Der Bayerntrojaner illegal im Einsatz (Update)

Ab und an muss man am Flughafen zur Spengstoffkontrolle. Ich kannte das gar nicht, bis ich einmal in Stuttgart am Security-Check stand und mir ein Wachmann in breitestem Schwäbisch den Begriff an den Kopf knallte und ich erstmal nicht verstand, was er überhaupt wollte. Er war dann schnell sauer und ich erklärte das mit fehlenden Schwäbisch-Kenntnissen, außerdem kannte ich das Procedere einfach nicht und war verwundert, überhaupt Opfer davon in einem leeren Flughafen auf einer innerdeutschen Reise zu werden. Falls einem das in München oder anderswo in Bayern passiert, sollte man aufpassen und ja drauf achten, dass man bei der Kontrolle auch dabei ist. Spiegel-Online berichtet über genau so einen Fall, wo dabei einfach ein Trojaner auf den Rechner kopiert wurde, der dann fortan bei jeder Internetverbindung alle 30 Sekunden einen Screenshot des aktuellen Desktops an das LKA Bayern mailte. Insgesamt 60.000 Bilder wurden dabei illegal verschickt.

Konkretes Opfer war ein kaufmännische Angestellte einer Firma aus Bayern, die Psychopharmaka vertreibt. Ermittelt wurde zwar gegen die Firma, dabei handelte es sich aber nicht um „schwerster Kriminalität“ und „Terrorismus“, die immer für die Legitimation des Bundestrojaners / der Onlinedurchsuchung genannt wurden.

Anscheinend hatte das LKA auch nur einen Beschluss vom Amtsgericht Landshut für eine Quellen-TKÜ, also der Überwachung der Telekommunikations und nicht für das regelmäßige Screenshoten des Bildschirms. Bananenrepublik Bayern.

Der Fall passierte 2009. Unklar ist, ob immer noch sowas praktiziert wird. Trotzdem sollte man seinen Rechner nicht unbeaufsichtigt zur Sprengstoffkontrolle geben, sondern immer darauf bestehen, auch dabei zu sein.

Update: Frage an die mitlesenden Juristen: In den Kommentaren wurden Fälle geschildert, wo Personen von ihren Notebooks bei der Sprengstoffkontrolle getrennt wurden. Mir ist das so noch nicht passiert. Kann man in einem solchen Fall darauf bestehen, bei der Sprengstoffkontrolle dabei zu sein und sein Notebook im Auge zu behalten?

Deine Spende für digitale Freiheitsrechte

Wir berichten über aktuelle netzpolitische Entwicklungen, decken Skandale auf und stoßen Debatten an. Dabei sind wir vollkommen unabhängig. Denn unser Kampf für digitale Freiheitsrechte finanziert sich zu fast 100 Prozent aus den Spenden unserer Leser:innen.

40 Ergänzungen

  1. Hat das Ding schon jemand unter die Lupe genommen um eventuell nen Scanner dafür hacken zu können?

    Oder ist das so Stümperhaft gestrickt wie es von den „Experten“ der neuen Stasi zu erwarten war?

  2. Da würde ich doch glatt einmal eine Rechnung an die Behörden senden, dass die mir die verbrauchte Bandbreite zurück erstatten, nicht alle Menschen haben eine Flatrate…

  3. Unschön. Hoffentlich kommt nun wieder Schwung in die Debatte – die Quellen-TKÜ ist nämlich zumindest in Bayern schon längst gängige Praxis, und zwar meistens mit Amtshilfe vom Zoll – ohne dass eine klare gesetzliche Grundlage dafür gäbe.

    Die Original-Beschlüsse aus dem SPIEGEL-Artikel und eine juristische Bewertung dazu finden sich übrigens hier:

    http://ijure.org/wp/

  4. „Wenn das Programm der eigenen Leistungsbeschreibung gefolgt ist, hat es sich dort inzwischen selbst zerstört.“

    kann es nicht wenn die Kiste aus ist. Also sofort hin da und n HDD-Abbild machen um Beweise zu sichern. Funktioniert doch bei Raubmordkopierern und dergleichen auch sehr gut.

