Unsinn “Bundestrojaner”

Die Debatte um den sogenannten “Bundestrojaner” respektive die heimliche Online-Durchsuchung von vernetzen PCs durch Polizei und Verfassungsschutz wird uns wohl noch eine Weile erhalten bleiben. Persönlich hoffe ich inständig, daß das zurückliegende Urteil des BGH in dieser Sache nicht zu einer Gesetzesänderung führt, auf deren Basis derartiges Eindringen in die Privatsphäre von Nutzern doch noch ermöglicht wird, sondern Zeit schafft, um noch einmal konkret nachzudenken über das, was dort eigentlich getan werden soll. Persönlich habe ich aus verschiedenen Aspekten heraus ausgesprochene Vorbehalte gegen die Idee, PCs von potentiell beliebigen Personen heimlich und ohne deren Wissen zu durchsuchen mit einem Werkzeug, welches in Struktur und Verhalten gegenwärtiger Schadsoftware bedenklich nahekommt.

Der Datenschutz-Aspekt: Eine bewußte, aktive Kontrolle der Daten auf einem PC durch Sicherheitsbehörden wäre vermutlich auch schon im Hinblick auf Privatsphäre ein ausgesprochen drastischer Eingriff. Passiert dies unbemerkt im Hintergrund, erhält die Problematik eine ganz neue Qualität – im Grunde genommen kann der Nutzer dann, sobald er dieser Einflußnahme gewahr wird, die Integrität seines gesamten Datenbestandes in Frage stellen: Wer garantiert ihm, daß sich die Software auf das Ausspähen von Informationen beschränkt, nicht etwa Daten gelöscht, verändert oder gar hinzugefügt hat? Welche Aussagekraft hat, umgekehrt, das Auffinden von Daten auf einem persönlichen PC, wenn dieser zuvor unter Fremdkontrolle durch ohne Wissen des Nutzers aufgebrachte Software gewesen ist? Bei gegenwärtigen Festplatten-Kapazitäten wird ein Nutzer schwerlich die vollständige Liste aller Dateien auf seinem System im Kopf haben, um feststellen zu können, ob nach einer derartigen Online-Durchsuchung nicht etwa Dateien angelegt oder gelöscht wurden? Von den Inhalten komplexer Dokumente wollen wir erst einmal noch gar nicht reden. Was dort dann bleibt: Herausfinden, wie lang der eigene Rechner unter dem Einfluß der Software gewesen ist, danach Neu-Installation und Wiederherstellen des letzten vor der “Infektion” erzeugten Backups.

Der administrative Aspekt: Als Administrator eines Firmen-Netzwerkes werde ich dafür beschäftigt und bezahlt, die Integrität der Daten in diesem sowie die Verfügbarkeit der den Kunden gegenüber zugesicherten Dienste zu gewährleisten. Ein Teil der Maßnahmen, dies zu realisieren, besteht darin, daß ich als Administrator explizit bestimme, welche Software auf den Systemen, für die ich verantwortlich bin, installiert ist, welche Dienste dort betrieben werden und wer auf den Rechner zugreifen kann. Die Installation von über externe Netze erreichbaren Diensten (Trojaner, Spyware, …) ist ein erheblicher Eingriff in meine administrative Arbeit. Das Einbringen solcher Software, ganz gleich durch wen und mit welcher Motivation, erfüllt in meinem Verständnis den Tatbestand der Computersabotage und würde, praktisch erkannt, höchstwahrscheinlich zunächst in einer Strafanzeige gegen unbekannt enden. Für meine Begriffe wären die entsprechenden Paragraphen an eine eventuelle Gesetzgebung zur Legalisierung heimlicher PC-Onlinedurchsuchungen anzupassen, was andererseits recht klar aufzeigen würde, welcher Natur diese Maßnahme im Grunde genommen ist.

