Der Bundestrojaner ist angekommen

[zeno]

Im Zusammenhang mit dem Bundestrojaner, wenn man die veröffentlichen Installationsmethoden durch Einbruch oder Fake-E-Mail aussen vor lässt, ist es interessant das das DE-CIX letztes Jahr Force10 Switches gekauft hat. Okay, man kann sagen, die sind groß am Markt vertreten in der Liga. Sie bringen gute Sicherheitsmechanismen mit. Und das ist doch nicht schlecht bei nem Knotenpunkt wo ein Großteil des Deutschen Internetverkehrs drüber läuft. Aber die Dinger haben ein lustiges Feature, Echtzeit Paketmanipulation. Jetzt brauchen wir noch vom Terroristen die IP, dann kriegen wir raus welches OS in welcher Version er benutzt und welchen Browser. Dann suchen wir uns nen passenden Exploit, manipulieren die Pakte die an ihn gehen und sorgen dann dafür das sich sein Rechner unsere Remote Forensics Software lädt. Und tada, wir mussten nichtmal einbrechen. Viel weniger Arbeitsaufwand, automatisiert wohlmöglich.
So, genug Verschwörungstheorie von mir für heute.

 

[MacMark]

Der Updatemechanismus von OS X prüft die Unverändertheit der Downloads anhand einer Prüfsumme.
http://docs.info.apple.com/article.html?artnum=25490

 

[JGmerek]

Und zur Beruhigung, weils immer wieder aufkommt:
Die Idee, dass flæchendeckend ueberwacht werden sollte, bræuchte zur Umsetzung z.B. auch mehrere extra Sitzungswochen des Bundestages, in denen das Parlament (und damit die Øffentlichkeit) ueber jeder Fall einzelnd informiert werden muesste... :-D

Hallo,

naja, in dem bisherigen Entwurf ist keine direkte Parlamentskontrolle vorgesehen. Nur eine indirekte, über die alljährlichen statistischen Angaben, die hinsichtlich zahlreicher Gesichtspunkte in der Strafverfolgung erhoben werden.

Zur Zeit ist es ja geplant, die Online-Überwachung sogar ohne richterliche Kontrolle durchzuführen, wie sich aus der bereits oben genannten Quelle ergibt. Es bleibt zwar zu bezweifeln, dass dies so Gesetz wird, weil auch nicht zuletzt das Bundesverfassungsgericht noch ein Wörtchen mitzureden hat und wir auch einen sehr sensibilisierten Bundespräsidenten haben, der ein solches Gesetz wahrscheinlich gar nicht erst ausfertigen würde, aber auch hier gilt: Wehret den Anfängen!

Meiner Meinung nach stellen zur Zeit unsere eigenen Politiker die größte Gefahr für unsere Verfassung dar. Es ist schon erstaunlich, dass ein Minister, der einen Amtseid auf unser Grundgesetz leisten musste, es wagt dieses in seiner Substanz derart anzugreifen und die darin enthaltenen Grundrechte mit Füßen zu treten.

Wenn sich jetzt die Politiker hinstellen, man müsse abwägen, die Einschränkungen der Grundrechte gegen den Schutz vor der terroristischen Bedrohung, so ist hier zu erwiedern, dass das Bundesverfassungsgericht in der oben zitierten Entscheidung den Schutz der intimen Privatsphäre der Menschenwürde gleichgesetzt hat. Das bedeutet, dass eine Abwägung nicht stattfinden kann. Die Menschenwürde ist absolut.

Mit dieser Beurteilung verkennt der BGH die Reichweite der Menschenwürde als Schranke der Meinungsfreiheit im Wettbewerbsrecht. Die Menschenwürde gilt absolut und ist mit keinem Einzelgrundrecht abwägungsfähig. Die Grundrechte sind insgesamt Konkretisierungen des Prinzips der Menschenwürde.

Quelle

Das bedeutet, durch die Gleichsetzung der intimen Privatsspäre mit der Menschenwürde gibt es per Definition kein Argument, welches es rechtfertigen würde, diese einzuschränken, ob man jetzt einfach nur überwachen will oder es dem speziellen Schutz vor Terroristen dienen soll.

