Der unabhängige IT- und Tech-Kanal!
internet.board.entertainment.games.hardware
Der "Staatstrojaner" - nach wie vor undurchschaubar
Die Bemühungen der Bundesregierung, Auskünften über ihren Einsatz von Spionage-Software aus dem Weg zu gehen, hat offenbar Tradition. Wie "Die Linke" in ihrer Vorbemerkung zur Kleinen Anfrage anmerkt, verweigerte die Bundesregierung bereits im Juni 2011 "auf die Kleine Anfrage 'Anwendung von Onlinedurchsuchungen […] jegliche Information über die Anzahl durchgeführter Online-Durchsuchungen, da dies eine 'Offenlegung sensibler polizeilicher Vorgehensweisen und Taktiken' der Gefahrenermittlungen des BKA und BND darstellen würde". Dieser Denkweise bleibt man offenbar auch im aktuellen Fall treu; der durch die Bayerntrojaner-Analyse des CCC ausgelöste Skandal und die öffentliche Diskussion scheinen daran wenig geändert zu haben. Das Antwortschreiben auf die Kleine Anfrage liest sich wie eine Mischung aus ausweichenden Formulierungen, mangelndem Unrechtsbewusstsein und immer wieder auftauchenden Verweisen auf die Geheimhaltung. Von ernsthafter Bemühung um Aufklärung möglichen Fehlverhaltens - oder der Bereitschaft, den Einsatz von "Staatstrojanern" transparent und ergebnisoffen zu diskutieren - ist an kaum einer Stelle etwas zu merken. Somit ist davon auszugehen, dass die Pessimisten recht behalten: auch der öffentliche Skandal wird hier keine grundlegende Änderung bringen. Zu viel mehr als Absichtserklärungen und halbherzigen Detailverbesserungen wird es kaum kommen. Chaos-Computer-Club-Sprecher Dirk Engling, der angesichts des Schreibens "Vertuschung und Inkompetenz" durch die Bundesregierung kritisierte (gulli:News berichtete), übertrieb keineswegs. Eher im Gegenteil: die grundsätzliche Problematik einer vollkommen intransparenten Arbeitsweise unter Berufung auf das, was die USA gemeinhin als "nationale Sicherheit" bezeichnen - im Antwortschreiben mit "Funktionsweise der Sicherheitsdienste" und daraus abgeleitet "Sicherheit der Bundesrepublik Deutschland" umschrieben - findet bei Englings Kritik nur wenig Beachtung, dabei sollte auch dieser Punkt im Interesse einer transparenten, die Bürgerrechte achtenden Gesellschaft beleuchtet und kritisiert werden.
Gleich zu Beginn des Dokuments betont die Bundesregierung, die durch den Chaos Computer Club (CCC) analysierte Software sei "nicht von Behörden des Bundes eingesetzt worden". Dabei wird fälschlich behauptet, der CCC habe diese Software als "Bundestrojaner" bezeichnet - es fand aber vielmehr der Ausdruck "Staatstrojaner" - als Oberbegriff für "Bundestrojaner" und "Landestrojaner" zu verstehen - Verwendung. Die Software stellte sich hinterher als Trojaner des LKA Bayern heraus. Die Feststellung, dass es sich bei der vom CCC analysierten Software nicht um die vom Bund verwendete Programm-Variante handelt, wird allerdings in der Folge mehrfach herangezogen, um Fragen über Trojaner-Einsätze durch den Bund auszuweichen.
Interessant ist die Aussage, dass Software zur Durchführung einer sogenannten Quellen-Telekommunikationsüberwachung (Quellen-TKÜ) "bislang vom Bundeskriminalamt (BKA), dem Bundesamt für Verfassungsschutz (BfV) und dem Zollfahndungsdienst eingesetzt" wurde. Im Fall des BKA und des Zollfahndungsdienstes war dies bereits weithin bekannt und wurde in den Medien thematisiert. Entsprechende Aktivitäten des BfV waren bisher dagegen nicht in diesem Ausmaß Thema der öffentlichen Diskussion.
