Fragen? Antworten! Siehe auch: Alternativlos
Stattdessen sollen die ab jetzt die weltberühmten Messengerdienste Olvid und Tchap verwenden.
Keine Sorge. Ich habe auch noch nie von denen gehört.
OK, aber Sicherheitslücken? Da werde ich hellhörig. Was für Sicherheitslücken denn?
Der französische Digitalminister Jean-Noël Barrot erklärte auf X (vormals Twitter), die Ende-zu-Ende-Verschlüsselung von Olvid sei von der Cybersicherheitsbehörde Anssi zertifiziert.Genau mein Humor!
Erstens: Digitalminister. Direkt ein Lacher.
Zweitens: Verkündet er auf X. Direkt der nächste Lacher!
Drittens: Er meinte nicht Sicherheitslücken, er meinte eine Behörden-Zertifizierung.
Frankreich war, die Älteren werden sich erinnern, jahrelang ein Ödland der Verdammnis, wenn es um Computer ging, weil die Regierung ein Kryptoverbot verhängt hatte. Wenn DIE uns jetzt also was von Ende-zu-Ende-Verschlüsselung erzählen, ist das mehr als lächerlich.
Viertens: Frankreich steht heute für den Einsatz von Staatstrojanern. Wenn DIE uns also was von Sicherheitslücken erzählen, und sagen, wir sollen doch bitte ihre Software einsetzen, dann ist das mehr als unglaubwürdig, dass das was mit einer Erhöhung der Sicherheit zu tun hat. Eher im Gegenteil.
Ich mache mich ja seit Jahrzehnten über Zertifizierungen lustig, besonders über BSI-Zertifizierungen. Die sind inhaltlich absolut wertlos. Waren sie schon immer, werden sie auch absehbar bleiben. Aber eine Sache, die erst mit den Staatstrojanern wirklich Wucht kriegt, möchte ich hier nochmal explizit ansprechen. Eine Zertifizierung kostet sechsstellig. Wenn eine Firma also so viel Geld in die Hand nimmt für einen Messenger-Dienst, dann gibt sie der Regierung einen ziemlich großen Hebel in die Hand, ihnen "Features" reinzudrücken, die am Ende die Sicherheit kompromittieren.
Für mich sind daher staatliche Zertifikate nicht nur wertlos sondern ein starker Indikator dafür, dass ich dieser Software noch weniger Vertrauen entgegen bringen sollte. Selbst wenn es sich um Open Source handelt, auch wenn sich die Bedenken dann abschwächen.
Gibt es denn irgendwas positives zu sagen? Nun, Tchap scheint eine Implementation von Matrix zu sein. Matrix ist ein offener Standard mit Open-Source-Implementationen. Das ist also vergleichsweise gut. Tchap selbst ist auch Open Source. Es könnte also sein, als wäre das hier die eine Ausnahme von der Regel. Auch Olvid ist Open Source und auf Github. Die Beschreibung liest sich auch richtig gut. Das einzige, was ich gerade nicht auf Anhieb sehe, ist Reproducable Builds.
Beide Messenger sehen nicht wie Schnellschüsse aus. Da werde ich ja fast ein bisschen neidisch gerade!
Drei Unternehmen der Staatstrojaner-Firmengruppe FinFisher sind insolvent. Das Büro ist aufgelöst, die Mitarbeiter entlassen und der Geschäftsbetrieb eingestellt. Im Zuge von Ermittlungen wegen möglicher illegaler Exporte des Staatstrojaners hat die Staatsanwaltschaft Konten gepfändet.Aber nicht doch! Illegale Exporte?!? Un-denk-bar!
Update: Keine Sorge, Stoff für ein Sequel ist genug da.
Wenn die Verbrecherpartei und die Verräterpartei gemeinsam in einer großen Koalition an der Macht sind, dann passiert sowas halt.
Staatstrojaner endlich für alle 19 Geheimdienste Deutschlands.
Und alle! Wer hat uns verraten? Die Sozialdemokraten!
Mit den Grünen wäre das natürlich genau so gelaufen.
Wer wählt eigentlich diese ganzen Gangster immer wieder ins Parlament? Ist das das Ergebnis davon, den Leuten im Fernsehen immer Shows zu zeigen, in denen sie Leute irgendwo rauswählen? Sind die Wähler schlicht verwirrt?
Update: Ein Leser schickte dazu diesen schönen Tweet von Saskia Esken ein. Nur damit auch dem letzten Vollidioten das nächste Mal klar ist, was von solchen Zusagen aus dem Hause Verräterpartei zu halten ist.
Staatstrojaner für alle Geheimdienste! Da werden einige Schlapphüte eine Großpackung Kleenex brauchen.
Die wichtigste Lektion ist, dass die SPD immer noch nicht handlungsunfähig genug ist. Auch wenn sie seit Jahrzehnten keine einzige positive Sache mehr erreicht hat, heißt das nicht, dass sie harmlos sind, weil sie auch keine negativen Dinge schaffen. Da ist die Hürde geringer. Sie müssen nur die CDU machen lassen.
Die Älteren unter euch werden sich noch an eine Zeit erinnern, als die SPD und die CDU Konkurrenten waren, und unterschiedliche Dinge anstrebten. Das liegt aber schon eine Weile zurück.
Da habt ihr euch getäuscht! Denn bisher war es ja nicht explizit erlaubt, neben den neuen Kommunikationsvorgängen auch die alten auszuspähen. Diese Regulierungslücke wird jetzt geschlossen!1!!
Die zweite Methode, auf die man sich in Berlin inzwischen geeinigt hat, ist eine Neuschöpfung: die sogenannte "Quellen-TKÜ plus". Die Idee lautet, dass die Agenten nicht nur die laufende Kommunikation mitlesen, sondern auch rückwirkend von dem Moment der Bewilligung dieser Spionagemaßnahme an alte Kommunikation ausforschen dürfen. Das bedeutet einen Zugriff auf gespeicherte Mails und Chats. Die Ermittler werden rechtlich so gestellt, als hätten sie sofort nach Erteilung ihres Auftrags loslegen können - und nicht erst Zeit verloren durch das technisch aufwendige Infiltrieren des Geräts.Och joh, die armen Beamten des Überwachungsstaat verlieren regelmäßig wertvolle Zeit, wenn sie sich in eure Geräte hacken müssen! Eine Runde Mitleid für den armen Unterdrückungsstaat! Wie soll man denn die Leute unmündig halten, wenn man ihnen nicht ordentlich mit krass asymmetrischer Machtausübung drohen kann?
