I spy with my little eye…

… something beginning with a B… *

Wie oft haben wir Mahner uns nicht schon anhören müssen, unsere Angst vor totaler Überwachung sei einfach nur paranoid. Und nun geben die Sicherheitsbehörden des Landes Bayern (welche Überraschung!) zu, den vor einigen Tagen vom Chaos Computer Club (CCC) analysierten Trojaner eingesetzt zu haben – ein Stück (Schad-)Software, dass nicht nur ganz offensichtlich (entgegen allen Versprechen zu Qualitätssicherung) höchst mangelhaft zusammengebaut wurde, sondern in eindeutiger und dreister Weise gegen die Vorgaben des Verfassungsgerichts verstößt: So ist der Trojaner in der Lage, durch einen einfachen, vom Kontrollserver gesendeten Befehl zusätzliche Funktionen zu aktivieren, wie akustische Wohnraumüberwachung mittels eines am infizierten Rechner angeschlossenen oder integrierten (Standard in allen Notebooks und mobilen Geräten) Mirkophons oder sogar Videoüberwachung mittels einer (heute auch meist integrierten) Web-Cam. Auch Funktionen zum keylogging (Mitschreiben aller Tastaturaktivitäten) konnte der CCC identifizieren.

Über die Fragen des Grundrechtschutzes hinaus, stellt der Einsatz dieser Software aber auch die Rechtsstaatlichkeit des gesamten Ermittlungsverfahrens, in dessen Rahmen sie zum Einsatz kommt in Frage:

1. Es werden (z.B. über Screenshots von Email-Programmen und Webbrowsern) Daten als Kommunikationsdaten bewertet und gesammelt, die im Zweifel noch keine Kommunikation darstellen (die Zielperson kann den Text jeder Zeit ändern oder verwerfen, ob er gesendet wurde ist ja mit einem Screenshot nicht dokumentiert). Im ärgsten Falle stellt dies also keine Kommunikations- sondern eine Gedankenüberwachung dar (wem kommt das jetzt bekannt vor?).
    
2. Da der Trojaner beliebig Daten und Programme auf dem überwachten Rechner manipulieren kann (umfasst, ist aber nicht beschränkt auf: das Umbenennen, Löschen, Verändern, Erstellen) und zudem Programme und Dateien auf den Rechner der Zielperson platzieren kann, ist nicht gewährleistet, dass als Beweise angeführtes Material wirklich der Zielperson zuzurechnen ist. Im Klartext: Es war selten leichter, Beweise zu fälschen, um eine Verurteilung herbeizuführen.
    
3. Die Sicherheitssysteme des Trojaners sind derart mangelhaft, dass es einem Dritten unschwer möglich ist, sich mit seiner Hilfe volle Kontrolle über den Rechner der Zielperson zu verschaffen und insbesondere alle in Punkt 2 aufgeführten Manipulationen vorzunehmen:

Die fehlende Authentisierung ermöglicht die folgenden Angriffsszenarien:
1.) Ein Dritter versucht, die Zielperson mit falschen Beweisen zu belasten. Dafür
meldet er sich am C+C-Server als das Zielsystem an und liefert gefälschte
Beweise an die Ermittlungsbehörden. Dieses Szenario ist sehr einfach zu implementieren.
2.) Ein Dritter manipuliert den Netzwerkverkehr zwischen Zielperson und C+CServer
und gibt sich dem Trojaner gegenüber als der C+C-Server aus. Solche
Möglichkeiten ergeben sich teilweise in öffentlichen (WLAN) oder anderweitig
kompromittierbaren Netzwerken. Es wäre auch denkbar, daß ein Standort vorsorglich
an der Firewall einen solchen Service installiert, um Teilnehmer im eigenen
Netz vor Abhörversuchen zu schützen. In beiden Fällen besitzen Dritte
die Möglichkeit, beliebige Programme auf dem System der Zielperson auszuführen,
der Person gefälschte Beweise unterzuschieben oder ihre Daten zu löschen
oder zu manipulieren.
3.) Da es auch zwischen den beiden Software-Komponenten des Trojaners keine
Authentisierung gibt, gelten ähnliche Angriffsmöglichkeiten auch innerhalb des
Rechners. Eine Schadsoftware kann sich mit Hilfe des Kernel-Moduls erhöhte
Zugriffsrechte auf dem Zielsystem verschaffen, einfach indem sie das Kernel-
Modul darum „bittet“. Ohne diese Hintertür bräuchte man Kenntnis einer aktuellen
„local privilege escalation“-Sicherheitslücke, für die auf dem Schwarzmarkt
vier- bis fünfstellige Euro-Beträge verlangt werden.

