Alle Beiträge von ijon

Über ijon

Aus Neugierde an Basisdemokratie und Netzpolitik trat Ijon 2007 in die Piratenpartei ein, verließ diese jedoch bereits 2009 wieder. Das Interesse an Digital- und Netzpolitik lässt ihn seitdem jedoch nicht mehr los: er hat die AG KRITIS mitgegründet und ist einer ihrer Sprecher, er engagiert sich im c-base e.V., im LOAD e.V., manchmal auch im CCC, und verfolgt die aktuellen Debatten auch aus dem Deutschen Bundestag heraus. Folge Ijon auf Twitter"

Was hat die NSA mit der Huawei-Debatte zu tun?

Was ist dran, an den Vermutungen, dass Huawei für unsere Netzwerke gefährlich sein könnte? Woher kommen die Anschuldigungen und was könnte eigentlich wirklich dahinter stecken?

In den letzten 18 Monaten ist die Debatte um die Frage, ob wir Huawei in unseren Netzwerken erlauben sollten, alle paar Wochen erneut hochgekocht – oft ohne konkreten Anlass und meistens auf Basis von Äußerungen eher konservativer Politiker, die dazu deutliche Meinung haben, aber was steckt wirklich dahinter?

Netzwerke sind jedoch nicht nur Mobilfunknetzwerke. In diesem Artikel geht es primär um sogenannte Backbone-Netzwerke. Diese Backbones verbinden Rechenzentren mit den Netzwerken der Internetanbieter, also sowohl Mobilfunk-Anbieter wie auch DSL- oder Kabel-Internet-Anbieter.

Es ist seit den Snowden-Files öffentlich bekannt und gut belegt, dass die NSA einen sogenannten“Full Take“ anstrebt. „Full Take“ bedeutet, eine vollständige Kopie des Datenverkehrs im Internet zu bekommen und live zu analysieren. Dieser Full Take wird angefertigt, in dem in der Backbone-Infrastruktur des Internets, Hintertüren in den „Verteilern“ (Switch) ausgenutzt werden, um dort zu konfigurieren, dass eine Kopie des Datenverkehrs ausgeleitet werden soll.

Selbstverständlich wäre es nicht wirtschaftlich, dies an allen Internetknotenpunkten zu tun – rein wirtschaftlich betrachtet wird sich die NSA wahrscheinlich auf die größeren, wichtigeren Knotenpunkte beschränken. Daraus folgt, dass der sogenannte Full Take mal mehr, mal weniger „Full“ ist – Nicht jede Ausleitung wird funktionieren, Hardware wird in Knotenpunkten auch erneuert und ausgetauscht und muss dann neu konfiguriert werden (erst durch den Betreiber, später durch die NSA). Trotzdem lässt sich das Bestreben nach einem Full Take gut belegen, mindestens anhand der Snowden-Files.

Aus diesem Gedanken folgt logisch, das auch neue Technologiegenerationen die für die NSA notwendigen Hintertüren beeinhalten müssen, um weiterhin einen Full Take machen zu können. Für zumindest einen Hersteller von dieser Technologie, dem amerikanischen Hersteller Cisco, ist dies gut belegt – egal in welche der vergangenen Technologiegenerationen wir schauen, wir finden immer eine große Menge Sicherheitslücken (die zur Hintertür werden können) und auch manchmal eine echte Hintertür, die von Sicherheitsforschern entdeckt worden ist. Es ist also naheliegend, zu vermuten, dass die NSA hier ihre Finger im Spiel hatte und zumindest einen Teil dieser Sicherheitslücken entweder verursacht hat, oder aber gefunden und dann geheim gehalten hat.

Im Jahr 2012 war es möglich, bekannte Sicherheitslücken in Cisco-Geräten auch in Huawei Netzwerkgeräten auszunutzen – woraus sich schließen lässt, dass die Huawei-Geräte zumindest zeitweise wohl auch Teile von Software beinhalteten, die auch in Cisco-Geräten zu finden waren oder von Cisco programmiert worden waren. Zumindest für das Jahr 2003 ist dies klar belegt, dort gab es einen Rechtsstreit um raubkopierte Software zwischen Cisco und Huawei. Aber auch in 2012 bestand diese Möglichkeit, wie der Hacker Felix „FX“ Lindner auf der Konferenz „Hack in the Box“ demonstrierte. Dort verwendete er ursprünglich für Cisco Geräte entwickelte Exploitsoftware um damit erfolgreich in Huawei-Geräte einzudringen

Irgendwann um oder nach dem Jahr 2012 entschied sich Huawei, ihren kompletten Softwarestack neu zu entwickeln. Spätestens seit dem Moment der Auslieferung dieser neuen Softwareversion war es Sicherheitsforschern nicht mehr möglich, mit Cisco Exploitcode Zugriff auf Huaweigeräte zu erlangen.

Wenn es also Sicherheitsforschern möglich war, Zugriff auf Huawei-Netzwerkkomponenten unter Ausnutzung von Cisco-Sicherheitslücken zu erlangen, so war dies der NSA auch möglich. Die NSA hat also, zumindest einige Jahre lang, den angestrebten „Full Take“ des Datenverkehrs im Internet auch mit Huawei Netzwerkkomponenten durchführen können – wahrscheinlich sogar ohne Wissen des Herstellers Huawei.