Tja, bei einem Trog von 58 Millionen Smartphone-Nutzern in Deutschland kommen halt auch entsprechend viele besonders hartnäckige Schweine.
Wenn es um Corona ginge, hätte man da auch einfach einen entwickeln lassen können und alle anderen nehmen das dann. Ist ja bei Open Source auch lizenztechnisch kein Problem.
Ich als ewiger Optimist hoffe aber trotzdem, dass die App versehentlich auch gegen Covid-19 hilft. Von der Akzeptanz her sieht die App ja gar nicht mal so schlecht aus mit inzwischen angeblich knapp 10 Mio Installationen. Und das trotz aktueller Meldungen wie dieser, dass die Geheimdienste jetzt endlich Staatstrojaner-Befugnis bekommen sollen. Das würde ja eher dagegen sprechen, irgendwelchen Apps irgendwelcher Behörden zu vertrauen. Merken die eigentlich nicht, wie viel Vertrauen sie jetzt schon verloren haben?!
Update: Einen Punkt würde ich an dieser Stelle noch gerne machen. Open Source ist schön und gut, aber nicht hinreichend. Wer sagt denn, dass die App, die man aus dem App Store installiert kriegt, auch aus dem Quellcode kommt? Eigentlich müsst jeder von euch selber aus dem offenen Quellcode die App bauen und auf sein Telefon spielen, was aber natürlich Google und Apple nicht zulassen, weil die ja gerne ihr parasitäres App-Store-Schutzgeldgeschäftsmodell ("Schöne App haben Sie da! Wäre ja schade, wenn die Leute die gar nicht installieren können! Geben Sie uns mal 30% Ihres Umsatzes!") weiter fahren möchten. Und das geht ja nicht, wenn sich die Leute selber Apps installieren dürfen! Wieso hat das eigentlich das Kartellamt noch nicht unterbunden?
Bliebe noch der Weg, dass ihr die App selber baut und dann vergleicht, dass die App aus dem App Store identisch ist. Doch das ist technisch kein Selbstläufer und auch da legen Google und Apple absichtlich Steine in den Weg.
Tja und wenn jetzt der Staat kommt und selber ein Schutzgeldgeschäftsmodell gegen Google und Apple fährt ("Schönen App store haben Sie da! Wäre ja schade, wenn der in unserem Land verboten wäre! Hier, liefern Sie mal diese Malware aus!"), dann geht das ja am Ende auch immer alles zu Lasten des Bürgers. Für uns Bürger kämpft ja leider niemand.
Die Lage ist nicht völlig aussichtslos. Man kann z.B. sehen, was die App alles können will. Da hat leider Google auf ganzer Linie verkackt und auf älteren Android-Versionen (älter als 9 habe ich gehört) kommt da "will Location-Daten haben". Das hilft also nicht, im bösartige Profilbildung zu verhindern.
Bleibt noch die Möglichkeit, dass man stichprobenhaft die App aus dem App Store holt und von Experten vergleichen lässt. Damit sind wir aber auch wieder nicht viel weiter, denn wir haben nur "du musst Google/dem Staat vertrauen" gegen "du musst dem CCC-Experten vertrauen" ausgetauscht. So ganz kriegt man das Vertrauen Müssen nicht weg, denn die Tools, mit denen man solche Analysen macht und Apps baut, die kommen ja auch von irgendjemandem, dem man vertrauen muss. Aber schön ist das nicht.
Bleibt noch die Frage, ob die Geheimdienste vielleicht Google zwingen, ihre Hintertüren nur gezielt auszurollen. Damit wären Stichproblem umgangen, außer einer der Stichproben-Downloader ist auf der Liste der Geheimdienste. Ist alles nicht so einfach.
Update: Oh und dann gibt es natürlich noch das Problem (jetzt vielleicht nicht bei der Corona-App aber bei anderen), dass die App einmal pro Woche ein Update erfährt. Da wird das Fenster für Aussagen über die Vertrauenswürdigkeit einer bestimmten Version sehr schnell sehr klein.
BKA-Dokument: Polizeibehörden wollen Staatstrojaner vor allem gegen Drogen einsetzenNa SO eine Überraschung! Dabei läuft der Krieg gegen die Drogen seit Jahren so erfolgreich!1!!
Wie immer, wenn du mit verstrahlten Ideologen redest. Der Grund, wieo das nicht funktoniert, ist WEIL DIE DOSIS NOCH NICHT HOCH GENUG IST!!1!
Wenn die Hersteller von Staatstrojanern öffentlich bekannt werden, stellen sie ihre Zusammenarbeit mit den Bundesbehörden ein. Mit dieser Begründung verweigert die Bundesregierung selbst dem Bundestag Auskunft über die zwielichtige Branche. Wir veröffentlichen eingestufte Protokolle aus dem Innenausschuss.NEIN!!! Das ist ja mal eine innovative Ausrede! Die Kriminellen, von denen unsere Kriminellen ihre kriminelle Spionagesoftware kaufen, wollen nicht, dass ihre Namen bekannt werden. WELL DUH! Wie wäre es, wenn wir einfach aufhören, kriminelle Behörden zu haben? Die müssten dann keine Kriminellen einstellen, die es moralisch vertretbar finden, anderen Leuten auf ihren Telefonen Wanzen zu installieren, und dann wäre das ganze Problem weg!
Oder man kann das natürlich noch aus einem anderen Winkel sehen, wie der schöne Kommentar von Linus Neumann nahelegt:
Heckler und Koch, Krauss-Maffei Wegmann, Rheinmetall – diese Unternehmen tun Verwerfliches, sind aber gezwungen, unter ihrem eigenen Namen aufzutreten. Nun wird uns erzählt, die Bundesregierung arbeite mit Unternehmen zusammen, die ihren eigenen Namen geheim halten müssten? Wahrscheinlicher scheint mir zu sein: Die Bundesregierung schämt sich für ihre Zulieferer und deren Kundenstamm – zu Recht!So krass kriminell sind diese Zulieferer! Schlimmer als Rohde & Schwarz, die IMSI-Catcher bauen. Schlimmer als Heckler & Koch, mit deren Produkten Menschen erschossen werden. Schlimmer als Rheinmetall, die Panzer bauen! Überlegt euch mal ein gedankliches Modell, mit dem es überhaupt noch schlimmere Kategorien gibt. Und in DEN Kategorien kauft die Bundesregierung ihre Trojaner ein.
Man hätte das vielleicht so formulieren müssen: Wenn bekannt wird, von wem wir die Trojaner kaufen, müssten wir diese Firmen direkt komplett verhaften.