Die vom CCC identifizierte Adresse des C+C-Servers liegt im Ausland, genauer: in den USA. Warum? Weil das der günstigste Anbieter war? Wohl eher nicht. Mindestens dürfte es um Verschleierung gehen, denkbar wäre aber natürlich immerhin auch (vielleicht wäre das allerdings doch paranoid?), dass einem befreundeten Sicherheitsdienst auf diese Weise unauffällig Zugriff auf das gesammelte Datenmaterial gewährt werden soll.

Aus der Analyse des CCC ergibt sich mit einiger Sicherheit, dass die Autoren / Autorinnen des Programms sich über die im Kontext der Telekommunikationsüberwachung (TKÜ) in Teilen klar rechtswidrige Natur ihres Produkts bewusst waren: Die Verschleierung von Funktionen wie solcher zum Hochladen und Ausführen von (weiteren) Programmen spricht für sich. Nun verkündet Bayerns Innenminister Herrmann erwartungsgemäß (das vollständige Interview ist hier als Audio eingebettet), die Software sei nur in den Grenzen des geltenden Rechts angewendet worden. Das ist schon allein deshalb fragwürdig, weil es in Bayern bereits ein Urteil gibt, das die Rechtmäßigkeit von Screenshots im Rahmen einer Quellen-TKÜ-Maßnahme verneint. Hinzu kommt aber eine grundsätzliche Frage: Dürfen Ermittlungsbehörden im Zuge (idealer Weise) legaler Ermittlungen auf ein Instrument zurückgreifen, das durch seine Beschaffenheit geeignet ist, die Grundrechte der Verdächtigen zu verletzen und dessen Existenz in klarem Widerspruch zu höchstrichterlicher Rechtsprechung steht? Die Antwort hierauf kann und darf nur ein deutliches “Nein!” sein. Noch einmal sei zudem daran erinnert, dass es ohnehin berechtigte Zweifel am ermittlungtechnischen Nutzen solcher Überwachungsmaßnahmen gibt, was Innenminister Herrmann indirekt bestätigt, wenn er erklärt, die Frage der Rechtmäßigkeit der Überwachungsmaßnahmen im angeführten Fall sei ohnehin nur noch eine “sehr theoretische Diskussion”, weil die Ermittlungsbehörden mittlerweile die Beweise durch eine klassische Beschlagnahme des Computers des Verdächtigen gesichert hätten.

Hatte man zur Beginn der Debatte um die TKÜ noch beschwichtigt, dass es höchstens um eine handvoll Fälle gehen würde spricht allein die Anzahl der Varianten des Staatstrojaners, die dem CCC vorliegen, sowie die Zahl an bekannten Überwachungsfällen (in Bayern allein sind bereits fünf vom Innenministerium bestätigt  – auch das ist im BR-Interview zu hören, das ich gerne direkt verlinkt hätte, was aber die BR-Seite nicht erlaubt – einen Zeitindex hat das eingebettete Tondokument leider auch nicht zu bieten) eine andere Sprache. Was die Haltung von Sicherheitsbehörden und Innenministern so offenbart, ist ein tiefes Misstrauen des Staates gegen seine Bürger, die nun ihrerseits – wenig verwunderlich – ein immer deutlicheres Misstrauen gegen die Institutionen staatlicher Gewalt entwickeln. Dass dies kein gesunder Zustand für einen freiheitlich-demokratisch verfassten Staat sein kann, muß kaum noch betont werden. Um so deutlicher muss daher nun durch alle gesellschaftlichen Gruppen und über die Grenzen aller Parteien hinweg gelten: Schluß mit der Überwachung, denn Freiheit geht nur miteinander, nicht gegeneinander!

* Big Brother State, Bundestrojaner, Bayerntrojaner …. sucht Euch was aus.

• Digitale Bürgerrechte
• Freiheit
• Netzpolitik
• Überwachung