren für alle verbreiteten Betriebssysteme, der Infektionsweg ist dabei häufig per E-Mail.

Letzte Woche berichtete Kaspersky Lab, dass tibetische Aktivist/innen gezielt mit Trojanern für das mobile Betriebssystem Android ausspioniert wurden. Jetzt veröffentlichte das kanadische Citizen Lab einen weiteren detaillierten Bericht über gezielte Android-Trojaner gegen Tibeter.

Im zentralasiatischen Tibet gibt es oft nur einen eingeschränkten oder gar keinen Zugang zu Googles App-Store “Google Play”. Viele Tibeter installieren sich daher Android-Apps aus anderen Quellen, so werden diese z.B. gerne als APK-Dateien (Android Package) per E-Mail verschickt. Eine der gerne genutzten und versendeten Apps ist KakaoTalk, ein kostenloser Messaging-Dienst und eine Alternative zu WeChat, das mit der chinesischen Regierung kooperiert.

Im Dezember schickte ein befreundeter “IT-Security Experte” einem Abgeordneten des tibetischen Exilparlaments die richtige App und Installations-Hinweise per E-Mail. Im Januar erhielt eine “hochrangige politische Figur in der tibetischen Gemeinschaft” eine fast identische E-Mail. Diese hatte dem Anschein nach den selben Absender, kam aber in Wahrheit von einem GMX-Account. Der Text in der Mail war der selbe, aber die angehängte App war mit einem Trojaner infiziert.

Einmal installiert, sammelte die App in regelmäßigen Abständen die Kontakte des Benutzers, Anruflisten, SMS-Nachrichten und Informationen über die Konfiguration des Mobilfunk-Netzwerks. Darüber hinaus kommunizierte die App regelmäßig mit dem Command-and-Control-Server “android.uyghur.dnsd.me”, wobei versucht wurde, den Datenverkehr aussehen zu lassen wie den der chinesischen Suchmaschine Baidu. Der C&C-Server teilte dem Trojaner dann mit, wo er die abgeschnorchelten Daten hochladen soll.

Schließlich fing die Trojaner-App auch spezielle SMS-Nachrichten mit bestimmten Codes ab, woraufhin Informationen über die Funkzelle und das Mobilfunk-Netzwerk zurückgeschickt wurden, ohne dass die Anwenderin von diesen SMS etwas mitbekommt. Diese Informationen sind für einfache Online-Kriminelle wenig hilfreich, daher ist es vorstellbar, dass die Angreifer mit einem Mobilfunk-Anbieter zusammen arbeiten können. Der Citizen Lab hält sich vornehm zurück, China als staatlichen Akteur hinter den Angriffen namentlich zu benennen, angesichts der Auseinandersetzungen um die tibetische Unabhängigkeit liegt die Vermutung jedoch nahe.

Dieser Bericht zeigt erneut, dass staatliche Trojaner zur Überwachung politischer Gegner keineswegs nur ein paar unsichere Windows-Computer betreffen. Auch sie Staatstrojaner-Suite “made in Germany” FinFisher/FinSpy existiert für alle möglichen Zielsysteme: darunter Windows, Mac OS X, Linux, iOS, Android, BlackBerry, Windows Mobile und Symbian. Die aktuelle Schadsoftware wurde übrigens bis zur Veröffentlichung von keiner der drei großen Android-Antivirenprogramme erkannt.

vgwort pixel

flattr this!

August 23 2012

Private Dienstleister: Staatstrojaner-Hersteller DigiTask ist “Hoflieferant des Innenministeriums”

Deutsche Behörden haben seit 2005 fast einhundert mal bei DigiTask eingekauft. Das geht aus der Antwort der Bundesregierung auf eine kleine Anfrage der Linkspartei hervor. Auch über den Trojaner hinaus ist der Staat damit Stammkunde der hessischen Firma – noch immer.

Die Privatisierung von Staatsaufgaben macht auch vor der Überwachung nicht halt. Jetzt hat die Bundesregierung auf eine kleine Anfrage der Linkspartei zum Thema “Auftragsvergabe an private Dienstleister im Bereich des Bundesministeriums des Innern” geantwortet. Daraus geht hervor, dass allein das Bundesamt für Verfassungsschutz in den letzten zehn Jahren Aufträge im Wert von 50 Millionen Euro an private Firmen gegeben hat.