Und an dieser Stelle bitte ich um eine Runde Applaus für die Helden von Netzpolitik.org dafür, dass sie das hier getan haben:
Seitdem gab es sieben Kleine Anfragen zum Thema im Bundestag. Die Regierung hat all diese Fragen nur oberflächlich beantwortet, vieles als Verschlusssache eingestuft und einige Antworten vollständig verweigert. Abgeordnete von Grünen und FDP haben deshalb bereits mit Klage gedroht.Fuck Yeah, Netzpolitik.org!Wir haben jetzt die sieben „nur für den Dienstgebrauch“ eingestuften Antwort-Teile erhalten und veröffentlichen diese wie gewohnt in Volltext.
So einen ordentlichen, zünftigen, amtlichen Verfassungsbruch!
Und auch ansonsten nähert sich Deutschland Trumpistan an. Das Sondervotum der Opposition zum NSAUA soll schlicht als geheim eingestuft werden, damit die Wähler nichts davon erfahren.
Nun, Heiko Maas, wenn er nicht gerade damit beschäftigt ist, Internetzensurinfrastruktur für die nächste Merkel-Durchregierung und deren totalitäre Nachfolger zu schaffen (wir erinnern uns hoffentlich noch alle an das Gefühl, als Obamas Totalüberwachungs- und Drohnenmord-Infrastruktur plötzlich in den Händen von Donald Trump war), dann bereitet er unter höchster Geheimhaltung ein Gesetz vor, das Quellen-TKÜ für den gesamten Straftatenkatalog freischaltet.
Ihr denkt, ich übertreibe? Die Datenschutzbeauftragte des Bundes hat davon aus den Medien erfahren. Und die Medien hatten das, weil Netzpolitik.org das geleakt hat. Sonst wüssten wir da heute noch nicht von.
So, meine Damen und Herren, werden im Maas-Ressort Gesetze gemacht.
Wie macht man so ein Gesetz so, dass das keiner merkt? Gesetze werden doch halbwegs offen diskutiert und vorbereitet, da kann man doch gar nicht wirklich solche Klopper verstecken?
Nun, von Trump lernen heißt siegen lernen! Wie Trump das mit seinem "Gesundheitsgesetz" gemacht hat, so operiert Heiko Maas bei uns. Dieser ganze Scheiß kam über einen Änderungsantrag in letzter Minute dazu, nachdem das Ding im Grunde schon durchverhandelt war. Und so wird das jetzt vermutlich wie bei Trump von Abgeordneten abgestimmt, die das gar nicht gemerkt haben, was ihnen da untergeschoben wurde.
Nana, denkt ihr euch jetzt vielleicht, das ist betimmt ein bedauerlicher Einzelfall und ansonsten ist der Maas nicht so übel. Doch, ist er. Der Einsender erklärt:
Das erinnert an die Frechheit beim netzDG, wo sie den Entwurf den Interessenverbänden geschickt haben mit Deadline für Stellungnahme. Dann haben sie aber einfach weiter an dem Gesetz gearbeitet vor Ablauf der Frist, und alle Stellungahmen waren damit outdated und bezogen sich auf die falsche Version des Gesetzesvorschlags.Die beste Demokratie, die man für Geld kaufen kann!Das ist wirklich krass, was bei Maas abgeht. Das würde man Trump nicht durchgehen lassen.
Ich finde das nachvollziehbar. Ich würde dem BSI auch nichts zum Prüfen geben. Ich meine, das BSI hat auch beim Staatstrojaner mitgemacht. Wer kann denn so jemandem jemals wieder über den Weg trauen?
Siehste. Keiner.
Ungewöhnlich ist dabei aber, dass im Fall Luxemburgs ausgerechnet die Steuerverwaltung als Kunde auftaucht. Bei allen anderen Staaten gehören nämlich entweder die Polizei oder der jeweilige Geheimdienst zu den Auftraggebern. In der Tat hat die Steuerverwaltung laut Gesetz keinerlei Befugnis, Spionage-Software zu kaufen, geschweige denn selbst Spionage zu betreiben.Na sowas!
Update: Der Regierungschef sagte vor dem Parlament, nur der Geheimdienst sei bei Hackingteam Kunde, nicht die Steuerverwaltung. Vielleicht hat der Geheimdienst zum Verschleiern via Steuerverwaltung eingekauft oder so? (Danke, Patrick)
Das Bundesinnenministerium hatte [nach dem BVerfG-Urteil] das BSI beauftragt, im Rahmen seiner gesetzlichen Aufgaben das BKA bei den für die Erstellung der RFS erforderlichen IT-Sicherheitsüberlegungen, wie die Eignung grundsätzlicher Sicherheitsmechanismen, Kryptoalgorithmen und Protokolle, zu unterstützen, um so die notwendige IT-sicherheitliche Korrektheit der Software gewährleisten zu können."Wir haben doch bloß die Software auditiert!1!!" Mit anderen Worten: die Wernher von Braun-Verteidigung!
Once the rockets are up,
who cares where they come down?
That's not my department!
says Wernher von Braun
Wenn bekannt wird, wie das Bundeskriminalamt den international berüchtigten Staatstrojaner einsetzt, wird die Funktionsfähigkeit der Sicherheitsbehörden beeinträchtigt und damit die öffentliche Sicherheit gefährdet. […] Würde man sensible Informationen schwärzen, blieben “keine nennenswerten Informationen mehr übrig”.Was für eine bodenlose Frechheit!
Und überhaupt. Von welcher Funktionsfähigkeit reden wir hier eigentlich?
Update: Gamma hat stets geleugnet, den Trojaner nach Ägypten geliefert zu haben, das war nur ein Angebot, was da gefunden wurde. Dennoch ist das, was Gamma und ihre Trojaner ans Tageslicht gezerrt hat, daher ist das für mich "der Ägypten-Trojaner", auch wenn Gamma ihn möglicherweise (wer kann das schon genau sagen) nicht nach Ägypten geliefert hat.
CSC, CSC … CSC … da war doch was. Oh ja richtig! Das waren die hier, die ihre Business-Jets für Rendition-Flüge nach Guantanamo an die CIA ausgeliehen haben. Und nicht nur Guantanamo, auch an andere Folterknäste.
