banner sicherheit https-everywhere Zugriff im Tor-Netzwerk Sitemap | Impressum DE | EN
web2.0 Diaspora RSS Vimeo A-FsA Song MeetUp Twitter Youtube Flickr Spenden über Betterplace Bitmessage Facebook Wikipedia
13.10.2011 Schluß mit der staatlichen Daten-Schnüffelei

Verteidigen wir das Grundrecht auf Vertraulichkeit in­formationstechnischer Systeme

Die Arbeitsgruppe Polizei, Geheimdienste & Militär im Aktion Freiheit statt Angst e.V. verurteilt die Verwendung des "Staatstrojaners" durch die Polizei- und Zollbehörden.

Durch die gründliche und intensive Arbeit des Chaos Computer Clubs (CCC) [1]  wurde aufgedeckt, dass die verwendete Software, wie schon seit Jahren befürchtet, weit über das angeblich beabsichtigte Einsatzgebiet der Quellen-TKÜ hinaus geht, in private PC eindringt und dort praktisch unbegrenzt tätig werden kann.

Die nun vorliegenden Erkenntnisse waren für politisch interessierte Menschen zu erwarten, sind aber trotzdem schockierend, da es sich nicht um einen Einzelfall zu handeln scheint. Offensichtlich wurde der "Staatstrojaner" in 4 Bundesländern eingesetzt. Inwieweit die Bundes-Zoll-Behörde und die Bundesnetzagentur involviert sind, ist noch immer unklar.

Die durch das Bundesverfassungsgericht (BVerfG) im Februar 2008 [2]  gesetzten engen Grenzen für Online Durchsuchungen wurden an keiner Stelle beachtet und die eingesetze Software [3] negiert jegliche Verfahren einer überprüfbaren Beweissicherung.

Im rechtlichen Niemandsland bewegt sich der Einsatz dieser Software aus folgenden Gründen:

  • Die "Quellen-TKÜ" bezieht sich ausschließlich auf das Abhören von (während des Kommunikationsvorgangs verschlüsselter) Internettelefonie.
  • Die Software erlaubt jedoch die ferngesteuerte Nutzung von Mikrofon und Kamera des befallenen Rechners zur Raumüberwachung. Ein solcher "Großer Lauschangriff" [4] stellt einen klaren Rechtsbruch dar.
  • Die Funktion, jederzeit Screenshots auf dem überwachten PC zu erzeugen, geht über die gesetzlich vorgesehene "Quellen-Telekommunikationsüberwachung" (Quellen-TKÜ) hinaus und ist rechtlich unzulässig.
  • Die vom BVerfG geforderte strikte Trennung von genehmigter abhörbarer Telekommunikation und der zu schützenden digitalen Intimsphäre existiert damit in der Praxis nicht. In den abfotografierten Bildschirmfenstern können Vorgänge aus der persönlichen Kommunikation und Lebensgestaltung ablaufen, die mit dem Zweck einer "Quellen-TKÜ" nichts zu tun haben.
  • Ein klarer Rechtsbruch ist auch das Nachladen von beliebigem Programmcode durch den Trojaner. Dies geschieht dann "im Einsatz" und unkontrolliert durch den Ermittlungsrichter oder noch schlimmer, evtl. auch durch fremde Dritte (s. mangelhafte Verschlüsselung). Damit kann die Zielperson mit falschen Beweisen durch Löschen oder Hinzufügen von Dateien belastet werden.
  • Dieses Vorgehen, so verschwörungstheoretisch es auch klingt, ist keineswegs neu. Der bekannte Soziologe Andrej Holm [5] saß wegen nachweislich gefälschter Beweise für 6 Monate in Untersuchungshaft.
  • Die Nutzung eines Command-and-Control-Server in den USA zur Steuerung der infizierten PCs verstößt sicher gegen deutsches (Polizei-) Recht und ermöglicht US-Behörden aktiv auf diesen PCs Wirtschaftsspionage zu betreiben.

Hinzu kommt die dilettantische Programmierung der verwendeten Software, die eine Anwendung schon aus Datensicherheitsgründen ausschließen sollte.