Aber auch andere Bundesbehörden outsourcen gerne – unter anderem an DigiTask, den Hersteller des vom CCC enttarnten Staatstrojaners. In einer Tabelle mit Aufträgen taucht die Firma aus dem hessischen Haiger fast einhundert Mal auf. Daran hat auch das Trojaner-Debakel nichts geändert.

Philipp Alvares de Souza Soares auf Zeit Online:

Auf Anfrage der ZEIT bestätigte das Innenministerium indes, mit DigiTask noch immer im Geschäft zu sein. Die Daten aus der Antwort an die Linkspartei bezogen sich lediglich auf die Zeit bis 2011.

flattr this!

Reposted bykrekk02mydafsoup-01

August 10 2012

Angezapft: Warum Staatstrojaner mit Gesetzen nicht kontrollierbar und damit grundsätzlich abzulehnen sind

CC BY-SA 2.0 mellowboxDer staatliche Einsatz von Trojaner-Software lässt sich schon per Definition weder technisch noch gesetzlich beschränken. Das ist das Ergebnis einer Diplomarbeit an der Berliner Humbold-Universität, die netzpolitik.org an dieser Stelle exklusiv veröffentlicht. Die Konsequenz kann nur lauten, dass der Staat keine Schadsoftware einsetzen darf.

Seit mindestens sieben Jahren überwachen deutsche Staatsorgane fremde Computersysteme mit Staatstrojanern. Etwa 35 mal pro Jahr setzen Behörden von Bund und Ländern solche Überwachungs-Software ein, mehr als hundert Mal in drei Jahren. Zahlen aller Geheimdienste sind nicht bekannt, aber schon Anfang 2009 hatte allein der Bundesnachrichtendienst über 2.500 Rechner infiltriert. Die gesellschaftliche Debatte hinkt dabei der technischen Entwicklung hinterher.

In seiner Diplomarbeit unterstreicht der Student Rainer Rehak, wie groß dieser Graben ist: Angezapft – Technische Möglichkeiten einer heimlichen Online-Durchsuchung und der Versuch ihrer rechtlichen Bändigung. Darin wird deutlich, dass sich staatliche Trojaner allein durch ihre Anforderungen schon technisch nicht hinreichend einschränken lassen, erst recht nicht durch Gesetze. Code ist eben Gesetz.

Die Qualität der Diplomarbeit überzeugte auch seine Gutachter am Informatik-Institut der Berliner Humbold-Universität: sie bekam die Note 1,0. Zunächst arbeitet Rehak anhand öffentlicher Aussagen der verantwortlichen Stellen heraus, welche Funktionen eine heimliche Online-Durchsuchung haben muss. Aus diesen konzeptionellen Anforderungen leitet er technische Eigenschaften einer solchen Software ab.

Probleme schon im Konzept

Ein Staatstrojaner muss beispielsweise zwangsläufig System- und Schreibrechte auf einem Zielsystem haben. Nur so kann sich die Software möglichst gut verstecken und Abwehrprogramme umgehen. Auch zum effektiven und heimlichen Abgreifen der gewünschten Daten sind Systemrechte notwendig. Zudem muss sich ein Staatstrojaner updaten lassen, um sich an Änderungen des Zielsystems anzupassen oder neue Funktionalitäten nachzuladen. Doch sobald eine Software einmal solche umfangreichen Rechte hat, kann eine Beschränkung der Funktionalität nicht mehr sichergestellt oder belegt werden.

Die mit einem Trojaner abgeschnorchelten Daten haben zudem wenig Aussagekraft. Da die Software auf einem fremden System operiert, können die Überwacher nicht erkennen, ob die übermittelten Daten echt oder manipuliert sind. Der CCC hat diese Möglichkeit bereits beim DigiTask-Trojaner demonstriert, in dem falsche Screenshots zurück geschickt wurden. Das war nicht nur ein Problem der konkreten Software, sondern ist grundsätzlich bei jedem Trojaner möglich. Die so erlangten Daten haben daher keine Beweiskraft.