Nur falls jemand noch Zweifel hatte, wie diese Trojaner-Geschichte ethisch/moralisch einzuordnen ist. Das war damals der militärische Arm von Dyncorp, den hat CSC inzwischen wieder verkauft. Aber wisst ihr, was CSC noch so macht? Die machen den "Groundbreaker"-Rahmenvertrag für die NSA. Über zwei Milliarden Dollar ist der Vertrag wert. Mit anderen Worten: die NSA prüft hier über Bande den Trojaner des BKA.
After he was confronted with evidence obtained by the ICIJ/Guardian investigation, Muench changed his position. He told us: "You are absolutely right, apparently there is a Gamma Group International Ltd."He added: "So in effect I was wrong – sorry. However I did not say that Louthean Nelson was not associated with any Gamma company, only the one that I thought did not exist."
Update: Netzpolitik dazu.
Update: Heise dazu.
Na herzlichen Glückwunsch, Herr Ziercke. So tief ist noch keine andere deutsche Behörde gefallen, dass man aus Angst, sich einen Trojaner zu holen, lieber eine bestehende Botnet-Infektion in Kauf nimmt, als auf eine Seite von euch zu klicken.
Können wir jetzt endlich diesen Ziercke und seine Mannen rausschmeißen, bitte? Was steht dem eigentlich in den letzten Jahren im Wege? Der Mann ist doch eine Katastrophe von geradezu biblischen Ausmaßen! Was muß der noch verkacken, damit er endlich rausfliegt?
Und dass dem BSI auch schon keiner mehr traut, das haben die ja schon länger mal verdient. Nicht wegen ihrer Arbeit, sondern weil das eine BND-Ausgliederung ist und vorher deren "Abteilung für Chiffrierwesen" war. Das war schon immer nicht nachvollziehbar, dass ausgerechnet die anderer-Leute-Krypto-Entschlüsseln-Leute plötzlich für die Gute Sache zuständig sein sollten. Da hätte man auch gleich einen Knasti zum BKA-Chef machen können. Wobei das vermutlich auch nicht schlimmer geworden wäre als dieser unsägliche Ziercke und seine Kinderporno-Roadshow. Sein klandestiner Stil ist schon immer einer Polizeibehörde unwürdig gewesen, und jetzt kriegt er die Rechnung dafür.
Oh und um das nochmal so richtig reinzureiben, dass mit Trojanern erhobene "Beweise" generell für die Tonne und vor Gericht nicht das Papier wert sind, auf dem die Internetausdrucker sie ausgedruckt haben, haben wir auch ein kleines Perl-Skript gebaut, das sich der Fernwartungssoftware gegenüber als Trojaner ausgibt und die rickrolled. Aus Lizenzgründen haben wir dann auf ein komplettes Rickrolling verzichtet und dafür auch noch eine schöne Schäuble-Todeskralle und ein paar Bilder von R2D2 und C3PO dazugetan.
Meine Hoffnung war ja, dass das BKA einfach zugibt, dass das ihr Trojaner ist, damit wir jetzt nicht noch öffentlich darauf hinweisen müssen, dass die Beweislast für die gegenteilige Aussage bei ihnen liegt, und sie sich auch noch stilfrei zum schlechten Verlierer machen müssen, weil sie nicht zu ihren Fehlern stehen und zum Geständnis gezwungen werden müssen. Letztlich hatte ja der Spezialexperte Ziercke schon alle wichtigen Punkte zugegeben, das ist ja echt nur noch eine Formalie hier gerade. Also los, BKA, gebt euch einen Ruck. Ihr seht schon schlecht genug aus. Brust raus, gerader Rücken, Blick nach vorne, und steht zu euren Taten.
Update: Ich möchte nochmal ausdrücklich darauf hinweisen, dass der CCC auch die IDA-Datenbanken veröffentlicht hat. Wer also auch mal reversen will, hat es damit jetzt deutlich einfacher, wenn er die als Basis nimmt.
Also was schreibt er denn da so.
Das BKA hat keinen Verfassungsbruch begangen!Das wird sich zeigen.
In unsere OLD- und Quellen-TKÜ-Software war zu keinem Zeitpunkt eine rechtswidrige Hintertür zum Aufspielen von Ausspähprogrammen eingebaut.Das klingt gut, leider wird es noch im selben Dokument auf Seite 7 der Lüge überführt:
Update selbst wird mit der Updatefunktionalität der Digitask-Aufzeichnungseinheit durchgeführt (Updates werden protokolliert)Das mit dem Protokoll klingt gut, aber leider ist ein Protokoll auf Seiten des Trojaners wertlos, weil es von Dritten manipuliert werden kann, und ein Protokoll auf Seiten des BKA ist auch wertlos, weil über die Schnittstelle auch von Dritten weitere Malware hochgeladen worden sein kann, ohne dass das überhaupt beim BKA vorbeikommt.
Es gibt keinen Zugriff von Dritten auf die Software des BKA.Da bin gespannt auf Ihre Beweisführung, Herr Ziercke!
Die Planung, Durchführung und Nachbereitung von Quellen-TKÜ und Online-Durchsuchung folgen einem detaillierten Phasenkonzept, einschließlich ausdifferenzierter Prüf- und Kontrollmechanismen.Bei dem Satz muss jemand den Inhalt mitzuübertragen vergessen haben. Hier ist jedenfalls keiner angekommen. Auch die ganze Seite 4 ist reiner "Beweis durch Behauptung"-Kinderkram. Damit können sie vielleicht jemanden wie den Uhl überzeugen, aber sonst niemanden. Kein Wunder, dass sie das hinter verschlossenen Türen vor ausgesuchtem Publikum gehalten haben. Sonst wären sie ja aus dem Saal gelacht worden damit.
Dann machen sie noch die Ansage, dass sie in Amtshilfe für Rheinland-Pfalz und Hessen Trojaner verteilt haben. Sehr schön!
Desweiteren verweisen sie auf ihre ISO 9000ff-Zertifizierung (HAHAHAHA, Snake Oil zum Quadrat, das lässt ja tief blicken, dass sie DAS als Beleg für ihre Integrität nehmen!) und ein Phasenkonzept. Wer schonmal in einer WG gewohnt hat, mit Konzept zum gemeinschaftlichen Geschirrspülen und Müllrunterbringen, der wird das ähnlich erheiternd finden wie ich jetzt. Sie zitieren da ab Seite 6 das Phasenmodell. Ich kann das nicht mal pasten hier, ich hab vom Fremdschämen Rheuma gekriegt und kann die Maus nicht mehr schieben. AU DIE SCHMERZEN! Das einzige, was man da mitnehmen kann, ist dass es einen Amtsleitungsvorbehalt gibt. D.h. die Amtsleitung steht jetzt persönlich mit einem Bein im Knast und kann das nicht mehr auf inkompetente Angestellte abwälzen.
