Fragen? Antworten! Siehe auch: Alternativlos
Die Welt, wie wir sie kennen, befindet sich auch sicherheitspolitisch im Umbruch. Die SPD als größte Volkspartei und größte Regierungsfraktion muss hierauf die richtigen Antworten geben.Ja, meine Damen und Herren. Richtig gelesen. Die halten sich für a) eine Volkspartei und b) die größte Volkspartei. Das ist die Partei, die bei der Sonntagsfrage nicht mal die Hälfte der CDU einfährt. Die Partei, die in Thüringen gerade
Der Rest von dem Papier ist leider weniger schön. Da tut die SPD mal wieder SPD-Dinge.
Sicherheit stärken – unsere freie Gesellschaft verteidigenUnd wie verteidigt man am besten eine freie Gesellschaft? Indem man sie abschafft! Dann kann sie niemand anderes mehr zerstören!
Besonders geil:
Umfassende und gerechte KriminalpolitikDas finde ich eine wunderbare Wortschöpfung für die Politik der SPD. Kriminalpolitik. Die Partei, der schon zweimal die Vorratsdatenspeicherung gerichtlich als Verfassungsbruch weggenommen werden musste, fordern sie jetzt wieder. Die Partei der Chatkontrolle, Staatstrojaner, anlassloser Personenkontrolle und immer und immer mehr Befugnissen für Unterdrückungsbehörden. Das passt wirklich perfekt. Die betreiben Kriminalpolitik.
Sehr geil auch:
Dabei sind die Schäden, die Opfer und Geschädigte durch nicht verhinderte Kriminalität erleiden, ebenso wichtig wie gesamtgesellschaftliche und volkswirtschaftliche Kosten, insbesondere durch organisierte Steuerkriminalität. In der Regel gilt: Kriminalität kostet mehr als Kriminalitätsbekämpfung.Die Cum-Ex-Partei, die Cum-Ex-Olaf zum Kanzler machte, die erzählen uns jetzt was von der Bekämpfung organisierter Steuerkriminalität! Kannste dir gar nicht ausdenken!
Das ganze Dokument ist ein einziger Schenkelklopfer. Hier ist noch einer:
Wir stehen für eine umfassende, evidenzbasierte Kriminalpolitik.Ich klär mal kurz auf, was mit evidenzbasierter Kriminalipolitik gemeint ist. Wenn es Evidenz gibt, dass man ein paar abgehalfterten SPD-Parteileichen ein Renten-Zubrot in irgendeiner neu geschaffenen überflüssigen Behörde verschaffen kann, dann macht man schnell ein paar neue überflüssige Behörden auf!
eine neue interdisziplinäre, unabhängige Bundesakademie für Prävention und Kriminalwissenschaften dienenBestimmt reiner Zufall, dass da lauter abgewählte SPD-Politiker im Weg rumsitzen werden.
Aber kein SPD-Geschwurbel wäre komplett ohne Beschwörung des Teufels:
Neben mittlerweile alltäglichen Cyberattacken fordert uns vor allem Desinformation.Nein, damit meinen sie nicht Desinformationen wie "wenn wir die Klingenlänge auf 6cm begrenzen, gibt es weniger Messerangriffe". Nicht doch!
Hybride Bedrohungen durch fremde Mächte und illiberale Kräfte zielen auf die Fundamente unserer liberalen Gesellschaftsordnung.Das werden viele Jüngere von euch gar nicht mehr wissen: liberal kommt von Freiheit. Die Freiheit, die die SPD seit Jahrzehnten systematisch plattmacht, mit immer neuen Bullshit-Gesetzen wie "Hackertoolverbot" und "Anscheins-Jugendpornographie" und "Leistungsschutzrecht". Wenn du wirklich sicher gehen willst, dass keine Freiheit übrig bleibt, dann wählst du SPD.
Und DIE haben die STIRN, uns jetzt hier was von illiberalen Kräften zu erzählen! Unfassbar.
Aber warte, zu Desinformation haben sie noch gar keine neue Behörde gegründet! Da stimmt doch was nicht? Keine Sorge!
In einer Task Force zur wehrhaften Demokratie im Digitalzeitalter sollten ganzheitliche Maßnahmen erarbeitet werden. Dies mit dem Ziel, Plattformen weitergehender und systemischer zu regulieren, Medien- und Quellenkompetenz auszubilden und zur Durchsetzung des bestehenden europäischen Rechts Qualitätsjournalismus und öffentlich-rechtlichen Rundfunk zu fördern sowie Desinformationskampagnen aus dem In- und Ausland zu erkennenWas als Taskforce startet, wird ganz schnell zu einer neuen überflüssigen Behörde für abgewählte SPD-Luschen. das ist so sicher wie das Amen in der Kirche.
Hier braucht man aber auch noch mal einen Dekoder. Medienkompetenz will da niemand ausbilden. Die SPD ist schließlich selber im Verlagsgeschäft. Das LETZTE, was die wollen, ist dass die Leute Medienkompetenz entwickeln. Dann verdienen die ja nichts mehr.
Mit Quellenkompetenz meinen die: SPD-freundliche Quellen wie die Tagesschau sind vertrauenswürdig, der Rest nicht. Qualitätsjournalismus würden die nicht erkennen, wenn er ihnen auf den Fuß fiele.
Sehr geil an der Stelle der freundliche Wink an die AfD: sie wollen "Qualitätsjournalismus und öffentlich-rechtlichen Rundfunk" fördern. Letzteren zählen sie also nicht zu Qualitätsjournalismus. Einmal mit Profis arbeiten, sage ich dir. Elende Vollversager.
Ich erspare euch mal den Rest, wo sie ihre schon zweimal wegen mangelnder Verhältnismäßigkeit gerichtlich kassierte Vorratsdatenspeicherung schon wieder zu bewerben, und zwar unter dem Label der Verhältnismäßigkeit. Diesmal aber wirklich!1!! Außerdem natürlich "effektiv" (was bereits wissenschaftlich untersucht wurde und nicht stimmt) und "passgenau". Passt genau in den Geldbeutel der SPD, das Schmiergeld der Lobbyisten!
Update: Da bin ich doch glatt in der Zeile verrutscht. Die SPD ist in Thüringen unter 5%, wenn man die Nichtwähler mitzählen würde.
Das ist mal wieder eine echte Politik-Granate. Bis 2026 haben die Telcos das Kernnetz-Equipment abgeschrieben. Dass die Telcos da alle Huawei-Wartungszugänge haben liegt nicht an Huawei sondern an den Verträgen, die die Telcos aus freien Stücken mit Huawei abschließen.
Keine der Telcos hat auch nur ansatzweise ihren Scheiß genug im Griff, um nicht Garnisonen von Huawei-Leuten bei sich auf dem Campus wohnen zu haben, die auf Zuruf bereit stehen, um das Tagesgeschäft der Gammeltelcos am Leben zu halten.
Wieso man die Antennen alle tauschen muss, erschließt sich niemandem, nicht mal den "Experten" der Bundesregierung.
Wenn die jetzt Huawei rausschmeißen und dann Ericsson reintun, wird das vor allem zwei Effekte haben. Erstens werden dann statt Huawei-Leuten ein paar Ericsson-Leute da sitzen, und Ericsson wird groß herumheulen von wegen Fachkräftemangel und sie können da auch nichts machen. Und zweitens wird die Qualität der 5G-Netze drastisch einbrechen.
Woher weiß ich das? Weil die Briten da schon durch sind.
Warum macht die Politik das überhaupt? Weil die Amerikaner das wollen. Warum wollen die Amerikaner das? Weil sie hoffen, so Industrieförderung für ihre eigene Openran-Geschichten zu kriegen, und deren "Offenheit" ist aber GANZ schnell weg und vergessen, wenn sie erstmal Marktführer sind. Zur Marktreife von Openran könnt ihr ja mal googeln, wie es 1&1 ergeht. Die haben das auszurollen versucht.
Fakt ist, dass Huawei 5G im Wesentlichen erfunden hat. Nicht nur sind deren Produkte die einzigen, die halbwegs zuverlässig funktionieren. Es sind auch die einzigen, bei denen du im Problemfall anrufst und dann kommt jemand und fixt das. Bei Ericsson kannst du ein Ticket aufmachen. Viel Glück.
Größter Lacher an der Nummer ist aber:
Innenministerin Faeser betonte, man schütze so die Kommunikation der Bürger.Das ist dieselbe Innenministerin Faeser, die die ganze Zeit für die Vorratsdatenspeicherung argumentiert, die unsere E2E-Krypto aufbrechen will, und die Staatstrojaner einsätzen lässt.
DIE lügt uns jetzt was ins Gesicht von wegen es ginge hier um den Schutz unserer Kommunikation.
Meine Kommunikation ist jedenfalls von der Faeser um Größenordnungen mehr gefährdet als von irgendwelchem Huawei-Equipment.
Update: Am Ende kann man natürlich mit Hardware von jedem Anbieter gute oder schlechte Netze aufbauen. Vermutlich geht das mit Ericsson auch, wenn man es kann. Aber wo soll die Kompetenz herkommen? Und Ericsson kostet halt viel mehr.
Oh und wenn die Telcos ihre Netze "in die Cloud" ziehen, dann ist eh egal, welche Hersteller da alle Abhörschnittstellen drin haben. Dann ist eh alles verloren.
Update: Die Antennen sprechen sie nicht explizit an. Vielleicht müssen die doch nicht getauscht werden. Ich vermute mal, dass da noch eine Menge nachverhandelt werden wird.
Das Konzept ist auch bekannt als Lampshade Hanging und wurde schon von Shakespeare eingesetzt.
Das kann man immer häufiger in PR beobachten. Achtet mal drauf. Sie kündigen eine Sache an, die schlecht für X ist, und dann schreiben sie direkt in die Ankündigung: ... aber unter Wahrung von X, oder ... aber X hat nach wie vor höchste Priorität für uns.
Aktuelles Beispiel: Google will Glücksspiel-Apps in den Store nehmen.
"We’re pleased that this new approach will provide new business opportunities to developers globally while continuing to prioritize user safety," wrote Google's director of global trust and safety partnerships, Karan Gambhir.
Das ist natürlich eine glatte Lüge. Wenn es hier auch nur unter fernerliefen um User Safety ginge, würden sie keine Glücksspiel-Apps zulassen.Der Staat macht das schon länger so. Sie fordern Vorratsdatenspeicherung aber sagen ... unter Wahrung der Privatsphäre. Sie fordern Staatstrojaner aber sagen ... unter Wahrung des Datenschutzes und der Privatsphäre. Das sind alles glatte Lügen. Offensichtliche Lügen. Lasst euch von solchem Scheiß nicht verarschen.
Google optimiert hier User Unsafety. Vorratsdatenspeicherung, Chatkontrolle und Staatstrojaner zerstören die Privatsphäre, die Unschuldsvermutung und den Rechtsstaat.
Ransomware: Nach der Erpressung folgt umgehend die nächste ErpressungNEIN!!! Wenn wir unser Verhalten nicht ändern, lösen sich die Probleme nicht von selbst?! Das ist ja unglaublich, Bob!
Online-Kriminelle werden immer dreister und schlachten Opfer von Erpressungstrojanern gleich mehrfach aus.Das ist ja dreist!!1!
Eigentlich dachte man ja früher mal, dass die Menschheit sich dadurch vom Tier unterscheidet, dass sie aus Fehlern lernen kann. Selbst aus Fehlern, die ein anderer Mensch gemacht hat. Aber wie sich rausstellt können wir nicht mal aus Fehlern lernen, die wir selbst gemacht haben.
Berlins Generalstaatsanwältin Margarete Koppers hat die Abschaffung des Weisungsrechts durch Justizminister von Bund und Ländern gefordert. Der Europäische Gerichtshof mahne dies schon länger anOooooh! Es ist jemandem aufgefallen, dass unser Land sich da seit Jahrzehnten auf dem internationalen Parkett zum Klops macht. Mir hat ja sogar jemand erzählt, dass Deutschland deshalb keinen EU-Haftbefehl ausstellen darf. Weil die Staatsanwaltschaft offensichtlich durch ihre Weisungsbindung nicht unabhängig ist und hier Willkür Tür und Tor geöffnet wären. Wir befinden uns da glaube ich sogar noch hinter Ungarn in der Zivilisationsskala.
Aber wartet, geht noch weiter:
"Deutschland ist in diesem Punkt nicht vorbildlich aufgestellt", sagte Koppers der Deutschen Presse-Agentur (dpa).No shit!
Die Justizminister und -ministerinnen erklärten immer wieder, sie würden das Weisungsrecht tatsächlich nicht ausüben. "Das finde ich so nicht glaubhaft. Denn dann könnten sie es auch abschaffen."DANKE, Frau Koppers! Endlich spricht es mal jemand aus dem Inneren des Apparats aus!
Ein weiteres schlagendes Argument hat sie noch:
Koppers verwies dabei auch auf die politische Entwicklung und sagte mit Blick auf den hohen Zuspruch für die AfD bei Umfragen in einigen Bundesländern: "Wenn ein AfD-Politiker den Justizminister stellte, dann möchte ich mir nicht vorstellen, wie die Strafverfolgung aussähe - vor allem im Bereich des Rechtsextremismus."Das sollte ja eh immer im Hinterkopf sein, wenn man Dinge am Rechtsstaat schraubt. Würde sich nach der Machtergreifung die AfD über diese Regelung freuen?
Das hätte man z.B. beim Staatstrojaner und der Kameraüberwachung und den endlosen Datenbanken über die Bürger mal vorher bedenken sollen. Datenbanken übrigens, die konsequent nur zu unserem Nachteil angewendet werden. Oder hat jemand eine inhaltliche Erklärung dafür, wieso z.B. die Familienkasse für das Kindergeld von den Eltern verlangt, bei der Schule eine Schulbescheinigung zu besorgen und der Familienkasse vorzulegen?
Stattdessen sollen die ab jetzt die weltberühmten Messengerdienste Olvid und Tchap verwenden.
Keine Sorge. Ich habe auch noch nie von denen gehört.
OK, aber Sicherheitslücken? Da werde ich hellhörig. Was für Sicherheitslücken denn?
Der französische Digitalminister Jean-Noël Barrot erklärte auf X (vormals Twitter), die Ende-zu-Ende-Verschlüsselung von Olvid sei von der Cybersicherheitsbehörde Anssi zertifiziert.Genau mein Humor!
Erstens: Digitalminister. Direkt ein Lacher.
Zweitens: Verkündet er auf X. Direkt der nächste Lacher!
Drittens: Er meinte nicht Sicherheitslücken, er meinte eine Behörden-Zertifizierung.
Frankreich war, die Älteren werden sich erinnern, jahrelang ein Ödland der Verdammnis, wenn es um Computer ging, weil die Regierung ein Kryptoverbot verhängt hatte. Wenn DIE uns jetzt also was von Ende-zu-Ende-Verschlüsselung erzählen, ist das mehr als lächerlich.
Viertens: Frankreich steht heute für den Einsatz von Staatstrojanern. Wenn DIE uns also was von Sicherheitslücken erzählen, und sagen, wir sollen doch bitte ihre Software einsetzen, dann ist das mehr als unglaubwürdig, dass das was mit einer Erhöhung der Sicherheit zu tun hat. Eher im Gegenteil.
Ich mache mich ja seit Jahrzehnten über Zertifizierungen lustig, besonders über BSI-Zertifizierungen. Die sind inhaltlich absolut wertlos. Waren sie schon immer, werden sie auch absehbar bleiben. Aber eine Sache, die erst mit den Staatstrojanern wirklich Wucht kriegt, möchte ich hier nochmal explizit ansprechen. Eine Zertifizierung kostet sechsstellig. Wenn eine Firma also so viel Geld in die Hand nimmt für einen Messenger-Dienst, dann gibt sie der Regierung einen ziemlich großen Hebel in die Hand, ihnen "Features" reinzudrücken, die am Ende die Sicherheit kompromittieren.
Für mich sind daher staatliche Zertifikate nicht nur wertlos sondern ein starker Indikator dafür, dass ich dieser Software noch weniger Vertrauen entgegen bringen sollte. Selbst wenn es sich um Open Source handelt, auch wenn sich die Bedenken dann abschwächen.
Gibt es denn irgendwas positives zu sagen? Nun, Tchap scheint eine Implementation von Matrix zu sein. Matrix ist ein offener Standard mit Open-Source-Implementationen. Das ist also vergleichsweise gut. Tchap selbst ist auch Open Source. Es könnte also sein, als wäre das hier die eine Ausnahme von der Regel. Auch Olvid ist Open Source und auf Github. Die Beschreibung liest sich auch richtig gut. Das einzige, was ich gerade nicht auf Anhieb sehe, ist Reproducable Builds.
Beide Messenger sehen nicht wie Schnellschüsse aus. Da werde ich ja fast ein bisschen neidisch gerade!
Oh, und ... *blätter* ZITiS. Ihr wisst schon. Die hier.
When reached for comment, the German Interior Ministry said it couldn't discuss the matter "so as not to jeopardize the investigative capacity of the security authorities."
Oh, natürlich, natürlich. DAS ist hier die Gefahr. Dass jemand erfährt, was für unethische, verwerfliche Unterdrückungsinstrumentarien der Staat gegen seine Bürger einsetzt.Nicht etwa dass der Staat unethische, verwerfliche Unterdrückungsinstrumentarien gegen seine eigenen fucking Bürger auffährt. Nein. Dass das jemand erfahren könnte. Dass diese Zugriff vielleicht geschmälert werden könnte.
Nun, ich habe ja vor Jahren mal einen Hackback-Vortrag gehalten, der sich recht gut gehalten hat. Einer meiner zentralen Punkte in dem Vortrag war auf Seite 39, dass der erste, der einen Exploit einsetzt, ihn damit für alle anderen verbrennt. Lasst mich an dieser Stelle nochmal meine Genugtuung kundtun, dass das auch genau so passiert.
Schade nur, dass sie dafür unsere Steuergelder verbrennen. Dieselben Steuergelder, die dann nicht verfügbar sind, wenn es um eine Verlängerung des 49€-Tickets geht, oder um Wohnungsbau.
Die Details sind noch ein bisschen unklar, aber der Exploit wurde schon aktiv zum Installieren von Staatstrojanern ausgenutzt, insofern ist das eher dringend jetzt. Ihr solltet also mal schnell manuell euren Browser updaten.
[$NA][1479274] Critical CVE-2023-4863: Heap buffer overflow in WebP. Reported by Apple Security Engineering and Architecture (SEAR) and The Citizen Lab at The University of Torontoʼs Munk School on 2023-09-06
Wenn The Citizen Lab einen Bug meldet, dann weil sie einen Staatstrojaner reverse engineered haben, und den Exploit in der freien Wildbahn gefunden haben.Aber eigentlich wollte ich an der Stelle folgende Bemerkung loswerden:
Immer diese versifften unsicheren Schrottimplementationen von inkompetenten Anfängern wie ... *akteumblätter* Google!1!!
Sagt mal, seid ihr auch Kunden von der Google-Cloud ? Weil ihr annahmt, dass der Code, den die produzieren, weniger schlecht ist als der von Microsoft oder Amazon? Tja, das war dann wohl nicht so schlau.
Update: Falls das jemand nicht wusste: WebP ist auch in allen anderen Browsern drin. Und in diverser sonstiger Software, die Bilder entgegennimmt oder verarbeitet.
Ihr habt ja vermutlich auch gelesen, dass Spanien die EU-Ratspräsidentschaft für die Einführung faschistischer Chatkontrolle-Gesetze zu nutzen plant, auch gegen den Wunsch der Bevölkerung der EU.
An dieser Stelle sei kurz der Hinweis erlaubt, dass faschistische Chatkontrolle nicht von den Faschisten kommen, die gerade angeblich kurz davor sind, die Wahl in Spanien zu gewinnen. Die kommen von der aktuellen linken Minderheitsregierung.
Damit haben die meiner Ansicht nach jedes Recht verloren, andere als Faschisten zu beschimpfen.
Und noch ein Gedanke: Wenn jetzt tatsächlich die Faschisten in Spanien gewinnen, was denkt ihr, über welche Art von Gesetzen die sich am meisten freuen werden? Vielleicht so Diktaturerhaltungsgesetze wie Chatkontrolle? Gestapogesetze wie der Staatstrojaner? Oder vielleicht Polizeistaatgesetze wie der große Lauschangriff?
Mich ekeln diese Leute jedenfalls alle nur noch an. Und nachher erzählen sie uns dann, sie hätten ja nur mit Bauchschmerzen zugestimmt. Könnt ihr schonmal im Kalender markieren, diese Vorhersage.
Das räumt dann auch wunderschön die letzten Zweifel aus, ob die da oben verstanden haben, was für eine Bedrohung der Zivilgesellschaft sie hier schaffen.
Aber hey, die fanden ja auch den großen Lauschangriff OK. Und den Staatstrojaner.
Und auf der dritten Seite ist mir KI-generierter Schrott immer noch lieber als tendenziöse Meinungsmache-Propaganda wie das hier. Gucken wir doch mal kurz.
Es gab kaum Spuren von der im Juli 2022 vermissten 14-jährigen Ayleen in Baden-Württemberg. Erst nach einer Woche wurde ihre Leiche in einem See in Hessen gefunden. Ein Alptraum für die Hinterbliebenen. Die Polizei konnte die Leiche nur anhand der Standortdaten ihres Handys finden.Das ist immer ein toller Auftakt, wenn sie irgendein verschwundenes kleines Mädchen bringen. Da weißt du direkt, dass sie keine inhaltlichen Argumente haben, und voll auf der Gefühlsebene "arbeiten" müssen.
Aber in der Funkzelle tauchte noch eine weitere Nummer auf - die des möglichen Täters, der nun vor Gericht steht. Hier waren es die beim Provider gespeicherten Daten, die den Ermittlungserfolg gebracht haben. Die Auswertung der Chats auf den Handys sind nun weitere wichtige Beweismittel in dem Prozess vor dem Landgericht in Gießen.Der Eindruck, der hier erweckt werden soll, ist offensichtlich: Wir brauchen endlich volle Vorratsdatenspeicherung und der Staat muss auch alle eure private Kommunikation mitlesen dürfen.
Aber was sind denn tatsächlich die Fakten hier?
Mit anderen Worten: Weder Vorratsdatenspeicherung noch der Staatstrojaner (das ist die Quellen-TKÜ nämlich wirklich!) waren hier notwendig oder hätten hier weitergeholfen. Außer dein Menschenbild ist, dass der Mörder vorher noch kurz im Chat seinem Kumpel mitteilt, dass er jetzt ein entführtes junges Mädchen umbringen will.
Dieser ganze Artikel ist von vorne bis hinten eine dreiste Lüge, läuft aber bei der Tagesschau unter Berichterstattung.
Zum Kotzen.
Die wenigen Medienvertreter - es sind genau drei - denen die Bundeswehr nun erstmals einen Einblick gewährt, müssen ihre Mobiltelefone abgeben. In CIA-Thriller-Manier werden die Geräte in einem silbernen, Aluminium-beschichteten und mit Schaumstoff ausgekleideten Aktenkoffer weggeschlossen. Kein ortbares GPS-Signal soll nach außen dringen, die Smartphone-Daten sollen nicht angezapft werden können.Das ist so fraktal falsch, dass auch das Gegenteil nicht stimmt.
Erstens mal: Wenn die dir vor Ort dein Telefon abnehmen, ist deine Position schon geleakt. Da ist zu spät. Du musst das zuhause lassen, wenn es wirklich darum ginge.
Zweitens: Gib niemals nie nicht dein Smartphone physisch aus der Hand. Alle Sicherheits-Zusagen gehen in der Sekunde zum Fenster raus, in der jemand anderes physischen Zugang zum Gerät hatte. Und WENN es jemanden gibt, der AM WENIGSTEN dein Telefon im physischen Zugriff haben sollte, dann sind es Behörden, die elektronische Kriegsführung machen oder Staatstrojaner installieren.
Drittens: GPS schickt keine Signals raus. GPS empfängt Signale. Die von Satelliten ausgesendet werden. *facepalm*
Viertens: Wenn du nicht willst, dass jemand deine "Smartphone-Daten anzapft" (*facepalm*), dann GIB NIEMALS DEIN SMARTPHONE AUS DER HAND. Außerdem habe mindestens full disk encryption aktiv und das Gerät vorher ausgeschaltet und den Akku gezogen. Oh, das geht bei deinem Gerät nicht mehr? Dann hast du ein schlechtes Gerät gekauft.
Fünftens: Ein Aktenkoffer ist selbstverständlich nicht ausreichend, um dich zu überzeugen, dass da schon keiner dran gewesen sein wird.
Liebe embedded "journalists" von der ARD: Die Geräte schmeißt ihr jetzt mal bitte schnell weg und ändert alle eure Passwörter. Und ärgert euch, dass die alle Daten auf den Geräten auslesen konnten, inklusive aller eurer Kontakte, die ihr ja als Journalisten eigentlich hättet schützen sollen.
Das war ja mal wieder GAR nichts. Mann Mann Mann.
Für mich ist es auch immer ein Hochgefühl, wenn ich am Horizont (oder von Nahem natürlich) die Windräder rotieren sehe.
Aber Mobilfunkdeckung hast du da halt keine, der Bus fährt einmal in der Woche, und die Bahn ist froh, wenn sie in den Städten stündliche Regionalbahnanbindung anbieten kann.
Eigentlich wäre doch alles völlig klar. Wenn ich da die Regierung wäre, gäbe es eine völlig klare Liste von Dingen, die mal angepackt werden müssen.
Aber wisst ihr, was nicht auf dieser Liste stünde? Noch mehr Polizeibefugnisse. Was zum Henker ist da los? Euch verdorren die Felder wegen Klimawandel und euer Innenminister kümmert sich um … Staatstrojaner?
Wo bleibt denn da eigentlich der Mistgabelmob, der diesen Innenminister Stübgen (CDU, natürlich!) aus dem Amt schmeißt? Wo findet die CDU immer solche unanständigen Menschen?!
Ihr faselt immer von den armen Kindern, aber was ist denn mit den Kindern, die ihr sehenden Auges in die Klimakatastrophe rennen lasst gerade?!
Ich weiß, was Sie jetzt denken, und Sie haben Recht! Das war von Anfang an eine schlechte Idee!1!!
Belgien (-12), Österreich (-14), Italien (-17) und die Niederlande (-22) sind in der EU am tiefsten abgestürzt. Griechenland verlor sogar 38 Plätze und Zypern 39, aber da kann man vielleicht auf mildernde Umstände argumentieren.
Der weltweit krasseste Absturz war wenig überaschend Hong Kong mit -68.
Wenn ihr übrigens den Reportern ohne Grenzen helfen wollt: Die verkaufen in ihrem Shop einen jährlichen Fotoband, der für dieses Jahr ist ab heute verfügbar.
Update: Das ist vielleicht der richtige Moment, um mich nochmal darüber aufzuregen, wie die EU sich hier im oberen Dritten suhlt. Nur weil es anderswo noch übler aussieht! Nein, Leute, kein einziges Land sollte grün oder gelb kriegen, die nicht Edward Snowden und Julian Assange Asyl und eine Nicht-an-die-USA-Ausliefern-Garantie angeboten haben.
Drei Unternehmen der Staatstrojaner-Firmengruppe FinFisher sind insolvent. Das Büro ist aufgelöst, die Mitarbeiter entlassen und der Geschäftsbetrieb eingestellt. Im Zuge von Ermittlungen wegen möglicher illegaler Exporte des Staatstrojaners hat die Staatsanwaltschaft Konten gepfändet.Aber nicht doch! Illegale Exporte?!? Un-denk-bar!
Update: Keine Sorge, Stoff für ein Sequel ist genug da.
Nun, ihr ahnt sicher schon, wo diese Geschichte hingeht. Nach Indien.
Aber glaubt mal nicht eine Sekunde, dass das bei uns ein weniger inakzeptables Risiko ist.
Das kennt man ja, dass neue Regierungen erstmal planlos Symbolpolitik machen, anstatt sich mal um die Kontrolle von Geheimdiensten, Militär und Polizei zu kümmern, die ja offensichtlich flächendeckend von Nazisympathisanten durchsetzt sind. Oder wie wäre es damit, mal demonstrativ alle Staatstrojaner-Projekte zu stoppen? Um den Staat zu einer Instanz zu machen, die das Vertrauen der Bürger nicht nur einfordern kann sondern auch verdient hat?
Das tollste an dieser Telegram-Nummer ist ja ihr erklärtes Ziel:
Strafbare Inhalte müssen gelöscht werdenÄh ja, Löschen. Das hat ja bisher schon so exzellent funktioniert. Wie wäre es damit, wenn strafbare Handlungen, äh, … bestraft würden? Du würdest ja einem bewaffneten Räuber auch nicht die Pistole löschen und ihn dann weitermachen lassen.
Ja wie kommt das eigentlich, fragt sich vielleicht der eine oder andere. Deutschland war ja mal führend in Sachen IT-Sicherheit. Nicht zuletzt deshalb, weil bei uns das Studium keine Studiengebühren hatte und man keinen Stress bekam, wenn man ein paar Semester länger studierte, weil einen noch etwas interessierte, und man da noch ein bisschen Zeit mit verbringen wollte. Deutschland hatte einige der besten Security-Leute auf dem Planeten!
Dann hat die CDU der Reihe nach alles kaputtgealtmaiert.
Erst haben sie Hacken verboten, dann Hackertools verboten, dann offene WLANs mit dem Urheberrecht weggeschossen. Studiengebühren eingeführt. Tja und dann stellte sich völlig überraschend heraus: Die existierenden Leute mit Fachkompetenz wollen diesem Scheißstaat nicht freiwillig helfen, nicht mal bezahlt. Den Nachwuchs hat die Regierung ja mit den ganzen Maßnahmen abgetrieben. Völlig überraschend ist man jetzt ein Land der Ahnungslosen, die Regierung muss ihre Staatstrojaner (und Firewalls und Router) im Ausland kaufen, und sämtliche "Erkenntnisse" sind unprüfbares Hörensagen aus den USA.
Warum erwähne ich das? Weil es gerade mal wieder einen Swatting-Fall gab. Einer der letzten noch nicht verprellten Security-Leute findet eine krasse Lücke, meldet sie wohlmeinend dem Hersteller, und kriegt dann von diesem Staat auch noch ein SWAT-Team in die Wohnung geschickt, das ihm sein Arbeitsgerät wegnimmt.
Ja super! Wisst ihr, wer euch ganz sicher nicht helfen wird, wenn ihr das nächste Mal ein Problem habt? Dieser Typ.
Mich habt ihr als Helfer ja schon vor Jahren verloren. Das muss jetzt einmal so richtig krachen, bevor ich auch nur in Erwägung ziehe, irgendjemandem in diesem Staat zu helfen.
Baut ihr mal weiter Zertifizierungs-Schlangenölpipelines mit dem BSI auf. Und setzt alle schön Windows, Active Directory und Outlook ein. Hey, was setzt eigentlich das BSI ein? Fragt lieber nicht, die Details könnten die Bevölkerung verunsichern.
Ich wundere mich über kein einziges der Blockchain- und KI-Projekte gerade. Na klar fördern die Blockchain und KI und Biometrie-Datenbanken. Die haben keinen einzigen Berater mehr gefunden, der auch nur den Hauch einer Ahnung hat.
NA KLAR glauben diese Vollpfosten dann den Amis, dass man Cyberangriffe zurückverfolgen kann, und dass das zufällig nie die Amis waren. Der Russe war's!!1!
Update: Weil hier gerade neue Leser aufschlagen: Altmaiern versuche ich gerade als Begriff für vorsätzliche Zerstörung von für die Gesellschaft nützlichen und/oder überlebenswichtigen Dingen zu etablieren. In Anlehnung an seine "Arbeit" zum Rückbau von Solar und Wind. Das impliziert nicht, dass Altmaier persönlich involviert war, nur dass das Ausmaß der Zerstörung grob mit Altmaiers Taten vergleichbar ist.
Seit Freitag ist in Deutschland das „Gesetz zur Anpassung des Verfassungsschutzrechts“ in Kraft. Alle 19 Bundes- und Landesgeheimdienste dürfen nun Trojaner-Schadsoftware einsetzen. Ein weiteres Gesetz ist bereits im Bundesrat, das die Polizeibehörden ermächtigt, Trojaner bereits einzusetzen, noch bevor eine Straftat vorliegt.Bevor eine Straftat vorliegt, d.h. gegen unbescholtene Bürger. Gegen dich und mich.
Wenn die Verbrecherpartei und die Verräterpartei gemeinsam in einer großen Koalition an der Macht sind, dann passiert sowas halt.
Staatstrojaner endlich für alle 19 Geheimdienste Deutschlands.
Und alle! Wer hat uns verraten? Die Sozialdemokraten!
Mit den Grünen wäre das natürlich genau so gelaufen.
Wer wählt eigentlich diese ganzen Gangster immer wieder ins Parlament? Ist das das Ergebnis davon, den Leuten im Fernsehen immer Shows zu zeigen, in denen sie Leute irgendwo rauswählen? Sind die Wähler schlicht verwirrt?
Update: Ein Leser schickte dazu diesen schönen Tweet von Saskia Esken ein. Nur damit auch dem letzten Vollidioten das nächste Mal klar ist, was von solchen Zusagen aus dem Hause Verräterpartei zu halten ist.
Geheimdienste: CDU/CSU sichert passgenauen Staatstrojaner-Einsatz zu
Schnell! Fällt euch spontan jemand ein, dem ihr noch weniger Vertrauen entgegenbringen würdet?
Es verpflichtet professionelle Interessenvertreter dazu, sich in ein öffentlich einsehbares Register einzutragen und dort Angaben über ihre Auftraggeber und die finanzielle Aufwendungen zu machen.Das ist schonmal nicht schlecht. Der Ladebalken ist bei 3%.
Treffen in Ministerien sollen bis hinunter zur Ebene von Unterabteilungsleitern erfasst werden.Erfasst, ja? Aber nicht öffentlich einsehbar, nehme ich an? Steht da nicht. Ladebalken immer noch bei 3%.
Zudem müssen sie einem Verhaltenskodex zustimmen, der Grundsätze integrer Interessenvertretung definiert.Aha, eine "non binding resolution", wie man so schön sagt. Die Abgeordneten setzen weiterhin auf "freiwillige Selbstkontrolle". Dass ich nicht lache. Ladebalken weiter bei 3%.
Verstöße sollen als Ordnungswidrigkeit geahndet werden, etwa durch den Entzug von Hausausweisen oder Geldbußen von bis zu 50.000 Euro.Verstöße klingt ja erstmal, als ob sich das gegen korrupte Parlamentarier richtet, aber bei "Entzug von Hausausweisen" ist dann spätestens klar, dass sich das auf Lobbyisten bezieht, die sich nicht ins Lobbyregister eingetragen haben.
Leider müsste man ihnen dafür nachweisen, dass sie "professionelle Interessensvertreter" sind. Das kommt mir wir keine große Hürde vor. Sagst du einfach: Ich bin Ex-CDU-Abgeordneter und wollte nur mal vorbeigucken, der alten Zeiten wegen. Viele Lobbyisten kommen ja selbst aus dem System.
Gut, also damit sind wir, ich fasse mal zusammen, bei einer Art Perso-Pflicht für Lobbyisten, und einer nicht-bindenden freiwilligen Selbstverpflichtung der Parlamentarier.
Meine Güte, die Korruption ist so gut wie besiegt!!1!
OK, gut, kommen wir zu den nächsten 97%? *blätter* *scroll*
Öhm. Ich habe schlechte Nachrichten für euch. Das war alles.
Nicht nur war das alles, das war sogar mehr als alles, denn ein Teil davon wird direkt wieder zurückgenommen:
Ausgenommen von der Pflicht sind unter anderem Gewerkschaften und Arbeitgeberverbände, politische Stiftungen sowie die Kirchen und Religionsgemeinschaften.D.h. Daimler tunnelt ihre Lobbyarbeit ab jetzt einfach durch die Arbeitgeberverbände und ist fertig.
Ladebalken springt zurück auf 1%.
Hey, warte mal, fällt euch überhaupt irgendein Lobbyist ein, der nicht für die Arbeitgeber oder Gewerkschaften arbeitet? Welche Korruption bleibt denn da übrig? Habt ihr darüber mal nachgedacht?
Ich sage euch, wer da übrig bleibt. Menschenrechtler. Datenschützer. Leute, die gegen Hackertoolverbote und Staatstrojaner sind.
Der Ladebalken springt auf -10%.
Oh wartet, einen Aspekt müsste man noch beleuchtet. Mit dieser Satirenummer ist die Sache ja dann erledigt. Wenn morgen jemand über Korruption meckert, können und werden die sagen: Wieso, wir haben doch gerade unsere Korruptionsbekämpfungsgesetze verschärft!1!!
Unter dem Strich steht der Ladebalken bei -20%. Nicht nur nichts erreicht, sondern die Dinge auch noch schlimmer gemacht.
Dass die CDU uns so offen ihre Verachtung ausdrückt, wundert ja niemanden mehr, aber ohne die korrupte SPD hätten sie das nicht durchgekriegt. Alle anderen waren dagegen. Ich vermute mal, die SPD hatte starke Bauchschmerzen und ist zeigt auf die CDU, dass sie mit ihren weitergehenden Forderungen nicht durchgekommen sind. Aber als Ausgleich haben sie dem CDU-Entwurf (der bloß Kirchen und Arbeitgeber ausnahm) auch Korruption durch Gewerkschaften hinzugefügt. So hat jeder seine Pfründe gesichert und kein Abgeordneter muss jemals fürchten, für seine Korruption in den Knast zu kommen und sein Gehalt zurückzahlen zu müssen.
Eine Sache, die ja Mindestanforderung gewesen wäre, ist dass bei Gesetzen die Versionsgeschichte öffentlich schwellenfrei nachvollziehbar ist. Damit man mal sehen kann, wieviel von den Gesetzen von denen gemacht werden, die sich dafür fürstlich vom Steuerzahler "entlohnen" lassen. Und wieviel von Industrievertretern geschrieben und dann übernommen wird.
Davon ist in diesem Gesetz natürlich nichts zu sehen. Und alle sind irritiert, wie das soweit kommen konnte.
Das kann ich euch sagen, wie das soweit kommen konnte. Jemand hat seine Stimme der CDU oder der SPD gegeben. So kommt sowas.
Du weißt, dass dein Korruptionsbekämpfungsgesetz eine Farce ist, wenn es sogar der FDP nicht weit genug geht. *wieher*
SPD-Politiker Karl Lauterbach schlägt vor, Kontaktbeschränkungen auch in privaten Räumen zu kontrollieren. Die Unverletzbarkeit der Wohnung dürfe der öffentlichen Gesundheit nicht länger im Wege stehen, eine „nationale Notlage“ liege vor.Mit dem Grundgesetz hatte es die Verräterpartei ja noch nie so, und dass die verzweifelt auf jede Profilierungsgelegenheit draufspringen überrascht auch niemanden mehr.
Früher hätte der offene Faschismus bei der SPD noch Nachrichtenwert gehabt. Aber seit die die Bundesrepublik Deutschland in den ersten Angriffskrieg seit dem 2. Weltkrieg geführt haben, für den großen Lauschangriff, Hartz IV und den Staatstrojaner stimmten, ist das auch nicht mehr unerwartet.
Wisst ihr was? Ich ziehe die Meldung zurück. Business as usual bei der SPD.
Update: Oh da war wohl der Zensor pinkeln. Lauterbach weiß gerade gar nicht, wie ihm geschieht. Rudert halbherzig nen halben Millimeter zurück, ohne sich inhaltlich zu bewegen. Und als ihm klar wird, wie tief er da gerade ins Klo gegriffen hat, postet sein Handler diese lächerliche Krisenkommunikation. Ach, jetzt ist es plötzlich bloß Appelle, die er meinte? Ja nee, klar. War bloß ein bedauerliches Missverständnis! Wie konnte das jemand falsch verstehen, als er vorher das Gegenteil sagte?
Das ist eines der Highlights der ganzen Chose.
SPD-Chefin @EskenSaskia begründet ihre Zustimmung vor allem mit dem Kampf gegen rechtsextreme Netzwerke.Nein, wirklich!
Herzlichen Glückwunsch. Das verdient den Erich-Mielke-Award für maximalen Realitätsabstand. Erstmal die Vorstellung, dass die Geheimdienste rechtsextreme Netzwerke aufdecken! Das ist ja schon absurd bis zum Anschlag. Googelt mal die Wehrsportgruppe Hoffmann für die historische Kontinuität.
Aber dann dass man denen Trojaner gibt und sie verwenden das dann a) überhaupt und b) ausschließlich für die Aufklärung von rechtsextremen Netzwerken, das verlängert die Skala noch mal deutlich nach oben.
Immerhin haben wir jetzt die Frage geklärt, wer so blöde sein könnte, Geheimdiensten Trojaner zu geben.
Staatstrojaner für alle Geheimdienste! Da werden einige Schlapphüte eine Großpackung Kleenex brauchen.
Die wichtigste Lektion ist, dass die SPD immer noch nicht handlungsunfähig genug ist. Auch wenn sie seit Jahrzehnten keine einzige positive Sache mehr erreicht hat, heißt das nicht, dass sie harmlos sind, weil sie auch keine negativen Dinge schaffen. Da ist die Hürde geringer. Sie müssen nur die CDU machen lassen.
Die Älteren unter euch werden sich noch an eine Zeit erinnern, als die SPD und die CDU Konkurrenten waren, und unterschiedliche Dinge anstrebten. Das liegt aber schon eine Weile zurück.
Da habt ihr euch getäuscht! Denn bisher war es ja nicht explizit erlaubt, neben den neuen Kommunikationsvorgängen auch die alten auszuspähen. Diese Regulierungslücke wird jetzt geschlossen!1!!
Die zweite Methode, auf die man sich in Berlin inzwischen geeinigt hat, ist eine Neuschöpfung: die sogenannte "Quellen-TKÜ plus". Die Idee lautet, dass die Agenten nicht nur die laufende Kommunikation mitlesen, sondern auch rückwirkend von dem Moment der Bewilligung dieser Spionagemaßnahme an alte Kommunikation ausforschen dürfen. Das bedeutet einen Zugriff auf gespeicherte Mails und Chats. Die Ermittler werden rechtlich so gestellt, als hätten sie sofort nach Erteilung ihres Auftrags loslegen können - und nicht erst Zeit verloren durch das technisch aufwendige Infiltrieren des Geräts.Och joh, die armen Beamten des Überwachungsstaat verlieren regelmäßig wertvolle Zeit, wenn sie sich in eure Geräte hacken müssen! Eine Runde Mitleid für den armen Unterdrückungsstaat! Wie soll man denn die Leute unmündig halten, wenn man ihnen nicht ordentlich mit krass asymmetrischer Machtausübung drohen kann?
Tja, bei einem Trog von 58 Millionen Smartphone-Nutzern in Deutschland kommen halt auch entsprechend viele besonders hartnäckige Schweine.
Damit ist auch direkt klar, was die für die Sicherheit im Lande tun wird: Gar nichts. Das Verteidigungsministerium kümmert sich ausschließlich um "offensive Security", also um das Einbringen und Ausnutzen von Backdoors und das Kaufen und Ausnutzen von Exploits. Die haben mit Verteidigung soviel zu tun wie Militärmusik mit Musik.
Und das Innenministerium sind die, die Krypto-Hintertüren in eurer Infrastruktur fordern und Staatstrojaner entwickeln lassen. Die haben mit Sicherheit so viel zu tun wie ein Sicherheitsloch.
Ich würde da ja noch mehr schreiben, aber schon die offizielle Meldung der Tagesschau sagt alles, was gesagt werden muss. Seht selbst.
Die Bundesregierung hat die offizielle Gründungsurkunde für eine neue Cyberagentur unterzeichnet. [...] Aufgabe der Behörde ist es, vielversprechende neue Entwicklungen im Bereich der Cybersicherheit zu identifizieren und zu fördern. Die Ergebnisse soll sie der Bundesregierung zur Verfügung stellen und so die innere und äußere Sicherheit verbessern.Achtet mal drauf. Wer kriegt die Erkenntnisse? Nicht die Netzbetreiber, nicht die Infrastrukturbetreiber, nicht ihr. Die Bundesregierung. Und die war bisher an Sicherheitslücken nur interessiert, um sie geheim zu halten und für Einbrüche zu benutzen.
Mit der Agentur werde Deutschlands "digitale Souveränität" gestärkt, hießt es. Die Bundesregierung will bei der Cybersicherheit nicht wie bisher stark auf Hilfe aus dem Ausland angewiesen sein.Die Bundesregierung war in Cybersicherheitsfragen noch nie auf das Ausland angewiesen. Aus Deutschland kamen die besten Hacker der Welt. Weil man hier kostenlos studieren konnte und während des Studiums Zeit zum Spielen hatte. Das endete erst mit dem Hackertoolverbot. Ich habe denen damals ins Gesicht gesagt, dass sie das bereuen werden, weil ihnen dann keiner der guten Hacker mehr helfen wollen wird. Ihr werdet nicht glauben, was dann passiert ist!1!!
Ja aber komm, Fefe, es kann doch sein, dass auch ein blindes Huhn mal ein Korn findet! Vielleicht haben die ja versehentlich einen Durchbruch! Nun, das halte ich für ausgeschlossen. Seht selbst:
Forschungsdirektor der Cyberagentur ist Christoph Igel. Er war ein führender Kopf am Deutschen Forschungszentrum für Künstliche Intelligenz, bevor er zur Bundeswehr wechselte und jetzt den Aufbau der neuen Cyberagentur übernahm.Ich kenn den Igel nicht. Aber Forschungszentrum für Künstliche Intelligenz? Das sind genau die, die mit Security NICHTS zu tun haben. KI hat nicht mal am Rande was mit Security zu tun.
Aber wartet. Ignorieren wir das mal. Nehmen wir an, das sei ein wichtiges Institut und die hätten da wichtige Arbeit gemacht. Und dann lässt der sich abwerben? Zur ... Bundeswehr!?!?
Ja, äh, nee. Ich erwartet da nichts. Ich glaube nicht, dass die einen Durchbruch erkennen würden, wenn sie über einen stolpern.
Und das ist auch gut so, denn wenn ich zwei Organisationen benennen sollte, die auf gar keinen Fall einen Durchbruch in "Security" haben sollten, dann wären es das Militär und das Innenministerium.
Das mag alles sein.
Ihr überseht aber den eigentlichen Skandal in der Meldung. Der eigentliche Skandal in der Meldung ist, dass das BKA argumentiert, das sei ja keine Quellen-TKÜ (für die das Verfassungsgericht ihnen vergleichsweise harte Auflagen diktiert hat), sondern ein weniger schlimmer Eingriff, und daher dürften sie das einfach so machen. Ich zitiere:
Nach Auffassung des BKA handelt es sich bei dieser Methode um eine Überwachung gemäß § 100a Strafprozessordnung – also der regulären Telekommunikationsüberwachung mit richterlicher Anordnung. Obwohl dabei auch umfassend Chatverläufe mitgelesen werden können, sei dies keine Überwachung wie etwa durch den Einsatz des sogenannten Staatstrojaners.Das war eine Medienkompetenzübung. Mein erklärtes Ziel ist es ja schon immer, dass ihr eben nicht nur meinen Kommentar und die Überschrift lesen sollt, sondern die Primärquelle, und zwar möglichst vollständig. In diesem Fall war die Hoffnung, dass ihr dieses Detail seht und merkt, was da gerade abläuft, und euch gewaltig aufregt über die Chuzpe des BKA. Das ist aus meiner Sicht ungefähr so krass wie die Weltraumtheorie des BND damals, ihr erinnert euch vielleicht.
Das ist ein ganz grobes Foul, was das BKA hier macht. Ignoriert mal den Whatsapp-Teil (aber nicht meine Ausführungen dazu, dass man Krypto-Komplexität nicht "in die Software schieben" kann und dann ist sie weg).
Ausgesprochen krass finde ich auch, dass sie es schon wieder mit der "aber wir machen das doch gaaaanz selten!!1!"-Ausrede probieren. Man stelle sich das mal an irgendeiner anderen Stelle vor! "Aber Herr Richter, ich habe den Mann doch nur ganz selten umgebracht, nur ein einziges Mal!!1!"
Unfassbar!
Wenn es um Corona ginge, hätte man da auch einfach einen entwickeln lassen können und alle anderen nehmen das dann. Ist ja bei Open Source auch lizenztechnisch kein Problem.
Ich als ewiger Optimist hoffe aber trotzdem, dass die App versehentlich auch gegen Covid-19 hilft. Von der Akzeptanz her sieht die App ja gar nicht mal so schlecht aus mit inzwischen angeblich knapp 10 Mio Installationen. Und das trotz aktueller Meldungen wie dieser, dass die Geheimdienste jetzt endlich Staatstrojaner-Befugnis bekommen sollen. Das würde ja eher dagegen sprechen, irgendwelchen Apps irgendwelcher Behörden zu vertrauen. Merken die eigentlich nicht, wie viel Vertrauen sie jetzt schon verloren haben?!
Update: Einen Punkt würde ich an dieser Stelle noch gerne machen. Open Source ist schön und gut, aber nicht hinreichend. Wer sagt denn, dass die App, die man aus dem App Store installiert kriegt, auch aus dem Quellcode kommt? Eigentlich müsst jeder von euch selber aus dem offenen Quellcode die App bauen und auf sein Telefon spielen, was aber natürlich Google und Apple nicht zulassen, weil die ja gerne ihr parasitäres App-Store-Schutzgeldgeschäftsmodell ("Schöne App haben Sie da! Wäre ja schade, wenn die Leute die gar nicht installieren können! Geben Sie uns mal 30% Ihres Umsatzes!") weiter fahren möchten. Und das geht ja nicht, wenn sich die Leute selber Apps installieren dürfen! Wieso hat das eigentlich das Kartellamt noch nicht unterbunden?
Bliebe noch der Weg, dass ihr die App selber baut und dann vergleicht, dass die App aus dem App Store identisch ist. Doch das ist technisch kein Selbstläufer und auch da legen Google und Apple absichtlich Steine in den Weg.
Tja und wenn jetzt der Staat kommt und selber ein Schutzgeldgeschäftsmodell gegen Google und Apple fährt ("Schönen App store haben Sie da! Wäre ja schade, wenn der in unserem Land verboten wäre! Hier, liefern Sie mal diese Malware aus!"), dann geht das ja am Ende auch immer alles zu Lasten des Bürgers. Für uns Bürger kämpft ja leider niemand.
Die Lage ist nicht völlig aussichtslos. Man kann z.B. sehen, was die App alles können will. Da hat leider Google auf ganzer Linie verkackt und auf älteren Android-Versionen (älter als 9 habe ich gehört) kommt da "will Location-Daten haben". Das hilft also nicht, im bösartige Profilbildung zu verhindern.
Bleibt noch die Möglichkeit, dass man stichprobenhaft die App aus dem App Store holt und von Experten vergleichen lässt. Damit sind wir aber auch wieder nicht viel weiter, denn wir haben nur "du musst Google/dem Staat vertrauen" gegen "du musst dem CCC-Experten vertrauen" ausgetauscht. So ganz kriegt man das Vertrauen Müssen nicht weg, denn die Tools, mit denen man solche Analysen macht und Apps baut, die kommen ja auch von irgendjemandem, dem man vertrauen muss. Aber schön ist das nicht.
Bleibt noch die Frage, ob die Geheimdienste vielleicht Google zwingen, ihre Hintertüren nur gezielt auszurollen. Damit wären Stichproblem umgangen, außer einer der Stichproben-Downloader ist auf der Liste der Geheimdienste. Ist alles nicht so einfach.
Update: Oh und dann gibt es natürlich noch das Problem (jetzt vielleicht nicht bei der Corona-App aber bei anderen), dass die App einmal pro Woche ein Update erfährt. Da wird das Fenster für Aussagen über die Vertrauenswürdigkeit einer bestimmten Version sehr schnell sehr klein.
Der für Windows-PCs geschriebene Verschlüsselungstrojaner RobinHood fliegt unter dem Radar von Antiviren-Software, um Computer zu befallen. Das ist an sich nicht neu, aber die Art und Weise wie das funktioniert, hat es bislang noch nicht gegeben.Oh, ach? Das ist an sich nicht neu? Wollt ihr etwa sagen … Schlangenöl funktioniere nicht?!?
Und euch ist das seit Jahren bekannt?!?
Hätte uns doch nur rechtzeitig jemand gewarnt!!1!
