Am heutigen Donnerstag wird ein brisantes Vorhaben der hessischen schwarz-grünen Regierung im Wiesbadener Landtag im Innenausschuss besprochen: Das Verfassungsschutzgesetz soll novelliert und dabei der Einsatz von Staatstrojanern für den Geheimdienst erlaubt werden. In der mündlichen Anhörung, für die drei bis fünf Stunden vorgesehen sind, werden über zwanzig geladene Sachverständige das geplante Gesetz zur Neuausrichtung des Verfassungsschutzes in Hessen (pdf) sowie zugehörige Änderungen im Sicherheits- und Ordnungsgesetzes (HSOG) bewerten. Dabei wird es nicht nur um das staatliche Hacken gehen: Die Gesetze enthalten neben den zwei Varianten des Trojaners („Online-Durchsuchung“ und „Quellen-TKÜ“) auch eine Reihe weiterer polizeilicher oder geheimdienstlicher Überwachungsmaßnahmen, etwa die Ortung von Mobilfunkendgeräten, die Erweiterung der offenen Videoüberwachung, die anlasslosen Überprüfungen von Personen, die Fußfessel oder die Möglichkeit der Erfassung und Speicherung von Daten Minderjähriger, sogar unter vierzehn Jahren.
Der geplante Staatstrojaner in beiden vorgesehenen Ausführungen ist allgemein gesprochen ein Schadprogramm, das auf einem informationstechnischen System heimlich Funktionen ausführt. Er wird hinter dem Rücken des Benutzers installiert. Die Kontrolle darüber hat derjenige, der die Befehle an das Programm sendet. Zweck ist entweder, aktuelle oder gespeicherte Kommunikation auszuleiten oder das gesamte System auszuforschen. Auf Bundesebene ist der Trojanereinsatz jedoch den Strafverfolgungsbehörden vorbehalten, der Bundesverfassungsschutz hat diese Befugnisse bisher nicht.
Während in Hessen noch gestritten wird, macht der Staatstrojaner auf Bundesebene wegen der Freigabe der vom Bundeskriminalamt (BKA) zugekauften Spionagesoftware Finspy durch das verantwortliche Bundesinnenministerium gerade Schlagzeilen. Die vom BKA eigens konzeptionierte und für über fünf Millionen Euro entwickelte Spähsoftware „RCIS“ ist bereits seit zwei Jahren genehmigt, kann aber offenbar bislang nur für Skype-Gespräche auf einigen Windows-Computern hilfreich sein. Finspy hingegen wurde offenbar gerade erst freigegeben. Wie häufig das BKA die eigene oder die zugekaufte Schadsoftware auf Computer von Verdächtigen losließ, ist öffentlich nicht genau beziffert.
Mehr als 300 Seiten Stellungnahmen
Die meisten der Stellungnahmen an den hessischen Landtag, über die Donnerstag in Wiesbaden gesprochen wird, sind bereits online verfügbar und summieren sich auf über dreihundert Seiten. Auch der Chaos Computer Club hat seine Stellungnahme (pdf) veröffentlicht. Wir haben die Gutachten für Euch gelesen und die Kritikpunkte beim Trojanereinsatz zusammengefasst, der in den §§ 6 bis 9 des Gesetzesentwurfes zum Verfassungsschutzgesetz geregelt ist. In den Stellungnahmen werden aber auch über die Trojaner-Regelungen hinaus weitere Maßnahmen als rechtsstaatlich bedenklich kritisiert.
Die hessische Koalition unter Ministerpräsident Volker Bouffier (CDU) und seinem Stellvertreter Tarek Al-Wazir (Grüne) geht bereits auf die Zielgerade, im Oktober stehen die nächsten Wahlen an. Das beabsichtigte staatliche Hacken ist nur bei einem der beiden Koalitionspartner politisch umstritten: den Grünen. Sie hatten ihren Wählern im Wahlkampf (pdf, S. 12) noch versprochen: Im Rahmen der Gefahrenabwehr solle keine Online-Durchsuchung eingesetzt werden. Anders als beim schwarzen Partner hat das Trojaner-Gesetz daher bei den Grünen eine Kontroverse ausgelöst: Die Parteispitze setzt sich dafür ein, den Verfassungsschutz zum Hacken zu ermächtigen. Die Grüne Jugend und einige der grünen Netzpolitiker haben erhebliche Vorbehalte gegen solches digitales Ungeziefer.