Der technische Aspekt: Es ist sinnlos, weil nicht praktikabel! Die Online-Durchsuchung, heimlich oder nicht, von PCs wird vermutlich nicht den geringsten Wert haben, sobald tatsächliche Kriminelle (daß auch solche Menschen Computer nutzen, steht außer Frage) auf diese Möglichkeit des Eingriffes durch Behörden aufmerksam werden und merken, daß die Umgehung dieser Art der Überwachung ausgesprochen trivial sein dürfte. Ein paar Ideen hierzu:

  • Angesichts der gegenwärtigen PC-Preise ist die Investition in einen Zweitcomputer, auf dem die tatsächlich belastenden Daten abgelegt sind, durchaus vertretbar. Im besten Fall ist dann der PC, der online ist, nur ein Kommunikations-Endpunkt, auf dem vielleicht ein paar E-Mails, ein paar Urlaubsfotos, ein bisschen temporärer Speicher des Web-Browsers, aber ansonsten keine wichtigen Daten liegen. Bringt der Kriminelle nun belastende Daten (etwa für den Versand per E-Mail) auf den mit dem Netz verbundenen Computer, existieren mehr als genug Möglichkeiten von leistungsfähiger computerbasierter Verschlüsselung über Steganografie bis hin zu simplen, nur Eingeweihten bekannten “Geheimsprachen” und Codes, um diese Daten für den Zeitraum der Übertragung so zu verschlüsseln, daß ein Entschlüsseln zumindest beträchtlichen Zeitaufwand mit sich bringt.
  • Die Online-Durchsuchung greift gnadenlos ins Leere, wenn der Nutzer nicht dauerhaft online ist. Wieviele Daten lassen sich durchsuchen, wenn die Maschine nur eine halbe Stunde pro Tag (vielleicht noch über ISDN oder Modem) mit dem Internet verbunden ist, um Mails zu senden und zu empfangen?
  • Gegenwärtig übliche PC-Festplatten haben Kapazitäten weit jenseits der 100GB-Grenze. Nehmen wir eine über mehrere Jahre ohne Neuinstallation betriebene Arbeitsumgebung vor, in der tatsächlich gearbeitet wurde: Für gewöhnlich fällt es (insbesondere auf Windows-Plattformen) schon dem durchschnittlichen Nutzer nach dieser Zeit noch schwer, seine über Ordner, Unterordner und Partitionen verteilten Daten wiederzufinden. Wenn man nicht weiß, wonach man sucht (nur in grenzenloser Naivität kann man wohl davon ausgehen, daß Kriminelle belastende Daten auf ihrer Festplatte mit entsprechenden, leicht auffindbaren Namen versehen speichern…), dürfte das Durchsuchen etwa einer gut gefüllten 300GB-Festplatte eine Aufgabe sein, die mehrere Beamte über mehrere Tage hinweg voll auslastet (und auch das dann nur unter der Maßgabe, daß der Rechner permanent mit dem Netz verbunden ist – siehe oben). Wenn wir eventuell sogar über ganze Netzwerk-Bereiche, USB-Festplatten oder NAS-Appliances reden, wird die Sache sehr schnell noch sehr viel extremer. Gleiches gilt für Ablage-Strukturen, die mitnichten standardisiert und weitestgehend abhängig von Geschmack und Gewohnheit des PC-Nutzers sind.
  • Auch auf einer PC-Festplatte lassen sich Daten verschlüsseln, und nahezu alle gängigen Betriebssysteme (Windows, Linux, MacOS X, …) bringen dafür Werkzeuge mit, die den Zugriff auf derart geschützte Daten entweder vollständig oder nur für “unerlaubte Programme” blockieren. Auch hier ist bestenfalls (mithin unter Verwendung von Algorithmen, die per Brute-Force oder bekannter Schwächen zu kompromittieren sind) Zeitaufwand zu erwarten, um dann vielleicht festzustellen, daß der PC-Nutzer lediglich ein paar “anstößige” Bilder den Blicken seiner Kinder entziehen wollte.
  • Stichwort Virtualisierung: Derzeit existiert eine wachsende Menge verschiedener Ansätze, um auf einem physikalischen PC mehrere logische (virtuelle) Maschinen zu betreiben (Xen, VMware, Solaris Zones, Linux-KVM, qemu, …). Was, wenn der Teil des Computers, der “mit dem Netz verbunden” ist, in einer solchen Maschine wohnt und das “umgebende” System gar nicht kennt? Was, wenn die belastenden Daten, die die Online-Durchsuchung bringen soll, in einer solchen virtuellen Maschine leben, die vom umgebenden System aus bestenfalls via Netzwerk einsehbar ist (so sie denn gerade läuft)? Wie umgehen mit der Vielzahl verschiedener Technologien, die genau dies teilweise kinderleicht realisieren?