Durch die komplette Neuentwicklung der Software in Huawei-Geräten war dies dann wahrscheinlich nicht mehr möglich – dies war aber nicht sofort ein Problem, denn Datenverkehr kommt immer an mehreren Internetknotenpunkten vorbei und es reicht der NSA, wenn der Verkehr an nur einem Knotenpunkt vorbei kommt, an dem eine vollständige Ausleitung erfolgt.

Mit der Weiterentwicklung des Marktes und der überraschend schnellen Innovationsgeschwindigkeit bei Huawei wurde dieses Problem für die NSA aber langsam größer – seit einigen Jahren sind Produkte des Herstellers Huawei deutlich günstiger als vergleichbare Cisco-Geräte, erlauben aber gleichzeitig einen deutlich höheren Datendurchsatz – es ist also naheliegend, das Betreiber von Internetknotenpunkten bei einer neuen Technologiegeneration tendenziell eher Huawei verbauen, als die teureren und langsameren Cisco-Geräte. Dieser Trend besteht weiter, so dass man davon ausgehen muss, das der Full Take der NSA wahrscheinlich kein echter Full Take mehr ist. Es kann sogar sein, dass der prozentuale Anteil des Datenverkehrs, den die NSA ausleiten kann, in den letzten Jahren gesunken ist.

Was haben die Bestrebungen der NSA mit deutscher Sicherheitspolitik zu tun, mag man sich hier jetzt fragen – auch hier springen die Snowden-Files zu Hilfe und belegen den Ringtausch an Daten zwischen den sogenannten Five-Eye-Staaten aber auch den sogenannten G10-Staaten. Diese Staaten haben sich darauf geeinigt, das die Geheimdienste untereinander Erkenntnisse austauschen – und Deutschland ist mittendrin und dabei.

Hier existiert also ein konkreter außenpolitischer Hebel – der deutsche BND darf rechtlich nur 20% des Datenverkehrs am großen deutschen Internetknotenpunkt DE-CIX zur Analyse ausleiten – die NSA muss sich natürlich an diese Vorgabe nicht halten und leitet 100% aus – oder versucht dies zumindest. Die NSA kann also den BND unter Druck setzen, im Sinne der NSA zu handeln. Das Druckmittel ist die weitere Teilhabe an den Erkenntnissen, die die NSA sammelt – die der BND braucht, da der BND nur 20% des Datenverkehrs am DE-CIX ausleiten darf und wahrscheinlich an ausländischen Netzwerkknoten keine eigenen Möglichkeit zur Ausleitung hat, sondern sich auf die amerikanischen verlassen muss.

Nun kommt noch ein weiteres, spannendes Indiz dazu. In der Presse und der Öffentlichkeit geht es bei der Huawei-Debatte immer nur um den Mobilfunkstandard 5G. Schaut man sich dann die entsprechenden Gesetzesvorschläge, ob nun im IT-SiG2-RefE1 von April 2019 oder den kürzlich veröffentlichten IT-SiG2-RefE2 von Mai 2020, so findet sich dort weder das Wort Mobilfunk, noch das Wort 5G – die dortigen Formulierungen beziehen sich immer auf die viel allgemeinere Oberkategorie Netzwerk- und Telekommunikationsequipment. Also Kategorien, die nicht nur Mobilfunkequipment beeinhalten, sondern auch Backbone-Infrastruktur und spezielle Hardware für Internetknotenpunkte.

Dies wirkt erstmal kurios, ergibt aber Sinn, wenn man weiß, dass im 5G-Standard ein Mitschneiden oder Ausleiten des Datenverkehrs nicht möglich ist, ohne das der Netzbetreiber kooperiert. Im 5G-Standard wird der Datenverkehr erstmalig zwischen den einzelnen Netzebenen sauber verschlüsselt und signiert, so dass es Nachrichtendiensten dann nicht mehr möglich ist, ohne Kenntnis und Kooperation des Netzbetreibers Daten auszuleiten. Eine Ausleitung ist erst dann möglich, wenn der Datenverkehr das Netzwerk des Mobilfunkbetreibers verlassen hat und einen Internetknotenpunkt passiert.

Fügt man alle diese Puzzleteile zusammen, so kommt man zu dem Ergebnis, dass es wahrscheinlich gar nicht ausschließlich um Huawei geht!

Das Huawei eine Gefahr für unsere Netze sein soll, ist eine unbelegte Behauptung – sehr naheliegend und durch viele Indizien gestützt ist aber, dass Huawei eine Gefahr für die Full Take Bestrebungen der NSA ist. Würde man Huawei in Europa verbieten, so bliebe den Netzwerkbetreibern keine andere Option, als Netzwerkkomponenten auch wieder von Cisco zu kaufen. Dies scheint das Ziel zu sein – damit der prozentuale Anteil des Datenverkehrs, den die NSA ausleiten kann, wieder größer wird. Kenner des Marktes mögen hier einwenden, das auch der amerikanische Hersteller Juniper eine Alternative sein kann, dieser hat jedoch auch zumindest einmal nachweislich Backdoors für die NSA installiert. Damit ist dieser Hersteller nicht vertrauenswürdiger als Cisco.