Dazu formte sich ein Bündnis aus NGOs, die unter hessentrojaner.de eine Informationsseite eingerichtet hatten und Proteste organisieren. Zu dem Bündnis gehören alle hessischen CCC-Vertretungen und weitere Bürgerrechtsgruppen.
Verletzung der Integrität und Vertraulichkeit von IT-Systemen
Einer der Problembereiche sind die „Online-Durchsuchungen“, also die Trojaner, die keine besonderen technischen Beschränkungen haben. Seit dem Urteil aus dem Jahr 2007 zum nordrhein-westfälischen Verfassungsschutzgesetz vor fast genau zehn Jahren gibt es ein besonderes Grundrecht auf Gewährleistung der Integrität und Vertraulichkeit informationstechnischer Systeme. Die Karlsruher Richter hatten nicht nur dieses Grundrecht ins Leben gerufen, sondern auch gleich die Trojaner-Teile des Gesetzes als mit dem Grundgesetz unvereinbar und als nichtig verworfen. In dem Urteil sind zugleich klare rechtliche Voraussetzungen für solche Trojaner definiert.
Der Grund dafür liegt auf der Hand: Die Online-Durchsuchung ist ein sehr schwerwiegender Eingriff, weil potentiell der gesamte Datenbestand des Verdächtigen oder sogar von Dritten einsehbar ist. Die Persönlichkeit der Betroffenen wird für den Überwacher in vielen Teilen sichtbar, sein Verhalten und seine Kommunikationsgewohnheiten sind ebenfalls zugänglich. Das alles ist auch nicht nur eine Momentaufnahme der Person, sondern wegen des Zugriffs auf die Speicher des informationstechnischen Systems eher mit einer langfristigen Überwachung vergleichbar.
Zudem kann bei der „Online-Durchsuchung“ auch leicht auf Höchstpersönliches zugegriffen werden. Die Juristen nennen das den Kernbereich privater Lebensgestaltung, also beispielsweise Gespräche mit Familienangehörigen oder Partnern, Sexvideos oder Tagebuchartiges. Dieser Kernbereich ist immer zu wahren, nicht nur beim Überwachen selbst, sondern auch, wenn die Intimsphäre betreffende Informationen fälschlicherweise ausgeleitet wurden und vielleicht erst später bei der Durchsicht auffallen.
Unklare Regelungen
Der Sachverständige Jan Dirk Roggenkamp von der Berliner Hochschule für Wirtschaft und Recht bemängelt, den hessischen gesetzlichen Vorgaben zur „Online-Durchsuchung“ mangele es an der „erforderlichen Klarheit“. Zudem fehle eine spezielle Regelung, wenn die Spionagesoftware bei Dritten aufgespielt wird:
Nach hier vertretener Auffassung ist […] die Schaffung einer eigenständigen Adressatenregelung erforderlich, soll ein Zugriff auf informationstechnische Systeme Nichtverantwortlicher gestattet werden.
Denn wenn die Person, die der Geheimdienst überwachen möchte, auch informationstechnische Systeme Dritter verwendet, kann nach dem Gesetzesentwurf die „Online-Durchsuchung“ auch auf diesen Computern durchgeführt werden. Man will offenbar hacken, wo es irgend geht, ohne dafür eigene Regeln aufzustellen.
Dass neben den eigenen Geräten des Abzuhörenden auch alle weiteren Systeme trojanisiert werden könnten, auf denen Zugangskennungen zu Accounts des Betroffenen oder Informationen über den Standort seiner informationstechnischen Geräte vermutet werden, findet auch die Initiative „dieDatenschützer Rhein Main“ inakzeptabel. Denn was diese Regelung im Gesetzesentwurf bedeutet, beschreibt die NGO so:
Dies können im Zweifelsfall auch die Server großer (Kommunikations-)Provider oder ähnliche Systeme sein. Bzgl. der Reichweite der Regelung gibt es im Gesetz keine Einschränkungen. […] Es reicht, dass auf den Geräten die oben genannten Informationen vermutet werden. Von einer Verhältnismäßigkeit der Maßnahme kann hier keine Rede sein.