In Deutschland wird der Einsatz staatlicher Trojaner vor allem mit der so genannten Quellen-Telekommunikationsüberwachung (TKÜ) gerechtfertigt. Im Gegensatz zu einer Online-Durchsuchung soll dabei nur Telekommunikation abgehört werden. Nicht nur in der Praxis funktioniert diese Unterscheidung zwischen Telekommunikations- und anderen Daten nicht, wie der Bericht des bayrischen Datenschutzbeauftragten zeigt. Die Trennung der Datentypen ist technisch schlicht nicht hinreichend lösbar. Daher muss auch bei einer Quellen-TKÜ stets die maximale Eingriffshürde angewendet werden.

Auch der vom Bundesverfassungsgericht definierte Kernbereich privater Lebensgestaltung ist durch Staatstrojaner zwangsläufig betroffen. Durch den Einzug informationstechnische Systeme in alle Bereiche des menschlichen Lebens werden auch die Teile der Intim- und Privatsphäre auf solchen Systemen abgebildet, die gegen staatliche Eingriffe absolut geschützt sind. Eine Software kann diesen Kernbereich mit technischen Mitteln nicht erkennen. Eine Einordnung von Daten in den Kernbereich kann nur von Menschen in den Behörden geleistet werden, dann ist der Eingriff aber schon passiert. Somit verletzt jeder Staatstrojaner den Kernbereich privater Lebensgestaltung.

Programmierter Verfassungsbruch

All diese Mängel ergeben sich direkt aus dem Konzept eines Staatstrojaners und betreffen daher grundsätzlich jede Implementation. Hersteller, Funktionen und sogar die Verfügbarkeit von Quellcode sind irrelevant. Das Bundesverfassungsgericht hat in seinem Urteil aus dem Jahr 2008 viele dieser Probleme erkannt. Trotzdem hat es den Einsatz, wenn auch unter engen Grenzen, erlaubt. Dabei zeigt diese Arbeit, dass die grundsätzlichen Probleme nicht durch Recht und Gesetz zu bändigen sind. Fehler und Missbrauch sind hier noch gar nicht eingerechnet.

Daher ist jede Form von Staatstrojanern abzulehnen. Umso schlimmer ist es, dass der Einsatz nicht nur weiter geht, sondern dabei noch nicht einmal das bestehende, unzureichende Recht eingehalten wird. Das hat Frank Rieger in der FAS treffend kommentiert: Rechtsbruch wird Tradition.

flattr this!

Reposted bymondkroete mondkroete

August 09 2012

Gamma FinFisher: Neue Analyse des Staatstrojaners deutet auf weitere Kunden hin

Der Spionage-Software FinFisher wird möglicherweise auch in Dubai, Katar, Mongolei und Indonesien eingesetzt. Das geht aus weiteren Analysen des vor zwei Wochen enttarnten Staatstrojaners hervor. Auch in Europa wurden Server entdeckt, die möglicherweise als Kommandozentralen für die Software der deutsch-britischen Firma Gamma International dienen.

Vor zwei Wochen haben Aktivisten vom Citizen Lab die Analyse eines Trojaners veröffentlicht, den sie für das Produkt FinFisher der Firma Gamma International halten. Die Computerwanze sollte weltweit Computer bahrainischer Aktivisten infizieren und ausspähen.

Ursprüngliche Analyse bestätigt

Jetzt hat ein zweites Forscher-Team eine Analyse der Software veröffentlicht. Als Grundlage dienten ihnen vier infizierte Dateien, die auch netzpolitik.org vorliegen. Die Gruppe um Claudio Guarnieri und Jacob Appelbaum bestätigt in weiten Teilen die Ergebnisse des Citizen Lab, wie die Malware den Zielrechner infiziert und sich einnistet. Wird die vermeintliche Bild-Datei auf dem Zielrechner geöffnet, kopiert sich der Trojaner in einen System-Ordner und injiziert nach einem Neustart seinen Schadcode direkt in Systemprozesse. So kann sich die Netzwerk-Kommunikation des Trojaners in einem Prozess des Internet Explorers verstecken, der oft leicht durch Firewalls kommt.

Das Team ist sich ziemlich sicher, dass es sich tatsächlich um FinFisher handelt. Neben dem bekannten String “finspyv4.01″ in einem Ordner-Namen hat man die Strings “finfisher” und “finfisher.lnk” entdeckt. Im Vergleich mit der offiziellen Demo-Version von FinFisher sind viele Gemeinsamkeiten im Ablauf des Programms: die aggressive Präsenz auf dem System, die Prozesskette und der Netzwerk-Verkehr. Anhand der Kommunikationsmuster stellt das Team zwei Regeln für das Angrifferkennungssystem Snort zur Verfügung, um die bekannten FinFisher Infektionen im eigenen Netz zu erkennen.

