Online-Durchsuchung: Gefährlich aber nutzlos
Wer ganz sicher sein will, keinen Bundestrojaner abzubekommen, wer also keinen heimlichen Zugriff der Sicherheitsbehörden auf seine Festplatte vom Internet aus will, kann schlicht wie folgt vorgehen: Man nutze zwei Computer. Der eine Computer bleibt immer (immer) vom Internet getrennt. Auf diesem Computer verschlüsselt man dann seine Daten, so auch E-mails. Die verschlüsselten Daten kopiert man dann beispielsweise auf einen USB-Stick (wer es noch sicherer haben will: auf eine nur einmal beschreibbare CD/DVD) und transferiert diese Daten in diesem verschlüsselten Zustand auf einen zweiten Rechner. Auf diesem zweiten Rechner ist jedoch gar keine Festplatte installiert, sondern man verwendet auf ihm eine sogenannten Linux-Live-CD wie beispielsweise Knoppix. Dabei geschieht Folgendes: Der Rechner startet dabei nicht von einer Festplatte, sondern direkt von der Linux-CD/DVD. Das Betriebssystem Linux lädt sich dann von der CD/DVD direkt in den Arbeitsspeicher. Der Zugriff auf eine Festplatte ist nicht nötig. Mit diesem Linux-System geht man dann ins Internet und schickt seine verschlüsselten Daten ab und empfängt neue. Ein Angriff vom Internet aus auf diesen Linux-Rechner (beispielsweise per Bundestrojaner) wäre sinnlos. Denn nach jedem Neustart dieses Linux-Rechners von der Linux-Live-CD aus wären alle Programme, die sich eventuell als Schädlinge aus dem Internet auf dem Linux-Rechner breit gemacht haben könnten, wieder verschwunden, da die Linux-Live-CD wie gesagt nur im Arbeitsspeicher des Rechners arbeitete und von CD/DVD und nichts auf einem ansonsten wiederbeschreibbaren Datenträger wie beispielsweise einer Festplatte hinterlassen hat oder beim nächsten Start auf Daten auf solchen wiederbeschreibbaren Datenträgern zugreifen müsste. Der Linux-Rechner ist nach jedem neuen Booten von der Linux-Live-CD quasi "jungfräulich". Und während man am Linux-Rechner arbeitet, geht man ja nur mit verschlüsselten Daten um, ein eingeschleuster Trojaner könnte auf diesem Rechner wenig ausrichten. Es bestände natürlich die theoretische Möglichkeit, dass sich während des Surfens am Linux-Rechner ein Trojaner eingeschleust hat. Wenn man dann Zugriff auf Webseiten nimmt, die die Eingabe von Passwörtern erfordern, könnte es sein, dass solch ein Trojaner die Passwort-Eingabe überwacht. Ähnliches gilt für das Einloggen in E-mail-Postfächer. Eine Möglichkeit, dieser Gefahr zu begegnen, besteht darin, direkt (und ohne aktiviertem Javascript etc.) nach dem Start des Linux-Rechners die gewünschte Webseite anzusurfen und keine anderen Webseiten zu besuchen, auf denen eventuell Schadcode verbreitet werden könnte. Ist die Webseite, auf der man Passwörter eingeben will, verseucht, hilft das Verbergen des eigenen Passwortes eh nichts, dann wäre das Kind eh schon in den Brunnen gefallen. Um außerdem der Gefahr zu begegnen, dass direkt durch den eigenen Internetprovider in irgendeiner Art und Weise Schadcode auf den Rechner gelangt, wäre vermutlich der Einsatz von verschlüsselten, virtuellen Netzwerken sinnvoll und möglich.
Insgesamt bleibt das alles ein relativ unaufwendiges Verfahren. Der Normalbürger wird aber natürlich genauso weitersurfen wie bisher. Er hat ja nichts zu verbergen. Und genau deshalb wird er als einziger ins Visier der Sicherheitsbehörden kommen. Terroristen jedoch werden diesen kleinen Mehraufwand des oben beschriebenen Verfahrens ohne Zögern auf sich nehmen.
Und deshalb weiß ich schon heute mal wieder, was Schäuble dann morgen fordern wird: Ein Verbot von Verschlüsselung, ein Verbot von Linux, ein Verbot des Besitzes von Zweitrechnern oder ähnlichen absoluten Pseudo-Sicherheitsquatsch. Der Mann spinnt. Oder eher noch: Er lenkt von seinen sonstigen Versäumnissen im Amt ab mit diesen James-Bond-007-Pseudo-Sicherheitsvorschlägen, die zwar unwirksam sind, aber deshalb leider nicht ungefährlich sind. Und die dämlichste Partei, die dieses Land mittlerweile hat, die SPD also, wird munter mitmachen, dieses schleimige Etwas von einer ehemals angeblich aufrichtigen Partei. Alle haben sie ihr "Gleitgel" für Schäubles quietschenden Rollstuhl in der Schublade, könnte man sagen.
P.S.: Beim Onlinebanking gehe ich heute schon ähnlich vor. Ich besuche die Webseite meiner Bank nur bei ausgeschaltetem Javascript und Java nach Start von einer Linux-Live-CD und ohne vor dem Besuch der Bankwebseite noch eine andere Webseite geöffnet zu haben. Das macht das Onlinebanking etwas sicherer. Zumindest in Bezug auf Trojaner-Angriffe.