Nur meine Meinung
Jens

 

[MacMark]

Überschüttet bitte den JGmerek mit positivem Karma!

 

[Blixten]

Ich weiss, wie schwer es ist, Nachrichten, dazu noch solche mit passendem Inhalt, wieder aus dem Netz zu bekommen, aber ich versuch's trotzdem mal:

Zur Zeit ist es ja geplant, die Online-Überwachung sogar ohne richterliche Kontrolle durchzuführen, wie sich aus der bereits oben genannten Quelle ergibt.

Das stimmt nicht.
Laut dem vom CCC verøffentlichtem pdf des Gesetzestextes ist ein Richter vorgesehen:

Maßnahmen nach Absatz 1 dürfen nur auf Antrag des Präsidenten des Bundeskriminalamtes oder seines Vertreters durch das Gericht angeordnet werden. Bei Gefahr im Verzuge kann die Anordnung durch den Präsidenten des Bundeskriminalamtes oder seinen Vertreter getroffen werden. In diesem Fall ist die gerichtliche Entscheidung unverzüglich nachzuholen. Soweit diese Anordnung nicht binnen drei Tagen durch das Gericht bestätigt wird, tritt sie außer Kraft.

Der CCC fasst den Text aber falsch/verkuerzt zusammen mit

Dem Chaos Computer Club liegt ein anonym zugespielter Entwurf des neuen BKA-Gesetzes vor. Darin ist u. a. vorgesehen, dass der Einsatz des Bundestrojaners auch ohne die Genehmigung eines Richters erfolgen soll

Der CCC, sowie alle nachfolgenden Medien beziehen sich, bei wohlwollender Deutung, wohl auf die 3 Tage bei Gefahr im Verzug.
Das ist nichts besonderes und aus anderen Ueberwachungsgesetzen bekannt; bei Gefahr im Verzug kann die Polizei sogat erst mal ohne Durchsuchungsbeschluss in eine Wohnung eindringen. Den Beschluss hat sie dann umgehend, d.h. ohne schuldhaftes Zøgern nachzuholen.
In dem verlinkten Spiegel-Online Artikel wird dann weiter verkuerzt:
SPON bezieht sich darin auf einen Artikel in der Berliner Zeitung (der sich mutmasslich auf den CCC Text bezieht). Die Berliner Zeitung schreibt:

Demnach soll das BKA für begrenzte Zeit auch ohne richterliche Genehmigung Online-Durchsuchungen durchführen dürfen.[...]Das novellierte BKA-Gesetz, das demnächst im Bundeskabinett behandelt wird, sieht vor, dass es dem BKA-Chef und seinem Stellvertreter künftig erlaubt ist, bei "Gefahr im Verzuge" den Zugriff auf fremde Computer anzuweisen, bevor ein Gericht angerufen wird. Erst wenn nach maximal drei Tagen keine richterliche Bestätigung vorliegt, muss die Maßnahme abgebrochen werden

Der von anderen Ueberwachungsmassnahmen wohlbekannte Passus also, den SPON allerdings unter der Ueberschrift

Schäuble will Online-Razzien auch ohne Richtererlaubnis

zusammenfasst, die dann durchs Internet geht...

 

[JGmerek]

Hallo,

an dieser Stelle möchte ich hier noch einmal den fraglichen Passus des Entwurfes wiedergeben:

§ 20k Heimlicher [/Verdeckter] Zugriff auf informationstechnische Systeme

(1) Das Bundeskriminalamt darf ohne Wissen des Betroffenen durch den automatisierten Einsatz technischer Mittel aus informationstechnischen Systemen Daten erheben, soweit die Abwehr der dringenden Gefahr oder die Verhütung von Straftaten gemäß § 4a Abs. 1 Satz 2 auf andere Weise aussichtslos ist oder wesentlich erschwert wäre. Die Maßnahme darf sich richten gegen:
1. den entsprechend § 17 oder § 18 des Bundespolizeigesetzes Verantwortlichen,
2. eine Person, die für den Verantwortlichen bestimmte oder von diesem herrührende Informationen entgegennimmt oder weitergibt, oder
3. eine Person, deren informationstechnisches System ein Verantwortlicher nutzt.
Die Maßnahme darf auch durchgeführt werden, wenn andere Personen unvermeidbar betroffen werden.

