Tumblelog by Soup.io
Newer posts are loading.
You are at the newest post.
Click here to check if anything new just came in.

August 10 2012

Angezapft: Warum Staatstrojaner mit Gesetzen nicht kontrollierbar und damit grundsätzlich abzulehnen sind

CC BY-SA 2.0 mellowboxDer staatliche Einsatz von Trojaner-Software lässt sich schon per Definition weder technisch noch gesetzlich beschränken. Das ist das Ergebnis einer Diplomarbeit an der Berliner Humbold-Universität, die netzpolitik.org an dieser Stelle exklusiv veröffentlicht. Die Konsequenz kann nur lauten, dass der Staat keine Schadsoftware einsetzen darf.

Seit mindestens sieben Jahren überwachen deutsche Staatsorgane fremde Computersysteme mit Staatstrojanern. Etwa 35 mal pro Jahr setzen Behörden von Bund und Ländern solche Überwachungs-Software ein, mehr als hundert Mal in drei Jahren. Zahlen aller Geheimdienste sind nicht bekannt, aber schon Anfang 2009 hatte allein der Bundesnachrichtendienst über 2.500 Rechner infiltriert. Die gesellschaftliche Debatte hinkt dabei der technischen Entwicklung hinterher.

In seiner Diplomarbeit unterstreicht der Student Rainer Rehak, wie groß dieser Graben ist: Angezapft – Technische Möglichkeiten einer heimlichen Online-Durchsuchung und der Versuch ihrer rechtlichen Bändigung. Darin wird deutlich, dass sich staatliche Trojaner allein durch ihre Anforderungen schon technisch nicht hinreichend einschränken lassen, erst recht nicht durch Gesetze. Code ist eben Gesetz.

Die Qualität der Diplomarbeit überzeugte auch seine Gutachter am Informatik-Institut der Berliner Humbold-Universität: sie bekam die Note 1,0. Zunächst arbeitet Rehak anhand öffentlicher Aussagen der verantwortlichen Stellen heraus, welche Funktionen eine heimliche Online-Durchsuchung haben muss. Aus diesen konzeptionellen Anforderungen leitet er technische Eigenschaften einer solchen Software ab.

Probleme schon im Konzept

Ein Staatstrojaner muss beispielsweise zwangsläufig System- und Schreibrechte auf einem Zielsystem haben. Nur so kann sich die Software möglichst gut verstecken und Abwehrprogramme umgehen. Auch zum effektiven und heimlichen Abgreifen der gewünschten Daten sind Systemrechte notwendig. Zudem muss sich ein Staatstrojaner updaten lassen, um sich an Änderungen des Zielsystems anzupassen oder neue Funktionalitäten nachzuladen. Doch sobald eine Software einmal solche umfangreichen Rechte hat, kann eine Beschränkung der Funktionalität nicht mehr sichergestellt oder belegt werden.

Die mit einem Trojaner abgeschnorchelten Daten haben zudem wenig Aussagekraft. Da die Software auf einem fremden System operiert, können die Überwacher nicht erkennen, ob die übermittelten Daten echt oder manipuliert sind. Der CCC hat diese Möglichkeit bereits beim DigiTask-Trojaner demonstriert, in dem falsche Screenshots zurück geschickt wurden. Das war nicht nur ein Problem der konkreten Software, sondern ist grundsätzlich bei jedem Trojaner möglich. Die so erlangten Daten haben daher keine Beweiskraft.

In Deutschland wird der Einsatz staatlicher Trojaner vor allem mit der so genannten Quellen-Telekommunikationsüberwachung (TKÜ) gerechtfertigt. Im Gegensatz zu einer Online-Durchsuchung soll dabei nur Telekommunikation abgehört werden. Nicht nur in der Praxis funktioniert diese Unterscheidung zwischen Telekommunikations- und anderen Daten nicht, wie der Bericht des bayrischen Datenschutzbeauftragten zeigt. Die Trennung der Datentypen ist technisch schlicht nicht hinreichend lösbar. Daher muss auch bei einer Quellen-TKÜ stets die maximale Eingriffshürde angewendet werden.

Auch der vom Bundesverfassungsgericht definierte Kernbereich privater Lebensgestaltung ist durch Staatstrojaner zwangsläufig betroffen. Durch den Einzug informationstechnische Systeme in alle Bereiche des menschlichen Lebens werden auch die Teile der Intim- und Privatsphäre auf solchen Systemen abgebildet, die gegen staatliche Eingriffe absolut geschützt sind. Eine Software kann diesen Kernbereich mit technischen Mitteln nicht erkennen. Eine Einordnung von Daten in den Kernbereich kann nur von Menschen in den Behörden geleistet werden, dann ist der Eingriff aber schon passiert. Somit verletzt jeder Staatstrojaner den Kernbereich privater Lebensgestaltung.

Programmierter Verfassungsbruch

All diese Mängel ergeben sich direkt aus dem Konzept eines Staatstrojaners und betreffen daher grundsätzlich jede Implementation. Hersteller, Funktionen und sogar die Verfügbarkeit von Quellcode sind irrelevant. Das Bundesverfassungsgericht hat in seinem Urteil aus dem Jahr 2008 viele dieser Probleme erkannt. Trotzdem hat es den Einsatz, wenn auch unter engen Grenzen, erlaubt. Dabei zeigt diese Arbeit, dass die grundsätzlichen Probleme nicht durch Recht und Gesetz zu bändigen sind. Fehler und Missbrauch sind hier noch gar nicht eingerechnet.