Neben möglicherweise rechtswidrigen - und ganz sicher ethisch problematischen - Eingriffen in die Rechte der Betroffenen wurde auch die schlechte Qualität der eingesetzten Software vom Chaos Computer Club massiv kritisiert. Detailliert belegten die Hacker Sicherheitslücken im analysierten "Bayerntrojaner", die unbefugte Zugriffe Dritter ermöglichten und somit die Privatsphäre der Betroffenen noch weiter gefährdeten. Um die Verantwortung für diese Problematik nicht übernehmen zu müssen, verweist die Bundesregierung an mehreren Stellen im Antwortschreiben darauf, man habe den Trojaner-Quellcode - auch im Falle der von den Bundesbehörden eingesetzten Software - nicht vorliegen gehabt und daher die Software nur eingeschränkt auf die Einhaltung der Vorgaben des Bundesverfassungsgerichts sowie auf technische Qualität prüfen können. Die Verantwortung für Qualitätsmängel und Sicherheitslücken versucht man dementsprechend der Hersteller-Firma DigiTask zuzuschieben. Es liegt auf der Hand, dass diese Argumentation nur mäßig überzeugt. Wer ein derart mächtiges, missbrauchsanfälliges Instrument wie die Quellen-Telekommunikationsüberwachung - oder andere Formen des staatlichen Trojanerensatzes, bei denen diese Eigenschaften sogar noch stärker ausgeprägt sind - einsetzt, sollte als absolute Minimalforderung sicherstellen, dass keine derartige Schlampigkeit bei der Herstellung des verwendeten Werkzeugs an den Tag gelegt, wie dies bei DigiTask offenbar der Fall war. Dabei auf eine Überprüfung des Quellcodes zu verzichten, ist entweder grob fahrlässig und zeugt von technischer Inkompetenz oder es beweist, dass sich das Interesse an einer effektiven Prüfung seitens der Behörden in Grenzen hielt. Es bleibt die Frage, was schlimmer wäre. Zur Begründung des Verzichts des Verzichts auf einen Audit des Trojaner-Quellcodes heißt es übrigens, der "Quellcode einer vermarkteten Software" werde "als Vermögenswert eines Unternehmens beurteilt und demzufolge als Geschäfts- und Betriebsgeheimnis geschützt". Daher sei die Bereistellung des Quellcodes "im Bereich der Privatwirtschaft […] unüblich". Im Internet wurde bereits viel darüber geschrieben, dass in diesem Fall die wirtschaftlichen Interessen des Unternehmens womöglich höher bewertet werden als die Rechte der Betroffenen. Ebenso unlogisch bis ironisch: den Behörden kann offenbar zugetraut werden, verantwortlich mit einem mächtigen Instrument wie dem Staatstrojaner umzugehen - aber nicht, auf dessen Quellcode so aufzupassen, dass dieser nicht zum Ziel von Wirtschaftsspionage wird. Insgesamt lässt sich wohl festhalten, dass die Argumentation in diesem Bereich nicht überzeugt. Entweder wurde geschlampt, oder es wird nun bewusst vertuscht.
Ähnlich halbherzig scheint man auch an anderer Stelle bei der Überprüfung des korrekten Ablaufs der trojanischen Aktivitäten verfahren zu sein. So wird beispielsweise darauf verwiesen, es würden "alle Daten, die an die Überwachungssoftware gesendet oder von dieser empfangen werden, protokolliert". Offen bleibt allerdings, wer diese Protokolle einsieht und auf Korrektheit überprüft. Somit ist kaum zu sagen, ob es sich tatsächlich um eine auch nur ansatzweise unabhängige Kontrolle handelt.
