Bundestrojaner: Die Lauschfabrikanten
Spähsoftware zu programmieren ist ein stilles Geschäft. Es lebt von den Schwächen der modernen Computertechnik.
© Odd Andersen/AFP/Getty Images
Die Kontrollsoftware für den Staatstrojaner, den der CCC analysiert hat
Diese Woche gehen staatliche Ermittler mal wieder richtig shoppen. In einem gesichtslosen, grauen Hotelkomplex nördlich von Washington, D. C., findet eine Art Werkzeugmesse für Polizisten, Spione und Sicherheitsdienste aus der Privatwirtschaft statt, es ist die größte ihrer Art. Nur kann man diese Werkzeuge nicht anfassen, es handelt sich nicht um altmodische Abhörwanzen, sondern um Computercodes.
Zu viel Aufmerksamkeit will der Veranstalter mit dem, was er da treibt, nicht erregen, und so hat er seiner Messe einen neutral-nichtssagenden Namen gegeben: »Aufklärungs-Unterstützungs-Systeme für rechtmäßiges Abhören, kriminaltechnische Untersuchungen und Informationssammlung«, auf Englisch kurz ISS. So heißt die Veranstaltung .
Wenn man sich aber das Vortragsprogramm anschaut, ist alles klar. Das Wort »Abhören« kommt sehr häufig vor. Abhören von Handys, Abhören von Computerkommunikation, Abhören von »100-Gigabit-Leitungen«. Es geht um »Herausforderungen beim Abfangen von Webmail«. Jemand preist »die ultimative Cyberintelligenz-Lösung zum heimlichen Abhören von Computern und Smartphones« an. »Nutzen Sie die Anfälligkeit von Computern und Handys für die elektronische Überwachung«, empfiehlt einer der Aussteller, während ein anderer »geheime, verdeckte Spionage-Attacken« mit brandneuer Software verkauft, bestens geeignet zum »infizieren« von Computern.
Seit dem vergangenen Wochenende weiß jeder: Das ist kein leeres Versprechen. Solche Programme gibt es wirklich . Auch bei uns. Der Chaos Computer Club (CCC), dem einige Festplatten mit einer staatlichen Überwachungssoftware zugespielt worden waren, stellte fest: Der »Staatstrojaner«, den die Technikexperten da vorfanden, konnte Internet-Telefonate abhören, den Bildschirm regelmäßig abfotografieren und dann an irgendwelche Beamten schicken, Tastatureingaben aufzeichnen und theoretisch sogar belastendes Material auf den Rechnern der Betroffenen platzieren.
- Quellen-TKÜ
Bei der Quellen-Telekommunikationsüberwachung (Quellen-TKÜ) wird auf einem Computer ein Überwachungsprogramm installiert. Dieses schneidet Kommunikation vor der Verschlüsselung mit und übermittelt diese vom Nutzer unbemerkt an die Ermittler. Bei der Quellen-TKÜ darf nur die laufende Kommunikation (zum Beispiel Skype-Gespräche) überwacht werden. "Ruhende" Dateien auf dem Computer dürfen nicht kopiert werden, ebensowenig dürfen Screenshots gemacht werden. Genau dazu soll aber der eigentlich nur für eine Quellen-TKÜ zugelassene Behörden-Trojaner in der Lage gewesen sein.
- Onlinedurchsuchung
Die heftig umstrittene Onlinedurchsuchung geht über eine einfache Quellen-TKÜ hinaus. Ein heimlich installierter Trojaner durchsucht dabei den Rechner eines Verdächtigen auf zweifelhafte Dateien – ganz egal welche. Eine solche Onlinedurchsuchung greift erheblich in die Grundrechte der Betroffenen ein. Daher hat das Bundesverfassungsgericht sie nur in absoluten Ausnahmefällen genehmigt: bei Gefahr für Leib und Leben oder staatsbedrohender Kriminalität.