Folgende Punkte sind zusätzlich an der Software zu kritisieren:

  • Wegen grober Design- und Implementierungsfehler sind eklatante Sicherheitslücken in den infiltrierten Rechnern entstanden.
  • Der verwendete (symmetrische) Schlüssel ist bei allen aufgefundenen Trojanern gleich. Diese inkompetente Verschlüsselung erleichtert den Missbrauch.
  • Es ist ein Unding, dass eine staatliche Schadsoftware ohne handelsübliche auf den Einzelfall bezogene Authentisierungsmechanismen (asymmetrische Verschlüsselung) benutzt wird. Damit zeigt sich wieder einmal, dass es keine Unterscheidung zwischen den "guten" und den "bösen" Wanzen gibt.
  • Kommandos von der Steuersoftware an den Trojaner sind gar vollständig unverschlüssselt. Damit können unbefugte Dritte den Trojaner fernsteuern und zu ihren Zwecken verwenden.
  • Es ist das Gegenteil von Sicherheit, wenn Sicherheitsbehörden es für einen beliebigen Angreifer möglich machen, die Kontrolle über einen von deutschen Behörden infiltrierten Computer zu übernehmen.
  • Es wurde in dem Programm softwaretechnisch versäumt sicherzustellen, dass die Erfassung von Daten strikt auf die Telekommunikation (Quellen-TKÜ) beschränkt bleibt.
  • Es kann sogar bezweifelt werden, dass eine effektive Trennung von ausschließlicher Telekommunikationsüberwachung und dem "Großen Lauschangriff" per Trojaner überhaupt gewünscht war.
  • Es ist unsere Meinung, dass es auch sehr schwer ist, so eine Trennung technisch sicherzustellen, weshalb wir grundsätzlich gegen die Schüffelei mittels Online Durchsuchung sind.

Unsere Forderungen lauten deshalb, wie schon 2007 zur Novelle des BKA Gesetzes:

  • keine Überwachung privater PCs (Online Durchsuchung)
  • vollständige Aufklärung über die bisherige Verwendung des "Staatstrojaners"
  • Bestrafung der Beteiligten an den illegalen Durchsuchungen, einschließlich der genehmigenden Richter, die sich nicht über die Funktionalität der Software sachkundig gemacht haben
  • Novellierung der BKA-Gesetz Novelle durch Streichung mindestens folgender Paragrafen
        §20b (Durch­suchungen ohne konkre­ten An­lass)
        §20h (Online-Durchsuchung),
        §20h (Wanzen-Mikrofone, Videoüberwa­chungskameras auch im privaten Be­reich),
        §20l (Negierung des Grundrechts auf Vertraulichkeit in­formationstechnischer Systeme,
        §20k (Ersatz des Rich­tervorbehalts durch "Richter-ähnlichen Beamte")
  • und Streichung der Online Durchsuchung in den entsprechenden Ländergesetzen

 


Links
[1] Bericht über die Analyse des Staatstrojaners
http://www.ccc.de/system/uploads/76/original/staatstrojaner-report23.pdf

 

[2] Bundesverfassungsgerichtsurteil zur Online-Durchsuchung
http://www.bverfg.de/entscheidungen/rs20080227_1bvr037007.html
http://de.wikipedia.org/wiki/Online-Durchsuchung

[3] Binaries
http://www.ccc.de/system/uploads/77/original/0zapftis-release.tgz

[4] Großer Lauschangriff
http://de.wikipedia.org/wiki/Gro%C3%9Fer_Lauschangriff

[5] Ermittungsverfahren gegen Andrej Holm
http://de.wikipedia.org/wiki/Andrej_Holm

[6] BKA Gesetz Novelle November 2007
http://www.aktion-freiheitstattangst.org/themen/88-definitionen/871-bka-gesetz

Diese Pressemitteilung im Internet
http://www.aktion-freiheitstattangst.org/presse/pressemitteilungen/2420-20111013-schluss-mit-der-staatlichen-daten-schnueffelei


Kategorie[18]: Pressemitteilungen Short-Link dieser Seite: a-fsa.de/d/1GZ
Link im Tor-Netzwerk: nnksciarbrfsg3ud.onion/de/articles/2420-20111013-schluss-mit-der-staatlichen-daten-schnueffelei.htm
Tags: #Grundrechte #Vertraulichkeitin­formationstechnischerSysteme #Daten-Schnueffelei #Trojaner #Polizei #Geheimdienste #Presse #CCC #Quellen-TKUe #Lauschangriff
Erstellt: 2011-10-13 06:16:54
Aufrufe: 6084

Kommentar abgeben

Wer hat, der kann! Für eine verschlüsselte Rückantwort hier den eigenen Public Key reinkopieren.
(Natürlich optional)
Geben Sie bitte noch die im linken Bild dargestellte Zeichenfolge in das rechte Feld ein, um die Verwendung dieses Formulars durch Spam-Robots auszuschließen.
logos Mitglied bei European Civil Liberties Network Creative Commons Mitglied bei WorldBeyondWar Wir unterstützen den CCC Beim freiwilligen Engagement stets dabei Mitglied bei Schule ohne Militär Wir speichern nicht Wir verwenden kein JavaScript Mitglied bei Fundamental Right Platform Für Transparenz in der Zivilgesellschaft Nominiert für Deutschen Engagementpreis