Onlinedurchsuchung: ich jetzt auch mal [update]

BundesadlerEigentlich hatte ich mir ja generöses Schweigen zum Thema Onlinedurchsuchung, Onlinedurchsicht, Quellen-TKÜ und “Bundestrojaner” (bzw. Remote Forensic Software) auferlegen wollen. Nachdem ich aber nun zu einigen Experten- und Hintergrundgesprächen zum Thema geladen wurde und ich regelmäßig von vielen unterschiedlichen Seiten zu meiner Meinung angesprochen werde, eine paar private Gedanken von mir hierzu.

Ich bin der Meinung, dass die ganzen Sicherheitsexperten, die sich zur Machbarkeit oder Nichtmachbarkeit bisher öffentlich zum Thema eingelassen haben, anscheinend das Hauptprinzip des Security-Geschäfts vergessen haben: Hürden bauen. Es geht bei der Gewährleistung und Aufrechterhaltung eines angemessenen Sicherheitsniveaus immer darum, die Hürden für einen potentiellen Angreifer immer so hoch zu bauen, dass er mit seinen Mitteln in absehbarer Zeit nicht darüber kommt. Eine Hürde hat nun mal keine unendliche Höhe und kann nur immer etwas höher sein, als der Täter in der Lage ist zu springen. Diese wichtige Analogie gilt es auch im Gesamtbereich der Onlinedurchsuchung (wobei dieser Begriff aus meiner Sicht eigentlich schon recht ungenau ist, weil die handwerklichen Mittel für eine juristisch einwandfreie Durchsuchung gar nicht einsetzbar sind – Stichwort S-A-P – und es somit eher eine Onlineüberwachung ist. Will nur niemand wahrhaben). Und eben dieses Hürdenprinzip gilt es auch zu beachten, wenn man mit seinen Überwachungs- und Durchsuchungsmaßnahmen unerkannt bleiben möchte. Vermutet man beim Täterkreis besonders ausgeprägte IT-Sicherheitskenntnisse, wird man seine Maskierungshürden entsprechend hoch bauen müssen. Den vielzitierten Eierdieb wird man mit einfachen Mitteln tatsächlich täuschen können. Dieser wird auch auf Mail-Attachements klicken, die Überwachungswerkzeuge enthalten. Bei diesem wird es auch möglich sein, bei einem klassischen Hausbesuch (Ermittlung 1.0) irgendwas auf seinen Rechner zu installieren, was er nicht sofort erkennt. Sony BMG musste dazu nicht mal Hausbesuche durchführen ;-).

Und nun liebe Sicherheitsexperten, jetzt mal einen Blick in Eure tägliche Praxis: Wie sieht es mit Sicherheitsmaßnahmen wie Personal Firewall, Virenscanner, Rootkit-Detektoren, Festplattenverschlüsselung, aufmerksames Arbeiten mit dem PC etc. in den Bereichen aus, die Ihr im Schnitt täglich im privaten und beruflichen Leben seht. Ich denke, dass man durch Nachlässigkeiten in diesem Bereich auch größere Kaliber als einen Eierdieb zu fassen bekommt. Ein weiterer Punkt ist auch, dass konspirativ arbeitende Täterkreise irgendwann keine ausgeprägten Sicherheitsmaßnahmen mehr praktikabel anwenden können. Offline- und Online-Rechner, mehrere Sicherheitsmechanismen etc. sind gerade bei verteilt arbeitenden größeren Täterkreisen nicht mehr fehlerfrei anwendbar und senken dann die Nichterkennungshürden der Ermittler. Die ganzen technischen Diskussionen um die Machbarkeit kommen mir wie Scheingefechte vor.