Entsprechend bewerten „dieDatenschützer Rhein Main“ diesen Passus als „offensichtlich verfassungswidrig“ und empfehlen „dringend, ihn ersatzlos zu streichen“.
Software, die mehr kann als sie darf
Viel Kritik gibt es an der „Quellen-TKÜ“. Dieser Trojaner darf nur Kommunikation ausleiten. Hier hat das Bundesverfassungsgericht ganz klar die Vorgabe gemacht, dass die Software „hinreichend abgesichert auch gegenüber Dritten […] inhaltlich eine ausschließlich auf die laufenden Kommunikationsinhalte begrenzte Kenntnisnahme ermöglicht“. Dazu hält Jan Dirk Roggenkamp von der Berliner Hochschule für Wirtschaft und Recht fest:
[E]s bedarf einer streng monofunktionalen Software, deren Existenz bislang nicht belegt (und technisch auch schwer vorstellbar) ist. Mit Hilfe dieser Software dürfte nicht übermittelt werden, ob beispielsweise das überwachte Smartphone an- oder ausgeschaltet ist. Ebenfalls dürften keine Standortdaten übermittelt werden, sofern sie nicht Umstände konkreter Kommunikation sind. Eine Screenshotfunktion wäre unzulässig, da diese auch Nachrichten abbilden könnte, die der Nutzer nur formuliert, dann aber nicht absendet. Die Möglichkeit eines Zugriffs auf Daten zurückliegender, also nicht mehr laufender Kommunikation […] müsste ausgeschlossen sein.
Es wird weder aus dem Gesetzestext noch aus der Begründung deutlich, wie diese Vorgaben eingehalten werden bzw. wer oder wie die Einhaltung überprüft werden sollen.
Das ist eine freundliche Formulierung dafür, dass die hessische Regelung gemessen an den Vorgaben des Bundesverfassungsgerichts rechtswidrig ist. Auch der Jurist Gerrit Hornung kommt in seiner Stellungnahme zu dem Ergebnis, dass der Gesetzesentwurf in Teilen als verfassungswidrig anzusehen ist. Der CCC weist zusätzlich darauf hin, dass eine „Quellen-TKÜ“ schon wegen der Tatsache, dass das informationstechnische System dafür gehackt werden muss, nicht als bloße Telefonüberwachung missverstanden werden darf.
Es gibt auch Fürsprecher
Jedoch sehen nicht alle Sachverständigen die „Quellen-TKÜ“ kritisch. Der Bund Deutscher Kriminalbeamter (BDK) Landesverband Hessen stellt einfach nur die Notwendigkeit staatlichen Hackens heraus:
Aus Sicht des BDK ist eine weitere Abkoppelung der Sicherheitsbehörden vom Informationsfluss möglicher Zielpersonen bei schlichter Nutzung von Instant-Messenger-Diensten wie „WhattsApp“ (sic) nicht mehr hinnehmbar und bedarf daher klarer gesetzlicher Regelungen, um diesem Zustand ein Ende zu bereiten.
Die Argumentation zielt in die bekannte Richtung, eine Überwachung der Kommunikation solle unter allen Umständen möglich sein, auch wenn dafür das informationstechnische Gerät gehackt werden muss.
Der BDK ist überhaupt der einzige der Sachverständigen, der den Gesetzesentwurf ohne jede Einschränkung befürwortet. Alle anderen Sachverständigen üben teils erhebliche Kritik, schlagen konkrete Änderungen vor oder lehnen den Trojanereinsatz gänzlich ab.
Staatstrojaner gefährden die Sicherheit aller
In seiner Stellungnahme (pdf) weist der Chaos Computer Club auf die strukturellen Gefahren und den generellen Interessenkonflikt beim staatlichen Hacken hin:
Der Staat gerät hier folglich in einen Zielkonflikt: Auf der einen Seite will er ein möglichst hohes IT-Sicherheitsniveau für Bürger und Wirtschaft garantieren; auf der anderen Seite hat er ein Interesse an offenen Sicherheitslücken in möglichst vielen und verbreiteten Systemen, um diese bei Bedarf zum Zwecke der „Online-Durchsuchung“ oder „Quellen-TKÜ“ ausnutzen zu können.
