Bundestrojaner: „A cunning plan?“

Man muss die Briten einfach lieben: The Register berichtet über den Bundestrojaner mit der Unter-Überschrift „Baldrick-style cunning plan“.

Dem wird dann in den Kommentaren heftigst widersprochen:

Couldn’t possible be. There’s no turnips involved!

Aber nicht verzweifeln, einige Kommentare weiter unten gibt es dann die Auflösung:

I present, Interior Minister Wolfgang Schaeuble.

Zum Glück hat das irgendein anonymer Brite gesagt, und nicht ich 8-)

4. September 2007 Politics Keine Kommentare zu Bundestrojaner: „A cunning plan?“

Das BMI erklärt den Bundestrojaner

Das Bundesinnnenministerium hat ja die eingegangenen Fragenkataloge zur Onlinedurchsuchung beantwortet. Ich bin jetzt mal die ersten paar Antworten durchgegangen, und was soll ich sagen? Da stellen sich einem die Haare auf:

Sollte der Kommunikationsport während eines laufenden Einsatzes geschlossen werden und keine Kommunikation mit dem Steuerungssystem möglich sein, deinstalliert sich die Software selbständig.“

prima. Wenn ich jetzt Terrorist bin, und böse Dinge [tm] plane, nehme ich mein System nur noch für das Nötigste ans Netz. So häufig können die ja gar nicht nachinstallieren…

Vor einem Einsatz wird die Systemumgebung des Zielsystems erkundet, insbe-sondere die darauf installierten Sicherheitsvorkehrungen.“

err… sozusagen eine Onlinedurchsuchung *vor* der Onlinedurchsuchung? Oder fährt ein BKAler hin und schaut sich das System erstmal in Ruhe vor Ort an? Warum macht er dann nicht einfach gleich ein hd-Image?

Die obige Annahme, es bestehe ein Interesse an einem „unsicheren“ Netz ist daher unzutreffend.“

Einer meiner Lieblingssätze. Soso, die BKA-Ermittler hoffen also auf einen absolut sicheren Rechner beim Verdächtigen… Ja nee, is klar. Natürlich haben die ein Interesse daran, einen Rechner mit bekannten Schwachstellen vorzufinden, ansonsten kommen sie ja nicht hinein!

Die entwickelte Software soll grundsätzlich nur einmal zum Einsatz kommen.“

Auch schön. Für jeden „Gefährder“ wird ein eigener Trojan.. errr.. RFS-Agent komplett neu entwickelt. Wow.

Bei der hier in Rede stehenden RFS handelt es sich nicht um eine „Spionage-software“, sondern um ein technisches Mittel zur Datenerhebung.“

Mein absoluter Lieblingssatz. Und das hier sind nämlich keine Raubkopien, sondern ausgelagerte Sicherungsdatensätze. 

Die Beurteilung des Aussagehaltes (der Beweiswert spielt im Rahmen der Gefahrenabwehr zunächst keine Rolle) dürfte sich generell an anderen Maßnahmen der IuK-Forensik orientieren.“

Ich wiederhole nochmal die Sache in der Klammer:

der Beweiswert spielt im Rahmen der Gefahrenabwehr zunächst keine Rolle“

Vulgo: „Solange wir irgendeine vermeintliche Gefahr abwehren wollen, müssen wir gar nix beweisen können. Das muss man einfach machen!

Durch die Hinterlegung des Quellcodes der RFS bei Gericht könnte zudem etwa belegt werden, dass die Software keine Daten frei im Zielsystem platzieren kann.“

Und wie wird belegt, daß die (ja mittlerweile gelöschte) Software auf meinem Rechner mit dem Quellcode im Gerichtsarchiv identisch ist?

Der hier ist etwas länger:

Durch verschiedene Maßnahmen wird sichergestellt, dass eine Rückverfolgbar-keit nahezu unmöglich ist. Die Zielperson könnte nur feststellen, dass sich auf dem System eine für ihn unerwünschte Software installiert hat. Bevor Gegen-maßnahmen durch den Betroffenen getätigt werden könnten, müsste dieser zu-nächst das entdeckte Programm analysieren. Diese Analyse der RFS (Disas-sembling) wird jedoch durch die Verwendung kryptographischer Methoden na-hezu unmöglich gemacht.“

Von Traffic-Analyse haben die noch nichts gehört, oder? Ich meine, irgendwie müssen die Daten ja vom Zielrechner zur Polizei kommen. Dabei entsteht (nachverfolgbarer) Netzwerkverkehr. Ein interessierter Gefährder muss da dann nur einen zweiten PC mit Netzwerksniffer anhängen, und schon weiß er zumindest die IP des empfangenden Systems…

Die gewonnenen Ergebnisse werden so lange verschlüsselt auf dem Zielrechner zwischengelagert, bis eine Internetverbindung durch den Betroffenen hergestellt wird.“

Moment! Ich dachte „Sollte der Kommunikationsport während eines laufenden Einsatzes geschlossen werden und keine Kommunikation mit dem Steuerungssystem möglich sein, deinstalliert sich die Software selbständig“? Was denn nun? Deutlicher kann die Inkompetenz bzw. die Verarsche ja gar nicht sein!