Brandenburgs Regierung sagt ausreichenden Datenschutz bei Kennzeichenfahndung zuWie machen sie das? Na ganz einfach. Sie stellen sich so in den Regen, dass sie nicht nass werden! Dabei führen sie noch kurz die Quadratur des Kreises durch.
Die Brandenburger Landesregierung hat die massenhafte Kennzeichenerfassung auf Autobahnen grundsätzlich verteidigt, aber zugesagt, Datenschutzverstöße zu stoppen.Die Kennzeichenerfassung ist der Datenschutzverstoß, ihr Pfeifen!
Mit anderen Worten: Sie lügen wie gedruckt. Wie immer.
Oh übrigens, wo wir gerade bei Branderburger Politik waren: Potsdams Behörden ist gerade von einem "Cyberangriff" die IT lahmgelegt worden. Ich gehe davon aus, dass sie uns auch da einfach dreist ins Gesicht lügen und das ein Wald- und Wiesentrojaner war.
Teil der Inkompetenz ist, gar nicht zu merken, wie wenig Ahnung man hat. Cyberangriff, my ass.
Ich möchte übrigens an dieser Stelle nochmal darauf hinweisen, das Brandenburg ein SPD-Land ist. Das eine Bundesland, das die Verräterpartei noch wählt, fällt damit direkt erstmal fett auf die Schnauze. Hätte sie doch nur jemand gewarnt!
Den Staatstrojaner hatten ihnen eigentlich ihre Richter weggeschossen, aber ihr wisst ja, wie das so ist. Genau wie bei uns.
Der österreichische Verfassungsgerichtshof (VfGH) hatte Teile des "Sicherheitspakets" der Vorgängerregierung der Konservativen und der FPÖ erst im Dezember gekippt und den 2018 eingeführten Bundestrojaner für rechtswidrig erklärt. Nun soll die Suche nach einer Lösung zum Entschlüsseln insbesondere von Messenger-Kommunikation via WhatsApp, Signal oder Threema also weitergehen und der Staatstrojaner möglicherweise wieder eingeführt werden. Das VfGH-Urteil werde man dabei berücksichtigen, versichern beide Seiten.Die Quadratur des Kreises! Wir probieren es einfach solange nochmal, bis das Verfassungsgericht mürbe geschossen ist und entnervt zustimmt.
Aber das ist nicht alles. Unsere Nachbarn können auch innovativ sein, wenn es um "Sicherheit" geht:
"Während es die Möglichkeit einer 'akustischen Überwachung' in Wohnungen und Räumlichkeiten gibt, ist das für Personen in Fahrzeugen nicht erlaubt", heißt es in dem Plan für die Legislaturperiode. "Diese Lücke soll geschlossen werden."
Aber die Zeiten sind vorbei! Jetzt herrschen hier neue Sitten! Jetzt ist Schluss mit lustig! Die Polizeipräsidentin erklärt das mal kurz:
"Wir durchbrechen den Mythos der Unangreifbarkeit krimineller Strukturen", sagte Slowik. "Das fängt beim Parken in der zweiten Reihe anÄh, … wie meinen?
geht über lebensgefährliche Kohlenmonoxid-Belastungen sowie Gewalt auf der Straße und endet bei der organisierten Kriminalität."Wot? Kohlenmonoxid?! Falschparker?
Also ich bin mir ja sicher: Da hilft nur Hubschraubereinsatz. Wir brauchen endlich Kennzeichenscanner und flächendeckendes Mobiltelefontracking. Ach was sage ich: Staatstrojaner!
Das Parlament hat die Befugnisse des Zollkriminalamts und der Zollfahndungsämter deutlich ausgeweitet und etwa auf die Quellen-TKÜ erstreckt.Wieso zum Teufel braucht denn bitte der Zoll Staatstrojaner, fragt ihr euch jetzt vielleicht? Na das ist wie in der Privatwirtschaft. Man trifft sich beim Golfen. In der Wirtschaft fragt dann der eine Boss den anderen: Habt ihr schon ein verteiltes Echtzeit-SIEM in eurer KI-Blockchain in der Cloud? Bei Behörden fragt der eine Boss den anderen: Habt ihr schon Staatstrojaner-Befugnis?
Ich finde ja beschämend, dass bei uns wegen Geldmangel die Wände in den Schulen schimmeln, aber für den Kauf von Staatstrojanern haben sie Budget.
Es waren natürlich wieder mal die Stimmen der großen Koalition. Nur falls irgendjemand mit dem Gedanken spielte, irgendjemandem von denen nochmal ins Parlament zu helfen mit seiner Stimme.
Wofür braucht denn der Zoll Staatstrojaner? Die Begründung ist doch sicher abendteuerlich! Oh ja und wie:
Laut Paragraf 72 des Entwurfs dürfen die Zollfahnder künftig im Kampf gegen den Terrorismus und den illegalen Handel mit Kriegswaffen, Rüstungsmaterial einschließlich darauf bezogener Herstellungsausrüstung und Technologie schon in Verdachtsfällen heimlich "dem Brief- oder Postgeheimnis unterliegende Sendungen öffnen und einsehen sowie die dem Fernmeldegeheimnis unterliegende Telekommunikation überwachen und aufzeichnen".Terrorismus!!! Der Zoll bekämpft jetzt Terrorismus!!
Hey, *Golfschläger raushol*, bekämpft ihr eigentlich auch schon den Terrorismus?
Und lasst uns mal nicht den Teil mit "schon in Verdachtsfällen". Da steht nichts von begründetem Verdacht.
Aber aber aber warte Fefe, das Verfassungsgericht hat doch klargestellt, dass es einen Kernbereich privater Lebensgestaltung gibt, der tabu ist!
Ja klar, und dem haben sich auch voll ernsthaft Rechnug getragen und so:
Liegen "tatsächliche Anhaltspunkte für die Annahme vor", dass durch eine einschlägige Maßnahme "allein Erkenntnisse aus dem Kernbereich privater Lebensgestaltung erlangt würden", ist das Instrument generell unzulässig.Mit anderen Worten: Das Hacken von den Telefonen von Privatpersonen und das Kopieren von Nacktfotos ist legal, solange es nicht vorher tatsächliche Anhaltspunkte für die Annahme gab, dass unter den Nacktfotos nicht auch ein weiterbringender Scan eines Briefes ist oder so.
Na kein Wunder, dass sie auf Weihnachten gewartet haben mit dem Burying.
Ich bin dafür, ab jetzt mindestens auf allen Dienstgeräten von Politikern Staatstrojaner zu installieren, die alle Daten in Echtzeit absaugen und für die Ewigkeit archivieren. Damit die mal merken, wie das so ist. Und damit wir Korruptionsaffären aufklären können.
Erstens: Die Schwedische Staatsanwaltschaft wollte ihn befragen, nicht verhaften. Einen Haftbefehl haben sie erst dieses Jahr haben wollen und abgelehnt bekommen, weil sie ihn ja auch in der Botschaft in London befragen konnten. Einer Befragung dort hatte Julian die ganze Zeit explizit zugestimmt. Und die Schweden am Ende auch. Da sprach also die ganze Zeit nichts dagegen.
Zweitens: Julian hatte sogar einer Auslieferung an Schweden für die Durchführung dieses Verfahrens zugestimmt — wenn sie ihm schriftlich zusichern, dass es keine Auslieferung an die USA gibt. Aber diese Zusage wollte Schweden nicht machen.
Drittens: Julian hat Beweise für seine Unschuld. Und es gab auch andere Indizien, dass es nicht um eine Vergewaltigung ging.
Man kann und sollte Julian Assange eine Menge vorwerfen. Wenn ihr sauer seid, dass die schwedische Staatsanwaltschaft fast eine Dekade lang zu inkompetent war, Julian zu befragen und daraus eine Anklage zu konstruieren und einen Haftbefehl zu beantragen, dann klärt das mit der schwedischen Staatsanwaltschaft. Da kann niemand anderes was für.
Und ehrlich gesagt bin ich echt schockiert von dieser Kultur des "es gibt einen Verdacht, also lynchen wir ihn" da draußen. Ihr erinnert mich alle an Otto Schily und Wolfgang Schäuble und ihre "Gefährder präventiv festnehmen"-Pläne. Die ja in Bayern jetzt aktives Recht sind. Das ist genau das, was ihr gerade für Julian fordert! Verfahren? Pah! Wer braucht Verfahren! Ich finde, der da drüben sie aus wie ein Gefährder, ab in den Knast mit dem!
Habt ihr euch mal überlegt, was passiert, wenn die AfD mal irgendwo an die Macht kommt? Und deren Innenminister dann findet, dass ihr wie Gefährder ausseht, und euch auf die Liste der Leute tut, die mal für die Volkssicherheit interniert gehören?
Das hat schon einen Grund, dass unser Rechtssystem vorsieht, dass man erst nach einem ordentlichen Verfahren, der Würdigung aller Fakten und einer rechtskräftigen Verurteilung bestraft wird!
Die Energie, mit der ihr im Internet herumhetzt, die solltet ihr mal lieber dafür einsetzen, dass die ganzen widerwärtigen Polizeigesetze zurückgerollt werden, bevor irgendwo die AfD übernimmt. Meiner Meinung nach sind die auch jeder anderen Regierung unwürdig. Ich traue ganz sicher auch keiner CDU- oder SPD-Regierung genug, um ihrer Exekutive solche Befugnisse zu geben.
Update: So, sorry, das schrieb ich gestern abend nach einem Glas Rotwein. Mit dem Seitenhieb auf Bayern meinte ich den Mollath. Und die Frage stellt sich mir wirklich: Hat von euch Internet-Hasspredigern wirklich keiner beim Fall Mollath die Empathie gehabt, sich zu überlegen, wie sich das anfühlen würde, wenn die das nicht mit dem sondern mit euch gemacht hätten?!
Ihr redet immer von Faschismusbekämpfung, aber dann baut ihr zur Bekämpfung der Faschisten selber den faschistischen Polizeistaat auf. Meine Methode zur Faschismusbekämpfung ist ja, denen einen unattraktiven Staat zu hinterlassen, der es auch Faschisten in der Regierung nicht ermöglicht, ihre faschistischen Ideen umzusetzen. Ein Staat mit ordentlicher Gewaltenteilung, wo die Exekutive wieder nur exekutiert und nicht selber Dinge bestimmt. Eine Judikative, die weniger Angst hat, verfassungsfeindliche Gesetze wegzuschießen. Ein Parlament, dass nicht so viele Gesetze beschließt, dass nicht genug Zeit ist, um die alle zu debattieren, und das nicht in Nacht- und Nebel-Aktionen Gesetze durchwinkt, regelmäßig auch tagsüber mit so wenig Teilnehmern, dass bei einer AfD-Trolling-Aktion sofort offensichtlich runtergefahren werden muss, weil der Laden schon rein formal nicht beschlussfähig ist. Wenn wir hier eine Demokratie aufbauen, die den Namen auch verdient, dann müssen wir uns auch vor keinen Extremisten fürchten. Aber bis wir da sind, müssen wir erstmal eine Reihe von Gesetzen zurückbauen. Staatstrojaner, die ganzen Einschränkungen für das Versammlungsrecht, Abhörbefugnisse, Einschränkungen des Briefgeheimnisses, das Wegsperren von Unschuldigen ("Gefährder"). Die Liste ist lang. Solange ihr nicht gegen den ganzen Scheiß laut opponiert, verdient aus meiner Sicht keiner von euch den Titel Antifaschist.
Im Amri-Untersuchungsausschuss hat ein Ermittler eine brisante Aussage gemacht: BKA und Innenministerium sollen einen V-Mann mundtot gemacht haben, der Informationen zu dem Attentäter hatte.Das sind doch genau die Art von Leuten, denen man Befugnisse wie den Staatstrojaner die Hand geben will!!1!
Und weil die Polizei ja inhärent rassismusfrei ist, haben sie sich auch gedacht, die folgende Regelung sei schlau:
Daneben erweitern die Volksvertreter auch die DNA-Analyse im Strafverfahren auf äußerlich erkennbare Merkmale wie die Augen-, Haar- und Hautfarbe sowie das Alter.Endlich muss die Polizei nicht mehr mit ad-hoc-Erfindungen wie "Nafri" herumdrucksen sondern kann direkt von schwarzen Gewalttätern reden. Fuck Yeah! Fortschritt!
Wahlwerbung via Social Media: CDU gab am meisten für Microtargeting ausIch frage mich ja schon, wen die da mit Werbung bespielen. Ihre Zielgruppe ist nicht online, und wenn doch dann nicht auf social media, und wenn doch dann reicht ihr Augenlicht nicht um die Werbung zu entziffern.
Gut, auf der anderen Seite kann man argumentieren, dass wenn jemand noch keinen Adblocker hat, dann ist das wahrscheinlich ein CDU-Wähler.
Sagt mal, war die CDU nicht die Partei, die immer über Facebook und deren Datenkrakentum gemeckert hat? Die uns was von Datenschutz und unserer Privatsphäre erzählt hat, während sie links Staatstrojaner gekauft und rechts Microtargeting betrieben haben?
Wer wählt die eigentlich?
Andererseits passt da auch mal wieder alles zusammen. Facebook bekämpft ja jetzt Desinformation und Lügnerei. Nur nicht in Parteiwerbung. Elizabeth Warren hat das neulich zu trollen versucht, war aber am Ende doch zu ehrlich, um den vollen Effekt zu erzielen.
in https://blog.fefe.de/?ts=a36a78cb hast Du IMHO den falschen Artikel verlinkt. Der Artikel der B. Z. ist viel unterhaltsamer ;-)Ach komm, Schulungen? Backups? Sicherheitsupdates? Wo kommen wir da hin! Als nächstes wollen die Leute dann noch Tastaturen und Mäuse haben!1!!Money quotes in aufsteigender Qualität:
Mehr als 40 Computer mussten bislang geschrottet und ersetzt werden.Waren da zu viele Bits kaputt oder was?„Wir arbeiten hier nicht mit Windows, sondern mit einer Spezialsoftware, [...]”Soso, nicht mit Windows. Und Emotet kam über Outlook und MS Office rein...And the winner is:
„Es gab hier im Haus immer wieder Kritik an ausbleibenden Backups, Schulungen und Sicherheitsupdates, die mutmaßlich aus Kostengründen eingespart wurden“, so die Gerichts-Mitarbeiterin zur B.Z.
Im Prinzip ist das mit der Versionierung richtig, nur, äh, git hat diese Möglichkeit, die komplette History zu überschreiben. Auch beim Pushen auf den Server.Tja. git ist leider auch ein Opfer seiner eigenen Überkomplexität geworden. Dabei fing das mal schön einfach und überschaubar an vor vielen Jahren.Also, wenn du möchtest, kann ich dir gerne einen PoC für einen git- Verschlüsselungstrojaner schreiben, der wirklich die ganze History mit verschlüsselt, und die so verschlüsselten Daten auf die zugehörigen Remote- Repositories pusht. Das ist überhaupt kein Thema. Aber man braucht dazu IMHO keinen PoC:
https://stackoverflow.com/questions/10054611/how-to-push-new-rewritten-history-to-remote-repository
Es reicht einfach ein git push --force, und fertig. Kann der Entwickler absichern, in dem er an der Stelle eine Passwort-Eingabe erzwingt, macht aber niemand (Komfort!!!).
Die eigentliche Verschlüsselung würde ich wohl auf git fast-export und git fast-import basieren. Das ist ausgesprochen trivial, einfach die data <bytes> Statements rausfischen, und durch entsprechend verschlüsselte Daten ersetzen. Ich würde für einen PoC maximal ein paar Stunden ansetzen, inklusive Test-Zerstörung und Rekonstruktion eines auf github gehosteten größeren Repositories. Hauptschwierigkeit: Im Dschungel der git-Befehle die richtigen finden, damit nicht versehentlich irgendwas lesbares übrigbleibt.
Update: WOW jetzt kommen hier lauter Leserbriefe rein, dass man das ja wegkonfigurieren kann, und das würde eh alle größeren Projekte machen, bestimmt jedenfalls nachdem sie einmal auf die Fresse geflogen sind damit. Heilige Scheiße, Leute, diese Denke gibt es noch? Ich dachte das hätten wir zivilisatorisch überwunden!
Vergleiche: Die Firma war selber Schuld, die haben ihre Mail-Attachments geöffnet!!1!
Vergleiche: Die hätte halt einen längeren Rock anziehen müssen.
Alle, die mir diesen Leserbrief geschrieben haben: Ihr solltet euch was schämen!
Das Problem, wie man trojanerresistente Datenablage macht, ist gelöst. Seit Jahren.
Programmierer haben nämlich immer ihren Quellcode verloren. Also haben sie Versionierungssysteme erfunden.
Ein Versionierungssystem ist wie ein Dateisystem, in dem man auch rückwärts gehen kann. Du kannst alles ändern oder löschen und die Änderungen auf den Server hochladen, aber damit sind die alten Versionen nicht weg. Ein Verschlüsselungstrojaner bewirkt überhaupt gar nichts. Checkst du den Stand von gestern mittag aus, bist du fertig.
Etwas formaler: Man nimmt eine Datenstruktur, an die man nur anhängen kann. Wie eine Buchhaltung! Da kannst du nur am Ende Dinge anfügen. Sowas kann man technisch auch für andere Dateien erzwingen. Und schon ist das Trojanerproblem gelöst.
Ein Angreifer kann natürlich immer noch Dokumente ausspähen. Das ist ein anderes Problem, das auch andere Lösungsansätze benötigt. Das ist auch gelöst, vom Militär, durch Kompartmentalisierung, aber mit unerwünschten, die Produktivität einschränkenden Nebenwirkungen.
Update: Zwei Arten von Klugscheißern schlagen jetzt hier auf. Erstens die "HAHA ER HAT BLOCKCHAIN GESAGT"-Witzbolde und zweitens die "aber so ein Versionierungssystem liegt doch im Filesystem, das ist dann auch verschlüsselt"-Leute.
Nein, ich habe nicht Blockchain gesagt. Die Idee mit append-only Datenstrukturen ist steinalt. Was bei Blockchain gut ist, ist nicht neu, und was neu ist, ist nicht gut. Bei Blockchain können auch andere anhängen und/oder verhindern, dass du anhängst. Hatte ich ja schon ausgeführt.
Und ich rede hier natürlich nicht von sowas wie Apple Time Machine oder einfach ein .git neben den Dateien zu haben. Ich rede davon, dass Institutionen wie ein Verlag und ein Gericht ja eh schon Content-Management-Systeme einsetzen. Und die müssen dann halt so arbeiten. Alles auf dem selben Rechner, dessen Infektion man überleben können will, ist Theater. Das muss auf einer anderen Kiste sein, und die programmatischen Schnittstellen dürfen schon gar nichts außer append-only zulassen. Wenn DU den Snapshot oder die Versionsgeschichte löschen kannst, kann das auch der Trojaner.
Der gute Mann wollte jedenfalls vorschlagen, dass man Offensive und Defensive zusammenlegt, weil er Synergien vermutet. Ich wollte eigentlich zynisch fragen, von was für einer Verteidigung er denn da spricht, denn mir sind keine Verteidigungsbemühungen der Bundesregierung bekannt. Alles immer nur Offensive. Und dann wundern sich alle, wenn sie von "den Russen" gehackt werden.
Aber dieser Spezialexperte von Zitis hat mir den Joke aus dem Mund genommen, indem er einen noch krasseren Witz gebracht hat: Statt von der Defensive spricht er von "Big-Data-Analysen". *stirnklatsch*
Falls ihr jetzt schon vermutet habt, dass das ein Geheimdienstler ist, der da völlig schamlos mehr Geld fordert, dann … habt ihr völlig Recht.
Die Polizei nenne Computer-Network-Operations im Gegensatz zum Militär "Quellen-TKÜ", brachte Karl ein Beispiel für die doppelt laufende Entwicklung von Staatstrojanern, um etwa Smartphones zu infiltrieren und den Nachrichtenaustausch vor einer Ver- oder nach einer Entschlüsselung mitzuschneiden und abzuhören.ACH NEE. "Quellen-TKÜ" ist doch dasselbe wie Staatstrojaner? Da werden aber die PR-Koksbrigaden des Innenministeriums Tränen in den Augen haben, dass dieser Experte für Geldverbrennen hier mit einem Nebensatz ihre ganze "Arbeit" kaputtgetrampelt hat.
Aber wartet, einer kommt noch.
Dieser Schritt ist laut dem Zitis-Chef nötig, da die Bundesrepublik im Krisenfall nicht von ausländischen Herstellern abhängig sein dürfe und spielte auf den Fall des chinesischen Konzerns Huawei an. Bei Big Data etwa seien deutsche Behörden "ähnlich abhängig von außen", sodass "wir auch hier zentral Entwicklungen durchführen müssen".Ja wie kommt denn das, dass ihr kein Sicherheits-Knowhow habt? Vielleicht weil ihr Hackertools verboten habt und damit die eine Hälfte der Leute ins Silicon Valley weggetrieben habt und die andere kann euch nicht mehr leiden und würde nie mit moralfreien Vollpfosten wie euch zusammenarbeiten?
Übersetzt heißt dies, dass der Verfassungsschutz künftig auch journalistische Redaktionen mit Staatstrojanern ausspähen dürfen soll. Man kann dies aber nicht lesen, ohne dass der gesamte Schreibtisch übersät ist mit aufgeschlagenen weiteren Gesetzen.Absichtlich, versteht sich. Wenn die Bürger die Gesetzesentwürfe nicht verstehen, dann protestieren sie auch nicht. Also lässt Seehofer verklausulieren.
Ich wünsch dem ja, dass er über irgendein verklausuliertes Bullshit-Ermächtigungsgesetz seiner Vorgänger oder Nachfolger stürzt und dann jahrelang in den Knast muss. Ja wie, Herr Seehofer, haben Sie etwa die Gesetze nicht verstanden?!
Wie wäre es mit einer obskuren Steuervorschrift?
Jetzt kam die Antwort der EZB und die pullen da ernsthaft einen De Maiziere! Oder eigentlich eher so einen De Maiziere.
Sie argumentieren grob, dass das Programm den Markt nicht beeinträchtigen soll, und wenn sie jetzt sagen würden, wie ihre Investmententscheidungen aussehen, dann könnten fiese Spekulanten das ausnutzen und den Markt verzerren und damit das Programm kaputtmachen.
Nun will sich Gaby Weber im Gegensatz zur deutschen Presse mit solchen fadenscheinigen Ausreden nicht abspeisen lassen und sammelt jetzt Spenden, damit sie vor das Bundesverwaltungsgericht oder den EugH gehen kann.
Ich persönlich finde die Begründung unbefriedigend, denn der Markt wird natürlich schon durch den EZB-Kauf verzerrt, nicht erst durch Bekanntwerden des Entscheidungsweges. Ich bin ja immer wieder fasziniert über die Bullshit-Euphemismen bei Ökonomen, die bei Umweltschutzauflagen von Marktverzerrung sprechen, aber bei staatlichen Stützkäufen von Liquiditätssicherung und Marktstabilisierung.
Na weil da so Spezialexperten in den Behörden zuständig sind. So Leute, die einen Staatstrojaner für fast eine halbe Million Euro kaufen, den sie dann gar nicht einsetzen dürfen. Gut, klar, hätte man auch vor dem Kauf prüfen können. Aber ist ja "nicht mein Geld".
Rechtsstaat, wir hörten davon. Was war das noch gleich? Irgendein Relikt aus ferner Vergangenheit.
Eine Rechtsgrundlage [für den Staatstrojaner-Einsatz] hat bisher unter den Bundessicherheitsbehörden nur das Bundeskriminalamt, nicht jedoch der Verfassungsschutz. Ein unhaltbarer Zustand, argumentiert der Inlandsnachrichtendienst, beispielsweise wenn es darum geht, von Anschlagsplanungen etwas mitzubekommen.Hört ihr? Un-halt-bar! Und deshalb will der Seehofer jetzt dem Verfassungsschutz und den BND Staatstrojanerbefugnis geben.
Und das ist erst der Anfang.
Künftig soll es nach dem Willen des Bundesinnenministeriums keine Altersgrenze mehr geben für Personen, die der Verfassungsschutz in seinen Dateien erfassen darf. Sie liegt bisher bei 14 Jahren.Ja aber echt mal! Wo kommen wir da hin, wenn der Verfassungsschutz nicht unsere wehrlosen Kinder missbrauchen darf? In was für einem Land leben wir eigentlich, wenn die katholische Kirche mehr Kinder missbraucht als der Staat!? Das ist ja wohl völlig klar, dass da dringend was geschehen muss! Mehr Überwachungskameras in Schulumkleiden, mehr Wanzen in Kinderzimmern, mehr Staatstrojaner auf Kinder-Smartphones!
Aus historischen und Unterhaltungsgründen erwähnt die ARD noch, dass die SPD sich gegen solche Vorstöße ausgesprochen hatte. Als ob das jemand etwas bewirkt hätte.
Ich glaube ja, dass die SPD sich von der CDU als Blitzableiter hat anstellen lassen. Das bewahrt sie vor der Arbeitslosigkeit und den Auswirkungen ihres eigenen Hartz IV, und im Gegenzug fangen sie die Wut der Bürger ab, die sich aus irgendwelchen Gründen immer mehr darüber aufregt, dass die Verräterpartei umfällt als dass die Schwarze Pest alles kaputtmacht. Aus meiner Sicht ist jeder Mittäter, der CDU, CSU oder SPD gewählt hat.
Trojaner nutzt Antivirensoftware zum Diebstahl von AnmeldedatenHätte uns doch nur jemand gewarnt!
BKA-Dokument: Polizeibehörden wollen Staatstrojaner vor allem gegen Drogen einsetzenNa SO eine Überraschung! Dabei läuft der Krieg gegen die Drogen seit Jahren so erfolgreich!1!!
Wie immer, wenn du mit verstrahlten Ideologen redest. Der Grund, wieo das nicht funktoniert, ist WEIL DIE DOSIS NOCH NICHT HOCH GENUG IST!!1!
Das ist natürlich kompletter Bullshit. Die wollen nicht Cyber-Security. Die wollen Offensiv-Cyber. Die wollen 0days kaufen, nicht um die Lücken zu schließen, sondern um die Lücken auszunutzen. Die wollen Trojaner bauen, um ihre Bürger verdeckt zu beschnüffeln.
Woher ich das weiß? Weil diese tolle neue Agentur eine Kooperation von Verteidigungsministerium und Innenministerium ist. Das sind genau die beiden Ministerien, die Angriffe machen. Wenn das was mit Verteidigung zu tun hätte, hätten sie die Kohle einfach dem BSI geben können. Haben sie aber nicht.
Insofern glaubt da mal kein Wort von dem Gefasel von wegen Abwehr von Angriffen.
Nicht dass das BSI noch viel Glaubwürdigkeit hätte, seit sie in die Bundestrojaner-Geschichte eingespannt wurden. Aber es ist jedenfalls noch deutlich mehr Glaubwürdigkeit übrig als bei Flinten-Uschi und Heimat-Horst.
Update: OMFG, die Behörde heißt "Agentur für Disruptive Innovationen in der Cybersicherheit und Schlüsseltechnologien (ADIC)". Ich leg mich flach! Das klingt, als hätte sich der CCC das als Satire ausgedacht! Das Forschungsministerium toppt das noch beim Versuch, "disruptive Innovation" zu übersetzen. Raus kam: Sprunginnovation. Heiliger Bimbam, wie schlecht ist DAS denn!
Wenn die Hersteller von Staatstrojanern öffentlich bekannt werden, stellen sie ihre Zusammenarbeit mit den Bundesbehörden ein. Mit dieser Begründung verweigert die Bundesregierung selbst dem Bundestag Auskunft über die zwielichtige Branche. Wir veröffentlichen eingestufte Protokolle aus dem Innenausschuss.NEIN!!! Das ist ja mal eine innovative Ausrede! Die Kriminellen, von denen unsere Kriminellen ihre kriminelle Spionagesoftware kaufen, wollen nicht, dass ihre Namen bekannt werden. WELL DUH! Wie wäre es, wenn wir einfach aufhören, kriminelle Behörden zu haben? Die müssten dann keine Kriminellen einstellen, die es moralisch vertretbar finden, anderen Leuten auf ihren Telefonen Wanzen zu installieren, und dann wäre das ganze Problem weg!
Oder man kann das natürlich noch aus einem anderen Winkel sehen, wie der schöne Kommentar von Linus Neumann nahelegt:
Heckler und Koch, Krauss-Maffei Wegmann, Rheinmetall – diese Unternehmen tun Verwerfliches, sind aber gezwungen, unter ihrem eigenen Namen aufzutreten. Nun wird uns erzählt, die Bundesregierung arbeite mit Unternehmen zusammen, die ihren eigenen Namen geheim halten müssten? Wahrscheinlicher scheint mir zu sein: Die Bundesregierung schämt sich für ihre Zulieferer und deren Kundenstamm – zu Recht!So krass kriminell sind diese Zulieferer! Schlimmer als Rohde & Schwarz, die IMSI-Catcher bauen. Schlimmer als Heckler & Koch, mit deren Produkten Menschen erschossen werden. Schlimmer als Rheinmetall, die Panzer bauen! Überlegt euch mal ein gedankliches Modell, mit dem es überhaupt noch schlimmere Kategorien gibt. Und in DEN Kategorien kauft die Bundesregierung ihre Trojaner ein.
Man hätte das vielleicht so formulieren müssen: Wenn bekannt wird, von wem wir die Trojaner kaufen, müssten wir diese Firmen direkt komplett verhaften.
Und an dieser Stelle bitte ich um eine Runde Applaus für die Helden von Netzpolitik.org dafür, dass sie das hier getan haben:
Seitdem gab es sieben Kleine Anfragen zum Thema im Bundestag. Die Regierung hat all diese Fragen nur oberflächlich beantwortet, vieles als Verschlusssache eingestuft und einige Antworten vollständig verweigert. Abgeordnete von Grünen und FDP haben deshalb bereits mit Klage gedroht.Fuck Yeah, Netzpolitik.org!Wir haben jetzt die sieben „nur für den Dienstgebrauch“ eingestuften Antwort-Teile erhalten und veröffentlichen diese wie gewohnt in Volltext.
Die schlechte Nachricht: Der steht jetzt im Polizeigesetz drin. Weil, klar, wieso sollte nur der Geheimdienst so ein Instrument einsetzen dürfen!
Als nächstes dann: U-Boot-Einsatz. Die Polizei darf nicht hinter den technischen Möglichkeiten zurückbleiben. Und wir stellen ja U-Boote her, also muss die Polizei auch U-Boote einsetzen. Ist doch klar!
Oh und Luft-Boden-Raketen kann man mit der Argumentation auch einsetzen.
Scheiß auf die Grundrechte! Wichtig ist bloß, dass das nicht gegen uns Politiker eingesetzt wird!1!!
Es gab da z.B. einen Talk zu Owasp und deren Top 10, und der verbrachte gefühlt die erste halbe Stunde damit, dass die Top 10 ja völlig überbewertet und von der Werbung irgendwelcher Unternehmen missbraucht werden, dass das keine Pentest-Checkliste sei und nicht für Compliance gebraucht werden dürfe — und dann berichtete er darüber, wie sie da Streitereien haben zu den neuen Top 10, wie es da einen Entwurf gab, wo ein Punkt "du sollst Schlangenöl kaufen" eingefügt wurde. Anscheinend auf Betreiben von jemandem, der "privat" diese Liste maintaint und dann beruflich das geforderte Schlangenöl vertreibt. Das war mir alles neu, aber ich stalke jetzt auch nicht Owasp hinterher, die interessieren mich ehrlich gesagt nicht so stark. Aber jetzt zeigt er den neuen Entwurf, und da ist CSRF nicht mehr drin (nach wie vor eines der größten echten Probleme für Webapps, aus meiner Sicht, das viele viele Leute nicht verstanden haben, die Webapps bauen). Dafür ist da "du sollst Schlanenöl zum Monitoring und Alerting kaufen" drin. Tja, Owasp, ein Wort mit X. Das war wohl nix.
Was hab ich noch gesehen? Oh ja, "Sichere Softwareentwicklung - Anforderungen und Vorgehensweisen". Das war erst eine ewig lange Liste von "ALLE WURDEN GEHACKT! ALLE!!!", eine halbe Stunde "Wir werden alle störben" pur. Und als sie dann ein paar Maßnahmen empfahlen, machten wir ein Trinkspiel daraus und mein Kumpel Daniel drehte dann eine Siegerrunde, als er korrekt "gleich pluggen sie die SDL" vorhersagte.
Ich muss dazu sagen, dass ich relativ hohe Ansprüche habe bei Vorträgen, wenn es darum geht, was man da jetzt konkret mitnehmen kann. Und das fehlte hier bei vielen Talks. Ein paar Links auf Dinge (ich erinnere mich an drei Talks, die auf die Owasp Top 10 verwiesen, die der Owasp-Talk gerade dafür gedisst hatte). Ja, äh, wenn ich Links hinterherlaufen wollte, hätte ich mir den Vortrag nicht angucken müssen. Das Problem hatten viele Talks. Gut, die Materie ist ja auch komplex, aber das Argument kann ich nicht gelten lassen, wenn die erste Hälfte des Talks mit Platitüden und Einführungs-Blablah verplempert wird.
"Security im Entwicklerteam" habe ich auch geguckt, aber da fehlten mir auch so ein bisschen die "was machen wir denn jetzt"-Folien. Konkrete Dinge, die man jetzt tun kann, den Schritt geht irgendwie kaum jemand. Und ich meine jetzt nicht "hier ist ein Wiki, klick da mal rum". Besonders krass fand ich einen Talk am 2. Tag, bei dem es um Automatische Code-Scanner ging, und "was die Hersteller Ihnen nicht sagen werden". Da hätte ich konkrete Beispiele erwartet, mindestens aber ein paar lustige Anekdoten. Stattdessen kam unkonkretes "die versprechen viel und halten das dann nicht" (NEIN! Hold the presses!!) und "wenn Sie das genauer wissen wollen, dann holen sie sich mal die Eval-Versionen, nehmen Sie sich jeweils ein paar Tage Zeit, und testen Sie die gegeneinander". Äh, das wollte ich gerade nicht machen sondern mir hier die Ergebnisse abholen!
Am 2. Tag morgens gab es einen Vortrag, der mir vergleichsweise wichtig war. Da erzählten nämlich zwei Leute von Rohde & Schwarz von dem Projekt "Analyse und Auswahl einer allgemeinen Kryptobibliothek". Der Talk war mir wichtig, weil das Projekt für das BSI ist. Das BSI hat ja ein paar Glaubwürdigkeitsprobleme bei Kryptofragen, seit sie sich in die Bundestrojaner-Begutachtung haben verwickeln lassen. Insofern gut und richtig, das an eine externe Organisation rauszugeben. Aber Rohde & Schwarz ist an der Stelle eine zumindest aus meiner Sicht nicht viel glaubwürdiger aufgestellte Firma, die mir unter anderem als Lieferant von IMSI-Catchern für "Bedarfsträger" untergekommen ist bisher. Das ist keine gute Basis für das Erarbeiten einer unabhängigen Empfehlung für Krypto-Libraries. So und das Ergebnis von diesem Projekt war jetzt, dass sie Botan gewählt haben — eine Library mit einem Marktanteil von vielleicht 1% im TLS-Segment, von der kaum jemand überhaupt gehört hat. Ich habe mir bei Botan mal den Code angeguckt und der war jetzt nicht schlecht oder so, aber das ist ein krasser Außenseiter, und in Benchmarks ist deren Code schonmal nur halb so schnell wie der von OpenSSL. Meine Erfahrung ist, dass schon 5% Performanceunterschied reichen, um jemanden doch zu OpenSSL greifen zu lassen, wenn der bloß eine Ausrede suchte, wieso er bei OpenSSL bleiben soll. Das ist also alles schon mal nicht so gut, sowohl aus technischer als auch aus politischer Sicht. Ich hätte erwartet, dass die die Zeit nutzen, um mal so richtig knallhart inhaltlich zu zeigen, welche Kriterien ihnen wichtig waren und warum sie so entschieden haben, um jeden Geruch von Foul Play auszuschließen. Stattdessen kam ein Halbsatz dazu. Sie haben intern ein Punktesystem erarbeitet und nach dem sind sie gegangen. Ja, äh, das hilft mir jetzt nicht weiter. Das riecht jetzt nicht besser als vorher. Eines der Argumente gegen OpenSSL war, dass das API so schlimm ist. Ungefähr 20 Minuten lang haben sie dann Beispiele gezeigt, wie man in Botan Dinge tut, aber nicht Dinge wie "TLS-Verbindung aufmachen, Certificate Pinning anschalten" — nein, Dinge wie "SHA256 von diesen drei Bytes hier machen. Ja, äh, das geht auch in OpenSSL mit nur ein paar Zeilen Code. Das große Argument für Botan ist, dass es vergleichsweise wenig Code ist (im Vergleich zu OpenSSL). Allerdings kommt der viele Code in OpenSSL u.a. davon, dass sie für performancekritische Primitiven Assembler-Implementationen für ein Dutzend Plattformen haben. Und nicht nur für Performance ist Assembler wichtig, auch für das Vermeiden von Seitenkanälen. Wie da die Situation bei Botan ist, haben sie zwar gesagt, dass sie das getestet haben und was in einem Padding-Verfahren gefunden haben, aber was ist mit den anderen Verfahren? Die elliptischen Kurven, das RSA?
Zur Ehrenrettung der Vortragenden muss man aber sagen, dass die a) für eine Tochter von Rohde & Schwarz arbeiten, die die dazugekauft haben, und b) nicht den Eindruck erweckten, sie seien jetzt fiese Geheimdienstler, die unser Krypto schwächen wollen. Aber ausgeräumt haben sie den Verdacht halt auch nicht.
Mir tun die Leute beim BSI und bei dieser R&S-Tochter durchaus leid, versteht mich nicht falsch. Viele wenn nicht alle von denen meinen das sicher alles total gut, und werden jetzt völlig zu Unrecht verdächtigt.
Ich habe so ein bisschen den Eindruck gewonnen, dass ich mal einen Vortrag über Threat Modeling halten muss. Das ist gerade voll im Trend, und die meisten, die das machen, haben gar nicht verstanden, warum man das macht.
Das war dann für mich auch schon die Veranstaltung, danach kam meine Keynote und nach der bin ich ziemlich direkt in den Zug gestiegen, damit ich auf der Fahrt nach Berlin nicht komplett im Dunkeln fahren muss.
Update: Dirk, der den Owasp-Talk gemacht hatte, schreibt mir gerade, dass das nicht als Schlangenöl-Kaufen-Paragraph gemeint ist, auch wenn ich das so deute. Sie hätten extra auch Open Source erwähnt. Nun, mit Schlangenöl meine ich "verspricht Dinge, die es nicht halten kann", nicht "kostet Geld". Schlangenöl kostet natürlich im Allgemeinen auch Geld, ja, aber es gibt auch Open Source Schlangenöl. Ich finde es halt anstößig, erst die Formulierung von "wichtigste Angriffe" auf "wichtigste Risiken" zu ändern, um dann in der nächsten Runde "Reaktives Security-Produkt $XY nicht installiert" als Risiko hinzuschreiben. Das geht aus meiner Sicht gar nicht. Na mal gucken, ist ja bisher noch ein Release Candidate, vielleicht fliegt das ja auch noch raus.
„Die Vielzahl an gleichlautenden Stellungnahmen über die von epicenter.works zur Verfügung gestellte Schablone kann im Justizministerium aus Kapazitätsgründen nicht bearbeitet werden und ist daher kontraproduktiv, sodass der Eingang derartiger E-Mails technisch gestoppt werden musste“, antwortete die Medienstelle des Justizministeriums.Das muss man sich mal auf der Zunge zergehen lassen. Es kam so viel Protest rein, dass sie ihn nicht bearbeiten konnten, und ihre Reaktion ist: Den Protest ignorieren wir einfach!
Neben dem Staatstrojaner und der Online-Durchsuchung, die in den Medien zu Recht vorrangig thematisiert werden, enthält das Gesetz auch eine ganz andere gravierende Änderung: Zeugen sind künftig verpflichtet, Vorladungen der Polizei Folge zu leisten und zur Sache auszusagen.Oha! Bisher konnte man Zeugenvorladungen auch einfach ignorieren. Das ist besonders krass, weil die Polizei ja gerne Leute "als Zeuge" vorlädt, die sie eigentlich schon verdächtigen, in der Hoffnung, dass die sich da versehentlich selbst belasten.
So einen ordentlichen, zünftigen, amtlichen Verfassungsbruch!
Und auch ansonsten nähert sich Deutschland Trumpistan an. Das Sondervotum der Opposition zum NSAUA soll schlicht als geheim eingestuft werden, damit die Wähler nichts davon erfahren.
Nun, Heiko Maas, wenn er nicht gerade damit beschäftigt ist, Internetzensurinfrastruktur für die nächste Merkel-Durchregierung und deren totalitäre Nachfolger zu schaffen (wir erinnern uns hoffentlich noch alle an das Gefühl, als Obamas Totalüberwachungs- und Drohnenmord-Infrastruktur plötzlich in den Händen von Donald Trump war), dann bereitet er unter höchster Geheimhaltung ein Gesetz vor, das Quellen-TKÜ für den gesamten Straftatenkatalog freischaltet.
Ihr denkt, ich übertreibe? Die Datenschutzbeauftragte des Bundes hat davon aus den Medien erfahren. Und die Medien hatten das, weil Netzpolitik.org das geleakt hat. Sonst wüssten wir da heute noch nicht von.
So, meine Damen und Herren, werden im Maas-Ressort Gesetze gemacht.
Wie macht man so ein Gesetz so, dass das keiner merkt? Gesetze werden doch halbwegs offen diskutiert und vorbereitet, da kann man doch gar nicht wirklich solche Klopper verstecken?
Nun, von Trump lernen heißt siegen lernen! Wie Trump das mit seinem "Gesundheitsgesetz" gemacht hat, so operiert Heiko Maas bei uns. Dieser ganze Scheiß kam über einen Änderungsantrag in letzter Minute dazu, nachdem das Ding im Grunde schon durchverhandelt war. Und so wird das jetzt vermutlich wie bei Trump von Abgeordneten abgestimmt, die das gar nicht gemerkt haben, was ihnen da untergeschoben wurde.
Nana, denkt ihr euch jetzt vielleicht, das ist betimmt ein bedauerlicher Einzelfall und ansonsten ist der Maas nicht so übel. Doch, ist er. Der Einsender erklärt:
Das erinnert an die Frechheit beim netzDG, wo sie den Entwurf den Interessenverbänden geschickt haben mit Deadline für Stellungnahme. Dann haben sie aber einfach weiter an dem Gesetz gearbeitet vor Ablauf der Frist, und alle Stellungahmen waren damit outdated und bezogen sich auf die falsche Version des Gesetzesvorschlags.Die beste Demokratie, die man für Geld kaufen kann!Das ist wirklich krass, was bei Maas abgeht. Das würde man Trump nicht durchgehen lassen.
G-Data stimmt mir grundsätzlich zu, dass Zahlen zur Wirksamkeit von Antiviren schwierig zu beschaffen sind, weil die im Allgemeinen von den Herstellern kommen und daher nicht als neutral gelten können. Die Zahlen, die eine große Bibliothek an Malware gegen Antiviren werfen, finden häufig hunderte von Viren, die nicht gefunden wurden, und die Antivirenhersteller reden sich dann mit angeblicher Praxisferne der Tests heraus. Ich las neulich von einer Studie, bei der eine Uni alle ihre einkommenden die Malware-Mail-Attachments bei Virustotal hochgeladen hat und auf unter 25% Erkennungsrate kam. Leider finde ich die URL nicht mehr. Vielleicht kann da ja ein Leser helfen. Mein Punkt ist aber unabhängig davon, ob das jetzt 5%, 25% oder 90% Erkennungsrate sind. Es reicht, wenn ein Virus durchkommt. Eine Malware ist nicht wie die Windpocken. Wenn man sie kriegt hat man halt rote Pünktchen im Gesicht und nach ner Woche ist wieder alles OK. Nein. Eine Infektion reicht, um die gesamten Daten zu klauen, die Platte zu verschlüsseln, und an einem DDoS-Botnet teilzunehmen. Die Erkennungsrate ist, solange sie nicht 100% ist, irrelevant. Ich bin immer wieder schockiert, mit welcher Selbstverständlichkeit Leute nach einer Malware-Infektion halt "desinfizieren" klicken in irgendeinem Tool und dann weitermachen, als sei nichts gewesen. Das ist wie wenn jemand in eine Schwimmbecken scheißt, und man fischt den größten Klumpen raus, und dann schwimmen alle weiter. WTF!?
Der nächste Talking Point der AV-Industrie ist (angesichts der miserablen Erkennungsraten in der Praxis), dass man ja nicht mehr rein reaktiv arbeite sondern auch magischen Einhorn-Glitter aus der Cloud habe. Erinnert ihr euch noch an den Aufschrei nach Windows 10, als Microsoft sich das erstmals explizit von euch absegnen ließ, dass sie eure Daten in die Cloud hochladen? Wie jetzt?! Die wollen gerne als Debugginggründen sehen, welche crashenden Programme ich ausführe!? DAS GEHT JA MAL GAR NICHT!!1! Ja was denkt ihr denn, was das ist, was die AV-Industrie mit der Cloud macht? Die werden im Allgemeinen nur die Hashes der Software hochladen, aber das heißt trotzdem, dass die sehen können, wer alles Winzip benutzt, oder dieses eine hochpeinliche aus Japan importierte Hentai-"Dating-Simulator"-Anwendung. Aber DENEN traut ihr?!
Ich sage euch jetzt mal aus meiner Erfahrung, dass die Analyse von einem Stück Software Wochen dauert, besonders wenn die Software gerne nicht analysiert werden möchte. Wenn die AV-Industrie also so tut, als könnte ihre magische Cloud "innerhalb von Sekunden" helfen, dann gibt es nur zwei Möglichkeiten: Entweder sie haben ein paar Wochen gebraucht und tun jetzt nur so, als sei die paar Wochen lang schon niemand infiziert worden. Oder sie haben da irgendwelche Abkürzungen genommen. Überlegt euch mal selbst, wieviel Verzögerung eurer Meinung nach akzeptabel wäre. Dann, wieviel Arbeit das wohl ist, anhand einer Binärdatei Aussagen zu machen. Zumal man solche Aussagen im Allgemeinen in einer VM macht, und Malware im Allgemeinen guckt, ob sie in einer VM läuft und dann die bösen Funktionen weglässt. Eine denkbare Abkürzung wäre also, schon so einen Check als Zeichen für Malware zu deuten. Da sind wir aber nicht mehr in der Branche der seriösen Bedrohungsabwehr, sondern in der Branche der Bachblüten-Auraleser-Homöopathen, das ist hoffentlich jedem klar.
Das ganze Gefasel mit proaktiven Komponenten halte ich auch für eine Nebelkerze. Wenn das funktionieren würde, gäbe es Weihnachten keine wegzuräumende Malware auf dem Familien-PC, und in der Presse wäre nie von Ransomware die Rede gewesen, weil das schlicht niemanden betroffen hätte.
Ja und wie ist es mit dem Exploit-Schutz? Das ist Bullshit. Das erkennt man schon daran, dass Microsoft diese angeblichen Wunderverfahren der AV-Industrie nicht standardmäßig ins System einbaut. Googelt das mal. Microsoft hat hunderttausende von Dollars für gute Exploit-Verhinder-Ideen ausgeschrieben und ausgezahlt. Und wieviele Prämien für gute Ideen findet ihr von der AV-Branche? Na seht ihr.
Überhaupt. Kommen wir mal zu den Standards. Microsoft hat den Prozess etabliert, den gerade alle großen Player kopieren, die SDL. Ich weiß das, weil ich dabei war, als sie das bei sich ausgerollt haben. Microsoft hat, was ich so gehört habe, sechsstellig viele CPU-Kerne, die 24/7 Fuzzing gegen ihre Software-Komponenten fahren, um Lücken zu finden. Microsoft hat ganze Gebäude voller Security-Leute. Ich würde schätzen, dass Microsoft mehr Security-Leute hat, als die typische AV-Bude Mitarbeiter. Microsoft hat geforscht, ob man mit dem Umstieg auf .NET Speicherfehler loswerden kann, ob man vielleicht einen ganzen Kernel in .NET schreiben kann. Sie hatten zu Hochzeiten über 1/4 der Belegschaft Tester. Es gibt periodische Code Audits von internen und externen Experten. Sie betreiben eine eigene Security-Konferenz, um ihre Leute zu schulen, die Bluehat. Aus meiner Sicht stellt sich also die Frage: Wenn DAS die Baseline ist, trotz derer wir immer noch ein Sicherheitsproblem haben, dann müssten ja die AV-Hersteller nicht nur genau so gut sondern deutlich besser sein. Sonst wären sie ja Teil des Problems und nicht Teil der Lösung. Das hätte ich gerne mal von den AV-Leuten dargelegt, wieso sie glauben, sie könnten das besser als Microsoft.
Oh und einen noch, am Rande:
Wenn Daten signiert sind ist klar, von wem die Informationen stammen. Oft ist es schon ein beträchtlicher Sicherheitsgewinn, wenn man weiß, dass die Information von einem bekannten und ergo vertrauenswürdigen Quelle stammen.Das ist natürlich Bullshit. Es sind schon diverse Malware-Teile mit validen Signaturen gefunden worden, und alle alten Versionen mit bekannten Sicherheitslücken sind ja auch noch gültig signiert. Code Signing dient nicht dem Schutz des Kunden sondern dem Schutz von Geschäftsmodellen.
Mir ist außerdem wichtig, dass ihr merkt, wenn ihr hier mit einer bestimmten Haltung an das Thema rangeht, weil ihr selbst schon entschieden habt, und jetzt nur noch die Argumente rauspickt und höher bewertet, die eure getätigte Entscheidung bestätigen. Das ist ein sehr menschliches und normales Verhalten, aber dem Erkenntnisgewinn dient das nicht. Wo kommen denn die Zahlen her, dass angeblich noch niemand über Lücken in Antiviren gehackt wurde? Wenn ihr zu Weihnachten 10 Viren findet — macht ihr dann erstmal eine wochenlange forensische Analyse, wo die herkamen? Nein, macht ihr nicht! Ihr seid froh, wenn die weg sind. Aussagen wie "noch keiner ist über seinen Antivirus gehackt worden" sind unseriös, und Aussagen wie "es sind keine Fälle bekannt" sind irreführend und Nebelkerzen.
Update: Wer übrigens die Früchte von Microsofts Exploits-Schwieriger-Machen haben will, der muss a) immer schön Windows updaten; weg mit Windows 7 und her mit Windows 10, und/oder b) EMET installieren.
Update: Hups, EMET-Link war kaputt.
Update: Ein Einsender weist darauf hin, dass es doch mal einen Fall von einer massenhaftung Malware-Verbreitung via Antivirus-Sicherheitslücke gab.
Update: Ein fieser Wadenbeißer hat sich mal durch die Archive gegraben:
es gibt noch weiteres Argument gegen die Schlangenöl-Branche, das ich glaube ich bei dir noch nicht gelesen habe, wenngleich das eher nicht gegen die Microsoft-Lösung zielt:
Kollateral-Schaden.
Wie oft hatten wir es bitte schon, dass ein Amok laufender Scanner von einem marodierenden Wozu-Testen-AV-Riesen schlicht Windows & co als Virus/Trojaner/Whatever eingestuft hat?
Gucken wir doch mal:
Das passt auch sehr schön dazu, welchen Testaufwand Microsoft im Vergleich betreibt.
Oh und was ist eigentlich mit Virenscannern, die Inhalte aus dem Netz nachladen, die nicht unbedingt... naja, gab es schließlich auch schon:
Soll man daraus schließen, dass die ihr eigenes Gift vmtl selbst gar nicht einsetzen?
Ach ja, ich vergaß, alles bedauerliche Einzelfälle vom Werksstudentenpraktikanten, die natürlich nie, nie, nie wieder passieren. Ungeachtet dessen, dass sie nie hätten passieren dürfen, das wäre eigentlich der Anspruch an diese Software.
So wie auch schon Schlangenöl auch nur in den besten Fällen keine Wirkung hatte.
Ich habe bisher auf diese Art von Linksammlung verzichtet, weil es mir gerade nicht darum geht, mit dem Finger auf einzelne Hersteller zu zeigen. Es gibt da sicher auch Pfusch bei einzelnen Anbietern, das sehe ich auch so, aber mir ist die fundamentale Kritik am Konzept des Antivirus wichtiger. Pfusch in Software gibt es ja leider häufiger.
