Antworten auf SPD-Fragen: Bundestrojaner weiterhin unsicher, Schäuble weiterhin gefährlich

Netzpolitik.org präsentiert zwei PDF-Dateien, die bislang anscheinend nicht der Öffentlichkeit bekannt waren. Nämlich die Antworten des Bundesinnenministeriums auf die Anfragen der SPD-Fraktion und auf die Anfragen des Bundesjustizministeriums in Bezug auf den geplanten "Bundestrojaner". Wer diese beiden umfangreichen PDF-Dateien nicht lesen möchte, dem sei eine Zusammenfassung des Inhaltes bei Rabenhorst empfohlen. Kai Raven weist dort auch auf einige Ungereimtheiten in den Antworten hin.

Zu einem kurzen, präzisen Knock-Out-Schlag setzt hingegen Fefe an bei seiner Kritik an den Antworten aus dem Bundesinnenministerium. Fefe zerfetzt die Antworten des Innenministeriums und zerstört damit die Glaubwürdigkeit von Schäuble und seinen untergebenen "Experten" mit einem einzigen Satz:

Insofern nahm ich mit Belustigung zur Kenntnis, daß das BMI denkt, sie könnten ihre Malware kryptographisch vor Reverse Engineering schützen: "Diese Analyse der RFS (Disassembling) wird jedoch durch die Verwendung kryptographischer Methoden nahezu unmöglich gemacht." An dieser Stelle hätte man nicht tiefer ins Klo greifen können. Dieser eine Satz reicht, um ihnen sämtliche auch nur in Resten von Fetzen vorhandene Sachkenntnis pauschal abzusprechen. Das ist so grotesk falsch, daß man sich ab dieser Stelle gar nicht mehr inhaltlich mit ihrem Geschreibsel beschäftigen muß [...]. (Quelle: Fefes Blog)

Ein weiterer dicker Einwand gegen die laut Bundesinnenministerium angeblich kaum vorhandene Gefahr, dass der Bundestrojaner entdeckt werden könnte, ist schlicht die Tatsache, dass die Bundes-Schadsoftware die gesammelten Daten irgendwann auch wieder zu den Schnüfflern zurücksenden muss. Dieser Netzwerkverkehr könnte vom Ausgeschnüffelten entdeckt werden. Auch darauf verweist Fefe und beispielsweise auch Verstecken.net.

Heise.de berichtete schon am 24.8.07 teilweise von den Antworten des Bundesinnenministeriums auf die Fragen der SPD zum Bundestrojaner in einem ausführlichen Hintergrundbericht. Dabei fiel mir noch folgende seltsame Äußerung des Bundesinnenministeriums auf:

Einig sei man sich jedenfalls darüber, "dass kein Interesse daran besteht, 'Hintertüren' in Betriebs- und Anwendungssysteme einzubauen". Solche absichtlich in Soft- und Hardware eingefügten Schwachstellen hätten nicht nur für die IT-Sicherheit, "sondern auch für die deutsche IT-Wirtschaft fatale Konsequenzen". Die Annahme der SPD-Fraktion, man sei auf ein "unsicheres" Netz für Online-Razzien angewiesen, sei "daher unzutreffend". (Quelle: Heise.de)

Was anderes als eine "Hintertür" ist ein Bundestrojaner? Will man diese Aussage so verstehen, dass das Bundesinnenministerium keine neuen Schwachstellen in Hard- und Software extra erzeugen oder in Auftrag geben lassen will, um den Bundestrojaner installieren zu können, so muss man dazu schlicht sagen: Das wäre auch gar nicht nötig. Es gibt einen Markt mit fertig ausgearbeiteten und erforschten aber den Softwareherstellern noch nicht mitgeteilten Sicherheitslücken, auf dem sich das Bundesinnenministerium nur zu bedienen bräuchte. Das Neuschaffen neuer Sicherheits-Schwachstellen wäre also von Seiten der Sicherheitsbehörden gar nicht nötig. Sehr schlau also geantwortet vom Bundesinnenministerium.

Der Bundestrojaner baut also sehr wohl auf ein unsicheres System auf. Alleine die Tatsache, dass das Beschnüffelungs-Opfer den Bundestrojaner nicht bemerkt, zeigt, dass sein Computersystem unsicher ist. Wir haben also weiterhin ein Bundesinnenministerium, das aktiv Schwachstellen von Computersystemen ausnutzen will und auf der anderen Seite eine dem Innenministeirum unterstellte Behörde namens BSI, die angeblich die Schwachstellen in Computersystemen bekämpfen will. Somit bleibt es bei einem unlösbaren Konflikt zwischen Innenministeirum und BSI. Die logische Folgerung kann nur sein, dass das BSI seine derzeitige Arbeit in der heutigen Form beenden müsste, denn kein Bürger würde wohl mehr Sicherheitszertifikaten oder Ratschlägen dieser Behörden Glauben schenken nach Einführung des Bundestrojaners.