  5. ich habe damals in münchen am flughafen darauf bestanden und wollte dabei sein. es wurde mir verwehrt und ein uniformierter polizist mit maschinenpistole hat sich mir in den weg gestellt. ich bin damals von münchen nach hannover geflogen und mir wurde der laptop für ca 3 minuten „entwendet“ aufgrund eines angeblichen sprengstofftestes. das gerät wurde in einen anderen raum gebracht.
    ich habe mir damals keine weiteren gedanken gemacht da mein notebook mit truecrypt verschlüsselt war und im nicht angeschalteten zustand übergeben wurde.

    war ich da evtl zu naiv?

    1. Leider hilft Verschlüsselung recht wenig.

      Eine kleine Boot-Partition ist ja bei allen gängigen Software-Verschlüsselungs-Ansätze immer unverschlüsselt. Dort kann man nach belieben Software hinzufügen. Außerdem besteht ja immernoch die Möglichkeit von schicken Hardware-Modifikationen, um den Rechner gescheit abzuschnorcheln.

      Ja, dass setzt vorraus, dass die zusändigen Stellen schon genau wissen, um was für ein System es sich handelt, also schonmal größere Hürden.

      Ein ziemlich obskurer Ansatz ist auch http://de.wikipedia.org/wiki/Intel_vPro auszunutzen. Das ist ein Co-Prozessor, welcher in neueren Business-Laptops vorhanden ist, und DMA-Zugriff auf das RAM hat.

  6. Vor zwei Jahren in Memmingen (das ist auch Bayern) passiert:

    „Sprengstoffkontrolle“ – da wurde am Fließband mit so einem Farbstreifen am Laptop in der Hülle entlang gestrichen, dann verschwand der schweigsame Typ in Zivil und kehrte nach ca. 1 Minute zurück.

    Das Laptop blieb aber da. Wenn die also das Ding mitnehmen wollen, dann kann man davon ausgehen, dass sie was unfeines vorhaben. Kann die Empfehlung – nicht aus den Augen lassen – nur unterstützen.

  7. Jetzt könnte ja der CCC einen „Notdienst“ für die Allgemeinheit einrichten:
    Wenn jemand ein solches Zoll-Erlebnis hatte, direkt mit der Kiste zum Spezialisten, um die Festplatte zu checken(nicht jede(r) kennt sich ausreichend selbst damit aus).
    Es gibt doch bestimmt jemand, der Interesse hat, einem Bundestrojaner mal live bei der Arbeit zuzusehen…

  8. Wie einfach ist es denn für die Grenzpolizei einen solchen Trojaner zu installieren, wenn die Festplatte und das ganze System verschlüsselt sind und sie erstmal ein Passwort eingeben müssen?

  9. Naja, ich fürchte im Zweifelsfalle sitzen die netten Rambo-Verschnitte mit den Maschinengewehren da leider am längeren Hebel. Vorausgesetzt, dass man wirklich unbedingt fliegen muss :\

  10. Was mich immer so „fasziniert“: es ist illegal, wird trotzdem angewendet, bleibt für die handelnden Personen ohne Konsequenzen=selbst wenn gerichtlich festgestellt. Die Folgenlosigkeit für Ämter und Behörden ist doch geradezu ein Freifahrtschein.

  11. Das Vergnügen mit der Sprengstoffkontrolle hatte ich nun schon zum zweiten Mal, jeweils am Frankfurter Flughafen.
    Überprüft wurde meine Fototasche per Wischtest. Das Wischtuch verschwand mit dem Beamten im Nebenraum, die Tasche blieb bei beiden Fällen bei mir stehen.
    Ist schon ein komisches Gefühl beim ersten Mal, da stimme ich Dir zu.

  12. Der Fall passierte 2009. Unklar ist, ob immer noch sowas praktiziert wird.

    Ist das ernst gemeint? Weshalb sollte es inzwischen anders laufen? Ist ja nicht so, daß es irgendwelche ernsthaften Konsequenzen hätte, ein pauschales Beweisverwertungsverbot in solchen Fällen kennt man hierzulande schließlich nicht. Und dienstrechtliche Folgen für die Verantwortlichen? Kam sowas überhaupt schonmal vor?

  13. Ich hatte so eine Untersuchung am Flughafen Münster/Osnabrück. Durfte im Raum bleiben, aber es wurde hinter einer Abdeckung gearbeitet.