Update: Ein anderer Einsender kommentiert:
Zum Thema Proaktive Komponente kann ich dir aus unserer Infrastruktur klar sagen: DAS ist das was am Meisten Fehlmeldungen produziert. Ich habe z.B. einen lang vergessenen Texteditor auf einer Netzwerkfreigabe rumliegen. Seit 2007. Und 2016 auf einmal meldet der Antivirus, dass das Ding verseucht ist und sofort desinfiziert werden muss. Ich warte zwei Tage (=zwei Signaturupdates) ab und lass den Ordner wieder scannen. Diesmal: Nix. Oder letzte Woche hat er uns 6 Userworkstations als virenverseucht gemeldet, weil die User Proxy PAC-Scripte im Browser konfiguriert haben. Ja, haben sie weil so unser Internetzugang funkioniert, aber ich frag mich ernsthaft warum der AV nur diese 6 Workstations gemeldet hat und nicht noch die anderen 400 die das AUCH haben. Tags drauf war wieder alles gut. Für mich als Admin ist das keine zusätzliche Sicherheitskomponente sondern nur zusätzliche Arbeit.
Und ich möchte auch zu der Cloud-AV-Sache noch mal klarstellen, wie sehr das Bullshit ist. Der CCC hat vor ein paar Jahren den Staatstrojaner veröffentlicht, ihr erinnert euch wahrscheinlich. Natürlich in einer entschärften Version, die keinen Schaden angerichtet hätte. Diese Version tauchte dann relativ zeitnah in den Cloud-Antivirus-Datenbanken auf. Die nicht entschärfte Version tauchte nicht auf. Nur falls sich da jemand Illusionen gemacht hat.
Update: Ein Biologe kommentiert:
Es gibt ja ein paar hübsche Analogien zwischen Computerviren und deren Verbreitung und der realen Welt. Beim Lesen des G-Data Pamphletes musste ich an einer Stelle herzlich lachen, als sie ihre "über 90% Erkennungsrate" beweihräucherten. Auf die Mikrobiologie übertragen ist das eine log1-Reduktion, also so knapp über Homöopathie und Gesundbeten. Ich arbeite mit Lebensmitteln, da darf man etwas "Debakterisierung" nennen, wenn man im log3-Bereich unterwegs ist. Also wenn 99.9% aller Keime gekillt werden. Pasteurisierung ist bei log5, also 99.999%. Und auch da wird die Milch nach 21 Tagen sauer.
90% ist da auf jeden Fall der Bereich "lohnt den Aufwand nicht". Da ist eine sinvolle Backup-Strategie und eine gewisse Routine im Rechner-wiederaufsetzen sinnvoller eingesetzt.
Update: Viele meiner Leser scheinen eine Statistik-Schwäche zu haben, und kommen mir hier mit Analogien wie "Kondome schützen ja auch nicht 100%" oder "im Flugzeugbau hat man auch nicht 100% als Anforderung". Vergegenwärtigt euch mal, wie viele Viren es gibt, und wie viele Malware-Angriffe pro Tag es auf typische Systeme gibt. Und dann rechnet euch mal aus, bei einer Erkennungsrate von 90%, oder sagen wir 99%, oder sogar 99.9%, wie viele Stunden es dauert, bis der Rechner infiziert ist. Ich habe in Köln und Hamburg das Publikum gefragt, wer schonmal Weihnachten einen Familien-PC säubern musste. Fast alle. Dann, bei wie vielen ein Antivirus drauf war. Jeweils einer weniger. EINER weniger. ALLE ANDEREN haben trotz Antiviren Malware eingefahren. Wir reden hier nicht von "ich habe dreimal pro Tag mit Kondom Sex und habe nie HIV gekriegt", sondern von über einer HIV-Infektion pro Tag. Und da, behaupte ich mal, wären auch die Nicht-Statistiker unter euch plötzlich mit der Kondom-Performance unzufrieden. Was ihr gerade am eigenen Leibe erlebt, das nennt man Rationalisierung. Ihr habt eine Entscheidung getroffen, nämlich einen Antivirus einzusetzen, und greift jetzt unterbewusst nach Strohhalmen, um das irgendwie zu rechtfertigen. Ich meine das gar nicht böse. So funktionieren Menschen. Euch kommt zugute, dass die meisten Viren bisher wenig kaputtgemacht haben. Vielleicht ein paar erotische Selfies exfiltriert, wenn es hochkommt an einem Botnet teilgenommen. Erst jetzt mit Ransomware werden Viren auch gefühlt richtig gefährlich. Ihr solltet nicht warten, bis euch das am eigenen Leib passiert.
EU-Parlament beschließt Anti-Terror-Richtlinie mit WebsperrenJa super! Wer hat die noch gleich gewählt? Bei der nächsten DExit-Abstimmung stimme ich für DExit.
Die EU-Abgeordneten haben ein neues Anti-Terror-Gesetz angenommen, das den Einsatz von Websperren und Staatstrojanern vorsieht. Rechtswidrige Systemeingriffe und das "Abfangen von Daten" gelten demnach als Terrorstraftat.Oh ach so, ihr wollt also gegen uns unbefugte Systemeingriffe durchführen und unsere Daten abfangen, aber wenn wir es tun, ist es Terrorismus?!
So stark war ich noch nie von Europa enttäuscht.
Vielleicht ist es gar nicht so schlecht, wenn Le Pen und Wilders und die AfD jetzt mal Europa die EU kaputtmachen. Und dann direkt ein Bann für alle aktuellen Abgeordneten verhängen, die dafür gestimmt haben. Wer für Staatstrojaner, Bücherverbrennungen oder öffentliche Erschießungen stimmt, hat in meinem Buch das politische Mitspracherecht verwirkt.
Nicht mal die Kriminellen kriegen ihren Scheiß ordentlich hin!1!!
Aber wartet, wird noch besser. Was präsentiert die Telekom in auf dem "Magenta Security Kongress" (nur echt mit Deppenleerzeichen)? "Neue Sicherheitsprodukte"! Aha, fragt ihr jetzt bestimmt. Produkte? Das ist ja spannend! Was könnte die Telekom denn so als Produkt anbieten? Hoffentlich keine DSL-Router?
Nein, nein, keine DSL-Router. Was mit Cloud!
Mit Angeboten wie einem isolierten Browser und einer Cloud-Lösung für Wirtschaftsprüfer und Anwälte will der Konzern neue Kunden ansprechen.Der "isolierte Browser" wurde vom Geheimdienst-Zulieferer Rohde & Schwarz gebaut, in Kooperation mit dem BSI (die, die den Bundestrojaner mitentwickelt haben). Hey, wenn das keine Credentials sind!1!! Da hat man doch Vertrauen!!1!
Aber geht ja noch weiter.
When I think security, I think cloud computing!!
Kann man gar nicht persiflieren, die Nummer!
Oh warte, doch, kann man! Man lässt einfach den Telekom-Chef eine Cyber-Nato fordern! Und dann lässt man ihn zu Protokoll geben:
Wir wissen, wovon wir reden, und wir wissen, was wir tun.So, jetzt kann man das nicht mehr persiflieren.
Oh warte, doch! Da geht noch was!
"Deutsche Telekom baut Drohnenschild"! NEIN!!! Wo ist sie? Wo ist die versteckte Kamera? Irgendwo im Hinterzimmer sitzen die doch, gucken sich unseren Live-Feed an und lachen sich kaputt über uns!
Ich finde das nachvollziehbar. Ich würde dem BSI auch nichts zum Prüfen geben. Ich meine, das BSI hat auch beim Staatstrojaner mitgemacht. Wer kann denn so jemandem jemals wieder über den Weg trauen?
Siehste. Keiner.
Wahrscheinlich weil Identitätsdiebstahl viel mehr Arbeit für viel weniger Auszahlung ist als Erpressung.
Old and busted: Wir haben deine Platte verschüsselt.
New hotness: "Deine Daten sind bei einer Firma freigehackt worden" und "wir haben Zugang auf dein Facebook-Profil".
Brillante Idee, finde ich!
Die haben noch Geld, die Malware-Leute!
Ich vermute mal, der TÜV Süd wäre sofort mit im Boot.
Hat hier jemand Grafik-Skills und könnte mal ein schönes Gütesiegel basteln? Mir schwebt eines dieser güldenen 90er-Jahre-Prüfsiegel vor. Schön cheesy.
Update: Oh warte, das es war ja gar nicht der TÜV Süd, der den Bundestrojaner geprüft hatte. Das war ja das BSI! TÜV Süd, das waren die mit Libri. Andere TÜVs zertifizieren die Sofortüberweisung und den Internet Explorer. Der TÜV Süd hat allerdings so ein bisschen den Ruf, alles zu zertifizieren, was nicht bei drei auf den Bäumen ist.
Wenn jetzt schon Apple-Erpressungstrojaner mit valider Signatur kommen.
Ein Staat, der bei seinen Bürgern Trojaner installiert, hat seine Legitimation verspielt.
Ungewöhnlich ist dabei aber, dass im Fall Luxemburgs ausgerechnet die Steuerverwaltung als Kunde auftaucht. Bei allen anderen Staaten gehören nämlich entweder die Polizei oder der jeweilige Geheimdienst zu den Auftraggebern. In der Tat hat die Steuerverwaltung laut Gesetz keinerlei Befugnis, Spionage-Software zu kaufen, geschweige denn selbst Spionage zu betreiben.Na sowas!
Update: Der Regierungschef sagte vor dem Parlament, nur der Geheimdienst sei bei Hackingteam Kunde, nicht die Steuerverwaltung. Vielleicht hat der Geheimdienst zum Verschleiern via Steuerverwaltung eingekauft oder so? (Danke, Patrick)
Sehr schön auch, dass all unsere Geheimdienste und Behörden das nicht verhindern konnten. Dabei haben wir eine eigene Behörde, die nur für sowas zuständig ist, das BSI. Also bezeihungsweise hatten. Denn das BSI heute ist eher für Dinge wie Bundestrojaner-Programmieren zuständig. Tsja, so ist das halt, wenn man in Angriff statt in Verteidigung investiert. Und wenn man Verteidigung den Schlangenölherstellern überlässt.
Haben Sie eigentlich schon ihren Virenscanner geupdated?
Aber nochmal: Exzellentes Timing! Fast so gut wie das Timing der Bombendrohung gegen diese eine strauchelnde TV-Show, die mit ihrem Untergang kämpfte, und Medienaufmerksamkeit brauchte!
Das BSI als unabhängige Instanz ist seit der Staatstrojaner-Nummer jedenfalls vom Tisch.
Die ausführliche Stellungnahme ist auch als PDF beim CCC online
Das Bundesinnenministerium hatte [nach dem BVerfG-Urteil] das BSI beauftragt, im Rahmen seiner gesetzlichen Aufgaben das BKA bei den für die Erstellung der RFS erforderlichen IT-Sicherheitsüberlegungen, wie die Eignung grundsätzlicher Sicherheitsmechanismen, Kryptoalgorithmen und Protokolle, zu unterstützen, um so die notwendige IT-sicherheitliche Korrektheit der Software gewährleisten zu können."Wir haben doch bloß die Software auditiert!1!!" Mit anderen Worten: die Wernher von Braun-Verteidigung!
Once the rockets are up,
who cares where they come down?
That's not my department!
says Wernher von Braun
Wir reden hier vom Kampf um die letzten stehenden Trümmer unserer Demokratie, soviel sollte aber allen klar sein an der Stelle.
Noch mehr peinliche Details zu diesem Gutachter gibt es in diesem Blog. Au weia.
Die Zeitungsbranche ist ja generell in der Krise gerade. Die meisten Verleger und Journalisten gehen in so einer Situation "in den Energiesparmodus", um mal Computer-Terminologie zu verwenden. Die fangen an, sich zu überlegen, wie sie möglichst wenig Aufwand in ihre Zeitung tun können, um mit der gegebenen Kohle möglichst lange durchzuhalten. Das Ergebnis ist eine Zeitung, die keiner mehr lesen will, weil da keiner Aufwand reingesteckt hat.
Schirrmacher hat nicht gefragt, was er tun muss, damit die FAZ möglichst lange macht. Er hat gefragt, was jetzt getan werden muss. Und das hat er dann getan.
Nicht was jetzt für die FAZ getan werden muss.
Was getan werden muss.
Er hat natürlich auch die ganze Zeit (soweit ich das aus meinen paar Begegnungen und Gesprächen beurteilen kann) im Hinterkopf Sorgen gehabt, wie es weitergehen soll, und wo es hingehen soll. Aber das ist ja eh immer so. Um nicht zu sagen: Wenn das nicht so ist, ist man gerade in einer Blase, die bald platzen wird, das ist noch schlimmer.
Aber er hat sich nicht irre machen lassen, sondern hat gemacht, was die Welt gerade brauchte. Er hat, um das mal ganz Hollywood-platt zu sagen, die Bedürfnisse und Nöte der Gesellschaft über die seiner Zeitung und seiner selbst gestellt, und für wichtige Dinge wie den Staatstrojaner damals eben Platz gemacht, auch wenn das hieß, dass dafür andere Dinge hinten runter fielen, weil kein Platz mehr war. Oder für das Genom. Für die NSA-Geschichte.
Das ist kurzfristig riskant, aber hat sich eigentlich immer ausgezahlt. Jedenfalls erinnert man sich nachher nicht an die Fälle, bei denen es mal nicht funktioniert hat, weil es da auch nicht schlechter war als das Energiesparmodus-Programm der Konkurrenz.
Ich wünschte, mehr Zeitungen würden so gemacht werden.
Und mehr Teile der FAZ.
Aber da war ja überhaupt keine Reue, nicht mal ein "Hups". Eher so Beobachten aus der Entfernung. "Hmm, das hat aber groß Bumms gemacht".
Mal einen Fehler zu machen, dass kann man verzeihen. Passiert. Aber nicht zu seinen Fehlern zu stehen, und in der Presse das dann noch kleinzureden versuchen, "war nur ein ganz trivialer Fehler", das geht aus meiner Sicht gar nicht. Und das dann noch dem Briten in die Schuhe schieben zu wollen, der das am Neujahrsmorgen um 1 Uhr nachts durchgewunken hat, das finde ich auch unakzeptabel.
Das ist genau so abwegig wie wenn ein Krimineller für seine Tat die Polizei verantwortlich macht, weil die ihn nicht aufgehalten haben.
Im Übrigen: Nein, der Fehler ist nicht trivial. In einem Netzwerkprotokoll keine Eingabevalidierung zu machen ist kein trivialer Fehler. Das ist auf der 1-bis-Tschernobyl-Skala ein Fukushima. Das Mindeste, was man dann tun kann, ist ein öffentliches: Meine Schuld, tut mir leid, verzeiht mir, ich gelobe Besserung. Zumindest ein bisschen "Wir entschuldigen uns für die Unannehmlichkeiten"-Heucheln ist ja wohl nicht zuviel verlangt!
Wie sieht denn das jetzt aus? "Sind die Open-Source-Leute alle so wenig teamfähig, dass sie ihre Fehler kleinreden und anderen in die Schuhe schieben?" "Vielleicht lassen wir das hier lieber nicht in Deutschland entwickeln, die stehen da nicht zu ihren Fehlern."
Aber vielleicht habe ich da einfach zu hohe Ansprüche. Ich runzle ja schon meine Stirn, dass jemand mit so wenig Erfahrung es überhaupt gewagt hat, bei OpenSSL Code einzuchecken, der auch noch Daten vom Angreifer handled. Das ist dann wohl der Dunning-Kruger-Effekt in Aktion.
Ich habe 1995 mal Code bei ssh eingeschickt, bevor es openssh gab. Das war Code für ein zusätzliches Detail in der Config-Datei. Ich weiß noch, wie ich da sehr nervös war, das überhaupt hinzuschicken. Netzwerk-Parsing-Code hätte ich mich gar nicht einzusenden getraut damals. Ist dieser Respekt vor wichtigen Infrastrukturprojekten über die Jahre verloren gegangen?
Oder habe ich das übersehen und er hat sich entschuldigt?
Update: Eigentlich ist der Typ bloß das Symptom. Das ist ja ein gesamtgesellschaftliches Problem. Oder erinnert sich jemand von euch, wann in der Politik zuletzt jemand Schuld gewesen ist an irgendwas? Kommt nicht mehr vor. Der Hoeneß war Schuld, ja, als es nicht mehr zu leugnen war. Das war die Ausnahme. War bei dem Mollath irgendjemand Schuld? Nein. Bei BER? Das war alles Schicksal. Ein Gesetz nach dem anderen haben wir wegen Verfassungswidrigkeit weggehauen. Da war auch nie jemand Schuld. Illegaler Bundestrojanereinsatz? War auch keiner Schuld. Kaufen wir halt einen anderen Trojaner. Vorratsdatenspeicherung verfassungswidrig? Niemand zeugt Reue. Ich hatte halt gehofft, dass das wenigstens in meiner Branche anders ist. Dass wenigstens die Techies zu ihrem Scheiß stehen können. Techies sind ja auch sonst ehrlicher und können den Kunden im Allgemeinen nicht so direkt ins Gesicht lügen, wenn sie nach Schwächen ihres Produkts gefragt werden.
Apropos Fukushima. TEPCO hat sich entschuldigt. Die hätten auch mit dem Finger einmal im Kreis zeigen können. Die Regulierungsbehörde, die Regierung, die Anreize, die Börse, wir haben unseren Techies vertraut, das lief doch immer alles super… aber selbst DIE haben die Größe gehabt, sich zu entschuldigen.
Beamte des BKA haben offenbar [INPOL-neu] dazu verwendet, um Kollegen nachzuspionieren.Im Auge behalten, dass das die Fraktion ist, die uns immer sagt, unsere Vorratsdatenspeicherungen seien vor Missbrauch sicher, und Staatstrojaner seien harmlos, weil die guten Beamten nie Zugriffsmöglichkeiten missbrauchen würden.
Weil das offenbar eine Menge Leute gerade beschäftigt, veröffentliche ich hier meine Antwort:
Technisch gesehen war das schon immer so, dass digitale Daten beliebig veränderbar sind, und daher als Teil einer Beweisführung grundsätzlich zu hinterfragen sind. Nur weil in irgendeiner Logdatei steht, dass Sie einen Film im Internet heruntergeladen haben, heißt das noch lange nicht, dass das auch tatsächlich stattgefunden hat. Die Daten könnten da auch von einer Ihnen übelmeinenden Person mit entsprechenden Zugriffsrechten hingeschrieben worden sein, nicht nur von einer unparteiischen Software.Update: Ich möchte nochmal betonen, dass ich es für eine sehr positive Entwicklung halte, dass die Presse diese Frage überhaupt stellt.Der Chaos Computer Club hat zuletzt anlässlich der Bundestrojaner-Pläne darauf hingewiesen, dass ein derartiger Zugriff auf einen Rechner auch dafür genutzt werden kann, gefälsche "Beweise" zu hinterlegen. Inzwischen wissen wir dank Edward Snowdens Unterlagen, dass das auch tatsächlich so von Geheimdiensten praktiziert wird. In dem Kontext ist es besonders bedenklich, dass der Hinweis auf Edathy ausgerechnet aus dem Five-Eyes-Mitgliedsland Kanada kommt.
Herr Edathy ist allerdings in der Vergangenheit nie als Gegner der Geheimdienste aufgefallen. Bei seiner Arbeit im Innenausschuss zeigte er sich stets eher als Vorantreiber des Geheimdienst-Sicherheitsstaats. Er befürwortete bis zuletzt die Vorratsdatenspeicherung, sprach sich für ein Hackertoolverbot aus. Nicht einmal als die Staatstrojaneraffäre am platzen war, konnte er sich dazu durchringen, mehr als nur eine "vorübergehende Aussetzung" des Einsatzes aller Staastrojaner zu fordern.
Zur Einordnung: Die Vorratsdatenspeicherung und Trojaner wären genau die Werkzeuge, mit denen eine staatliche Stelle in die Lage versetzt würde, einen Bürger zu identifzieren und ihm gefälsche Beweise unterzujubeln. Und das Hackertoolverbot sollte verhindern, dass die Hacker-Community Gegenwehr-Möglichkeiten entwickelt.
Es ist also nicht offensichtlich, wieso ein Geheimdienst ausgerechnet Herrn Edathy mit untergeschobenen Beweisen belasten sollte. Es erscheint daher wahrscheinlicher, dass die Geheimdienste Herrn Edathy einen Präsentkorb mit Dankesnote zustellen würden, als dass sie ihm verbotenes Material unterschieben.
Dennoch ist es sehr begrüßenswert, dass dieser traurige Anlass jetzt dazu führt, die Frage nach der Beweiskraft von digital vorliegenden Daten mal offen zu stellen.
Kommt ihr NIE drauf!
Ihr wisst schon, der Klimagipfel, bei dem die NSA herumspioniert hat!
Na?
Logistics at the summit was handled by the Danish Ministry of Foreign Affairs in collaboration with the UN and the Danish Security and Intelligence Service (PET). Together with the IT companies ATEA and CSC, the ministry had designed a whole new infrastructure for the more than 25.000 registered participants, which focused on both physical and digital security in relation to the technical installations.
CSC!! Wie geil ist DAS denn! Der NSA-Contractor CSC. Nein, wirklich!to CSC, the “systems integrator” that runs NSA’s internal IT system, defense and intelligence
CSC, wir erinnern uns, waren auch die, die für die Bundesregierung den Bundestrojaner zertifizieren. Und die der CIA Business-Jets für ihre "Rendition"-Folterknast-Entführungs-Flüge geliehen haben.Na DAMIT konnte ja dann NIEMAND rechnen, dass die NSA da gut informiert sein würde am Ende!1!! (Danke, Reiner)
Erschwerend hinzu kam, dass die Seite dann ziemlich sofort unter der Last zusammenbrach (warum eigentlich?).
Die Fakten liegen immer noch nicht auf dem Tisch, aber so langsam scheint halbwegs Konsens zu bestehen, dass da irgendein Ermittlungsverfahren gegen irgendjemanden läuft, weil sie diese Daten gefunden haben. Daher wollen sie nicht sagen, woher sie die haben.
Ich stelle mir das so vor. Das BSI wird von einer Firma oder Behörde angerufen, weil die ein Botnetz bei sich gefunden haben. Die kommen und finden beim Stochern diese Daten. Was tun? Nun könnte man natürlich die Email-Adressen alle anschreiben, aber wer glaubt denn seit dem Bundestrojaner noch Emails von Behörden?
Diese Webseite jetzt ist aus meiner Sicht Ass Covering. Da geht es nicht darum, Leuten zu helfen. Denn Leute, die sich um ihre Sicherheit genug Sorgen machen, dass sie von der Existenz so einer Webseite erfahren, und dann da hingehen und damit interagieren, sind vermutlich eh nicht betroffen. Ich verwende z.B. eine eigene Email-Adresse pro Webseite, die meine Email-Adresse haben will — und natürlich jeweils ein anderes Passwort. Soll ich die jetzt alle beim BSI eingeben? Ich mache das ursprünglich, um zu erkennen, woher Spammer Email-Adressen haben, aber es hilft natürlich auch prima gegen solche Account-Datenbanken. Da ist dann jeweils nur der eine Account gehackt, das Passwort funktioniert nirgendwo anders.
Dazu dann das Verfahren, das die das wählen. Man kriegt die Antwort nicht direkt sondern man kriegt einen Code und später eine Email, wenn man betroffen war. Wenn man nicht betroffen war, kriegt man keine Email. Das BSI scheint zu glauben, dass davon auch die Umkehrung gilt: Wer keine Email kriegt, war nicht betroffen. Aber das ist natürlich Blödsinn, Emails können verloren gehen, im Spamfolder landen, versehentlich gelöscht werden, etc. Oder wenn die Credentials gehackt waren und auch für den Email-Provider gelten, kann jemand mit den Daten natürlich auch die Email vom BSI löschen, bevor das Opfer sie sieht. Und die Email ist im Gegensatz zu der SSL-Verbindung, über die man die Daten einschickt, nicht verschlüsselt und signiert, d.h. wenn da eine Mail kommt, gibt es keinen Grund, der zu trauen. Den Code hätte auch jemand raten können. Kurz: Die Aktion ist voll für den Fuß. Das BSI tut das daher aus meiner Sicht nur, weil sie glauben, irgend etwas tun zu müssen.
Besonders absurd mutet die Meldung von heute an, dass das BSI seit Dezember auf den Daten saß, aber so lange brauchte, weil sie wirklich sicher gehen wollte, dass ihre Webseite den Ansturm aushalten würde. Was sie dann nicht tat.
Einmal mit Profis arbeiten!
Update: Die Webseite heißt übrigens www.sicherheitstest.bsi.de und liegt bei Strato. Ohne jetzt irgendwie Strato bashen zu wollen, aber … srsly, BSI? Das konntet ihr nicht selber hosten? So sieht das aus, wenn jemand per DNS-Hijacking Domains umlenkt. Übrigens liegt die BSI-Webseite nicht nur in einem anderen Netz (das dem BSI gehört), sondern sie benutzt auch eine andere Domain. Viel mehr Indizien für "hier riecht was schlecht, hier geb ich lieber keine Daten ein" hätte man auf die Schnelle gar nicht ankreuzen können. Oh, doch, eine noch. Das SSL-Zertifikat kommt bei der BSI-Homepage von Trustcenter, und beim Sicherheitstest von T-Systems. NA SUPER. Vertrauenswürdiger geht es ja kaum!1!!
Update: Anscheinend soll die Rück-Email PGP-signiert sein. Wozu brauchen sie dann den Code, wenn sie PGP haben? Weil niemand einen Grund hat, einem angeblichen BSI-Key zu vertrauen, der vor sechs Wochen erzeugt wurde?
Update: Wo wir gerade bei T-Systems waren… guckt mal, was da auskommentiert im HTML steht:
<div style="padding-top:20px;padding-bottom:20px;">Und hier ist das Bild. Ja, das hätte ich auch lieber auskommentiert an deren Stelle *schenkelklopf* :-)
<!--<img src="/static/images/vl_powered_by_T.png" />-->
Update: Ah, sie haben auch ihren öffentlichen PGP-Schlüssel auf ihrer HTTP-Webseite. Immerhin. Ich sehe trotzdem nicht, wieso sie da überhaupt Email machen und nicht direkt per Web antworten. Das schafft doch nur zusätzliche Metadaten.
Update: Der PGP-Schlüssel ist vom 9.12., das SSL-Zertifikat ist vom 17.12. Da kann man mit ein bisschen Fantasie die Denkprozesse verfolgen.
Hey, Cheffe, wir haben hier echt viele Email-Adressen, was machen wir jetzt?
Wir schreiben denen ne Email!
Ja, aber Cheffe, seit dem BKA-Trojaner glaubt unseren Emails doch keiner mehr!
Dann signieren wir die halt mit PGP!
OK, Cheffe, hab nen Schlüssel gemacht, aber wieso sollten die Leute dem denn vertrauen? Ich hätte Frau Merkel gebeten, uns den zu signieren, aber die hat kein PGP!
Na gut, dann machen wir dazu ne Pressemitteilung und machen einen Webserver auf und da tun wir den Schlüssel hin!
Aber Cheffe, unser Webserver hält doch nichts aus, wir benutzen doch Java!
Ja, äh, hmm, na löse das halt irgendwie!1!!
OK, Cheffe, ich hab jetzt bei Strato nen Webserver geklickt, aber wir brauchen auch SSL, sonst lachen die Leute doch wieder über uns!
Hmm, also über unseren normalen Amtsweg braucht das 4 Monate. Frag mal Strato, ob die nicht auch SSL mit verkaufen können!
OK, Cheffe, hab ich gemacht, alles in Ordnung!1!!
Update: In den Mails an Betroffene steht, dass die Daten bei einem Botnet gefunden wurden. Jemand hat mir ein Zitat aus so einer Mail geschickt.
Update: Der Code steht bei den PGP-Mails übrigens im Subject, also im nicht signierten Header-Bereich.
Wenn bekannt wird, wie das Bundeskriminalamt den international berüchtigten Staatstrojaner einsetzt, wird die Funktionsfähigkeit der Sicherheitsbehörden beeinträchtigt und damit die öffentliche Sicherheit gefährdet. […] Würde man sensible Informationen schwärzen, blieben “keine nennenswerten Informationen mehr übrig”.Was für eine bodenlose Frechheit!
Und überhaupt. Von welcher Funktionsfähigkeit reden wir hier eigentlich?
Mal abgesehen davon, dass mich das nicht beruhigt, wenn "nur" Maschinen meine Mails abschnorcheln und mitlesen, finde ich dieses Statement auch ausgesprochen besorgniserregend. Ich lese das in dem selben Kontext wie "Dafür gibt es keine Rechtsgrundlage" beim Bundestrojaner. Damit meinten die ja nicht "das geht halt nicht" sondern "wir brauchen dringend eine Rechtsgrundlage, lasst uns schnell ein Gesetz machen". Wann immer ich gerade höre "hey, soviele Leute haben die gar nicht", dann lese ich das als verdeckte Aufforderung an die Behörden, dann halt mehr Leute einzustellen. Die NSA sucht ja seit Jahren händeringend nach Übersetzern, insbesondere für Afghanistan und Iran, aber macht euch da mal nichts vor. Wer da auf dem Markt verfügbar ist, den kaufen die auch ein. Oder versuchen es zumindest.
Ich schlage daher vor, sehr empfindlich und negativ auf dieses "so viele Leute haben die doch gar nicht" zu reagieren.
Wir haben heute vom Bundesnachrichtendienst erfahren, wie Kommunikation durch Glasfaserkabel verläuft, wie die E-Mails geleitet werden. Es geht nicht um den kürzesten Weg, sondern allein nach finanziellen Gesichtspunkten. Wenn Sie innerhalb Deutschlands eine E-Mail verschicken, ist es durchaus denkbar, dass diese über die Vereinigten Staaten und wieder zurück läuft.Denkbar? Ja. Wahrscheinlich? Nein. Außer natürlich er meint mit "innerhalb Deutschlands", dass der Mailserver im Ausland steht. Das ist der Fall, wenn Menschen doof sind und ihre Mail bei Hotmail oder Google oder so abwickeln. Aber dass das Routing zwischen zwei in Deutschland stehenden Mailservern über die USA läuft, das ist ausgesprochen unwahrscheinlich.
Aber das eigentliche Money Quote aus dem Interview ist das hier:
Wenn ich meine Daten dem Internet anvertraut habe, ist die Sache gelaufen. Dann kann jeder diese Daten einsammeln. Ich als Regierung kann nicht dafür sorgen, dass deine Kommunikation auf dem Weg durch die Glasfaserkabel um die Erde geschützt ist, es geht technisch nicht.Na klar geht das. Man könnte z.B. gesetzlich vorschreiben, dass Routing zwischen zwei Hosts in der EU über die EU laufen muss. Ich sage nicht, dass das eine tolle Idee wäre, aber von "geht nicht" sind wir genau so weit entfernt wie von der Vorstellung, dass Uhl die Regierung ist.
Update: Wenn das jetzt offizielles Regierungs-Dogma ist, dass das Internet halt Wildwest ist, und man da eh für nichts garantieren kann, dann wird es höchste Zeit, dass Konsequenzen gezogen werden. Netzsperren sind dann z.B. automatisch sinnlos und müssen weg. Und beim Staatstrojaner gibt es gleich mehrere Punkte, die man dann mal neu verhandeln müsste. Damals wurden wir ja noch belächelt, als wir anmerkten, dass die die Daten über einen Proxy in den USA routen. Nach heutigem Wissenstand von Uhl dürfte man das ja nicht mal mehr durch Deutschland routen. Und wenn der Staat nicht die Integrität des Routings garantieren kann, dann dürfen wir auch niemanden mehr wegen Urheberrechtsverletzungen im Internet verfolgen. Das könnte ja übers Ausland geroutet und dort manipuliert worden sein. Und die "Bundes-Cloud" ist natürlich auch tot.
Ähnlich korrupt läuft das bei Anhörungen ab. Immerhin sind die ehrlich benannt. Anhörung. Da geht es nicht darum, die Wahrheit zu finden, oder seine Position zu ändern. Mit vorgetragenen Fakten ist da nichts zu falsifizieren. Niemand ändert da seine Meinung, weil man ihm zeigt, dass er irrt. Da werden nur aus verfahrenstechnischen Gründen die Kritiker angehört, damit die nicht danach das Verfahren insgesamt anfechten können, weil sie nicht gehört wurden. Niemand hört ihnen zu. Man lässt sie kommen und reden und es geschieht nichts.
Und der Höhepunkt ist, wenn das Parlament eine Anhörung von Leuten wie Ziercke macht. Die tun ja genau das, was politisch gewollt ist. Der Ziercke ist ja nicht zufällig auf seinem Posten. Und dann laden die den vor, um dem Volk gegenüber den Eindruck zu erwecken, es gäbe Checks & Balances und der müsse sich verantworten. Die Presse berichtet das dann auch brav, meistens. Dabei sind die eigentlich Schuldigen die Befragenden, nicht die Befragten.
Besonders schön kann man diese Muster gerade in den USA sehen. Die FISA-"Gerichte" sind ja genau so entstanden damals. Da gab es einen Skandal, weil die NSA illegal Amerikaner abgehört hat. Also hat man die Gesetze geändert, damit das legal wird. Und so entstand diese ganze Farce mit den alles abnickenden geheimen "Gerichten". Und jetzt, als das ganze am hochblubbern ist, beraumt das Parlament eine Anhörung an, und "befragt" die Bosse von FBI und NSA. Weil wie bei uns mit dem Ziercke auch in diesem Fall die eigentlichen Täter im Parlament sitzen, und die Befragten da nur zur Show die bösen Buben mimen, die sich zu verantworten haben für ihre Missetaten, sind die Fragen natürlich alle abgekartete Softball-Dinger ala "wie viele fiese Terroristen haben Sie denn mit diesem Programm gefangen". Und der FBI-Boss deckt den NSA-Boss und spielt ihm einen Pass nach dem anderen zu. Peinlich war bloß dieses Detail hier, am Ende. Der NSA-Direktor glaubte, das Saalmikrofon sei schon aus, und sagte dem FBI-Typen:
"Tell your boss," NSA Director Keith Alexander told the FBI deputy director, "I owe him another friggin' beer."
Da sieht man sehr schön, was das für eine enorme Farce ist.Es gibt da ja am Rande noch das Detail, dass jemand mal geguckt hat, was das so für 50 angebliche Terrorfälle sind, die die NSA da verhindert haben will. Und der erste auf den sie gucken ist ein Fall, wo ein Typ angeblich Wall Street sprengen wollte. Der wurde tatsächlich gefasst und verurteilt, aber nicht wegen Terror sondern wegen eines Geldtransfers an Al Kaida. Lolwhut?
Übrigens: Hier ist, was Obama der Merkel gesagt hat:
"This is not a situation in which we are rifling through the ordinary emails of German citizens or American citizens or French citizens or anybody else. This is not a situation where we simply go into the internet and start searching any way that we want. This is a circumscribed, narrow system, directed at us being able to protect our people and all of it is done with the oversight of the courts."
Erinnert das jemanden an was? Die Verteidigung des bayerischen Innenministers für das Staatstrojanerprogramm vielleicht?Und die Merkel entblödet sich nicht, die Sauerland-Gruppe als Beispiel für abgewehrte Terror-Angriffe zu nehmen und der NSA für ihre Hilfe zu danken. m(
Oh und warum würde der FBI-Typ die NSA decken? Weil der natürlich selber einen Skandal am Bein hat, von dem er hofft, dass der jetzt platzt und nicht nächste Woche, wenn die Leute nicht mehr mit der NSA abgelenkt sind. Deshalb spricht er ihn auch gleich mal selber an.
[FBI-Direktor] Robert Mueller tells Congress bureau uses drones in a 'very, very minimal way' as senators describe 'burgeoning concern'
Haha, dachte ich mir da, der ist doch nicht ernstzunehmen. Klar, der wirkt auch nicht wie jemand, der sich aus PR-Gründen den Plot überlegt, bei Jay Leno solche Geschichten zu erzählen. Aber ein toller Kronzeuge ist das nicht.
Aber wie sich rausstellt scheint da was dran zu sein. Die überspezifischen Dementis bestreiten nämlich nicht, dass die Telefonate aufgezeichnet werden. Nur dass sie wahllos benutzt werden. Das ist wie damals der Ziercke bei dem Bundestrojaner, der bestritten hat, dass die Polizei so ein Machtinstrument missbrauchen würde, und dachte, damit sei er aus der Nummer raus. Genau so läuft das in Amerika auch gerade. Und dann packet da auch noch dieser ehemalige FBI-Counterterrorismusexperte bei CNN aus und dementiert sein Statement später wieder, nachdem er offensichtlich von oben aufs Maul gekriegt hat. Aber da ist die Katze schon aus dem Sack.
Leute, was habt ihr denn gedacht, wieso die NSA so ein riesiges Rechenzentrum in Utah bauen will? Was dachtet ihr denn, was die da speichern wollen? Katzenbilder?
Na?
Kommt ihr NIE drauf!
Das BKA natürlich! Die, denen wir glauben sollen, dass sie beim Abhören von uns moralisch und ethisch einwandfreie arbeiten. Und dass sie Vorratsdatenspeicherung und Bundestrojaner nicht missbrauchen würden. DIE. Haben ÄGYPTEN beim Internet-Abhören geholfen.
Update: Gamma hat stets geleugnet, den Trojaner nach Ägypten geliefert zu haben, das war nur ein Angebot, was da gefunden wurde. Dennoch ist das, was Gamma und ihre Trojaner ans Tageslicht gezerrt hat, daher ist das für mich "der Ägypten-Trojaner", auch wenn Gamma ihn möglicherweise (wer kann das schon genau sagen) nicht nach Ägypten geliefert hat.
Frage: Wie schätzen Sie das Vorhaben ein, eine Hacker-Truppe im BND aufzubauen?
Antwort: Das ist sinnlose Geldverschwendung und Hype-Hinterherlaufen. Die Amerikaner haben Hacker, also will der BND jetzt auch welche haben.
Hacken als Methode der Kriegsführung oder für Geheimdienste ist generell abzulehnen. Man kann dabei schlicht nicht ausschließen, dass man ein Krankenhaus trifft, oder ein Atomkraftwerk. Die Risiken sind völlig unüberschaubar. Und wegen der generellen Rückverfolgungsproblematik bei Hacker-Angriffen ist die einzige Methode, im Falle eines explodierenden Atomkraftwerkes nicht beschuldigt zu werden, solche Abteilungen gar nicht erst aufzubauen.
Frage: Wie realistisch ist denn das, dass der BND jetzt fähige Leute findet?
Antwort: Völlig unrealistisch. Die wollen das Knowhow im Haus haben, daher müssten die Hacker sich da fest anstellen lassen. Die Gehälter im öffentlichen Dienst sind miserabel, und wenn man an so wichtiger Stelle aktiv ist, können die einen nicht mehr frei rumreisen lassen. Auch der freie Austausch mit anderen Hackern fällt dann flach. Das ist schon an sich sehr unattraktiv.
Aber vom BND weiß man ja, dass sie auch sonst an keiner Stelle besonders fähiges Personal haben. Ich verweise da nur mal auf das Buch "Bedingt dienstbereit". Wieso sollten die jetzt plötzlich bei den Hackern fähige Leute anziehen können? Aus meiner Sicht sollte der BND geschlossen werden. Stattdessen wirft man jetzt dem schlechten Geld noch gutes hinterher.
Frage: Hat die Bundesregierung hier jahrelang die Entwicklung verschlafen?
Antwort: Nein, die bemühen sich seit Jahren um Hacker-Knowhow. Das scheitert von Anfang an an den genannten Gründen. Als freischaffender Hacker arbeitet man noch in einer moralischen Grauzone. Bei bezahlter Arbeit für Regierungen gibt es keine Spielräume mehr, um das vor sich selbst oder anderen schönzureden. Es gibt da keine positiven Aspekte mehr. Außerdem hat die Regierung mit ihrem Hackertoolverbot die Hacker alle gegen sich aufgebracht.
Die müssten jetzt mit exorbitanten Geldbergen winken, damit sich überhaupt jemand meldet. Und das scheitert in der Praxis auf ganzer Linie, wie man beim Staatstrojaner schön beobachten kann. Am Ende wird es darauf hinauslaufen, dass unsere "Hackerabteilungen" sich die Angriffstools aus dem Ausland einkaufen müssen — und sie dann natürlich nicht exklusiv haben. Die Fähigkeiten der Mitarbeiter werden sich darin erschöpfen, bei zugekauften Tools auf Knöpfe zu klicken. Im internationalen Vergleich wird das nie zu mehr als einer Lachnummer reichen. Wenn Sie mich fragen, ist das auch gut so.
Es wäre natürlich noch viel besser, wenn man sich diese Ausgaben ganz sparen würde. Mit dem Geld könnte an deutlich sinnvollere Projekte fördern, wie z.B. den DSL-Ausbau auf dem Land.
Frage: Ist so eine Hackerabteilung nicht auch für die Verteidigung gut?
Antwort: Nein. Für die Verteidigung haben wir schon eine Behörde, das BSI. Denen mehr Geld für ihre Arbeit zu geben ist nicht Teil der aktuellen Diskussion.
Wenn Deutschland sich in dem Bereich engagiert, dann würde ich mir wünschen, dass sich die Bundesregierung für ein internationales Abkommen starkmacht, das Cyberwar generell ächtet. Und wenn tatsächlich Geld für den Einkauf von Angriffstools übrig ist, dann könnte man die Tools kaufen und dann die ausgenutzten Lücken zuzumachen helfen.
In 2012, and in response to an order or warrant, we disclosed content in 2.2% of instances in which we disclosed some data to law enforcement.
Da zeigt sich, was für eine Mogelnummer das Argument sei, bei der Vorratsdatenspeicherung ginge es ja "nur" um Bewegungsdaten, nicht um Inhalte. Wie ihr seht braucht man die Inhalte nicht nur gar nicht (das sagt der CCC ja seit Jahren), sondern die sind auch nur in seltenen Ausnahmefällen überhaupt am Inhalt interessiert, weil ihnen die Bewegungsdaten völlig reichen. Sie gehen auf der Veröffentlichungsseite auch ansonsten erfreulich ins Detail. Die auf der Hand liegende Frage ist natürlich, wie hoch Deutschland im Polizeistaaten-Ranking steht. Das hängt davon ab, wonach man geht. Rein nach Anzahl der reinkommenden Anfragen liegt Deutschland bei Microsofts Diensten nach der Türkei, den USA, England und Frankreich auf Platz 5. Bei Skype sind wir nach den Briten und den USA auf Platz 3. Um das mal ins Verhältnis zu setzen (die Skype-Zahlen jetzt): England 1268, USA 1154, Deutschland 688.Der geneigte Leser wird sich jetzt wundern, dass es überhaupt Anfragen aus Deutschland gibt, immerhin ist doch mit der Nicht-Abhörbarkeit von Skype die Einführung der Vorratsdatenspeicherung der Staatstrojaner begründet worden. Aber spannender als das finde ich, dass fiese, menschenrechtsverletztende, von unserer Presse regelmäßig kritisierte Diktaturen wie Weißrussland nur auf 5 Anfragen kommen.
Das fiese, kommunistische Unterdrückungsregime in China hat 6 Anfragen, aber der befreite, westliche Hort von Freiheit, Demokratie und Menschenrechten, Taiwan, hat 316.
Israel hat übrigens 10 Anfragen. ZEHN. Die haben ja nun wirklich ein Terrorismusproblem, und die brauchen nur 10 Anfragen. Deutschland braucht 688.
Oh und die undemokratischen Monster aus Russland? 2. ZWEI!
Ich für meinen Teil freue mich über diesen Report, weil er sehr schön zeigt, wieviel von unserer westlichen arroganten Gerechtigkeits- und Menschenrechtsrhetorik zu halten ist.
Oh, und: einen Staatstrojaner kriegt die Schweiz auch.
Schade, war mal richtig schön in der Schweiz. (Danke, Sandro)
Konkrete Punkte sind:
Ich bin grundsätzlich für eine Meldepflicht. Der Gedanke hinter einer Meldepflicht, und warum ich auch dafür bin, ist: a) wir brauchen ordentliche Daten, um über das Problem reden zu können. Wer wird wie häufig gehackt und welche Daten leaken dabei? b) wenn die Firmen das unter den Teppich kehren können, warum sollten sie dann in Security investieren. Dann bleibt alles Scheiße und die Kunden wissen nicht, bei welchen Anbietern ihr Geld wirklich sicher ist.
Wenn man sich jetzt diesen Entwurf ansieht, dann sieht man, dass die zwar melden müssen, aber nur dem BSI, nicht der Öffentlichkeit. Und das BSI legt das dann zwar offen, aber nicht der Öffentlichkeit, sondern … den Meldepflichtigen. Die können dann zwar sehen, ob sie sicherer als der Durchschnitt der Konkurrenz sind, aber der Kunde kriegt es nicht mit. Damit ist der Anreiz für Verbesserungen weg. Dann werden die weiter alle die Öffentlichkeit anlügen, wie toll sicher sie sind, und Vorfälle verschweigen.
Alleine schon aus diesem Grund lehne ich diesen Gesetzesentwurf ab. Aber meine Kritikpunkte gehen noch weiter.
Das BSI soll jetzt Firmen beraten. Das halte ich für eine sehr schlechte Idee. Das BSI wird aus Steuergeldern finanziert. Wieso sollten Steuergelder dafür ausgegeben werden, den Firmen zu ermöglichen, ihre Hausaufgaben an das BSI outzusourcen? Nee, so geht das nicht.
Es ist nicht so, dass das BSI keine Rolle spielen sollte. Ich schlage vor, dass das BSI einen Katalog erstellt, in dem Angriffe klassifiziert werden. Wo man dann sagt: ein XSS auf der Pressemitteilungen-Webseite der Polizei Brandenburg ist kein Angriff auf "sicherheitsempfindliche Stellen lebenswichtiger Institutionen". Diese Formulierung zitiert Heise als Beschreibung dafür, wofür das BKA in Zukunft zuständig sein soll. Hier muss aus meiner Sicht Sorge getragen werden, dass es eine klare Unterscheidung zwischen gefährlichem Angriff und zivilem Ungehorsam und Demonstrationsrecht gibt. Wenn Leute aus Protest gegen Abschiebungsflüge die Lufthansa-Webseite blockieren, sollte das jetzt nicht über diese Hintertür zu einem Fall für das BKA deklariert werden.
Überhaupt, das BKA. Die sollen 105 neue Stellen schaffen, um besser das Internet patroullieren zu können. Halte ich für falsch. Die stehen sich doch jetzt schon nur im Wege. Ich habe noch von keinem einzigen Fall gehört, wo das BKA mal im Internet zu Recht und Ordnung beigetragen hätte. Was die brauchen ist eine Schulung, und die klare Vorgabe, dass ihrem Präsidenten pro Eingriffsversuch in die Politik ein Monatsgehalt abgezogen wird, bis hin zu negativem Gehalt und Forderungen an ihn. Jedes Mal, wenn Ziercke und co die Vorratsdatenspeicherung fordern, verplempern die Zeit, die sie damit verbringen sollten, Kriminelle zu fangen.
Also. Das Gesetz lehne ich so ab. Mein Vorschlag:
Kurz gesagt: aus dem Gesetz muss der Populismus und der Bullshit raus, dann kann daraus was richtig gutes werden.
Die größten Gefahren und Risiken sind aus meiner Sicht:
Ich persönlich halte die Meldepflicht nur dann für effektiv, wenn die Fälle alle sofort veröffentlicht werden, und zwar ohne Anonymisierung. Zumindest die Kunden haben ein Recht, das zu erfahren. Und zwar nicht erst, wenn sich nicht mehr abstreiten lässt, dass sie betroffen sind. Sofort. Ich hätte gerne eine Webseite, wo man hingehen kann, Postbank eingibt, und dann kommt eine Liste der Incidents bei denen, jeweils mit Links zu deren Reaktion und mit Zeitstempeln, damit man sehen kann, wie lange die jeweils untätig rumgegammelt haben. Und da müssen auch Incidents drin sein, die die jeweilige Firma bestreitet. Das kann gerne dranstehen, dass sie das bestreiten. Und von mir aus können sie auch Dokumente anheften, die das belegen. Aber man darf da nicht rauskommen können, indem man schlicht leugnet.
Ich würde mich auch freuen, wenn das BSI nach einem Hackerangriff die Aufgabe hätte, die Schwere zu bewerten. Damit man das als Kunde vergleichen kann.
Update: Fällt jemandem ein, wie man "das BKA ist jetzt für 202c zuständig" anders interpretieren kann als "Ziercke ist sauer auf den CCC und will sich jetzt rächen"? Aber Herr Ziercke! Wie unsportlich!
"Jeder blamiert sich, wie er kann", kommentiert die Linken-Abgeordnete Sevim DagdelenSchuld an dem Verkacker war diesmal wohl gar nicht der Friedrich (der wahrscheinlich erstmal eine Schulung bräuchte, was eine Email überhaupt ist, vielleicht von diesen Fachkräften hier), sondern unser alter Bekannter Ole Schröder. Erinnert ihr euch noch an den? Der Typ in dem Blau-Metallic-Konfirmationsanzug, den sie bei der Staatstrojaner-Affäre zum Um-die-Wette-Stammeln vorgeschickt haben, während Friedrich sich aus Gründen der Staatsraison verleugnen ließ und wahrscheinlich irgendwo zitternd in einem Schrank kauerte, bis der Sturm vorbeizog. Aus dem Ole müssen wir auch nochmal einen Photoshop-Wettbewerb machen.
Das BKA und das BSI weisen deshalb zusätzlich darauf hin, dass das Abspeichern dieses Fotos beziehungsweise eine Besitzverschaffung einen strafbaren Besitz von Jugendpornografie darstellt.Der Lacher ist ja, dass GENAU DIESES SZENARIO damals angesprochen wurde von den Sachverständigen. Genau deshalb ist es bekloppt, den Besitz von Hackertools oder Pornographie oder was auch immer unter Strafe zu stellen, weil Szenarien denkbar sind, in denen der Empfänger gar nichts dafür kann, dass ihm ein Bild untergejubelt wird. Ach was, völlig realitätsfremd, hieß es damals.
Übrigens, weil sich ja nicht jeder mit den verschiedenen Abstufungen des kriminellen Milieus auskennt: der "BKA-Trojaner" ist nicht der "Bundestrojaner", auch wenn der Bundestrojaner vom BKA kommt und auch offensichtlich illegal ist. Achtung, Verwechslungsgefahr!
CSC, CSC … CSC … da war doch was. Oh ja richtig! Das waren die hier, die ihre Business-Jets für Rendition-Flüge nach Guantanamo an die CIA ausgeliehen haben. Und nicht nur Guantanamo, auch an andere Folterknäste.
Nur falls jemand noch Zweifel hatte, wie diese Trojaner-Geschichte ethisch/moralisch einzuordnen ist. Das war damals der militärische Arm von Dyncorp, den hat CSC inzwischen wieder verkauft. Aber wisst ihr, was CSC noch so macht? Die machen den "Groundbreaker"-Rahmenvertrag für die NSA. Über zwei Milliarden Dollar ist der Vertrag wert. Mit anderen Worten: die NSA prüft hier über Bande den Trojaner des BKA.
After he was confronted with evidence obtained by the ICIJ/Guardian investigation, Muench changed his position. He told us: "You are absolutely right, apparently there is a Gamma Group International Ltd."He added: "So in effect I was wrong – sorry. However I did not say that Louthean Nelson was not associated with any Gamma company, only the one that I thought did not exist."
Update: Netzpolitik dazu.
Update: Heise dazu.
Hey, Detlef, das da mit dem Internet, das geht so nicht. Wenn die Leute im Internet anonym kommunizieren können, fällt uns das Geschäft mit den Beleidigungen weg. Wenn die Urheberrechtsverletzungen der Leute im Internet nicht verfolgt werden können, fällt uns das Geschäft mit den Massenabmahnungen weg. Wenn die Leute sich selbst informieren können, merken unsere Klienten vielleicht gar, dass wir sie schlecht beraten!So oder so ähnlich muss sich das in der Vorbereitung zum Juristentag abgespielt haben. Ergebnis: alles von da oben und:Du hast völlig Recht, Herrmann. Da müssen wir was tun. Lass uns mal eine ordentliche Vorratsdatenspeicherung fordern.