Auf diesen unauflösbaren Interessenkonflikt weist auch das FifF (Forum InformatikerInnen für Frieden und gesellschaftliche Verantwortung), das den Trojanereinsatz ebenfalls ablehnt. Wenn der Staat solche Schwachstellen in Software nutzt und die Lücken absichtlich nicht schließt, da er sie für Trojaner ausnutzen will, arbeitet er insgesamt gegen die IT-Sicherheit, so der CCC:
Durch das absichtliche Offenhalten der Lücken untergräbt der Staat jene Vertrauenswürdigkeit, die er eigentlich zu schützen hat.
Dass der Staat sie zu schützen hat, geht aus der vor zehn Jahren ergangenen Entscheidung des Bundesverfassungsgerichts klar hervor. Die Richter hatten darin ein anderes Verfassungsschutzgesetz (aus Nordrhein-Westfalen) wegen der Trojaner-Regelungen für verfassungswidrig erklärt und dabei das Grundrecht der Bürger auf Gewährleistung der Integrität und Vertraulichkeit von informationstechnischen Systemen etabliert.
In dieselbe Kerbe schlägt die Initiative „dieDatenschützer Rhein Main“, die mit dem Staatstrojaner ebenfalls eine Gefahr für alle einhergehen sieht:
In den allermeisten Fällen werden […] Schwachstellen in den Betriebssystemen oder verwendeter Anwendungssoftware der betroffenen Geräte ausgenutzt werden müssen. Diese Lücken müssen von den Behörden selbst gefunden oder auf dem Schwarzmarkt gekauft werden. Da zur Erlangung aktueller Lücken, für die noch kein Patch des Herstellers vorliegt, große zeitliche und/oder finanzielle Aufwände betrieben werden müssen, entsteht für die Behörden ein großer Anreiz, diese Lücken nicht an die Hersteller der Geräte und Software zu melden. Dies wiederum führt zu einer großen Gefährdung der Allgemeinheit, da die Lücken so in allen betroffenen Geräten offen bleiben.
Wie der CCC und das FifF weisen die „dieDatenschützer Rhein Main“ auf Beispiele von Schadsoftware aus der jüngeren Vergangenheit hin, etwa die Ransomware „Wannacry“. Die hatte schließlich ihren Ursprung auch aus dem digitalen Waffenschrank von Geheimdiensten.
Signalwirkung für Bundespolitik
Falls das hessische Parlament sich trotz all dieser Bedenken dafür entscheiden sollte, dem Landesverfassungsschutz den Staatstrojanereinsatz zu erlauben, hat dies auch eine Signalwirkung auf die Bundespolitik. Welt berichtete kürzlich, Bundesverfassungsschutzpräsident Hans-Georg Maaßen habe der zukünftigen Bundesregierung bereits einige Wünsche mit auf den Weg gegeben:
Der Einsatz des sogenannten Staatstrojaners soll etwa dazugehören, um verschlüsselte Kommunikation von Terroristen, Extremisten oder Spionen überwachen zu können. Und auch die Möglichkeiten zur Onlinedurchsuchung.
Wir werden aus der heutigen Anhörung im Innenausschuss des Landtags berichten.
Vertrauen ist das Stichwort.
Wie soll man einer Regierung/Staat vertauen wenn diese ständig Vertrauen einfordert/ fehlendes Vertrauen beklagt und gleichzeitig Hämmer wie Snowden, Trojaner, Zensur/Repression bringt.
Selbst an den Beruhigungspillen wie der Sozialgesetzgebung oder wird gespart.
Die Arbeitsmarktpolitik geht auch nur zu lasten des normalen Bürgers.
Vielleicht bedingt das eine ja das andere.
Man bedenke was raus kommt wenn man versucht Vertrauen mit Gewalt/Angst zu erzwingen.
Der Deckel ist auf dem Topf, der Druck steigt.
In Hessen regieren die Grünen zusammen mit der CDU, oder?
Haben sich die Grünen, kaum kommen sie mit der CDU zusammen, so weit verändert, dass Privatheit und Datenschutz
kaum noch eine Rolle spielen?
Dass die Schadsoftware -Hessentrojaner- nicht nur einem Schwerkriminellen heimlich untergejubelt werden soll, sondern auch nichtahnenden Dritten, Vierten, die irgendwie mit ihm und seinem Umfeld Kontakt haben/hatten.
