Die wunderbare Welt der Bundestrojaner, Sina-Boxen und Mailüberwachung

Auch wenn sich letzten Freitag die Mehrheit des Bundesrates gegen eine rasche Einführung der Online-Durchsuchungen per BundesTrojaner ausgesprochen hat, ist von Seiten der Bürger das Interesse an diesem Thema ungebrochen. Kein Wunder, denn der entsprechende Antrag des Landes Thüringen für eine zügige gesetzliche Regelung wurde nur vorerst von der Länderkammer abgelehnt.

Die Entscheidung vom Freitag war keine komplette Absage an das Thema. Es geht eher darum, das Nachdenken ein Stück zu verlängern. Zwar kann man allen Fraktionen entnehmen, dass man die Sache nicht übers Knie brechen will. Aber die endgültige Entscheidung nach einer ausführlicheren Prüfung der Thematik steht noch aus. In unserem ausführlichen Artikel hatten wir zwecks Verteilung der Trojaner über den Einsatz von modifizierten SINA-Boxen berichtet. Der sachkundige Blogger Kristian Köhntopp stellt die Dinge auf Isotopp richtig.

Demnach steht die Abkürzung SINA für Sichere Inter- Netzwerk- Architektur. SINA besteht aus dem SINA-Client, der SINA-Box und dem SINA-Management. Basis aller Komponenten ist das spezielle, minimalisierte und gehärtete Betriebssystem SINA-LINUX. Alle Komponenten sind auf handelsüblicher PC-Hardware lauffähig, wobei der Client und die SINA-Box ohne Festplatten betrieben werden - diese werden von CD-Rom oder Flashrom gebootet. Was tut eine solche Hardware? Sie ist ein speziell abgeschirmtes Vermittlungsgerät für Rechnernetze. Zwar passt der Vergleich nicht wirklich, aber Router verrichten für Privatpersonen recht ähnliche Aufgaben. Nur verschlüsseln diese keine Inhalte unter Anwendung verschiedener Algorithmen. Sie sind bei weitem nicht so gut gegen Eingriffe geschützt und Router sind für den privaten Einsatz für wenige PCs vorgesehen. Sie arbeiten nicht im Auftrag eines Internet Service Providers.

"SINA ist für eine Reihe von Szenarien entwickelt worden, in denen Daten mit hoher Geheimhaltungsstufe in feindlichen Umgebungen bearbeitet werden müssen. Dazu gehören zum Beispiel auch die Dienststellen und Botschaften des auswärtigen Amtes. Grundsätzlich hat Sina hat keine Funktionen, die Daten in unsicheren Netzen abfangen, verändern oder manipulieren können. Sina hat stattdessen genau die entgegengesetzte Funktion, nämlich solche Angriffe zu verhindern und unmöglich zu machen."

Abhören von E-Mails der Internetanbieter per SIN-Architektur

Vor der Neuregelung der Telekommunikations- Überwachungsverordnung (TKÜV) ist Überwachung bei verschiedenen Mailanbietern uneinheitlich durchgeführt worden. Das betraf einerseits die Durchführung als auch die Übermittlung der Daten an berechtigte Stellen. Es war nicht festgelegt, in welchem Umfang und nach welchem System die Überwachung durchgeführt werden sollte. Andererseits erfolgte die Weitergabe der Überwachungsergebnisse zum Teil ungesichert durch Zustellung über das offene Internet an "unverfänglich" benannte Mailaccounts von berechtigten Stellen bei Webmailhostern. Oder gar auf wirklich sehr langsamen Wegen wie der Postzustellung von gebrannten optischen Medien.

"Die überarbeitete TKÜV definiert nun nicht nur recht genau, welche Events geloggt werden müssen und in welchem Format die Übermittlung erfolgen muß, sondern sie definiert auch, wie diese Events an die berechtigten Stellen übermittelt werden sollen. Das ist die Stelle, an der die SINA-Boxen ins Spiel kommen. Sie werden verwendet, um ein Virtual Private Network (VPN) aufzubauen, das zentral gemanaged wird und das eine sichere und authentisierte Kommunikation zwischen den Verpflichteten und den berechtigten Stellen ermöglicht. Die Sina-Box nimmt also keine Überwachungsaufgaben wahr - das kann sie konstruktionsbedingt gar nicht - sondern sie erlaubt "nur" die sichere Kommunikations der Überwachungsergebnisse zwischen den Verpflichteten und den Behörden. Das ist gegenüber dem Zustand vor der neuen TKÜV in der Tat eine deutliche Verbesserung!

Die konkrete Implementierung der Überwachung ist immer noch Aufgabe der verpflichteten Firma: Sie muß entweder ihr existierendes Mailsystem selbst so modifizieren, sodaß sie Überwachungsoutput erzeugt und sich dieses Gesamtsystem dann entsprechend zertifizieren lassen. Oder sie kann eine fertige, zertifizierte Überwachungslösung, etwa die Lösung von NetUSE, kaufen und in ihr Netz integrieren.