Server auf fünf Kontinenten

Auch Guarnieri und Co. ist aufgefallen, dass der vom Citizen Lab enttarnte Kommando-Server in Bahrain auf HTTP-Anfragen mit dem String “Hallo Steffi” antwortet. Eine Abfrage diese Musters in der Datenbank des Projekts Critical.IO offenbarte elf weitere Server, die dieses Verhalten zeigten. Diese befinden sich in Äthiopien, Australien, Estland, Indonesien, Katar, Lettland, Mongolei, Tschechien (zwei mal), USA und den Vereinigten Arabischen Emiraten. Die Standorte auf einer Google Karte visualisiert:

Ob diese Server tatsächlich von staatlichen Behörden in diesen Ländern verwendet werden, kann derzeit nicht abschließend bewertet werden. Zunächst haben sie nur alle den ominösen String “Hallo Steffi” geantwortet (Update: Und auf ähnlichen Port-Kombinationen gelauscht). Mittlerweile tun sie das nicht mehr, was auf ein Update nach dem Bekanntwerden hindeuten könnte. Der Chef der Gamma International GmbH in München, Martin J. Münch behauptet gegenüber dem Bloomberg-Journalisten Vernon Silver, dass Dritte die FinSpy-Server nicht durch Netzwerk-Scans erkennen könnten, weil sie “mit Firewalls geschützt sind”.

Auf Nachfrage von Bloomberg haben Institutionen der meisten Staaten geantwortet, dass man von einer FinFisher-Nutzung im eigenen Land nichts wisse. Das indonesische Kommunikations- und IT-Ministerium meinte, dass der Einsatz solcher Software Datenschutzgesetze und Menschenrechte des Inselstaates verletzen würde. Andere Länder haben nicht geantwortet, beim amerikanischen FBI hieß es: “kein Kommentar”.

Gamma streitet ab – unglaubwürdig

Auf Anfrage von netzpolitik.org wollte auch Gamma keine Stellung beziehen, der versprochene Rückruf von Martin J. Münch blieb aus. Stattdessen verweist man auf die Firmen-Policy, keine Auskunft über seine Kunden zu geben. Eine Ausnahme machte man für Bloomberg, als Geschäfte mit Bahrain bestritten wurden. Auch sei der untersuchte Trojaner wahrscheinlich keine der aktuell verkauften Versionen von FinSpy. Viel wahrscheinlicher sei es, dass jemand die Demo-Version der Software entwendet und modifiziert hat, so Münch weiter.

Ein von netzpolitik.org befragter IT-Security-Forscher hält das für eine Ausrede:

Da hat Gamma jemand diese Malware geklaut, und – obwohl sie gegen Debugging und Analyse geschützt ist – den angeblichen Call-Home raus gepatcht, dann in zig Ländern selbstentwickelte Command-and-Control Server aufgebaut, die sich mit ‘Hallo Steffi’ melden? Das ist bestimmt nicht so.

Die genaue Rolle dieser elf Server wird Gegenstand weiterer Untersuchungen sein. Zwar haben die infizierten Rechner der bahrainischen FinSpy-Versionen die Überwachungsdaten an den ursprünglichen “Hallo Steffi”-Server in Bahrain geschickt. Das könnte jedoch auch nur ein Proxy-Server sein, wie ihn auch deutsche Behörden bei ihrem Einsatz des DigiTask-Trojaners eingesetzt haben. Die eigentlichen Empfänger könnten überall sitzen. Fragt sich nur wie wahrscheinlich ein Proxy in Äthopien ist, ein Land mit sehr langsamen und zensiertem Internet.

Jede Art von Malware bekämpfen

Die neue Analyse beunruhigt die Forscher. Obwohl sie die Infektionskette als schwach bezeichnen, ist die Spionage-Software insgesamt ziemlich komplex und gut geschützt bzw. verschleiert. Zwar werden die bekannten Exemplare mittlerweile von Antiviren-Programmen erkannt, aber natürlich reagieren die Hersteller auch darauf mit Anpassungen.