Daher ist jede Form von Staatstrojanern abzulehnen. Umso schlimmer ist es, dass der Einsatz nicht nur weiter geht, sondern dabei noch nicht einmal das bestehende, unzureichende Recht eingehalten wird. Das hat Frank Rieger in der FAS treffend kommentiert: Rechtsbruch wird Tradition.

flattr this!

Reposted bymondkroete mondkroete

October 27 2010

SPD-Netzpolitik: Enthaltung bei VDS, Zustimmung zur Online-Durchsuchung?

Liebe SPD (& FDP),

könntet ihr der vernetzten Gemeinde evtl. kurz erklären, was ich gerade bei Anna Roth gefunden habe?

Der Unterausschuss Neue Medien des Bundestages behandelte heute den Antrag der Grünen, die Vorratsdatenspeicherung auch nicht über den Umweg EU zuzulassen. Das Ergebnis, getwittert vom Mitarbeiter des grünen MdB Konstantin von Notz:

Votum UA NM grüner Antrag “Keine VDS über Umweg Europa”: Linke/Grüne dafür, SPD Enthaltung, CDU/CSU u. FDP dagegen, für #vds

Ok, erste dachte ich, so ein Unterausschuss dürfe sowas vielleicht ja gar nicht. Da gibt es ja schließlich eine EU-Richtlinie. Andererseits, der Antrag, wo ihr euch  enthalten habt, lautet:

Der Bundestag wolle beschließen:
Der Deutsche Bundestag nimmt unter Hinweis auf Artikel 23 Absatz 3 des Grundgesetzes (GG) wie folgt Stellung:
1. Die Bundesregierung möge auf der europäischen Ebene Vorhaben, die Vorratsdatenspeicherungen vorsehen, energisch und unter Hinweis auf die Entscheidung des Bundesverfassungsgerichts vom 2. März 2010 (1 BvR 586/08) entgegentreten.
2. Die Bundesregierung möge auf europäischer Ebene auf eine vollständige Aufhebung der Richtlinie 2006/24/EG (betreffend Vorratsdatenspeicherung im Telekommunikationsbereich) hinwirken.

Und das, liebe SPD, war für euch nicht zustimmungsfähig? Ernsthaft? Ok, vielleicht ist das alles nur ein wirklich großes Missverständnis. Verstehen würde ich es trotzdem gerne. Mag es mir jemand erläutern?

Bei der Gelegenheit dann vielleicht auch gleich, warum ihr folgenden Antrag der Linken abgelehnt habt:

Der Bundestag wolle beschließen:
Der Deutsche Bundestag fordert die Bundesregierung auf, einen Gesetzentwurf zur Aufhebung der Befugnisse des Bundeskriminalamtes zum verdeckten Eingriff in informationstechnische Systeme (§ 20k des Bundeskriminalamtgesetzes) und zur Verwendung und Übermittlung solcher Daten (§ 20v BKAG) vorzulegen.

Und jetzt bitte nicht wieder “weil das Linke sind” oder so ein Kinderkram. Danke.

Reposted bylotterlebenacidmondkroetekrekk

September 03 2010

Mitmachen: Onlinedurchsuchung beim BKA

Das data:recollective, das u.a. die Kampagne “Reclaim your data from European Police Authorities” ins Leben gerufen hat, ruft für kommenden Donnerstag alle dazu auf, beim Bundeskriminalamt eine “Online-Durchsuchung” durchzuführen:

Rund um die „Freiheit statt Angst“-Demonstration am 11. September 2010 laden wir dazu ein, Analyse, Protest und Widerstand gegen die Zunahme von Überwachung und Kontrolle auch auf den virtuellen Raum auszudehnen. Am Donnerstag den 9. September wollen wir die Webseiten des Bundeskriminalamts (BKA) besuchen, um uns dort mit einer Schnitzeljagd über deren Verständnis von Freiheit und Bürgerrechten zu informieren. (…)

Auf www.bka.de wollen wir uns umsehen, was das BKA unter „Sicherheit“ versteht und welche Konsequenzen für weltweite Freiheits- und Bürgerrechte daraus absehbar sind. In den Tagen vor der Durchsuchung werden wir auf unserer Webseite datarecollective.net die Ermittlungsziele bekannt geben. Es ist dabei nicht nötig, in den geschützten Bereich des BKA einzudringen; ein einfacher Browser ist alles, was es zur Teilnahme braucht.

Die Begründung dort ist recht lang, enthält aber viele interessante Informationen über die Rolle des BKA im immer weiter wuchernden Dickicht der internationalen und europaweiten Überwachungsapparate.

Reposted bykrekk krekk
Older posts are this way If this message doesn't go away, click anywhere on the page to continue loading posts.
Could not load more posts
Maybe Soup is currently being updated? I'll try again automatically in a few seconds...
Just a second, loading more posts...
You've reached the end.
(PRO)
No Soup for you

Don't be the product, buy the product!

close
YES, I want to SOUP ●UP for ...