Schließlich kommen dann auch noch die Ausflüchte zu dem Proxy, bzw. kommen sie gerade nicht. Da steht nur:
zur Verschleierung der Q-TKÜ gegenüber dem Tatverdächtigen wird die gesamte Kommunikation der Software über mindestens zwei Proxy Server geleitetEin Schelm, wer böses dabei denkt.
auf diesen Proxy Servern werden keinerlei Daten abgelegt, sondern lediglich eine Durchleitung - über nicht-deutsche Server – vorgenommenAch sooo! Das ist nur eine Durchleitung! Na dann kann da ja nichts passieren. Immerhin: Sie geben zu, dass sie durch das Ausland routen. Das macht aber nichts (Seite 11), weil:
Richtig ist vielmehr, das die Daten über einen ausländischen Server lediglich verschlüsselt weitergeleitet und nicht auf dem ausländischen System gespeichert werden.Ich bewundere deren Chuzpe, ihre Pfusch-Verschleierung als "Verschlüsselung" zu bezeichnen. Oh und die scheinen noch nicht verstanden zu haben, dass man mit einem Proxy auch durchfließende Daten manipulieren kann.
Ein schöner Lacher ist noch die "Beendigungsphase":
No shit, Sherlock! Mit forensischen Methoden durch Dritte analysiert, ja? *schenkelklopf*
- Überwachungssoftware wird möglichst im Rahmen operativer Maßnahmen physikalisch gelöscht
- sofern mangels Zugriff auf das überwachte System physikalisches Löschen nicht realisierbar, wird auf die eingebaute Löschfunktion zurückgegriffen
- bei letztgenannter Alternative (sogen. Fernlöschung) besteht ein Restrisiko, dass die Software oder Teile davon zu einem späteren Zeitpunkt mit forensischen Methoden durch Dritte analysiert werden
Die nächste Frage, die sich stellt, ist was es mit der "revisionssicheren Dokumentation" zu tun hat, die gestern alle CDU-Tontauben nachgebetet haben.
Das ist nicht gut, weil "alle gewonnenen Daten" auch den Kernbereich der privaten Lebensgestaltung betrifft und nach Vorgabe des Bundesverfassungsgerichts solche Daten sofort gelöscht werden müssen. Und überhaupt stellt sich natürlich die Frage, was auf ein Protokoll zu geben ist, dass im Fall eines Manipulationsvorwurfes vom Angeklagten selber geführt wurde. Ich sage: gar nichts. Da müsste man schon besondere Maßnahmen ergreifen, um eine Manipulation besonders schwer zu machen, z.B. per Read-Only-Ausleitung der Logdaten in einen physisch separaten Logging-Bereich, bei dem nur hinten angefügt und nichts gelöscht oder überschrieben werden kann nachträglich. Was das BKA aber darunter versteht:
- Sämtliche durchgeführten Aktionen (Updates, Modulaktivierungen und -deaktivierungen) werden protokolliert.
- Des Weiteren sind dort alle gewonnenen Daten (Gespräche, Chatnachrichten, übertragene Dateien) auswertbar vorhanden.
Die operativen Worte hier sind "aus der Bedienoberfläche heraus". Wenn jemand weiß, wie man es außerhalb der Bedienoberfläche manipuliert, ist das Scheunentor offensichtlich offen. Daher dementiert das BKA auch gleich so doll sie können (ein lauer Windhauch würde diese Argumentation wegwehen):
- Das systemtechnische Protokoll ist aus der Bedienoberfläche heraus nicht manipulierbar.
ACH, für das BKA soll die Unschuldsvermutung gelten, wenn sie mit thermonuklearen Trojanern herumhantieren? Aber umgekehrt dürfen unsere Behörden uns trojanisieren, selbst wenn wir nachweislich überhaupt nichts angestellt haben, unter der Maßgabe der Gefahrenabwehr? Im Übrigen ist das mit dem administrativen Zugang nicht glaubwürdig. Wenn das GUI ohne Admin-Zugang in die Datenbank schreiben kann, dann kann das auch der Benutzer des GUIs. Er muss sich nur die Zugangsdaten für die Datenbank aus dem GUI rauspopeln.
- Löschen von Protokolldaten wäre nur mit administrativem Zugang (nicht der Ermittlungsbeamte, nur der Techniker hat Zugang) auf die zugrundeliegende Datenbank und entsprechendem technischen Aufwand bei gleichzeitiger krimineller Energie möglich. Dafür gibt es keinem Fall auch nur die Spur eines Verdachts!
Und ob das BKA kriminelle Energie hat, das ist ja wohl eine Frage des Blickwinkels. Die wollen Trojaner bei den Bürgern installieren! Wenn die Russen das tun, nennt man das "Mafia" und "organisierte Kriminalität" und die Politik nimmt es als Anlass, um noch mehr Trojanereinsätze zu begründen!
Aber hey, ist ja noch nicht fertig. Hier ist noch ein echtes Highlight:
Falsch ist, dass das BKA eine Überwachungssoftware verwendet, die mit einer unsicheren symmetrischen Verschlüsselung arbeitet und nur in eine Kommunikationsrichtung verschlüsselt. Wir verschlüsseln in beide Richtungen!HAHAHAHAHAHAHA, das alleine ist ja schon so ein Brüller, ich lach mich kaputt. Wir verschlüsseln in beide Richtungen mit einem unsicheren symmetrischen Cipher!1!!
Richtig ist, dass ein gemeinsamer Schlüssel zwischen Software und Einsatzservern vergeben wird. Dies dient der Verschlüsselung und der Authentifizierung.OH DIE SCHMERZEN! Sie bestätigen also direkt, was sie im Absatz davor noch dementiert haben. Gut, mit einem symmetrischen Schlüssel kann man sich nicht authentisieren, das weiß schon jeder Informatik-Studienabbrecher, das meinen die bestimmt nicht ernst? Doch, meinen sie!
Der Kommunikationspartner kann sich ohne diesen Schlüssel nicht als gültiger Partner ausgeben.Liebes BKA. IHR LIEFERT DEN SCHLÜSSEL AUS. Der ist im Trojaner drin. Der ist nicht geheim. Und man kann mit ihm nichts authentisieren. Fragt doch mal eure Krypto-Kollegen vom BSI, die haben dem Vernehmen nach Reste von Krypto-Knowhow am Start. Wenn die nicht alle schon dem Herzinfarkt erlegen sind angesichts eurer haarsträubenden Äußerungen hier, dann werden sie euch zumindest bestätigen, wie tief euer Unwissen hier reicht. "Wir haben da auch Experten", dass ich nicht lache. Gut, helfen werden euch die BSIler nicht, das haben sie ja schon angesagt. Aber euch ist ja eh nicht zu helfen.
