Onlinedurchsuchung Trojanische Herde

Es tut gut, mal so einen Artikel von Jemandem zu lesen der offensichtlich Ahnung von der Materie hat. Und der ein paar der vielen ungeklärten Fragen beim Namen nennt, die diese ganzen Überwachungspläne letztlich ad absurdum führen.

Schöner Artikel! Allerdings sollte nicht der Eindruck entstehen, dass Linux das Allheilmittel gegen den Bundestrojaner ist. Linux bzw. Opensource Software hat den Vorteil, dass es tendenziell keine bewusst eingebaute Wanzen enthält. Allerdings gibt es damit zwei Probleme. Zum einen haben viele Softwareprojekte eine unüberschaubare Größe entwickelt. Die Entwickler sind selbst froh wenn sie Leute finden die bei der Weiterentwicklung helfen. Sollte jemand bewusst bösartigen Code in Opensource Software einschleusen, würde es garantiert eine Zeit lang dauern, bis dies auch bemerkt würde. Es kann einfach nicht jede Zeile Quellcode mehrfach geprüft werden. Das man bei Opensource Software prinzipiell die Möglichkeit hat bei Verdacht nachzuprüfen ist natürlich ein riesiger Vorteil. Das zweite Problem ist, dass die wenigsten Leute ihr Linux System komplett aus Quellcode zusammenstellen und die Software selbst übersetzen. Linux Distributoren liefern fertige Pakete aus. Doch woher soll man sich sicher sein dass in diese fertigen Softwarepakete keine Trojaner untergeschoben wurden? Selbst wenn dies nicht beim Software Distributor direkt geschieht, können die Pakete auch noch beim Download manipuliert werden, in dem Herr Schäuble den Internetverkehr über den Zugangsprovider manipuliert (was durch die neuen gesetzlichen Möglichkeiten kein Problem ist).

Weiterhin sollte man nicht vergessen, dass auch freie Software Fehler enthält über die man sich ggf. Zugang zu einem System verschaffen kann. Es gibt inzwischen einen ganzen Schwarzmarkt für unveröffentliche Softwarelücken, bei dem die Geheimdienste sicherlich auch mitmischen.

Linux und freie Software ist zwar gut und sicherheitstechnisch nur zu empfehlen - in falscher Sicherheit sollte man sich trotzdem nicht wiegen. Auch Linux ist nicht immun gegen Herrn Schäuble!

...scheitert schon an einer einzigen sache: wie hoch ist der upstream einer durschnittlichen leitung in deutschland ? bei kleinen dsl-anschlüssen sind wir bei 128kbit (etwa die geschwindigkeit von dual-isdn) und bei den grossen kloppern sind wir bei 1024bit - mehr geht über ein privatnetz nicht (standleitungen mit synchroner übertragungsrate lassen wir ausssen vor, da sie nur selten sind und meistens nur als geschäftsanschluss zu haben sind). ergo sind wir bei rel. geringen geschwindigkeiten, wo schon kleine datenmengen von 50 mb zum problem werden können. jeder, der dann am pc sitzt und dessen leitung plötzlich arg verstopft wird, wird gleich merken, dass etwas nicht stimmt und da muss es sich noch nicht mal um einen 'legalen' angriff der deutschen behörden sein, es gibt ja schliesslich allelei leute, die ihr unwesen im netz treiben. so ist eine genaue durchsuchung gar nicht möglich, es sei denn man beschränkt sich nur auf einzelne dokumente, die klein genug sind, dass es nicht auffällt, wenn sie durchgeschleust werden. ich möchte aber mal sehen wie herr schäuble 450mb mit einer geschwindigkeit von 32kb/s zieht :)

zweite sache, an der das ganze scheitert ist, dass davon ausgegangen wird, dass die torroristen, die man damit ausspähen will, unbedarfte leute sind, die keine ahnung haben wie man sich im netz quasi unsichtbar macht. schon durch die verhaftungen in diesem monat müssten doch einige merken, dass das, was sie fordern, eigentlich nicht umsetzbar ist - zauberwort ist dabei wlan. in jeder deutschen siedlung antworten einem ganze armeen von routern, die sich nur dazu anbieten sie als tor ins netz zu missbrauchen. viele router sind nämlich nur unzureichend, oder gar nicht erst gesichert und stellen schon ein risiko für die anwender selber dar, da man auch eben diese router schön für einen angriff aufs heimnetzwerk missbrauchen kann. hinzu kommt eben die gefahr, dass eben jenes heimnetzwerk jedem das tor ins netz öffnet und was er dort macht bleibt sein geheimnis. in einem providerlog ist es nur schwer nachvollziehbar, ob ein rechner ohne wissen des benutzers reingehängt wurde. mobile datenträger, wie grosse und schnelle usb-sticks und mobile festplatten, die kaum grösser und schwerer als eine musikkasette sind, erleichern das ganze noch zusätzlich.