Das reicht nicht, Detlef! Das fordern unsere Sockenpuppen in der Politik eh schon. Wir müssen mehr fordern, sonst wird unser Forderungskatalog gar nicht wahrgenommen! Lass uns auch explizit die Standortdaten herausgebbar machen. Fällt dir noch was offensichtlich beklopptes ein, das wir fordern könnten? Etwas, wo sich jeder sofort an den Kopf fasst und fragt, wie ein Jurist sowas fordern kann?
Klar, da hab ich genau das richtige! Lass uns den Staatstrojaner fordern! Und zum Ass Covering faseln wir was von hohen Eingriffsschranken. Hey, wenn wir schon dabei sind, können wir ja auch gleich mal die Einführung von Datenhehlerei als Straftatbestand fordern. Da nehmen wir gleich noch die nächste Welle zur Steuer-CD-Debatte mit!
Oh ja, und wenn wir schon dabei sind, können wir auch ansagen, dass es kein Recht auf anonyme Internetnutzung gibt! Die Presse muss darüber berichten, wenn wir das alles fordern!!
Abgelehnt haben die Juristen einen Vorschlag, wonach der Gebrauch existierender Technologien für eine flächendeckende Überwachung, Filterung und Kontrolle jeglicher elektronischer Kommunikation allenfalls mit "äußerster Zurückhaltung" anzuwenden sei. Die Einbringer dieses Vorschlags hatten befürchtet, dass sich solche Befugnisse einer effektiven Kontrolle durch Justiz und Parlament entzögen.Ich fordere an der Stelle die Schließung des Juristentags und das vorläufige internieren seiner Mitglieder. Was sagt ihr, dafür gibt es keine gesetzliche Grundlage? Na und, für deren Forderungen auch nicht.
Zweitgrößter Posten ist 241.504 Euro an secunet für das Projekt "Biometriegestützte Grenzkontrolltechnik". Was das wohl war? Bei secunet besteht immerhin ein Restverdacht, dass die für das Geld auch was abgeliefert haben, daher danke ich denen mal noch nicht, bis sich dieser Verdacht entkräftet hat.
Wenn man mal über den Rest des Dokuments geht, findet man herausstechende Ausgaben bei der Bundesanstalt für den Digitalfunk der Behörden und Organisationen mit Sicherheitsaufgaben, die alleine 2008 151 Millionen an die EADS-Tochter Cassidian gezahlt haben, für "Lieferung und Dienstleistungen Systemtechnik". Und 2009 nochmal 211 Millionen, und 2010 nochmal 319 Millionen. Von dem PDF solltet ihr überhaupt mal ein Backup ziehen. Da ist weiter unten eine fette Liste, wann sie wieviel Geld wofür an Digitask überwiesen haben. Und was für Schüffelequipment und Jammer sie sich so gekauft haben und so.
Sprecht mir also nach: Antiviren sind Snake Oil.
Die BESTEN der BESTEN der BESTEN, SIR!
Update: Jetzt kommen hier Hinweise rein, dass doch schon Leute zu Schaden gekommen sind, z.B. der Rentner, den Otti Wiesheu besoffen totfuhr oder der Skiunfall von Althaus damals. (Danke, Moritz)
Wenn Bundesinnenminister Hans-Peter Friedrich die Gründe für IT-Angriffe aufdeckt und Vizekanzler Philipp Rösler das Acta-Abkommen verteidigt, dann ist Internetkongress des CDU-Wirtschaftsrats.Ein Schenkelklopfer nach dem anderen. So erklärt unser Innenminister, wo die Sicherheitslücken herkommen:
"Software, die anfällig ist für Angriffe, wurde meist preisgünstig produziert."Was Sie nicht sagen, Herr Friedrich! Ein Glück, dass wir so einen hellen Kopf als Innenminister haben. Sonst wäre das vielleicht nie jemandem aufgefallen! Stellt sich nur die Frage, wieso die dem Friedrich unterstehenden Behörden so häufig "preisgünstig produzierte" Software einsetzen. Es sei da nur auf den Staatstrojaner verwiesen.
Verwundert zeigte sich Schaar darüber, dass er zumindest in einem Fall auch Daten aus dem Kernbereich privater Lebensgestaltung in den Akten fand. Dabei hatte ein mutmaßlicher Drogendealer jeweils mit seiner Freundin telefoniert. "Kurzes erotisches Gespräch" heißt es etwa in den Akten, "Liebesbeteuerungen", "danach Sexgespräche", "Ab 15.22.20 h bis 16.01.00 finden offensichtlich Selbstbefriedigungshandlungen statt".Haben wir ja gleich gesagt! Aber hey, wieso hat das BKA denn diese sie inkriminierenden Beweise nicht diskret vernichtet? Das hat die Polizei sonst kein Problem mit. Nun, das liegt daran, dass das eingesetzte Digitask-Produkt dafür zu ranzig ist:
Auch die zugehörigen Tonspuren waren noch vorhanden. Das BKA hätte sie zwar gern gelöscht, doch die digitask-Software ließ keine punktuelle Löschung zu.m(
Nicht mal eine kreative Ausrede kriegen die Spezialexperten vom BKA hin. Das mit dem "die Software kann das nicht" ist schon vom Arbeitsamt verbrannt.
Na herzlichen Glückwunsch, Herr Ziercke. So tief ist noch keine andere deutsche Behörde gefallen, dass man aus Angst, sich einen Trojaner zu holen, lieber eine bestehende Botnet-Infektion in Kauf nimmt, als auf eine Seite von euch zu klicken.
Können wir jetzt endlich diesen Ziercke und seine Mannen rausschmeißen, bitte? Was steht dem eigentlich in den letzten Jahren im Wege? Der Mann ist doch eine Katastrophe von geradezu biblischen Ausmaßen! Was muß der noch verkacken, damit er endlich rausfliegt?
Und dass dem BSI auch schon keiner mehr traut, das haben die ja schon länger mal verdient. Nicht wegen ihrer Arbeit, sondern weil das eine BND-Ausgliederung ist und vorher deren "Abteilung für Chiffrierwesen" war. Das war schon immer nicht nachvollziehbar, dass ausgerechnet die anderer-Leute-Krypto-Entschlüsseln-Leute plötzlich für die Gute Sache zuständig sein sollten. Da hätte man auch gleich einen Knasti zum BKA-Chef machen können. Wobei das vermutlich auch nicht schlimmer geworden wäre als dieser unsägliche Ziercke und seine Kinderporno-Roadshow. Sein klandestiner Stil ist schon immer einer Polizeibehörde unwürdig gewesen, und jetzt kriegt er die Rechnung dafür.
Mir bleibt an der Stelle nur, wieder einmal die Schließung des BKA zu fordern. Wer über den Einsatz so einer Software auch nur im Vorbeigehen nachdenkt, der gehört in den Knast und nicht in eine Polizeibehörde.
Dem Linkspartei-Abgeordneten Jan Korte reicht das nicht: "Wenn die Bundesregierung zum Einsatz der vom CCC analysierten Software in den Ländern nichts weiter weiß, als bisher in der Presse stand, was hat sie dann die ganze Zeit getan?"Die haben nicht mal angefangen, irgendwelche Aufklärung auch nur zu versuchen. Oh und ihre Ausrede, wieso der Quellcode aus ihrer Sicht auch gar nicht nötig war:
Deswegen hätten die Bundesbehörden "in jedem Einzellfall Anwendungstests" durchgeführt.Da krieg ich vom Lesen schon Kopfschmerzen! Mir fällt gar keine Steigerung ein, wie die sich noch inkompetenter geben könnten. Oh und die CCC-Demonstration, als wir den Trojaner mit unserem GUI-Tool fernsteuerten, und sogar einen Fake-Trojaner bauten, der dem BKA-GUI-Tool falsche Daten unterschieben kann, die … leugnen sie einfach!
Die Bundesregierung bezeichnete die Möglichkeit, dass der Datenstrom abgehört werden könne, nun als "rein theoretische" Möglichkeit, für die Fachwissen und Zeit nötig seien, die eine überwachte Person wohl eher nicht habe.Ich habe das zufällig aus der Nähe gesehen. Der Code, um einen vorbeirauschenden Kontrollkanal zu entschlüsseln, passt in eine traditionelle Email-Signature:
my $key = "\x49\x03\x93\x08\x19\x94\x96\x94\x28\x93\x83\x04\x68\x28\xa8\xf5".Der Code für den kompletten Fake-Trojaner, der falsche Screenshots zurückliefert, waren unter 100 Zeilen Perl.
"\x0a\xb9\x94\x02\x45\x81\x93\x1f\xbc\xd7\xf3\xad\x93\xf5\x32\x93";
my $cipher = Crypt::Rijndael->new( $key, Crypt::Rijndael::MODE_ECB() );
my $plain = $ciper->decrypt($daten);
Und hier ist, was ihnen so peinlich ist, dass sie es gleich ganz geheimhalten:
Das Informationsinteresse des Parlaments müsse hinter den berechtigten Geheimhaltungsinteressen zurücktreten, heißt es in der Antwort, ansonsten könne ein wirksamer Schutz vor Terrorismus erheblich gefährdet werden.Alles geheim!1!! Ich möchte mich daher zusammenfassend der zitierten Einschätzung des CCC anschließen:Können Bundesbehörden auch Mobiltelefone anzapfen? Auch die Antwort auf diese Frage der Linkspartei ist geheim, "VS - Nur für den Dienstgebrauch". Die Fähigkeiten und Methoden der Behörden sollen im Dunkeln bleiben, sonst könnten staatliche und nichtstaatliche Akteure Rückschlüsse daraus ziehen. Haben Internetprovider bei der Infektion der Zielrechner geholfen? "VS - Nur für den Dienstgebrauch".
CCC-Sprecher Engling will das nicht gelten lassen. "Wenn die Fragen konkret werden, verweist die Regierung auf vorgebliche Geheimhaltungsinteressen und verwehrt damit der Öffentlichkeit und dem Parlament eine wirksame Kontrolle der Polizeibehörden und Geheimdienste." Er vermutet nicht nur die Sicherheitsinteressen des Staates dahinter: "Nur ungern will man zugeben, dass man sich ein teures und doch so amateurhaftes Programm hat andrehen lassen."Das komplette PDF gibt es u.a. hier.
Das legt die Vermutung nahe, dass die Staatsanwaltschaft auch noch fett Leichen im Keller hat, und die sich da alle gegenseitig mit ihrem Kompromat in Schach halten.
Update: Oh das hab ich ja verkackt. Die Staatsanwaltschaft ist doch Teil der Exekutive. Aber eine gute Nachricht gibt es doch: man kann die Einstellung der Staatsanwaltschaft mit einem Klageerzwingungsverfahren gerichtlich prüfen lassen. Wenn das mehr als nur ein PR-Stunt war, natürlich nur.
Innenminister Reinhold Gall (SPD) hat im Landtag den Einsatz von Trojaner-Software durch Polizei und Verfassungsschutz gegen Kritik verteidigt.Schlimm genug, ich weiß, aber schaut mal, was für ein unglaublich bescheuertes Argument er bringt. Das ist so unsagbar dämlich, dass man den eigentlich auch direkt in die geschlossene Abteilung einweisen könnte. Mir schmerzt die Stirn alleine vom Zitieren!
Früher hätten Terroristen zum Beispiel per Brief einen Selbstmordanschlag angekündigt. Diese habe man beschlagnahmen können. «Was machen wir, wenn solche Personen auf Facebook posten?», fragte Gall.
Ach du meine Güte, wo haben die DEN denn her?! Früher habt ihr also Bekennerbriefe beschlagnahmt, ja? Nachdem sie bei euch eingetroffen sind? Denn so funktionieren Ankündigungen ja. Na das ist ja eine Topp-Polizeiarbeit, Herr Wachtmeister! Oh und heute, wo die Leute ihre Taten auf Facebook ankündigen (!?!?), da braucht man Trojaner, um sie entschlüsseln zu können? AU DIE SCHMERZEN!Nein, Herr Gall, das sind keine verschlüsselten Selbstmordanschlagsankündigungen auf Facebook, die haben nur alle in der Schule keine Rechtschreibung gelernt, weil Spezialisten wie Sie den Schulen das Geld wegnehmen, um damit sinnlosen Müll "für die Sicherheit" anzuschaffen.
Update: Das geht anscheinend auf eine dpa-Meldung zurück, die kaum jemand übernommen hat. Hier ist die Badische Zeitung.
Der Bundestrojaner ist legal, da er von der legal gewählten Bundesregierung hergestellt wird.und
Was viele nicht wissen: Das Internet wurde vor allem erfunden, um den Kampf gegen die grassierende Internetkriminalität zu ermöglichen.:-)
Update: An der Stelle sei mir der Hinweis gestattet, dass wir uns außenpolitisch gerade nachdrücklich lächerlich machen, gerade gegenüber den Chinesen.
Oh und um das nochmal so richtig reinzureiben, dass mit Trojanern erhobene "Beweise" generell für die Tonne und vor Gericht nicht das Papier wert sind, auf dem die Internetausdrucker sie ausgedruckt haben, haben wir auch ein kleines Perl-Skript gebaut, das sich der Fernwartungssoftware gegenüber als Trojaner ausgibt und die rickrolled. Aus Lizenzgründen haben wir dann auf ein komplettes Rickrolling verzichtet und dafür auch noch eine schöne Schäuble-Todeskralle und ein paar Bilder von R2D2 und C3PO dazugetan.
Meine Hoffnung war ja, dass das BKA einfach zugibt, dass das ihr Trojaner ist, damit wir jetzt nicht noch öffentlich darauf hinweisen müssen, dass die Beweislast für die gegenteilige Aussage bei ihnen liegt, und sie sich auch noch stilfrei zum schlechten Verlierer machen müssen, weil sie nicht zu ihren Fehlern stehen und zum Geständnis gezwungen werden müssen. Letztlich hatte ja der Spezialexperte Ziercke schon alle wichtigen Punkte zugegeben, das ist ja echt nur noch eine Formalie hier gerade. Also los, BKA, gebt euch einen Ruck. Ihr seht schon schlecht genug aus. Brust raus, gerader Rücken, Blick nach vorne, und steht zu euren Taten.
Update: Ich möchte nochmal ausdrücklich darauf hinweisen, dass der CCC auch die IDA-Datenbanken veröffentlicht hat. Wer also auch mal reversen will, hat es damit jetzt deutlich einfacher, wenn er die als Basis nimmt.
vielmehr verfügt das Land über Sicherheitsbehörden, die sehr kontrolliert, sehr sorgfältig, sehr behutsam mit dem sensiblen Instrument der Quellen-TKÜ umgehen. So soll es auch sein.mit dem Video derselben Rede (ab 5:00), wo er folgendes sagt:Es wäre schlimm, wenn unser Land von Piraten und Chaoten aus dem Chaos Computer Club regiert würde.
Wir haben Sicherheitsbeamte, die Recht und Gesetz verpflichtet sind.
Das Land wird von Sicherheitsbehörden geleitet, die sehr behutsam mit dem sensiblen Instrument der Quellen-TKÜ umgeht, und so soll es auch sein.Wie erklärt sich diese Diskrepanz? Sind die Stenographen des Bundestags schwerhörig? Nein, wie sich herausstellt, legen die ihre Transkripte jeweils dem Büro des jeweiligen Redners vor, und der kann dann darin nochmal die peinlichen Teils geradebiegen.Es wäre schlimm, wenn unser Land am Schluss regiert werden würde von Piraten und Chaoten aus dem Computerclub.
Es wird regiert von Sicherheitsbeamten, die dem Recht und dem Gesetz verpflichtet sind.
Für mich persönlich ist damit klar, dass der Wert dieser Transkripte ähnlich der Beweiskraft von mit Trojanern erlangten "Beweisen" gegen Null geht.
Update: Vielleicht wird angesichts dieses Vergleichs auch klar, wieso ich grundsätzlich keinen Protokollen trauen kann, die vom Verdächtigen selber erstellt werden. Wenn der Bundestag schon nicht sauber protokollieren kann, was der Uhl in einer live ausgestrahlten Debatte gesagt hat, wieso sollten wir dann dem BKA trauen, sich selbst zu protokollieren?
Update: Gleich am Anfang ist noch eine sehr schöne Stelle (im Video am 1:20):
Die Computer der Kriminellen werden immer ausgetüftelter, sie werden immer raffinierter, der Staat muss schauen, wie er diesen Verbrechen im Netz Herr wird.
Und im Stenoprotokoll geht die Stelle so:
Die Computerprogramme der Kriminellen werden immer ausgetüftelter, sie werden immer raffinierter, und der Staat muss schauen, wie er dieser Verbrecher im Netz Herr wird.
Update: Uhl räumt auf Abgeordnetenwatch den "sprachlichen Missgriff" ein.
Update: Falls jemand nicht auf die Ecke links oben geguckt hat, als der Uhl den Spruch mit den Piraten und Chaoten vom Computerclub raushaute: da fazialpalmierte jemand ausgiebig.
Update: Falls noch jemand Fragen hat: Yes, Prime Minister erklärt das hervorragend.
The purpose of minutes is not to record events, it is to protect people.
Also was schreibt er denn da so.
Das BKA hat keinen Verfassungsbruch begangen!Das wird sich zeigen.
In unsere OLD- und Quellen-TKÜ-Software war zu keinem Zeitpunkt eine rechtswidrige Hintertür zum Aufspielen von Ausspähprogrammen eingebaut.Das klingt gut, leider wird es noch im selben Dokument auf Seite 7 der Lüge überführt:
Update selbst wird mit der Updatefunktionalität der Digitask-Aufzeichnungseinheit durchgeführt (Updates werden protokolliert)Das mit dem Protokoll klingt gut, aber leider ist ein Protokoll auf Seiten des Trojaners wertlos, weil es von Dritten manipuliert werden kann, und ein Protokoll auf Seiten des BKA ist auch wertlos, weil über die Schnittstelle auch von Dritten weitere Malware hochgeladen worden sein kann, ohne dass das überhaupt beim BKA vorbeikommt.
Es gibt keinen Zugriff von Dritten auf die Software des BKA.Da bin gespannt auf Ihre Beweisführung, Herr Ziercke!
Die Planung, Durchführung und Nachbereitung von Quellen-TKÜ und Online-Durchsuchung folgen einem detaillierten Phasenkonzept, einschließlich ausdifferenzierter Prüf- und Kontrollmechanismen.Bei dem Satz muss jemand den Inhalt mitzuübertragen vergessen haben. Hier ist jedenfalls keiner angekommen. Auch die ganze Seite 4 ist reiner "Beweis durch Behauptung"-Kinderkram. Damit können sie vielleicht jemanden wie den Uhl überzeugen, aber sonst niemanden. Kein Wunder, dass sie das hinter verschlossenen Türen vor ausgesuchtem Publikum gehalten haben. Sonst wären sie ja aus dem Saal gelacht worden damit.
Dann machen sie noch die Ansage, dass sie in Amtshilfe für Rheinland-Pfalz und Hessen Trojaner verteilt haben. Sehr schön!
Desweiteren verweisen sie auf ihre ISO 9000ff-Zertifizierung (HAHAHAHA, Snake Oil zum Quadrat, das lässt ja tief blicken, dass sie DAS als Beleg für ihre Integrität nehmen!) und ein Phasenkonzept. Wer schonmal in einer WG gewohnt hat, mit Konzept zum gemeinschaftlichen Geschirrspülen und Müllrunterbringen, der wird das ähnlich erheiternd finden wie ich jetzt. Sie zitieren da ab Seite 6 das Phasenmodell. Ich kann das nicht mal pasten hier, ich hab vom Fremdschämen Rheuma gekriegt und kann die Maus nicht mehr schieben. AU DIE SCHMERZEN! Das einzige, was man da mitnehmen kann, ist dass es einen Amtsleitungsvorbehalt gibt. D.h. die Amtsleitung steht jetzt persönlich mit einem Bein im Knast und kann das nicht mehr auf inkompetente Angestellte abwälzen.
Schließlich kommen dann auch noch die Ausflüchte zu dem Proxy, bzw. kommen sie gerade nicht. Da steht nur:
zur Verschleierung der Q-TKÜ gegenüber dem Tatverdächtigen wird die gesamte Kommunikation der Software über mindestens zwei Proxy Server geleitetEin Schelm, wer böses dabei denkt.
auf diesen Proxy Servern werden keinerlei Daten abgelegt, sondern lediglich eine Durchleitung - über nicht-deutsche Server – vorgenommenAch sooo! Das ist nur eine Durchleitung! Na dann kann da ja nichts passieren. Immerhin: Sie geben zu, dass sie durch das Ausland routen. Das macht aber nichts (Seite 11), weil:
Richtig ist vielmehr, das die Daten über einen ausländischen Server lediglich verschlüsselt weitergeleitet und nicht auf dem ausländischen System gespeichert werden.Ich bewundere deren Chuzpe, ihre Pfusch-Verschleierung als "Verschlüsselung" zu bezeichnen. Oh und die scheinen noch nicht verstanden zu haben, dass man mit einem Proxy auch durchfließende Daten manipulieren kann.
Ein schöner Lacher ist noch die "Beendigungsphase":
No shit, Sherlock! Mit forensischen Methoden durch Dritte analysiert, ja? *schenkelklopf*
- Überwachungssoftware wird möglichst im Rahmen operativer Maßnahmen physikalisch gelöscht
- sofern mangels Zugriff auf das überwachte System physikalisches Löschen nicht realisierbar, wird auf die eingebaute Löschfunktion zurückgegriffen
- bei letztgenannter Alternative (sogen. Fernlöschung) besteht ein Restrisiko, dass die Software oder Teile davon zu einem späteren Zeitpunkt mit forensischen Methoden durch Dritte analysiert werden
Die nächste Frage, die sich stellt, ist was es mit der "revisionssicheren Dokumentation" zu tun hat, die gestern alle CDU-Tontauben nachgebetet haben.
Das ist nicht gut, weil "alle gewonnenen Daten" auch den Kernbereich der privaten Lebensgestaltung betrifft und nach Vorgabe des Bundesverfassungsgerichts solche Daten sofort gelöscht werden müssen. Und überhaupt stellt sich natürlich die Frage, was auf ein Protokoll zu geben ist, dass im Fall eines Manipulationsvorwurfes vom Angeklagten selber geführt wurde. Ich sage: gar nichts. Da müsste man schon besondere Maßnahmen ergreifen, um eine Manipulation besonders schwer zu machen, z.B. per Read-Only-Ausleitung der Logdaten in einen physisch separaten Logging-Bereich, bei dem nur hinten angefügt und nichts gelöscht oder überschrieben werden kann nachträglich. Was das BKA aber darunter versteht:
- Sämtliche durchgeführten Aktionen (Updates, Modulaktivierungen und -deaktivierungen) werden protokolliert.
- Des Weiteren sind dort alle gewonnenen Daten (Gespräche, Chatnachrichten, übertragene Dateien) auswertbar vorhanden.
Die operativen Worte hier sind "aus der Bedienoberfläche heraus". Wenn jemand weiß, wie man es außerhalb der Bedienoberfläche manipuliert, ist das Scheunentor offensichtlich offen. Daher dementiert das BKA auch gleich so doll sie können (ein lauer Windhauch würde diese Argumentation wegwehen):
- Das systemtechnische Protokoll ist aus der Bedienoberfläche heraus nicht manipulierbar.
ACH, für das BKA soll die Unschuldsvermutung gelten, wenn sie mit thermonuklearen Trojanern herumhantieren? Aber umgekehrt dürfen unsere Behörden uns trojanisieren, selbst wenn wir nachweislich überhaupt nichts angestellt haben, unter der Maßgabe der Gefahrenabwehr? Im Übrigen ist das mit dem administrativen Zugang nicht glaubwürdig. Wenn das GUI ohne Admin-Zugang in die Datenbank schreiben kann, dann kann das auch der Benutzer des GUIs. Er muss sich nur die Zugangsdaten für die Datenbank aus dem GUI rauspopeln.
- Löschen von Protokolldaten wäre nur mit administrativem Zugang (nicht der Ermittlungsbeamte, nur der Techniker hat Zugang) auf die zugrundeliegende Datenbank und entsprechendem technischen Aufwand bei gleichzeitiger krimineller Energie möglich. Dafür gibt es keinem Fall auch nur die Spur eines Verdachts!
Und ob das BKA kriminelle Energie hat, das ist ja wohl eine Frage des Blickwinkels. Die wollen Trojaner bei den Bürgern installieren! Wenn die Russen das tun, nennt man das "Mafia" und "organisierte Kriminalität" und die Politik nimmt es als Anlass, um noch mehr Trojanereinsätze zu begründen!
Aber hey, ist ja noch nicht fertig. Hier ist noch ein echtes Highlight:
Falsch ist, dass das BKA eine Überwachungssoftware verwendet, die mit einer unsicheren symmetrischen Verschlüsselung arbeitet und nur in eine Kommunikationsrichtung verschlüsselt. Wir verschlüsseln in beide Richtungen!HAHAHAHAHAHAHA, das alleine ist ja schon so ein Brüller, ich lach mich kaputt. Wir verschlüsseln in beide Richtungen mit einem unsicheren symmetrischen Cipher!1!!
Richtig ist, dass ein gemeinsamer Schlüssel zwischen Software und Einsatzservern vergeben wird. Dies dient der Verschlüsselung und der Authentifizierung.OH DIE SCHMERZEN! Sie bestätigen also direkt, was sie im Absatz davor noch dementiert haben. Gut, mit einem symmetrischen Schlüssel kann man sich nicht authentisieren, das weiß schon jeder Informatik-Studienabbrecher, das meinen die bestimmt nicht ernst? Doch, meinen sie!
Der Kommunikationspartner kann sich ohne diesen Schlüssel nicht als gültiger Partner ausgeben.Liebes BKA. IHR LIEFERT DEN SCHLÜSSEL AUS. Der ist im Trojaner drin. Der ist nicht geheim. Und man kann mit ihm nichts authentisieren. Fragt doch mal eure Krypto-Kollegen vom BSI, die haben dem Vernehmen nach Reste von Krypto-Knowhow am Start. Wenn die nicht alle schon dem Herzinfarkt erlegen sind angesichts eurer haarsträubenden Äußerungen hier, dann werden sie euch zumindest bestätigen, wie tief euer Unwissen hier reicht. "Wir haben da auch Experten", dass ich nicht lache. Gut, helfen werden euch die BSIler nicht, das haben sie ja schon angesagt. Aber euch ist ja eh nicht zu helfen.
Weiter im Text. Es fehlt ja noch der Teil, wo sie den CCC als die Bösen hinstellen. Hier ist er:
Seit der Veröffentlichung der Signatur der Verschlüsselung durch den CCC könnten noch laufende Maßnahmen entdeckt werden. Das BKA hat daher in einem aktuellen Verfahren der organisierten Rauschgiftkriminalität die Maßnahme sofort abgebrochen und dies der Staatsanwaltschaft und dem anordnenden Gericht mitgeteilt. Dies ist auch den Bundesländern mitgeteilt worden.ORGANISIERTE RAUSCHGIFTKRIMINALITÄT!!1! Mit anderen Worten: noch eine Online-Apotheke.
Oh, eine Sache möchte ich schon noch ansprechen:
Die Quellen-TKÜ-Software ist auf das Zielsystem und die dort installierte Skypeversion ausgerichtet. Bei einem Skypeupdate muss daher auch die Quellen-TKÜ-Software angepasst werden, da ansonsten die Kommunikation nicht mehr aufgezeichnet wird.Das klingt für mich nach Unsinn. Ich behaupte, dass das auch ohne Updates geht.
Das BKA behauptet weiterhin, das Verfassungsgericht habe nicht gesagt, ein Mehr an Funktionalität sei generell verboten, sondern nur dann,
wenn – und darauf kommt es dem BVerfG an - die durch eine Nachladefunktion eingesetzte Software zum Ausspähen von weiteren Daten genutzt würde.Hier ist, was das Verfassungsgericht tatsächlich urteilte:
Art. 10 Abs. 1 GG ist hingegen der alleinige grundrechtliche Maßstab für die Beurteilung einer Ermächtigung zu einer „Quellen-Telekommunikationsüberwachung“, wenn sich die Überwachung ausschließlich auf Daten aus einem laufenden Telekommunikationsvorgang beschränkt. Dies muss durch technische Vorkehrungen und rechtliche Vorgaben sichergestellt sein.Es geht also nicht darum, ob die nachgeladene Software tatsächlich benutzt wird, um mehr abzuhören, sondern es müssen technische und rechtliche Vorkehrungen da sein, um zu verhindern, dass das geschehen kann. Das ist hier nicht der Fall, daher handelt es sich um eine klare Verletzung des Urteils.
Gegen eine bloße Aktualisierungsfunktion kann das BVerfG keine Einwände haben, weil sonst die Maßnahme an sich gefährdet wäre.Den Typen, der diese Argumentation gemacht hat, würde ich gerne hinter Gittern sehen. "Ich MUSSTE den Laden ausrauben, Euer Ehren, denn mir ist ja Fahrradfahren erlaubt, und wenn ich denen nicht ein Fahrrad gestohlen hätte, dann wäre ja die Fahrradfahr-Maßnahme an sich gefährdet gewesen!1!!" Dass solche Leute überhaupt frei rum laufen können, irritiert mich maßlos, aber dass sie auch noch für Bundesbehörden der Exekutive Statements formulieren, das schlägt dem Fass den Boden aus. Wenn ihr es unter den Vorgaben nicht hinkriegt, DANN KÖNNT IHR ES HALT NICHT MACHEN. Ganz einfach!
Immerhin sehen sie auch selber ein, dass ihre Beweise da wertlos sind, und weil sie keine tatsächliche Überprüfung machen können, …
Das BKA hat am 11./12.10.2011 alle Protokolle bisheriger Quellen-TKÜ-Maßnahmen mit der DigiTask-Aufzeichnungseinheit unter Beteiligung der Beauftragten für den Datenschutz sowie für die IT-Sicherheit im BKA auf Plausibilität kontrolliert hat.Äh, auf … Plausibilität?! So Pi mal Daumen oder wie? Geschaut, dass keine Logeinträge von Freitag nachmittag kommen, weil da die Beamten auf dem Heimweg sind? Oder wie habe ich mir das vorzustellen? Wenig überraschend haben sie nichts gefunden:
Im Ergebnis konnten keine Hinweise festgestellt werden, dass im BKA eine Software eingesetzt wird, die über die rechtlich zulässigen Grenzen der Quellen-TKÜ hinausgeht und dass im Rahmen der bisher erfolgreich durchgeführten Quellen-TKÜ-Maßnahmen unzulässige Daten ausgeleitet werden.Natürlich nicht. Anhand einer "Plausibilitätsprüfung" der Logdateien kann man sowas ja auch nicht beurteilen.
Auf Seite 11 gibt es dann noch die Ausrede, wieso der Proxy in den USA steht. Achtung: fest sitzen bei der Lektüre:
Der Grund für diese Verschleierung ist kriminalistischer Natur. Skype selbst nimmt beim Start automatisch Kontakt mit einem Server in den USA auf. Für den versierten User sollte durch die Quellen-TKÜ- Software kein anderer Eindruck entstehen.m(
Halt, einen hab ich noch. Wie das BKA prüft. Ihr sitzt hoffentlich weiterhin fest:
Das BKA testet die bestellte Software mit Hilfe eines sogen. Positivtests, der der Funktionalitäten der Software und die Reaktion der vom Zielsystem eingesetzten Sicherheitssoftware (Virenscanner, Firewall) prüft. Die Maßnahme wird als einsatzfähig betrachtet, wenn die bestellten Funktionalitäten vorhanden sind, und die Sicherheitssoftware keine Warnungen produziert.Selbstverständlich sind so keinerlei Aussagen über eventuell zusätzlich vorhandene Funktionalität treffbar.
Update: Oh und natürlich ist der Paragraph mit den abgebrochenen Einsätzen auch gleichzeitig das Eingeständnis, dass ihre angeblich ganz andere Version des Trojaners das selbe schlechte Protokoll einsetzt und damit so verschieden nicht sein kann.
Update: Weil ich jetzt mehrfach darum gebeten wurde, hier nochmal explizit die letzte Zeile aus dem PDF:
Glauben Sie mir, meine Mitarbeiter verstehen das nicht!
Daran zweifelten wir auch keine Sekunde, Herr Ziercke!
Und legt gleich mit dreisten Lügen los, wie dass es nur um Terrorismus und organisierte Kriminalität ginge, nicht um Allerweltskriminalität (wie eine Online-Apotheke oder gestohlene Kinderkleidung, ja?). Wi-derlich.
"Wo Quellen-TKÜ dransteht, darf keine Online-Durchsuchung drinstehen, meine Damen und Herren!"
Immerhin gibt es ordentlich schlechtgelaunte Zwischenrufe.
"… ist es auch nicht möglich, Schadmodule nachzuladen, weil das bemerkt werden würde."
"Der Trojaner, den der CCC betrachtet hat, ist ja drei Jahre alt. Und drei Jahre sind in der IT ja eine lange Zeit." Schade nur, dass das ehemalige Nachrichtenmagazin gerade einen Trojaner von 2010 covert. Hups.
Und jetzt fordert er auch noch die Unschuldsvermutung für das BKA. "Das sind Unterstellungen, die durch nichts belegt sind. Das sind Vermutungen, die durch nichts belegt sind." Ja, so gut wie keine Belege, außer vielleicht die CCC-Analyse. Aber ansonsten nichts, also so gut wie. Fast gar nichts. Gut, die Antivirenhersteller haben die CCC-Analyse bestätigt, aber das zählt ja nicht weiter.
Jetzt argumentiert er mit dem Verhältnismäßigkeitsprinzip und vergleicht den Trojaner mit Dienstwaffen der Polizei. Was für eine Farce. Die Einrufe werden immer lauter. Der Brüller!
Jetzt ist der Oppermann für die SPD am Start und beginnt erstmal mit einem Lob für den CCC. "Aber der CCC hat auch chaotische Zustände in der Bundesregierung aufgedeckt" *Applaus* Dann zählt er die Widersprüche in den Aussagen der Minister auf. *Popcorn!* Vor allem natürlich bei dem Friedrich. Kein Wunder, dass sie den nicht hingeschickt haben da.
Und dann geht es los mit dem alten SPD-Programm: "Wir sagen: Wenn schon Staatstrojaner, dann vom Staat"
Burkhard Hirsch ist da, die Justizministerin offenbar auch (wurde gerade persönlich angesprochen, ich sah sie noch nicht).
Jetzt fordert die SPD, die Trojaner zu optimieren, die müssen doch nicht einmal pro Behörde angeschafft werden, reicht doch einmal!1!! Na super, genau was wir jetzt brauchen, die ökonomischen Aspekte waren ja auch völlig unterberichtet bislang, dabei stehen die doch so im Zentrum!
Oh Mann, zwischendurch kommt rein, dass die politische Geschäftsführerin der Piraten die Debatte "ermüdend" findet und weggezappt hat. Oh und Autogrammkarten haben auch eine höhere Priorität. OMFG.
Die FDP ist dran und nutzt die Gelegenheit, um die gesamte Trojaneraufdeckung vollständig als ihre Leistung darzustellen. Wi-der-lich. Immerhin sagen sie an, dass die SPD mal die Schnauze halten soll, weil sie den Trojaner ja eingeführt haben. "Es bringt uns nicht voran, den CCC zu chaotisieren oder zu heroisieren". Denn eigentlich war das ja alles Leistung der FDP!1!! Hat den Liberalen noch keiner mitgeteilt, dass sie a) unter 5% sind und b) Eigenlob stinkt? Mann ist das abstoßend. Bisher einziger inhaltlicher Punkt ist, dass sie erschüttert ist, dass das BKA den Quellcode nicht hatte. (Über "grundrechtsschonendere" Methoden des Abhörens) "Wenn das in Asien geht, und ich meine jetzt ausdrücklich nicht China, …" *stöhn*
Jetzt ist Jan Korte von den Linken und lobt den CCC und die FAZ, das gab es bestimmt auch noch nie :-) Deutlicher Kontrast zum Gefasel der FDP. Er weist darauf hin, dass das BKA im Innenausschuss nicht garantieren wollte, dass ihr Trojaner nicht auch mehr kann. "Und das behindert den aufrechten Gang, wenn man nicht weiß, was Sie mitlesen wollen". Schön formuliert. "Die FDP hat nächste Woche die Möglichkeit, einem Antrag der Linken zuzustimmen, die BKA-Befugnisse zurückzudrehen" *schenkelklopf*
Ah jetzt war die Leutheusser-Schnarrenberger kurz im Bild. Ob die auch noch was sagen will? Der Korte gefällt mir jedenfalls, der hat da schön empört auf den Tisch gekloppt.
Ah, jetzt der von Notz von den Grünen. Beklagt sich über die Relativierung der Grundrechte und dass Vertrauen der Bevölkerung in die Bundesregierung verloren geht.
(Nochmal zu den Piraten: vielleicht solltet ihr das mit der Transparenz nochmal überdenken?)
Hmm, der Notz ist mir irgendwie nicht konkret und nicht empört genug. Das wirkt wie eine dieser "Business as Usual" Bashing-Reden im Bundestag, weil man halt in der Opposition ist. Ist ja schön und gut, dass die sich alle widersprochen haben, aber die Zeit hätte man besser nutzen können. Hahaha, ein lustiger Satz war doch (über den CCC) "sonst würdigen Sie ja das Ehrenamt immer, der CCC arbeitet doch ehrenamtlich!" Ah, jetzt kommt das Fleisch. Die Mehrheit der Bürger lehnt den Trojaner ab. Die Mehrheit lehnt auch die Vorratsdatenspeicherung ab. Gut! "Auch Sie müssen einsehen, dass im Netz die Grundrechte voll gelten" (mit anderen Worten: das Internet darf kein rechtsfreier Raum sein!)
Oh Graus, jetzt der Uhl. Und der greift erstmal bis zur Schulter ins Klo und wirft dem Korte von den Linken vor, dass er gegen den Überwachungsstaat wettert (weil ja die Linken, und die SED, ihr wisst schon, gut, der Korte ist ein bisserl jung dafür, aber hey!).
Jetzt versucht er die Kleidungs-Terroristen aus Bayern als große Gefahr darzustellen und bringt "Wer sich ins Internet begibt, der kommt halt um? Ist das Ihre Position?" Und in Ermangelung inhaltlicher Argumente zitiert er den Ziercke indirekt und weist darauf hin, dass der Ziercke ja SPD-Mitglied sei. Der hat noch nicht mitgekriegt, dass die SPD politisch auch keine Rolle mehr spielt.
Wird immer besser. Das ist ja alles kalter Kaffee, weil der Computer Club, der hat ja NICHTS aufgedeckt, der Fall ist ja schon vom April, und da ist ja schon alles aufgeklärt, und im Übrigen klären wir jetzt ALLES auf, der Schaar hat mir das gesagt, und das reichen wir rum, wir wissen ja noch nicht, was da rauskommt. Nicht gänzlich widerspruchsfrei, seine Argumentation :-)
"Das wäre ja sehr schade, wenn unser Land am Ende regiert würde von Piraten und Chaoten aus dem Computerclub." Stattdessen lieber Leute, die sich an Recht und Gesetz halten, wie … die CSU!1!! *schenkelklopf*
Als nächstes der Klingbeil von der SPD, der direkt ins Klo greift und vom Bundestrojaner spricht, den der CCC untersucht hat (Hint: Staatstrojaner!). Man könnte fast denken, die haben sich alle abgesprochen, damit da gleich mal wieder einer widersprechen kann, und dann glaubt die Öffentlichkeit weiter, dass da Details kontrovers seien.
Kloppt auch auf die Widersprüche von dem Friedrich ein, und dass der die Nachladefunktion verteidigt hat. Sagt, die einzigen Chaoten hier gerade sei die Bundesregierung, dankt dem CCC. Spricht von der Offenbarung eines Kontrollverlusts der Bundesregierung. Der hat wohl auch den Schirrmacher gelesen heute. Wünscht sich, dass in der CDU mehr Leute Altmaier als Uhl lesen. Naja, hat mich nicht vom Hocker gehauen. Der braucht einen dynamischeren Redenstil.
Oh jetzt die Schnarrenberger! "Es darf keine Online-Durchsuchung in eine Quellen-TKÜ übergehen!" Klingt schön empört, aber bringt dann so Allgemeinplätze. Die Frau ist halt ein Polit-Profi. Hoffentlich bringt sie auch noch echte Klopper. "Wir müssen jetzt aufklären!" Ja, äh, na dann machen Sie doch mal! Worauf warten Sie denn? "Da müssen harte Grenzen gezogen werden! Und da müssen auch Manipulationsmöglichkeiten ausgeschlossen sein!" Hört, hört! Was Sie nicht sagen! "Und wir können das doch alles gar nicht sagen!" (Kontext: wir Politiker verstehen die Technik eh nicht richtig)
Haut auch in die Kerbe, dass der Trojaner vom Staat programmiert werden sollte. Nur die Linken trauen sich, Trojaner ganz abzulehnen. Beschämend. Die Schnarrenberger hat jetzt 10 Minuten flammend gepredigt und die einzige inhaltliche Aussage war, dass der Trojaner doch bitte vom Staat selber programmiert werden sollte. Als ob das was helfen würde! Was für eine Nebelkerze.
Jetzt die Frau Jelpke von den Linken, dankt auch dem CCC, und spricht dann von "kleinkriminellen Anabolika-Händlern" als Trojaner-Opfern. Die macht das nicht schlecht, könnte aber auch noch ein bisschen dynamischer reden. Und sie spricht auch endlich mal ein paar konkrete Dinge an, haut auf die Nachladefunktion drauf, die "Aktualisierung" als Ausrede, beklagt das Rumgewiesel und Rumgemauschel und Ausweichen bei konkreten Nachfragen. Weist darauf hin, dass das ein langjähriger Trend ist mit den Sicherheitsgesetzen.
Jetzt der Beck, der eröffnet gleich mit einem großartigen Hieb auf den Uhl und sein "im Internet kommt man halt um" Gefasel, meint er soll sich doch nochmal ein aktuelleres Internet ausdrucken lassen in seinem Büro :-) Wun-der-bar. "Das Tragische an dieser Debatte ist doch: nicht eine Kontrollbehörde hat herausgefunden, dass da was falsch läuft! Der Chaos Computer Club hat das gemacht!" *strike*
"Wir haben hier ein Problem! Das Problem heißt: wer überwacht die Überwacher und die Überwachungssoftware?" Fordert auch, dass der Staat das selbst macht, und zusätzlich eine Kontrolle durch unabhängige Stellen.
Schade, dass die Grünen sich nicht trauen, da Trojaner komplett abzulehnen. Ich sehe schon einen Trojaner-TÜV vor uns. Na super.
Weist darauf hin, dass die Regierung die selben lahmen Ausreden bringt wie die Bayern. "Das ist doch eine glatte Lüge!" Jawoll! So macht man politische Reden, sehr schön. Der Mann rockt. "Wenn der Staat sowas sagt, dann glaube ich als Bürger doch erstmal gar nichts mehr, was nicht unabhängig überprüft worden ist!" *strike*
Oh und jetzt zweifelt er an, dass man überhaupt eine Quellen-TKÜ durchführen darf. Sehr schön! Sagt, dass das gar nicht rechtens ist, zitiert das Urteil, verweist auf die Strafprozessordnung. Sehr gut! Weist die Schnarrenberger darauf hin, dass sie mehr Applaus von der Opposition gekriegt hat als von den Regierungsparteien, "ich hoffe Sie haben verstanden, wo in dieser Angelegenheit Ihre Bündnispartner sind".
Jetzt kommt der Binninger von der CDU, da spar ich mir mal die Zusammenfassung. Ih ist der unsympathisch. Beschwert sich, dass der CCC nicht "Bayern" drangeschrieben hat, dann wäre ja die Diskussion ja vielleicht sachlicher gewesen, und im Übrigen war das ja schwere Kriminalität, weil es ja Haftstrafen gab. Ich glaube die CDU hat überhaupt nur die drei Talking Points, durch die die da immer durchrotieren. Jetzt kommt wieder ein "wir brauchen aber die Quellen-TKÜ!1!!" *göbel* Oh die Schmerzen, ich halt's nicht aus! Oh und ihre Inkompetenz in Technikfragen ist gottgegeben, das ist halt so, Technik versteht ja eh keiner mehr, das muss so. Restunsicherheit und so. Wie bei Atomkraft!1!! Lasst uns ein neues Service- und Kompetenzzentrum schaffen! *schenkelklopf*
So, jetzt Hofmann von der SPD. "Die Exekutive hat immer gemauert! Wir hätten [immer noch] keine Erkenntnisse, wenn wir den CCC nicht hätten". Zu den Vorschlägen der CDU: "Ich denke, das sind Sachen, die wir auch vor zwei Jahren schon hätten machen können"
"Die Union ist mit ihren Sicherheitsgesetzen zur Gefahr für Sicherheit und Freiheit geworden". Sehr schön!
"Wenn der Uhl immer von Grauzone redet, dann weiß ich, der mein Rechtsbruch, also sag ich auch Rechtsbruch" :-)
"… nichts anderes gemacht als eine Online-Durchsuchung durch die rechtliche Hintertür." *strike*
[zu Friedrich] "Ich habe den Eindruck, der weiß nicht, wovon er spricht"
"Es ist doch klar, wenn man so eine Quellen-TKÜ nicht umsetzen kann ohne solche Grundrechtsverletzungen, dann kann man sie halt gar nicht machen!"
Der Mann ist mir noch nie aufgefallen, aber die Rede da gerade, die rockt.
"Diese Regierung ist ein Sicherheitsrisiko"
Zur Schnarrenberger: "Wenn Sie diese Rede vor zwei Jahren gehalten hätten und dann auch so gehandelt hätten, dann hätte ich auch geklatscht".
Jetzt kommt Jimmy Schulz von der FDP und grüßt die Zuschauer an den Empfangsgeräten, erwähnt den Begriff "Hashtag". Betont, dass er schon immer davor gewarnt hat, dass der Trojaner mehr können würde, nennt die Nachladefunktion "perfide", erklärt dass man darüber auch andere Dinge als Updates machen kann. Weist darauf hin, dass Trojaner-Erkenntnisse keine Beweiskraft haben. Whoa, spricht von Generalschlüssel und "Man in the Middle Attack". Der ist ja gut gebrieft! :-)
Oh und er weist darauf hin, dass man auch bei Skype direkt abschnorcheln kann. "Wenn so ein Trojanereinsatz nicht grundgesetzkonform gemacht werden kann, wieso tun wir es dann?" Wow! Und jetzt hat er gefordert, generell auf Trojaner zu verzichten! Ich bin beeindruckt! Das ist ja mal eine Überraschung.
Jetzt Edathy von der SPD. Schlägt vor, dass die Bundesregierung miteinander redet, um sich nach außen hin nicht so häufig zu widersprechen. Finde ich gar nicht, das war doch tolles Popcornkino!
Meint, die Interviewerin im Radio sei besser informiert gewesen als der Friedrich. "Ich finde, so einen Verlegenheitsinnenminister hat die Republik nicht verdient." YES!!! Fordert, dass Sicherheit nicht nur gelegentlich mal der Freiheit untergeordnet wird, sondern immer. "Sicherheit kann ich auch in Nordkorea haben". DER ist ja gut drauf heute!
Gelegentlich ist der Ole Schröder noch im Bild, wie er auf der Bank sitzt und twittert. m(
Schade, dass die SPD in der Regierung für die Einführung des Trojaners verantwortlich war. Sonst wäre das jetzt ein echt großartiger Beitrag gewesen.
Huch, jetzt kommt da ein Hinterbänkler (beachtet auch die Sektion "Plagiatsverdacht") von der CDU. Die haben wohl niemanden gefunden, der sich dahinterstellt. Ob das jetzt die CDU-"Netzpolitiker"-Simulation ist? Spricht von "ich habe auf Facebook eine Anfrage gekriegt". Oh Gott ist der gruselig. Da müssen sie aber echt weit nach hinten gegangen sein, bevor jemand den Vorteil durch Selbstdarstellung höher bewertet hat als die Nachteile durch um-Kopf-und-Kragen-reden. "Wir reden von Einzelfällen!" Au weia, wenn das die neue Netzpolitikabteilung der CDU ist, dann stehen die schlechter da als vorher. Der hat gerade ernsthaft dem CCC Strafvereitelung vorgeworfen. Hoffentlich ist der kein Jurist, sonst hat er gerade auch unter Kollegen seinen Ruf ruiniert (hier nochmal von einem Juristen bestätigt).
Jetzt ein Herr Höferlin von der FDP, der mir ja nichts sagt, und der greift erstmal so richtig tief ins Klo mit einem saftigen "also WIR haben ja ZUERST mit dem CCC ein Treffen gemacht". Ooooh wie peinlich. Ansonsten erwähnt er, dass Skype auch ohne Trojaner abgehört werden kann, und schließt mit "Wir werden das gemeinsam mit den Freunden von der Union lösen".
Jetzt noch ein Herr Schuster von der CDU. Verteidigt sich ausdrücklich gegen "Parteien, die sich schon im Bundestag wähnen" (und er meint glaube ich die Piraten, nicht die FDP damit :-] ). Ein sehr undynamischer Redner, klingt wie ein Jurist. *gähn*
Sagt ausdrücklich, dass keiner irgendwelche illegale Software einsetzt, dass das BKA alles dokumentiert, und dass es auch noch keine unabhängigen Prüfungen gibt, die die CCC-Ergebnisse bestätigen. Versucht wieder den Talking Point, dass es ja nur darauf ankommt, auf welche Knöpfe die Polizisten tatsächlich klicken, und nicht was die Software für Funktionen hat. Alles andere sei ein "Misstrauensverdacht" gegen die Polizistinnen und Polizisten!1!! Ich halt's nicht aus. Wo haben sie DEN denn ausgegraben? "Der CCC ist keine institutionelle Referenz in diesem Lande". Will auch ein zentrales Kompetenzzentrum einrichten. Ich begrüße das ja, dass die CDU Kompetenz einführen will. Das hätten sie schon vor 40 Jahren machen sollen. Sein Schlussplädoyer klang für mich nach "Wir haben euch doch alle lieb!"
Update: Uhl hat noch ein Money Quote rausgehauen, das ich aber nicht klar genug verstanden hatte, um es zu zitieren. Aber es gibt ein Video davon:
Das Land wird von Sicherheitsbehörden geleitet, die sehr behutsam mit dem sensiblen Instrument der Quellen-TKÜ umgeht, und so soll es auch sein.
Es wäre schlimm, wenn unser Land am Schluss regiert werden würde von Piraten und Chaoten aus dem Computerclub.
Es wird regiert von Sicherheitsbeamten, die dem Recht und dem Gesetz verpflichtet sind.
Na wenn das so ist, Herr Uhl.
Die Hacker des Chaos Computer Club haben unwiderleglich gezeigt, dass der Staat die Kontrolle über einen mehrfach eingesetzten Staatstrojaner verloren hat. Hätte er es nicht, wäre das, was in Bayern in einen Laptop eingebaut wurde, ein bewusster Verstoß gegen das Grundgesetz. Das wollte eigentlich niemand glauben. Aber seitdem der CSU-Politiker redet, wie er redet, wachsen die Zweifel.Heute ist ja im Bundestag Götterdämmerung, äh, Innenausschuss, aber natürlich gibt es von dort keine Liveübertragung. Wo kämen wir da auch hin, wenn das Volk Einblick bekäme.
Aber zurück zu Schirrmacher. Hier ist noch ein wunderbares Zitat:
Politiker des digitalen Zeitalters müssen endlich erkennen, dass der Verlust der Kontrolle die Regel kommunikativen und politischen Handelns sein wird, so lange das Verständnis der Software quasi-magisch bleibt und die Institutionen im zwanzigsten Jahrhundert steckenbleiben.Und dann fordert Schirrmacher (endlich!) die Umkehrung der Beweislast beim Richtervorbehalt:
Eines dieser Verfahren ist die Umkehrung der Beweislast beim Richtervorbehalt. Bisher ist es für einen Richter einfacher, einer Überwachungsmaßnahme zuzustimmen, als sie abzulehnen.YES!!!! Wie lange schreibe ich das schon? Seit Jahren. Ich weiß gar nicht mehr, seit wann genau. Und jetzt kommt das in der Print-Presse an! Ich bin hocherfreut und hoffe, dass das Schule macht!
Update: Der Innenausschuss wird nicht übertragen, aber jetzt läuft gerade live auf Phoenix die Befragung der Bundesregierung. Da scheint die Strategie zu sein, die 45 Minuten mit belanglosem Filibuster-Müll zu füllen, damit am Ende keine Zeit für den Trojaner übrig bleibt. Es ist auch auffallend leer dort. Ab 13:45 geht es mit dem Trojanerkram los.