Keine Malware kann langfristig unter Kontrolle gehalten werden, früher oder später wird jede Schadsoftware für bösartige Zwecke genutzt, so die Forscher. Verbreitung, Produktion und Erwerb von Malware müssen verhindert und bekämpft werden. Wenn Gamma behauptet, sich an die Exportrichtlinien von Deutschland, Großbritannien und den USA zu halten, dann sind diese Teil des Problems.

Stattdessen testet auch das Bundeskriminalamt FinFisher als neuen Staatstrojaner für Deutschland.

flattr this!

July 27 2012

Hacking Team Remote Control System: Noch ein europäischer Staatstrojaner enttarnt, mit erstem Rootkit für Mac OS X

Schon wieder ist ein kommerzieller Überwachungs-Trojaner entdeckt worden, der nur an Staaten verkauft wird. Die russische Anti-Viren-Firma Doctor Web berichtet, Überwachungssoftware der italienischen Firma Hacking Team gefunden zu haben. Laut eigener Aussage werden damit tausende Menschen auf der ganzen Welt überwacht.

Überwachungs-Software, auch wenn sie von Staaten eingesetzt wird, ist Schadsoftware. Nachdem Staatstrojaner von DigiTask und Gamma aufgeflogen sind, trifft es jetzt auch die italienische Firma Hacking Team. Seit 2003 entwickelt das Team um David Vincenzetti den Trojaner Remote Control System, mittlerweile ist man bei Version 7.5.

In einem Video und einer Broschüre werden die Fähigkeiten messe-kompatibel beworben. Man müssen “sein Ziel hacken”, um Verschlüsselung zu umgehen. Das Piktogramm “Hit your Target” mit Fadenkreuz auf den Kopf ist original aus der Broschüre. Die Software will Verschlüsselung umgehen, um alle Daten eines Rechners oder einer Kommunikation unverschlüsselt zu bekommen. Hacking Team wirbt damit, dass “hunderttausende Ziele” gleichzeitig überwacht werden können. Und zwar auf allen großen Betriebssystemen von Rechnern und Smartphones.

Zwar verkaufen die Italiener nur an Staaten und eine Lizenz kostet 200.000 Euro pro Jahr. Trotzdem hatte man Ende letzten Jahres laut eigener Aussage um die 30 Behörden in circa zwei Dutzend Ländern beliefert. Die Software ist auf fünf Kontinenten im Einsatz, darunter auch der Nahe Osten, Nordafrika und Ostasien. Auf der Fachmesse Cyber Warfare Europe in Berlin letzten Jahres berichtete ein Firmensprecher von einigen tausend Zielpersonen, auf deren Geräten der Trojaner im Einsatz ist.

Der russische Anti-Viren-Hersteller Doctor Web will den Trojaner von Hacking Team nun gefunden und enttarnt haben. Die Firma hat am Montag eine Datei erhalten, die im April letzten Jahres erstmals auftauchte und BackDoor.DaVinci.1 getauft wurde. Der Trojaner infiziert Rechner mit Windows oder Mac OS X. Wie üblich gibt es die volle Kontrolle über den Rechner, mit Keylogger, Screenshots, E-Mail und Skype vor der Verschlüsselung und Kontrolle über Kamera und Mikrofon. Laut Dr.Web ist es das erste entdeckte Rootkit, das sich auf Mac OS X versteckt.

Aus dem Bericht wird nicht unmittelbar klar, woraus Doctor Web schließt, es mit der Software von Hacking Team zu tun zu haben. Eine telefonische Anfrage von netzpolitik.org mit der russischen Firma gestaltete sich aufgrund von sprachlichen Hindernissen schwierig, eine Anfrage per E-Mail ist derzeit noch nicht beantwortet. Hacking Team wollte am Telefon ebenso nicht Stellung nehmen und verwies wie üblich auf den Kommunikationsweg E-Mail. Doctor Web spart aber nicht mit Kritik an Hacking Team und bezeichnet die italienischen Hersteller von Staatstrojanern als Kriminelle, deren Behauptung, dass ihre Software nicht entdeckt werden kann, man widerlegt habe.

[via]

flattr this!

Reposted bymondkroete mondkroete

February 28 2012

Internationaler Trojaner-Stammtisch tagt im März in Belgien

Die Schweiz wird nicht am nächsten Treffen der sogenannten „Remote Forensic Software User Group“ teilnehmen. Dies meldete die Neue Zürcher Zeitung am Freitag in ihrer Print-Ausgabe. Demnach findet das Treffen im März in Belgien statt. Datum und Ort wollte man dem Journalisten Andreas Schmid auch auf mehrmaliges Nachfragen nicht verraten.