Was dem Ermittler früher die Abhöranlage war, ist ihm heute sein Spähprogramm. Die privaten Hersteller solcher Software verstehen sich als »Sicherheitsfirmen«, auch die deutschen unter ihnen. Sie heißen Digitask, Nokia-Siemens, Elaman, Trovicor und Utimaco Lims – es gibt ein paar Dutzend große Firmen, viele Hundert kleine und unzählige Einzelkämpfer. Hacker, die man mieten kann. Sie alle leben letztlich von den Abgründen des Internets. Auch wo sie staatliche Ermittler bei ihrer rechtmäßigen Arbeit unterstützen, auch wo bei ihrer Arbeit die Grenzen der Verfassung penibel eingehalten werden: Ihre Erfolge beruhen letztlich auf den Schwächen unserer Internet- und Computer-Infrastruktur. Und je größer ihre Erfolge sind, umso unsicherer ist in Wahrheit das Netz.
In den vergangenen Jahren hat sich die Szene rasant verändert. Wie, das beschreibt der Direktor des kanadischen Centre for Global Security Studies, Ron Deibert , in seinem Buch Access Denied . Zunächst hätten autoritäre Staaten wie China ihr nationales Internet abgeschottet. Im zweiten Schritt seien ausgefeilte Filtertechniken eingesetzt worden, die den Internetverkehr in einem Land nur zeitweise und sehr gezielt unterbinden können. Die dritte Entwicklungsstufe treiben, so Deibert, vor allem einige OECD-Staaten voran. Dort würden nun, im Rahmen von Gesetz und Verfassung, Softwareprogramme geordert, um Computersysteme zu »infiltrieren«. Überwachungstechnologie und Software zum Durchsuchen von Datenbeständen würden regelmäßig eingesetzt.
Fälle wie der, den der CCC aufgedeckt hat , bestätigen diese Entwicklung.
dem BND traue ich das auch zu? Die dürften damit ja wohl mal angefangen haben.
Auf der ISS und anderen Messen tummeln sich die Vertreter des Security Industrial Complex und bewerben munter ihre Schnüffel- bzw.Verschlüsselungsoftware, die in totalitären Staaten und sogenannten Demokratien reißenden Absatz finden:
"Der BND ist am Export deutscher Technologie interessiert, da man über diese Implementierungen Informationen aus den Behörden vor Ort abgreifen kann. « Besonders zum syrischen Geheimdienst bestünden hervorragende Beziehungen, sagt er, ohne weiter ins Detail zu gehen. Aber auch die DARPA, die milliardenschwere Militärforschungsbehörde der USA, sei übereine Reihe von Partnerunternehmen in der Region aktiv. Eine Anfrage beim zuständigen Bundesamt für Wirtschaft und Ausfuhrkontrolle (BAFA), in welchem Umfang deutsche Unternehmen IT-Sicherheitstechnologie exportieren, wurde nicht beantwortet.Auf großes Interesse seitens arabischer Sicherheitsbehörden stößt eine in Deutschland als »Bundestrojaner« bekannte Spähsoftware. Dabei wird auf einem Computer ohne Wissen des Besitzers ein Programm installiert, das Funktionen des Geräts steuern und Daten abrufen kann. Schon in einer Präsentation des hessischen Softwareentwicklers DigiTask auf der ISS World MEA 2008 warb das Unternehmen damit, etwa E-Mail-Konten knacken wie auch Skype-Gespräche mitschneiden zu können.Der italienische Hersteller HackingTeam, der sich auch auf reinen Militärmessen präsentiert, bietet seine Trojaner auch für Mobilgeräte an." http://tinyurl.com/3sgdm7s
war immer schon der größte Motor bei der Entwicklung immer neuer Waffen. Die Atombombe hätte ein Privatmann oder eine "Bande" nie entwickeln können. Gleichzeitig muss irgendwer dann die Massenproduktion übernehmen. Ob die "Abteilungen" bzw. "Firmen" staatlich oder privat sind, ist da fast schon egal: es sind viele Menschen involviert. Sobald er über solche Waffen verfügt, muss also der Staat sich auch dagegen schützen, dass seine eigenen Bürger, ja seine eigenen Mitarbeiter sie sich aneignen. Die Angst vor der Atombombe in Terroristenhänden und die deshalb wirklich oder angeblich nötig werdenden Sicherungsmaßnahmen, die die Bewegungsfreiheit im jeweiligen Land stark einschränken können, zeigt den ganzen Wahnsinn.