Dazu könnten einem sicher noch mehr Ideen einfallen (fühlt Euch frei, die Kommentar-Funktion reichlich zu nutzen… 😉 ); alles in allem bleibt die Online-Durchsuchung für mich ein Instrument, das rechtlich, freiheitlich wie auch technisch bestenfalls fragwürdig ist. Kann man eigentlich nur noch auf ein Minimum verbliebener Vernunft im “Überwachung-ist-Sicherheit” – Zeitalter hoffen und/oder die eigenen Abgeordneten auf dieses Thema anstoßen. Vielleicht hilft’s ja doch…

8 Kommentare

  1. Zwei “Kritikpunkte” an den von dir angeführten Technischen Aspekten:
    1. Verschlüsselung der Platte: greift bei Beschlagnahmung meines PC’s, greift nicht bei der Online Durchsuchung, da die Crypt Container dann in der Regel gemountet sein dürften (weitere Überlegungen a la “ich mounte die nur wenn ich offline bin mal außen vor)
    2. die Datenflut
    Denke ich kann man einigermaßen mit den Zeitstempeln von Dateien umgehen (aktuelle Ermittlungen werden sich in der Regel auf aktuelle files beziehen)
    Nichtdestotrotz interessiert mich ein “Proof of Concept”, wie dieses Teil denn nun aussehen soll… wie kommt es durch mein Nat Device, wie durch meine Firewall, an meinem Virenscanner vorbei, läuft es auf meinem OS u.s.w….

  2. @mschmidt: In der Tat, der Proof-Of-Concept wäre interessant. Mal sehen, wie lange der auf sich warten läßt…

    Das mit dem Crypt-Container hat in der Tat nur Sinn, wenn ich parallel zur Verschlüsselung (ähnlich dem, was in MacOS X passiert, meine ich) eine Möglichkeit habe, Anwendungen selektiv Zugriff auf die Daten innerhalb des verschlüsselten Filesystems zu gewähren oder zu verweigern. Andernfalls ist es in der Tat der “mounten-falls-offline” – Ansatz, aber der kann auch schon helfen (weil der uU bequemer sein kann, als mit zwei Rechnern ‘rumzuwuseln).

    Zu den Zeitstempeln: Das verbessert die Situation möglicherweise etwas, aber vielleicht nicht sehr. Stell Dir eine 300GB-Festplatte vor, halbwegs gut gefüllt, auf der sich zwei, drei “interessante” Dokumente befinden und ansonsten (um diese zu verschleiern) ein paar tausend per /dev/urandom erzeugte “Textfiles”, die ebenso “aktuell” sind? 😉

  3. @kawazu: Technische Möglichkeiten wie /dev/urandom, offline-Rechner, vm’s etc. sind zwar denkbar, jedoch verschlechtert das die usability in der Summe derart drastisch, das nur die wenigsten Ganoven das ernshaft in Erwägung ziehen werden. Außerdem läßt sich auch ein 2x300GB RAID0 relativ schnell durchsuchen, wenn man durch vorausgegangene Kommunikationsbelauschung Anhaltspunkte gefunden hat. (Schwierigster Punkt dabei wird vermutlich das durchgehende Arabisch der Systeme sein… 😉 )

    @schmidtl: Wie wär’s mit 0-days für Browser, midm durch gültige Zertifikate und dergleichen mehr? Die sind dann sowohl deinem NAT-dev als auch deiner (oh gott!) Desktopfirewall und ebenso deinem Viren- und whatever-Scanner schnurz. Wo ein Wille ist, ist auch ein Weg.