Die „Remote Forensic Software User Group“ trifft sich informell, um sich über die Nutzung staatlicher Trojaner auszutauschen. An diesem Stammtisch nehmen neben den Landeskriminalämtern Baden-Württemberg und Bayern ErmittlerInnen und TechnikerInnen aus Belgien, der Schweiz und den Niederlanden teil. Über die Existenz der Gruppe waren nicht einmal ParlamentarierInnen der teilnehmenden Staaten informiert.

Ein Sprecher des Schweizer Bundesamts für Polizei (Fedpol) erklärte, das Fernbleiben an den Treffen des Trojaner-Stammtischs sei temporär. Die im letzten Herbst durch Veröffentlichungen des Chaos Computer Clubs losgetretene Kritik an der staatlichen Schadsoftware habe nichts mit der Absage zu tun. Ob auch die Bundesregierung der von ihr selbst initiierten Trojaner-Tupperparty fernbleibt, ist nicht bekannt. Anfang Februar teilte der Parlamentarische Staatssekretär Ole Schröder mit, Deutschland habe noch keine Einladung erhalten.

Fokus: Das Durchsuchen des ganzen Rechnersystems

Der Fokus der heimlichen „Remote Forensic Software User Group“ liegt laut Bundesinnenministerium zufolge auf „Aspekten der Onlinedurchsuchung“, also dem Durchsuchen des ganzen Rechnersystems. Tagesordnungspunkte waren etwa die „Zusammenarbeit mit der Firma DigiTask“ sowie die „Behandlung operativ-taktischer Aspekte“ oder ein „Informationsaustausch zu neuen Entwicklungen im Bereich der Kommunikationstechnologie“.

Erst auf weitere Nachfragen rückte die Bundesregierung damit heraus, dass die „Remote Forensic Software User Group“ sogar auf Initiative des BKA gegründet wurde. Demnach hieß die Vereinigung anfangs „DigiTask User Group“. Die Firma aus dem hessischen Haiger hat hierfür selbst an einem der geheimen Treffen teilgenommen.

Mit der Arbeitsgruppe wollte das deutsche Bundeskriminalamt der im hessischen Haiger ansässigen Firma Digitask Wettbewerbsvorteile verschaffen. Denn der Zusammenschluss firmierte anfangs als „Digitask User Group“. Das mag auch erklären, worin das Interesse der Schweiz an der informellen Arbeitsgruppe bestand: Bis dahin hatte das zur Verwendung von Trojanern befugte Zollkriminalamt noch Anwendungen der Schweizer Firma Era IT Solutions in Betrieb. Auch auf Kantonsebene werden Trojaner auf privaten Rechnern installiert. In den Niederlanden werden die Spionagetools von „DigiTask“ durch die Abteilung “Landelijke Interceptie” der nationalen Polizei genutzt.

Heimliche Arbeitsgruppen lediglich zum „Wissenstransfer“?

Die „Remote Forensic Software User Group“ diene laut dem Sprecher des Schweizer Bundesamts für Polizei dem Erfahrungsaustausch und dem Wissenstransfer. Das gleiche hatte die deutsche Bundesregierung auch zu anderen informellen, internationalen Arbeitsgruppen behauptet: Etwa der „European Cooperation Group on Undercover activities“ zur Erleichterung eines grenzüberschreitenden Austauschs verdeckter ErmittlerInnen oder ihres internationalen Pendants „International Working Group on Police Undercover Activities“. Ebenfalls nebulös bleibt die Arbeitsweise der „Cross-Border-Surveillance Working Group“, die sich laut Bundesregierung der „grenzüberschreitenden Observation und damit zusammenhängenden Problemstellungen“ widmet.

Dass die heimlichen internationalen Zusammenschlüsse durchaus konkrete operative Einsätze anbahnen, hatte bereits 1994 ein BKA-Beamter dem Polizeikritiker Heiner Busch in einem Interview in dem Buch „Polizeiliche Drogenbekämpfung – eine internationale Verstrickung“ berichtet. „Informelle persönliche Beziehungen“ seien für eine Zusammenarbeit „von entscheidender Bedeutung“. Der „normale Dienstverkehr auf dem Interpol“ sei „viel zu langsam“.