Weiter im Text. Es fehlt ja noch der Teil, wo sie den CCC als die Bösen hinstellen. Hier ist er:
Seit der Veröffentlichung der Signatur der Verschlüsselung durch den CCC könnten noch laufende Maßnahmen entdeckt werden. Das BKA hat daher in einem aktuellen Verfahren der organisierten Rauschgiftkriminalität die Maßnahme sofort abgebrochen und dies der Staatsanwaltschaft und dem anordnenden Gericht mitgeteilt. Dies ist auch den Bundesländern mitgeteilt worden.ORGANISIERTE RAUSCHGIFTKRIMINALITÄT!!1! Mit anderen Worten: noch eine Online-Apotheke.
Oh, eine Sache möchte ich schon noch ansprechen:
Die Quellen-TKÜ-Software ist auf das Zielsystem und die dort installierte Skypeversion ausgerichtet. Bei einem Skypeupdate muss daher auch die Quellen-TKÜ-Software angepasst werden, da ansonsten die Kommunikation nicht mehr aufgezeichnet wird.Das klingt für mich nach Unsinn. Ich behaupte, dass das auch ohne Updates geht.
Das BKA behauptet weiterhin, das Verfassungsgericht habe nicht gesagt, ein Mehr an Funktionalität sei generell verboten, sondern nur dann,
wenn – und darauf kommt es dem BVerfG an - die durch eine Nachladefunktion eingesetzte Software zum Ausspähen von weiteren Daten genutzt würde.Hier ist, was das Verfassungsgericht tatsächlich urteilte:
Art. 10 Abs. 1 GG ist hingegen der alleinige grundrechtliche Maßstab für die Beurteilung einer Ermächtigung zu einer „Quellen-Telekommunikationsüberwachung“, wenn sich die Überwachung ausschließlich auf Daten aus einem laufenden Telekommunikationsvorgang beschränkt. Dies muss durch technische Vorkehrungen und rechtliche Vorgaben sichergestellt sein.Es geht also nicht darum, ob die nachgeladene Software tatsächlich benutzt wird, um mehr abzuhören, sondern es müssen technische und rechtliche Vorkehrungen da sein, um zu verhindern, dass das geschehen kann. Das ist hier nicht der Fall, daher handelt es sich um eine klare Verletzung des Urteils.
Gegen eine bloße Aktualisierungsfunktion kann das BVerfG keine Einwände haben, weil sonst die Maßnahme an sich gefährdet wäre.Den Typen, der diese Argumentation gemacht hat, würde ich gerne hinter Gittern sehen. "Ich MUSSTE den Laden ausrauben, Euer Ehren, denn mir ist ja Fahrradfahren erlaubt, und wenn ich denen nicht ein Fahrrad gestohlen hätte, dann wäre ja die Fahrradfahr-Maßnahme an sich gefährdet gewesen!1!!" Dass solche Leute überhaupt frei rum laufen können, irritiert mich maßlos, aber dass sie auch noch für Bundesbehörden der Exekutive Statements formulieren, das schlägt dem Fass den Boden aus. Wenn ihr es unter den Vorgaben nicht hinkriegt, DANN KÖNNT IHR ES HALT NICHT MACHEN. Ganz einfach!
Immerhin sehen sie auch selber ein, dass ihre Beweise da wertlos sind, und weil sie keine tatsächliche Überprüfung machen können, …
Das BKA hat am 11./12.10.2011 alle Protokolle bisheriger Quellen-TKÜ-Maßnahmen mit der DigiTask-Aufzeichnungseinheit unter Beteiligung der Beauftragten für den Datenschutz sowie für die IT-Sicherheit im BKA auf Plausibilität kontrolliert hat.Äh, auf … Plausibilität?! So Pi mal Daumen oder wie? Geschaut, dass keine Logeinträge von Freitag nachmittag kommen, weil da die Beamten auf dem Heimweg sind? Oder wie habe ich mir das vorzustellen? Wenig überraschend haben sie nichts gefunden:
Im Ergebnis konnten keine Hinweise festgestellt werden, dass im BKA eine Software eingesetzt wird, die über die rechtlich zulässigen Grenzen der Quellen-TKÜ hinausgeht und dass im Rahmen der bisher erfolgreich durchgeführten Quellen-TKÜ-Maßnahmen unzulässige Daten ausgeleitet werden.Natürlich nicht. Anhand einer "Plausibilitätsprüfung" der Logdateien kann man sowas ja auch nicht beurteilen.
Auf Seite 11 gibt es dann noch die Ausrede, wieso der Proxy in den USA steht. Achtung: fest sitzen bei der Lektüre:
Der Grund für diese Verschleierung ist kriminalistischer Natur. Skype selbst nimmt beim Start automatisch Kontakt mit einem Server in den USA auf. Für den versierten User sollte durch die Quellen-TKÜ- Software kein anderer Eindruck entstehen.m(
Halt, einen hab ich noch. Wie das BKA prüft. Ihr sitzt hoffentlich weiterhin fest:
Das BKA testet die bestellte Software mit Hilfe eines sogen. Positivtests, der der Funktionalitäten der Software und die Reaktion der vom Zielsystem eingesetzten Sicherheitssoftware (Virenscanner, Firewall) prüft. Die Maßnahme wird als einsatzfähig betrachtet, wenn die bestellten Funktionalitäten vorhanden sind, und die Sicherheitssoftware keine Warnungen produziert.Selbstverständlich sind so keinerlei Aussagen über eventuell zusätzlich vorhandene Funktionalität treffbar.
Update: Oh und natürlich ist der Paragraph mit den abgebrochenen Einsätzen auch gleichzeitig das Eingeständnis, dass ihre angeblich ganz andere Version des Trojaners das selbe schlechte Protokoll einsetzt und damit so verschieden nicht sein kann.
Update: Weil ich jetzt mehrfach darum gebeten wurde, hier nochmal explizit die letzte Zeile aus dem PDF:
Glauben Sie mir, meine Mitarbeiter verstehen das nicht!
Daran zweifelten wir auch keine Sekunde, Herr Ziercke!