Im cyber-war ist es dasselbe: Der Staat entwickelt sich zum Großorganisator in Sachen Aufrüstung.
Nur dass jetzt die Bürger noch unmittelbarer betroffen sind als im Zeitalter der Atombombe...
"DigiTask bietet auf seiner Website „spezielle Kommunikationssysteme“ und bezeichnet sich selbst als „bundesweit führenden Anbieter von speziellen Sicherheits- und Kommunikationslösungen für Behörden“. Das Unternehmen ist nach Angaben von Creditreform eine hundertprozentige Tochter der Wirtschaftsberatung Deloitte."
http://www.wiwo.de/techni...
Einer der Beiratsmitglieder von Deloitte:
Dr. h.c. Otto Schily, ehem. Bundesminister des Innern
Hier die sehr interessante Liste der Beiratsmitglieder
http://www.presseportal.d...
Noch Fragen?
Ich habe gehört, dass es - angeblich - bis heute keine effektive Möglichkeit gibt, DIESE Trojaner daran zu hindern, das System zu befallen. Angeblich nutzen sie seit langem den richtigen Experten bekannte "Lücken" (so ungefähr die Aussage vor ein paar Jahren auf einem CCC-Kongress) und kommen da trotz aller heute üblichen Schutzmaßnahmen wie Sandbox, VMs, Firewalls, Virenschutz u.co. wie durch Käse durch.
Weiß einer mehr, gibt es dazu was halbwegs verständliches und verlässliches im Netz und wenn ja, dann wo?
Theoretisch hast du recht, es gibt kein 100% sicheres System.
.
Denk einmal andesrum: Treib die "Kosten" den Aufwand fürs knacken hoch!
.
Da wären:
Starkes Biospassword, gekryptete Platten,sicherere Betriebssysteme aus dem unixiden Bereich, PGP für Mail, wenigstens HTTPS für WWW, dann was du schon gesagt hast Sandbox, Jail, VM....
.
Sogenannte "personal Firewalls" und Virenscanner im "Marktbeherrschenden OS" vergessen! :-)
.
Dazu NICHT als Admin arbeiten, die Logs auswerten, .... und eine gehörige Portion Misstrauen, z.B nur Programme aus sicheren Quellen, nur was wirklich gebraucht wird!
.
Und letzendlich brauchst du Wissen um/über die Geräte, die du für deine Kommunikation benutzt.
.
Damit machst du es ALLEN "bösen Buben" schwerer dein System zu infiltrieren und damit Mist an zu stellen.
.
Wenn mehr als 50% aller Nutzer z.B. ihre Mail mit PGP verschlüsseln, wird der Aufwand für die flächendeckende Mail-Überwachung unendlich hoch. USW.......
.
Zehn Menschen die so etwas machen sind noch überwachbar, Millionen nicht mehr!
.
Btw. Wirklich böse Buben kommunizieren doch schon so das es nicht auffällt: Versteckte Informationen in z.B. Bildern, rotierende Schlüssel......
.
Der Spruch: "Das ist nur für Terroristen" ist so wahr wie: "Die Erde ist eine Scheibe."
.
Siehe auch die aktuellen Einsätze hier in Bayern.
.
Bei der "EXPERTISE" in deutschen Amtsstuben düftest du mit den o.a. relativ sicher sein. Gegen die NSA siehst du aber doch noch alt aus :-)
.
Gruss
Sikasuu
Theoretisch hast du recht, es gibt kein 100% sicheres System.
.
Denk einmal andesrum: Treib die "Kosten" den Aufwand fürs knacken hoch!
.
Da wären:
Starkes Biospassword, gekryptete Platten,sicherere Betriebssysteme aus dem unixiden Bereich, PGP für Mail, wenigstens HTTPS für WWW, dann was du schon gesagt hast Sandbox, Jail, VM....
.