Technorati-Tags: Schäuble, Bundestrojaner, Onlinedurchsuchung, Online-Durchsuchung
2 Kommentar(e):
Ganz so einfach ist das nicht.
Es gibt auch noch die (theoretische) Möglichkeit von BIOS rootkits, deshalb ist ein Überschreibschutz für das BIOS (und evtl. das ROM von PCI Erweiterungskarten) Pflicht.
Die Behörden überlegen, soweit bekannt, intercepting proxies bei den ISPs aufzustellen. Hierüber können dann ausführbare Dateien für Windows infiziert werden oder oft besuchte Seiten gespiegelt und deren Programme dann. Deshalb ist es, wie Sie richtig beschrieben haben, notwendig alle Programme auf einem vertrauenswürdigen Boot-Medium zu haben.
Wenn der Staat aber bereits die Internet Infrastruktur unterwandert, dann kann er einem auch manipulierte Webseiten zusenden die einen 0day Exploit im Webbrowser ausnutzen. Und wenn man dann Linux neustartet kriegt man halt jedes Mal wieder beim Surfen eine neue Backdoor. Aufwändig, aber alles machbar.
Und falls das auch nicht klappt bekommt man halt mal Besuch vom Handwerker und ein Hardware-Keylogger (z.B. im Keyboard versteckt) wird installiert.
Man kann durch 2t-Rechner-Einsatz, Live-OS etc. den Aufwand für den Staat immens erhöhen, aber wenn es entsprechende Schnittstellen bei den ISPs gibt ist man relativ machtlos.
Abgesehen davon sind wohl die meisten derjenigen Personen für die der Bundestrojaner gedacht ist, nicht in der Lage sich adäquat zu schützen.
Da es in D aller Wahrscheinlichkeit keine Islamistischen Terroristen gibt, wird die Online-Durchsuchung m.E. nach primär gegen unliebsame Journalisten, Anwälte, Friedens-, Verfassungs- und Umweltaktivisten eingesetzt werden. Schlicht all diejenigen die für den autoritären Staat eine Gefahr darstellen.
Dann mal gut Nacht Deutschland!
Erstmal Danke für die Ausführungen!
"Und wenn man dann Linux neustartet kriegt man halt jedes Mal wieder beim Surfen eine neue Backdoor. Aufwändig, aber alles machbar."
Sicher. Aber soweit ich die nebulösen Äußerungen derjenigen verstanden habe, die für Online-Durchsuchungen sind, soll es ja vor allem den Dateien auf der eigenen Festplatte an den Kragen gehen. Ich erkläre mir das Interesse am Bundestrojaner wie folgt: Die Polizei wird festgestellthaben, dass sie inzwischen bei normalen Hausdurchsuchungen immer häufiger völlig verschlüsselte Festplatten vorfindet und so an keine Dateien herankommt. Um diese Verschlüsselung zu hintergehen, soll halt ein online eingeschmuggelter Trojaner im Moment des Ent- und Verschlüsselns dieser Daten beispielsweise das verwendete Passwort abgreifen. Und dem könnte man doch durch den Einsatz eines Zweit-Rechners einen einfachen Riegel vorschieben.
Auch der Austausch von verschlüsselten Dokumenten übers Internet wäre weiterhin möglich (so lange eben das Verschlüsseln und Entschlüsseln auf dem Zweit-Rechner passiert).
Alles andere, jede andere unverschlüsselte Online-Kommunikation, wäre natürlich irgendwie theoretisch angreifbar. Alles das, was der eigene Internet-Provider sieht, können ja schon heute die Sicherheitsbehörden theoretisch auch schon sehen. Inwiefern man trotz dieser Gefahr dennoch ein privates, verschlüsseltes virtuelles Netzwerk über das Internet aufbauen kann, übersteigt meine Kenntnisse. Theoretisch erscheint es mir als sichere Lösung, aber es könnte durchaus sein, dass es hier Angriffspunkte gibt.
Der gefährliche Knackpunkt beim Arbeiten an dem Rechner, der ans Internet angeschlossen ist, ist und bleibt, dass man auf ihm niemals irgendwelche Passwörter eingeben dürfte, denn der Internetrechner muss als "unsicher" gelten. Trotz Booten von einer Linux-Live-CD.
Aber zumindest an die eigentlichen Daten auf dem Arbeitsrechner, also dem, der nicht ans Internet angeschlossen ist und auf dem alle Dateien archiviert sind und auf dem man Dokumente erstellt und auf dem man das Ent- und Verschlüsseln macht, auf dem Adressen gespeichert sind, Kontaktdaten und so weiter, an diese Daten wäre dann über das Internet nicht heranzukommen.
Mein Fazit lautet also bei dem beschriebenen Verfahren weiterhin: Wer ein wenig Aufwand betreibt, der ist weiterhin nicht so ausforschbar, wie sich das die Sicherheitsbehörden vorstellen und wünschen. Zumindest Terroristen dürften keine Probleme haben, das beschriebene Verfahren einzusetzen. Alle anderen sind natürlich schutzlos.
Kommentar veröffentlichen