der fazit des ganzen ist, dass man so ein wenig schon darüber lächelt, wenn man diese wehemenz sieht, mit der solche methoden gefordert werden. andererseits stimmt das einen sehr nachdenklich, wie gleichgültig die privatsphäre der bürger den politikern geworden ist. treffen wirds nämlich letztendlich nur die leute, die nicht über genug fachwissen verfügen, um sich vor solchen methoden zu wehren - und es kann sogar zu fehlanschuldigungen führen.

besorgt ist man aber gleichzeitig darüber, dass die politiker in ihrer sachunkenntnis gesetze schaffen, die absolut an der realität vorbeigehen - wie auch der im artikel genannate antihackerparagraph. es gibt einfach diesen grundsatz, dass ein it-sicherheitsfachmann gleichzeitig die meisten tricks seiner gegner kennt und er nutzt oft die selbe software wie sie, die imho manchmal noch nicht mal als schadsoftware entwickelt wurde, sondern eben um zb. administratoren zu helfen ihre netze auf sicherheit zu prüfen. dieses gesetzt zwingt einen somit auch zur illegalität, weil man hat die wahl: gut zu arbeiten und sich illegaler software zu bedienen, oder schlecht zu arbeiten und das system sperrweit offen zu lassen. man könnte sogar sagen, das gesetz beeinträchtigt die schon ohnehin schwierig gewordene netzsicherheit. einen russischen hacker wird es jedenfalls nicht interessieren, dass in deutschland seine helferlein verboten sind, er wird trotzdem sämtliche mailserver vollspammen, oder dafür sorgen, dass eine oder paar maschinen erstmal platt sind. weg damit, solche gesetze braucht kein mensch! und vielleicht sollten sich die politiker um die dinge kümmern, von denen sie auch ahnung haben - oder einfach mal fachleute fragen...

klar hast du recht mit deinem kommentar, aber der scheuble will doch was ganz anderes : es geht hier nicht um technische machbarkeit, sondern ums prinzip. die grundgesetze werden ausgehoelt wo es geht - mit methode - die konservative rechte konsolidiert so ihre macht - siehe usa, uk. etc
der ganze gesetzesentwurfs, mit oder ohne onlinedurchsuchung, wird eine tueroeffner des inneren terrors sein , eine weitere moeglichkeit zur indifferenzierten kontrolle des einzelnen , ein angstmacher etc.. sollte die onlinedurchsuchung nicht durchkommen ist der rest des gesetzesentwurfs furchtbar genug, und scheuble hat sein ziel auch erreicht, denn die online durchsuchen ist ja, wie sie beweisen, unsinn.
der ansatz scheubles kommt mir bekannt vor : der sachverhalt des glaesernen surfers bzw internetbenutzers ist eigentlich bekannt und wird von vielen unbewust oder bewust als unangenehm empfunden. das innenministerium nutzt diese situation fuer ihren mediengestuetzten vorstoss in der gesetztgebung , um hinter diesem "heissen" thema den rest zu verstecken. alter hut von alibidebatte.
auch dieser artikel bzw glosse bedient indirekt scheubles ziel: wir halten uns mit nebensaechlichkeiten auf und lenken so vom wesentlichen ab.
schwieriger zu deuten ist die grundsaetzliche ursache des vorstosses.
wenn die gesamte problematik der bedrohung von aussen auf grund zu komplexer auch aeusserer, unbeeinflussbarer parameter nicht mehr mit schutzmaßnahmen nach aussen hin gedeckt werden kann, scheint es zu einer aggression nach innen zu kommen. m.a.w.: kein auesserer find in sicht - schnell ein paar nachbarn beschuldigen oder die kinder schlagen. und dafuer braucht man auf staatlicher ebene werkzeuge. das sind kontrollstaataluren - macht gehabe uebelster couleur - eines deutschen staates nicht wuerdig.
wie an anderer stelle schon bemerkt : der mann muss weg : bundesverdienstkreuz und ruhestand ist die menschenfreundlichste loesung fuer alle beteiligten.
zu allem ueberfluss ist das ganze thema , dass scheuble da behandelt, gar nicht sein ressor, denn ueber 99,9% aller terroristen befinden sich sicher nicht im innland - die bedrohung kommt also nicht von innen - es sei den von scheuble selber.
gott sei dank ist scheuble nicht aussenminister, sonst wuerde der mit anderen paranoiden profilneurotikern zusammen wohlmoeglich noch mehr unheil anrichten.