Schaut man sich an, welche Politiker und Personen die Huawei-Debatte immer wieder aufflammen lassen, so stellt man fest, das dies oft Geheimdienst-nahe Kreise sind. Ist eine Verbindung zu den deutschen Nachrichtendiensten nicht belegbar, findet man oft Belege zu transatlantischen Beziehungen der Personen, die die Huawei-Debatte immer wieder aufleben lassen.

Auch ist es bezeichnend, dass es für die behaupteten Überwachungsmöglichkeiten in Huawei-Geräten keine eigenen deutschen Erkenntnisse gibt. Genau wie bei den angeblichen Massenvernichtungswaffen des Irak verlassen wir uns hier auf amerikanische Behauptungen, beispielsweise vom DHS (Department of Homeland Security). Wie auch bei den angeblichen irakischen Massenvernichtungswaffen werden der deutschen Politik keine konkreten Belege zur Verfügung gestellt. Stattdessen speist man deutsche Politiker mit Behauptungen ab, die dann von deutschen Nachrichtendienstvertretern aufgegriffen werden.

Selbstverständlich ist damit nicht alles gut – Huawei ist durch diese Erkenntnisse kein bisschen besser oder schlechter geworden. Ob Huawei-Geräte vergleichbare Hintertüren für chinesische Überwachungsmaßnahmen haben ist nachwievor weder belegt noch wiederlegt. Zumindest bei Smartphones dieses Herstellers gibt es öffentlich bekannt gewordene Fälle, wo Huawei-Geräte unnötig viele Daten zu ihrem Hersteller sendeten. Auch der von Huawei abgestrittene aktuelle Fall rund um das Huawei Kernel Self Protection Modul (HKSP) im Android Kernel, bei dem dem Hersteller vorgeworfen wird, eine kritische Sicherheitslücke im Android Kernel vorsätzlich integrieren zu wollen, lassen das Vertrauen in diesen Hersteller nicht gerade steigen.

Sonderlich viele Meldungen über dramatische Sicherheitslücken in Huawei Netzwerkinfrastruktur sind aber nicht bekannt geworden, jedenfalls im Vergleich zu den amerikanischen Mitbewerbern in diesem Segment. Ob das an einer besseren und effektiveren internen und externen Kommunikation mit Sicherheitsforschern liegt, oder aber an der Menge der Sicherheitslücken, ist natürlich auch nicht bestimmbar.

Auch die Zusicherungen, für die sogenannte Vertrauenswürdigkeitserklärung, die jetzt im IT-SiG2-RefE2 enthalten sein sollen, sind kein besonderer Schutz, denn kein Hersteller kann garantieren frei von Backdoors zu sein. Ganz vereinfacht erklärt werden alle Hersteller von ihren Kunden gebeten, Möglichkeiten für Telekommunikationsüberwachung vorzusehen. In manchen Staaten braucht man für die Durchführung einen Richtervorbehalt, in anderen Staaten nicht. Wenn aber alle Netzwerkausrüster Geräte mit solchen Funktionen herstellen, dann kann keiner eine Garantie geben, dass die dafür vorgesehene Schnittstelle nicht auch von Geheimdiensten missbraucht werden könnte.

Diese Indizien deuten darauf hin, das diese Debatte eine Scheindebatte ist. Es geht wahrscheinlich nicht um Mobilfunk oder 5G, denn eine Überwachung von 5G-Netzen ist auf dem konventionellen Weg so nicht möglich. Die Indizien deuten darauf hin, dass diese Debatte von amerikanischen Geheim- und deutschen Nachrichtendienstkreisen angeheizt und geführt wird, um die Erfassungsquote von Datenverkehr für nachrichtendienstliche Analysen wieder zu erhöhen und strategisch zu sichern.

Denjenigen, die die Debatte um Huawei in unseren Netzen immer wieder in befeuern, geht es also nicht um die Frage, ob China uns abhören will. Eigentlich geht es in dieser Debatte um die Frage, ob unsere Freunde und Partner, die USA uns weiterhin abhören können.

Das große Ziel muss für Europa sein, von beidem unabhängig zu sein. Wir brauchen echte digitale Souveränität.

Versteckte Funktion des nPA – sicherer Login bei Facebook, Google & Co

Im elektronischen Personalausweis (nPA), sind viele neue Funktionen eingeführt worden. Darunter zum Beispiel auch die Online Ausweisfunktion, die jeder von uns kennen sollte. Was viele nicht wissen ist, dass der neue elektronische Personalausweis auch noch weitere Funktionen mit sich bringt, die das arbeiten und surfen mit Internet sicherer machen können. 
Unser Mitglied Ijon, hat sich in den letzten Jahren schon vermehrt mit dem Thema eGovernment, sowohl beruflich aus auch privat, auseinandergesetzt. Seit im November 2010 der neue Personalausweis eingeführt wurde, hat er sich, wie viele andere, intensiv damit auseinandergesetzt und sich mit den technischen Möglichkeiten beschäftigt.
Aufgrund der schlechten Kommunikation durch die Bundesregierung und der weiteren zuständigen Stellen, konnten sich die umfassenden digitalen Funktionen des Personalausweises bisher nur wenig verbreiten.
 