Die Sina-Box wird dabei als fremd-administrierte Komponente im Regelfall auf eine Weise in das Netz des Dienstanbieters integriert, die lediglich eine Kommunikation vom Anbieter durch die Sina hindurch in Richtung der Behörde erlaubt. Alle Kommunikation in Gegenrichtung wird jedoch vollständig geblockt, sofern das Sicherheitskonzept des Dienstanbieters sein Geld wert ist, d.h. die SINA steht in einer abgeschotteten DMZ, deren Firewall alle Connectversuche aus der Sina-Zelle heraus ins Produktionsnetz ausnahmslos blockt."

Laut der aktuellen Rechtslage gehen alle Überwachungsanordnungen auf traditioneller Weise per Post oder Fax bei dem verpflichteten Internetanbieter ein. Dann werden die Daten der Überwachung mehr oder weniger manuell ins TKÜV-Interface eingehackt. Die Anzahl der Anordnungen hielt sich dabei zumindest bis vor zwei Jahren noch einigermaßen im Rahmen: In den Herrn Köhntopp bekannten Fällen lagen pro Million Kunden ca. zwei Überwachungsanordnungen vor. Die Relation eine Person pro 500.000 Internetuser, gegen die es ausreichend schwere Verdachtsmomente für den Untersuchungsrichter gibt, erscheint plausibel. Köhntopp setzt sich weiter dafür ein, dass wenn die ISPs schon abhören müssen, dann bitte so wenig wie möglich, so kontrollierbar wie möglich und qualitativ so hochwertig wie möglich. Er vermutet, dass es sich bei der ganzen Bundestrojaner-Idee um etwas technisch höchst riskantes und unausgegorenes Gut handelt, das technisch nicht nur fragwürdig und schwer zu kontrollieren ist, sondern das qualitativ auch in die falsche Richtung geht.

"Leute, so was hier ist ein sehr gefährliches Spiel, mit dem der Staat sich mehr vergibt als er jemals wieder durch diese Maßnahme reinholen kann. (...) Wir alle - unsere Regierung eingeschlossen! - tun gut daran, Infrastruktur zu bauen, die so etwas verhindert, anstatt da bekannte Bruchstellen zu konstruieren und zu pflegen."

Viel klarer hätte die Absage des Experten nicht ausfallen können. Der Betreiber von Sex, Drugs & Compiler Construction berichtet in seinem Weblog über zweifelhafte Angebote von staatlicher Seite. Zum einen hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) angefragt, ob er nicht eine Schulung zum Thema "Wie schreibe ich einen Buffer Overflow exploit" für Vertreter diverser Behörden und Organisationen mit Sicherheitsaufgaben halten könne. Zum anderen erreichte ihn eine Anfrage, doch ein Angebot zur Entwicklung einer transparent bridge abzugeben, die einen Download eines ausführbaren Programms erkennt und dieses on-the-fly mit einem Trojaner versieht. Der Betreiber von andreas.org/blog weiter:

"Die Herren technischen Skeptiker mögen eins und eins zusammenzählen. Ich befinde mich in der glücklichen Situation, einen Lisp-Coder-Job zu haben, der es mir erlaubt, derartige Angebote dankend abzulehnen. Der nächste Hacker hat da vielleicht weniger Skrupel oder mehr wirtschaftlichen Druck."

Am Ende unseres Ausfluges in die wunderbare Welt der amtlich angeordneten Verirrungen und Verwirrungen möchten wir auf eine Aktion der Parodieseite Bundestrojaner.net hinweisen. Im Zuge ihrer Sonderaktion wird angepriesen, dass alle neuen Teilnehmer, die sich jetzt den behördlichen Schädling in ihr OS einpflanzen würden ein Jahr Telefonüberwachung gratis dazu erhalten.

"Laut inoffizieller Stellungnahme von Seiten der Entwickler des Bundestrojaners soll dieser auch Kontrollfunktionen übernehmen. Zur Zeit wird in der Politik das Verbot von Killerspielen, aber auch Gewaltvideos und Pornos diskutiert. (...)

Seien Sie ein guter Demokrat und unterstützen Sie die Bundesregierung beim Kampf gegen den Terror und die Bürgerrechte."

In dem Fall muss man nicht mehr lange überlegen, was zu tun ist. Oder etwa doch?

• 13 Kommentare zum Artikel

• Zitat: Zitat von ausgechillt  und was passiert dann, werden Programme "on the fly" gefaked bekommen andere Entwicklungen damit nur wieder einen grandiosen Aufschwung, der MD5 Hash code oder eine Weiterentwicklugn davon bzw. Web Based Application als Beispiele. Und wenn der zugehörige MD5-Hash, den du auf der Website siehst, ebenso verändert wurde? Aber trotzdem ACK, *davor* könnte ...

  Toady am 12.03.2007 22:54

• Es ist unmöglich zu beurteilen, wo der Weg hingeht. Beim Bka könnte man noch von einer gewissen Überprüfbarkeit sprechen, wobei schon bei der Telephonüberwachung gezeigt hat, ob es überhaupt erfolge gibt, wird nicht verraten, dennoch hat sich der Umfang der Überwachung, von Telephon und Finanazdaten vervielfacht. Aber spätesens wenn die Geheimdienste, wiewahrscheinlich schon vorgekommen, solche Massnahmen wie eine Trojaner schon eingestzt ...

  natbornkiller am 12.03.2007 23:08
• [...] Diskussion lesen oder Artikel kommentieren