Die Bundesregierung gibt sich überzeugt, die Ausnutzung der vom CCC aufgedeckten und von der Linken in ihrer Kleinen Anfrage angesprochenen Sicherheitslücken sei "allenfalls eine theoretische Möglichkeit" und entsprechende Informationen hätten vor der Analyse des CCC nicht vorgelegen. Auch hier ist Skepsis angebracht. Zwar sind die Hacker des CCC zweifelsohne im Bereich der IT-Sicherheit äußerst kompetent. Es ist jedoch keineswegs plausibel, dass es nicht auch andere Menschen - womöglich mit weniger ehrenhaften Absichten - gibt, die ähnliches zustande bringen könnten. Die Möglichkeit eines Zugriffs durch Unbefugte ist also wahrscheinlich keineswegs so "rein theoretisch", wie uns die Bundesregierung glauben machen möchte. Was aktuellere, angeblich sicherere Software-Versionen angeht, gibt sich die Bundesregierung ebenfalls ahnungslos. Wie auch Bevölkerung und Medien kenne man lediglich die entsprechende Pressemitteilung der Firma DigiTask, heißt es. Zudem wussten die Bundesbehörden nach eigenen Angaben auch nichts von Trojaner-Einsätzen der Landesbehörden, was bedeutet, dass für Letztere die zuständigen Behörden und Personen auf Landesebene zur Verantwortung gezogen werden müssen.
In dem Dokument findet sich außerdem eine Aufstellung der Kosten für den Trojaner-Einsatz in den einzelnen Jahren. Sowohl beim BKA als auch beim Zoll stiegen die Kosten zwischen 2008 und 2011 stetig an. Zahlen für den Verfassungsschutz fehlen; auf die Gründe hierfür wird nicht eingegangen.
Ebenso fehlen sämtliche Angaben über Trojaner-Einsätze des Bundesnachrichtendienstes. Dies wird folgendermaßen begründet: "Der Bundesnachrichtendienst (BND) erhebt […] Informationen von außen- und sicherheitspolitischer Bedeutung über das Ausland auch durch informationstechnische Operation. Eine schriftliche Antwort der Bundesregierung auf [die gestellten Fragen] würde spezifische Informationen zur Tätigkeit, insbesondere zur nachrichtendienstlichen Methodik des BND einem nicht eingrenzbaren Personenkreis - auch der Bundesrepublik Deutschland möglicherweise gegnerisch gesinnten Kräften - nicht nur im Inland, sondern auch im Ausland zugänglich machen. Dabei könnte die Gefahr entstehen, dass seine operativen Fähigkeiten und Methoden aufgeklärt würden. Nicht zuletzt zum Schutz der Arbeitsfähigkeit und Aufgabenerfüllung des BND - und damit zum Schutz der Sicherheit der Bundesrepublik Deutschland - muss dies verhindert werden." Zu einigen gestellten Fragen werden im Sinne des "Informationsinteresses des Bundestages" als geheim eingestufte Zusatz-Dokumente in der Geheimschutzstelle des Deutschen Bundestages hinterlegt, andere Fragen werden gar nicht beantwortet. Es liegt auf der Hand, dass die Trojaner-Einsätze des BND durchaus von Interesse wären. Wen überwacht der BND und warum? Das will man nicht mitteilen. Die Begründung folgt der bereits oben erwähnten Argumentation der "nationalen Sicherheit". Eine transparente Offenlegung der Einsätze könnte, so wird mitgeteilt, die Sicherheitsbehörden schwächen und somit die Sicherheit der Bundesrepublik Deutschland gefährden. Allzu oft hat man diese oder ähnliche Argumente schon gehört, wenn es darum ging, sich der Transparenz zu verweigern. Die Notwendigkeit zur Geheimhaltung wird weithin unhinterfragt akzeptiert. Das Nachsehen haben die Menschen, die so keine Chance haben, zu erfahren, was diejenigen, die sie angeblich vertreten, mit der ihnen anvertrauten Macht anfangen. Im Falle des BND wäre zudem zu sagen, dass Geheimdienste schon per definitionem - der Name sagt es bereits - zu den intransparentesten Behörden überhaupt gehören. Sie stellen somit einen gefährlichen Anachronismus dar, der die Entwicklung hin zu einer freieren, offeneren Gesellschaft nachhaltig behindert. Dies wird auch durch die Trojaner-Diskussion noch einmal deutlich.