    Die haben ein fedora mit einer verschlüsselten Platte vorgefunden. Wenn der Trojaner nicht im Bios landet, dann ist der Rechner sicher noch sauber.

    Ich war aufgefallen, weil ich, obwohl nix los war, an der ‚bitte hier warten‘-linie, bis zur Aufforderung heranzutreten, stehen geblieben bin.

  14. Deswegen IMMER und JEDEN PC mit TrueCrypt verschlüsseln!
    Auch wenn es nicht vollständig gegen solche An-/Eingriffe schützt, es erhöht den Aufwand und verhindert, dass unsere Freunde und Helfer das standardmäßig machen.

  15. Wie einfach ist es denn für die Grenzpolizei einen solchen Trojaner zu installieren, wenn die Festplatte und das ganze System verschlüsselt sind und sie erstmal ein Passwort eingeben müssen?

    Stick ran oder CD rein und damit starten, Bootkit wird automatisch aufgespielt, fertig – 30 Sekunden vielleicht? Wenn die länger Zeit haben, können sie die Malware in einem USB-Device (z.B. beiliegende Maus) oder direkt im Rechnergehäuse anbringen. Geschätzte nötige Zeit für geübte Stasi 2.0 Typen: 2 Minuten. Alternative: man nimmt die Festplatte raus, schiebt sie in den Wechselrahmen/Dock am Stasi-Rechner und spielt so das Bootkit auf. Dürfte für geübte Leute auch nicht länger als 2-5 Minuten dauern.

  16. Kopie:
    „Update: Frage an die mitlesenden Juristen: In den Kommentaren wurden Fälle geschildert, wo Personen von ihren Notebooks bei der Sprengstoffkontrolle getrennt wurden. Mir ist das so noch nicht passiert. Kann man in einem solchen Fall darauf bestehen, bei der Sprengstoffkontrolle dabei zu sein und sein Notebook im Auge zu behalten?“

    Es kommt darauf an, ob „Gefahr in Verzug“ ist. Genauso wie bei Hausdurchsuchungen. Ist „Gefahr in Verzug“, wird ohne Anwesenheit des Wohnungsinhabers durchsucht (natürlich mit entsprechenden Beschlüssen, die man aber in Einzelfällen auch nachträglich beantragen kann). Ist das nicht der Fall, ist man bei jeder Durchsuchung selbstverständlich anwesend und auch der Rechtsanwalt, sollte man die Zeit haben, diesen vorher zu kontaktieren.

    Am Flughafen, bei einer Routinekontrolle, bist Du dabei. Leider setzen sich die Leute nicht durch, weil sie verängstigt sind und ihre Rechte nicht kennen. Das ist sowieso bei jeder Kontrolle ein Faktum, was mich zur Rage bringt.

    Elfi

  17. @19
    Ein Laptop öffnen und da mal auf die schnelle einen Hardwarekeylogger anlöten halte ich innerhalb von 3 Minuten für unsinnig…
    Bootkit, JA, das ginge sicher. Entweder per CD (Wenn bootbar, also BIOS Passwort nützt immer noch etwas, auch wenn nicht sonderbar lange)oder externen Adapter. auch hier kann man das SATA Passwort setzten.. mit geeigneter Hardware lässt sich dieses zwar zurücksetzten, dürfe aber auffallen. Soweit ich weiß lässt sich der Passworthash auch auslesen (Aus dem Festplattenflash), allerdings sollte ein Bruteforce auch etwas dauern.. bei guten Passwort auch etwas dauern.

    Denke es reicht wenn man danach einfach die Checksumme des Bootloaders (mit externer CD natürlich) überprüft.

    Alles andere ist sehr weit hergeholt.. das dürfte nur mit massiven Geheimdiensteinsatz und sehr viel Zeit klappen.

  18. Mir ist es vor 2 Jahren in Hamburg passiert. Es schien der Umstand zu reichen, dass mein Mini grün ist, im Gegensatz den den anderen, die sich auf der Ablage befanden.
    Wieder etwas dazugelernt. Terroristen nutzen grüne Netbooks.

  19. Und deshalb sollte JEDER seinen Rechner vollverschlüsseln. So einfach, wie hier beschrieben ist es bei weitem nicht, wenn das System verschlüsselt ist. Aber warum ist das keinem aufgefallen, dass da seltsame Netzwerkaktivitäten waren?