Hallo,
zu Ihrem Kommentar: "Linux ist auch verwundbar":

Sie sollten bedenken, dass die meisten (professionellen) FOSS-Projekte über Versionierungssysteme (cvs/svn, ..) gepflegt werden - und auch diese sind i.d.R. öffentlich zugänglich. Was bedeutet das?

Der Code wird stückweise angepasst und optimiert. Es ist eben nicht so, dass man (wie der unbedarfte Windows-Nutzer oder Linux-Anfänger vielleicht meinen mag) einen fetten Brocken Quelltext herunter laden und ihn nur quasi blind mit dem Dreisatz "configure;make;make install" ins System prügeln könnte.

Für eine dezentrale Entwicklung (und um Interessenten und Kunden (weltweit!) zur Mitarbeit zu bewegen) ist es quasi zwingende Voraussetzung, dass sich alle Menschen weltweit und ohne großen Aufwand über alle Veränderungen im Code informieren können (und z.B. auch Kunden darüber kontrollieren können, wofür sie bezahlen). Dafür gibt es Web-basierte Tools, wie bequem anzeigen, wer wann was und warum verändert hat. Ebenso gibt es Web-basierte Bug-tracking-Systeme, in denen das Projekt Auskunft darüber gibt, welche Fehler/Probleme gefunden wurden, ob, wann, von wem und wie sie behoben wurden.

Bei einer aktiven Beteiligung wird es aber so laufen, dass man über eine Entwicklungsumgebung verfügt, die alle Änderungen im originalen Quelltext automatisch mit dem lokalen System synchronisiert. Hat man selber einen Änderungsvorschlag, so teilt man das der "Hauptentwickler-Gruppe" mit, die dies in Foren, Mailinglisten, im Chat oder Wiki diskutiert. Bei Annahme wird der Vorschlag in den Quellcode einpflegt. Kommen im Laufe der Zeit viele gute Vorschläge wird das Vertrauen wachsen und damit kann dann auch die Übernahme von Verantwortung im Projekt zusammen hängen.

Dass Kunden hier aktiv mit eingebunden werden klingt erstmal merkwürdig ist aber tatsächlich die eigentliche Stärke von FOSS und macht deren Schlagkraft gegenüber CS aus: Wird der Kunde in die Lage versetzt, sich permanent zu informieren "was läuft", dann kann er selber entscheidend mitgestalten, was er eigentlich haben will. Das Produkt wird sich viel stärker am Nutzen des/der Kunden entwickeln. Zudem kann der Kunde auch viel leichter selber entscheiden, ggf. eigenes Know How in Teilbereichen aufzubauen, die für sein Kerngeschäft relevant sind.

Last but not least: Kommen Zweifel über die Qualität oder gar die Integrität des Codes auf, dann kann der Auftraggeber sehr leicht einen Dritten mit einem Code-Review beauftragen, der diese Werkzeuge natürlich auch nutzt, um sich die Arbeit zu erleichtern. Bei einer gesunden Geschäftsbeziehung kann man davon ausgehen, dass so gefundene Fehler/Probleme auch wieder in das Projekt zurück fließen - zum Nutzen aller.

Das gleiche kann man sich auch ohne Geschäftsbeziehung vorstellen. Die Werkzeuge zur Codepflege, Wikis, Mailing- und Foren-SW sind frei zugänglich und auch eine Gruppe global verstreuter Privatentwickler kann sich damit professionell und ganz ohne finanziellen Wasserkopf oder hohe Vorlaufkosten organisieren.

Und um auf den Ursprung Ihres Postings zurück zu kommen:
Bei den renomierten Projekten wie dem Linux-Kernel, dem Apache, sicherheitskritischen Anwendungen oder auch OpenOffice & Co. kann man davon ausgehen, dass da keiner eine Backdoor drin versteckt. Spätestens wenn Dienstleister wie Novell, HP oder IBM auf professioneller Basis FOSS in ihr Portfolio aufnehmen, werden die sehr sicher einen Code-Review gemacht haben und aktuelle Entwicklungen kritisch mit verfolgen, was mit Suse, Redhat oder auch Debian ausgeliefert wird.

Klar, wer sich irgendeinen Stück Quellcode aus dem Internet herunter lädt, blindlings übersetzt und ins System klatscht, der ist kein Stück sicherer als der gemeine Windows-Nutzer - eher im Gegenteil .. Aber wer sich z.B. Debian konservativ installiert, der dürfte schon sehr sicher sein - IMHO sehr viel sicherer als es ein Windows-Nutzer je sein kann. Bei Windows muss man Microsoft alternativlos vertrauen und kann letztlich niemals beweisen, was der Code tatsächlich tut - aber das ist natürlich ein alter Hut ..

F. Mayer