WTF? Gehts noch, Grüne?
Bei den Unionsparteien erwarte ich sowas und noch schlimmeres, aber bei euch? Bei dem äusserst fragwürdigen Rechtverständnis
zum Verstecken der hessischen Dokumente zu den NSU-Morden
macht ihr ja auch schon mit.
Wenn das „Demokratie unter Irrationalen“
https://www.republik.ch/2018/01/15/demokratie-unter-irrationalen
genau so stimmt, erklärt das so einiges, was einem als sogenannter Alltag,
als ‚Realität‘ so entgegenschwappt.
Würde sich auch mit meiner Sicht decken. Wie ein Zoobesuch, nur eben als Dauerumgebung.
Vor einigen Jahren sagte mir mein UMTS, daß mein Datenvolumen aufgebracht wäre und ich doch gern extra Volumen hinzubuchen könne.
Komisch daran war, daß erst eine Woche des Datenmonats um war und ich obendrein unterdurchschnittlich im Netz war.
Also rief ich beim Provider an und wollte aufgeregt reklamieren. So schnell, wie da eingelenkt wurde und für den Rest des Monats jegliche Limitierung aufgehoben wurde – sehr ungewöhnlich.
Die nette Dame der Hotline empfahl mir noch die Installation eines Netzwerkmonitors. Der nächste Schritt war dann Zonealarm.
Ach Du lieber Vater! Was sich da so an meiner Tür rieb.
Nun stellen sich mir immernoch folgende Fragen:
Ist es möglich zu schnüffeln, ohne das ein Datenverkehr von „Netzwerkmonitoren“ detektiert wird?
Können die sich huckepack auf „gewöhnliche“ unverdächtige Datenverkehre draufsetzen?
Was sagt die Netzneutralität dazu?
Muß ich die Datenverkehre noch selbst bezahlen, so sie von meinem Volumen abgehen?
Wie sieht es mit der Möglichkeit der „Selbstverteidigung“ aus? Ich meine damit noch nicht mal „Gegenmaßnahmen“, sondern fänd es schön, wenn mir der Rechner mitteilen kann, daß da was herumtrojanert.
Ich habe, soweit es meine persönlichen Möglichkeiten zulassen, alle automatischen Updates und sonstiges Nachhausetelefonieren deaktiviert. Da müsste es doch irgendwie auffallen, wenn da wer verkehrt.
Ist es möglich zu schnüffeln, ohne das ein Datenverkehr von „Netzwerkmonitoren“ detektiert wird?
Das Auszuleitende könnte sich als harmlose Nutzdaten einer anderen Anwendung tarnen. So soll z. B. der Signal Messenger zensurresitenter sein, da er sich als „normale“ Googlesuche zu erkennen geben kann. Ferner wäre ein solcher „Netzwerkmonitor“ (prominentes Beispiel: Wireshark) empfehlenswerterweise auf einem Drittgerät zu betreiben, durch das der Verkehr hindurch ginge, da so die (Be-)Einflussnahmemöglichkeit minimiert würde.
Können die sich huckepack auf „gewöhnliche“ unverdächtige Datenverkehre draufsetzen?
Ich würde mal sagen: ja, siehe oben.
Was sagt die Netzneutralität dazu?
Das wäre eher ein anderes Thema, da sich entsprechende Nachrichtendienste/Behörden davon wohl nicht groß irritieren lassen werden.
Muß ich die Datenverkehre noch selbst bezahlen, so sie von meinem Volumen abgehen?
Schlussendlich wohl „ja“, denn ansonsten müssten ja die abgeschnorchelten Daten als solche ausgewiesen werden.
Wie sieht es mit der Möglichkeit der „Selbstverteidigung“ aus? Ich meine damit noch nicht mal „Gegenmaßnahmen“, sondern fänd es schön, wenn mir der Rechner mitteilen kann, daß da was herumtrojanert.
Dann wäre Software à la FinFisher ja „witzlos“, wenn es denn so einfach zu detektieren wäre.
Ich habe, soweit es meine persönlichen Möglichkeiten zulassen, alle automatischen Updates und sonstiges Nachhausetelefonieren deaktiviert. Da müsste es doch irgendwie auffallen, wenn da wer verkehrt.