  20. Ich sach mal so, andere behaupten ich sein paranoid aber wenn ich das hier lese, weiß ich, warum ich seit Jahr und Tag meine Platten preboot verschlüsselt habe. Würde gern sehen ob/wie da ein Trojaner drauf kommen kann – befürchte, das waren wieder mal Windows User, die es da getroffen hat m(

  21. Wie sieht es eigentlich bei Flug-Reisen von und zu und über China aus? 2008 hatte ich mein (lenovo-Notebook) im Handgepäck, das wurde dann im Nebenraum durchsucht. Weiss jemand von Sollbruchstellen in Lenovo-Rechnern für den chinesischen Geheimdienst?

  22. Nun, es ist bekannt dass auch Rechner mit „Full Disc Encryption“, z.B. über Truecrypt, nicht sicher sind, sollte der Angreifer physikalischen Zugang haben. Neben Hardwaremanipulationen besteht die Möglichkeit eines Angriffs auf den Bootloader (siehe das „Stoned Bootkit“), bei dem der MBR manipuliert wird und somit der Angriff vor das Booten des OS verlagert wird. Einziges Gegenmittel ist, wie oben genannt, die Hash-Überprüfung des Bootloaders mittels Booten über ein externes Medium (bevor man den Rechner zum ersten mal nachdem man ihn „abgegeben“ hatte, bootet), oder die Verlagerung des Bootloaders von der HDD auf ein externes Medium (z.B. USB-Stick), welches man bei der Kontrolle nicht abgibt.
    Man sieht, Truecrypt et al. sind nicht die alleinige Lösung für dieses Problem. Man sollte solchen Lösungen nicht blind vertrauen.

  23. Korrekt, aber ich gehe davon aus, dass interessierte Behörden und Dienste solche Möglichkeiten besitzen, auch wenn noch kein „Proof-of-Concept“ veröffentlicht wurde. Prinzipiell spricht nichts gegen die Realisierbarkeit eines solchen Angriffs jenseits von MBR und Windows. Genug Firmen, die in diesem Bereich arbeiten, gibt es. Und diese breiten ja eher den „Mantel des Schweigens“ über ihre Tätigkeit.

  24. Wer es kann sollte schlicht seine Festplatte ausbauen und gesondert per Post zum Zielort schicken, insbesondere bei Auslandsreisen. Vor schlichtem Aufspielen von fremden bzw. auslesen von eigenen Daten ist man damit bereits geschützt.

  25. @Hendrik
    Mal abgesehen davon, dass es bei einem eintägigen Auslandsaufenthalt äußerst unpraktisch ist, die Platte vom Rechner zu trennen ist die Post das mit Abstand unsicherste Verfahren, wenn man auf unversehrte, ungeöffnete, ungeprüfte Ware steht.

  26. @Billy: Das heißt, man sollte nach Zollkontrollen dieser Art den Bootloader von der Truecrypt Rescue Disc neu aufspielen – das sollte für alle softwareseitigen Angriffe reichen, oder?
    Aber wenn man wirklich paranoid ist, gilt immer noch die Regel: Wenn die Gegenseite physischen Zugriff hatte, kann man das Gerät nur noch in die Tonne kloppen und ein neues kaufen.

  27. Meine Theorie seit Jahren (die von anderen sicher abgelehnt wird) ist, daß alle die angeblichen Sicherheitsgesetze nur dazu da sind, die Bevölkerung zu unterjochen und zu erniedrigen. Natürlich geht es nicht um Sprengstoff und solchen Kram, höchstens am Rande. Bestätigt werde ich durch diese Geschichte hier, die am Sonntag im „Spiegel“ stand, und durch den Wiener Philosophen Karl Faller, der (gerade erst im Radio) aufgezeigt hat, daß diese ganzen Sicherheitsbestimmungen z. B. auf Flughäfen grotesk und unsinnig sind und viel mehr hinterfragt werden müßten, ausgehend vom Individuum. Daß dieses Hinterfragen seit Jahren nicht ausreichend passiert, stört mich am meisten. Eine kollektive Verweigerung wäre anzustreben. Eben damit der Mensch nicht schwäbischen Wachmännern mit grotesken Dialekten das Handeln und das Bestimmen überläßt. Österreichische Gefreite hatten wir schon mal.

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.