Unabhängig von der aktuell geführten politischen Debatte, bin ich der Meinung, dass bei der Ermittlung von “Online-Delikten” und der “Online-Ermittlung” dringender Handlungsbedarf besteht. Diesen sehe ich aber nicht alleine im Umfeld des sog. Bundestrojaners, sondern eher in der Ausbildung und Ausstattung der Ermittlungsbehörden. Wenn eine tailored Trojaner pro Fall ca. 200.000 € kostet (wie man so hören kann), dann kann man davon ‘ne Menge IT-Ermittlungskurse bezahlen und vielleicht fällt dann auch noch ein gutes Buch ab. 😉

Da ich ja in der Vergangenheit einige Projekte mit dem BSI gemacht habe und kräftig an den IT-Grundschutzkatalogen mitarbeite, sei mir hier nochmal privat erlaubt, darauf hinzuweisen, dass das Vertrauen, dass die Bürger und die Wirtschaft in das BSI haben, hier stark zu leiden droht, wenn eine gleichberechtigte Sicherheitsbehörde (Zur Erinnerung: die drei Sicherheitssäulen des BMI sind BKA, BSI und die Bundespolizei) alles daran setzt, durch ungenaue und schwammige Diskussionen die mühsam aufgebaute IT-Sicherheitssensibilisierung wieder einzureißen. Ich stelle mir gerade meine neue Grundschutzmaßnahme vor M3.1337 “Schutzmaßnahmen vor Onlinedurchsuchung”. Sehr skurril.

ELEET

Das ganze Thema der Unveränderlichkeit digitaler Beweis muss ebenfalls diskutiert werden, auch wenn immer wieder gesagt wird, dass es sich um die reine Gefahrenabwehr handelt. Natürlich müssen auch die Rahmen der Gefahrenabwehr erlangten Daten irgendwann mal juristisch bewertet werden und bekommen dann eben doch Beweischarakter. Zum anderen glaubt doch wirklich niemand, dass die in der aktuellen Diskussion besprochen Methoden und Verfahren nicht auch in anderen Bereichen der Strafverfolgung verwendet werden, wenn sie bei der Gefahrenabwehr so prima funktionieren. Hat nicht vor einigen Jahren jeder Stein und Bein geschworen, dass die Daten der LKW-Maut ausschließlich für Maut-Zwecke verwendet werden dürfen? 😉

Um es hier auch nochmal deutlich zu machen. Ich bin Sicherheitsberater und würde es auch aus diesem Grund nicht gut heißen, dass der Staat hier Sicherheitslücken durch das BKA nutzt oder gar fördert (verdeckter Erwerb von Zero-Day-Exploits, usw.), die er mit Hilfe des BSI eigentlich schließen will. Allerdings denke ich, dass gewisse Ermittlungsmethoden notwendig sein werden (Ich merke dies gelegentlich im Rahmen meiner beruflichen Tätigkeit – und ich arbeite nicht mal im Bereich der Gefahrenabwehr). Dafür sind aber ganz klare und unmissverständliche Regelungen, Kontrollen und Sanktionsmaßnahmen notwendig (und bitte klarer und unmissverständlicher als in §202c StGB). Die derzeitigen Kontrollmöglichkeiten scheinen aus meiner Sicht zahnlos und bieten keine wirkliche Abschreckung vor den Früchten des verbotenen Baums.

Zum Schluss noch ein Wort zum Thema Datenschutz: Eine gute Schlüsselwortsuche kann aus meiner Sicht Kernbereiche des privater Lebensgestaltung nur schwer aussparen. Von Abgrenzungsproblemen mal ganz abgesehen.

Update:

Mir ist noch ein skurriler Gedanke gekommen. Wird es einen Wettbewerb zwischen BSI und BKA geben? Hase und Igel? 😉

13 thoughts on “Onlinedurchsuchung: ich jetzt auch mal [update]”

  1. Ok, die Darstellung ist ja – was ja in dieser Thematik selten ist – frei von Polemik. Aber ich glaube nie im Leben, dass das BKA sowas kann! Niemals! Die bringen es nicht.

  2. Softwaremanipulation ist wohl die denkbar duemmste Methode. Versuche eines ‘Hacker-Angriffs’ sind zwar schwer fuer den durchschnittlichen Benutzer zu kontern, aber was hat ein Terrorist schon fuer Anforderungen? Mail, Web und Tor kann man trivial mit einem UMPC erledigen, zB mit dem XO vom OLPC-projekt. Den kann man rund um die Uhr mit sich rumtragen. Moechte mal sehen, wieviel tausend Euro unsere Behoerden an so einem Problem verpulvern wuerden.