(2) Maßnahmen nach Absatz 1 dürfen nur auf Antrag des Präsidenten des Bundeskriminalamtes oder seines Vertreters durch das Gericht angeordnet werden. Bei Gefahr im Verzuge kann die Anordnung durch den Präsidenten des Bundeskriminalamtes oder seinen Vertreter getroffen werden. In diesem Fall ist die gerichtliche Entscheidung unverzüglich nachzuholen. Soweit diese Anordnung nicht binnen drei Tagen durch das Gericht bestätigt wird, tritt sie außer Kraft.

[(2a) Bei der Maßnahme darf das Bundeskriminalamt nur Suchbegriffe verwenden, die zur Abwehr der in Absatz 1 genannten Gefahr bestimmt und geeignet sind.]

(3) Die Anordnung ergeht schriftlich. In Ihr sind anzugeben:
1. soweit möglich, der Name und die Anschrift des Betroffenen, gegen den sich die Maßnahme richtet,
2. eine möglichst genaue Bezeichnun des informationstechnischen Systems, auf das zugegriffen werden soll,
[2a. die Suchbgeriffe und 3. Art, Umfang und Dauer der Maßnahme.
[Die Anordnung ist auf höchstens drei Monate zu befristen. Eine Verlängerung um jeweils nicht mehr als drei Monate ist zulässig, soweit die in Absatz 1 und § 20v Abs. 2 bezeichneten Voraussetzungen unter Berücksichtigung der gewonnenen Erkenntnisse fortbestehen. Liegen die Voraussetzungen der Anordnung nicht mehr vor, sind die auf Grund der Anordnung ergriffenen Maßnahmen unverzüglich zu beenden. ]]]

Quelle

Blixten hat hier Recht, die Presse hat den Inhalt dieses Entwurfes nicht ganz korrkt wiedergegeben. Ein Richtervorbehalt ist vorgesehen. Dieser enthält aber eine sehr interessante Einschränkung.

Die wichtige Passage, die wohl auch Grund der Pressemeldungen war, ist hervorgehoben. Sie bedeutet, dass das BKA bei "Gefahr im Verzug" (Dies ist ein juristischer Begriff, den das BKA selbst auslegt und bestimmt, ob dessen Voraussetzungen gegeben sind.) drei Tage lang keinen richtelichen Beschluss braucht. Angesichts dessen, dass es einen Notdienst bei den Gerichten gibt, die einen Ermittlungsrichter sieben Tage die Woche, 24 Stunden am Tag in Bereitschaft halten, sind drei Tage eine lange Zeit. Darüber hinaus tritt die Anordnung nach den drei Tagen außer Kraft, falls es das BKA nicht geschafft hat, die Angelegenheit einem Richter vorzulegen. Sie wird nicht etwa unwirksam. Das heißt aber wiederum, dass alle Daten, die das BKA in den drei Tagen gesammelt hat, durch dieses auch verarbeitet werden dürfen. An dieser Stelle hat der Betroffe keine Kenntnis von der Maßnahme: Er kann sie daher nicht auf seine Rechtmäßigkeit überprüfen lassen.

Nur meine Meinung.
Liebe Grüße
Jens

 

[Blixten]

Die wichtige Passage, die wohl auch Grund der Pressemeldungen war, ist hervorgehoben. Sie bedeutet, dass das BKA bei "Gefahr im Verzug" [...] drei Tage lang keinen richtelichen Beschluss braucht. Angesichts dessen, dass es einen Notdienst bei den Gerichten gibt, die einen Ermittlungsrichter sieben Tage die Woche, 24 Stunden am Tag in Bereitschaft halten, sind drei Tage eine lange Zeit.