Während eines Gesprächs mit einem Freund fand Ijon heraus, dass einer seiner Freunde an dem nPA mitentwickelt hat und das es sogar Funktionen gibt, die bisher überhaupt nicht kommuniziert wurden. Der neue Personalausweis kann dank dieser Funktion nicht nur „als digitaler Ausweis“ fungieren, sondern auch als Teil einer ZweiFaktorAuthentifizierung. Dadurch ist es möglich den Personalausweis zu nutzen um sich auf OnlinePlattformen wie Google oder Facebook anzumelden. Dabei nutzt man den Personalausweis als zusätzlichen Faktor, neben dem Passwort, um sich anzumelden und erzielt damit eine deutlich besseren Schutz der eigenen Onlinekonten.
 
Diese Funktion ist deswegen besonders, weil sie datensparsam und datenschutzfreundlich implementiert wurde. Zu keinem Zeitpunkt bekommt die Plattform, bei der der Personalausweis auf diese Weise eingesetzt wird, Zugriff auf personenbezogene Daten, denn der Personalausweis generiert für jede neue Plattform eine eigene pseudonyme Identität, die sich nicht rückführen lässt auf den Personalausweisinhaber.  
Diese Funktion basiert auf einem Internationalen technischen Standard mit dem Namen „FIDO“ (Fast IDentity Online), den auch weitere private und staatliche Institutionen verwenden. Unternehmen und Organisationen, die den FIDO-Standard unterstützen und weiterentwickeln haben sich in der FIDO Alliance: https://fidoalliance.org/members zusammengeschlossen.
 

Da Ijon auch sonst gerne Videos produziert, hat er zusammen mit seinem Freund Christian ein Video gedreht, welches diese bisher noch unbekannte Funktion demonstriert und die Einrichtung des Systems dokumentiert.

Staatstrojaner lügen vor Gericht!

Staatstrojaner sind als Beweismittel vor Gericht absolut ungeeignet. Warum das so ist, möchte ich in diesem Artikel erklären. Bevor wir in die technischen Hintergründe dieser Behauptung einsteigen, möchte ich kurz die Begrifflichkeiten sauber definieren. Unsere Bundesregierung findet, dass man einen Staatstrojaner nicht so nennen soll, sie würde das Wort „Online-Durchsuchung“ oder Quellentelekommunikationsüberwachung (QTKÜ) bevorzugen und beantwortet kleine Fragen über Staatstrojaner nicht, wenn man die Dinge beim Namen nennt. 

Zur Definition: Ein Staatstrojaner ist ein Stück Software, das von Geheimdiensten oder Polizeibehörden genutzt wird. Diese Software überwindet die Sicherheitsmaßnahmen auf einem Computer oder Smartphone unter Ausnutzung von Sicherheitslücken und bringt sich selbst (ungewollt durch den User) zur Ausführung auf dem Zielsystem der überwachten Person. Danach sammelt dieses Stück Software Daten von dem Computer oder Smartphone und überträgt diese Daten zurück an den Geheimdienst oder Polizeibehörde, die diese Software eingesetzt haben.

Damit ein Staatstrojaner funktioniert, benötigt es eine vorhandene Sicherheitslücke auf dem Ziel-Computer (oder Smartphone). Diese Sicherheitslücke ist also das Einfallstor für die Software. 

Es muss nicht extra betont werden, da es offensichtlich scheint: Es gibt viele Akteure, die mit teilweise viel Geld (oder Zeit) nach Sicherheitslücken suchen. Beispiele dafür sind z.B. Cyberkriminelle, Geheimdienste, IT-Sicherheitsforscher und Polizeibehörden. Die genannten Gruppen gibt es in jedem Land auf der Erde, es gibt also sehr viele Menschen, die Sicherheitslücken suchen und finden. Jede dieser Gruppen hat ihre eigene Motivation eine gefundene Sicherheitslücke ersteinmal für sich zu behalten. Je mehr Menschen ein Geheimnis kennen, desto schneller wird ein Geheimnis allgemein oder öffentlich bekannt – da sich sehr viele Menschen mit dem professionellen Finden von Sicherheitslücken befassen, muss man davon ausgehen, dass jede Sicherheitslücke binnen kurzer Zeit auch anderen bekannt wird.

Wenn also der Staatstrojaner eine Sicherheitslücke erfolgreich benutzt, dann hat er damit den Beweis geführt, das jeder andere auch diese Sicherheitslücke vor dem Staatstrojaner benutzt haben könnte. Damit sinkt die Beweiskraft der Informationen auf dem infiltrierten System, denn jeder andere Nutzer der Sicherheitslücke kann genau die digitalen Spuren platziert (gefälscht) haben, nach denen der Staatstrojaner sucht. 