  4. @ralle: Der Offline-Rechner ist von all den Werkzeugen vermutlich dasjenige, was am besten “usable” ist, wenn man sich daran gewöhnt hat. Zudem glaube ich nicht, daß sich die Nutzer, die mit diesem Ansatz der Ermittlung gegriffen werden sollen, sich von “schlechterer Usability” abschrecken lassen. Und, last but not least: Allein die _Existenz_ dieser Möglichkeiten sollte aufzeigen, daß die Überwachung eines einzelnen, vernetzten Endpunktes ohne Kenntnisse über das, was der Nutzer sonst noch so an Technik bei sich ‘rumstehen hat, nur bedingt erfolgversprechend scheint (weil wir, selbst wenn wir ein großes Datenvolumen durchsuchen, überhaupt keine Aussage darüber treffen können, wieviel Prozent des im Haushalt des Nutzers existierenden Volumens wir sehen).

    Zum Zweiten, Anhaltspunkte: Setzen wir “nicht-technische Kryptographie” voraus (mithin: einfachstenfalls “kindische” Geheimsprachen, Zahlencodes, …). Oder Verschachtelung von Verfahren, die prinzipiell leicht knackbar sind, wenn man nur weiß, worum es sich handelt? Äußerst naiver Ansatz: Ein größerer Schwung Daten in ein ISO-Image gestopft, dieses base64-kodiert, mit ROT-13 behandelt und in Blöcke aufgeteilt, die als String “rückwärts” übertragen werden. Alles triviale Verfahren, aber vermutlich recht gut automatisierbar, und _das_ muß man erstmal durchschauen. Security-by-obscurity ist zwar dauerhaft nicht der Weg, aber insbesondere zur “Verschlüsselung” von Informationen, bei denen es reicht, zwei, drei, vier Tage “Vorlauf” vor der Entschlüsselung zu haben, funktionieren solche naiven Ansätze vermutlich hervorragend… 😉

  5. @kawazu: Nein, vermutlich reichen solche Verfahren eben nicht, da sie sich ziemlich gut (ebenfalls automatisiert) mit storastischen Verfahren erkennen lassen. Da würde nur Steganografie helfen. Doch damit ist’s halt auch wie’s ist. Die damit nutzbare “Bandbreite” ist nicht grad umwerfend.

  6. @ralle: Für den konstruierten Fall würde mich die Leistungsfähigkeit stochastischer Methoden interessieren, wie gesagt noch vielleicht unter der Annahme einer “nicht-technischen” Verschlüsselung (Beschreibung von Text durch Verweise auf Wörter in irgendeinem nur den Kommunikations-Teilnehmern bekannten Buch). Und wie lang braucht dann so ein Werkzeug? Ganz abgesehen davon: Kann ich mit Hilfe von Software _Inhalte_ von Texten (abgesehen vom Schlagwort-Ansatz) erfassen und analysieren? Inwieweit kann ich das bei “kaputter” Rechtschreibung und/oder Grammatik bzw. für alle denkbaren Sprachen?

    Ich meine erstmal, daß der Vorsprung, den der “Gesuchte” vor dem “Suchenden” durch die schiere Menge an Kombinationen aus technischen Möglichkeiten und “nicht-technischen” Ansätzen hat, ausreicht, durch technische Werkzeuge kaum zu kompensieren ist. Der Gegenbeweis würde mich allerdings interessieren… 😉

  7. Ja, mit Gegenbeweisen halten es die Geheimdienste nicht so sonderlich. Stimmt schon. Nichtsdestotrotz kann ich zumindest ein gewisses, minimales Verständnis aufbringen. Meiner Meinung nach geht’s eh nur darum, solch ein Vorgehen zu legitimieren. Ich glaube nicht, dass es nicht sowieso schon getan wird, wenn dies Geheimdienste für notwendig erachten.

    Allerdings müssen die entstehenden Möglichkeiten im Falle der Schaffung einer rechtlichen Grundlage drastisch eingeschränkt und reglementiert werden. Ich denke man sollte sich eher _dafür_ aussprechen, da sich eine Gesetzesänderung eh nicht mehr aufhalten läßt.

Kommentare sind geschlossen.