Dass auch die „Remote Forensic Software User Group“ einer konkreten Zusammenarbeit dient, deutet die Bundesregierung selbst an: Demnach gebe es „anlassbezogen Kontakt zu ausländischen Sicherheitsbehörden, mit denen bei Bedarf Thematiken mit vorgenanntem Bezug erörtert wurden“.

Matthias Monroy

February 21 2012

Spyware auf Rechnern der syrischen Oppostion entdeckt

Wie CNN berichtet, wurden mehrere syrische Oppositionelle Opfer einer gezielten Computer-Attacke. Auch internationale Reporter, die Kontakt zu ihnen hatten, sind von dem Angriff betroffen. Telecomix berichtet ausführlich über die technischen Details.

Offenbar benutzten die Angreifer eine modifizierte Version der frei verfügbaren französischen Fernwartungs-Software darkcomet-rat um gezielt Passwörter, Kontakte und Onlineaktivitäten der syrischen Opposition im In- und Ausland auszuspähen. Zur Installation der Malware bedient man sich schon geknackter Profile: Eine Journalistin bekam von einem angeblichen Kontaktmann in der syrischen Opposition den Tipp, eine neue Sicherheitssoftware aufzuspielen, die er ihr praktischerweise als .exe-Datei schickte. Erst Wochen später erfuhr sie, dass der Kontaktmann zum Zeitpunkt der Übertragung seit Wochen in Haft saß.

Hochgeladen werden die kompromittierten Informationen auf den Server mit der IP 216.6.0.28, der vom syrischen staatlichen Internetkonzern STE (Syrian Telecommunications Establishment) betreut wird. Der wahrscheinlich seit Anfang des Jahres in Umlauf befindliche Trojaner ist mittlerweile unter der Bezeichnung “backdoor.breut” bekannt und wird von aktuellen Versionen bekannter Virenscanner erkannt.

Ein zweiter Virus, der ebenfalls von Dlshad Othman, einem IT-Berater der syrischen Opposition entdeckt wurde, ist wesentlich komplexer aufgebaut und wird derzeit analysiert.

Auch wenn ein direkter Zusammenhang mit dem Vorgehen der syrischen Regierung gegen in Opposition, bei dem tausende Menschen starben und laut UN höchstwahrscheinlich Verbrechen gegen die Menschlichkeit begangen wurden, nicht zweifelsfrei nachgewiesen werden kann, zeigt dieser Fall doch zumindest die potenzielle Gefährlichkeit einer militärischen Nutzung von Überwachungssoftware. Auch in Deutschland soll mit dem “Staatstrojaner” eine Zugriffsmöglichkeit des Staates auf die Computer der Bürger geschaffen werden.

November 19 2011

Das Arsenal der digitalen Überwachung

Seit 2001 ist der Markt für Überwachungstechnologien explodiert und generiert nun 5 Milliarden Dollar pro Jahr. Klassentreffen der Branche, auf dem die Firmen ihre Produkte an die Behörden verkaufen, ist die internationale Konferenz ISS (Intelligent Support Systems) World, mit Veranstaltungen in Dubai, Prag und Washington, D.C..

Das Programm ist sehr erhellend. So gibt es Tracks zu Telekommunikationsüberwachung, Vorratsdatenspeicherung, Deep Packet Inspection, Semantik, Data Mining, staatliches Hacking und Trainings für Behörden.

Dabei ist man gerne unter sich. So darf man nur teilnehmen, wenn man Telekommunikations-Anbieter, Regierungsvertreter, Strafverfolgungsbehörde, Privatdetektiv oder Hersteller von Überwachungstechnologie ist. Der Aktivist Jacob Appelbaum wurde dieses Jahr rausgeschmissen. So ist leider die öffentliche Berichterstattung über die dort angebotenen Produkte wenig ausgeprägt.

Das Wall Street Journal hat jetzt über 200 Marketing Dokumente von 36 Firmen bekommen und diese veröffentlicht: The Surveillance Catalog – Where governments get their tools. Dazu gibt es einen Überblicks-Artikel und ein Video:

Einen großen Teil von Konferenz und Dokumenten nimmt staatliches Hacken ein, das auch “remote control”, “offensive security”, “offensive intelligence” oder einfach “hacking” genannt wird. Vorn dabei in den Dokumenten sind die Firmen FinFisher (unterstützt von Deutschland), Vupen (Frankreich) und Hacking-Team (Italien).