Ein Computersystem ist binär – es gibt nur „0“ oder „1“. Grundsätzlich sollte man davon ausgehen, dass jedes ausgeführte Computerprogramm jede beliebige 0 oder 1 auf dem System verändern kann. Es ist daher nicht möglich zu beweisen ob der User, oder ein (Schad)Programm eine Datei angelegt hat, denn jede Meta-Information zu dieser Datei kann ebenso gefälscht werden wie die Datei selbst. Es gibt keine digitalen Fingerabdrücke oder ein Äquivalent zu DNA-Spuren, die zweifelsfrei den Urheber einer Aktion auf einem Computersystem identifizieren könnten, alles was auf einem System vorhanden ist, kann dort platziert worden sein.

Ein mit Schadsoftware infiziertes System ist also von Außen verändert worden, und hat nun ein weiteres Einfallstor (der Steuerkanal der Schadsoftware), durch das Dritte das System weiter verändern können. Damit kann keine Datei auf dem Zielsystem mehr eindeutig der Zielperson zugeordnet werden. Soviel zur allgemeinen Betrachtung – kommen wir zu den Feinheiten.

Was ist denn mit „Staatstrojaner light“, also WhatsApp, E-Mails – das digitale Gegenstück zum „Telefon abhören“?

Befürworter eines Staatstrojaners argumentieren damit, das eine herkömmliche Telefonüberwachung nicht ausreicht, da dort Messenger und E-Mails nicht miterfasst werden können. Daher versuchen sie einen Staatstrojaner light zu etablieren. Dies heisst dann „erweiterte Quellentelekommunikationsüberwachung“ (QTKÜ) und dieser Staatstrojaner soll nur einige wenige Funktionen haben, wie z.B. das dieser sich nur auf das Auslesen von E-Mails oder Abhören von Chatkommunikation beschränkt und andere Funktionen wie z.B. die Durchsuchung des Speichers des Geräts eben nicht hat. 

Diese Argumentation ist mehrfach invalide. Ein persönliches Beispiel: Ich persönlich habe mir angewöhnt in schwierigen menschlichen Situationen einen „bösen“ E-Mail-Entwurf zu schreiben. Zum abreagieren. Ich stelle mir dabei vor, dass ich diese E-Mail wirklich senden möchte. Diese E-Mail ist allerdings niemals für den Versand gedacht, ich zwinge mich immer mindestens eine Nacht über diese E-Mail zu schlafen, bevor ich sie lösche, redigiere oder stark geändert unter Umständen abschicke. 

Ein QTKÜ-Trojaner würde diesen Entwurf kopieren und an die Polizei übermitteln, obwohl dieser Entwurf keine Kommunikation ist, da er nicht für den Versand vorgesehen war und damit nicht von der QTKÜ-Maßnahme gedeckt war. Das weiß aber der Trojaner nicht und auch nicht mein E-Mailprogramm. 

Wenn man diesen Gedanken zu Ende denkt, kommt man zum Schluss, das wir unsere Geräte eher wie einen „Meta Cortex“ nutzen, also wie einen ausgelagerten Teil des Gehirns, und damit dem Ort meiner Gedanken. Ein Staatstrojaner (auch die QTKÜ-Variante) verschafft Dritten Zugriff auf diese höchstpersönlichen Gedanken, obwohl der „Staatstrojaner light“ (QTKÜ) eben gerade nicht in diesen höchstpersönlichen Teil des Lebens eingreifen sollte und nur die Kommunikation abgreifen sollte.

Es hieß doch in dieser Republik „Die Gedanken sind frei!“ – aber ist das wirklich so, wenn wir Staatstrojaner haben?

Das BVerfG hat Staatstrojaner für die QTKÜ unter sehr engen Grenzen erlaubt, nämlich, dass ein solcher Staatstrojaner bestimmte Funktionen wie das Durchsuchen der Festplatte nicht haben darf. In einem Rechtsstaat  muss der Staat gegenüber den Bürgern den Beweis führen, das die Ermittlungswerkzeuge innerhalb der Grenzen bleiben, die unsere Gerichte gesetzt haben. Aber kann der Staat diesen Beweis bei der „light“-Variante führen? 

Durch das erfolgreiche Eindringen führt der Trojaner zuerst den Beweis, das auch andere auf dieses System hätten zugreifen können. Der Trojaner kommt mit einer bestimmten Menge an Funktionen, es ist aber möglich, das der Trojaner weitere Funktionen, z.B. durch Download aus dem Internet, dazugewinnt. Es ist auch denkbar, das der Trojaner durch Verwendung von Algorithmen, die bereits auf dem infizierten System vorhanden sind, weitere Funktionen dazugewinnt.

Beispielsweise muss der Trojaner selbst gar keinen Algorithmus zur Durchsuchung einer Festplatte mitbringen – jedes Betriebssystem hat dazu schon Software. Auch das Verpacken und Hochladen von Dateien kann jedes Betriebssystem selbst, wenn man es dazu anweist. 

Eine Untersuchung des Quellcodes des Trojaners reicht also nicht für diesen Beweis, da der Staatstrojaner auch andere Algorithmen nutzen kann. Schlimmer noch, die Anweisung zur Nutzung von Funktionen, die zwar nicht im Staatstrojaner stecken, allerdings z.B. im Betriebssystem bereits vorhanden sind oder aus dem Internet nachgeladen werden, kann jeder auslösen, der auch Kenntnis von der initialen Sicherheitslücke erlangt hat, wie z.B. die Polizei, oder Dritte die auf eine andere Weise Zugriff auf das System erlangt haben. 