Nein, es ist nicht so, dass das BKA generell 3 Tage keinen Beschluss braucht.
Wie im Gesetz geschrieben ist dieser unverzueglich nachzuholen. Wenn es also einen gerichtlichen Notdienst gibt, den das BKA in Anspruch nehmen kann, dann muessen sie es tun, so schnell wie møglich.
Da es diese Passage ja ein Textbaustein aus anderen Ueberwachungsgesetzen ist, gibt es damit auch schon Erfahrungen. "Unverzueglich" bedeutet hier "ohne schuldhaftes Zögern".

Das die Ermitlungsbehørsen im ersten Ansatz selbst bestimmen, ob Gefahr im Verzug vorliegt, ist natuerlich ein Problem, zu dem ich allerdings keine Alternative sehe.

 

[MacMark]

Selbst mit Richterbeschluß ist es ein unzulässiger Eingriff in die Privatsphäre, die Grundrechte und gegen das Grundgesetz und damit Unrecht. Die Nazis hatten auch ganz toll viele Richterbeschlüsse und die DDR auch. Es war trotzdem Unrecht.

 

[JGmerek]

Hallo,

naja, das mit der unverzüglichen Nachholung der richterlichen Entscheidung ist so eine Sache. Hier mal ein Beispiel das vor dem Bundesverfassungsgricht gelandet ist.

Entscheidung des BVerfG

Richtig interessant wird es ab Absatz 16. Eigentlich soll die nachträgliche Einholung der richterlichen Entscheidung ja die Ausnahme bilden. Die hier angesprochenen Ermittler schienen es aber genau umgekeht zu sehen.

Den angefertigten Vermerken ist nicht einmal zu entnehmen, ob sich die handelnden Polizeibeamten bewusst waren, vom Regelfall einer vorherigen richterlichen Prüfung der Durchsuchungsvoraussetzungen abzuweichen.

Für die war das eben nicht, wie vom Gesetzgeber vorgesehen, die Ausnahme, sondern Business as usual.

Das perfide an dieser Sache ist, dass sie überhaupt bis zum BVerfG ging. Schon zwei Instanzen haben den dort verzapften Schwachsinn einfach durchgewunken. Dementsprechend deutlich war dann auch das BVerfG

Amts- und Landgericht haben verkannt, dass die Durchsuchungsanordnung der Wohnung des Beschwerdeführers diesen Anforderungen nicht entsprach.

Mit anderen Worten "Sie waren zu blö....." hmmm.

Diese Entscheidung ist aber nicht die einzige. Es gibt eine ganze Reihe davon. Es ist daher nicht davon auszugehen, dass sich die Ermittler von solchen "Kleinigkeiten" wie unverzügliches Nachholen von richterlichen Entscheidungen beirren lassen.

Ein uneingeschränkter Richtervorbehalt wäre auf jeden Fall eine höhere Hürde, denn dann wüssten die Ermittler, dass wenn Sie sich nicht an Ihre Regeln hielten, die Arbeit auf jeden Fall umsonst war und eine nachträgliche Konstruktion einer "Gefahr im Verzug" sie nicht mehr retten würde.

Nur meine Meinung
Liebe Grüße
Jens

 

[Blixten]

Ein uneingeschränkter Richtervorbehalt wäre auf jeden Fall eine höhere Hürde, denn dann wüssten die Ermittler, dass wenn Sie sich nicht an Ihre Regeln hielten, die Arbeit auf jeden Fall umsonst war und eine nachträgliche Konstruktion einer "Gefahr im Verzug" sie nicht mehr retten würde.

Das stimmt.
Gegen Inkompetenz ist kein Berufsstand gefeit, natuerlich auch nicht Polizisten. Von daher ist insbesondere den niedrigeren Gerichten der Vorwurf zu machen, das nicht erkannt zu haben.
Eine Aufgabe der Passage zu "Gefahr im Verzug" hætte natuerlich den Nachteil, bei tatsæchlich unmittelbarer Gefahr nicht handeln zu kønnen.

Bei der Rechnerueberwachung kommt, zumindest nach dem bekannten Gesetzentwurf, noch hinzu, dass nur der Præsident des BKA, bzw. dessen Vertreter sie anordnen duerfen. Beiden traue ich zu, die Gesetzeslage zu kennen.