Die Möglichkeit, beim Trojaner zusätzlichen Code nachzuladen - vom CCC massiv kritisiert, da darüber auch illegale Features realisiert werden können - wird von der Bundesregierung als gewollt und notwendig dargestellt. So sollen die Quellen-TKÜ-Trojaner beispielsweise angepasst werden können, wenn die VoIP-Software sich durch Updates verändert. Auf das Missbrauchsrisiko wird in dem Antwortschreiben gar nicht eingegangen.
Durchaus interessant ist die Auflistung der Fälle, in denen der Staatstrojaner durch die Bundesbehörden eingesetzt wurde. Dies gilt insbesondere im Fall des BKA. Dieses führte einerseits Trojanereinsätze zur "Gefahrenabwehr" durch. Dabei ging es vor allem um den internationalen Terrorismus. Dies fand in den Jahren 2010 und 2011 acht Mal statt. Zehn Mal wurde das BKA in Strafverfahren derart tätig. Dabei ging es um die verschiedensten Delikte. Die entsprechende Liste umfasst die Bildung terroristischer Vereinigungen, Ausspähen von Daten, Geldwäsche, Computerbetrug, Datenveränderung, Computersabotage, Bildung terroristischer und krimineller Vereinigungen im Ausland, Vorbereitung einer schweren staatsgefährdenden Gewalttat sowie Betrug. Insgesamt hörte das BKA in diesem Zeitraum 36 Menschen per Trojaner ab. Daneben wurde das BKA einige Male in Amtshilfe für Landesbehörden tätig. Installiert wird die Software des BKA angeblich, ohne in die Unverletzlichkeit der Wohnung einzugreifen (was vom Bundesverfassungsgericht untersagt wurde). Es ist also möglich, dass der Trojaner durch manipulierte Links, Updates oder Downloads verteilt wird. Ebenso könnten auch - wie in einem dokumentierten Fall beim Bayern-Trojaner geschehen - die Sicherheitskontrollen am Flughafen ausgenutzt werden, um einen Trojaner auf einem Laptop zu installieren. Genauere Informationen hierzu gibt das Antwortschreiben aber nicht preis - wahrscheinlich will man verhindern, dass sich potenzielle Betroffene entsprechend vorbereiten und schützen. Zur Selbstreplikation - also zur eigenständigen Weiterverbreitung - ist der Staatstrojaner laut Bundesregierung nicht fähig.
Die Frage, mit welchen IT-Dienstleistern, die entsprechende Überwachungssoftware anbieten, neben DigiTask zusammengearbeitet wurde, beantwortet die Bundesregierung nur im Rahmen eines Geheimdokuments. Diese Informationen könnten, so befürchtet die Regierung, "Rückschlüsse auf die bestehende IT-Infrastruktur" des Staates und somit auf die Arbeitsweise der Behörden zulassen, was wiederum als Sicherheitsrisiko eingestuft wird. Auch hier setzt die Regierung offenbar sehr stark auf "Security by Obscurity" und will sich auf keinen Fall in die Karten schauen lassen.
Nicht Stellung nehmen will oder kann die Bundesregierung zu der Frage, wie sie dazu steht, dass einige der IT-Dienstleister, die derartige Software herstellen und mit denen die Bundesregierung womöglich kooperiert, diese auch gezielt an die Machthaber autoritärer Regimes vermarkten. Es wird lediglich mitgeteilt, es lägen "hierzu keine Erkenntnisse vor". Eine feige Antwort, die womöglich ein Verhalten decken soll, dass ebenso moralisch verwerflich wie strategisch unklug ist - letzteres, da sich Geschäfte mit derartigen Regimes schnell gegen die Beteiligten wenden können, wenn die betreffenden Regimes, wie in letzter Zeit mehrfach geschehen, von der Bevölkerung gestürzt werden. Das eine Regierung, die sich die Achtung der Menschenrechte auf die Fahnen schreibt, sich hier nicht etwas engagierter und interessierter zeigt, ist ein Armutszeugnis.