Es ist deswegen der Polizei unmöglich, die Rechtsstaatlichkeit eines Staatstrojaners den Bürgern zu beweisen, da es nicht möglich ist, einen Beweis über die Abwesenheit einer Funktion zu führen, solange die Geräte ein Betriebssystem haben und mit dem Internet verbunden sind. Schlimmer noch – durch das Installieren eines Staatstrojaners haben die Ermittlungsbehörden das System für Dritte geöffnet, die dort auch (gefälschte) Beweismittel platzieren könnten.

Dies gilt selbstverständlich sowohl für die „Online-Durchsuchung“, also die tiefgehende Durchsuchung des Systems ohne echte Grenzen, als auch für die „light“-Variante, die QTKÜ, die im Narrativ der Regierung das Gegenstück zur klassischen Telefonüberwachung darstellt und in ihrer Funktion begrenzt sein soll.

Durch den Einsatz eines Staatstrojaners ist es, wie weiter oben erklärt, nicht mehr möglich zu sagen wer die Datei auf dem System platziert hat (der Vdrdächtigte, oder ein Dritter). Die Ergebnisse eines Staatstrojaner haben daher eine äußerst geringe Beweiskraft und es ist unmöglich einen Staatstrojaner so zu gestalten, das bewiesen werden kann, das er grundrechtskonform ist, also gewisse Funktionen nicht hat. Dies folgt logisch aus der grundlegenden Beschaffenheit der Computersysteme, auch zukünftige Entwicklungen können die Grundprinzipien der Informatik nicht wiederlegen. 

Wenn eine Sicherheitsbehörde eine Sicherheitslücke findet und für die Ausnutzung der selbigen Geld investiert, so hat die Behörde ein Interesse daran, das diese Investition sich möglichst lange lohnt, die Sicherheitslücke also eben nicht geschlossen wird. Dieses Interesse überwiegt in der Betrachtung unserer Regierung dem Interesse der Bürger, Systeme zu benutzen die möglichst wenig Sicherheitslücken haben. Die Bundesregierung nimmt sogar viel Geld in die Hand und hat ZITiS gegründet – eine Behörde, die Sicherheitslücken suchen soll – nicht damit diese geschlossen werden können, sondern damit Staatstrojaner gebaut werden können. 

Wo soll die Reise also hingehen?

Selbstverständlich darf unsere Polizei auf dem digitalen Auge nicht blind sein, Staatstrojaner können aber, wie dargelegt, kein Teil der Lösung sein, wenn man den Wortlaut unserer Verfassung nicht ad absurdum führen möchte. 

Die Antwort ist: klassische digitale Forensik. Wenn ein erhärteter Verdacht besteht, soll ein Richter urteilen, dass die Hardware des Verdächtigen beschlagnahmt werden soll. Mit speziellen forensischen Geräten, die elektrophysikalisch beweisbar keine Daten auf der untersuchten Hardware schreiben können, sollen dann die Daten Bit-für-Bit kopiert werden. Dann sollen Fachkräfte für digitale Forensik diese Kopie analysieren. Dieser Vorgang ist in sich bereits ein enormer Eingriff in die Privatssphäre, wenn wir allerdings einen Richtervorbehalt schaffen, so wäre diese Art von Eingriff vollständig grundrechtswahrend durchführbar, die juristischen Schranken sollten wir allerdings höher hängen als für eine Hausdurchsuchung. Auch ist es notwendig die untersuchte Hardware nach dem Anfertigen einer forensischen Kopie so schnell wie möglich zurückzugeben, dies folgt aus der Unschuldsvermutung.

Selbstverständlich benötigt unsere Polizei und die Landeskriminalämter für die forensische Untersuchung kompetentes Fachpersonal. Es ist daher notwendig für digitale Forensik deutlich mehr Planstellen in den Landeskriminalämtern (LKA) zu schaffen und diese Fachkräfte marktüblich zu bezahlen und dafür die TVÖD-Tarife entsprechend anzupassen.

Die Aussage einer forensischen Analyse ist vor Gericht belastbarer als die Informationen von einem Staatstrojaner, da die Integrität des Computersystems durch die Ermittlungen in keinster Weise gestört oder verändert wurden, im Gegensatz zu einem Trojaner, der die Integrität des informationstechnischen Systems und die der Sicherheitseinrichtungen bei seinem Einsatz verletzt. 

Nichtsdestotrotz kann jede Datei immer auch auf dem Computersystem platziert worden sein – das Vorhandensein einer Datei ist kein Beweis, nur ein Indiz. Genau wie in der analogen Welt ein beschlagnahmtes Beutelchen Cannabis kein Beweis ist, das dieses auch vor der Durchsuchung im Besitz des Verdächtigen war. Sowohl die Begleiter des Verdächtigen, als auch der durchsuchende Polizeibeamte haben bei einem solchen Vorwurf die Gelegenheit gehabt dieses metaphorische Beutelchen (Datei) zu platzieren.