Die Hacker des Chaos Computer Club haben unwiderleglich gezeigt, dass der Staat die Kontrolle über einen mehrfach eingesetzten Staatstrojaner verloren hat. Hätte er es nicht, wäre das, was in Bayern in einen Laptop eingebaut wurde, ein bewusster Verstoß gegen das Grundgesetz. Das wollte eigentlich niemand glauben. Aber seitdem der CSU-Politiker redet, wie er redet, wachsen die Zweifel.Heute ist ja im Bundestag Götterdämmerung, äh, Innenausschuss, aber natürlich gibt es von dort keine Liveübertragung. Wo kämen wir da auch hin, wenn das Volk Einblick bekäme.
Aber zurück zu Schirrmacher. Hier ist noch ein wunderbares Zitat:
Politiker des digitalen Zeitalters müssen endlich erkennen, dass der Verlust der Kontrolle die Regel kommunikativen und politischen Handelns sein wird, so lange das Verständnis der Software quasi-magisch bleibt und die Institutionen im zwanzigsten Jahrhundert steckenbleiben.Und dann fordert Schirrmacher (endlich!) die Umkehrung der Beweislast beim Richtervorbehalt:
Eines dieser Verfahren ist die Umkehrung der Beweislast beim Richtervorbehalt. Bisher ist es für einen Richter einfacher, einer Überwachungsmaßnahme zuzustimmen, als sie abzulehnen.YES!!!! Wie lange schreibe ich das schon? Seit Jahren. Ich weiß gar nicht mehr, seit wann genau. Und jetzt kommt das in der Print-Presse an! Ich bin hocherfreut und hoffe, dass das Schule macht!
Update: Der Innenausschuss wird nicht übertragen, aber jetzt läuft gerade live auf Phoenix die Befragung der Bundesregierung. Da scheint die Strategie zu sein, die 45 Minuten mit belanglosem Filibuster-Müll zu füllen, damit am Ende keine Zeit für den Trojaner übrig bleibt. Es ist auch auffallend leer dort. Ab 13:45 geht es mit dem Trojanerkram los.
Update: Hier steht, dass es erst ab 15:45 mit dem Trojaner losgeht. WTF?
Analog hier jetzt: nur eine handvoll Trojanereinsätze bekannt. Das Dutzend Trojanereinsätze ist ja wohl kaum der Rede wert, wir reden hier schließlich bloß von 20 Trojanereinsätzen, und wer kann bei nur 40 Trojanereinsätzen schon von einem Problem reden, das waren ja bloß 100!
Und zweitens kommt in dem Artikel noch dieses Highlight:
FDP-Generalsekretär Christian Lindner sagte nach einem Treffen mit CCC-Mitgliedern, die schlimmsten Befürchtungen hätten sich bestätigt. Es gehe um eine Software, die "vergleichbar mit einer Hausdurchsuchung" sei, bei der "hinterher die Wohnungstür offen bleibe".Das ist ein ausgezeichneter Talking Point, den könnten die Piraten auch gleich mal notieren, denn Hausdurchsuchungen, bei denen sie die Tür eintreten, die gibt es ja auch immer wieder, und dann sitzt man auch in einer Wohnung ohne Tür. Da müsste auch mal jemand was tun. Eine … Partei am besten. Überhaupt müsste man bei der Strafprozessordnung mal ein paar Dinge modernisieren.
Na kommt, Freunde, da geht noch was.
Falls unter meinen Lesern begabte Grafiker sind…: jetzt wäre eure Gelegenheit, eine coole Visualisierung zu basteln :-)
Update: Hessen gesteht in Form eines verkackten Dementis:
Zwar nutze auch Hessen die Quellen-Telekommunikations-Überwachung. Das bedeutet zum Beispiel das Abhören von Internettelefonaten oder Chats. Die Überwachung geschehe aber in Einklang mit den Gesetzen.
Ja, wie bei allen anderen auch!1!!
Update: Rheinland-Pfalz gesteht.
Update: Nordrhein-Westfalen gesteht
Update: Schleswig-Holstein gesteht.
Update: Auch Bremen ist geständig.
Update: Das Zollkriminalamt gesteht auch.
Update: Hamburg ist auch geständig.
Schaut mal hier in der Zeit. Dieses großartige Popcornkino hätten wir sonst verpasst:
Der Vorsitzende des Bundestagsinnenausschusses, Wolfgang Bosbach (CDU), sagte im Deutschlandradio Kultur: "Man darf den Behörden nicht, ohne dass man ganz konkret wird, solche massiven Vorwürfe machen." Das dürfte damit erledigt sein, da bereits ein Gericht festgestellt hat, dass der Einsatz des Bayerntrojaners illegal war.Wun-der-bar! Da kann man doch den ganzen Winter über von zehren! :-)
„Wenn sich das BKA wirklich über die geltenden Grundsätze des Grundgesetzes und das Bundesverfassungsgericht hinweggesetzt hätte, gehört die gesamte Hausspitze um Herrn Ziercke sofort auf den Mond geschossen - und zwar ohne Rückfahrticket“
Es ist mir eine besondere Freude, heute auf diese Presseerklärung des CCC zu verlinken. Denn dem CCC sind tatsächlich Trojaner zugespielt worden, von denen wir nach eingehender Analyse glauben, dass es sich um "Quellen-TKÜ" handelt. Und die Ergebnisse der Analyse sind ernüchternd.
Von den ganzen Zusagen nach dem Bundestrojaner-Urteil des Verfassungsgericht ist nichts übrig geblieben. Es hieß, der Quellen-TKÜ-Trojaner sei was gaaaaanz anderes als der Bundestrojaner für die "Online-Durchsuchung" und könne gar keine fiesen Dinge tun, nur Skype abhören und so. Tatsächlich aber hat der Trojaner eine Nachladefunktion für beliebige zusätzlich Malware. Es hieß, alle Versionen werden für den speziellen Fall manuell entwickelt, aber in der Realität sind die Trojaner nicht nur sehr ähnlich, sie verwenden auch denselben hartkodierten AES-Schlüssel für die Absicherung der C&C-Verbindung. Und wenn ich AES sage, meine ich AES im ECB-Modus, und es wird nur in eine Richtung verschlüsselt. Und der Schlüssel ist wie gesagt hartkodiert. Die Richtung mit Verschlüsselung ist der Antwortkanal des Trojaners. Der Kanal, über den man zusätzliche Malware nachladen kann, ist gänzlich ungesichert. Integritätsprüfung (digitale Signatur, HMAC o.ä.) oder gar kryptographische Authentisierung gibt es gar nicht.