Sogenannte "personal Firewalls" und Virenscanner im "Marktbeherrschenden OS" vergessen! :-)
.
Dazu NICHT als Admin arbeiten, die Logs auswerten, .... und eine gehörige Portion Misstrauen, z.B nur Programme aus sicheren Quellen, nur was wirklich gebraucht wird!
.
Und letzendlich brauchst du Wissen um/über die Geräte, die du für deine Kommunikation benutzt.
.
Damit machst du es ALLEN "bösen Buben" schwerer dein System zu infiltrieren und damit Mist an zu stellen.
.
Wenn mehr als 50% aller Nutzer z.B. ihre Mail mit PGP verschlüsseln, wird der Aufwand für die flächendeckende Mail-Überwachung unendlich hoch. USW.......
.
Zehn Menschen die so etwas machen sind noch überwachbar, Millionen nicht mehr!
.
Btw. Wirklich böse Buben kommunizieren doch schon so das es nicht auffällt: Versteckte Informationen in z.B. Bildern, rotierende Schlüssel......
.
Der Spruch: "Das ist nur für Terroristen" ist so wahr wie: "Die Erde ist eine Scheibe."
.
Siehe auch die aktuellen Einsätze hier in Bayern.
.
Bei der "EXPERTISE" in deutschen Amtsstuben düftest du mit den o.a. relativ sicher sein. Gegen die NSA siehst du aber doch noch alt aus :-)
.
Gruss
Sikasuu
Mit jedem zusätzlichen Tag steigt die Möglichkeit, dass ihm das auch längefristig gelingt.
Jeder Interessierte kann selber sehen, dass die in Bayern eingesetzte Späh-Software eindeutig gegen die Vorgaben des BVerfG verstößt. Das weiss auch jeder in der Politik Tätige.
Aber heute geht es nicht mehr darum, zu wissen, wie es sich verhält, es geht darum, ob ich noch genügende Verbündete mit ähnlichen Interessen habe, um meine gelogene Version aufrecht erhalten zu können.
Und die "BILD" hat anscheinend noch nicht den Finger Richtung Hermann gesenkt, auch für seine Parteifreunde ist der Schaden zu groß, wenn man ihn fallenlässt, also hält er sich, vorerst.
Und eine klare Unwahrheit, das würde jedes Gericht feststellen, bleibt im Raum stehen. Das finde ich in einer Demokratie verheerend.
Theoretisch hast du recht, es gibt kein 100% sicheres System.
.
Denk einmal andesrum: Treib die "Kosten" den Aufwand fürs knacken hoch!
.
Da wären:
Starkes Biospassword, gekryptete Platten,sicherere Betriebssysteme aus dem unixiden Bereich, PGP für Mail, wenigstens HTTPS für WWW, dann was du schon gesagt hast Sandbox, Jail, VM....
.
Sogenannte "personal Firewalls" und Virenscanner im "Marktbeherrschenden OS" vergessen! :-)
.
Dazu NICHT als Admin arbeiten, die Logs auswerten, .... und eine gehörige Portion Misstrauen, z.B nur Programme aus sicheren Quellen, nur was wirklich gebraucht wird!
.
Und letzendlich brauchst du Wissen um/über die Geräte, die du für deine Kommunikation benutzt.
.
Damit machst du es ALLEN "bösen Buben" schwerer dein System zu infiltrieren und damit Mist an zu stellen.
.
Wenn mehr als 50% aller Nutzer z.B. ihre Mail mit PGP verschlüsseln, wird der Aufwand für die flächendeckende Mail-Überwachung unendlich hoch. USW.......
.
Zehn Menschen die so etwas machen sind noch überwachbar, Millionen nicht mehr!
.
Btw. Wirklich böse Buben kommunizieren doch schon so das es nicht auffällt: Versteckte Informationen in z.B. Bildern, rotierende Schlüssel......
.
Der Spruch: "Das ist nur für Terroristen" ist so wahr wie: "Die Erde ist eine Scheibe."
.
Siehe auch die aktuellen Einsätze hier in Bayern.
.