Wenn wir also unsere Polizei wirklich unterstützen wollen, dann hören wir auf in potentiell verfassungsfeindliche Software ohne echte Beweiskraft vor Gericht zu investieren und statten lieber die Polizeibehörden so aus, das diese auf dem klassischen Weg der Beschlagnahmung und forensischer Untersuchung verwertbare und belastbare Indizien unter Richtervorbehalt produzieren können. So würden wir die zweifelsohne notwendigen Ermittlungen im Bereich der Schwerst-Kriminalität nicht nur ermöglichen, sondern sogar vereinfachen.

Digitale Kontaktbereichsbeamte und Fachkompetenz im Bereich der Internetkriminalität für die Polizei!

Die Vorfälle rund um den hessischen Gymnasiasten, der die persönlichen Daten von fast 1.000 Abgeordneten und Prominenten veröffentlicht hat, zeigen, dass die zuständigen Behörden an mehreren Stellen mit dem Deliktbereich Internetkriminalität überfordert sind.

Bildquelle: Westpress Kaliningrad archive, image # / / CC-BY-SA 4.0

Wie Medien berichteten, gab es bereits 2018 mehrere Anzeigen und sogar eine Hausdurchsuchung beim Tatverdächtigen. Die Erkenntnisse und Ermittlungen blieben allerdings auf Länderebene – u. a. auch deswegen, weil die eingesetzten Softwareprodukte zur Vorgangsverfolgung der Länderbehörden inkompatibel sind zu denen der anderen Länder. Ein zeitnaher Austausch der Erkenntnisse aus den Ermittlungen war daher nicht möglich.

Die Vorgänge wurden vermutlich nur in dem Bundesland bearbeitet, in dem das Delikt angezeigt wurde. Hier liegt der Verdacht nahe, dass die Polizeibehörden die länderübergreifende Natur des Internets in ihren Ermittlungsprozessen bisher nicht berücksichtigen.

LOAD e. V. fordert daher die Ausstattung der Polizei mit mehr Personal und Fachwissen im Bereich der Internetkriminalität. Es reicht nicht pro Bundesland ein kleines Team „ZAC“ (Zentrale Ansprechstelle Cybercrime) zu haben, es benötigt digitale Kontaktbereichsbeamte! Es braucht mehr Fachwissen und Personal und zeitgemäße Ermittlungsprozesse, in keiner Weise jedoch neue Befugnisse. Bevor neue Befugnisse erteilt werden, müssen die vorhandenen durch zeitgemäße Ermittlungsprozesse wirklich genutzt werden.

Unsere Polizei ist Freund und Helfer – selbstverständlich bietet die Polizei (in manchen Landkreisen) kostenlose Überprüfungen der Sicherheit von z. B. Fahrrädern oder Haustüren an, oder Beratung zu solchen Themen. Diese Aufgaben fallen unter den Oberbegriff Kriminal­prävention und sind üblich. Darüber hinaus ist es in der Struktur der Polizei normal, dass es Fachpersonal für Deliktbereiche gibt, wie z. B. im Deliktbereich sexueller Missbrauch.

Daher fordern wir die bürgernahe Einrichtung einer Einheit, die grundsätzliches Wissen über Cyberkriminalität in jeder Polizeiwache verbreitet. Im Sinne der Kontaktbereichsbeamten sollen in möglichst vielen Polizeiwachen Planstellen für Fachpersonen mit besonderer Ausbildung geschaffen werden.

Die Aufgaben dieses zusätzlichen Personals umfassen das Absichern von Computern der Bürger, z. B. durch persönliche Beratung zur Cybersicherheit, aber auch das Veranstalten von kostenlosen Seminaren und Informationsveranstaltungen zum sicheren Datenverkehr im Internet. Weiterhin soll dieses Personal Anzeigen von Bürgern zum Deliktbereich Internetkriminalität aufnehmen und je nach Bedarf notwendige nachgängige Beratung nach einem Delikt zur Absicherung des betroffenen Geräts oder Accounts vornehmen.

Es kann nicht sein, dass die Prävention von Straftaten im Deliktbereich Internetkriminalität alleinig auf den Schultern ehrenamtlicher Bürgerinitiativen lastet, die Cryptoparties veranstalten.

Weiterhin muss fest in die Prozesse dieser Einheit integriert werden, dass Vorfälle und Anzeigen bewertet und professionell an das BSI (Bundesamt für Sicherheit in der Informationstechnik) und an das NCAZ (Nationales Cyberabwehrzentrum) weitergemeldet werden. So wird ein bürgernahes Frühwarnsystem für Cyberkriminalität geschaffen. Das Curriculum der Aus- und Fortbildung dieses Fachpersonals soll zu einem Großteil vom BSI festgelegt werden.

Weiterhin fordert LOAD e. V. eine deutliche Korrektur der TVöD-Tarife für unsere Polizei. Es ist unmöglich ausreichend Fachkräfte anzuwerben, wenn die Wirtschaft ein Vielfaches des Gehalts für dieselben Kenntnisse und Fähigkeiten bezahlt.

LOAD e. V. sieht keine Verantwortung oder Schuld für dieses Behördenversagen beim BSI. Es ist allerdings klar, dass auch in diesem Fall ein unabhängiges BSI, das nicht vom Bundesministerium des Innern, für Bau und Heimat kontrolliert wird, leistungsfähiger und effektiver hätte handeln können.