Nichts desto trotz halte ich die Wahrscheinlichkeit, hier bei Gefahr im Verzug noch handeln zu kønnen fuer sehr beschrænkt, gerade wenn die entsprechende Software angepasst werden muss.
Hier sind wir einer Meinung, man sollte auf den Passus verzichten.

Auch diese Diskussion gewinnt daran, wenn wir sie ohne Totschlagargumente fuehren. Erst (in den Karmakommentaren) mein fehlender Verstand, dann meine vermeindliche Nationalitæt, dann mein Wohort, dann die Stasi- und Nazikeule. Das sind alles keine Argumente und das fuehrt in der Diskussion auch nicht weiter.

 

[MacMark]

Möchtest Du vielleicht mal überprüfen, ob ich jemals in irgendeinem Form schon mal das Wort Nazi oder Stasi verwendet habe? Es war hier das erste Mal und das mit Absicht, weil es die Wahrheit verdeutlicht. Das als "Totschlagargument" abzutun, ist perfid und wird nicht von mir geduldet.

Und Dein Wohnort außerhalb Deuschlands erspart Dir definitiv die negativen Folgen des rechtlichen Katastrophen-Zustandes, den Deine Pro-Argumente herbeiführen möchten. Du mußt die Suppe nicht auslöffeln, die Du uns einbrockst. Da kann man fein reden. Du bist ja fein raus da oben. Und darum traue ich Dir nicht die Bohne.

 

[nggalai]

Ich bin in sofern an der ganzen Problematik interessiert, daß die Schweiz sich in Sachen „Internet“ gerne an Deutschland orientiert und ich das halbe Jahr eh in Deutschland bin.

Daher danke für die doch zahlreichen, interessanten Postings in diesem Thread.

Persönlich stehe ich der Entwicklung recht skeptisch gegenüber. Ich kann verstehen, daß die Behörden gerne weiterreichende Mittel bei der Verbrechensbekämpfung hätten, aber zu welchem Preis? An eine breite „Abhöraktion“ der deutschen Computer-Benutzer glaube ich allerdings nicht. Dazu fehlt wohl auch die nötige Arbeitskraft / Manpower. Immerhin muß auch irgendwer die Ergebnisse des „Bundestrojaners“*auswerten können …

Cheers,
-Sascha

P. S. Ich sehe gerade, daß die OS X-Rechtschreibkorrektur bei mir „Bundestrojaner“*nicht einmal als falsch unterwellt. Schon infiziert?

 

[zeno]

Ich dacht in Sachen Onlineüberwachung seit ihr uns schon n Stück voraus

 

[Leonardo]

Wenn man sich jetzt noch den Fall Andrej H. vor Augen führt, der Aufgrund eines Bibliotheksausweises, dem Intellekt zur Abfassung von Aufsätzen und leider den falschen Verweisen auf Google-Suchen in Untersuchungshaft saß (wie ist es eigentlich letzten Endes ausgegangen?) graust es mir ganz furchtbar.

Dieses Vorgehen eines Inhaftierens aufgrund zweifelhafter Indizien zusammen mit den Stichworten aus meinen Textdateien auf meiner Festplatte... Byebye. Ich mochte euch wirklich gern. Wie sehen uns in Sing Sing.

Hier ein paar Zeitungsartikel zum Thema Andrej H.: Süddeutsche, ZEIT, ZEIT Interview, Heise.de (über Google)

 

[MacMark]

Video: Richling als Schäuble über Überwachung und Bürger und Terror
http://youtube.com/watch?v=bfCfojpEj20

Verwandtes Thema: Der Bürger als Feind und das "störende" Grundgesetz
http://youtube.com/watch?v=tSKqqg9Qy7s

 

[guy_incognito]

Wenn man sich jetzt noch den Fall Andrej H. vor Augen führt, der Aufgrund eines Bibliotheksausweises, dem Intellekt zur Abfassung von Aufsätzen und leider den falschen Verweisen auf Google-Suchen in Untersuchungshaft saß (wie ist es eigentlich letzten Endes ausgegangen?) graust es mir ganz furchtbar.

Dieses Vorgehen eines Inhaftierens aufgrund zweifelhafter Indizien zusammen mit den Stichworten aus meinen Textdateien auf meiner Festplatte... Byebye. Ich mochte euch wirklich gern. Wie sehen uns in Sing Sing.