Bei der "EXPERTISE" in deutschen Amtsstuben düftest du mit den o.a. relativ sicher sein. Gegen die NSA siehst du aber doch noch alt aus :-)
.
Gruss
Sikasuu
... und bedanke mich für die detailreiche Anleitung.
Allerdings... meine Frage war eine andere.
ps.
Ich dachte "sicherere Betriebssysteme aus dem unixiden Bereich" seien ein Märchen, da längst geknackt. Ich habe persönlich erlebt, wie unser Institutsnetz (Linux, hinter dicker FWs u.Co. des HRZ und des Instituts selbst) an einem Wochenende von ein paar polnischen Jungs zum Porno-Server "unfunktioniert" wurde. Immerhin haben die sich dafür mit einer Grüßdatei bei unserem SysAdmin bedankt...
... und bedanke mich für die detailreiche Anleitung.
Allerdings... meine Frage war eine andere.
ps.
Ich dachte "sicherere Betriebssysteme aus dem unixiden Bereich" seien ein Märchen, da längst geknackt. Ich habe persönlich erlebt, wie unser Institutsnetz (Linux, hinter dicker FWs u.Co. des HRZ und des Instituts selbst) an einem Wochenende von ein paar polnischen Jungs zum Porno-Server "unfunktioniert" wurde. Immerhin haben die sich dafür mit einer Grüßdatei bei unserem SysAdmin bedankt...
Ganz allgemein möchte ich Ihrem Kommentar zustimmen. Eines bleibt jedoch offen: Sie schreiben " Das gilt aber auch für [...] und GPS. ".
Wie meinen Sie das? GPS funktioniert (soweit ich weis) nur eine Richtung. Ist das GPS also nicht in ein Gerät eingebaut, das zurückfunken kann (oder das mit einem Rechner verbunden wird, der das dann macht), kann es auch nix ausspähen, oder? Höchstens könnte so ein Teil Logfiles schreiben, die im Falle einer Beschlagnahme dann viel verraten können.
Falls Sie mehr wissen oder etwas meinen, das ich nicht auf dem Schirm habe, wäre ich für einen Hinweis dankbar.
Zitat. GDH:...Ganz allgemein möchte ich Ihrem Kommentar zustimmen. Eines bleibt jedoch offen: Sie schreiben " Das gilt aber auch für [...] und GPS. ".
....
Wenn du dein Handy nimm aml ein Iphone eingeschaltet mit dir rumträgs, zeichnet das über die GPS-Funktion metergenau auf wan do dich wo rumgtrieben hast und speichert diese Daten. (Hat es wenigstens einmal, genaueres : Mach dich selbst klug!;-)))
.
Fazit: Jedes Handy ist über die eingebuchten Stationen und /Oder GPS-Daten so etwas wie eine personliche Wanze zur Wegeverfolgung des Benutzers.
.
Über Möglichkeiten des verdeckten einschaltens des Mikros usw. will ich hier gar nicht reden.
.
Siehe auch die staatsschützenden Aktivitäten der Staatsanwaltschaft Dresden zur Intifademo in diesem Jahr.
Zitat. GDH:...Ganz allgemein möchte ich Ihrem Kommentar zustimmen. Eines bleibt jedoch offen: Sie schreiben " Das gilt aber auch für [...] und GPS. ".
....
Wenn du dein Handy nimm aml ein Iphone eingeschaltet mit dir rumträgs, zeichnet das über die GPS-Funktion metergenau auf wan do dich wo rumgtrieben hast und speichert diese Daten. (Hat es wenigstens einmal, genaueres : Mach dich selbst klug!;-)))
.
Fazit: Jedes Handy ist über die eingebuchten Stationen und /Oder GPS-Daten so etwas wie eine personliche Wanze zur Wegeverfolgung des Benutzers.
.
Über Möglichkeiten des verdeckten einschaltens des Mikros usw. will ich hier gar nicht reden.
.
Siehe auch die staatsschützenden Aktivitäten der Staatsanwaltschaft Dresden zur Intifademo in diesem Jahr.
Bitte melden Sie sich an, um zu kommentieren