    Vergleichsweise einfach ist dagegen die traditionelle Ueberwachung, im letzten Fall haette man zB einfach eine Videokamera im Auto verstecken koennen, nicht nur ein Mikro. Dann ist es auch egal, dass die Leute Krypto machen und ihre Mails so clever als Templates hinterlegen.

    Dann waere auch offensichtlich, in welchem Ausmass hier in die Privatsphaere eingedrungen wird. Die Aufnahmen sind auch wesentlich eindeutiger als online gewonnene ‘forensische’ Ergebnisse.

    Aber das wird man nicht tun, denn es geht nicht darum, intelligente und gezielte Massnahmen durchzusetzen. Schon gar nicht wird man auf Fachleute hoeren. Es geht nur um publicity, um Aufmerksamkeit. Und man will den Handlungsspielraum ausleuchten, indem wage kontroverse Vorschlaege in den Raum geworfen werden.

    Wenn es um Sicherheit ginge, wurde man auch das Personal schulen statt es zu entlassen.

    Diese Leute, insbesondere der Schaeuble, gehoeren vor’s Verfassungsgericht. Nicht nur haben sie wiederholt offiziell verfassungswidrige Handlungen authorisiert, sie verlangen auch noch mehr davon. Man verbreitet Panik, falsche Tatsachen, laehmt die Regierung und verschleudert Steuergelder mit kontraproduktiven Diskussionen und dummen Aktionismus.

  3. @OnlineSpezi42:
    Nun ja, das BKA ist groß genug und nur weil entsprechende Abwerbeversuche in der Szene stattfanden…

    @f*ckyou:
    Genau diese polemische Art der Diskussion wird zu nix führen. Hat es leider noch nie.

  4. @alexander geschonneck:

    Wenn das Kritik an meinem Beitrag sein soll: Ich nenne sachliche Argumente, wenn auch nicht sehr ausfuehrlich. Ich schildere sehr leicht umzusetzende Massnahmen, die saemtliche bisher angestellte Ueberlegungen in dem Bereich nutzlos machen. Und ich sage wie es stattdessen aussehen kann und was die Vorteile waeren.

    Ansonsten: Ich bin gespannt, wie man eine fachliche Diskussion in diese Kreise bringt. Aus meiner Sicht geht den Federfuehrern nicht um eine Verbesserung der Sicherheit gegen Terrorismus. Daher wird das nicht funktionieren.

  5. Hallo,

    mein Problem ist es immer daran glauben zu müssen, dass diese Maßnahmen (Bundestrojaner, etc…) gegen Terroristen schützen sollen. Ich meine mal angenommen ich wäre ein Terrorist, wie will dies das BKA oder LKA herausbekommen, wenn ich noch dazu aus Deutschland stamme und die Bomben aus handelsüblichen Materialien bauen würde. Ich weiss zwar, dass der Spruch “Zeige mir dein PC und ich weiss wer du bist.” zutrifft. Aber die müssten erstmal soweit kommen mich zu kennen. Dann könnten sie mich zwar ausspionieren, aber wär sagt, dass ich auf dem PC preisgebe was ich vorhab…
    Soviel dazu, selbst mit Überwachungskameras werde ich es fertig bringen eine Bombe zu zünden. Das einziege was passieren könnte, ist das man mich vor dem nächsten Anschlag stoppt. ^^

    Mit freundlichen Grüßen
    ———————–
    2D

  6. Der Beitrag ist zwar schon sehr alt, aber ich erlaube mir dennoch eine Anmerkung. Aus dem Blickwinkel der Verwertbarkeit der gewonnenen Daten bei der Onlinedurchsuchung sind die Zielsetzungen vom BKA und BSI nicht unbedingt konkurrierend. Auf einem ungeschützten System können keine belastbaren Daten gefunden werden. Anders sieht es natürlich bei der Onlineüberwachung aus.

    Ein Grundschutzmodul als Bottom-up Ansatz gegen die Onlinedurchsuchung halte ich für nicht erfolgsversprechend. 😉

  7. Neue Kosteninformationen: Bis zum 21.05.2010 sind 101 581,84 € Sachkosten und 581 000 € Personalkosten aufgelaufen. Dabei hat das BKA keine Online-Durchsuchung beantragt.

    Quelle: Antwort der Bundesregierung, Drucksache 17/1814 Bilanz der Online-Durchsuchung

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.