Insgesamt lässt sich festhalten, dass viele wichtige, interessante Fragen nicht, ausweichend oder nur teilweise beantwortet werden. Aufklärung und Transparenz sehen anders aus. Ebenso fehlen sämtliche Anzeichen dafür, dass aus der Schlamperei und den möglichen Gesetzesbrüchen, die durch den CCC aufgedeckt wurden, etwas gelernt wurde. So bleibt lediglich die Hoffnung, dass es Außenstehenden gelingt, genug politischen Druck aufzubauen, um etwas zu ändern; um ein Überdenken der Trojanereinsätze oder wenigstens mehr Transparenz einzufordern. Von sich aus, das darf nach dieser Stellungnahme wohl als gesichert angenommen werden, wird die Bundesregierung nicht zu Änderungen bereit sein.
Annika Kremer (g+) am Dienstag, 29.11.2011 01:36 Uhr
Offen bleibt allerdings, wer diese Protokolle einsieht und auf Korrektheit überprüft. Somit ist kaum zu sagen, ob es sich tatsächlich um eine auch nur ansatzweise unabhängige Kontrolle handelt. ... ein indisches Callcenter ist unabhängig genug, die Angestellten sehen die Dat ...
... ...
Es ist so einfach zu merken ob eine Staatswanze installiert ist. Wie? Einfach ein Switch im Netzwerkanschluss zwischen Stecken und die Leuchtdioden über den Netzwerkverkehr beobachten. Nicht gerade zuverlässig. Alleine die Updatefunktion diverser Programme ver ...
@Annika: Ja. Einfach nur ja. Wobei für mich das deutlichste Zeichen das in unserem Staat etwas nicht passt ist, dass die Staatsanwaltschaft jegliche Ermittlungen ausschließt. @Schnurstiefel: Klar, damit wurden nur Braune Dumpfbacken beobachtet... Und das ist ja total in Ordnung. Wenn man keine Ahn ...
Wer sind die Guten und wer sind die Bösen? Alle beteiligten brechen Gesetze um an der Macht zu bleiben oder an die Macht zu kommen. Alle beteiligte haben eines gemeinsam, es fehlt ihnen am nötigen Fachwissen. Mir stellt sich die Frage sind die Bösen wirklich so unwissend um nicht zu merken was ihn ...
Heutzutage ist die Internettelefonie neben Fest- und Mobilnetztelefonie immer gefragter. Per Internet zu kommunizieren ist nicht nur komfortabler und billiger, man ist zudem unabhängig von Tarifen, welche nur eine bestimmte Gesprächszeit günstig ermöglichen. Also wieso nicht auch Internet-Telefonie nutzen?
Lars Sobiraj am 14.05.2013, 13:52 Uhr
Der Petitionsausschuss des Deutschen Bundestags steht seit vielen Jahren den Bürgern und Gruppen für ihre Anliegen offen. Wir haben uns kürzlich mit einem der 80 Mitarbeiter des Hauses unterhalten. Da seit der Gründung nur sehr wenige Gesetzesänderungen durch Petitionen entstanden sind, wollen wir den Sinn dieser Institution hinterfragen. Dies ist vorerst der letzte Teil unserer Interview-Serie.
Lars Sobiraj am 12.05.2013, 12:51 Uhr
Wie ein 73-jährige Japaner beweist, kann man das am häufigsten benutzte Tabellenkalkulationsprogramm Microsoft Excel nicht nur für reguläre Berechnungen einsetzen. Tatsuo Horiuchi erstellt ausnahmslos seine traditionellen Gemälde mit Hilfe dieses Programms. Er arbeitet bereits seit 10 Jahren mit der Software und stellt seine Bilder in diversen Ausstellungen vor.
mehr lesen...