Hier ein paar Zeitungsartikel zum Thema Andrej H.: Süddeutsche, ZEIT, ZEIT Interview, Heise.de (über Google)

Die haben den Andrej H. doch nur aus der Haft entlassen; die Beschuldigungen (also Intellekt, Bibliothekszugang, terroristischersoziologisch-geographischer Fachwortschatz, Kontakt zu potentiellen Terroristen, linksorientiert etc.) sind immer noch da. Mal schauen, was da noch passiert.

Also: Alle zur Selbstanzeige! Dann hat man wenigstens eine vernünftige terroristische (Verdächtigten-)Vereinigung von ein paar Hunderttausend oder Millionen Intellektuellen. Könnte man dann ja noch einen e.V. gründen oder so ...

 

[Hallo]

Ungeachtet der rechtlichen Grundlage einer solchen Abhörmaßnahme - da stimme ich absolut JGmerek und MacMark zu stellen sich mir doch die Frage wie so etwas realistisch aussehen soll und wen es wirklich ausspioniert.
Stellt man sich vor, dass es dem BKA wirklich gelingt einen Trojaner zu basteln müsste dieser ja für jedes Betriebssystem unterschiedlich ausgelegt sein. Ich kann mir kaum vorstellen das das BKA einen solchen Aufwand betreiben kann - habe sie ja noch nicht einmal die Mittel sich selbst nicht abhörbar zu machen (Digitalfunk) und halten die Beamten an, in wichtigen Einsätzen die privaten Mobiltelefone zu benutzen!

Ok, nehmen wir an, es gibt diesen Trojaner z.B. Auch meinetwegen für alle OS.

1. Das erste was es geben wird (für Leute die sich damit beschäftigen) ist eine Suchsoftware die diesen wieder entfernt.
2. Wird es die nicht geben, sind zumindest die kriminellen gewarnt und richten ihr Verhalten dahingehend aus. Man braucht ja z.B. nur den Rechner vom Netz zu trennen, das Email PGP verschlüsselt zu schreiben, den Rechner wieder ans Netz zu nehmen und dann die Email verschlüsselt zu senden.
3. Kriminelle werden meiner Meinung nach auf jeden Fall eine geeignete Maßnahme ergreifen, das BKA wieder auszutricksen.

Wen trifft es denn wirklich. Es trifft letztendlich wirklich die Masse der "normalen" Bürger, die sich nicht sonderlich um ihren Rechner bemühen und sich kleiner Schuld bewusst sind und damit auch nicht daran denken, sich darum zu kümmern.
Ich glaube vielen ist gar nicht bewusst, welch perfides Potential in einer solchen Durchleuchtung der Bürger liegt.
Durch die große Verbreitung des Emailverkehrs wäre es so, als ob ich früher alle Briefe geöffnet und gelesen hätte.
Die Vorstellung, wie gläsern gerade der "normale" Bürger dadurch werden kann ist unvorstellbar. Man kann z.B. anhand der Masse der Daten eine politische Stimmung im Land eruieren. Man kann fast jegliches Verhalten vieler Bürger ausspionieren. Man kann sein Parteiprogramm daran anpassen etc.
Man muss sich nur einmal vorstellen, dass kriminelle die Daten des Trojaners ebenfalls lesen könnten.

Das Potential gerade die normalen Bürger damit zu überwachen ist mit einer solchen Maßnahme unermesslich.

Das jedoch wofür es wieder einmal verkauft wird, dafür wird es meiner Ansicht nach am wenigsten nützen.

 

[Crunshinut]

Signed. Ich versende demnächst meine Korrespondenz nur noch mit Siegel per Kurier...

 

[MaChris]

... auch mal eine interessante Aussage (PDF-inside) zum Thema aus Sicht eines AV-Herstellers.

 

[MacMark]

Signed. Ich versende demnächst meine Korrespondenz nur noch mit Siegel per Kurier...

Das ist kein Problem:
http://www.apfeltalk.de/forum/verwendest-email-verschluesselung-t70846.html