Nein. Es gibt nebst Lücken in Software auch Lücken in Hardware – scheinbar gewollte und auch schlichtweg Fehler. Bei derzeitigem Wissensstand dürfte es sicher sein zu behaupten, dass für die erschlagende Mehrheit der von uns genutzten Gerätschaften und der darauf laufenden Software gilt: nicht wirklich vertrauenswürdig. Ja, ist düster.
Moin Schildbuerger,
vielen Dank für deine Antwort.
Google ist z.B. bei mir, soweit denn tatsächlich möglich und bis auf sehr seltene temporäre Ausnahmen, geblockt.
Das könnte doch, geht man von der Annahme der Schnüffler aus, daß das immer geht, schon ein Aufhänger sein.
Natürlich könnte der Schnüffler wohl auch vorher schnüffeln, was so gewöhnlich läuft, was aber Individualisierung voraussetzen würde, was ich bei der Gießkannenweise aber eher nicht befürchten würde.
Ich habe die Betriebssysteme immer nur gewechselt, wenns nicht mehr anders ging. Mir wäre noch heute ein DOS 6.22 sehr angenehm, weil ich da irgendwo noch meinte verstehen zu können, wozu da welche Datei nötig ist und es war angenehm statisch.
Davon ist man heute wohl weit weg. Alles schreibt da ständig drin rum und selbst Wissende sind meist eher unwissend.
Ich bin leider zu blöd dazu und hätte auch nicht die Zeit, mich da einzuarbeiten, aber sollte es nicht ne gute Idee sein, eine bootbare CD/DVD zu entwickeln, die „ganz einfach“ nur eine Surfmaschine ohne jedes Gedächtnis, dafür aber mit nem schönen Netzwerkmonitor betreibt?
Zum Raubmordkopiertenislamismusverbrechen geh ich doch eh einfach in den Wald.
Sind denn die ganzen Plasteschachteln wirklich solche Blackboxen, daß da keiner herausfinden kann, was die wirklich machen?
Moin Paranoid,
[…]
Google ist z.B. bei mir, soweit denn tatsächlich möglich und bis auf sehr seltene temporäre Ausnahmen, geblockt.
[…]
>Bitte nicht falsch verstehen, Signal/Google dienten nur als Beispiel um zu verdeutlichen, dass Netzwerkverkehr nicht immer das sein muss, nach dem es aussieht. Hinzu käme noch, dass solcher, wenn solide verschlüsselt, nur schwer bis gar nicht zu bewerten wäre. Dann schon eher dessen Zieladresse, die wiederum nur ein Relay sein könnte. Dann wäre da noch die Frage auf welcher Ebene
eine TLD/IP-Adresse et al „geblockt“ wird und wie robust dies ist.
[…]
Natürlich könnte der Schnüffler wohl auch vorher schnüffeln, was so gewöhnlich läuft, was aber Individualisierung voraussetzen würde, was ich bei der Gießkannenweise aber eher nicht befürchten würde.
>Nur zu einem gewissen Grad: gewisse Dinge haben viele von uns gemein, so z. B. unsere benutzten Betriebsysteme, um wiederum nur ein prominentes Beispiel zu nennen. Da sind ZeroDay Exploits dann bei vielen Nutzern anwendbar. Dumm ist dabei dann nur, dass es eben von Tante Liesel bis hin zu großen Banken alle betrifft (s. WannaCry). Großer bekannt gewordener Leak diesbezüglich: Vault7.
Ich habe die Betriebssysteme immer nur gewechselt, wenns nicht mehr anders ging. Mir wäre noch heute ein DOS 6.22 sehr angenehm, weil ich da irgendwo noch meinte verstehen zu können, wozu da welche Datei nötig ist und es war angenehm statisch.
Davon ist man heute wohl weit weg. Alles schreibt da ständig drin rum und selbst Wissende sind meist eher unwissend.
> Der Komplexitätsgrad hat zugenommen, da auch die Systeme komplexer wurden, ja.
Ich bin leider zu blöd dazu und hätte auch nicht die Zeit, mich da einzuarbeiten, aber sollte es nicht ne gute Idee sein, eine bootbare CD/DVD zu entwickeln, die „ganz einfach“ nur eine Surfmaschine ohne jedes Gedächtnis, dafür aber mit nem schönen Netzwerkmonitor betreibt?