Auch hinsichtlich der Frage, ob eine Online-Durchsuchung nicht zwangsläufig den Kernbereich der Privatsphäre des Ausgeschnüffelten verletzt, wirft das Innenministerium laut dieses Heise-Artikels mit Nebelkerzen. So behauptet es weiterhin, allein durch die Verwendung von bestimmten Suchbegriffen nur Informationen von der Festplatte des infizierten Rechners zu erfassen, die nicht zur Privatsphäre des Betroffenen gehören. Wie unsinnig dies ist, führt Kai Raven anschaulich vor Augen.

Auch dieser Satz lässt bei mir kein Gefühl von Sicherheit aufkommen:

Es baut ferner darauf, dass "durch entsprechende Vorfeldermittlungen" oftmals Suchbegriffe bekannt werden, anhand derer auf dem Zielsystem verfassungsgemäß gesucht werden könne. (Quelle: Heise.de)

Klar, wie beispielsweise solche Suchbegriffe wie "Gentrifizierung" oder "Prekarisierung". Da schnappt man nur Terroristen mit.

Neben den weiterhin und sogar zunehmend offenbar werdenden technischen Unzulänglichkeiten der geplanten Online-Durchsuchung (der sich etwas schlauere Terroristen übrigens trotz des ganzen Aufwandes vermutlich recht leicht entziehen werden können) machen mir aber vor allem Schäubles politische Ansichten die meisten Sorgen. Dieser Mann äußert immer wieder ganz unverfroren, dass er den bisherigen Rechtsstaat grundlegend verändern will. Jüngst wieder in einem Interview mit dem Deutschlandfunk:

Es ist eben so - und das wird von keinem ernst zu nehmenden im In- und Ausland bestritten -, die Rechtsordnung, die hergebrachte Rechtsordnung passt auf die klassische Unterscheidung nicht mehr mit der asymmetrischen Kriegsführung und den terroristischen Bedrohungen. (Quelle: Dradio.de)

Schäuble ist und bleibt gefährlicher als die Online-Durchsuchung. Vor der Online-Durchsuchung kann man sich notfalls schützen. Für Firmen wird es schwierig, zugegeben. Aber besorgte Privatpersonen schaffen sich einfach einen Zweitrechner an, den sie niemals ans Internet anschließen und auf dem Dokumente nur in verschlüsseltem Zustand Eingang und Ausgang finden. Aber Schäuble und seinem und der Union Ansinnen, die derzeitige Rechtsordnung zu ändern, steht man als normaler Bürger fast machtlos gegenüber - vor allem, wenn die SPD, wie zu erwarten, bald ihren Widerstand gegen Schäuble aufgeben wird.

Nachtrag: Interessante Erläuterungen zum Thema gibt es auch im Antiterror.Blog zu lesen: Fragen ohne Antworten.

Zum Beispiel:

Bei Fragen zur Technik kommen Antworten, die mich an dem Sachverstand des Autors zweifeln lassen [...]. Damit dürfte der "Bundestrojaner" die erste Software in der Geschichte der Softwareentwicklung sein, die von Anfang an praktisch frei von Fehlern und unerwünschten Nebeneffekten ist. [...] Wie man mit "kryptographischen Methoden" die Analyse "nahezu unmöglich" macht, kann ich mir nicht vorstellen. Denn spätestens kurz vor seiner Ausführung durch den Prozessor muss das Programm ja entschlüsselt im Speicher stehen. Zumindest mit einem virtualisierten System sollte daher eine solche Analyse möglich sein. (Quelle: Antiterror.blog.de)

Nachtrag 2: Heise.de bestätigt inzwischen indirekt die Authentizität der oben erwähnten, bei Netzpolitik.org verlinkten, PDF-Dateien und berichtet über die Einschätzung professioneller Datenschützer bezüglich der öffentlich gewordenen Antworten des Bundesinnenministeriums zum Bundestrojaner: Datenschutz-Sommerakademie: Schutz und Trutz vor der Online- Durchsuchung.

Nachtrag 3: Weitere Analysen und Kommentare in einem neueren Weblog-Eintrag von mir: Weitere Ungereimtheiten bei Antworten vom Bundesinnenministerium.

Technorati-Tags: Schäuble, Bundestrojaner, Online-Durchsuchung, Onlinedurchsuchung, Remote Forensic Software, RFS