Oh und Teil des Trojaners ist ein Kernelmodul, allerdings ohne Tarnfunktion (das war wohl zu kompliziert) sondern nur mit Keylogger. Das Kernelmodul stellt Operationen wie "leg mal ne Datei unter diesem Pfad an" oder "schreibe das hier in die Registry" zur Verfügung, und die Keylogger-Funktionalität ist deaktiviert — der Code ist aber noch erreichbar, und dank dilettantischer Anfängerfehler im Rest des Kernelmoduls kann man ihn trotzdem aktivieren und benutzen.
Wenn dieser Trojaner auf einem Rechner installiert ist, steht der danach für jeden offen wie ein Scheunentor, ganz ohne dass man einen Exploit bräuchte. Man muss nur anklopfen und den Trojaner freundlich bitten. Und das Kernelmodul räumt allen lokalen Benutzern Adminrechte an. "Scheunentor" ist zu kurz gegriffen, um das katastrophale Sicherheitsniveau dieser Software zu beschreiben. Die CCC-Reverser dachten erst an einen besonders gewieften Tarnungs-Trick, als sie für AES nur den Verschlüsselungscode fanden und nicht den Entschlüsselungscode.
Der CCC hat für die Scheunentor-API des Trojaners ein GUI geschrieben, das wir mal in einem kurzen Video vorstellen werden. Die Antivirenhersteller haben inzwischen Kopien des Trojaners erhalten und sollten ihn ab morgen früh erkennen und entfernen können, zumal keine Rootkit-übliche Tarnfunktionalität in dem Kernelmodul implementiert war. Aber macht euch keine Sorgen, wir haben den Behörden rechtzeitig Bescheid gegeben, dass sie noch schnell den Selbstzerstörungsknopf drücken können.
Oh, und, ganz wichtig noch, falls ihr ein Andenken haben wollt: die FAZ hat dazu eine Meldung gemacht und wird dem Thema in der FAS-Ausgabe morgen mehrere Seiten widmen. Und zwar, wie ich hörte, inklusive Auszügen aus dem Disassemblat. Wer also die erste Print-Tageszeitung haben will, in der Quellcode von Malware abgedruckt ist, sollte sich morgen eine FAS sichern. Oder halt online lesen, aber das ist ja nicht das gleiche in dem Fall :) Ein Listing-Service in der FAZ, wie damals bei der "DOS International"!
Update: Die Zeit ist auch im Boot.
Update: Erstaunlicherweise ist der C&C-Server immer noch online, und mir erzählt gerade jemand, dass da ein Plesk von 2009 drauf läuft. Die BESTEN der BESTEN der BESTEN, SIR!
Falls sich jetzt jemand wundert, wieso ich die FAZ so plugge: Schirrmacher (Herausgeber) hat einen Leitartikel zum Thema geschrieben, und da hält er das Flammenschwert der Gerechtigkeit in den Händen und kloppt auf genau die richtigen Stellen. Er schreibt nicht nur, dass so ein Trojaner ja grundsätzlich immer alles kann, sondern zeigt auch auf die Nonnenmacher-Geschichte mit den zu Diskreditierungszwecken hinterlegten Kinderpornobildern und spricht in der Kontext von "der neuen Vernichtungsstrategie in der digitalen Welt". Und dann spricht er das Offensichtliche gelassen aus:
In Zeiten einer „Piratenpartei“ kann der Fund des Chaos Computer Clubs die politische Geographie nachhaltig ändern.
So sieht das aus. Ich bin mir sicher, dass da dem politischen Establishment gerade mit Nachdruck der Arsch auf Grundeis geht. Es freut mich sehr, solche Gedankengänge in den etablierten Leitmedien zu lesen. Nicht mehr nur in Verschwörungsblogs wie dem meinen.
Update: Wenn ich schon am erzählen bin, kann ich ja auch noch ein bisschen mehr plaudern. Der eine oder andere wird sich vielleicht gedacht haben, hey, so ein Trojaner, das ist ein komplexes Stück Software, das schaffen die doch bestimmt nicht ohne Plagiieren von Open Source, da ist doch bestimmt noch ne GPL-Verletzung zu haben. Nicht GPL, aber Speex haben wir gefunden, und die Lizenz wurde verletzt. Ich hörte, ein Anwalt sei schon unterwegs.
Update: Das ehemalige Nachrichtenmagazin hat immer noch keine Meldung. Vor zwei drei Stunden ging die dpa-Meldung raus. Nichts. Wow. Da scheint mir die personelle Nähe zu den Geheimdiensten noch ausgeprägter zu sein als bisher angenommen. "Sturmgeschütz der Demokratie", dass ich nicht lache.
Update: Heise, ZDF Heute, Tagesschau, Golem, Gulli aber immer noch nichts bei Spon. Und auf Twitter musste sich ZDF Heute schon anpupen lassen, wieso sie in ihrer Nachtsendung nichts gebracht haben :-)
Update: Jetzt hat auch Spon was, und sie greifen bei den Zitaten in die Vollen, erwähnen sogar explizit den Wirtschaftsspionageaspekt bei der Durchleitung durch die USA. Inzwischen ist die Geschichte auch in Österreich angekommen und sogar sogar in den USA berichten erste Blogs. Oh und sogar die "Bild" war schneller als Spon. Oh und fürs Archiv solltet ihr euch zum Vergleich auch nochmal die BMI-FAQ zum Bundestrojaner durchlesen, mit Statements wie
Die Datenübertragung wird derart verschlüsselt erfolgen, dass der Zugriff Dritter hierauf ausgeschlossen ist und die übermittelten Daten durch hohe Datenschutzstandards geschützt sind.
Update: Jetzt hat das ehemalige Nachrichtenmagazin noch einen richtigen Artikel nachgelegt und damit sogar den Vetter von der Pole Position verdrängt.
Wie kommt es? Nun, ich denke, die haben ihr Umfeld fertig. Eine Packung Fake-Terroristen mit Fake-Daten auf ihren Fake-Festplatten, und es fehlt nur noch der Trojaner, um damit ein Blutbad abzuwenden. Es wird sich wahrscheinlich um fake-ausländische Fake-Islamisten handeln, die durch die porösen Grenzen eingewandert sind, damit die CSU auch gleich ihre barbarische Ausländerhetzpolitik untermauern kann. Ich würde sogar vermuten, dass sie die Fake-Auswertung der Fake-Daten schon fertig haben, damit sie die Fake-Ergebnisse noch vor dem Verfassungsgerichtsurteil präsentieren können. Nun, wir werden sehen.