> Und dann wären wir erneut bei dem Aspekt der Vertauenswürdigkeit der eingesetzten Hardware. Viele betreffende Beispiele: Intel Management Engine (IME), Baseband Prozessor unserer Mobiltelefone, „verwundbare“ Netzwerkkomponenten. Kurzum: Sicherheit/Vertrauenswürdigkeit? Da sieht es wohl eher mau aus. Es gibt zwar Hersteller für Endkundenprodukte wie z. B. System76 und Purism und sie stehen dankenswerterweise für ein evtl. langsam einsetzendes Umdenken, da sich immer mehr Leute der Implikationen bewusst werden. Zum Booten von read-only medium: Checksum des ISOs vor Erstellung überprüft? Ferner bliebe da die Hardwarefrage offen, siehe unten.
Zum Raubmordkopiertenislamismusverbrechen geh ich doch eh einfach in den Wald.
> Na, na, na. ;)
Sind denn die ganzen Plasteschachteln wirklich solche Blackboxen, daß da keiner herausfinden kann, was die wirklich machen?
> „Keiner“? Hmm, nun es werden ja z. B. Dinge wie die IME reverse engineered um einer solchen Blackbox Einhalt gebieten zu können. Es war schon ein wenig „erheiternd“ zu sehen, dass ein gefundener Switch (es werden dadurch scheinbar Funktionalitäten abgeschaltet), damit ein Gerät mit IME dann doch auch sicher bei den (USA-) Nachrichtendiensten betrieben werden kann, wohl in gewisser Weise diesen Zweck auch erfüllte, doch dass während des reverse engineerings eben andere Schwachstellen offenbar wurden, die diese Blackbox IME wiederum kompromittierbar machten. In gewisser Weise ging der Schuss „Blackbox – security by obscurity“ nach hinten los.
Schlussendlich stellt sich doch aber immer wieder die Frage, gegen wen man sich den schützen möchte. Übertrieben formuliert: sollen es „alle“ IT-Genies vereint, mitsamt gewaltigen finanziellen Ressourcen sein? Man denke an den Fall Stuxnet, na dann gute Nacht. Soll es gegen minder ausgestattete Subjekte sein, so kann/könnte man da schon einiges machen. OpenSource, Verschlüsselung, keine „Blackboxen“…die Liste ließe sich ohne weiteres weitaus länger gestalten und schlussendlich aber auch so Dinge, wie sie in der CCC Hackerethik zu finden sind: „Private Daten schützen, öffentliche Daten nutzen.“ sollten bedacht werden.
Auch Autokraten spionieren ihre Bürger aus unter dem Vorwand der Sicherheit. In einer Demokratie
kann und darf es nicht sein, daß der Staat sich ALLE Freiheiten einräumt, auch wenn sie sich gegen den Bürger richten. Diese Ausreden, daß all diese Bespitzelung dem Schutz des Bürgers dient, greift nicht. In einer Demokratie müssen manche Unsicherheiten ausgehalten werden. Sonst sind wir ganz schnell in einem autokratischen System. Daß der Verfassungsschutz solche Instrumente nutzen will, ist zwar verständlich, aber das darf in keinem Fall geschehen. Man erinnere sich nur daran, daß er im Fall des NSU Bescheid wußte und NICHTS verhindert hat.
Der aktuelle iOS Leak zeigt, dass selbst die ganz Grossen ihren Code nicht geheim halten können – obwohl die Sicherheitsmaßnahmen bei Apple doch bestimmt ähnlich hoch sind wie bei diversen Diensten. Es wird nur eine Frage der Zeit sein, bis der Code von FinSpy und Konsorten umhergereicht wird.
Es ist so unglaublich verantwortungslos von staatlicher Seite, bestehende Lücken auszunutzen, anstatt zu helfen, diese zu stopfen.
Ergänzung: Umso lächerlicher sind Beteuerungen von irgendwelchen LANDESverfassungsschutzleuten, dass es „unmöglich“ sei, dass ihnen Software oder Daten abhanden kommen könnten.
Ah, Zensur, gut zu Wissen!