Das BMI hat Fragen und Antworten zum Bundestrojaner veröffentlicht. Bei einigen der Aussagen dreht sich mir der Magen ‚rum. Teilweise grenzt es an Größenwahn, was hier behauptet wird.
Auszüge habe ich hier Zitiert und kommentiert.
Werden die Betroffenen von einer erfolgten Online-Durchsuchung informiert?
Die Betroffenen werden grundsätzlich nach Abschluss darüber unterrichtet, dass die Ermittlungssoftware bei Ihnen auf den Rechner gespielt wurde. Die Vorgaben des Bundesverfassungsgerichts zu Benachrichtigungspflichten bei heimlichen Maßnahmen werden befolgt werden.
Werden hier dann auch Tipps gegeben, wie ich die Software wieder deinstallieren kann?
Ist sichergestellt, dass durch die Installierung der Ermittlungssoftware die auf dem betroffenen Rechner installierte Sicherheitssoftware nicht beeinträchtigt wird und dadurch Unbefugte zu anderen, zum Beispiel kriminellen Zwecken in die Rechner von Bürgern eindringen können?
Die Ermittlungs-Software wird nicht zu einer Beeinträchtigung der auf dem betroffenen Rechner installierten Sicherheitssoftware führen. Dritten wird somit ein Eindringen in den Rechner durch den Einsatz der Software nicht erleichtert werden.
Ich verwende Geräte und Software, die meine Rechner vor Zugriffen von außen schützen soll. In meinem Fall handelt es sich um einen Router mit Firewall, eine Antiviren-Software und eine Software-Firewall.
Annahme 1: Die Bundesregierung dringt in meinen Rechner auf irgendeine Weise trotzdem ein.
Annahme 2: Hersteller von Software, insbesondere Betriebssysteme, versuchen ihre Software möglichst sicher zu machen. Immer wieder tauchen Schwachstellen auf, an die zuvor nicht gedacht wurde. Diese Lücken werden (im Idealfall) erkannt und beseitigt und stellen dann keine Bedrohung mehr da.
Annahme 3: Die eben beschriebenen Lücken sind keine Absicht, daher nicht bekannt und schon gar nicht dokumentiert (bevor sie entdeckt werden).
Diese drei Annahmen passen nicht zusammen. Die Bundesregierung will in meinen geschützten Rechner eindringen. Es gibt also nur folgende Szenarien:
- Die Regierung kennt Sicherheitslücken und macht sie nicht publik (damit sie nicht behoben werden).
- Die Regierung lässt sich eine Hintertür in kommerzielle Sicherheitssoftware hineinprogrammieren.
Ich werde diese beiden Szenarien ab hier „Regierungslücken“ nennen.
Beides kompromittiert automatisch die Sicherheit meines Systems. Wir schauen uns noch einmal Annahme 2 an: Hersteller von Sicherheitssoftware machen die Fehler nicht absichtlich in Software, und diese Fehler werden von findigen Spezialisten trotzdem ausgenutzt.
Wie kommt die Regierung auf die Idee, dass ausgerechnet diese Regierungslücken sicher sind? Ausgerechnet über diese Kanäle, die man sich frei hält kann keiner sonst böses treiben!
Könnte die Ermittlungssoftware entdeckt und dann zu eigenen Zwecken missbraucht werden?
Das Risiko einer Entdeckung und der missbräuchlichen Nutzung der Ermittlungssoftware wird durch geeignete technische Maßnahmen so gering wie möglich gehalten. Soltte die Software dennoch entdeckt werden, wird sie vom Zielsystem entfernt. Außerdem wird sichergestellt, dass die Software keine eigenen Verbreitungsroutinen und einen wirksamen Schutz gegen Missbrauch durch Dritte beinhaltet.
Drei Kommentare:
Erstens: Es geht nicht darum, dass jemand die Ermittlungssoftware auf einem Rechner findet. Sie ja nur bei ganz bösen Menschen installiert, also fast bei keinem. Es geht darum, dass es Sicherheitslücken gibt, die dafür benötigt werden.
Zweitens: Was ist, wenn jemand die Ermittlungssoftware an sich in die Finger bekommt? Wenn jetzt jemand sagt „das passiert nicht“: Doch, das passiert. Ich wette sogar, dass passiert bevor die letzte Polizeistation sie hat. Sie wird ein wenig durchs Internet gerecht und jeder, der jemanden kennt, der jemanden kennt, der jemanden … wird die Software sofort haben.
Drittens: Den „wirksamen Schutz gegen Missbrauch durch dritte“ möchte ich gerne mal sehen. Wie gesagt: Die größten Softwarekonzerne scheitern seit Jahren daran, wasserdichte Software zu schreiben, aber die Regierung kann das einfach ‚mal eben aus dem Ärmel schütteln?
Epilog
Bitte, liebe Leser, glaubt mir eins: Eine Online-Durchsuchung bedeutet automatisch, dass dieser Rechner auch angreifbar ist. Die Regierung hat einen Haufen schlaue Köpfe, aber es sitzen ebenso schlaue Menschen überall auf der Welt, die aus eurem Computer oder euren Daten bares Geld machen können. Wenn die Regierung sich die Onlinedurchsuchung zusichern lässt, hat das zur Folge, dass Computersicherheit zu einer Farce wird.
Die Onlinedurchsuchung darf nicht unter dem Deckmantel der Terrorbekämpfung eingeführt werden. Die einzige Chance, das zu verhindern ist, wenn eine möglichst breite Masse die Problematik dahinter versteht. Sprecht mit Leuten über die Unvereinbarkeit von Sicherheit und Durchsuchung.
Insgesamt klingen die meisten vorgebrachten Erklärungen für mich nach berühmten letzten Worten. Sie werden eventuell eines Tages mit Sätzen wie „Dieses Schiff ist unsinkbar“ in einer Reihe genannt werden.
via: heise.de
Das hast du schön gesagt! Also ich meine das mit dem unsinkbar. Da kenn ich noch einen, aus dem Film „Hindenburg“ Zitat bei der Sichtung von Adamsfeuer auf dem Luftschiff: „Och Liebling, hätten wir doch lieber die Titanic genommen!“ Was lernen wir daraus? Wie man’s macht, man macht es falsch!
In einem Punkt muss ich dir jedoch wiedersprechen: Ich bezweifle, dass es in der Regierung genug schlaue Köpfe gibt. Erinnern wir uns doch einmal daran, wie es eine mit sensiblen Daten vollgepackten Polizeifestplatte geschafft hat bei eBay versteigert zu werden. Ob es an Geld liegt oder an der hiesigen Einstellung der Hacker- und IT-Leute, ich denke nicht, dass die Eggheads der Regierung, gerade der Deutschen, es auch nur annäherend mit einem übergewichten Pickelmonster in einem Keller aufnehmen können (siehe Kevin Smith in „Die Hard 4.0“).
Bin auf jeden Fall mal gespannt wie das weiter geht!
Ich finde Du hast schon recht mit dem was Du sagst,
aber wenn Die das durchziehn, werden wir eh nicht viel dran machen können, und wenn wir uns noch so absichern..
Sarathai: Oder denken wir mal an die Einsatzprotokolle der Polizei Südhessen, die wahrscheinlich fast ein Jahr lang im Internet abrufbar waren.
Es reicht halt schon ein Vollpfosten aus, und schon ist die Sicherheit komplett im Eimer. Sicherheit ist keine Software.