Update: Hier steht, dass es erst ab 15:45 mit dem Trojaner losgeht. WTF?
In diesem Fall scheint es wohl sogar tatsächlich Parallelen zu geben. Wie spannend das jetzt wirklich ist, das wird sich zeigen müssen. Mein erster Eindruck ist nicht, dass da gerade Geschichte geschrieben wird. Wer sich selber eine Meinung bilden will: Hier ist ein Whitepaper dazu von Symantec.
Oh und wo wir gerade bei Malware sind: inzwischen gibt es auch einen Kaspersky-Blogeintrag zum Staatstrojaner-Dropper. Der kursiert seit einer Weile in der Antivirusindustrie. Ein Dropper ist sowas wie ein SETUP.EXE für Viren, der Installer sozusagen. In dem Dropper kann man sehen, dass es auch ein 64-bit Kernelmodul gibt. Wir hatten uns ja darauf gefreut, dass man da womöglich eine die Quelle preisgebende Signatur dran sehen könnte, aber das ist leider nicht so. Da ist zwar ein Zertifikat dran, aber das ist nicht vertrauenswürdig und wird daher von Windows abgelehnt. Hier wäre also ein weitere Eingriff durch die installierende Behörde nötig, damit das überhaupt sauber lädt.
Aber ein Altmaier allein macht noch keinen Frühling. Sosehr es mich freut, wenn ein Ritter der Ehrenlegion und einflussreicher Konservativer offenbar wirklich zu verstehen beginnt […]Man fängt an mit ein paar unbequemen Wahrheiten über den Gegenspieler, dann legt man eine Packung Musikindustrie-Bashing nach, macht ein paar "die sind eh alle so gut wie am Ende"-Zukunftsaussagen, verbreitet eine Packung "die Daten fließen alle nach Amerika ab"-Angst, und schließlich legt man noch eine Packung Eigenlob nach.
Bereits nach dem Zwei-Prozent-Erfolg der Piratenpartei im Jahr 2009 wurden bei CDU, CSU, SPD, Grünen und FDP die randständigen Netzpolitiker in den eigenen Reihen nicht mehr nur belächelt.Soweit zum Standard-Parcours, danach kommt die Kür.
Bisher konnte man die Situation der Piraten mit „hoffnungslos, aber nicht ernst“ charakterisieren. Jetzt gibt es Hoffnung, doch die Lage ist ernst geworden. Waren die politischen Freibeuter bisher nur ein wenig lästig, so ist nun zu erwarten, dass die Gegenkräfte ernstzunehmende Ressourcen mobilisieren werden, um die neuentstandene Situation unter Kontrolle zu bekommen.So sieht das aus. Und der gefährlichste Feind der Piraten sind unerwarteterweise die CDU/CSU. Das zeigt Pavel anhand dieses Beispiels:
Die Konservativen im Land werden die gefährlichsten Gegner der Piraten, denn sie sind bemerkenswert handlungsfähig. Drei Tage, nachdem in Fukushima die Meiler explodiert waren, stritten grüne und linke Kräfte noch über Strategien und Demonstrationstermine, während die Konservativen bereits die kurz zuvor in ihrer Laufzeit noch verlängerten Altkraftwerke reihenweise herunterfuhren - eine beeindruckende Demonstration von politischem Gespür und Machtinstinkt.Das Problem ist, wenn man sowas nennt, dass man ja die CDU nicht loben will, eher im Gegenteil. Der Übergang ist nicht so einfach, aber Pavel macht es ausgezeichnet:
Es zeigt aber auch, dass man es mit Recht und Gesetz nicht so genau nimmt, wenn Eile geboten scheint. Denn so sehr man die Stilllegung der Kraftwerke begrüßen mag, so wenig gab es eine gesetzliche Grundlage dafür.und weiter unten
Das politische Hauptproblem ist, dass es in Zeiten des Internets immer schwieriger wird, mit solchen Rechtsbrüchen davonzukommen. Das zeigt die aktuelle Affäre um den Staatstrojaner.Schöner Übergang auch. Und einmal beim Trojaner angekommen, nimmt Pavel keine Gefangenen mehr:
Wie aber können Verantwortliche, die das Recht mit Füßen treten, sich anmaßen zu behaupten, sie würden das Recht schützen?Die Falle an der Stelle ist, dass man die Debatte "aber die armen Polizisten, die tun doch nichts unrechtes, die folgen doch nur Befehlen" vermeiden will, weil man sich sonst in Aussage-gegen-Aussage-Teergruben aufreibt und sein Momentum verliert. In der Tat geht es ja auch wirklich nicht um die Polizisten, die würden sich nach entsprechenden Strukturreformen auch wieder an Recht und Gesetz halten, zum Großteil jedenfalls, und den Rest muss man dann halt rausschmeißen. Das ist aber nichts, was man jetzt groß thematisieren will, sonst machen die Polizeigewerkschaftsbosse wieder eine Tränentour durch die Talkshows. Pavel umschifft die Problematik so:
Die Ursachen für die Staatstrojaneraffäre liegen nicht in mangelndem technischen Sachverstand oder finanziellen Engpässen. Sie sind in der grundsätzlichen Struktur zu suchen, die mit Konstruktionsfehlern behaftet ist, die nicht erkannt und beseitigt werden, weil vieles den Augen der Öffentlichkeit und der politischen Kontrolle entzogen ist. Der Trend zur Vergeheimdienstlichung normaler Polizeiarbeit zeigt fatale Auswirkungen.SEHR schöner Übergang, Pavel! Dann bedient er sich im Drehbuch von Yes, Minister und spielt die inkompetente politische Ebene gegen die Profi-Beamten aus.
Selbst ein Wolfgang Schäuble, der in der Öffentlichkeit in dem Ruf steht, aus Sicht des Apparats ein guter Innenminister gewesen zu sein, wurde dort für eine Heißluftpumpe gehalten.Hört, hört!
Ich will das nicht alles zitieren, aber das ist taktisch und inhaltlich gut und lesenswert und ich empfehle eine vollständige Lektüre.
Ein-zwei Klopper ziehe ich mal noch raus, weil die so schön sind:
Dem einzelnen mit der Durchführung beauftragten Beamten mag man mit viel Augenzwinkern noch eine rechtlich falsche Beurteilung oder Ermessensfehler zugestehen. Doch kann man unmöglich gelten lassen, dass bei Beschaffungsvorgängen in diesen Größenordnungen keine rechtliche Prüfung erfolgte, wo doch sonst für den Kauf einer Socke erst die Rechtsgrundlagen geklärt und umfangreiche Eignungs- und Konformitätsprüfungen durchgeführt werden.*händereib*
Und dann noch diese veritable Breitseite in Richtung Altmaier:
Sie, Herr Altmaier, und ihre politischen Freunde haben sicher tiefe Einblicke in das Eigenleben der Sicherheitsapparate. So erklärt sich vielleicht, dass ihnen der Staatstrojaner als relative Petitesse erscheint. Was für verfassungsrechtliche Skelette tanzen denn noch in den Kellern der deutschen Sicherheitsbehörden, wenn ein so massiver Verstoß wie der Staatstrojaner eine Kleinigkeit sein soll?YESSSSS!
Und stilvoll endet das Traktat mit dem Hinweis in Richtung Altmaier, sollte er es ernst meinen und feststellen, dass er in der falschen Partei ist, könne man ja über alles reden :-)
Die Details werden wir ja morgen sehen.
Außerdem gibt es in der FAZ das Friedrich-Interview, aus dem sie gestern zitiert hatten. Und dort verwendet der Friedrich die sehr innovative Pippi Langstrumpf-Verteidigung. Er behauptet erst, es gäbe keine Hinweise darauf, dass gegen Recht und Gesetz verstoßen worden sei (was ja schon höchstrichterlich festgestellt worden ist!) und als ihn dann die FAZ fragt, wieso er denn dann die Überwachungen gestoppt hat, sagt er:
Weil der Code veröffentlicht wurde und jetzt missbrauchsanfällig ist.Beachtet das "jetzt"! widiwidiwie sie mir gefällt! Mit anderen Worten: WIR sind jetzt Schuld, dass sein Trojaner unsicher ist! Denn bevor wir das gesagt haben, hat der Kaiser sehr wohl Kleider getragen!1!!
Die FAZ fragt dann noch, ob sie denn jetzt mit einem anderen Trojaner weitertrojanern, und die Antwort ist:
Ja. Sollen wir die organisierte Kriminalität laufen lassen? Den Drogenhandel? Den Menschenhandel? Den Waffenschmuggel? Und was ist mit dem Terrorismus? Denn nur gegen solche schweren Verbrechen gehen wir auch mit Hilfe von Überwachungssoftware vor.Es sei an dieser Stelle nochmal auf die Online-Apotheke und die Kleiderdiebe hingewiesen, gegen die der Trojaner eingesetzt wurde.
Nun ist die FAZ ja nicht auf den Kopf gefallen und spricht ihn auch auf die höchstrichterliche Entscheidung an, die die Taten der Bayern für rechtswidrig erklärt hat. Was sagt der Friedrich dazu? Achtung, das kann man sich gar nicht ausdenken:
Das Landgericht Landshut hat zu den Möglichkeiten der Quellen-Telekommunikationsüberwachung eine andere Rechtsauffassung vertreten als die bayerische Staatsregierung. Entscheidend ist: Wir müssen in der Lage sein, Kommunikation zu überwachen.Das ist ja unfassbar! Wieso ist dieser Mann noch im Amt?! Hallo? Ist da überhaupt jemand am Steuer bei der Opposition? Mann über Bord?
Ein Money Quote habe ich noch:
Wir nutzen die Quellen-Telekommunikationsüberwachung, um auf richterliche Anordnung organisierte Kriminalität und Terrorismus zu bekämpfen.Hallo, ihr da draußen, habt ihr nicht gehört? TERRORISMUS! ORGANISIERTE KRIMINALITÄT! Jetzt hört doch mal mit eurem Rumgezicke auf, ihr sollt jetzt Angst haben und euch hinter dem Kamin verstecken und hier nicht rumdemonstrieren!1!! Das hat doch sonst immer so gut geklappt!!
Oh einen hab ich noch, einen hab ich noch:
Ich weiß nicht, welche Software der CCC vorliegen hat, also kann ich nicht beurteilen, was das Programm, das der CCC analysiert hat, kann oder nicht kann.Wir haben die Binaries öffentlich ins Web getan. Vor einer Woche. Wie kann er behaupten, er wisse nicht, welche Software wir vorliegen haben? Hat den überhaupt mal jemand aus unserer Dimension gebrieft?
Unsere Beamten halten sich strikt an das, was sie dürfen“, sagte Friedrich der „Frankfurter Allgemeinen Sonntagszeitung“. „Die Behauptung, sie hätten mehr gemacht, ist falsch.“Das ist ein erbärmlicher Versuch, von der Tatsache abzulenken, dass schon der Einsatz einer solchen Software ein Verfassungsbruch ist, unabhängig davon ob sie auf den Nachladen-Knopf gedrückt haben oder nicht. Und wie transparent er hier versucht, Patriotismuspunkte für die Verteidigung der Polizei einzuheimsen, und deren guten Ruf zum Abdichten der Lecks in seiner Argumentation zu nutzen. Ekelhaft. Wenn wir jemanden hätten, der seinen Job als Opposition ernst nimmt, würde er dafür ordentlich Feuer unter dem Hintern kriegen.
Und dass er die Malware-Installationsfunktion auch noch verteidigt, spätestens dafür muss er mit Rücktrittsforderungen abgestraft werden. Das darf sich ein Innenminister nicht leisten, und der Friedrich ist auch noch Jurist! Das ist völlig unakzeptabel. Wo bleibt der Aufschrei? Der ist untragbar und muss da weg.
Oh und auch die Leutheusser-Schnarrenberger ist mir zu zurückhaltend gerade.
„Wenn eine Überwachungssoftware das Nachladen von Funktionen ermöglicht, kann die Telefonüberwachung zur Online-Durchsuchung mutieren, für die rechtlich ganz andere Maßstäbe gelten“, sagte Frau Leutheusser-Schnarrenberger der Sonntagszeitung.Was heißt hier "kann"?
Update: Hab ich verwechselt, die war Beschwerdeführerin bei der Vorratsdatenspeicherung, nicht beim Bundestrojaner.
"Wir brauchen diese Nachladefunktion, um uns den normalen Updates auf dem Zielcomputer anpassen zu können."Wun-der-bar, Herr Friedrich! Vielen Dank, wir fingen schon fast an, uns Sorgen zu machen, dass es in Arbeit ausarbeiten würde, wenn wir im Falle einer Klage Vorsatz nachweisen müssten. Das hat sich damit ja dann erledigt.
Guter Mann, dieser Friedrich. Fast so ein kompetenter Polit-Profi wie diese Piratenpartei.
Update: Hier ist der FAZ-Artikel, und da ist noch ein Highlight drin:
Der bayerische Innenminister Joachim Herrmann (CSU) sagte dazu der Sonntagszeitung: „Es scheint mir die Frage zu sein: Was versteht man unter nachladbar?“
Nee, klar, Herr Herrmann. Hey, wenn der Clinton damit durchkommt…
Die Bundesanwaltschaft habe sich bei einer früheren Anfrage zur Rechtmässigkeit der Methode auf den Standpunkt gestellt, dass nicht die gesetzlichen Grundlagen in der Schweiz massgebend seien (siehe Spalte rechts). Gemäss Bosonnets Darstellung haben die Ermittler in ihrem Rechtshilfegesuch an die zuständigen deutschen Behörden argumentiert, dass es in diesem Fall die in der Schweiz verlangte Bewilligung nicht brauche, weil die Software vom Ausland aus eingesetzt werde.Das ist ja wohl an Dreistigkeit kaum zu überbieten! (via)
Analog hier jetzt: nur eine handvoll Trojanereinsätze bekannt. Das Dutzend Trojanereinsätze ist ja wohl kaum der Rede wert, wir reden hier schließlich bloß von 20 Trojanereinsätzen, und wer kann bei nur 40 Trojanereinsätzen schon von einem Problem reden, das waren ja bloß 100!
Die Software des "Bundestrojaners" war den Ermittlern nach Informationen des WESER-KURIER mit kühnsten Versprechungen von einer Firma angeboten worden. "Das ging so nach dem Motto: Wir können alles was ihr wollt, selbst Eierkochen damit", berichtet ein Beamter. Die Ermittler hätten jedoch darauf bestanden, dass die eingesetzte Software nicht mehr könne, als gesetzlich erlaubt und richterlich in Bremen zuvor genehmigt worden sei. Tatsächlich aber habe das "Mistding" damals überhaupt nicht funktioniert.(Danke, Daniel)
Update: Allerdings ist das natürlich auch korrekt mit den Nazis, die gibt es bei den Piraten, genau wie es in der CDU Altnazis, bei den Grünen "gefährlichen Eingriff in den Bahnverkehr", bei der NPD Nicht-V-Männer und bei den Linken Stasi-Kader gibt. Und die Piraten sollten da mit aller Entschiedenheit gegen vorgehen, von solchen Leuten unterwandert zu werden.
Update: Auch der NDR gibt da gerade ein ausgesprochen schlechtes Bild ab. (Danke, Andreas)
Frage: Herr Teschke, wie viel Mühe macht es denn Ihrem Haus, den Parteifreund Herrmann nicht vollkommen im Regen stehen zu lassen? Ist das richtig Arbeit?*STRIKE* (Danke, Dietmar)Teschke: Wir haben keinerlei Mühe mit dem CSU-Innenminister Herrmann.
Aber wartet, wenn ihr denkt, das war schon der Höhepunkt, der kommt erst noch:
Der Computer des Verdächtigen wurde durch das Überspielen des Trojaners beschädigt und die Festplatte lahmgelegt.Die sind offensichtlich sogar zum Doppelklicken auf setup.exe zu inkompetent!
Aber wartet, geht noch weiter:
In zwei weiteren Verfahren kam es trotz Erlaubnis durch Gerichte gar nicht erst dazu, dass Ermittlungsbehörden mit Trojanern die Internettelefonate zweier Verdächtiger abhörten. Einmal, weil ein Verdächtiger diese Internetfunktion überhaupt nicht nutzte, ein anderes Mal, weil die Virenfunktion des Computers den Trojaner blockierte.m(
Spannend ist das, weil das BKA das bisher hartnäckig dementiert, und der BMI-Sprecher dann der Lüge überführt wäre, denn der hatte auch offiziell dementiert, dass die Bundesbehörden irgendwas mit der Sache zu tun gehabt hätten. Besonders bizarr ist, dass die aktuellen Talking Points der CDU sind, der CCC habe "gelogen", weil wir in unserer Presseerklärung was von einem Bundestrojaner geschrieben hätten, nicht vom Staatstrojaner. Mal abgesehen davon, dass das keine Rolle spielt, welcher Teil des Staates am Ende die Schuld hat, und auch abgesehen davon, dass der CCC bei seiner Außenkommunikation pingelig darauf geachtet hat, vom Staatstrojaner zu sprechen und nicht vom Bundestrojaner, abgesehen von all dem wäre das natürlich oberpeinlich, wenn das jetzt doch der Bundestrojaner wäre. Mal gucken, wie sich das entwickelt.
Update: Eigentlich ist ja jetzt schon belegt, dass Ozapftis der Bundestrojaner ist, weil das Zollkriminalamt ja zugab, ihn eingesetzt zu haben.
Damit erübrigt sich dann wohl auch die Frage nach dem Staatstrojaner für OS X. (Danke, Moritz)
In den Protokollen erscheinen am Ende sogar Chat-Gespräche, die noch vor dem Überwachungsbeschluss des Amtsgerichts stattgefunden haben.Großartig! Das kapiert sogar der dämlichste Bild-Leser, dass da was nicht stimmt. (Danke, Markus)
»Der Chaos Computer Club ist staatstragender und grundrechtsschützender als die Staatspartei CSU mit ihrem Staatstrojaner«, so SPD-Fraktionsgeschäftsführer Thomas Oppermann.(Danke, Frank)
Und zweitens kommt in dem Artikel noch dieses Highlight:
FDP-Generalsekretär Christian Lindner sagte nach einem Treffen mit CCC-Mitgliedern, die schlimmsten Befürchtungen hätten sich bestätigt. Es gehe um eine Software, die "vergleichbar mit einer Hausdurchsuchung" sei, bei der "hinterher die Wohnungstür offen bleibe".Das ist ein ausgezeichneter Talking Point, den könnten die Piraten auch gleich mal notieren, denn Hausdurchsuchungen, bei denen sie die Tür eintreten, die gibt es ja auch immer wieder, und dann sitzt man auch in einer Wohnung ohne Tür. Da müsste auch mal jemand was tun. Eine … Partei am besten. Überhaupt müsste man bei der Strafprozessordnung mal ein paar Dinge modernisieren.
Normalerweise wird Software, die von bayerischen Behörden eingesetzt wird, vom Bayern CERT überprüft. In diesem Fall war dies jedoch, so bestätigte der Leiter der Behörde, "definitiv nicht der Fall".Und weiter noch, falls das jemand nicht mitgekriegt hat:
Auch der Bundestrojaner des Bundeskriminalamts kann übrigens nicht von der technischen Expertise des Bundesamts für Sicherheit (BSI) in der Informationstechnik profitieren. Die Behörde hatte schon vor Jahren eine entsprechende Überprüfung abgelehnt, da damit ein Interessenkonflikt entstünde - das BSI berät auch Bürger, wie sie ihre digitalen Geräte vor Angreifern schützen können.Tja, wenn nicht das CERT und nicht das BSI, wer hat denn dann die besonders eingehende Prüfung durchgeführt? Na? Kommt ihr NIE drauf!
Das bayerische Landeskriminalamt teilte schließlich mit, dass es sich bei den externen Prüfern nicht um versierte IT-Sicherheitsexperten, sondern um Mitarbeiter anderer Landeskriminalämter handle.Das kann man sich gar nicht ausdenken! Die LKA-Spezialexperten haben sich notgedrungen gegenseitig attestiert, dass ihre Software schon OK sei! HARRHARRHARR
Und auch sonst redet sich das LKA Bayern um Kopf und Kragen, deuten gar an, das Gericht habe ihnen die Nachladeschnittstelle erlaubt.
So if VirusTotal shares with everybody, wouldn't somebody trying to keep a backdoor secret be stupid to upload it there?Yes. That's why professional malware authors use black market multi-scanners.
Die BESTEN der BESTEN der BESTEN, SIR!
Update: Die Piraten in Bayern hauen auch auf den Tisch und auch die Piraten aus Brandenburg, und die Piraten aus Schleswig-Holstein.
DigiTask bietet auf seiner Website „spezielle Kommunikationssysteme“ und bezeichnet sich selbst als „bundesweit führenden Anbieter von speziellen Sicherheits- und Kommunikationslösungen für Behörden“. Das Unternehmen ist nach Angaben von Creditreform eine hundertprozentige Tochter der Wirtschaftsberatung Deloitte.Das ist ja noch deutlich saftiger als wenn das nur so ne kleine Firma auf dem Lande ist.
Übrigens, kurzer Hinweis für andere Bundesländer: es gibt noch andere Trojanerlieferanten. Eine sehr umfangreiche Liste findet ihr bei buggedplanet.info. Das müsste mal jemand (Hint, Hint) mit dem EU-Amtsblatt zusammenführen, dann haben wir bis heute abend auch alle Skelette in den Kellern der anderen Bundesländer ausgebuddelt.
"Hier werden zum einen Missverständnisse verbreitet und zum anderen vom Chaos Computer Club (CCC) falsche Behauptungen in die Welt gesetzt", sagte Herrmann der Passauer Neuen Presse.Was für eine Frechheit! Bei so einem Vorwurf würde man ja denken, dass er auch etwas konkretes benennen kann, was wir angeblich falsch gemacht haben sollen, aber da haben seine PR-Berater offensichtlich noch nichts gefunden:
Was der Club konkret falsch gemacht habe, sagte der Minister nicht.Na super.
Aber wartet, wird noch besser! Ein Money Quote jagt das nächste!
[Unions-Bundestagsfraktionsvize Günter Krings] warf im Gespräch mit der Neuen Osnabrücker Zeitung dem CCC vor, er habe die Sicherheitsbehörden des Bundes leichtfertig unter Generalverdacht gestellt.Das ist ja großartig! Kann man sich gar nicht ausdenken!
Bisher gebe es keinerlei Belege dafür, dass die analysierte Software tatsächlich illegal eingesetzt worden sei.Ja, stimmt, so gut wie keine. Bis auf dass das Landgericht Landshut das geurteilt hat. Aber hey, solche unwichtigen Randdetails kann man schonmal durcheinanderbringen.
Krings forderte, der Club solle an der Aufklärung mitwirken und sein Wissen einbringen, um das Internet sicherer zu machen. "Das wäre tatsächlich ein Dienst an unserem Gemeinwesen."Sehen wir genau so. Deshalb haben wir ja auch gerade eine tiefe Sicherheitslöcher in infizierte PCs reißende Malware aus dem Verkehr gezogen.
Update: Ooooh, das wird ja immer besser! Das Innenministerium von Bayern hat jetzt auch eine Argumentationslinie dafür, wieso das Landgerichtsurteil nicht zählt:
Das Landgericht Landshut entschied im Januar in einem der fünf Fälle, dass das Aufnehmen von Bildschirmfotos rechtswidrig war. Das Landesinnenministerium hingegen argumentiert, dass die Genehmigung auch Bildschirmfotos umfasst - und verweist darauf, dass es dazu noch keine höchstrichterliche Entscheidung gibt.
Mit anderen Worten: Urteile von Landgerichten zählen nicht.
Update: Ein Jurist weist mich gerade auf folgendes hin:
Die Meinung vom Innenministerium ist schon deswegen Bullshit, weil bei solchen Beschlüssen das LG die höchste Instanz *ist* - darüber gibt's nix mehr.
m(
Um Geld zu sparen, hatten Behörden einige Beamte gebeten, in ihrer Freizeit eine Software für Observationssysteme zu entwickeln.
Na kommt, Freunde, da geht noch was.
Falls unter meinen Lesern begabte Grafiker sind…: jetzt wäre eure Gelegenheit, eine coole Visualisierung zu basteln :-)
Update: Hessen gesteht in Form eines verkackten Dementis:
Zwar nutze auch Hessen die Quellen-Telekommunikations-Überwachung. Das bedeutet zum Beispiel das Abhören von Internettelefonaten oder Chats. Die Überwachung geschehe aber in Einklang mit den Gesetzen.
Ja, wie bei allen anderen auch!1!!
Update: Rheinland-Pfalz gesteht.
Update: Nordrhein-Westfalen gesteht
Update: Schleswig-Holstein gesteht.
Update: Auch Bremen ist geständig.
Update: Das Zollkriminalamt gesteht auch.
Update: Hamburg ist auch geständig.
Ich muss mal kurz mehr Popcorn beschaffen gehen.
Vorsicht: funktioniert nur eingeschränkt bei Laptops.
Schaut mal hier in der Zeit. Dieses großartige Popcornkino hätten wir sonst verpasst:
Der Vorsitzende des Bundestagsinnenausschusses, Wolfgang Bosbach (CDU), sagte im Deutschlandradio Kultur: "Man darf den Behörden nicht, ohne dass man ganz konkret wird, solche massiven Vorwürfe machen." Das dürfte damit erledigt sein, da bereits ein Gericht festgestellt hat, dass der Einsatz des Bayerntrojaners illegal war.Wun-der-bar! Da kann man doch den ganzen Winter über von zehren! :-)
„Wenn sich das BKA wirklich über die geltenden Grundsätze des Grundgesetzes und das Bundesverfassungsgericht hinweggesetzt hätte, gehört die gesamte Hausspitze um Herrn Ziercke sofort auf den Mond geschossen - und zwar ohne Rückfahrticket“
Und damit können wir auch das Geheimnis lüften, wie der Trojaner auf den Rechner kam:
Aufgespielt wurde der Trojaner bei Gelegenheit einer Kontrolle meines Mandanten durch den Zoll auf dem Münchener Flughafen.Der Anwalt schreibt weiterhin:
Auch wenn die Maßnahme selbst von bayerischen Behörden kontrolliert wurde, so steht für mich außer Frage, dass Stellen des Bundes – etwa der Zoll bzw. das Zollkriminalamt – im Wege der Amtshilfe beteiligt waren.Sehr schön.
Update: Die Site ist down, Heise hat auch was.
Oh und wo wir gerade bei Bosbach waren: Herr Wiefelspütz fordert im Innenausschuss brutalstmögliche Aufklärung. Na also dann mache ich mir ja keine Sorgen mehr. Wenn der Wiefelspütz das übernimmt, dann wird sicher alles ans Licht kommen.
DLF: Macht es den einen Unterschied, ob wir es mit Software zu tun haben, die das Bundeskriminalamt beispielsweise, das Bundesbehörden verwandt haben, oder ob es Material ist und Software, die von Landesbehörden verwendet wurde?Vielen Dank, Herr Bosbach. Das sehen wir genauso.Bosbach: Nein, das macht natürlich was die Rechtsqualität angeht keinen Unterschied.
Eine saftigere Einladung, die Strafprozessordnung und die Praxis der leichtfertigen Anordnung von Hausdurchsuchungen und Beschlagnahmen mal grundsätzlich zu thematisieren kann man doch gar nicht geschenkt bekommen. Elfmeter versaut, während der Torwart sich beidhändig in der Nase popelte.
Und nun habt ihr gerade so eine fette Steilvorlage wie den zerlegten und enttarnten Staatstrojaner, und dann vermasselt ihr die auch noch? Da gibt euch die FAZ auch noch die Gelegenheit, mal richtig auf die Kacke zu hauen. Die nutzt man dann doch nicht für so Nullaussagen wie:
Es ist natürlich ein starkes Stück. Aber mit markigen Statements wäre der Sache nicht gedient. Man muss erst einmal die sachlichen Hintergründe aufklären: Von wem wurde der Trojaner wie und wofür eingesetzt? Hier müssen die parlamentarischen Kontrollen greifen.Jemand zu Hause, McFly? Ich dachte, ihr wolltet die anderen Parteien bei den digitalen Themen vor euch hertreiben? Was glaubt ihr denn, wofür ihr in Berlin gewählt wurdet? Zack, Zack, Kleine Anfrage in den Länderparlamenten organisieren! Wenn das BKA leugnet, wollen wir das für alle LKAs und das Zollkriminalamt auch einmal hören. Bei Larifari-Dementis festbeissen und nachhaken. Der CCC kann fundierte technische Grundlagen bieten, fürs Institutionenwadenbeißen sind doch gerade die Piraten angetreten. Los jetzt, Zwangstranzparenz durchsetzen. Für Geschwurbel wie
Wir werden versuchen, für den nächsten Bundesparteitag Methoden vorzuschlagen, wie man Kontrollinstanzen für das BKA aufbauen könnte. Ob wir das bis dahin schaffen, wird sich zeigen.brauchen wir keine Piraten, solche Politdarsteller-Wortblasen kriegen wir auch bei den anderen Parteien. Eure Führungsriege wirkt im Moment so weichgespült, dass man sie auch für Junge Union oder Jungliberale halten könnte, wenn man gerade nur den Ton an hat.
Wenn ich sowas lese wie
Ich glaube auch nicht, dass sich das in Wahlergebnissen für die Partei niederschlagen wird.dann komme ich aus dem Fazialpalmieren gar nicht heraus. WTF? Schlaft ihr da am Steuer? Die Piraten sind die erste Assoziation, die das Volk da draußen hat, wenn sie von Bundestrojaner und Mißbrauch hören! Zack, zack, Vorlagen, Gesetzentwürfe zum Umsetzen der Vorgaben des BVerfG zur digitalen Intimsphäre in Gesetzescode. Und dann in alle Parlamente einbringen, in denen ihr hockt. Worauf wartet ihr? Dass die NPD das tut?
Boah und dann Formulierungen wie diese hier:
Man muss sehen, inwieweit die Leute durch den Vorfall sensibilisiert werden und nicht einfach einen untragbaren Zustand hinnehmen, weil sie ihn nicht richtig einschätzen können. Die Frage ist, ob man die Sache zum Anlass einer politischen Entscheidung macht.Man muss sehen, ob die Leute sensibilisiert werden?! Habt ihr mal bei Twitter geguckt? Weia. Im CCC in Berlin standen sich die Kamerateams gegenseitig auf den Füssen, im Twitter sind Trojaner-Stichworte pausenlos oben, alle Zeitungen berichten, Platz 2 in der 20-Uhr-Tageschau, Innenminister Friedrich flüchtet nach Afghanistan und ihr fragt euch, ob "die Leute durch den Vorfall sensibilisiert werden"?? Soviel Weltfremde kennt man sonst nur von FDP-Wirtschaftsexperten!
Das ist gerade die Gelegenheit, mal so richtig auf die Kacke zu hauen, radikale Dinge zu fordern, und die etablierten Parteien mit heruntergelassenen Hosen vor euch herzutreiben. Außer faden Parolen und Allgemeinplätzen haben die gerade alle nichts zu bieten, die sind noch im Empörungsheuchelmodus. Es wäre an euch gewesen, da jetzt den Rahmen der Diskussion abzustecken. Tja, verkackt. Wenn ihr so weitermacht, überholt euch noch die Tierschutzpartei mit politischer Professionalität.
Ach ja, und wenn ich das hier lese:
LAUER: Wir sind nicht für den Wilden Westen im Internet.dann höre ich Hinterkopf "das Internet darf kein rechtsfreier Raum sein". Was soll das werden, die Blümchenweichspülervariante? Leute, Leute, Leute.
Mein Eindruck ist, dass euer Vorstand gerade gemerkt hat, dass die Transparenzforderungen ja auch für sie gelten, und dann machen sie aus Angst, bei einem Fehler beobachtet zu werden, lieber gar nichts. Wenn wir Stagnation wollten, würden wir FDP wählen.
In diesem Sinne. Kriegt mal euren Arsch hoch. Jetzt.
Wieso bin ich mir sicher, dass das eine Flucht war? Weil am selben Tag in der Zeitung steht, dass der Wulff eine Reise nach Kabul aus Sicherheitsgründen abgesagt hat. Da war wohl der "ich muss schnell weg hier"-Aspekt bei Friedrichs gerade wichtiger.
Update: Lustige Koinzidenz an der Stelle: auch der Guttenberg floh damals erstmal nach Afghanistan. Vielleicht steht das ja so im Krisenmanagement-Handbuch der CSU. (Danke, Henry)
Das Innnenministerium wies die Anschuldigungen zurück und erklärte, die jetzt vom Chaos Computer Club (CCC) gehackte Software werde nicht vom Bundeskriminalamt einsetzt. "Was auch immer der CCC untersucht hat oder zugespielt bekommen haben mag, es handelt sich dabei nicht um einen sogenannten Bundestrojaner", erklärte ein Sprecher des Ministeriums.Mich freut ja in erster Linie, dass sie unsere Terminologie übernehmen und von "Bundestrojaner" sprechen. Auf der anderen Seite sind sehr spezifische Dementis ja auch immer an sich verdächtig. Sie lassen sich ja z.B. damit die Möglichkeit offen, dass es doch ein Trojaner von ihnen war, aber halt nicht der Bundestrojaner sondern "nur" die "Quellen-TKÜ".
Update: Weil ich das gerade gehäuft gefragt werden: ja, der CCC ist sich sicher, dass das ein Staatstrojaner ist. Aber den Kontext können wir gerade nicht komplett öffentlich machen, um unsere Quellen zu schützen. Macht euch mal keine Sorgen, so leicht kommen die uns nicht davon. Die hoffen jetzt halt, dass wir nun einmal der Reihe nach alle LKAs durchgehen müssen und sich derweil die Sache im Sande verläuft.
Es ist mir eine besondere Freude, heute auf diese Presseerklärung des CCC zu verlinken. Denn dem CCC sind tatsächlich Trojaner zugespielt worden, von denen wir nach eingehender Analyse glauben, dass es sich um "Quellen-TKÜ" handelt. Und die Ergebnisse der Analyse sind ernüchternd.
Von den ganzen Zusagen nach dem Bundestrojaner-Urteil des Verfassungsgericht ist nichts übrig geblieben. Es hieß, der Quellen-TKÜ-Trojaner sei was gaaaaanz anderes als der Bundestrojaner für die "Online-Durchsuchung" und könne gar keine fiesen Dinge tun, nur Skype abhören und so. Tatsächlich aber hat der Trojaner eine Nachladefunktion für beliebige zusätzlich Malware. Es hieß, alle Versionen werden für den speziellen Fall manuell entwickelt, aber in der Realität sind die Trojaner nicht nur sehr ähnlich, sie verwenden auch denselben hartkodierten AES-Schlüssel für die Absicherung der C&C-Verbindung. Und wenn ich AES sage, meine ich AES im ECB-Modus, und es wird nur in eine Richtung verschlüsselt. Und der Schlüssel ist wie gesagt hartkodiert. Die Richtung mit Verschlüsselung ist der Antwortkanal des Trojaners. Der Kanal, über den man zusätzliche Malware nachladen kann, ist gänzlich ungesichert. Integritätsprüfung (digitale Signatur, HMAC o.ä.) oder gar kryptographische Authentisierung gibt es gar nicht.
Oh und Teil des Trojaners ist ein Kernelmodul, allerdings ohne Tarnfunktion (das war wohl zu kompliziert) sondern nur mit Keylogger. Das Kernelmodul stellt Operationen wie "leg mal ne Datei unter diesem Pfad an" oder "schreibe das hier in die Registry" zur Verfügung, und die Keylogger-Funktionalität ist deaktiviert — der Code ist aber noch erreichbar, und dank dilettantischer Anfängerfehler im Rest des Kernelmoduls kann man ihn trotzdem aktivieren und benutzen.
Wenn dieser Trojaner auf einem Rechner installiert ist, steht der danach für jeden offen wie ein Scheunentor, ganz ohne dass man einen Exploit bräuchte. Man muss nur anklopfen und den Trojaner freundlich bitten. Und das Kernelmodul räumt allen lokalen Benutzern Adminrechte an. "Scheunentor" ist zu kurz gegriffen, um das katastrophale Sicherheitsniveau dieser Software zu beschreiben. Die CCC-Reverser dachten erst an einen besonders gewieften Tarnungs-Trick, als sie für AES nur den Verschlüsselungscode fanden und nicht den Entschlüsselungscode.
Der CCC hat für die Scheunentor-API des Trojaners ein GUI geschrieben, das wir mal in einem kurzen Video vorstellen werden. Die Antivirenhersteller haben inzwischen Kopien des Trojaners erhalten und sollten ihn ab morgen früh erkennen und entfernen können, zumal keine Rootkit-übliche Tarnfunktionalität in dem Kernelmodul implementiert war. Aber macht euch keine Sorgen, wir haben den Behörden rechtzeitig Bescheid gegeben, dass sie noch schnell den Selbstzerstörungsknopf drücken können.
Oh, und, ganz wichtig noch, falls ihr ein Andenken haben wollt: die FAZ hat dazu eine Meldung gemacht und wird dem Thema in der FAS-Ausgabe morgen mehrere Seiten widmen. Und zwar, wie ich hörte, inklusive Auszügen aus dem Disassemblat. Wer also die erste Print-Tageszeitung haben will, in der Quellcode von Malware abgedruckt ist, sollte sich morgen eine FAS sichern. Oder halt online lesen, aber das ist ja nicht das gleiche in dem Fall :) Ein Listing-Service in der FAZ, wie damals bei der "DOS International"!
Update: Die Zeit ist auch im Boot.
Update: Erstaunlicherweise ist der C&C-Server immer noch online, und mir erzählt gerade jemand, dass da ein Plesk von 2009 drauf läuft. Die BESTEN der BESTEN der BESTEN, SIR!
Falls sich jetzt jemand wundert, wieso ich die FAZ so plugge: Schirrmacher (Herausgeber) hat einen Leitartikel zum Thema geschrieben, und da hält er das Flammenschwert der Gerechtigkeit in den Händen und kloppt auf genau die richtigen Stellen. Er schreibt nicht nur, dass so ein Trojaner ja grundsätzlich immer alles kann, sondern zeigt auch auf die Nonnenmacher-Geschichte mit den zu Diskreditierungszwecken hinterlegten Kinderpornobildern und spricht in der Kontext von "der neuen Vernichtungsstrategie in der digitalen Welt". Und dann spricht er das Offensichtliche gelassen aus:
In Zeiten einer „Piratenpartei“ kann der Fund des Chaos Computer Clubs die politische Geographie nachhaltig ändern.
So sieht das aus. Ich bin mir sicher, dass da dem politischen Establishment gerade mit Nachdruck der Arsch auf Grundeis geht. Es freut mich sehr, solche Gedankengänge in den etablierten Leitmedien zu lesen. Nicht mehr nur in Verschwörungsblogs wie dem meinen.
Update: Wenn ich schon am erzählen bin, kann ich ja auch noch ein bisschen mehr plaudern. Der eine oder andere wird sich vielleicht gedacht haben, hey, so ein Trojaner, das ist ein komplexes Stück Software, das schaffen die doch bestimmt nicht ohne Plagiieren von Open Source, da ist doch bestimmt noch ne GPL-Verletzung zu haben. Nicht GPL, aber Speex haben wir gefunden, und die Lizenz wurde verletzt. Ich hörte, ein Anwalt sei schon unterwegs.
Update: Das ehemalige Nachrichtenmagazin hat immer noch keine Meldung. Vor zwei drei Stunden ging die dpa-Meldung raus. Nichts. Wow. Da scheint mir die personelle Nähe zu den Geheimdiensten noch ausgeprägter zu sein als bisher angenommen. "Sturmgeschütz der Demokratie", dass ich nicht lache.
Update: Heise, ZDF Heute, Tagesschau, Golem, Gulli aber immer noch nichts bei Spon. Und auf Twitter musste sich ZDF Heute schon anpupen lassen, wieso sie in ihrer Nachtsendung nichts gebracht haben :-)
Update: Jetzt hat auch Spon was, und sie greifen bei den Zitaten in die Vollen, erwähnen sogar explizit den Wirtschaftsspionageaspekt bei der Durchleitung durch die USA. Inzwischen ist die Geschichte auch in Österreich angekommen und sogar sogar in den USA berichten erste Blogs. Oh und sogar die "Bild" war schneller als Spon. Oh und fürs Archiv solltet ihr euch zum Vergleich auch nochmal die BMI-FAQ zum Bundestrojaner durchlesen, mit Statements wie
Die Datenübertragung wird derart verschlüsselt erfolgen, dass der Zugriff Dritter hierauf ausgeschlossen ist und die übermittelten Daten durch hohe Datenschutzstandards geschützt sind.
Update: Jetzt hat das ehemalige Nachrichtenmagazin noch einen richtigen Artikel nachgelegt und damit sogar den Vetter von der Pole Position verdrängt.
Nee, klar, bei aller Freundschaft, über unsere eigenen kriminellen Machenschaften wollen wir lieber keine Rechenschaft ablegen. Immerhin beharren wir ja darauf, dass Hacken illegal ist, wenn es andere machen.
m(
Mich ärgert ja nicht so sehr, dass die uns zu manipulieren versuchen, sondern dass sie es so offensichtlich und platt tun. Haben die kein Selbstwertgefühl, dass die solchen Pfusch abliefern? Ich hoffe, dass ihnen ihre Chefs in den Banken und der Industrie jetzt wenigstens die Gehälter senken.
Das passte irgendwie alles nicht. Da fehlte irgendwie gerade der konkrete Anlass. Normalerweise ziehen sie sich ja solche "Gefahren" nur direkt vor einer wichtigen Wahl aus dem Arsch, oder wenn sie gerade ein wichtiges Gesetz nicht anders durch Parlament und Bundesrat kriegen. Gut, Wahljahr haben wir, aber irgendwie war das komisch.
Jetzt hat sich das geklärt:
Im Zuge der Ermittlungen hatte das BKA einen Trojaner für eine Online-Durchsuchung sowie eine Software für eine Telekommunikationsüberwachung auf seinem Rechner installiert.Das ging um die "Legitimierung" des Bundestrojaners!
Da findet man dann eine Rechnung ein Angebot über Produkte namens FinSpy und FinFly. Geliefert von einer Firma namens Gamma, aber wenn man nach den Produktnamen googelt, findet man diese Produktseite bei einer deutschen Firma. Und da bleibt kein Auge trocken!
Ich frage mich ja bei sowas immer, wie solche Leute nachts ruhig schlafen können. Niemand sollte Zugriff auf solche Software haben, keine westlichen Regierungen und natürlich erst Recht keine Diktatoren.
Update: Frank hat gerade die großartige Idee, folgende Forderung an Westerwelle zu stellen: Herr Westerwelle, als Wiedergutmachung dafür, dass Ägyptens Trojanersoftware anscheinend aus Deutschland kommt, sollte Deutschland Ägypten auch Zugriff auf die Gauck-Behörden-Software zum Zusammenpuzzeln geshredderter Dokumente schenken.
Oh und bei der Gelegenheit möchte ich noch was anfügen. Trojaner und Spionagesoftware sind eine Bedrohung für Freiheit, Demokratie und Menschenrechte überall und müssen daher genau so geächtet werden wie Streubomben und Antipersonenminen. Genau wie wir Kriminellen solche Software wegnehmen und sie bestrafen, genauso müssen wir den Regierungen (insbesondere auch unserer!) solche Software wegnehmen.
Update: Frank hat auch was dazu gebloggt.
Update: Nehmt euch mal die Zeit, denen ein bisschen hinterherzugoogeln. Da findet man so Sachen wie deren Internet-Überwachungs-Angebote, Messefotos, auf denen Gamma und Elaman gemeinsam einen Stand betreiben, besonders schön auch diese Messefotos hier, komplett mit interessierten Scheichs. Und dieses PDF mit Fotos von deren Personal. Die alten Herren da sehen aus, als hätten sie schon mitgemacht, als es noch Organisation Gehlen hieß. Deren Firmenbroschüre ist auch online, mit dem schönen Slogan "The bridge to trust and security". Klar, Vertrauen und Sicherheit sind auch meine ersten Assoziationen bei Überwachungsequipment, Schnüffelhardware und Trojanern. Die offensichtliche Frage ist jetzt natürlich, ob die nur für den Export liefern oder ob die auch den Bayerntrojaner gemacht haben.
Update: Hier kommt gerade per Mail die Frage, wie eine Produkt mit der Beschreibung "infection proxy which is used to deliver intrusion software" nicht §202c verletzt. Gute Frage. Frage ich mich auch. Das sollte die Staatsanwaltschaft mal prüfen.
Update: Und hier noch ein besonders aromatisches Detail (Danke an Dominik dafür!): Streetview von dem Firmensitz von Elaman. Ich seh da kein Elaman, ist vielleicht in dem verpixelten Bereich. Was aber auffällt, ist das dicke Siemens-Schild. Da lag ich ja offensichtlich gar nicht so falsch mit der Organisation Gehlen.
Update: Wird immer lustiger. Der General Manager von Elaman heißt Holger Rumscheidt. Googelt den mal. Hier findet man einen Holger Rumscheidt, der bis 1987 auf die Realschule des Katholischen Familienwerks in Pullach ging. Und hier findet man ein Paper von einem Holger Rumscheidt von der Siemens AG, München. Alles nur Mutmaßungen, der können natürlich auch alles verschiedene Holger Rumscheidts sein. Aber es ergibt doch ein verlockendes Gesamtbild, so mit Pullach und Siemens.
Update: Mir teilt gerade ein Münchener mit, dass das KfW eine Privatschule ist, deren Einzugsbereich den gesamten Münchener Süden beinhaltet, nicht nur Pullach. Insofern kann man daraus nicht direkt schließen, dass die Familie in Pullach gewohnt hat, z.B. weil der Vater dort Arbeit gefunden hat.
Update: Das war keine Rechnung sondern ein Angebot.
Update: Mir kommt gerade zu Ohren, dass die Firma Gamma International GmbH über einen Anwalt dementieren lässt, mit den Ägyptern zusammengearbeitet zu haben. Das geht sogar soweit, dass sie sagen, kein Angebot geschickt zu haben. Das finde ich ja jetzt doch ein wenig irritierend, denn es gibt ja im Internet diesen Screenshot. Meine Vermutung ist, dass die darauf abzielen, dass das Angebot in den Unterlagen von "Gamma International UK Limited" ist, nicht von "Gamma International GmbH".
Es dauerte, doch das Gewissen des Reisenden war rein; es gab nichts zu verzollen. Nur mit seinem Computer verschwanden die Kontrolleure im Nebenraum. Kurz danach Entwarnung: alles in Ordnung. Gute Heimfahrt.Und da haben sie ihm den Trojaner installiert. Der hat dann alle 30 Sekunden Screenshots gemacht und zum LKA geschickt.
Naja, werdet ihr jetzt vielleicht sagen, das wird halt ein gefährlicher Terrorist und Massenmörder sein. Immerhin hatten sie uns zugesagt, nur in solchen Fällen auf Trojaner zurückgreifen zu wollen. Und auf das Wort der Regierung ist schließlich Verlass!1!!
Nun, äh, nein.
Doch der betroffene kaufmännische Angestellte steht weder unter Terrorverdacht, noch wird er eines Kapitalverbrechens beschuldigt. Gegen den Landshuter läuft seit 2008 ein Ermittlungsverfahren wegen "banden- und gewerbsmäßigen Handelns und Ausfuhr von Betäubungsmitteln". Er ist in einer Firma angestellt, die Psychopharmaka vertreibt.Die sind in Deutschland legal. Auch das noch. Ob auch im Ausland, das ist strittig. Jedenfalls geht es hier nicht um Gefahrenabwehr, sondern um ganz normale Ermittlungen zu einer mutmaßlichen Straftat.
Hände hoch, wer das kommen sah! Also ICH bin jedenfalls schockiert — SCHOCKIERT!!1!
Und da wundern die sich, dass wir ihnen nie ein Wort glauben.
"Mit einem Orwellschen Überwachungsstaat hat das gar nichts zu tun", sagte Bruch.Na dann ist ja alles in Ordnung. Wenn die Verräterpartei das sagt, dann ist das ja wohl glaubwürdig!1!!
Fürs Archiv: Der Hersteller der Äpp, und was sticht mir da sofort ins Auge: die werben da mit Common Criteria EAL4+ Zertifizierung. Da sieht man mal wieder, wie wertlos diese ganze Zertifizierungsscheiße ist. Reines Snake Oil.
Oh und wo wir gerade bei Hirnriss waren: aus der BSI-FAQ zur Ausweis-App:
Der Windows7-eigene Screenreader fängt beim Vorlesen die Eingaben über die Tastatur direkt ab. Dadurch wird auch die eingegebene PIN im Klartext vorgelesen. Unter JAWS, NVDA und VoiceOver tritt dieses Problem nicht auf.
Update: So eine Autoupdatefunktion einer Ausweis-Äpp wäre ja auch genau die Infrastruktur, die man für die Installation des Bundestrojaners braucht.
[…] Anforderungen an eine "Sicherheitssoftware" aufgestellt, mit der die Nutzer beim Verdacht auf Urheberrechtsverletzungen ihre Unschuld beweisen können sollen.Na suuuuuper! Eine Beweislastumkehr gibt es auch gleich mit im Sparpaket!
CDU/CSU und SPD halten an heimlichen Online-Durchsuchungen festJa! Die Verräterpartei hält am Bundestrojaner fest! Un-wähl-bar.
Jetzt das zum Lachen. Windows. Nein, das war es noch nicht :-) Wenn man unter Windows eine URL hat, und die im Browser öffnen will. Dann gibt es da keine gute Funktion für. Der übliche Weg ist, dass man ShellExecute benutzt, aber ShellExecute ist eben eigentlich für was anderes gedacht. Insbesondere kann man dem auch einen lokalen Pfad geben oder sowas wie "\\evil.com\0day\trojaner.exe", und ShellExecute würde sich das dann per SMB holen und ausführen.
Gut, bei Microsoft ist sowas immerhin dokumentiert. Für Dokumentation geht man zu MSDN. MSDN hat Dokumentation bei ShellExecuteEx, wie man damit sicher eine URL öffnen kann. Guckt euch mal an, wieviel Code man dafür braucht!
Schockierenderweise hat die Regierung diesmal einen fähigen Unterhändler hingeschickt. Das kann ich ja gar nicht verstehen. Wenn die fähiges Personal haben, wieso nutzen sie das nur für sowas und verkacken dann die ganzen Gesetze?!
Die Position der Bundesregierung ist im Wesentlichen "wir brauchen die Daten und passen schon auf beim Zugriff" und "ohne VDS ist die Polizei blind und taub". Das Verfassungsgericht hat hierzu gefragt, wo sie denn die Grenze ziehen mit dem Speichern, und welche Datenbanken sie denn konkret brauchen, und da hat keiner eine Antwort drauf vorbereitet gehabt. *stammel* Im Übrigen bestreiten sie den "chilling effect", es gäbe keine Studien, die das belegen. Das ist natürlich eine verwegene Behauptung, aber man kann es ja mal versuchen.
Den Schaar habe ich ja hier viel kritisiert, aber der hat bei der Vorratsdatenspeicherung gezielt und gut getimed draufgekloppt, dass das in der Praxis eben nicht so läuft, wie sie das in ihrer Utopie ansagen.
Constanze hat den Club gut vertreten, und die Richter haben auch genau die richtigen Rückfragen gestellt.
Mein Eindruck ist, dass das schon alles längst platt wäre, wenn es da nicht dieses EU-Problem gäbe, und damit droht die Regierung auch offen.
Oh übrigens: heute abend haben wir Herrn Bogk für den Club in die Phoenix-Runde zum Thema Vorratsdatenspeicherung geschickt, wo er u.a. den Auftrag hat, Herrn Bosbach rhetorisch zu verprügeln.
Update: Hahahaha, der Bosbach ist mal wieder weggetreten, den muss man gar nicht verprügeln, der verprügelt sich selber. Der hat gerade erklärt, dass Schäuble den Bundestrojaner gestoppt habe. Gestoppt, hört ihr? Gestoppt! Das ist sowas von ungerecht, dass wir immer auf den eingehauen haben wegen des Bundestrojaners!1!! Ein Highlight der Sendung bisher war, dass der Bosbach das folgende Beispiel konstruiert hat, um die Notwendigkeit der Vorratsdatenspeicherung zu beweisen: eine Schule wird angerufen, "in einer Stunde geht eine Bombe hoch". Und ohne Vorratsdatenspeicherung kann man da doch dann gar nichts machen! Das Argument ist ihm dann spektakulär unter dem Hintern geplatzt, und so meinte er ein paar Minuten später, es sei ja schade, dass sie keinen Fahnder in der Runde haben, der mal ein gutes Beispiel bringen könnte. Noch später meinte er dann, der Terrorangriff in Madrid, den hätte man ja gar nicht machen können ohne Vorratsdaten. A-ha. Oh, und übrigens: DIE SAUERLÄNDER!1!!