Da es in den Staaten noch keinen Staatstrojaner-Skandal gab, berichtet das WSJ breit über diese zweifelhafte Fähigkeit von Firmen und Behörden. Vupen beschreibt freizügig, wie man ihren Trojaner entweder mit Zugriff auf die Hardware (wie bisher in Deutschland bekannt) oder auch mittels noch unbekannter Sicherheitslücken aus der Ferne auf Zielrechner bekommt:

While social engineering or physical access is often used by law enforcement agencies and investigators to gain access to computer systems and install monitoring and interception tools on target PCs or mobile devices, using 0-day exploits taking advantage of previously unknown software vulnerabilities can help investigators in speeding up the process while covertly and remotely installing payloads on PCs and mobiles.

FinFisher gibt weitere Details. Mit ihrem Tool FinFly-ISP funktioniert das wohl, in dem man sich direkt beim ISP in den Traffic des Überwachungsziels einklinkt:

FinFly ISP is able to infect files that are downloaded by the Target on-the-fly or infect the Target by sending fake Software Updates for popular Software. The new release now integrates Gamma’s powerful remote infection application FinFly Web to infect Targets on-the-fly by just visiting any website.

Und ein Beispiel aus der Praxis:

FinFly ISP was deployed in the main Internet Service Provider networks of the country and was actively used to remotely deploy a Remote Monitoring Solution on Target Systems.

Vupen will Exploits für Software von Microsoft, Adobe, Sun, Apple, Oracle, Novell und anderen haben.

Aber auch die anderen Themenkomplexe sind spannend und beunruhigend zugleich. Beliebt in diesem Jahr war die Überwachung massiver Datenströme, beispielsweise von ganzen ISPs oder gar Staaten. So brüstet sich Net Optics (Kalifornien) damit, dass ein Mobilfunk-Betreiber in China mit ihrem Equipment den gesamten Traffic in Echtzeit überwachen und filtern kann. Auch im arabischen Raum sind diese Fähigkeiten begehrt, obwohl in diesem Jahr die Konferenz in Dubai wegen der politischen Unruhen weniger statt mehr Besucher verzeichnete.

Eine weitere beteiligte Firma aus Deutschland ist ipoque, Teil des Elektronik-Konzerns Rohde & Schwarz. Dort ist man auf “Deep Packet Inspection” spezialisiert. Von den angebotenen sechs Produkten ist DPX Network Probe speziell für Telekommunikationsüberwachung. Die Beschreibung klingt wie eine Rede von Uhl: “Der anonyme Informationsaustausch ist so einfach wie nie zuvor und damit eine ideale Grundlage für Kriminalität und Terrorismus.”

Weitere Funde aus den Dokumenten nehmen wir gerne in den Kommentaren entgegen.

Natürlich betonen alle Firmen, sich an die jeweiligen Gesetze zu halten. Einfacher und wohl auch ehrlicher ist da der Organisator der Konferenz Jerry Lucas: “We don’t really get into asking, ‘Is this in the public interest?’”

November 16 2011

Wo bleibt die globale Bürgerbewegung zum Schutz der Privatheit?

Der ehemalige Bundesinnenminister Gerhart Baum hat in der FAZ den Staatstrojaner kommentiert und wünscht sich eine globale Bürgerbewegung zum Schutz der Privatheit: Eine neue Dimension der Privatheit.

Wir haben alle erlebt, wie in den siebziger Jahren ein Umweltbewusstsein entstanden ist, das inzwischen tief in unserer Gesellschaft verankert ist. Lässt sich nicht auch eine Bürgerbewegung zum Schutz der Privatheit in Gang setzen, und zwar als eine europäische und globale Aufgabe? Der umfassende Schutz der Privatheit vor staatlicher und privater Macht ist eines der großen Freiheitsthemen dieser Zeit.

Older posts are this way If this message doesn't go away, click anywhere on the page to continue loading posts.
Could not load more posts
Maybe Soup is currently being updated? I'll try again automatically in a few seconds...
Just a second, loading more posts...
You've reached the end.

Don't be the product, buy the product!

Schweinderl