Und das sind die Sachen die ich nur bei grober Durchsicht mit mäßigen Security-Sachverstand gesehen habe.…

28. August 2007 Politics Keine Kommentare zu Das BMI erklärt den Bundestrojaner

Ungeklärte Rechtslage?

Ich hab mich ja schon über die neuesten Aussagen von unserem werten Herrn Innenminister aufgeregt. Mittlerweile hatte ich Gelegenheit das Interview selbst zu lesen, und mir genauere Gedanken zu machen. Hier mal der relevante Auszug:

Schäuble: Nehmen wir an, jemand wüsste, in welcher Höhle Osama Bin Laden sitzt. Dann könnte man eine ferngesteuerte Rakete abfeuern, um ihn zu töten. 

SPIEGEL: Die Bundesregierung würde wahrscheinlich erst einen Staatsanwalt losschicken, um Bin Laden festzunehmen … 

Schäuble: … und die Amerikaner würden ihn mit einer Rakete exekutieren, und die meisten Leute würden sagen: Gott sei Dank. Aber seien wir ehrlich: Die Rechtsfragen dabei wären völlig ungeklärt, vor allem, wenn daran Deutsche beteiligt wären. Wir sollten versuchen, solche Fragen möglichst präzise verfassungsrechtlich zu klären, und Rechtsgrundlagen schaffen, die uns die nötigen Freiheiten im Kampf gegen den Terrorismus bieten.

So, jetzt haben wir eine Gesprächsgrundlage. Mal alle Aufregung beiseite, das Szenario daß Schäuble beschreibt sieht so aus:

  • Deutsche Aufklärungstornados spüren Bin Laden in einem afghanischen Erdloch auf.
  • Der Bundesstaatsanwalt stellt einen Haftbefehl aus.
  • Während noch das Rechtshilfeersuchen über Diplomatenpost nach Afghanistan geschickt wird, jagen zwei US-Kampfjets das gesamte Erdloch mit Osama und seinen Videofreunden mit Hilfe der deutschen Aufklärungsdaten kurzerhand in die Luft.

Das ist wahrscheinlich in der Tat ein kniffliges Völker‑, Kriegs- und Strafrechtsproblem. Hätte sich der deutsche Tornadopilot der Beihilfe zum Mord schuldig gemacht? Müssten wir um Auslieferung der US-Piloten ersuchen?

Wo Herr Schäuble allerdings irrt: Das muss nicht per Gesetzesänderung oder ähnlichem geklärt werden! Deutsche Gesetze sind hier eindeutig: Es gibt keinerlei Legitimation jemanden zu töten, ausser es handelt sich um das letztmögliche Mittel eine unmittelbare Gefahr auf das Leben anderer oder sich selbst abzuwenden. Punkt.

Anders sieht es aus, wenn deutsche Soldaten in einen Krieg verwickelt sind. Allerdings, auch hier sind unsere Gesetze eindeutig, darf dieses kein Angriffskrieg sein: Es muss uns schon ein anderes Land vorher angegriffen haben. Ebenfalls Punkt.

Was ist nun, wenn deutsche Politiker unsere Soldaten in Situationen bringen, in denen diese mit diesen Grundsätzen in Konflikt geraten, oder wenn wir uns mit Ländern einlassen, die diese Dinge anders handhaben und dabei auf unsere Grundsätze pfeifen? Tja, das ist dann wirklich eine ungeklärte Rechtslage, die wir aber sicherheitshalber von Gerichten, und nicht von Politikern bewerten lassen sollten.

Und was die „Freiheiten im Kampf gegen den Terrorismus“ angeht: Ich bitte Sie Herr Schäuble. Seit wann helfen Militäreinsätze woanders gegen Anschläge vor der eigenen Tür? Fragen Sie mal die Israelis, wie viel ihnen ihr Militärapparat und „hartes Durchgreifen“ dabei geholfen hat.

9. Juli 2007 Politics 2 Kommentare zu Ungeklärte Rechtslage?