Aber jetzt gibt es zumindest einen humoristischen Höhepunkt, den Heise zu berichten hat:
Dem gemeinsam vom Bundesamt für Sicherheit in der Informationstechnik (BSI) und dem Verband der deutschen Internetwirtschaft (eco) entwickelten Konzept zufolge hätten Internetzugangsanbieter (ISPs) längst die technische Möglichkeit, vireninfizierte Rechner bei ihren Kunden durch Analyse des Netzwerkverkehrs auszumachen.Aha. Soso. Weil die … IRC machen, ja? Und dann lange auf Kanälen rumhängen, ohne etwas zu tippen? Moderne Botnetze können noch ganz andere Protokolle für ihr Command&Control benutzen, von HTTP über XMPP bis BitTorrent. Das will ich sehen, wie die ein noch nicht reverse engineeretes Botnet am Traffic erkennen. Oder generell, wie sie datenschutzkonform bei ISPs Jabber oder IRC mitloggen wollen, um ein Botnet zu erkennen.
Update: Wenn man da aus der anderen Richtung drüber nachdenkt, ergibt das plötzlich doch einen Sinn. "Ihr Internetzugang ist gesperrt worden, weil Sie einen Virus haben. Lassen Sie mal [diese Software] laufen, um den Virus zu entfernen". Einen besseren Installationsvektor für den Bundestrojaner gibt es doch gar nicht!
Update: Ich sage mal voraus, dass der Verfassungsschutz auch bald einen Bundestrojaner kriegt.
Der CSU-Chef wird deutlich: Bei Koalitionsverhandlungen mit der FDP will Horst Seehofer auf Online-Durchsuchungen von Computern und dem Anbauverbot von gentechnisch veränderten Pflanzen in Bayern bestehen. Auch die von den Liberalen proklamierten Steuersenkungen seien überzogen, sagte er im Gespräch mit dem SPIEGEL.Und natürlich hat er (abgesehen vom Bundestrojaner) völlig Recht. Wenn die FDP Steuern senken will, dann nur bei Unternehmen und Bonzen, nicht beim Volk.
Krasse Nummer.
Na mal sehen, ob sie sich so eine Nummer auch nach der Wahl noch trauen bei den Piraten.
Update: NARF, der Artikel ist von 2008, aber um das zu sehen darf man nicht auf das Datum oben rechts in groß gucken, sondern muss unten links im Kleingedruckten gucken.
Also ohne KTB jetzt direkt zu unterstellen, dass sie eine Briefkastenfirma des BGS sind, stellt sich ja doch die Frage, wieso eine in China und Lateinamerika tätige Import-Export-Firma den Bundesgrenzschutz als Admin-Kontakt hat. Könnte natürlich auch ein Telekom-Fuckup sein. Oder der BGS ist wirklich nicht in der Lage, einen IP-Range unauffällig anzumelden. Oder das ist ein Fnord, um uns in Sicherheit zu wiegen :-)
Egal, ist jedenfalls ein schönes Verschwörungs-Tidbit.
Schäuble verglich die Situation mit der Regulierung des Finanzmarktes, bei der die Akteure immer vor nationalen Regeln gewarnt hätten. "Entweder globale Regeln oder keine", habe es geheißen, so Schäuble. Im Ergebnis habe sich das System dann selbst zertört. Auch wenn globale Regeln also im Prinzip das Ziel sein müssten – wie im übrigen auch beim Klima oder beim Weltfrieden – könne man darauf nicht warten.(Schäuble kämpft also auch für den Weltfrieden, ja! HAHAHAHA)
Das mit dem Finanzmarkt ist natürlich ein absolut unzutreffender Vergleich. Im Finanzmarkt spielen lauter Egoisten zusammen, die alle mit anderer Leute Geld darum zocken, sich selbst den größten persönlichen Vorteil rauszuschlagen. Im Internet spielen lauter Nerds zusammen, die mit ihrem eigenen Geld einen Zugang kaufen und dann Communities gründen und dort selbstlos anderen helfen. Der Unterschied könnte kaum stärker sein.
Gibt es im Internet auch Kriminelle und Geschäftemacher? Klar! Gibt es im Finanzmarkt auch selbstlose Mitstreiter? Ich habe noch keinen getroffen. Oh wartet, doch! Die organisieren sich dann im Internet als Selbsthilfegruppen und warnen andere vor Kriminellen in den Finanzmärkten.
Mal abgesehen davon ist das Internet schon reguliert. Überreguliert, wenn man an Bundestrojaner, Vorratsdatenspeicherung und so weiter denkt. Und die ganzen Gesetze aus der physischen Welt gelten dort ja weiter (wie alle Opfer der Abmahn-Mafia bestätigen werden). DAS bräuchte mal "Regulierung". Aber an der Bekämpfung von echten Kriminellen hat unsere "Regierung" ja kein Interesse. Das sind schließlich ihre Wähler und Wahlkampfspender.
Mit einem am 30.06.2009 eingereichten Gesetzentwurf planen FDP und CDU in Hessen, die Eingriffsrechte der Polizei weiter auszudehnen.Und WEHE, wenn mir auch nur EINER von euch FDP wählt. Oder die schwarze Pest oder die Verräterpartei.
- Wiedereinführung des verfassungswidrigen Kfz-Massenabgleichs
- Heimlicher Einbau von Wanzen und Kameras
- Nutzung anlasslos gespeicherter Verbindungs- und Standortdaten
- Unterbrechung des Mobilfunks
- Bundestrojaner für Skype-Nutzer
- Datenauslieferung an das Ausland
- Körperliche Zwangsuntersuchung und -behandlung
- Mehr Videoüberwachung
- Vorsorgliche Erleichterung der Strafverfolgung
- Schwacher Schutz von Intimitäten
- Beibehaltung der untauglichen Rasterfahndung
Aber dank des Bundestrojaners wird das ja bald ganz einfach. Sie müssen dafür nicht mal zu fremden Computern gehen, der Trojaner kommt zu ihnen. Den müssen sie dann nur noch reverse engineeren.
Und auch ansonsten machen die Schweizer alle Fehler der anderen auch noch mal bei sich nach: Schweizer Nationalrat will Killerspiele verbieten.
3.3.1. Bedarf an der Normierung einer Ermächtigungsgrundlage zur Durchführung einer repressiven Online-DurchsuchungUnd es geht noch spannend weiter:Konkreter Bedarf für eine Online-Durchsuchung wird ausweislich der Fragebögen für die folgenden Fallkonstellationen gesehen:
- Sicherung bereits abgeschlossener, verschlüsselt gespeicherter Kommunikation (auch teilweise als "geronnene" Kommunikation bezeichnet), z.B. Daten aus zurückliegendem E-Mail-Verkehr, ICQ-Gesprächsverlauf, z.Z. mittels Steganographie und PGP;
- Sicherung von Dokumenten vor der Ver- bzw. nach der Entschlüsselung. Hierzu gehören auch:
- die Nutzung von privaten Postfächern mit geschlossenem Nutzerkreis ohne Datenaustausch und damit — mangels Kommunikation — ohne Möglichkeit einer TKÜ, sofern die Daten lokal auf einem Rechner gespeichert sind, und
- Straftaten, bei denen tatrelevante Daten nicht im Netz, sondern lokal auf der Festplatte gespeichert sind, z.B. bei Attentatsvorbereitungen, wenn ein offenes Herangehen an den Rechner ausgeschlossen ist, da die Offenheit der Maßnahme weitere Ermittlungsansätze vereigeln würde.
- Sicherung unverschlüsselter Daten, wenn der PC gewohnheitsmäßig nach Benutzung verschlüsselt wird;
- Feststellen von Passwörtern und genutzten Programmen (insbesondere wichtig bei Verwendung von Steganographie und PGP) zur Entschlüsselung von Daten
Die Erforderlichkeit von Online-Durchsuchungen ergibt sich nach den Evaluationsergebnissen unter anderem daraus, dass Tatverdächtige oftmals Passwörter für ihren Rechner nicht preisgeben und folglich — jenseits taktischer Erwägungen — eine offene Durchsuchung (§§ 102 ff. StPO) mit anschließender Beschlagnahme (§§ 94, 98 StPO) und Datenauswertung bei einem passwortgeschützten Rechner von vornherein keinen Zugang zu den gespeicherten Daten ermöglicht.Das ist natürlich eine dreiste Lüge. Selbstverständlich kommt man auch ohne Passwort an die Daten auf dem Rechner dran. Außer wir sprechen hier von einer PGP Passphrase oder sowas. Oder jemand benutzt Truecrypt oder Bitlocker. Lacher am Rande:
Außerdem besteht die Möglichkeit einen Rechner derart zu konfigurieren, dass bei Starten des Rechners durch einen fremden Nutzer bzw. in einer anderen als der üblichen Reihenfolge die Daten automatisch gelöscht werden und nach dem Löschen nicht wieder herstellbar sind. Auch in diesen Fällen wäre eine Durchsuchung nicht Erfolg versprechend.Da sprechen wohl gerade die Oberhauptkommissare Moe, Larry und Curly?
Aber abgesehen davon von den vielen Gründen, warum man sich über diese Leute lustig machen sollte: der Kernpunkt ist, dass sie plötzlich so tun, als könne man mit einem Bundestrojaner gerichtsfeste Beweise beschaffen. DAS ist der eigentliche Skandal. Das stimmt natürlich überhaupt rein gar nicht, weil nicht beweisbar ist, dass der Trojaner nicht die "Beweise" selbst dort hinterlegt hat, ob nun absichtlich oder nicht. Man könnte sich z.B. ein Szenario denken, bei dem die Chinesen einen Rechner über eine Lücke im Bundestrojaner übernehmen.
Aber tut mir leid, ich kann nicht anders, ich muss noch mehr humoristische Details posten:
Schwierigkeiten bereite das Sicherstellen von auf dem Computer bearbeiteten und anschließend auf externen Medien gespeicherten Dateien (z.B. USB-Stick), da diese Speichermedien bei einer konventionellen Durchsuchung aufgrund ihrer Größe häufig nicht gefunden werden könnten.Wie meinen?! Die BESTEN der BESTEN der BESTEN, SIR! Spezialexperten, wo man hinguckt. Und dann schreiben sie noch, dass man vor einer offenen Durchsuchung erst mal eine verdeckte braucht, damit man weiß, wo man gucken muss. Un-faß-bar. Und, mal unter uns, schon deren Sprache sagt ja eigentlich alles. "Ermächtigungsgrundlage zur Durchführung einer repressiven Online-Durchsuchung". Keine weiteren Fragen.
Update: Wikileaks ist überlastet, daher hostet auch der CCC ne Kopie.
Und falls sich jemand fragt, wieso die Länder-Polizeien eigentlich so üble Stasi-Ermächtigungsgesetze brauchen, … nun, da gibt es eine ganz einfache Erklärung für.
Im Ergebnis der Personalüberprüfungen [bei der Polizei von Brandenburg] 1990 waren 242 hauptamtliche und 1238 inoffizielle Stasi-Mitarbeiter festgestellt worden. Wie viele der ehemaligen hauptamtlichen und inoffiziellen Stasi-Mitarbeiter genau heute noch für die Landespolizei tätig sind, wurde laut RBB nicht mitgeteilt.Der größte Lacher an dem ganzen Themenkomplex ist, dass der Bosbach plötzlich doch keinen Bedarf für Bundestrojaner beim Verfassungsschutz sieht. Ausgerechnet der Bosbach. Die CSU weiß schon, sollte da doch mal jemand im Verfassungsschutz seinen Job ernst nehmen, die CSU wäre so gut wie verboten.
Nun ist das ja immer sehr abstrakt, bis man das mal live und in Farbe sieht. Und das ist jetzt anscheinend bei der Bahn passiert: Die Bahn soll auf Rechnern ihrer Mitarbeiter Dokumente gefälscht, Pornos und "Mein Kampf" hinterlegt haben, um sie besser rausschmeißen zu können. Tja und genau so sieht das aus. Die Bahn ist ein Staatsunternehmen. Da sitzt die selbe Art Mensch, die genau diese Tour auch auf Staatsebene machen will. (Danke, Andreas)
Der Direktor des CASED, Professor Johannes Buchmann, ist zugleich Vorsitzender der CAST e.V., der Dienstleistungen im Bereich Sicherheit der Informationstechnik mit dem Schwerpunkt Internet anbietet.Aha, ein Verein, der Dienstleistungen anbietet. Tolle Wurst. Aber jetzt flüstert mir gerade ein Vögelchen folgendes interessante Detail:
Ausserdem ist Buchmann Mitglied des wissenschaftlichen Beirates des BKA und leitet dort die Experten-Kommission "Online-Durchsuchung".Ach na sowas. Das Palpatine Institut für angewandte Politologie, wie?
Leider finde ich gerade keine Webseite beim BKA, über die ich das verifizieren könnte. Der Buchmann hat sich aber schon einige Male zum Bundestrojaner geäußert in der Presse, das könnt ihr ja mal selber googeln.
Update: In diesem PDF der TU Darmstadt auf Seite 10 steht, dass Buchmann Beirat des BKA ist.
Außerdem hat mir noch ein Vögelchen geflüstert, dass der Buchmann derjenige ist, der die Arbeit von deDECTed.org als Werk seines Instituts ausgegeben hat. Und dank dieser Darstellung hat das DECT Forum einen bezahlten Beratervertrag mit seinem Laden abgeschlossen. Ihr könnt euch ja ausmalen, wie das bei den Leuten ankommen muss, die da tatsächlich die Arbeit gemacht haben. Meine Quelle meinte noch, dass die DECT-Hacker jetzt CASED auflaufen lassen, und am Ende das DECT-Forum schlecht beraten wird. Kann ich alles nicht nachprüfen aber halte es für durchaus glaubwürdig so aus der Ferne.
Update: Oh und übrigens: die Hardware für den DECT-Hack hat der CCC bezahlt. Die Gesamtleistung von CASED bei der Nummer war im Grossen und Ganzen die Presseerklärung, die Mathias Schindler hier sehr gut zusammenfasst.
Die Datenschutzaktivisten kritisieren, der Vorstoß würde die "unbegrenzte und unbefristete Speicherung jeder Eingabe und jedes Mausklicks beim Lesen, Schreiben und Diskutieren im Internet legalisieren". Diese Surfprotokolle dürften an Polizei, Bundeskriminalamt, Geheimdienste sowie an die Unterhaltungsindustrie herausgegeben werden. Eine richterliche Anordnung sei nicht vorgeschrieben, eine Beschränkung auf schwere Straftaten nicht vorgesehen.Und auch der Ziercke lässt mal wieder seiner Phantasie freien Lauf: Bundestrojaner gegen organisierte Kriminalität in Osteuropa. Nanu? Jetzt hat das BKA auch schon die Kompetenzen eines Auslandsgeheimdienstes? Wird ja immer härter! Und was meint er mit organisierter Kriminalität? Phishing, Spamming, Botnetze. Ja, richtig gehört, Ziercke will den Bundestrojaner gegen Botnetze einsetzen.
Gut, der Ziercke ist ja nicht der einzige, der von Tuten und Blasen keine Ahnung hat, und der ein Botnetz nicht erkennen würde, wenn es ihm in den Arsch beisst, geschweige denn einen chinesischen Trojaner auf seiner Festplatte identifizieren könnte. Aber andere Leute halten dann lieber die Schnauze und vermeiden weiteres sich lächerlich machen. Ich gebe zu, bei Ziercke gibt es da nicht mehr viel zu schützendes Material.
Aber war es das schon? Nein! Es gibt noch folgendes grandiose Argument für den Bundestrojaner:
Man werde aber etwa über die Möglichkeit der Quellen-TKÜ zur Aufklärung von Computerkriminalität reden müssen, die Experten zufolge technisch gesehen verdeckten Online-Durchsuchungen nahe kommt. "70 Prozent der Erfolge beruhen heute auf der TKÜ", sagte Ziercke. "Da kann man den Kopf nicht in den Sand stecken".Hey, ich habe noch einen Vorschlag, Herr Ziercke! Wir können uns die Ermittlungen ganz sparen und die Leute direkt in den Knast stecken, da haben wir dann eine noch höhere Erfolgsquote mit! Dieser ganze Rechtsstaat ist uns doch eh nur im Wege. Und wenn jemand Widerspruch einlegt, dann foltern wir das Geständnis einfach aus ihm heraus. Justiz kann so einfach und effizient sein, wenn man den Anspruch der Rechtstaatlichkeit fallen lässt!
Aber nicht nur das BKA nutzt die Gelegenheit für einen Schuss ins Knie. Auch die DATEV greift mal so richtig schön tief ins Klo.
Als großes Hindernis bei der Aufklärung von Verbrechen im Internet machte der Vorstandsvorsitzende der DATEV den Einsatz von Verschlüsselungstechniken durch Angreifer aus: "Wenn nur die Kryptographie nutzen, die etwas verbergen wollen, haben wir ein Riesenproblem."Oh nein, der Angreifer hat seine IP und den Port verschlüsselt!1!! Und den Shellcode auch!!1! Nicht dass irgendjemand von der DATEV erwartet hätte, dass die zur Diskussion was beizutragen haben. Aber trotzdem. Meine Fresse. Können die nicht einfach alle mal die Klappe halten, wenn sie keine Ahnung haben?
Halt halt! Einen hab ich noch! Der Präsident des BSI hat die Lösung gefunden: man muss Emails digital signieren. Mit einem Chipkartenleser. Und schwupps haben wir die perfekt überwachbare Email! Sozusagen selbstüberwachend!
Und da können auch die Inder nicht zurück stehen: Die Inder wollen Telefon- und Internet-Abhören bei jeder Straftat erlauben.
Nicht nur gegen Kinderpornographie will Indien zugleich scharf vorgehen, sondern auch jegliche obszönen Darstellungen verbieten lassen. Ein Unterschied zwischen Produzenten und Nutzern wird dabei nicht gemacht. Auch wer Porno übers Internet allein anschaut, steht damit bereits mit einem Fuß im Gefängnis. Ihm drohen bis zu zwei Jahre Haft. Selbst niedere Polizeibeamte dürfen beim Verdacht auf illegalen Pornokonsum etwa Wohnungsdurchsuchungen durchführen.Constable, da hinten sieht jemand zu zufrieden aus, der hat bestimmt kürzlich zu einem Porno masturbiert!1!!
Die mangelnde Führungskraft der Bundesregierung in der Krise wird den Extremisten in die Hände spielen. Es könnte sein, dass es nach der Bundestagswahl nicht mehr für eine Große Koalition reicht.HOF-FENT-LICH! Die haben verkackt bis in die Steinzeit.
Update: Oh und noch ein kleiner Lichtblick: Schweizer Nationalrat lehnt Eidgenossentrojaner ab.
Darüber hinaus fordert die SPD formale Korrekturen bei der Befugnis zum Einsatz des Bundestrojaners. "Die Akzeptanz der umstrittenen Online-Durchsuchung muss in der Öffentlichkeit durch Richtervorbehalt und Richterprüfung erhöht werden", konstatierte Körting.Und da sieht man mal wieder, worum es geht. Nicht darum, ob das rechtens ist, ob das verfassungskonform ist, ob wir das überhaupt brauchen oder ob das sinnvoll ist. Nein. Es geht darum, die "Akzeptanz" im Volk zu steigern. Sie haben halt mal ein paar Fokusgruppen gefragt, und die kleinste Pappkonzession, mit der sie haarscharf die Mehrheit der uninformierten Deppen auf ihre Seite bringen konnten, war der Richtervorbehalt. Wie toll der Richtervorbehalt vor Willkür schützt, kann man prima an den Statistiken zu Hausdurchsuchungen und Lauschangriffen sehen. Da wird Größenordnung ein Promille abgelehnt, wenn es hochkommt. Und auch aus einem ganz einfachen Grund: wenn der Richter einen Antrag annimmt, muss er nur unterschreiben, dauert 10 Sekunden. Wenn er ablehnt, muss er das begründen, das dauert 20 Minuten. Wenn ein Richter abends nach Hause will und da liegen noch 20 Anträge auf sinnlose Massnahmen, dann könnt ihr euch ja mal überlegen, wie toll der die Einzelfälle prüfen wird.
Besonders erschütternd: 29% fanden, dass das auch ohne Richtervorbehalt klar ginge. Oh und die Linkspartei-Basis besteht zu 50% aus Leuten, denen nicht klar ist, dass der Bundestrojaner und der Rest der Terroristen-Rhetorik sich nicht gegen die Terroristen sondern genau gegen sie richtet.
"Wenn man sich anschaut, wer überall mit Journalistenausweis herumläuft: Dafür kann man nicht die Schranken öffnen." Außerdem schließe das Gesetz "eine bestehende Lücke im Sicherheitssystem".Kann man sich gar nicht ausdenken, sowas.
Nun, ich bin ja kein Freund von Burks, vor allem weil er Artikel wie diesen schreibt. Und, liebe Telepolis, es ist eine Schande, dass ihr einen Tag nach dem Innenausschuss-Passieren des BKA-Gesetzes so einen Schmuh abdruckt. Habt ihr da echt nichts besseres gefunden?
Aber egal. Rechte sind nur Rechte, wenn sie für alle gelten. Auch Burks hat das Recht, Nebelkerzen zu publizieren. Und diese Hausdurchsuchung war mit Sicherheit Unrecht. Ich hoffe mal, dass er da die angemessenen Schritte gegen diesen Amtsrichter einleitet, der die Durchsuchung für "verhältnismäßig" hielt. Die haben zwar offenbar seinen Rechner mitgenommen, aber die Bombenbastelanleitung ist immer noch Online. Da hat wohl einer der Spezialexperten unserer Regierung nicht verstanden, dass man Webseiten nur in den seltensten Fällen von zuhause aus hostet.
Aber zurück zu Burks publizistischen Nebelkerzen. Es spielt keine Rolle, ob der Staat im Moment in der Lage ist, einen effektiven Bundestrojaner zu bauen oder nicht. Dass gezielte Trojaner effektiv sein können, ist unbestritten. Da muss man nur die Chinatrojaner bei den diversen Behörden betrachten. Dass das BKA mit dem "wir schicken mal einen EXE-Anhang in einer Mail" Ansatz nicht weit kommt, das sehen sie ja auch selber, daher fordern sie ja auch, den Trojaner bei verdeckten Einbrüchen installieren zu dürfen. Burks linkt als "Beweis" für seine These, der Trojaner sei noch nie eingesetzt worden, seit Monaten auf einen Artikel vom April 2007. Mal abgesehen davon, dass das über ein Jahr her ist, und sich seit dem die Faktenlage geändert haben kann: wieso sollten wir dem Autoren glauben? Der ist Richter in Berlin, aber selbst das BKA hat ja verstanden, dass die Erkenntnisse des Trojaners nur schwerlich gerichtsbelastbar sind, insofern heisst das nichts, wenn ein Richter von keinem Fall weiss. Es gibt auf dem Gebiet viele widersprüchliche Aussagen, und man muss da gar nicht verschiedene Leute befragen, schon der Ziercke widerspricht sich laufend selbst. Aufgabe der Presse ist es, den Blödsinn, den Ziercke so von sich gibt, zu publizieren. Dann können Leute wie ich, die sich mit der Materie ein bisschen auskennen, in ihren Blogs dem Ziercke laut ins Gesicht lachen. Burks' heiliger Krieg gegen Presse, die nicht seine Linie vertritt, ist in meinen Augen armselig und eine Schande für seinen Beruf, aber hey, soll er mal machen.
Wenn der Staat ein Gesetz machen würde, dass es Polizisten erlaubt ist, Menschen mit klingonischen Schmerzstäben zu töten, wäre es dann ein gültiges Argument gegen Kritik an dem Gesetz, dass es im Moment keine klingonischen Schmerzstäbe gibt? Das spielt doch keine Rolle, WIE sie ihr Ziel erreichen wollen! Das Ziel ist trotzdem kritikwürdig!
Update: Whoops, connection refused bei Burks. Entweder der Traffic war zuviel, oder sie haben doch den Rechner rausgetragen, oder es hat jemand gemerkt, dass Burkhard "mich kann man mit dem Bundestrojaner nicht hacken" Schröder eine veraltete und angreifbare Wordpress-Version eingesetzt hat. Oder die Polizei hat mein Blog gelesen und sind noch schnell zum RZ gefahren? :-) Sorry, Burks.
Update: Mhh, Burks gilt doch als Journalist. Genießt der da nicht Quellenschutz? Wieso können die überhaupt seinen Rechner raustragen?
Die SPD konnte dabei durchsetzen, dass das Instrument zum verdeckten Zugriff auf IT-Systeme zunächst bis 2020 befristet werden soll.Soll das ein WITZ sein?!? Unglaublich! Und noch so eine tolle Gummi-"Konzession" haben sie herausgehandelt:
Weiter ist vorgesehen, dass neben zwei BKA-Beamten auch der Datenschutzbeauftragte der Behörde abgegriffene Daten auf Berührung des eigentlich unantastbaren Kernbereichs privater Lebensgestaltung hin begutachtet.Hey, toll, ich muss also nicht mehr den Beamten vertrauen, die gerade dabei sind, meine Bürgerrechte mit Füßen zu treten, sondern ich habe zusätzlich noch einen weiteren Beamten aus der Behörde, die gerade dabei ist, meine Bürgerrechte mit Füßen zu treten.
Hut ab, SPD. Da habt ihr ja enorm was gerissen.
Wir brauchen in diesem Lande mal einen Reset-Knopf, der diese ganzen Verräter aus dem Parlament entfernt.
Boah ich kann mich gar nicht beruhigen, dass die das hier als Fortschritt zu verkaufen versuchen, dass sie das Gesetz nach ein paar Jahren nochmal angucken. Hallo? Das ist Standard! Die nächste Regierung kann euren ganzen Flurschaden wieder weg machen. Das nennt man Demokratie. Dass ausgerechnet IHR das jetzt UNS als Vorteil zu verkaufen versucht, das ist eine Schande. Und dabei fing der Tag so hoffnungsvoll an. KOTZ!
Die Fahnder gehen davon aus, dass der radikale Konvertit Eric Breininger auf dem Weg von Pakistan zurück nach Deutschland ist - und hier Anschläge verüben will. Der 20-Jährige hat in einem Trainingscamp eine Märtyrer-Ausbildung absolviert.Eine … Märtyrer-Ausbildung? Was es alles gibt.
Auf dem Video im Internet trägt Eric Breininger eine Tarnjacke, um den Kopf hat er in Turban-Manier ein Tuch geschlungen, die Arme stützt er lässig auf seine Kalaschnikow. "Kommt zum Dschihad, denn das ist der Weg zum Sieg", ruft der 20-jährige Konvertit aus dem saarländischen Neunkirchen in die Kamera, im Hintergrund die öde Bergregion des afghanisch-pakistanischen Grenzgebietes. Dort soll Eric Breininger, gegen den in Deutschland ein Haftbefehl vorliegt, seit Monaten eine Märtyrer-Ausbildung durchlaufen haben. Jetzt vermuten deutsche und amerikanische Sicherheitsbehörden, dass Eric Breininger wieder auf dem Weg zurück nach Europa ist.Also wenn das so schlimm ist, dann müssen wir unbedingt dem BKA-Gesetz zustimmen! Wir brauchen Rasterfahndung, Bundeswanzen, Vorratsdatenspeicherung, wir brauchen Bundestrojaner, Bundesspionagekameras und verdeckte Wohnraumdurchsuchungen! Am besten machen wir erst mal die Grenzen zu!1!!
Update: OH NEIN!!!! Es sind zwei Märtyrer, nicht nur einer!1!! Damit hat sich die Terrorgefahr gegenüber dem ehemaligen Nachrichtenmagazin ja mal spontan verdoppelt!!!
Und guckt euch auch mal die Formulierung an. Haben die schon mal jemanden erschossen? Eine Bombe gebaut? Irgendwas justiziables? Nein, nur wenn man den Gummiparagraphen 129a nimmt.
Die Bundesanwaltschaft und das Bundeskriminalamt fahnden seit 25.09.2008 öffentlich nach den beiden Terrorverdächtigen Eric Breininger und Houssain Al Malla. Beide Personen werden dringend verdächtigt, Mitglieder einer terroristischen Vereinigung zu sein und werden mit Haftbefehl gesucht.
Soso, sie werden verdächtigt, Mitglieder einer terroristischen Vereinigung zu sein. Sie haben also nichts getan, und auch nicht versucht, etwas zu tun. Ich glaube ja, das sind gar keine Terroristen. Die Wahrheit ist viel gefährlicher. Das sind Agenten von Ozeanien. Oder gar Ostasien! Aber das würde ja bloß eine Panik auslösen, das kann das BKA nicht machen. (Danke, Karsten)
Und vielleicht kann mir auch mal ein Jurist helfen hier. Nachdem die CSU ja damit zugegeben hat, dass sie ihre Bürger illegal trojanisiert hat, wäre es damit jetzt legal, wenn ich sie hier als kriminelle Vereinigung bezeichnen würde? Da heimliche Verletzung der Wohnung auch Terror verbreitet, würde ich sie auch gerne als terroristische Vereinigung bezeichnen. Wie legal ist das nach diesem Schuldeingeständnis der CSU jetzt? Vielleicht kann ja Herr Vetter dazu mal Stellung nehmen, der soll ja die Verteidigung übernommen haben.
Update: Hups, kaum blogge ich die, bricht ihr Server weg. Ist halt nicht jede Software so skalierbar wie mein Blog hier :-)
Andere Links: Netzpolitik.org; Frankfurter Rundschau, Heise, Golem.
Übrigens: EIN GLÜCK, dass wir das BKA-Gesetz bisher verzögert gekriegt haben, denn da könnt ihr mal einen drauf lassen, dass die da keine offene Durchsuchung gemacht hätten, wenn sie auch verdeckt reingekommen wären.
Die Kernpunkte, die ich mitgenommen habe:
Die Sachverständigen haben kein gutes Haar an dem Gesetz gelassen. Es war klar: wenn sie das reparieren wollen, wäre das ein Totalschaden-Aktion, wegschmeißen und neumachen. Daher bin ich mir sicher, dass die das Gesetz genau so kaputt durchwinken werden, und dann werden wir wieder nach Karlsruhe gehen müssen. Der Grünen-Typ hat die Sachverständigen auch mit den Worten begrüßt, er sei dankbar, dass sie nach den ganzen letzten Gesetzen, wo ihre Vorschläge sämtlichst verworfen worden seien, immer noch für diese Anhörungen zur Verfügung stünden. So läuft das da ab. So wird bei uns Politik gemacht.
Oh, eine wichtige Sache noch, die mir bisher nicht so klar war. Das Verfassungsgericht hat bei den Tagebuch-Regelungen entschieden, dass strafrechtlich relevante Erkenntnisse grundsätzlich nicht in den Kernbereich der privaten Lebensführung fallen. In Verbindung mit dem "Richterband"-Vorschlag heißt das: die hören weiterhin alles ab, der Richter schneidet dann das Stöhnen während des Koitus und das Schnarchen heraus, und das Geständnis dazwischen wird verwertet. Genau so wird das ablaufen. Oh und natürlich sind keine Mittel vorgesehen, um die Richter zu finanzieren, die das machen sollen, bzw die dann nötigen Dolmetscher.
Die schriftlichen Stellungnahmen gibt es hier als PDF, falls ihr da mal reingucken wollt.
Ein Highlight gab es noch mit Herrn Dr Roggan, der sich die ersten fünf Stunden eher blass, zurückhaltend und wenig kontrovers gab, der aber in den letzten Minuten noch einen echten Knaller brachte, als er meinte, die Daten dürfen man nicht nur nicht an Länder weitergeben, bei denen dem Betroffenen die Todesstrafe drohe, sondern auch nicht an Folterländer wie die USA oder die Türkei. Niemand reagierte entsetzt darauf, ich bin mal gespannt, ob sie das aus dem offiziellen Transkript raus zensieren.
Hier mal ein paar Ziercke-Stilblüten:
Hier kann gar nicht davon die Rede sein, dass das gegen Unbescholtene eingesetzt wird!Völlig klar, wenn der Ziercke jemanden observieren läßt, dann ist das ein Verbrecher! Das hat dann vermutlich die Precog-Abteilung herausgefunden oder so. Ziercke hat sogar den Sprengstofflaster zur WM noch mal zitiert, der ja angeblich aus dem Baltikum kommen und Deutschland per schmutziger Bombe verstrahlen sollte, sich dann aber schnell als komplette Fiktion herausstellte.Verschlüsselung schafft strafverfolgungsfreie Räume!
Es geht nicht um den intelligenten Internetnutzer, sondern um die Netzwerke, da kommt man immer irgendwie rein.
Wer heute VoIP mit Skype macht, kann sich sicher sein, dass das nicht abgehört werden kann. [Ja! Hat er schon wieder gesagt!!]
… welche Hindernisse vorliegen, zum Beispiel Firewall, Antiviren, … [er weiß also genau, dass er da Malware baut]
Wir brauchen verdeckte Einbrüche, damit wir sicher sind, den richtigen Rechner zu erwischen!
Dann wären ja alle Polizeien weltweit Geheimdienste! [auf die Frage nach den nachrichtendienstlichen Befugnissen, die seine Behörde da kriegen soll]
Wir arbeiten im Moment mit Methoden aus der Steinzeit! Es dauert 8 Monate, bis wir einen Server in China öffnen können, und dann finden wir, dass die Daten seit 7 Monaten gelöscht sind!
Gefahr im Verzug braucht man für den Bundestrojaner, weil man ja nur in der Minute zugreifen kann, wo derjenige online ist!
Die Onlinedurchsuchung hat ja mit dem Kernbereichsschutz nichts zu tun. [ach ja?]
[Auf die Frage, ob sie denn mit der Rasterfahndung schon Erfolge hatten] Mit der Rasterfahndung haben wir Verdächtige identifiziert, das sehen wir als großen Erfolg. Was erwarten Sie den, was wir da erreichen können? [Naja, vielleicht etwas mehr als ein Verdacht? Wie wäre es mit einem Täter?]
[Auf die Frage, wozu sie die Online-Durchsuchung brauchen] Bei den Sauerländern haben wir verschlüsselte Dateien gefunden, die haben wir bis heute nicht entschlüsseln können! [Überraschung!!1!]
Kritik [an den neuen Geheimdienstbefugnissen] verhöhnt die Polizei, die in den Ländern mit diesen Befugnissen hunderte von Menschenleben gerettet haben.
[Angesprochen auf den Blödsinn, den sein Abgesandter beim Verfassungsgericht erzählt hat] Das war ein unautorisierte Aussage eines Mitarbeiters!
Ach, ein Highlight noch, von Prof Kutscha. Der hat mir ja sehr gut gefallen, der Mann. Der hat u.a. argumentiert, dass wir die selben Argumente ("unverzichtbar!", "Untergang des Abendlandes droht, wenn wir das nicht kriegen!!1!") schon beim großen Lauschangriff gehört haben, und heute benutzen sie das nur ein paar Mal im Jahr und das ist völlig unwichtig als Maßnahme. Und er hat die mangelnde Definition von "internationalem Terrorismus" sehr anschaulich illustriert, indem er argumentierte, da seien unter anderem Wirtschaftsgüter betroffen (das habe ich ja damals als "Onlinedurchsuchung bei Sachbeschädigung" kritisiert), und daher könne man argumentieren (er zitierte da auch noch ein EU-Gerichtsurteil in die Richtung, dass Streik als Handelshemmnis darstellte), dass von Gewerkschaften ausgerufene Streiks Terrorismus seien und unter dieses Gesetz fielen. Fand ich so toll, dass ich mich bei dem in der Kaffeepause persönlich bedankt habe, dass er das gebracht hat.
Oh, einen habe ich noch. Einer der SPD-Email-Ausdrucker sprach da davon, bei den Sauerländern hätten sie drei Tetrabyte an Daten gefunden (Danke an slowtiger für den schönen Photoshop). Bwahahahaha
Update: Lacher am Rande: es kam die Frage auf, warum wir nicht einfach die Formulierungen des Bayerntrojaner-Gesetzes nehmen, woraufhin sich die Sachverständigen unisono einig waren, dass das auch ganz offensichtlich verfassungswidrig ist.
Übrigens, mein persönlicher Held der Veranstaltung ist der Prof Geiger, der am Anfang ruhig und gesetzt rüberkam, aber immer schön seriös alle Punkte zerlegt hat. Der war mal BND-Präsident, was mich ja doch schockiert hat, weil der der einzige war, der da mit moralisch-ethischen Argumenten gegen das Gesetz kam. Der sprach auch als einziger ein Verwertungsverbot an, das ich ja auch gefordert hatte, für den Fall, dass sie Gefahr im Verzug brüllen und nach drei Tagen der Richter meint, der Einsatz sei illegal. Dafür habe ich ihm auch in der Mittagspause persönlich gedankt, und daraufhin wurde er nach der Mittagspause echt zum Tiger und kam da mit geradezu missionarischen Argumenten ala "Stellen Sie sich mal vor, SIE seien von so einem Gesetz betroffen, was für einen Rechtsschutz genießen Sie denn dann noch?" Erschütternderweise stießen diese Argumente bei den Abgeordneten auf völliges Unverständnis, so meinte der eine CDU-Apparatschik dazu "Sie tun ja geradezu so, als würden wir diese Maßnahmen gegen Unschuldige einsetzen!1!!". Äh, ja, genau das ist die Gefahr, Sie Knalltüte! Also der Geiger hat mir sehr gut gefallen. Wenn ich einen Orden verleihen könnte, er würde ihn kriegen.
Heise hat auch eine Meldung dazu, aber die liest sich fast als wäre der Herr Krempl bei einer anderen Anhörung gewesen :-)
Die Tagesschau findet auch, dass der Konsens war, dass das verfassungskonform war, und zitiert dafür ausgerechnet Prof Gusy, der da länglich argumentierte, dass man Artikel 13 dafür ändern müsse. Und von all den Kritikpunkten zitieren sie einen organisatorischen ("könnte mit den Zuständigkeiten der Bundesanwaltschaft kollidieren") und einen relativ leicht widerlegbaren ("könnte den falschen Computer treffen"). Pfui, Mainstream-Medien, Pfui! Noch schlimmer ist der erste Artikel dazu, wo sie gar keine Bedenken gehört haben (die müssen sich da was in die Ohren gesteckt haben).
Und wenn tagesschau.de wenigstens halbwegs seriös rüberkommt mit ihrer Falschberichterstattung, dann hat der Stern gar keine Hemmungen, dem Volk ins Gesicht zu lügen. Kein einziger der Staatsrechtler hat den Gesetzentwurf als verfassungskonform bewertet! Nicht mal die beiden CDU-Experten (der Heckmann und der Möstl, der schon vom Dialekt her klang als lehre er in Pullach)! Der Möstl hat immerhin für einige Punkte hanebüchene Rechtsauffassungen zu konstruieren versucht, wieso man möglicherweise für diesen Punkt ohne Verfassungsänderung auskommen könnte, bis es dann das Verfassungsgericht wieder einkassiert. Aber nicht mal DER hat sich da hingestellt und den Entwurf als verfassungskonform bezeichnet. Krass.
Kai Raven war auch da und hat seine Notizen geblogt. Seine Einschätzung zu Prof Gusy teile ich übrigens, der kam mir vor wie ein Hacker im Geiste, der auf Fragen, ob $XY verfassungskonform sei, mit bizarrologischen Konstruktionen antwortete, was man kunstvoll wie auslegen müsse, um da eventuell argumentativ in Richtung Verfassungskonformität kommen zu können. Bei mir blieb der Eindruck zurück, dass das alles in seinen Augen nicht verfassungskonform ist und man da größere Verrenkungen machen müsste, um das überhaupt verargumentieren zu können, aber offenbar sahen das die Experten-Reporter vom Stern anders. Bemerkenswert an dem Geiger war, dass er dieses Mal kraftvoll gegen das Richterband argumentierte, indem er am Ende aufzählte, wer bei einem Richterband (womöglich mit Dolmetschern) die eigentlich absolut geschützten intimen Kernbereichsdetails zu Gesicht bekäme.
However, Foggon warned that the shift away from PCs towards mobile devices is posing an increasing headache for the digital forensics teams.He said: "It is a concern that society is moving more towards using mobile phones. The PC architecture is usually stable but with mobile devices they change daily. If a mobile device comes out tomorrow we will not be able to look at it until a tool becomes available.
Tja. Und so trifft der Bundestrojaner wie vorausgesagt nur die Deppen und unschuldigen Bürger. Wie eigentlich die meisten Maßnahmen der letzten Jahre hauptsächlich diejenigen treffen, die sich an die Gesetze halten, nicht die Kriminellen.
Die Freundin meines Arbeitskollegen arbeitet bei der Londoner Polizei (ich kenne die Gute persönlich).Wow. Ich muss Niels da zustimmen, manchmal lassen sich die schönen neuen Methoden der Polizeiarbeit besser gegen die Polizei als für sie einsetzen. Seit dem China-Trojaner hege ich ja den Verdacht, dass das bei dem Bundestrojaner genau so ist, da wollen sie, wenn sie schon die Nachteile des ständig selbst durchsucht werdens hinnehmen müssen, wenigstens auch selber ein bißchen rumschnüffeln.Die hat mir erzählt, daß die Londoner Polizei ein neues, großes Problem hat. Wenn männliche Officer dort mit Frauen konfrontiert werden, ist deren neueste Masche, "sich zu berühren" (Originalformulierung "touch themselves") und die so genommene DNS-Probe großflächig auf der Uniform und möglichst Händen und Gesicht des Polizeibeamten zu verteilen.
Anschließend wird behauptet, daß der Officer sie sexuell bedrängt habe, was automatisch eine Untersuchung mit DNS-Probe nach sich zieht, die natürlich in krassem Umfang positiv ausfällt (ist ja überall verteilt).
Nach den eigenen Regularien hat der Officer jetzt ein böses Problem, alle wissen das in der Polizei, aber sie sind irgendwie machtlos gegen die Masche.
Angeblich rollt da gerade eine Riesenwelle auf die Londoner Polizei zu.
Wie eine Umfrage ergab, haben 71 Prozent Angst davor, dass der deutsche Staat ohne berechtigten Verdacht Computer seiner Bürger online durchsucht. Unbesorgt sind 27 Prozent, wie das Meinungsforschungsinstitut TNS-Emnid im Auftrag des Internet-Magazins «Tomorrow» ermittelte. Zwei Prozent der Befragten äußerten sich nicht.Na das sind ja wohl mal klare Aussagen. Wieso ist diese unsägliche Junta eigentlich noch im Amt?
Herbert Ettengruber von der CSU tat die Schelte der Opposition als “impertinente Ignoranz” ab. “Es gibt kein zivilisiertes Land dieser Welt, wo diese Dinge nicht gesetzlich erlaubt sind”.Ist das nicht toll? Und er hat natürlich völlig Recht, in allen anderen zivilisierten Ländern, also China und dem Iran, da machen die das auch so. Gleich und gleich gesellt sich gern. (Danke, Yevgen)
Die Lottogesellschaft, falls das wer nicht weiß, ist staatlich und ist dem Finanzministerium unterstellt. Die Bayern wollen ja auch gerade den Bundestrojaner schnell-schnell einführen, und zwar mit erweiterten Befugnissen. Ich denke, die Frage, ob wir denen trauen können, so etwas nicht zu mißbrauchen, können wir damit als beantwortet betrachten.
Die Benachrichtigungspflicht, das könnte mir ja auch die Telekom versprechen. Versprechen von Leuten, die meine Daten mißbrauchen können, sind schlicht nichts wert.
Und Richter gehören für mich zu dem gleichen System wie die Schnüffel-Gangster des BKA selbst. Das ist wie wenn mir die Telekom verspricht, sie würden erst den Vorstand fragen. Das hat ja im aktuellen Fall auch nicht geholfen.
Alle Sachen, die der Staat uns versprechen kann, um uns die Sorgen vor den Schnüffelstaat zu nehmen, kann uns genau so die Telekom versprechen. Und dann wäre es genau so wenig wert wie es beim Staat wert ist. Ich bin mir sicher, auch bei der Telekom gibt es total unabhängige interne Gremien, hinter deren "Unabhängigkeit" sie sich argumentativ verstecken könnten.
Das einzige, was mich RICHTIG ärgert an dem Telekom-Skandal ist, dass die verlogene Staatsanwaltschaft da jetzt einen auf dicke Hose macht und Hausdurchsuchungen vornimmt, als wäre Abhören, Beschnüffeln, illegal in anderer Leute Daten herumfummeln, nicht Standard bei unseren Repressionsbehörden. Wir haben ja schon gehört, dass sie den Bundestrojaner schlicht illegal eingesetzt haben (und das hätten sie natürlich weiter getan, wenn wir da kein Fass aufgemacht hätten).
Und so ist das mit dem Staat genau wie mit der Telekom. Von alleine kommt da gar nichts raus. Wenn sie können, verschweigen sie alles. Auch bei der Telekom wird das Management periodisch ausgetauscht, und trotzdem bewegt sich da nichts in die richtige Richtung. Genau wie in der Politik. Ich finde, die Telekom ist das perfekte Abbild unseres Staates. Kein Wunder also, dass da auch genau die gleichen Dinge falsch laufen.
Nachschlag zur Debian-Sache: ich hatte ja erzählt, dass whitehouse.gov betroffen war. Nun, stellt sich raus, auch Akamai ist betroffen. Akamai, das sagt vielleicht dem einen oder anderen nichts, das ist ein Content Distribution System. Das wird von allen möglichen Sites benutzt, u.a. von ATI für den Treiber-Download, und, besonders pikant, ELSTER zum Formular-Download für die Steuern:
DownloadWas heißt das jetzt konkret? Deren X.509-Zertifikat ist ja public, wurde von deren Webserver ausgeliefert. Inzwischen haben sie den natürlich ersetzt. Aber wer schnell genug war (und jemand war schnell genug und hat mir das gemailt), der hat jetzt ein Zertifikat mit dazugehörigem Private Key von "a248.e.akamai.net".Der Download erfolgt von einem externen Server des Anbieters Akamai "a248.e.akamai.net" der von der Finanzverwaltung für die Bereitstellung der ElsterFormular-Dateien genutzt wird.
Was heißt das? Nun, dieses Zertifikat ist ja signiert. Von einer CA, der die Browser der Welt vertrauen. Ich kann mich jetzt also mit diesem Zertifikat hinstellen und Browsern gegenüber erfolgreich behaupten, ich sei Akamai. Konkret: wenn jemand neben mir auf einer LAN-Party einen ATI-Treiber runterläd, oder sein Steuer-Formular zieht, kann ich mich in die TCP-Verbindung einklinken, und dann ist der SSL-Schutz ausgehebelt.
Um den Schaden von sowas zu minimieren haben SSL-Zertifikate eine Verfallsdauer von einem Jahr (naja, einstellbar, aber üblicherweise ist es ein Jahr). Dieses Akamai-Zertifikat läuft im Oktober aus. Ich habe das Zertifikat lokal geprüft und es funktioniert. Also, mal unter uns: das ist eine echt große Katastrophe. Nicht nur für Akamai. Es gibt auch nichts, was Akamai tun kann. SSL hat für solche Fälle die Idee einer Revocation List, aber das skaliert nicht und daher haben die Browser das alle abgeschaltet oder gar nicht erst implementiert. PKI funktioniert schlicht nicht in der Breite. SSL ist überhaupt ein Kapitel für sich. Habt ihr mal in eurem Browser die Liste der CAs angeschaut, denen euer Browser vertraut? Kennt ihr auch nur bei einer davon nähere Informationen, die Vertrauen rechtfertigen würden? Seht ihr? Ich auch nicht.
Ich möchte noch eine Sache bestonen: Akamai hat sich hier nichts vorzuwerfen. Die haben alles richtig gemacht. Wir bauen unser Kryptographie-Fundament auf Sand, da kann man noch so tolle Best Practices haben und einhalten. Im Übrigen gelten diese Überlegungen auch für alle anderen Varianten, wie jemand an einen Private Key kommen kann, z.B. Einbruchsdiebstahl. Und es gilt analog für alle anderen Public Key Systeme und PKIs im Moment, z.B. bei e-Government und der Gesundheitskarte. Skalierender Schlüsselrückruf ist ein ungelöstes Problem.
Update: Noch ein Nachschlag zu ELSTER. Stellt sich raus, dass die Elster-Leute auch noch ein Cross Site Scripting Problem haben, und man gar nicht SSL spoofen muss, um denen den Bundestrojaner unterzujubeln. Danke an Thomas für den Hinweis.
Update: Alexander Klink hat offenbar auch eine große deutsche Bank mit dem Problem gefunden, und, besonders hart: deren Zertifikat läuft erst in drei Jahren ab.
In the wake of the Debian weak key issue it was revealed that whitehouse.gov had a weak key. It turns out that the Akamai SSL key is also weak. Akamai, in case you never heard of them, is a major content distribution network. They have tens of thousands of servers distributed over the world. If you have a high traffic web site, you can contract with them, and they will host it and redirect visitors to the site closest to them. Their customer list includes Microsoft, the New York Times, and — particularly interesting for this — ATI's driver downloads.
Akamai obviously replaced their keys immediately. BUT. If you were quick enough, you could get their old public key (it is sent as part of the SSL handshake), and since the private key is weak (there are only 32k possible keys), you can generate the private key to it. Someone did (who wishes to remain anonymous) and sent the key to the CCC. I verified it. The key works. The part that has not sunk in yet for most people is: the public key is signed by a CA that browsers trust. I have a public key and a private key. I can now impersonate Akamai. If I can manipulate your TCP connection (which is easy, for example, if you are using Wifi or are on the same LAN with me), I can send you malware instead of the ATI driver.
SSL has two defenses for this. First: keys expire. This particular key expires October 2008. Second: Certificate Revocation Lists. SSL originally had the idea that CAs would publish a list of compromised keys, and as part of the SSL handshake, the browser would check if the key is on the list. The problem is: that does not scale. At all. There are billions of SSL connections being established per second, Verisign can not possibly pay for the traffic to send their list to everyone. So — noone checks the CRLs. This is the main reason why PKI does not work in practice.
One more thing: I'd like to stress that Akamai did nothing wrong here. They did everything right and still have a problem. The same problem occurs if someone gets the private key by some other means, for example breaking and entering. The foundation upon which we build our infrastructure is less stable than most people realize.
Die ausgetauschten Informationen hatten dem Bericht zufolge vor allem privaten bis "intimen" Charakter. Die Online-Razzia habe der BND rechtlich "ohne Weiteres" für durchführbar gehalten.Zugegeben, ich weiß nicht, was "intim" in dem Zusammenhang meint. Flirten? Telefonsex? Streit mit einer seiner Frauen? Aber egal, privat bis intim ist die Ansage. Da könnte man ja denken, OK, das braucht der BND nicht, da klinken die sich dann aus. Aber offensichtlich haben die ja nicht mal überlegt, ob das ethisch vertretbar ist! Einziges Kriterium: können wir dafür juristischen Ärger kriegen?
Und das ist meines Erachtens auch unser wichtigstes Argument beim BKA-Gesetz und den anderen furchtbaren Gesetzen, die gerade so gemacht werden. Da kommt auch immer wieder das Argument, ach naja, der Staat habe ja gar kein Interesse daran, euch beim Sex zu filmen. Und außerdem sei das ja so aufwendig mit der Überwachung, und habe so viel Vorlauf, das würde nicht frivol eingesetzt. Und wenn man dann genauer hinguckt, findet man eine Gefahr-im-Verzug Regelung für den ach so aufwendigen Überwachungskram, und findet als Kriterium "wir durften, also taten wir".
Nicht auszudenken, wenn jemand dieser Junta tatsächlich Befugnisse wie "Flugzeug abschießen" oder "Todesstrafe" gäbe. Ich bin mir sicher, da würde dann auch nicht zählen, ob das moralisch vertretbar und/oder sinnvoll ist, wenn sie dürfen, dann tun sie auch.
Ist die Identität festgestellt, sind die im Zusammenhang mit der Feststellung angefallenen Unterlagen zu vernichten, es sei denn ihre weitere Aufbewahrung ist nach anderen Rechtsvorschriften zulässig.WTF? "zulässig", nicht "notwendig"? Und überhaupt: alles wird vernichtet!! April April!
Sind die Unterlagen an andere Stellen übermittelt worden, sind diese über die erfolgte Vernichtung zu unterrichten.Vermutlich, damit DIE dann die Unterlagen aufheben und nichts verloren geht. Ich sehe da ein lustiges Aktenkarussell vor meinem geistigen Auge.
Ich frage mich ja auch, wie ich mir das Vorladungsrecht vorzustellen habe. "Kommen Sie mal morgen nach Wiesbaden, bitte!" oder wie?
Außerdem dürfen da Kontakt- oder Begleitpersonen längerfristig observiert, video- und audioüberwacht, mit Peilsendern versehen, mit V-Männern oder verdeckten Ermittlern bearbeitet werden, wenn:
die Abwehr der Gefahr oder die Verhütung der Straftaten auf andere Weise aussichtslos ist oder wesentlich erschwert wäre.Da wird nicht gefordert, dass die Ermittlung weniger aussichtslos ist durch die Maßnahmen! Die selbe Klausel "schützt" auch Bürger vor Beschnüffeln in Ton und Bild. Im Übrigen scheißen wir auf unschuldige Passanten:
Die Maßnahme kann auch durchgeführt werden, wenn Dritte unvermeidbar betroffen werden.Das ist dann wohl die annalist-Klausel. Frauen, Kinder, Nachbarn? Egal, da scheißen wir drauf. Alle plattmachen!1!!
Oh und hier sind die Kriterien für eine Gefahr, die einen BKA-Einsatz rechtfertigt:
Abwehr einer Gefahr für den Bestand oder die Sicherheit des Staates oder für Leib, Leben oder Freiheit einer Person oder Sachen von bedeutendem Wert, deren Erhaltung im öffentlichen Interesse geboten ist.Wenn also jemand an
Für die verdeckten Ermittler braucht es immerhin einen richterlichen Beschluß, wenn die Privatwohnungen betreten — aber es gibt natürlich auch eine "Gefahr im Verzug" Regelung, bei der dann nachträglich abgebrochen werden muss, wenn der Richter das nicht unterschreiben will, und keine Regelung, dass so illegal gewonnene Erkenntnisse nicht verwertet werden dürfen. Oh und guckt euch mal das hier an:
Ein Verdeckter Ermittler darf unter der Legende mit Einverständnis des Berechtigten dessen Wohnung betreten. Das Einverständnis darf nicht durch ein über die Nutzung der Legende hinausgehendes Vortäuschen eines Zutrittsrechts herbeigeführt werden.Tolle Wurst. Sie dürfen auch Wohnungen anderer Leute als des Verdächtigen abhören, wenn sich der Verdächtige dort aufhält und das Beschnüffeln in den eigenen vier Wänden "alleine nicht zur Abwehr der Gefahr nach Absatz 1 führen wird". Also, auf Deutsch: solange das Schnüffeln und Spannen nur sinnlos genug ist, können sie es ausweiten. Prima, nicht wahr? Ich fühle mich gleich viel sicherer! Und wieder gibt es einen Richtervorbehalt, der (selbst unter der nicht zutreffenden Annahme, dass ein Richtervorbehalt tatsächlich einen Schutz darstellt) durch eine Gefahr-im-Verzug Regelung ohne Verwendungsverbot für illegal erhobene Daten ausgehebelt wird.
Bei dem Lauschangriff haben sie folgenden "Schutz" drin:
Die Maßnahme nach Absatz 1 darf nur angeordnet und durchgeführt werden, soweit auf Grund tatsächlicher Anhaltspunkte, insbesondere zu der Art der zu überwachenden Räumlichkeiten und dem Verhältnis der zu überwachenden Personen zueinander, anzunehmen ist, dass durch die Überwachung Äußerungen, die dem Kernbereich privater Lebensgestaltung zuzurechnen sind, nicht erfasst werden.Wenn dann doch was privates passiert, sollen sie abschalten. Wenn sie sich nicht sicher sind, sollen sie weiter aufnehmen (aber offenbar nicht reinhören) und das wird dann einem Richter übergeben, der es dann löschen läßt, wenn es zu privat ist. Und das soll mich jetzt beruhigen? Dass statt einem BKA-Beamten ein Richter in meinem Leben herum schnüffelt? Da fühle ich mich doch gleich viel sicherer!1!!
Dann geht es weiter mit der Ausschreibung zur polizeilichen Beobachtung. Hier kommen wir offenbar ins Gebiet der Phrenologie, denn da gibt es folgende tolle Formulierung:
Die Ausschreibung zur polizeilichen Beobachtung ist nur zulässig, wenn […] die Gesamtwürdigung der Person und ihre bisher begangenen Straftaten erwarten lassen, dass sie künftig Straftaten gemäß §4a Abs 1 Satz 2 begehen wird […] und dies zur Verhütung der Straftaten erforderlich ist.Wie kann eine Ausschreibung zur polizeilichen Beobachtung jemals für die Verhütung einer Straftat erforderlich sein? Immerhin haben sie ja schon Peilsender in ihrem Sortiment. Daher nehme ich mal an, dass das nur so als Floskel da steht, aus optischen Gründen, und das nie wirklich fraglich sein wird.
Oh und das BKA darf Rasterfahndung machen. Dann dürfen sie
[…] von öffentlichen oder nicht-öffentlichen Stellen die Übermittlung von personenbezogenen Daten von bestimmten Personengruppen […] verlangen […].Lacher am Rande:
Von den Verfassungsschutzämtern des Bundes und der Länder, dem Militärischen Abschirmdienst sowie dem Bundesnachrichtendienst kann die Übermittlung nach Satz 1 nicht verlangt werden.Da sieht man die amtsinternen Schlachtfelder förmlich vor sich. Und was tun sie jetzt mit den Daten? Nun, sie löschen sie. Außer… ja außer:
zu löschen, soweit sie nicht für ein mit dem Sachverhalt zusammenhängendes Verfahren erforderlich sind.Jetzt frage ich mich als Laie natürlich, was "zusammenhängendes Verfahren" ist. Wenn sie da z.B. wegen "ZOMG TERRORISTEN, WAFFENSCHMUGGEL" rasterfahnden, und die Daten dann an die IFPI übergeben, ist das dann auch ein "zusammenhängendes Verfahren"? Geht ja in beiden Fällen um Schmuggel, und es weiß doch jeder, dass Raubkopierer Terroristen sind.
Aber kommen wir zum Bundestrojaner, dem eigentlichen Grund, wieso wir hier sind. Immerhin steht da diesmal nichts von Sachschäden, sondern nur Leib, Leben oder Freiheit, Güter der Allgemeinheit, deren Bedrohung die Grundlagen oder den Bestand des Staates oder die Grundlagen der Existenz der Menschen berührt. "Berührt"? Nicht "bedroht" oder "in Frage stellt"? Desweiteren:
Eine Maßnahme nach Satz 1 ist auch zulässig, wenn sich noch nicht mit hinreichender Wahrscheinlichkeit feststellen lässt, dass ohne Durchführung der Maßnahme in näherer Zukunft ein Schaden eintritt, […]ACH. Also planen sie doch die weitgehend unbegründete Massenmaßnahme? Anders kann ich das nicht lesen hier.
[…] sofern bestimmte Tatsachen auf eine im Einzelfall durch bestimmte Personen drohende Gefahr für eines der in Satz 1 genannten Rechtsgüter hinweisen.Dieser "bestimmte Personen" Teil stört mich. Wie, bestimmte Personen? Nicht die Zielperson? Das klingt für mich nach "wir schnorcheln mal alles mit", so vage wie das hier formuliert ist. Immerhin:
Die Maßnahme darf nur durchgeführt werden, wenn sie für die Aufgabenerfüllung nach § 4a erforderlich ist und diese ansonsten aussichtslos oder wesentlich erschwert wäre.Hier kommt also mal wieder die "muss nur sinnlos genug sein" Regel ins Spiel.
Die Maßnahme darf sich nur gegen eine Person richten, die entsprechend §17 oder §18 des Bundespolizeigesetzes verantwortlich ist. Die Maßnahme darf auch durchgeführt werden, wenn andere Personen unvermeidbar betroffen werden.Das ist ja lächerlich. Erst sagen sie, man darf das machen, wenn man nicht sicher ist, dass überhaupt in näherer Zukunft ein Schaden zu erwarten ist, und dann das hier? Woher soll man denn dann wissen, wer der Verantwortliche sein wird, wenn man noch nicht mal weiss, dass es in absehbarer Zeit stattfinden wird?
Noch eine Frage: Gefahr für Leib und Leben kann man ja auch sagen, wenn jemand selbstmordgefährdet ist. Kann das BKA jetzt alle Emo-Teenies verwanzen?
Kommen wir zu dem Teil, wo sie versuchen, ihren Hintern zu bedecken.
Liegen tatsächliche Anhaltspunkte für die Annahme vor, dass durch die Massnahme allein Erkenntnisse aus dem Kernbereich privater Lebensgestaltung erlangt würden, ist die Maßnahme unzulässig.Solange also jemand auch nur einen Spam auf dem Rechner kriegt, ist der Rechner Freiwild.
Soweit möglich, ist technisch sicherzustellen, dass Daten, die den Kernbereich privater Lebensgestaltung betreffen, nicht erhoben werden.Hier ist ja unstrittig (unter Leuten, die schon mal einen Computer gesehen haben), dass das unmöglich ist. Eine reine PR-Luftnummer also, diese Formulierung überhaupt aufzunehmen.
Erhobene Daten sind unverzüglich von zwei Bediensteten des Bundeskriminalamtes, von denen einer die Befähigung zum Richteramt hat, auf kernbereichsrelevante Inhalte durchzusehen.HAHAHAHAHAHA, bitte was?! Das ist ja zum Totlachen! Befähigung zum Richteramt? Was haben DIE denn geraucht?
Bestehen Zweifel, ob Daten dem Kernbereich privater Lebensgestaltung zuzurechnen sind, sind diese zu löschen oder unverzüglich dem anordnenden Gericht zur Entscheidung über die Verwertbarkeit und Löschung der Daten vorzulegen.Der größte Hammer in dem Gesetzesentwurf ist aber, dass sie ernsthaft zwischen Bundestrojaner und "Quellen-TKÜ" unterscheiden. Quellen-TKÜ ist selbstverständlich exakt das gleiche. Hier wird ein Trojaner eingebracht. Aber mit diesem argumentativen Taschenspielertrick versuchen sie, den Bundestrojaner durch die Hintertür durchzuschmuggeln. Beim Trojanereinsatz zum Skype-Abschnorcheln gibt es dann nämlich doch wieder Sachschaden als Anlaß. Oh und erinnert ihr euch an deren dreistes Rumgelüge, dass das Erstellen eines Bundestrojaners ja so aufwendig sei, der für jedes Ziel extra zurecht angepaßt werden müsse, und daher das eh keine Maßnahme sei, die man mal eben machen könnte, das braucht enormen Vorlauf, blahblah? Zuletzt wurde diese dreiste Lüge von Herr Bosbach bei "Klipp und Klar" im RBB geäußert. Der ist ja eh schon häufiger durch kreative Realitätsauslegung aufgefallen. Und jetzt haben sie eine "Gefahr im Verzug" Regelung dafür. Falls die Zeit zu knapp ist, um einen Richter zu befragen. Laßt mich das noch mal in groß schreiben:
Für den Bundestrojaner gibt es eine "Gefahr im Verzug" Regelung.
Damit überführen sie sich selbst der Lüge. Ist das nicht toll? So einfach kann das gehen. Erst lügen sie uns ins Gesicht, dann glauben sie, wenn das Gesetz nicht öffentlich gemacht wird, bevor es zu spät ist, dann könnten sie da Tatsachen schaffen.
Weiter geht es im Gesetz mit dem Erheben von Verkehrsdaten, wo sie dem BKA Zugriff auf die Daten der Vorratsdatenspeicherung einräumen, und wieder mit der "auf andere Weise aussichtslos oder wesentlich erschwert" Inkompetenzklausel.
Danach kommen noch so unwichtige Details wie dass das BKA "zur Abwehr einer Gefahr eine Person vorübergehend von einem Ort verweisen oder ihr vorübergehend das Betreten eines Ortes verbieten" kann. Auf dieser nicht vorhandenen Einschränkung basierend kann das BKA dann auch alle Leute festnehmen, um "einen Platzverweis […] durchzusetzen" oder einfach nur so, präventiv, weil sie verdächtig sind. Und wenn das BKA jemanden festhalten kann (was ja nicht weiter eingeschränkt ist so als Personengruppe), dürfen sie sie auch durchsuchen. Wobei sie ja eh jeden durchsuchen dürfen, der eine Sache bei sich führt, mit der er sich verletzen oder Leben oder Gesundheit anderer schädigen kann (also alles, eigentlich. Wenn man es wirklich will, kann man sich mit einer Hose oder einem Taschentuch umbringen). Oder wenn man mit der Sache Sachen beschädigen oder sich oder anderen die Flucht ermöglichen oder erleichtern kann (was sie damit wohl meinen? "Schuhe"?). Oh und natürlich kann das BKA Personen durchsuchen, um zu gucken, ob sie Waffen bei sich führen. Hierfür muss noch nicht einmal eine Bedrohung für andere ausgehen, es reicht schon, wenn der BKA-Beamte sich selbst durch potentielle Waffen bedroht fühlt. Aber wartet, kommt noch besser.
Das Bundeskriminalamt kann eine Wohnung ohne Einwilligung des Inhabers betreten und durchsuchen, wenn […] Tatsachen die Annahme rechtfertigen, dass sich in ihr eine Sache befindet, die nach §20s Abs 1 Nr 1 sichergestellt werden darf.Und das waren die Sachen, mit denen man sich oder andere töten oder verletzten, Sachen beschädigen oder sich oder anderen die Flucht ermöglichen oder erleichtern kann. Wir halten also fest: das BKA darf alle Wohnungen durchsuchen, denn Tatsachen sprechen dafür, dass sich darin Messer befinden, mit denen man sich verletzten kann. Und Werkzeug, mit dem man Sachen beschädigen kann. Immerhin dürfen sie nachts nur kommen, wenn dies zur Abwehr einer gegenwärtigen Gefahr […] erforderlich ist. Da fühlt man sich doch gleich viel sicherer! Oh, oder wenn es eine dringende Gefahr ist (§20t Abs 3) und erfahrungsgemäß dort was zu holen ist.
Auch der Schutz von Journalisten und Anwälten ist ganz toll gelungen:
Soweit durch eine Maßnahme eine [solche Person] betroffen wäre und dadurch voraussichtlich Erkenntnisse erlangt würden, über die diese Person das Zeugnis verweigern dürfte, ist dies im Rahmen der Prüfung der Verhältnismäßigkeit unter Würdigung des öffentlichen Interesses an den von dieser Person wahrgenommenen Aufgaben und des Interesses an der Geheimhaltung der dieser Person anvertrauten oder bekannt gewordenen Tatsachen besonders zu berücksichtigen.Äh, wie meinen? Verhältnismäßigkeit? Abwägung? Das ist ja krass. Also wenn das BKA meine Wohnung abhört, und mein Anwalt besucht mich, dann müssen die nicht sofort aufhören, sondern das liegt dann im Ermessen von jemandem beim BKA?!? Das kann sich ja wohl nur um einen Scherz handeln!? Oh, wird noch härter:
Die Absätze 1 bis 3 gelten nicht, sofern Tatsachen die Annahme rechtfertigen, dass die zeugnisverweigerungsberechtigte Person für die Gefahr verantwortlich ist.BWHAAHAHAHA, was für eine Farce! "Der spricht häufig mit seinem Anwalt, also ist der Anwalt mit verantwortlich, den hören wir jetzt mal ab" oder wie? Mann Mann Mann.
Erwähnte ich, dass das Zeugnisverweigerungsrecht abgeschafft wird?
Unter den in […] bezeichneten Voraussetzungen ist der Betroffene zur Verweigerung der Auskunft berechtigt. Dies gilt nicht, soweit die Auskunft zur Abwehr einer Gefahr für den Bestand oder die Sicherheit des Staates oder Leib, Leben oder Freiheit einer Person erforderlich ist.Immerhin dürfen sie die Erkenntnisse nicht zweckentfremden. Interessant ist, wie sie die Auskunftspflicht definieren. Man muss Namen, Vorname, Tag und Ort der Geburt, Wohnanschrift und Staatsangehörigkeit angeben. Weitere Auskünfte können sie nur von dem Tatverantwortlichen verlangen, und "entsprechend den Voraussetzungen des §20 Abs 1 des Bundespolizeigesetzes für die dort bezeichneten Personen". Nur — seht ihr da eine Einschränkung eines Personenkreises? Ich nicht.
Also, liebe Leute, das ist jetzt in eurer Verantwortung, eure Bekannten über dieses Gesetz aufzuklären. Erzählt ihnen von der "Quellen-TKÜ", mit der sie Trojaner auch bei Sachbeschädigung etablieren wollen, von der Wohnungsdurchsuchung, wenn man dort Messer oder Schuhe vermuten kann, von den Platzverweisen (da steht übrigens nur, dass sie befristet sein müssen, nicht dass die Frist nicht "1000 Jahre" sein kann, und da steht auch nicht, dass der Ort, dessen man verwiesen wird, nicht "Bundesrepublik Deutschland" sein kann), den Präventivverhaftungen (Guantanamo, ick hör dir trapsen), den Durchsuchungen… Wenn wir da jetzt nicht ein Faß aufmachen, dann wird das so durchgewunken.
Update: Stellt sich raus, dass ausgerechnet Denkmäler nicht zum Schutz gegen Missbrauch videoüberwacht werden dürfen.
Update: Da ist noch ein kleines Detail, das ich übersehen hatte, bei der Benachrichtigungspflicht.
Zudem kann die Benachrichtigung einer […] Person, gegen die sich die Maßnahme nicht gerichtet hat, unterbleiben, wenn diese von der Maßnahme nur unerheblich betroffen wurde und anzunehmen ist, dass sie kein Interesse an einer Benachrichtigung hat.
Ich denke, da sollten jetzt 60 Millionen Briefe beim BKA aufschlagen, die grundsätzliches Interesse an Benachrichtigungen bekunden.
Nun, anläßlich aktueller Ereignisse wird klar, wen sie da als Zielgruppe vor Augen haben: Deutsche Verwaltungsangestellte. Im Gegensatz zu unbescholtenen Bürgern (und Terroristen und Kriminellen) hat ja beim BMI offensichtlich niemand irgendwelche Konsequenzen zu befürchten, wenn da sensible Daten verloren gehen. Und die beim BMI sind auch dämlich genug, sich von China Trojaner unterschieben zu lassen. Da paßt dann plötzlich alles.
Und man könnte fast sagen, sie hätten auf mich gehört. Ich proklamiere ja seit Jahren, dass die am auffälligsten kriminelle Kaste in Deutschland Politiker sind. Innenministerium, Bundestag, das ist nicht so weit voneinander entfernt. Also mal rein örtlich gerechnet. So weit haben sie gar nicht daneben gezielt mit ihrer Zielgruppe!
Update: Auch Hessen und Baden-Württemberg wollen Wohnungseinbrüche zur Trojanerinstallation erlauben. Alle von der schwarzen Pest regiert. (Danke, Bernd)
Ihre Hauptaufgaben sind:Also meine Vermutung: auf die Bundestrojaner-Sache bewerben sich lauter unseriöse Ex-Knastis, Leute, die bei der Russenmafia rausgeflogen sind. Die Hacker, die für die Botnet-Chinesen zu schlecht waren. Oder die Hacker, die bereits für die Chinesen arbeiten und gerne mal einen Account beim BKA haben wollen. (Danke, Reiner)
- Konzipierung, Durchführung und Weiterentwicklung von psychodiagnostischen Auswahlverfahren (Testverfahren, Assessment Center) für unterschiedliche Bewerbergruppen […]
- Psychologische Betreuung der Angehörigen von Sonder- und Operativeinheiten des BKA
Interessant an der Sache: sie suchen explizit Leute mit Unix/Linux-Kenntnissen. Aber ich mache mir da ehrlich gesagt wenig Sorgen. Sie suchen nur Leute mit Uni-Abschluß und das soll in C/C++ gemacht werden. Meiner Erfahrung nach muss man sich bei der Schnittmenge daraus keine Sorgen machen, dass das Projekt jemals fertig wird oder gar funktioniert.
Update: Die haben auch in der FAZ inseriert. Ich frage mich ja, was die glauben, welcher FAZ-Leser mit deren Gehaltsvorstellungen (11 TVÖD) zufrieden wäre. (Danke, Henner)
The issue of encryption "would have to be faced," Sherman admitted after talking about the wonders of filtering. "One could have a filter on the end user's computer that would actually eliminate any benefit from encryption because if you want to hear [the music], you would need to decrypt it, and at that point the filter would work."
Hey, vielleicht war das ja der Probelauf für die verdeckten Hausdurchsuchungen mit Bundestrojaner-Installation und sie haben da versehentlich Leute für angeworben, für die das Detail ungewohnt ist, dass die manipulierten Geräte am Ende in der Zielwohnung verbleiben sollen! So ist das halt, wenn man sich auf ein Niveau mit gewöhnlichen Kriminellen stellt.
Oder die haben die Installation vergeigt und da poppt jetzt nach dem Booten immer so eine Fehlermeldung hoch, und da haben sie lieber einen Einbruch simuliert als da peinliche Spuren zu hinterlassen :-)
Dazu gehört auch, dass die laufende Betonung der Bedeutung der Online-Durchsuchung die IT-Kräfte in der Behörde nicht eben beruhigt. Auf dem Polizeikongress machte sich ein Beamter, nach eigenen Aussagen IT-Experte bei der Berliner Polizei, im Fachpanel über die Online-Durchsuchung seine Gedanken. "Ich frage mich, gegen wen sich das vorgeschlagene Gesetz eigentlich richtet. Wenn wir wissen, dass wir mit unseren Tools nicht gegen die OK [organisierte Kriminalität] und Geldwäsche ankommen, weil die strikt Klartextdateien nur auf separaten Rechnern führen, dann müssen wir uns fragen, was unter dem Deckmantel der terroristischen Bedrohung passiert. Wir produzieren dann nur gemeinte Sicherheit und fangen Otto Normalverbraucher, der mal ein paar Dateien aus dem Netz geladen hat, ob das Nazireden oder Pornografie ist. Da habe ich als Beamter ein großes Problem."Wow. Ich freue mich sehr, dass da ein Beamter genug Arsch in der Hose hatte, das mal offen zu sagen. Und die Antwort auf sowas ist immer die gleiche. Wir haben das ja auch schon ein paar Mal angesprochen, dass sie damit nur die Doofen fangen werden. Da heißt es dann immer:
Die Antwort des Datenschüzters Wolfgang von Pommer Esche, der den Bundesdatenschützer Peter Schaar vertrat, fiel nicht beruhigend aus: "Jeder Kriminelle macht mal Fehler. Da muss man Geduld haben." Außerdem sei die Methode, einen Trojaner zu programmieren so aufwendig, dass die Behörden den Zielrechner genau auskundschaften müssten, sodass keine Gefahr bestehe, dabei irrtümlich einen Normalverbraucher ins Visier zu nehmen.Nur sagen das normalerweise die Betonköpfe aus dem Führungskreis um SSchäuble herum, nicht der Vertreter des Datenschutzes. Das schockiert mich dann doch, dass ausgerechnet der jetzt auch diesen Blödsinn von sich gibt.
Immerhin. Wir haben da die öffentliche Meinung so polarisiert gekriegt, dass die Befürworter des Bundestrojaners alle kurzfristig abgesagt haben. Das ist ja auch schon mal was. Keiner kann im Moment sagen, ihm sei nicht klar, dass niemand aus dem Volk diesen Trojaner haben will.
Das Problem mit Staatssekretären ist ja, dass die nicht bei der Wahl ausgewechselt werden. Es ist also egal, wer da jetzt die Macht übernimmt, diese Type bleibt im Amt. *KOTZ*
Update: Hier stand erst, dass Kaspersky Arvato gehört, das ist ja alleine aus dieser Webseite nicht so klar.
Sie können an allen Fachforen mit Ausnahme von Fachforum V teilnehmen, das vom BKA als geschlossene Veranstaltung durchgeführt wird.Hinter vorgehaltener Hand heißt es, dass dort der Bundestrojaner demonstriert werden soll.
Ich möchte bei der Gelegenheit darauf hinweisen, das der CCC nicht nur geleakte Papier-Dokumente entgegen nimmt, sondern gerne auch geleakte Videomitschnitte von BKA-Demonstrationen. Nur, falls da jemand Zutritt hat, der das hier liest. :-)
Dann hat ein professioneller Hacker eine gute Datenbank, die in Sachen Sicherheitslücken auf dem aktuellen Stand ist. Entsprechende Datenbanken in asiatischen Staaten, die von Amts wegen Industrie- und Technologiespionage betreiben, gelten auf dem Gebiet als führend.Blödsinn. Tun sie nicht. Taten sie auch noch nie. Die spielen eher in der Kreisliga mit. Gut, es gibt da einzelne Leute, klar, die gibt es immer. Aber im Großen und Ganzen sind die Asiaten gut darin, manuell aus einem alten Exploit 300 Varianten zu machen, und so lange an Dingen rumzutweaken, bis sie durch Spamfilter und Antiviren kommen. Die Exploits selbst kommen selten bis nie aus Asien und es gibt auch keine Hinweise darauf, dass die aus besonders tollen 0days säßen.
Im Übrigen möchte ich mal darauf hinweisen, dass dieser ganze Exploit-Kram Blödsinn ist. Habe ich ja hier schon mal ausgeführt. Nie und nimmer werden unsere bräsigen Behörden da 0days kaufen und damit Rechner aufmachen. Aber weiter zu diesem Herrn XXX, auf die Frage, warum die "Online-Durchsuchung" bei entsprechender Vorbereitung keine Chance hat:
Weil es Sicherheitseinrichtungen gibt wie das iPsec-Hochsicherheits-Gateway (HSG), die erst durch Entwicklungsprinzipien wie SOA und die XML-Fähigkeit der Datenbanken möglich und sinnvoll wurden.Ich arbeite in dieser Branche. Und selbst für mich ergibt dieser Satz überhaupt keinen Sinn. XML-Fähigkeit der Datenbanken?! SOA?!? Was hat das bitte mit dem Bundestrojaner zu tun? Gar nichts! Dann behauptet er noch, dass er Buffer Overflows unmöglich machen kann (*hust* BULLSHIT! *hust*). Mann Mann Mann. Haben die Zeitungen denn überhaupt keine Standards, was sie da für Leute befragen?
Update: Die Version beim CCC tut in einigen Readern nicht, aber auch die Piratenpartei hat inzwischen ein PDF veröffentlicht, holt es euch mal lieber dort.
Bemerkenswert an dem Angebot sind folgende Details:
Ohne irgendwas davon mal in Aktion gesehen zu haben, maße ich mir mal folgende Glaskugel-Aussagen an:
Update: noch was vergessen: die verkaufen der Polizei auch gleich zwei (!) Proxy-Server zum Verschleiern der IPs. Zwei! Das finde ich bemerkenswert. Hat wohl doch mal jemand aufgepaßt bei unseren Tor-Vorträgen :-)
Seit September 2007 hatte die Kölner Staatsanwaltschaft an diesem Aufsehen erregenden Fall gearbeitet und diesen nun abgeschlossen. Oberstaatsanwalt Rainer Wolf sagte der "Kölnischen Rundschau": "Wir haben alle Verfahren eingestellt." Nach Beendigung der Ermittlungen konnte den "Usern" keine strafrechtlichen Handlungen nachgeweisen werden. "Es waren zum größten Teil Fotos von nackten Kindern am Strand oder an anderen Orten zu sehen", so Wolf. Anstößige Handlungen waren nicht erkennbar.Und diesen Leuten, die schon ohne Vorratsdatenspeicherung so enorm versagen, DIESEN Leuten sollen jetzt erweiterte Befugnisse erteilt werden? Vorratsdatenspeicherung? Damit noch mehr Unschuldige verfolgt werden können? Bundestrojaner? (Danke, Sebastian)
Wie kommt es? Nun, ich denke, die haben ihr Umfeld fertig. Eine Packung Fake-Terroristen mit Fake-Daten auf ihren Fake-Festplatten, und es fehlt nur noch der Trojaner, um damit ein Blutbad abzuwenden. Es wird sich wahrscheinlich um fake-ausländische Fake-Islamisten handeln, die durch die porösen Grenzen eingewandert sind, damit die CSU auch gleich ihre barbarische Ausländerhetzpolitik untermauern kann. Ich würde sogar vermuten, dass sie die Fake-Auswertung der Fake-Daten schon fertig haben, damit sie die Fake-Ergebnisse noch vor dem Verfassungsgerichtsurteil präsentieren können. Nun, wir werden sehen.
Es geht nun nicht mehr um das Ob, sondern um das Wie der Online-Durchsuchung.Wer hat uns verraten? Die Sozialdemokraten!
Also, die SPD sagt kein grundsätzliches Nein mehr zu dieser Onlinedurchsuchung. Wir haben deswegen einen ziemlich klaren Weg vor Augen. Wir wollen das natürlich möglichst schnell haben. Wir sind ja der Gesetzgeber. Wir sind ja nicht die Vollzugsmaschinerie als Parlament des Bundesverfassungsgerichts, sondern das Gericht spricht Recht und wir machen die Gesetze. Also wir brauchen im Grunde genommen auf Karlsruhe nicht zu warten.Genau. Wo kämen wir da hin, wenn die sich an Recht und Ordnung halten würden. Dafür haben die ja Immunität (was ich übrigens mit jedem vergehenden Tag einen schlimmeren Fehler finde). Unglaublich.
Und dann noch die Sache mit den Anti-RFID-Hüllen für die Ausweise. Kann man sich alles gar nicht ausdenken.
Früher äußerte sich der Verein zu Dingen, von denen er nichts verstand einfach nicht. Das ist heute anders. Im Bemühen, im Gespräch zu bleiben spricht man auch gern mal in Mikrofone, wenn es eigentlich nichts zu sagen gibt. Und ein einstündiger Vortrag zum Bundestrojaner beispielsweise trägt in trauriger Wahrhaftigkeit den Untertitel: "Die Wahrheit haben wir auch nicht, aber gute Mythen".Also tut mir leid, das nehme ich jetzt persönlich. Wer soll denn bitte was zum Bundestrojaner zu sagen haben wenn nicht wir? Wir wurden von der Presse plattgetrampelt, weil die alle von uns wissen wollten, wie sie sich davor schützen können. Dass es überhaupt zu einer Debatte gekommen ist, ist unser Verdienst. Ohne uns gäbe es das Wort gar nicht. Und es war ja nun nicht so, dass wir da keine Fakten gehabt hätten. Im Gegenteil. Gut, der Brunnstein fand den Vortrag unstrukturiert und populistisch, und offenbar haben vereinzelt Leute den Eindruck gehabt, wir seien unvorbereitet gewesen und hätten da unstrukturiert gefaselt, aber ich versichere euch: dem war nicht so. Wir haben uns eine halbe Stunde vorher zusammen gesetzt und unser Material strukturiert. :-)
Und ohne dem Herrn Brunnstein zu Nahe treten zu wollen (wir haben auf dem Congress auch noch eine Weile über den Vortrag gesprochen, und da hat er zwar den Populismus-Vorwurf erhoben, aber uns keinesfalls mangelnde Kompetenz unterstellt), folgenden Absatz kann ich nicht unkommentiert stehen lassen:
Beim Thema Bundestrojaner beispielsweise sei der Verein "nicht genügend kompetent", sagt Brunnstein. In einem Vortrag dazu von der Gefahr überwachbarer Hörgeräte oder manipulierbarer Herzschrittmacher zu sprechen, sei doch "Pipifax", das lenke nur vom eigentlichen Problem ab.DOCH. GERADE über Hörgeräte und Herzschrittmacher muss man reden. Die Situation im Moment ist, dass die uns sagen, sie wollen bloß unsere Rechner trojanisieren, aber das Gesetz läßt eben auch Herzschrittmacher offen. Wenn wir jetzt zu dem Gesetz ja sagen, dann dürfen sie in Zukunft eben auch Herzschrittmachen manipulieren, nicht nur Rechner. Und die Aussage der Leute gerade, dass sie das ja nicht "planen" (sie behaupten nicht mal, dass sie es nie tun werden, nur dass sie es nicht planen gerade), das reicht mir nicht. Das ist einer der zentralen Kritikpunkte an dem Gesetz, dass sie sich da Dinge vorbehalten, die sie weder brauchen noch können, noch wären diese Möglichkeiten technisch beherrschbar. Daher gehört das da nicht hin.
Der Brunnstein kommt halt aus der Malware-Analyse-Ecke bei der Uni Hamburg, wo sie Viren-Binaries angucken, und für den ist das eben die Welt. Brunnstein findet, dass wir viel mehr darauf hinweisen müssten, wie schlimm das mit der Sicherheit da draußen ist, als den inkompetenten Staat zu beschießen, der das ja eh nicht sinnvoll umsetzen könnte, was er da plant. (Ich hoffe, ich gebe das jetzt korrekt wieder aus dem Gedächtnis)
Ich finde: der Brunnstein ist herzlich eingeladen, auch mit der Presse zu reden, und denen die Wahrheit aus seiner Sicht zu erzählen. Ich würde das sogar begrüßen. Je mehr Leute da unabhängig gegen den Bundestrojaner argumentieren, desto besser. Aber unsere Prioritäten so wegzuwischen, das finde ich unangemessen. Wir sind da, wo wir jetzt sind, weil wir eben auch mal populistisch mit Problemen umgehen. Das ist ja kein Zufall, das war harte Arbeit, Wege zu finden, wie man ein technisches Problem so formulieren kann, dass die Bevölkerung versteht, dass sie das a) betrifft und b) ein Problem ist. Wir sind hier keine Universität, wir haben mit unseren Kongressen keine so stringenten akademischen Anforderungen. Bei uns geht es vor allem darum, die Inhalte zu transportieren, und das ist uns, wie ich finde, gelungen, auch und vor allem mit dem Bundestrojanervortrag.
Und wenn der Autor des Artikels uns vorwirft, wir würden heute nicht mehr rumhacken, dann kann ich nur auf §202c verweisen, und möchte auch seine Darstellung korrigieren, dass die Hacks früher alle illegal gewesen seien. Im Übrigen machen wir auch heute noch Aufsehen erregende Hacks als Club, ich verweise da nur auf die Fingerabdrucksachen und Magnetkartendinger, die da im letzten Jahr im Fernsehen liefen.
Mit den Videos gab es noch die eine oder andere Katastrophe, für die mich aber höchstens eine kleine Teilschuld trifft. Vor 15 Uhr hatte ich in Saal 1 und 2 keinen Sound bei der Aufnahme (da war offenbar jemand beim Krackseln hinterm Rack an die Kabel gekommen). Die FEM-Leute haben aber wohl anständigen Sound, bis auf für die ersten beiden Talks, wo die Haustechnik versehentlich die Audiokanäle von Saal 2 und 3 getauscht hatte. Diese Aufnahmen zieht FEM dem Vernehmen nach gerade vom Band und auf meinem Notebook rechnet die Nacht über ein fetter Monster-Encode-Job, wir werden also morgen vormittag (*daumendrück*) die ersten Videos im Campnetz veröffentlichen können.
Ich bin persönlich mit der Qualität nicht so 100% zufrieden, aber das ist nur bedingt vermeidbar. Es gibt da halt 100m Kabel mit HF-Analogsignal drüber von unten bis zum Rack mit den Capture-Rechnern, und da kommt halt ein unscharfes, vermatscht wirkendes Bild bei raus. Die Lichtverhältnisse sind auch nicht so toll in den Vortragssälen, und die guten Kameras sind halt in Saal 1. Außerdem gab es da noch diverse größere und kleinere Desaster, über die wir einen eigenen Talk haben auf dem Congress, insofern greife ich da mal jetzt nicht zu sehr voraus. Nur eines: das Highlight heute war, dass eine der Kameras spontan ausfiel. Jemand hatte den Stromstecker rausgezogen hatte, weil er sein Handy laden wollte. Derjenige hat das aber wohl auch selber gemerkt und schnell das Weite gesucht, bis unser Techie unten war, um das zu klären.
Überhaupt fällt die Bundesanwaltschaft schon wieder negativ auf. Können die nicht mal die Klappe halten und hoffen, dass über ihren bisher geäußerten Flurschaden Gras wächst? Ein-zwei Generationen, und ihr Image ist wieder so gut wie neu!
Oh, und dann das hier: Mit Skype haben sie noch gar nicht gesprochen, sagt Ziercke. Warum auch, dann wäre ja der Vorwand für den Trojaner weg. Und wenn wir schon bei Vorwänden sind — lasst uns doch gleich mal einen zweistelligen Millionenbetrag verbrennen!
Auf Nachfrage von heise online erläuterte Ziercke seine Forderung, Kompetenz-Center zur Analyse von Massendaten einzurichten. Entsprechende Geräte können 50 bis 60 Millionen Euro kosten und könnten angesichts der weiter abnehmenden Halbwertzeit von IT-Anlagen nicht von allen Kriminalämtern einzeln angeschafft werden.Aus dem Fenster werfen ging nicht, da liegen noch die ganzen vorigen Geldstapel und verstopfen den Weg. Ich warte ja darauf, dass mal eine Klimaschutzorganisation die Bundesregierung wegen des ganzen Geldverbrennens auf ihre CO2-Bilanz anspricht.
"Das gemeine an moderner Schadsoftware ist, dass die Software on demand für den jeweiligen PC zusammengebaut wird. Keine dieser Malware gleicht einer anderen, sodass die Signaturen niemals stimmen", beschrieb Manske die Methode, mit der möglicherweise auch der "Bundestrojaner" arbeiten wird: Der PC wird mit kleinen Programmen infiziert, die sich erst hinter dem Firewall zum schädlichen Trojaner zusammensetzen.Das ist grotesker Blödsinn. Kein Wunder, dass das BKA so eine Panik schiebt, wenn deren Sachkenntnis sich auf diesem Niveau bewegt.
Immerhin haben sie inzwischen verstanden, dass Antiviren prinzipbedingt nicht funktionieren können. Ich sage das seit den 90er Jahren.
Immerhin, ganz umsonst war es nicht: Im Heise Forum hat jemand Bullshit Bingo damit gespielt :-) Wenigstens einer hat sich also unterhalten gefühlt.
Und WAS die da für Klopper rausgehauen haben. Die Sprachschulen in Ägypten sind Terrorausbilder. Die IJU (aus Usbekistan) hat in Afghanistan (oder war es Pakistan) ihre Terror-Ausbildungslager (warum nicht in Usbekistan?). Dann lassen sie Herrn Fromm vom Verfassungsschutz folgenden Bullshit-Bombe werfen:
Wir dürfen nicht warten, bis jemand schon im Ausland war.Kann man sich gar nicht ausdenken, sowas! Mein Hirn schmerzt! Ich gebe zu: ich war schon mal im Ausland. Hoffentlich holen sie mich jetzt nicht ab! Oder erschiessen mich gleich, immerhin sagt der Fromm ja, dann ist es schon zu spät! Und dann so krasse Aussagen wie diese hier, als Text eingeblendet, um zu unterstreichen, wie ernst die Lage ist:
Das Niedersächsische Landesamt für Verfassungsschutz kommt bei seiner vorläufigen Bewertung der TJ Hannover zu dem Schluss, dass für die in Niedersachsen bekannten Mitglieder der TJ der Verdacht besteht, in terroristische Netzewerke eingebunden zu sein.Oha, doch so fundiert, euer Verdacht, ja? Mann, also das überzeugt ja jeden Richter sofort. Gleich einen Haftbefehl ausstellen, offensichtlich sind das alles hochgefährliche Leute! Der Reporter versucht dann noch Neutralität zu heucheln, in dem er fragt, ob man denn gleich alle Mitgleider einer Terroristen-Vereinigung als Gefährder sehen muss, nur weil der Verfassungsschutz sie als Feinde unserer freiheitlich-demokratischen Grundordnung einstuft. Boah, gut dass ich das auf nüchternen Magen gesehen habe.
Und am Ende dann ein noch ein fetter Plug für den Bundestrojaner. *GÖBEL* Dabei zeigen sie dann Telefonnummern, von denen ich mal hoffe, dass sie nicht echt sind. Die Font ist ultra-unlesbar, aber ich sehe da ein 0049.09181.700202 (?) und 0049.170.4820065 (?). Dem ZDF würde ich das ja direkt zutrauen, dass sie da echte Abhördaten zeigen. Und das Tool sah so hanebüchen schlecht aus, wie ich mir die Infrastruktur unserer Schnüffelbehörden immer vorgestellt habe :-)
Das Gesetz zur Überwachung der Telekommunikation stammt noch aus einer Zeit vor dem virtuellen Jihad.Und dann noch ein Plug für das Darkweb-Projekt, wo sie da den Drittmittel werbenden Prof für sein Projekt die Werbetrommel rühren lassen, und dann zeigen sie einen Screenshot, wo offensichtlich wird, was für eine primitive Scheiße das ist. Er spricht von Features der Sprache, die sie erkennen würden, man denkt an Satzbau, ungewöhnliche Grammatik-Eigenarten, sowas, und dann auf dem Screenshot? Worthäufigkeiten. Bwahahaha. Der Professor raunt, man habe die Features von 4000 auf 20000 hochgeschraubt, und das sei jetzt völlig unüberwindlich. Was für eine Volksverarschung. Und das ZDF hat sich natürlich voll vorführen lassen. Dann darf der Ziercke noch mal sagen, dass man da schon Vorratsdatenspeicherung braucht, ein bloßer zeitlicher Schnappschuss reiche nicht. Man kann gar nicht so viel fressen, wie man kotzen will.
Und auch Deutschland muss sich darauf einstellen, dass es ihn irgendwann auch einmal verliert… den tödlichen Wettlauf zwischen Fahndern … und Fanatikern.Na dann… Gute Nacht, Deutschland.
Immerhin faseln die Schweizer nicht nur, sondern haben das auch gleich mal entwickeln lassen:
Die von der Schwyzer Firma Era IT Solutions entwickelte Softwarewanze hört Telefonate ab, die über den Internetdienst Skype oder andere Telefonieprogramme geführt werden. Einmal auf einen Rechner geschleust, lässt sich ein solcher Trojaner um weitere Funktionen erweitern. Dazu gehören das Aufzeichnen von Tastatureingaben und eben das versteckte Durchsuchen von Festplatten nach bestimmten Dateien. Es gibt zudem Programme, die das Geschehen auf dem Bildschirm als Film aufzeichnen. So kann man unter anderem verschlüsselte E-Mails im Klartext mitlesen.Na, ist das nicht toll? Man kann das nachträglich um Funktionen erweitern! Na wenn ihnen das mal nicht um die Ohren fliegt, das haben die Deutschen ja strikt dementiert, dass da irgendwas zur Laufzeit geändert werden könne, weil sonst wäre ja die Beweislast auch dahin.
Aber hey, was kann da schon passieren.
«Solche Wanzen dürfen nur mit richterlicher Genehmigung in Ausnahmefällen zur Anwendung kommen», sagt Hansjakob. Zudem müssten die Betroffenen nachträglich informiert werden.Das funktioniert ja schon in anderen Fällen prächtig. Schließlich wird die überwiegende Mehrheit eines Viertels der Leute nach Lauschangriffen tatsächlich informiert, in Deutschland. Und in der Schweiz ist das bestimmt mindestens genau so ein hohes Niveau.
Interessanterweise geht dem Hansjakob (der leitet übrigens die Arbeitsgruppe Organisierte Kriminalität der Konferenz der Strafverfolgungsbehörden der Schweiz) ein Trojanereinsatz des Inlandsgeheimdienstes zuweit.
Ich finde das ja erfrischend, dass die Schweiz a) noch die Organisierte Kriminalität als Buhmann zitiert und noch nicht Kinderpornos oder die Terroristen, das ist ja schon fast nostalgisch aus dem letzten Jahrtausend, und b) nur von Strafverfolgung redet, nicht vom vorbeugenden Einsatz gegen "Gefährder" oder feindliche Kombattanten.
Interessant auch:
Zudem sei die geheime Durchsuchung von PCs wenig effizient, wenn nicht auch verdeckte Hausdurchsuchungen in Abwesenheit der Angeschuldigten erlaubt seien.AHA! Darauf warte ich ja schon länger, dass das hier mal in der Diskussion auftaucht. Bei uns wollen sie das ja so durchschummeln, indem sie davon reden, das einfach zu machen, z.B. um den Trojaner zu installieren. Und dann hoffen sie, dass keiner merkt, dass es für heimliche Hausdurchsuchungen zum Trojanerinstallieren keine Rechtsgrundlage gibt. (Danke, Dobin)
Eine größere öffentliche Diskussion über das Thema konnten sie im Vorfeld ihrer Entscheidung erfolgreich vermeiden.Was gibt es da auch zu diskutieren. Software haben sie noch keine, aber ich bin mir sicher, die Deutschen geben ihnen gerne die China-Trojaner aus dem Kanzleramt. Bei denen weiss man immerhin, dass sie funktionieren.
Der CCC hat den Andreas Bogk hingeschickt, und ich habe ein bisschen an dem Schreiben mitgearbeitet. Daher bin ich zuversichtlich, dass wir die wichtigen Argumente alle genannt haben. Heute wird es wohl eigentlich nur Fragen geben, keine Grundsatzreden, aber vielleicht kann das ja der eine oder andere doch nutzen für ein emotionales Plädoyer :-)
Der Pfitzmann ist auch ein Experte und ich sehe gerade, dass er ähnlich argumentiert wie wir:
Für Pfitzmann ist eine Debatte, die die Online-Durchsuchung nur unter dem Artikel 13 des Grundgesetzes (Unverletzlichkeit der Wohnung) wertet, rückwärtsgewandt. Vielmehr müsse überlegt werden, wie sich die Zukunft der Computertechnik gestalten wird. Mensch und Computer würden in naher Zukunft immer engere symbiotische Verbindungen eingehen, wie es bei Menschen mit intelligenten Hörgeräten heute bereits ersichtlich werde: "Wir werden in diese Rechner zunehmend verloren gegangene Fähigkeiten auslagern, um sie so wiederzugewinnen. Wir werden an sie persönlichste Denk- und Merkfunktionen delegieren, um uns zu entlasten", so Pfitzmann in seiner Argumentation.Sehr schön. Ganz so toll pointiert haben wir das nicht gesagt, aber gemeint haben wir es. Der Vergleich mit den "Wahrheitsdrogen" freut mich sehr, da hätten wir auch drauf kommen sollen. Na egal. Ich bin ganz zuversichtlich, dass das in unserem Sinne entschieden werden wird. Ich habe ja argumentiert, dass man das heute schon so sagen kann. Wer schon mal einen Crackberry-Süchtigen bei der Arbeit beobachtet hat, wird das ähnlich sehen.Daher sei die Debatte um die Zukunft der Online-Durchsuchung künftig weniger mit einer klassischen Hausdurchsuchung vergleichbar als vielmehr ein direkter körperlicher Eingriff, der mit der "Verabreichung bewusstseinsverändernder Drogen zum Zwecke des Erlangens von Aussagen" vergleichbar, meint Pfitzmann. Aus diesem Grunde müsse das Verfassungsgericht ein "grundlegendes Urteil zum Schutz unseres Denkens und Merkens" fällen. Mit der computerunterstützten Persönlichkeitserweiterung gehe es bei der Entscheidung zur Online-Durchsuchung künftig zentral um den "Schutz des autonomen und unbeobachteten Denkens", so Pfitzmann in seinem Plädoyer.
Im Übrigen, völlig unabhängig davon: der Pohl hat in seiner Inkompetenz das Wort "Less-Than-Zero-Day" erfunden und in die Welt gesetzt, das auch gerade vor dem Verfassungsgericht benutzt wird. Ihr habt hiermit die Erlaubnis, jeden laut auszulachen, der das sagt. Klarer kann man seine Inkompetenz nicht zum Ausdruck bringen. Ein Exploit, der heute bekannt wurde, ist an Tag 1, sozusagen ein "1-Day". "0-Day" heißt bereits, dass er noch nicht bekannt ist. Weniger als nicht bekannt geht nicht. Nur inkompetente Idioten benutzen das Wort "Less-Than-Zero-Day".
Oh, noch ein Highlight:
Zum Erstaunen von Richtern und Experten hat der juristische Vertreter der nordrhein-westfälischen Landesregierung, Dirk Heckmann, bei der mündlichen Verhandlung über das NRW-Verfassungsschutzgesetz vor dem Bundesverfassungsgericht die damit gestattete Ausforschung etwa von Festplatten privater Rechner kleinzureden versucht. "Es geht hier nicht um das Auslesen des gesamten Festplatteninhalts", sagte Heckmann am heutigen Mittwoch in Karlsruhe. Die Befugnis erlaube es den Verfassungsschützern, allein die Kommunikation im Internet zu überwachen. "Ich gestatte mir die Frage, ob wir vom gleichen Gesetz ausgehen", zeigte sich Gerichtspräsident Hans-Jürgen Papier daraufhin verwundert.
Update: Mir erzählt gerade der nibbler von der Presseempore, dass der vorsitzende Richter folgendes gesagt hat:
Zuvor noch eine Frage an den technischen Sachverständigen — unsere Mikrofonanlage hört sich schlimm an, vorhin ist auch ein Richter im Aufzug stecken geblieben — kann man da mal… also wir bräuchten da mal jemanden…
ROTFL, das passt perfekt zu unserer Argumentation mit der Unbeherrschbarkeit der Technologie :-)
Update 2: Der Pfitzmann hat auch Humor. Der hat gerade vorgeschlagen, sie sollen doch statt Trojanern die elektromagnetische Abstrahlung nutzen. Das sei nicht massenfähig, ginge ohne Eingriff ins System, sei zielgerichtet, und, der Hammer, das funktioniere ja bei Wahlcomputern schon sehr gut. :-)
Update 3: Der BKA-Spezialexperte ist gerade dran. Der hat da voll ins Klo gegriffen. Der Kernbereich sei nicht betroffen, weil dafür der lahme DSL-Uplink eh nicht reichen würde (wie meinen?!? Mal darüber nachgedacht, wie die Inhalte auf Youtube kommen?), eine Anschaffung von Exploits sei nicht vorgesehen (damit würde sich ja der Verkäufer auch strafbar machen, so doof ist ja wohl niemand). Und dann hat er den Hammer fallen lassen: "wir haben das konzeptionell noch nicht durchdacht". Äh, whut?! Wird noch härter: dass sie den richtigen Rechner erwischt haben, würden sie ja daran sehen, dass der Trojaner Daten zurück liefert, die das dann sagen. Unglaublich. Pfitzmann hat da auch gleich drauf gekloppt. Also alleine der Spruch wird sie töten.
Update 4: Der NRW-Vertreter hat sich echt nicht entblödet, das "sind doch eh alle mit Trojanern infiziert" Argument zu bringen. Oh Mann. Der Datenschutzbeauftragte hat da eine prima Breitseite gegen gehauen; er fragte, wenn 3/4 der Rechner eh fremdgesteuert seien, wem dann die gefundenen Inhalte zuzuordnen seien.
Update 5: Die FAZ amüsiert sich über das Ausmaß des Verkackens des NRW-Menschen vor dem Verfassungsgericht. Bizarrerweise ist das der gleiche Autor, der gestern noch für die FAZ plump und platt die Gegenposition "vertreten" hat. Hoffentlich ist das SPD-Marathonumfallen nicht ansteckend…!
Heckmanns Verteidigungsversuch verfing nicht. Nach mehreren skeptischen Nachfragen von der Richterbank gelangte er schließlich zur Feststellung: „Ich gebe ja zu, dass die Norm durchaus suboptimal formuliert ist. Ich habe Sie auch nicht selbst formuliert.“
Wieder Gelächter im Gerichtssaal. Doch Heckmann blieb dabei: Ganze Festplatten zu durchsuchen, sei gar nicht beabsichtigt worden. Vielmehr wolle man nur die Kommunikation über das Internet überwachen und an E-Mails, Entwürfe und Telefondaten gelangen, bevor diese auf ihrem Weg ins Netz verschlüsselt würden. Dazu müsse man zwar auf die Festplatte zugreifen, aber lediglich auf eng umgrenzte Bereiche. Das sei möglicherweise in dem Gesetz nicht klargeworden. „Vielleicht hätte man ein Komma anders setzen sollen, darüber müssen wir dann reden.“
Haha, ein Komma anders setzen. Dass ich nicht lache. Immerhin:
Die Skepsis des Gerichts lässt erahnen, dass das Gesetz aus Nordrhein-Westfalen in Karlsruhe keinen Bestand haben wird. Der Gesetzgeber verzichtete auf einen Richtervorbehalt und schuf auch keine Regelungen, um den „Kernbereich privater Lebensführung“ von Durchsuchungen auszunehmen. Das müsste aber geschehen, um der bisherigen Rechtsprechung des Bundesverfassungsgerichts zu folgen.
Update 6: Balsam auf die Seele ist auch dieser wunderschöne Süddeutsche-Artikel dazu.
Außerdem hat Schäuble die Buch-Release-Party des neuen Buchs des Bundesdatenschutzbeauftragten Peter Schaar gesprengt. Können wir den jetzt mal endlich zurücktreten? Geht ja gar nicht!
Wer "leistungsfähige Verschlüsselungstechniken" einsetze, der habe "kein Problem", meint der SAP-Chef.Angesichts der Ansage, dass der Bundestrojaner ja explizit dafür da sein soll, Krypto-Passwörter auszuspähen, ist das ein Eigentor sondergleichen für SAP, an deren IT-Kompetenz ich ja gelinde gesagt eh meine Zweifel habe. Ich denke, zur CCCeBit müssen wir dann da wohl mal eine Durchsuchung auf dem SAP-Stand machen, wenn die das so unproblematisch finden.
Wow. Was ist denn jetzt los? Sind in der FDP neuerdings Leute, die vor dem Handeln denken?! Oder konnten die bloß nicht umfallen, weil schon überall umgefallene SPDler lagen?
Da bin ich ja mal gespannt. "Wir haben die Mehrwertsteuer erhöht, haben Hartz IV eingeführt und getragen und damit die Bevölkerung in die Armut getrieben, haben den Rentnern ihre Bezüge nicht erhöht und die damit in die Armut getrieben, haben die Gesundheitsreform vollständig verkackt und damit die Kranken in die Armut getrieben. Wir haben Studiengebühren eingeführt und damit die Studenten, die eh schon in Armut lebten, endgültig ruiniert. Dann sind da noch Vorratsdatenspeicherung, Bundestrojaner, TKÜV, Hackertoolverbot. Wir haben die Bundeswehr nach Afghanistan geschickt, wo sie jetzt beschossen werden." Ein Erfolg jagt den nächsten!! Also wenn DAS die NPD-Wähler nicht überzeugt, dann weiß ich auch nicht.
Ich würde ja gerne verstehen, wieso die CDU in Sachsen noch über 5% ist. Die SachsenLB-Sache hat der Milbradt (CDU) zu verantworten, und der ist nicht nur noch im Amt, die CDU ist da eine in der Politik mit entscheidende Kraft. Ich kann mir das ja nur hiermit erklären.
Übrigens: es ist nicht so, daß die SPD immer umfällt. Bei einer Sache haben sie dann plötzlich Durchsetzungskraft: beim Afghanistaneinsatz der Bundeswehr.
Tja, wie kann sowas bloß passieren, fragt ihr euch bestimmt.
Die Ermittlungen der Bielefelder Polizei gegen Sebastian S. führten zur Enttarnung. Die Beamten überwachten wegen eines Drogendeliktes über mehrere Monate sein Handy. Dabei wurden auch seine beinahe täglichen Telefonate mit dem V-Mann-Führer des Verfassungsschutzes dokumentiert. Durch einen weiteren Prozess kamen die Telefon-Protokolle auch des "Führers" an die Öffentlichkeit: Sie finden sich in den Ermittlungsakten eines Dortmunder Prozesses gegen Robin Sch.Die Deppen haben die Telefon-Records ihres Führungsoffiziers zu den Gerichtsakten gegeben! Wie bescheuert kann man eigentlich sein? Na und die Akten sind einsehbar, da haben die Nazis mal reingeguckt, und haben sich gedacht, hey, wenn der den Detlef ständig anruft, dann wird das auch ein V-Mann sein. *stöhn*
Eine "absolute Notwendigkeit" sei der Online-Zugriff auf Computer, meldete sich zudem der scheidende bayerische Ministerpräsident Edmund Stoiber (CSU) aus Paris zu Wort. "Wir können nicht den Briefverkehr abfangen, aber das Internet außen vor lassen."Dafür haben wir bereits TKÜV! Emails hören die bereits ab! AAARGH! Ich glaube ja, der Stoiber ist wirklich so dämlich. Ein paar Jahre dachte ich, der ist ein brillianter Schauspieler und tut nur so. Das war ja bei Reagan auch nicht auf Anhieb klar, daß der wirklich so dämlich ist. Hätte auch eine großartige Satire sein können. Aber nein… der Stoiber ist wirklich so. Da gibt es eigentlich nur eine Möglichkeit: den müssen wir sofort befördern, am besten zum Bundespräsidenten. Und natürlich ist auch Berlins Innensenator für einen Trojaner, und überhaupt diverse andere. Immerhin ist folgendes humoristisches Highlight vorhanden:
Der Innenexperte der SPD-Bundestagsfraktion, Dieter Wiefelspütz, sprach von einer "ganz üblen Masche" der Unionsparteien und einer "erbärmlichen Instrumentalisierung" der aktuellen Lage. Wer den Erfolg der Sicherheitsbehörden mit der Debatte um Online-Durchsuchungen verknüpfe, sei völlig ahnungslos.Ja, richtig gelesen! Wiefelspütz wirft anderen Ahnungslosigkeit vor. Bwahahahahaha!
Bei deutschen Staatsangehörigen geht das [Einreise verweigern] nicht. Deshalb muss der Staat schon bei der Einbürgerung ansetzen. Dort muss viel sorgfältiger überprüft werden, wer Fanatiker und Islamist ist. Sie dürfen nicht eingebürgert werden. Aber ich wundere mich schon, welche Leute in manchen Bundesländern eingebürgert wurden. Bei Fundamentalisten ist die Begierde nach einem deutschen Pass doch wesentlich höher als bei braven Gastarbeitern. Sie verzichten oft gern auf die ursprüngliche Staatsangehörigkeit und schätzen durchaus die Vorteile, die ihnen ein deutscher Pass bietet. So können sie sehr viel leichter umherreisen.Aha, völlig klar also: wer eine Deutsche Staatsbürgerschaft will, ist ein Terrorist.
Mir leuchtet nicht ein, dass sich Islamisten, die wegen drohender Todesstrafe nicht in ihre Heimatländer abgeschoben werden können, sich bei uns frei bewegen sollen. In Bayern gibt es jemanden, der in Tunesien Mitglied einer Terrororganisation war. Für solche Topgefährder muss die Bewegungsfreiheit erheblich eingeschränkt werden. Sie sollten sich nur in einer kleinen, gut zu überwachenden Kommune aufhalten dürfen, es sollte Internet- und Handyverbot gelten. Wir praktizieren das im besagten Fall auch.Und Beckstein wäre nicht Beckstein, wenn er die Gelegenheit nicht noch gleich den Bundestrojaner zu fordern:
Wir hätten mit der Möglichkeit von Online-Durchsuchungen zusätzliche Erkenntnisse gewinnen können. Der Fall zeigt, dass wir dringend Online-Durchsuchungen bei schwersten Straftaten wie einem Bombenanschlag brauchen. Offensichtlich gibt es eine sicherheitstechnische Lücke in Deutschland, die schnell geschlossen werden muss.Und dabei sagt doch sogar August "BND" Hanning im Morgenmagazin:
Sonne: Auch in diesem konkreten Fall und darüber hinaus haben Sie durchaus das Recht — Sie nutzen es auch sehr aktiv —, sich zum Beispiel E-Mail-Verkehr und andere Dinge anzuschauen?Hanning: So weit das von den vorhandenen Rechtsgrundlagen gedeckt ist. Wir können Kommunikation überwachen nach der Strafprozessordnung und nach den Regelungen des Bundesverfassungsschutzgesetz. Diese Regelungen nutzen wir auch.
Bayerns Innenminister Günther Beckstein sagte im Bayerischen Rundfunk, einer der Terrorverdächtigen habe vor wenigen Wochen im Freistaat Bekannte besucht und gemeinsam mit ihnen "im Internet islamistische Seiten abgerufen". Für den CSU-Politiker zeigt dies, dass die von Bundesinnenminister Wolfgang Schäuble (CDU) verlangten verdeckten Online-Durchsuchungen ein nützliches Mittel zur Terrorbekämpfung wären.Na woher weiß er denn das, daß die islamistische Webseiten abgerufen haben? Vielleicht weil wir jetzt schon Vollüberwachung haben? Was genau will er denn da zusätzlich noch mit einem Trojaner rausfinden? Gut, das hätte bei der Beweisführung geholfen, wenn sie da mit dem Bundestrojaner ein paar "Beweise" hinterlegt hätten, aber hey, Beweise brauchen wir eh nicht mehr. Wir haben ja den Willkürparagraphen 129a. Und wer kräht am lautesten? Die ganzen Leute, die eh mit einem Bein im Knast stehen (Georg "SachsenLB-Spekulatius" Milbradt) oder abgesehen von wildem Terror-Gezeter überhaupt kein wiedererkennbares Profil haben (Ronald "TERROR!!!!!" Pofalla).
Updtae: Von dem Plakat gibt es noch fiesere Variationen. In Deutschland gäbe es da gleich mal eine Anklage wegen Volksverhetzung. Weia.
Ich frage mich ja wirklich, was für Leute CDU und SPD wählen. Die CDU tut ja nicht mal so, als wolle sie etwas anderes als das Volk verarschen, und die SPD macht da ein lächerliches Kasperletheater, das es einem schon beim Zuschauen peinlich ist.
Ich empfinde das als persönliche Beleidigung, daß sie mich für so blöde halten, daß sie so eine plumpe Strategie mit mir versuchen.
Zudem unterstützte Ziercke die Forderung, das Kampftraining in Terrorlagern unter Strafe zu stellen. "Wenn Beweise vorhanden sind, dass jemand eine Terrorausbildung absolviert hat, dann muss man sich die Frage stellen, ob der Rechtsstaat diesen Umstand einfach ignorieren kann oder ob diese Handlung als Tatbestand vom Strafrecht erfasst werden sollte", betonte der BKA-Präsident.Ahaaaaa. Soso. Terrorlager. Na das wird ja spannend beim nächsten CCC-Camp.
Ich weise auch darauf hin, daß alle Diktaturen irgendwann gegen die "Intelligentsia" vorgeht, weil die dumme Bevölkerung ohne Hilfe von den Gebildeten ja nie einen Umsturz planen könnte. Insofern, wenn der Staat anfängt, bestimmtes Wissen unter Strafe zu stellen, dann ist das immer ein gutes Zeichen, daß man sich in einer Diktatur befindet. Das ist auch einer der Gründe, wieso es dem CCC so wichtig ist, bei den Hackertools für Forschung und Bildung unbedingt eine Ausnahme zu erwirken.
"Aber wir brauchen auch im eigenen Land die rechtlichen und technischen Voraussetzungen für hohe Standards an Sicherheit und für den Schutz unserer Bürger vor diesen Gefahren."Ich bin ja auch für hohe Standards an Sicherheit. Schade nur, daß uns unsere Regierung die Werkzeuge weggenommen hat, mit denen wir sie hätten erreichen können.
Update: Achtet mal darauf, wie sie nur für den ersten Job bei den Qualifikationen "Kenntnis einschlägiger Rechtsvorschriften sind wünschenswert" schreiben… (Danke, Johannes)
Also da kamen so Ansichten zu Tage wie daß das Hackertoolverbot ja gut sei, weil man ja Hacken schon verbieten müsse, das sei ja gefährlich. Als ich dann erläuterte, daß das Hacken schon vorher verboten war, und das Hackertoolverbot bloß legitime Arbeit und Forschung verhindert und meiner Firma den Nachwuchs entzieht, da hieß es dann "naja aber der Tauss war da ja dagegen". Ich wollte dann wissen, wieso nur der Tauss und drei andere dagegen gestimmt haben und der Rest der SPD dafür, da kam dann nur noch die Ansage, das sei halt alles nicht so einfach.
Zu dem Bundestrojaner meinte sie dann noch, es gäbe ja auch ansonsten total viele Trojaner, und da sollten wir doch auch mal vor warnen, das sei ja eine viel größere Bedrohung.
Am Ende kam dann noch der Vorschlag, ich möge doch der SPD beitreten. Das bringt zwar auch nicht viel, aber da könnte ich mich dann einbringen.
Oh und Gesetze, die werden heutzutage auch nicht gemacht, damit sie Bestand haben. Ein Gesetz ist erst fertig gemacht, wenn die Gerichte sich darüber gestritten haben, wie das eigentlich hätte gemeint sein sollen. Sowas finde ich ja immer zutiefst bedrückend, wenn Leute so wenig Eigen-Anspruch an die Qualität ihres Handwerks haben.
Eines noch: sie meinte, ich solle mich doch mal mit dem Innenexperten der SPD unterhalten, einem gewissen Herr Wiefelspütz. Ich habe da mal eine Mail hingeschrieben, denn wer nicht wagt, der nicht gewinnt. :-)
Es taugte den Innenpolitikern der Union hervorragend dazu, den politischen Gegner zu drangsalieren. Zur Kriminalitätsbekämpfung taugte der Lauschangriff viel weniger, wie Regierungsvertreter viel später vor dem Bundesverfassungsgericht einräumen mussten. Die Lauschangriff-Kampagne war vor allem ein Propaganda-Instrument zur politischen Profilierung auf Kosten der Grundrechte.Genau wie heute. Denn inhaltliche Punkte oder gar eine erwähnenswertes Parteiprogramm kriegt die CDU ja nicht zustande, und auf die Selbstzerstörung der SPD warten ist ihnen offenbar zu unsicher.
Zudem soll dem Bericht zufolge ein Zugriff auf Computer künftig auch dann erlaubt sein, wenn von der Maßnahme auch unverdächtige Personen betroffen sind.Hand hoch, wer DAS kommen sah!
Außer der umstrittenen Online-Durchsuchung enthält der Entwurf des neuen BKA-Gesetzes laut der Zeitung unter anderem auch extrem ausgeweitete Möglichkeiten zur Erhebung personenbezogener Daten und für den Einsatz nachrichtendienstlicher Mittel.Na sowas, nachrichtendienstliche Mittel. Völlig überraschend!1!! Damit konnte niemand rechnen jetzt.
Auch der Personenkreis, auf den das BKA seine Ermittlungen ausweiten kann, ist dem Bericht zufolge in dem Gesetzesentwurf deutlich weiter gefasst als bislang. So sollen die Ermittler künftig nicht nur von Terrorverdächtigen Daten erheben dürfen, sondern auch von "Kontakt- und Begleitpersonen", derer sich potentielle Täter "zur Begehung der Straftat bedienen könnten".Auf Deutsch: alle Taxifahrer. Busfahrer. Ein potentieller Terrorist könnte ja auch ein Auto mit Pistole kapern, d.h. alle Autofahrer müssen überwacht werden. "Höchstens 10 Fälle pro Jahr", nee klar. "Nur gegen hochgefährliche Topterroristen", das kann ich deutlich sehen, ja.
Oh, übrigens: die selben alten Tricks wie anno dazumal:
Erst wenn nach maximal drei Tagen keine richterliche Bestätigung vorliegt, muss die Maßnahme abgebrochen werden. Ungeregelt bleibt aber, ob die innerhalb dieser Frist sichergestellten Daten anschließend vernichtet werden müssen.
Mein Lieblingszitat:
Es wird nicht deutlich hervorgehoben, dass Sicherheitslücken existieren, die bisher unveröffentlicht sind. Den Behörden sind solche Lücken bekannt, aber sie veröffentlichen sie nicht.Aha, unsere Superbehörden wissen alles, haben alles, und können alles. Klaaaaaar.
Laßt es mich mal ganz klar und deutlich sagen: das BKA ist eine Behörde. Die zahlen Behördengehälter. Man arbeitet da an veralteter Hardware, in gruseligen öffentlichen Behörden-Räumen, mit ruckligem Internet und schlechter Luft, klapperigen Stühlen und Linoleumboden, und kriegt dafür ein völlig unzureichendes Gehalt. Behörde! Da arbeitet genau niemand, der auch nur ein Quäntchen Ahnung von irgendwas hat und auch auf dem freien Markt etwas werden kann. Wenn es jemanden gibt, bei dem ich mir sicher bin, daß die keine 0days haben, dann ist es das BKA.
Stellt sich nur die Frage, wieso der Pohl so einen Blödsinn verbreitet. Vielleicht braucht der Verfassungsschutz auch mehr Mittel, um sich gegen die ganzen 0days der Chinesen (!1!!) zu wehren? Unklar. Also lasst euch mal von sowas nicht verarschen. Ich frage mich ja, wieso die GI so jemanden in ihrem Namen reden läßt. Haben die keine Angst um ihren Ruf?
Nachtrag: Der Begriff "less than zero day" ist nicht nur Bullshit, der ist ein Bullshit-Bingo-Sofortgewinn. Wenn ihr jemand diesen Begriff in den Mund nehmen seht, lacht ihn laut und öffentlich aus, weil er gerade sämtliche Glaubwürdigkeit als IT-Security-Mensch verloren hat. Das ist als wenn ein Germanist "Der Einzigste" sagt.
Denkt da mal drüber nach. Die Interviewpartner waren ja nun nicht gerade der Völkische Beobachter sondern ganz normale, unverdächtige Mainstreammedien. Der Ziercke hat ja öffentlich gesagt, pro Jahr könnten sie überhaupt nur höchstens 10 Einsätze für den Bundestrojaner haben, weil das so aufwendig sei und sie da so viel anpassen müssten und so weiter. Da existiert ja offensichtlich ein gewaltiges Bedrohungsgefühl in der Bevölkerung, und das von Leuten, die nun sicher nicht in der Liste der Top 10 Terrorismus-Verdächtigen sind.
Ich schließe daraus:
Ziercke meinte zudem: "Wir wollen mit dem Instrument Online-Durchsuchung den internationalen Terrorismus bekämpfen und nicht den einzelnen User, der sich irgendwann einmal Musik aus dem Netz runtergeladen hat."Ah SO sieht der das also. Wer etwas gegen den Bundestrojaner hat, der muss etwas zu verbergen haben. Nur Kriminelle könnten etwas gegen seine tollen Ermittlungswerkzeugen haben, wie? Nee, klar. Abtreten. Sofort. Rente auf Null kürzen. Leute mit so einer Einstellung haben im öffentlichen Dienst nichts verloren, und schon gar nicht im BKA, oder gar in gehobener Position. Unglaublich.
Im Übrigen behauptet er, der Trojaner würde ja für jeden Einsatz neu geschrieben, und daher könnten sie das gar nicht auf breiter Bahn einsetzen. Tja, schöne Argumentation, wenn sie ihre Restglaubwürdigkeit nicht durch die Mautbrückendaten-Nummer vollständig zerstört hätten. Im Übrigen hat die Russenmafia ja das gleiche Problem, die kümmern sich ja nicht nur um die gleichen inhaltlichen Felder (Menschenhandel, organisierte Bandenkriminalität, Bankkartenbetrug in großem Stil), sie setzen auch die gleichen Werkzeuge ein (Schußwaffen, Trojaner). Und die Russenmafia hat kein Problem damit, ihre Trojaner auf Millionen von Wirtsrechner zu verteilen. Wieso sollten wir dem BKA glauben, wenn sie sich schon auf die gleichen Methoden einlassen, daß sie dann technisch weniger gut skalieren könnten?
Gut, niemand bestreitet ernsthaft, daß das BKA technisch nicht so kompetent ist wie die Russenmafia, sonst würden sie da ja gelegentlich mal jemanden festnehmen, anstatt immer nur uns Bürger zu drangsalieren mit ihren Maßnahmen, aber das läßt sich ja über die Jahre aufholen. Und hey, vielleicht fangen sie ja doch mal einen, blindes Huhn und so, und dann können sie das ja zwecks Wahrheitsermittlung einem US-Folterknast übergeben, da gibt es ja auch Präzedenzfälle für, und dann können sie aus dem raus pressen, wie man das macht mit den Trojanern! Oder wir machen das auf dem Verhandlungswege, vielleicht kriegt die Merkel das Know-How ja aus China extrahiert.
Tja, liebes BKA, so ist das halt. Wenn ihr euch einmal auf dieses Niveau herab läßt, dann erwartet man von euch auch nie wieder die Einhaltung von Menschenrechten oder gar "das sind doch die Guten". Die Amis haben da ein schönes Sprichwort. "If it looks like a duck, and it walks like a duck, and it quacks like a duck… it probably IS a duck." Ich für meinen Teil habe von mehr Fällen gehört, wo jemandem vom BKA das Haus durchwühlt worden ist, als von der Russenmafia. Seit den 129a-Durchsuchungen "um mal zu gucken, wie die Szene aussieht", sind die in meinem Weltbild auf der dunklen Seite der Macht.
Erst mal muss man sich auf deren Neusprech kalibrieren. Den Bundestrojaner nennen sie jetzt RFS, "remote forensic software", dabei paßt "Schäuphilis" doch so viel besser. Auch an anderer Stelle soll PR-Neusprech die differenzierte Betrachtung des Sachverhaltes verhindern. So unterscheiden sie zwischen "Quellen-TKÜ" und "Online-Durchsuchung". Quellen-TKÜ ist, wenn sie Skype abschnorcheln. Online-Durchsuchung ist, wenn sie Dateien raustragen. Und, so der Gedanke, wenn man das so schön trennt, dann klingt das gleich gar nicht mehr so bedrohlich, und dann müssen sie auch nicht aufpassen, weil wenn sie den Online-Durchsuchung-Trojaner hochladen, dann ist ja klar, daß das keine Quellen-TKÜ war, für die sie eine andere Art der richterlichen Genehmigung brauchen. Ich hatte so ein bißchen den Eindruck, als hielten sie die Quellen-TKÜ schon nach bisherigen Gesetzen für ausreichend legitimiert.
Ich finde es ja gefährlich, wenn wir argumentieren, daß sie keine Ahnung haben und das total unsicher wird. Das ist zwar die Wahrheit, aber wir wollen ja nicht, daß der Trojaner sicher wird, wir wollen daß er gar nicht kommt. Insofern nahm ich mit Belustigung zur Kenntnis, daß das BMI denkt, sie könnten ihre Malware kryptographisch vor Reverse Engineering schützen:
Diese Analyse der RFS (Disassembling) wird jedoch durch die Verwendung kryptographischer Methoden nahezu unmöglich gemacht.An dieser Stelle hätte man nicht tiefer ins Klo greifen können. Dieser eine Satz reicht, um ihnen sämtliche auch nur in Resten von Fetzen vorhandene Sachkenntnis pauschal abzusprechen. Das ist so grotesk falsch, daß man sich ab dieser Stelle gar nicht mehr inhaltlich mit ihrem Geschreibsel beschäftigen muss, man kann sich auf den Stil beschränken. Und der bietet auch noch genug Angriffsfläche.
So paßt das ja überhaupt nicht mit meinem Bild der Sicherheitsbehörden zusammen, daß sie meine Sicherheit senken anstatt sie zu erhöhen. Daher war eine der Fragen, wie sie denn ihre Spyware gegen Missbrauch durch Dritte sichern wollen. Die Antwort ernüchtert.
Die Sicherheitsbehörden und das Bundesministerium des Innern verfügen grundsätzlich über genügenden Sachverstand.Sie halten sich schlicht für unfehlbar. Sie setzen da auf Designkriterien und die Vorgabe von Sicherheitsstandards durch das BSI. Von Prüfung, womöglich gar durch unabhängige Experten, steht da nichts. Für die Ausschreibung von Tollcollect galten höhere Sicherheitsanforderungen. Für Glückspielautomaten gelten höhere Sicherheitsanforderungen. Hey, für Wahlcomputer gelten höhere Sicherheitsanforderungen, und ihr wißt ja alle, wie katastrophal unsicher die sind.
Und wenn man unfehlbar ist, dann muss man sich auch keine fiesen Fragen gefallen lassen.
Es ist nicht zu erwarten, dass die RFS entdeckt wird.Nee, klar. Un-denk-bar.
Die RFS wird so entwickelt, dass von ihr nach dem aktuellen Stand der Technik keine Schadfunktionen ausgehen.So spricht der Papst, also ist es so. Und überhaupt, was bildet ihr euch eigentlich ein, ihre hinterhältige Spyware als solche zu bezeichnen?!
Mit der Online-Durchsuchung werden keine Personen ausgespäht, sondern relevante Erkenntnisse auf informationstechnischen Systemen erhoben.Wartet, kommt noch besser!
Bei der hier in Rede stehenden RFS handelt es sich nicht um eine "Spionagesoftware", sondern um ein technisches Mittel zur Datenerhebung.Das werde ich ab jetzt auch immer sagen. "Herr Richter, das ist doch kein Hackertool, das ist bloß ein technisches Mittel zur Datenerhebung!"
Und überhaupt halten sich die Behörden nicht nur für unfehlbar, sondern auch für grundsätzlich vollständig vertrauenswürdig. Daher stellt sich auch die Frage gar nicht, wie sie da verhindern wollen, daß auf Tagebücher, Krankheitsberichte oder Liebesbriefe zugegriffen wird:
Das Bundeskriminalamt hat beim (verdeckten) Zugriff auf das informationstechnische System kein Interesse an der Kenntnisnahme etwa von Krankheitsberichten, Tagebüchern oder Liebesbriefen.Und damit ist klar: da wird auch nie jemand gucken. Aber wartet, sie toppen das noch mit der Aussage, das Tagebuch hätte man ja auch bei einer offenen Durchsuchung finden und sichten können, insofern müsse man das ja bei unserer Spyware auch nicht weiter schützen.
Nun sollte man denken, wenn die so von sich selbst überzeugt sind, daß sie dann die Großartigkeit ihrer Software erkennen und sofort verstehen, wieso z.B. die Chinesen sich ihres Trojaners bedienen sollten. Aber neeeiiinnn, das ist völlig undenkbar. Denn:
Speziell wird sichergestellt, dass die Software nicht ohne erheblichen Aufwand dazu veranlasst werden kann, an einen anderen Server als den vom Bundeskriminalamt verwendeten zurückzumelden, und dass die Software weder von außen erkannt noch angesprochen werden kann. Das Entdeckungsrisiko kann durch technische Maßnahmen reduziert werden.Ich bin mir sicher, das wird sich Sony bei ihrem Rootkit auch gedacht haben. Aber solche Fragen stellen sich nicht, wenn man mit Zauberern zusammen arbeitet. Denn nicht nur ist die Software nicht von außen ansprechbar, das BKA kann sie trotzdem von außen ansprechen:
oder sogar die Beendigung der Maßnahme wegen eines zu hohen Entdeckungsrisikos angezeigt erscheinen lassen, erfolgt die Anweisung an das Programm sich selbst zu deinstallieren.Zauberei!!! Die können mit einer nicht von außen ansprechbaren Software kommunizieren!
Eine andere Sache ist die Beweissicherheit der aus dem Trojanereinsatz gewonnenen Erkenntnisse. Für die Gefahrenabwehr ist das egal, da kann man auch ohne Beweissicherheit Leute willkürlich in den Karzer sperren, das heißt dann "Unterbindungsgewahrsam". Aber bei Straftaten haben wir ja noch so Reste einer Justiz-Simulation stehen, und da will man von Beweisen, daß sie Beweiskraft haben. Bei Hausdurchsuchungen macht man das so, daß man die Festplatte vor Ort versiegelt, einpackt, dann beim BKA vor Zeugen eine Kopie zieht, und dann auf dieser Kopie arbeitet, damit das Original nicht verändert wird. Das ist beim Trojaner alles nicht gegeben, die Umgebung von dem ist dynamisch und unter der Kontrolle anderer. Selbst wenn wir dem Wirt des Bundesparasiten nicht die nötige Sachkenntnis zubilligen, um da Eingriffe durchzunehmen, so könnte auch ein anderer Trojaner auf dem Rechner sein. Es ist dokumentiert, daß sich Botnet-Trojaner gegenseitig vom Rechner schmeißen, um ihre Überlebenschancen zu verbessern. Ich warte ja auf den Tag, wo die Russenmafia-Trojaner den BKA-Herpes entfernen, weil er sie bei der Arbeit behindert. Und dann ist da natürlich noch die Frage des fernsteuernden BKA-Rechners. Das BKA denkt sich, wenn sie da zwei Beamte haben, die sich gegenseitig bezeugen, daß sie nur Gutes getan haben, ist das alles OK, aber auf dem Rechner könnte ja ein Chinesen-Trojaner sein. Wir haben ja gerade gesehen, daß unsere "grundsätzlich über genügenden Sachverstand" verfügenden Behörden mit ein paar lächerlichen Windows-Trojanern überfordert waren. Und jetzt nehmen wir mal an, der Trojaner-Wirt sagt vor Gericht, er habe den Trojaner bemerkt, und ihm absichtlich irreführende Daten gefüttert. Technisch ist das kein Problem, so einen Trojaner z.B. über Rechnervirtualisierung auch im laufenden Betrieb in ein Holodeck einzusperren und ihn komplett zu verarschen. Wenn der Rechner-Eigentümer zu Protokoll gibt, er habe den Trojaner bemerkt und mit ihm gespielt, ist die Beweiskraft sämtlicher Beweise völlig dahin. Das BKA redet sich ein, man könnte sowas ja dann forensisch feststellen. Dem kann ich nur mit lautem Gelächter antworten.
Apropos Brüssel: macht euch mal nichts vor, der Bundestrojaner ist gerade eine Nebelkerze, ein Blitzableiter, damit wir uns alle auf den stürzen, und sie unbeobachtet hinter der Staubwolke den Rest des BKA-Ermächtigungsgesetzes durchkriegen, und dann bringen sie den Bundestrojaner über Brüssel. "Unsere Hände sind gebunden, wir setzen hier nur bereits beschlossene Regelungen um". Und die anderen Punkte sind nicht minder übel, u.a. darf das BKA dann Leute "vorsorglich" festnehmen, ihre Wohnungen abhören und auch durchsuchen, und Telefone abhören. (Danke, Johannes)
Bisherige Ideen: Cyberzecke, Datenegel, Mielke-Bandwurm. Wer da noch einen "Mielke-" oder so unterbringen kann, ist herzlich eingeladen. Es muss aber griffig sein, und es soll auch von der Omi ohne weitere Erklärungen grob verstanden werden, daß es sich um etwas parasitäres, fürchtenswertes, unerlaubt und ungefragt eingreifendes handelt. Also: Vorschläge bitte!
Vorschläge bisher: "Schäublekokken", "Schäuphilis".
Naja, was soll ich sagen, wenn sie jetzt gerne unsere Hilfe hätten, hätten sie uns lieber nicht unsere Werkzeuge wegnehmen sollen.
Zur Begründung führte Merk aus: "Denn häufig stehen die Ermittler vor dem Problem, dass sie zwar wissen, dass verbotene Inhalte ins Netz gespeist werden, aber nicht, wo der Server genau steht."Ja, meine Damen und Herren, die Frau hat wirklich GAR nichts verstanden. Erschreckend aber wahr, solche Leute entscheiden bei uns. Das Feststellen, wo eine IP rauskommt, ist eine der wenigen Sachen, die die Polizei tatsächlich einfach machen kann. Aber der eigentliche Kracher kommt weiter unten:
Der Jurist verweist an diesem Punkt auf das Scheitern der seiner Informationen nach bisher einzigen von einem Ermittlungsrichter beim Bundesgerichtshof genehmigten entsprechenden Online-Überwachung. Bei dem Versuch hätten die Fahnder dem Verdächtigen eine CD in den Briefkasten geworfen, "die aussah wie die Zugangssoftware eines großen Internet-Providers". Installiert habe der ins Visier Genommene die Software aber nicht.Ja, richtig gelesen. Man kann kaum glauben, wie schlecht diese Leute drauf sind. Na kein Wunder, die Experten haben sie ja mit dem Hackertoolverbot schon außer Landes getrieben, und wer noch da ist, hilft diesen Gestalten sicher nicht. Ich hoffe ja, daß die mal bei mir klopfen, ob ich ihnen nicht mal ein Konzept machen kann, wie man das tut, damit ich ihnen laut ins Gesicht lachen kann.
Update: Hier in besserer Qualität und hier ein ähnliches PDF
Ausnahmen bestätigen die Regel:
In einer heimlichen Durchsuchungsaktion ließ der Chef der Bundespolizei in Chemnitz, Detlef Fritzsch, die E-mail-Konten seiner Beamten ausforschen. […] Internet-Spezialisten der Bundespolizei knackten auf Anweisung des Amtsleiters, der 1800 Beamten vorsteht, die E-mail-Accounts der Mitarbeiter, um einen Kettenbrief mit erotischen Fotos zu finden.Hey, also bei so einem schweren Fall, wer könnte da Bedenken haben? Immerhin hat er da keine privilegierten Leute abgehört, oder? Doch:Mindestens 50 e-mail-Konten ließ Fritzsch insgesamt filzen. An der gesuchten Rund-Mail, die laut Begleittext möglichst schnell an "Freunde" weitergeleitet werden sollte, hingen Fotos von Pin-Up-Girls. Der Kettenbrief "belastet unser IT-Netz zusätzlich und verringert die Bearbeitungsgeschwindigkeit", begründete Amtsleiter Fritzsch in einem Mitarbeiterbrief die Online-Razzia.
Drei der geknackten elektronischen Postfächer gehörten Personalräten. Ihre Kontakte zu Kollegen genießen besonderen Vertrauensschutz.Na gut, also war vielleicht nicht gaaaanz koscher, aber was bilden die Leute sich denn auch ein, ihre Arbeitsplatz-EDV für Privatsachen zu mißbrauchen?
Laut einer Dienstvereinbarung von April 2006 ist es zudem allen Bundespolizisten erlaubt, ihre E-mail-Adressen auch privat zu nutzen.Hups. (Danke, Alex)
Es würden keine Computer unbescholtener Bürger durchsucht. Für jede Aktion müsse ein Anfangsverdacht bestehen und ein Antrag beim zuständigen Richter gestellt werden.Oooooh, ein Anfangsverdacht!1!! So wie "ist ein Pole und hat billige Dinge auf Ebay verkauft", ja?
Und die Mautdaten dienten auch nur der Mauterhebung. Und die Vorratsdatenspeicherung ist nur für die Trafficoptimierung. Ich glaube ja, daß die wirklich nicht merken, wie sie das Vertrauen der Bevölkerung verspielt haben.
Die Beschreibung meines Gesprächspartners deckt sich mit dem, was mir eine Mitarbeiterin eines CDU-Parlamentariers vor drei Wochen als Antwort zum Thema Online-Durchsuchung per Mail schrieb und danach am Telefon sagte: Sie nannte die in den ersten beiden Abschnitten beschriebenen Verbrechen als Begründungen, warum das BKA neue Kompetenzen benötigt: "Wir haben grauenhafte Fakten!"Die sind sich echt für nichts zu schade. (Danke, Hanno)Sie war merklich schockiert. Bei ihr hatte die Dramaturgie des Vortrags also genau wie gewünscht gewirkt.
Es würden nur einzelne Dateien übertragen. Sicherheitsbehörden würden dazu heimlich ein Programm auf Zielcomputer übertragen, die dort gespeicherten Daten auf Stichworte hin durchsuchen und die so aufgefundenen Dateien online zurück übertragen. Die Software dazu existiere bereits und könne auch eingesetzt werden, sagte der CSU-Politiker.
Ja, richtig gelesen, mit Google-Anfragen. Die Frage ist jetzt: Bundestrojaner? Vorratsdatenspeicherung? Großer Lauschangriff? Vorauseilender Gehorsam von Google?
In einem Fall sollen Festplatteninhalte von 120 Gigabyte über Wochen hinweg an die Zieladresse des Verfassungsschutzes von einem Trojaner geschickt worden sein. Der betroffene PC-Besitzer, der da online ausgespäht wurde, hat das wohl nach 14 oder 15 Tagen gemerkt, weil er über ausgewertete Systeminformationen mitbekam, dass 120 Megabyte von seinem Rechner aus ins Netz geschickt wurden. Die Rechneranalyse ergab dann, dass ein Trojanisches Pferd Schadsoftware von einem Rechner eines V-Mannes herunter geladen hatte. Diese Schadsoftware bestand im Wesentlichen aus einem Programm, dass einen Port im Router der überwachten beziehungsweise online durchsuchten DV-Anlage öffnete und über diesen Port Dateien an einen Rechner schickte, dessen IP-Adresse maskiert war. Dass eine solche Online-Durchsuchung dann offenbar nach Tagen, wohlgemerkt während sie noch läuft, bemerkt wird, ist nicht nur blamabel, sondern gibt natürlich auch den betroffenen Besitzern durchsuchter PCs Möglichkeiten der Gegenwehr an die Hand. In einem anderen Fall hat der Besitzer eines online durchsuchten PCs unbestätigten Informationen zufolge den Trojaner gleich beim Einschleusen bemerkt, die Aktivitäten des Bundestrojaners genau analysiert und der Zieladresse dann regelrechten Datenmüll geschickt.Auf die Inkompetenz der Behörden ist halt Verlaß. Die nehmen halt an, daß ihre Ziele genau so wenig oder noch weniger drauf haben als sie selber, und während das bei Bankräubern und Nazi-Schlägern offenbar eine gültige Annahme ist, läuft das im Internet nicht so gut. Oh, BTW: wer bei sich einen Trojaner findet, der Daten zum Verfassungsschutz rausschickt, der möge ihn bitte dem CCC geben. Wir geben das dann den Antivirenherstellern und dokumentieren, ob sie ihr Wort halten, und den erkennen. Und vielleicht haben wir auch Zeit, und den mal in Ruhe anzugucken, nur so aus wissenschaftlicher Neugier, versteht sich.
Oh, noch ein interessantes Detail, zur Frage, wie der Trojaner überhaupt auf die Rechner kam:
Zum einen, das ist sozusagen die sichere Methode, sollen Verfassungsschutzmitarbeiter einfach in Büroräume eingedrungen sein und den Bundestrojaner dann händisch auf die Zielrechner überspielt haben. Mit dem zweiten Verbreitungsweg, von dem man aus so genannten informierten Kreisen hört, haben die Verfassungsschützer damit offensichtlich keine so guten Erfahrungen gemacht. Sie sollen mit Trojaner verseuchte CDs verteilt haben. Und das Problem dabei soll gewesen sein: Neben den Zielrechnern, die sie online durchsuchen wollten, sind auch andere Rechner mit diesem Trojaner wohl verseucht worden. Und das soll zur Folge gehabt haben, dass so viele Daten an den Zielrechner geschickt worden sind, dass der Sammelrechner, auf dem die ganzen Durchsuchungsdaten landen sollten, sich offensichtlich wie bei einem Denial of Servcie Angriff verhalten hat. Das heißt, ob der vielen Daten soll der einfach in die Knie gegangen sein.Tja, hab ich wohl weitgehend Recht gehabt mit meinen Ansagen. Oh, und als I-Tüpfelchen geben sie auch noch zu, daß die Daten nicht gerichtsverwertbar sind. Meine Damen und Herren, so sieht ein Totalschaden aus. :-) (Danke, Florian)
Also nicht daß ich da mehr Einblick hätte als sonst irgendjemand, versteht mich da nicht falsch. Aber für mich hört sich das so an, als sei das eine Mischung aus großem Lauschangriff und Hausdurchsuchung. Ich glaube nicht, daß Vater Staat da tatsächlich Sicherheitslücken oder Hintertüren ausnutzt, das ist per Definition volatil (jemand findet es heraus, dann wird es gefixt und geht nicht mehr). Für eine Strafverfolgung will man ja langfristige Perspektiven haben, nicht nur was, das jetzt für zwei Wochen funktioniert.
Daher ist meine Vision von einer Online-Durchsuchung, daß die erst mal ne Email mit Trojaner schicken, und wenn der sich dann meldet ist gut, wenn nicht, dann warten sie, bis keiner zuhause ist, und kommen dann mit dem Spezialkommando, machen die Tür möglichst spurenarm auf (und denkt daran, das ist die Polizei, die können die Tür auch eintreten und das dann auf einen "Einbrecher" schieben, den sie durch ihr zeitnahes Eingreifen gerade noch daran hindern konnten, in der Wohnung irgendwas mitgehen zu lassen), installieren einen Trojaner auf dem PC, oder eben einen Hardware-Keylogger, und schnüffeln die Paßwörter mit. Dann gucken sie per Lawful Interception nach, ob der überwachte PC tatsächlich auf die Jihad-Webseiten zugreift, und wenn er das tut, machen sie ne "echte" Hausdurchsuchung und nehmen die gesammelten Daten mit. Ich glaube nicht, daß die da remote auf die Rechner gucken, oder daß sie die gesamte Bevölkerung abhören wollen, oder daß sie Viren schreiben oder einkaufen. Ich bin auch nicht deshalb dagegen, weil das über die Breitenwirkung mich betreffen könnte. Ich bin dagegen, weil das eine neue Qualität des Eindringens in meine Privatsphäre ist. Der Staat hat in meinem Schlafzimmer und auf meinem PC nichts zu suchen.
Ich habe neulich bei einer üblen Neofaschisten-Site die Argumentation gefunden, daß wir als CCC Schuld sind, daß die zu solchen Maßnahmen greifen müssen jetzt, weil wir dem Volk Krypto gezeigt haben. So widerlich das ist, etwas wahres ist daran. Wir haben alle die Möglichkeiten, so viel und paranoid unsere Sachen zu verschlüsseln, wie wir wollen. Je mehr wir das tun, desto faschistoider muss unsere Junta werden, um uns doch noch kontrollieren zu können. So gesehen ist das ein großer Sieg, daß der Staat jetzt mit dem Onlinetrojaner die Hosen runter läßt, denn das sagt mir, daß unsere Krypto-Kampagnen Erfolg genug hatten, um den Regierenden Angst zu machen, ihre Schäfchen könnten sich ohne ihr Mitwissen gegen sie auflehnen. Daher: Weitermachen! Mehr Krypto! Alle eure Platten verschlüsseln, eure Emails verschlüsseln, alles verschlüsseln. Je weniger ihr zu verbergen habt, desto mehr Krypto müsst ihr benutzen.
PS: Wo bleibt eigentlich die Revolution?
Und falls noch jemand Zweifel an der vollständigen Inkompetenz dieses Ziercke-Menschen hat: sie wollen den Trojaner ohne Ausnutzung von Schwachstellen installieren, und sie wollen den Quellcode "einer solchen Untersuchung" beim Gericht hinterlegen. Der Mann weiß ja sowas von GAR NICHT, wovon er redet, das ist echt unfaßbar.
Ich kann euch ja mal sagen, was ich glaube, wie das funktionieren wird jetzt. Das BKA wird irgendeine studentische Hilfskraft dafür bezahlen, einen superschlechten Visual Basic Trojaner zu hacken, und wird den dann auf de Rechner installieren, indem sie einbrechen und einen USB-Stick in die Hardware schieben. Vermutlich werden sie eine Knoppix-CD dabei haben, damit sie an den Rechner rankommen. Wenn also jemand (wie ich) seinen Rechner ganzzeitig laufen läßt, und auch noch unter Linux, dann sieht man das ganz gut, ob da jemand dran war, weil die Uptime ruiniert ist. Abgesehen davon, daß die dann bei whole disk encryption verkackt haben. Wobei sich natürlich die Frage stellt, wieso sie nicht einfach ne Wanze in die Tastatur einbauen.
Die SINA-Box ist ein VPN-Endpunkt, kein MITM-Werkzeug. Man benutzt es gerade, um sich gegen MITM zu schützen. In das große Lawful Interception Bild paßt die SINA-Box höchstens indirekt rein, wenn die abgehörten Daten damit verschlüsselt zum "Bedarfsträger" (so nennt man das im Fachjargon) geleitet werden. Ich hoffe, Volker fängt sich jetzt keine Klage von Secunet (dem Hersteller der SINA-Box) ein, denn was er da geschrieben hat ist Bockmist.
Der Staat wird auch nicht anfangen, Dateien in vorbei fliegenden Downloads zu ersetzen. Theoretisch ist das denkbar, aber wenn sie das tun, und jemand prüft Checksummen nach, dann ist der Trojanerversuch enttarnt. Daher halte ich das für unwahrscheinlich.
Dann gab es da noch die Theorie, daß sie Windows Update o.ä. mißbrauchen. Auch das halte ich für abwegig, denn eine Firma wie Microsoft hat eh schon damit zu kämpfen, daß Softwarepiraten ihren Updateservice für nicht vertrauenswürdig halten, und die Updates nicht installieren, sich dann Malware einfangen, und am Ende sieht das so aus, als sei Windows mal wieder total trivial zu infizieren, dabei gab es den Patch schon seit Jahren. Daher kann ich mir nicht vorstellen, daß die sich für sowas mißbrauchen lassen. Und per MITM kann man bei solchen Update-Services nur was reißen, wenn die wirklich schlecht implementiert sind, bei MS Update und hoffentlich auch allen Antivirus-Updates sind digitale Signaturen involviert, gerade um MITM-Angriffe abzuwehren.
Die nächste Variante wäre, den Leuten den Trojaner einfach per Spam zu schicken, und dann zu hoffen, daß die Leute da draufklicken. Und die Variante ist die einzige, von der ich mir vorstellen kann, daß unsere Strafverfolgungsbehörden ausreichend Expertise haben, nachdem ihnen jemand anderes einen Trojaner gehackt hat. Ich hatte ja bisher nicht viel mit den Strafverfolgungsbehörden zu tun, aber wenn, dann haben die jedes Mal einen katastrophalen Eindruck hinterlassen. Gut, kann natürlich auch Schauspielerei sein, damit sie unterschätzt werden :-)
Insofern mache ich mir da wenig Sorgen, jemals von einem Bundestrojaner betroffen zu sein. Mein momentaner Eindruck ist, daß da einfach jemand geplappert hat, was sie gerne hätten. Jemand, dessen Sachkenntnis sich aus Hollywood-TV ala "Alias" oder "CSI" speist ("Image-Enhancement aktivieren, fraktale Extrapolation des Gesichts anhand der zwei Pixel auf der Überwachungskamera läuft…"). Jemand, der von Tuten und Blasen keine Ahnung hat, und der gerade dafür gesorgt hat, daß sich mein Eindruck der Strafverfolgungsbehörden noch mal deutlich in Richtung Tiefgeschoss verschiebt. Aber ich kann nicht sagen, daß ich das schlecht finde, wenn die Strafverfolgungsbehörden unfähig sind. Das ist immerhin der beste Schutz, den wir vor "Antiterror"gesetzen und staatlicher Oppression haben.
Der künftige Ober-Bayer Günther Beckstein verriet sich selbst auf dem 10. Europäischen Polizeikongress in Berlin. Zu einer Talkshow-tauglichen Anekdote aufgelegt, erzählte er gutgelaunt, er selbst hätte beinahe auf seinem privaten PC einen per E-Mail geschickten Trojaner-Anhang geöffnet, der sich mit dem Absender BKA tarnte. Er hätte als Innenminister natürlich angenommen, darin sei eine dienstliche Information für ihn enthalten und "hundertprozentig" draufgeklickt, wenn ihn nicht seine Frau noch rechtzeitig vor einem der gefährlichsten Angriffe überhaupt gewarnt hätte.Was ich ja nicht verstehe, wenn ich sowas lese… hat die CSU denn keinerlei Anforderungen an Mitglieder?!
Aber das ist noch gar nicht das Highlight. Das Highlight ist, wie der Zierke (ihr wißt schon, der Spezialexperte vom BKA) begründet, daß sie die Online-Durchsuchungen brauchen:
"Das Zweite ist, wir können zum Beispiel in das Milieu des islamistischen Terrorismus mit verdeckten Ermittlern fast nicht eindringen. Wir sehen nicht, äh, ähnlich aus wie viele Leute im Milieu, wir sprechen nicht die arabische Sprache. Wir müssen uns daher andere Zugänge überlegen, weil der islamistische Terrorismus überwiegend über das Internet kommuniziert. Das ist das Rekrutierungsmittel, das ist das Mittel zur Radikalisierung der Szene."Fassen wir also zusammen: das BKA ist zu dämlich, die Islamisten zu unterwandern. Und weil die alle Internet benutzen, und weil inkompetente Idioten die anderen auch immer alle für mindestens genau so dämlich wie sich selbst halten, ist sich das BKA sicher, daß die dummen Islamisten alle auf Email-Attachments klicken werden. Nicht zu fassen. Und falls noch jemand Zweifel an der Inkompetenz von Herrn Zierke hat… lest, wie er auf die Frage nach absichtlich von Herstellern drin gelassenen Hintertüren antwortet:
"Nein, auch darum geht es nicht. Äh, wir werden mit unseren Programmen, die wir anwenden werden, nicht in solche Lücken hinein müssen, die allgemein zum Schaden der Bevölkerung da sind, sondern wir werden sehr kontrolliert mit hoch professioneller Software unsere Programme starten und werden dann den Weg finden, um dieses aufklären zu können. Vor allem, und das geht noch einmal um die Frage, warum keine offene Hausdurchsuchung äh, Kriminelle laden diese Daten, die man auf der Festplatte normalerweise hat, ins World Wide Web aus. Das heißt, der Speicherplatz ist das Internet irgendwo weltweit."Nicht zu fassen, was für Vorstellungen der Mann hat! Schlimmer noch, wenn der schon selber glaubt, daß die Daten irgendwo im Internet gespeichert sind und nicht auf den PCs der Islamisten, … wieso will der dann überhaupt online durchsuchen?
"Wir wollen, nein, wir können das Internet weltweit eben nicht durchsuchen. Das ist ja das Riesenmissverständnis, was hier entsteht. Wir können nur direkt am Computer des einzelnen ansetzen und nur dann, wenn es unverschlüsselt ist, das heißt, selbst die Verschlüsselungs-Software macht uns große Probleme. Deshalb müssen wir vor dem Verschlüsseln und nach dem Entschlüsseln ansetzen können. Wir brauchen die Passwörter, die man ja auch normalerweise nicht auf dem eigenen Computer abspeichert. All das können wir nur, wenn wir es online machen."Immerhin hat ihm jemand erklärt, daß "Trojaner" etwas schlechtes ist, wogegen Leute sich Antivirus-Software installieren, und daher wollen sie das lieber anders nennen.
Berichten zufolge haben die Sicherheitsdienste inzwischen auch Spionageprogramme entwickelt, die über das Trojaner-Prinzip hinausgehen. Diese würden Computer automatisch nach ungesicherten Einfallstoren durchsuchen, sobald sie sich im Internet anmelden. Nach getaner Arbeit deinstallieren sich die Spione dann selbst und verschwinden unerkannt.Aha, also Würmer statt Trojanern. Na das ist doch gleich viel klarer illegal als ein Trojaner. Ein echter Fortschritt für den deutschen Rechtsstaat.
Verfassungsschutz-Chef Heinz Fromm sieht eine erhebliche Gefahr für Terroranschläge in Deutschland. Das verstärkte Engagement der Bundeswehr in Afghanistan könne das Anschlagsrisiko noch erhöhen, warnte der Geheimdienstler.Oha, harter Tobak.
In der Einschätzung der Terrorgefahr sei man sich mit den anderen deutschen Sicherheitsbehörden einigOh, sieh an, die wollen auch alle mehr Geld vom Bund. Da fehlt noch ein bißchen was Handfestes? Kein Problem:
"Deutschland ist nicht nur Ruhe- und Vorbereitungsraum für islamistische Terroristen, sondern auch potenzieller Anschlagsraum", sagte Fromm und verwies auf die gescheiterten Kofferbombenanschläge im vergangenen Jahr.Noch nicht fatal genug? Hat jemand vielleicht keine Angst vor Teenies, die zum Bombenbauen zu blöd sind? Na dann müssen wir die große Keule rausholen:
Auch ein Anschlag mit einer so genannten schmutzigen Bombe sei eine mögliche Option. Man müsse alles ins Kalkül ziehen, erklärte der oberste Verfassungsschützer, etwa dass einem Sprengsatz radioaktives Material beigemischt werde. Ein solcher Anschlag würde auch Strahlenschäden verursachen und eine verheerende psychologische Wirkung entfalten.
Zumindest die inländische Antivirusindustrie ist ja voll aus dem Rennen, wenn sie ausgerechnet diesen Trojaner nicht entfernen darf. Na, liebe Politiker, dieses Knistern, das ihr da gerade hört, das sind die Arbeitsplätze, die ihr gerade verbrennt. Hoffe es wärmt schön, denn nach eurer Abwahl habt ihr euch alle mal eine Runde Hartz IV verdient.