KI und Blockchain sind die Flüchtlingsdebatte der Digitalpolitik!

Anstatt das wir in der öffentlichen Debatte über Geflüchtete reden, gäbe es so viele andere wichtige Themen, die davon überlagert werden und nicht die Aufmerksamkeit bekommen, die man ihnen schenken müsste – wie z.B. den Klimawandel, die andauernde Niedrigzinsphase, Steuerhinterziehung in Milliardenhöhe (Cum-Ex / CumCum), den schlechten Zustand unseres Bildungssystems oder die kaputtgesparte Polizei. Stattdessen lassen wir uns als Gesellschaft eine Debatte von rechts-außen aufzwingen, bei der es selten um Lösungen und vielmehr um Stimmungsmache geht, die zwar niemandem nützt dabei, aber die anderen wichtigeren Themen verdrängt.

Eine solche vorgeschobene Debatte haben wir auch in der Digitalpolitik – dort wird uns die Debatte rund um KI und Blockchain aufgedrückt, obwohl es so viel wichtigere Themen gäbe!

Die öffentliche Anhörung zum Thema Blockchain im Bundestagsausschuss Digitale Agenda  Ende November hat gezeigt: das Thema entwickelt sich von selbst, ohne dass es aktuell Regelungs- oder Förderungsbedarf seitens der Politik gäbe. Eine aktuelle Studie untersuchte 43 Blockchain-Anbieter und -Startups und statuierte eine Erfolgsquote von 0%. Die Vertreter der Industrie forderten in dieser Anhörung maximal sogenannte „Testbeds“ (Testregionen in denen manche regulative Vorgaben für Tests von neuen Geschäftsmodellen regional begrenzt aufgehoben werden) zur Entwicklung neuer Geschäftsmodelle rund um die Blockchain. Das zeigt für mich, dass diese Technologie entweder wirklich überflüssig ist, oder noch so sehr in den Kinderschuhen steckt, dass wir dieser Technologie zu viel Platz einräumen in der aktuellen Debatte.

Bei KI verhält es sich ähnlich. Im Bundestag wurde eine Enquete-Kommission KI eingerichtet, die Bundesregierung hat auf dem Digitalgipfel ihre (halbherzige) Strategie vorgelegt, das Bundesministerium für Bildung und Forschung (BMBF) fördert fleißig die Entwicklung von künstlicher Intelligenz. Die Industrie arbeitet auch daran. Für konkreten Regulierungsbedarf scheint es bisher keinen Grund zu geben. Finanzmittel für weitere Forschung bis 2025 in Höhe von 3Mrd€ wurden im Haushalt bereitgestellt (Drucksache 19/5880).

Trotzdem reden wir in der öffentlichen Debatte im Bereich der Digitalpolitik (fast) nur über KI und Blockchain – obwohl es so viel wichtigere Themen gäbe, wie z.B. den Breitbandausbau, die Cybersicherheit, Open Source-Software, eGovernment, die Bildungspolitik.

Wie kann es sein, dass es im Jahr 2018 immer noch Schulen gibt, in der nicht jeder Schüler ein Tablet und die Schule keinen eigenen Glasfaseranschluss mit Gigabit-Geschwindigkeit hat? Warum reden wir nicht über Open Source-Software, gerade auch in der öffentlichen Verwaltung, im Bereich eGovernment und der seit mindestens zwei Jahrzehnten überfälligen Digitalisierung der Verwaltung? Wie kann es sein, das wir hunderte von Millionen Euro ins amerikanische Ausland überweisen für Softwarelizenzen, deren Funktionen wir seit Jahrzehnten in Open Source-Software haben könnten?

Wie ist es möglich, das wir von allen unseren europäischen Nachbarländern in Bezug auf eGovernment nicht nur überholt, sondern überrundet worden sind? Wie ist es möglich, dass wir, obwohl wir eines der dichter besiedelten Länder in Europa sind, immer noch weiße Flecken in der Mobilfunkabdeckung haben?

Unserem  „Bundesinnenminister für Bau und Heimat“ geben wir eine Bühne, um im Bereich „aktive Cyberabwehr“ und „Hackback“ seine fehlende Kompetenz zu beweisen, werfen ihm aber nicht vor, dass ein Angriff auf deutsche Behördeninfrastruktur im Durchschnitt 150-200 Tage benötigt, bis er entdeckt worden ist! 200 Tage nach einem Angriff wäre ein Gegenangriff, so er denn technisch möglich wäre, nicht nur sinnlos, sondern peinlich.

Die CDU/CSU verwendet immer wieder das Mantra „Sicherheit durch Verschlüsselung und Sicherheit trotz Verschlüsselung“ – und versteht scheinbar nicht, dass diese beiden Aussagen sich fundamental widersprechen. Einerseits will der Staat Verschlüsselung brechen und IT-Sicherheit aufweichen (z.B. mit Institutionen wie ZITiS), andererseits sollen die Bürger sich aber so fühlen, als hätten sie alle Bürgerrechte, und würden nicht überwacht, obwohl das am laufenden Band trotzdem passiert. Von der inzwischen regelmäßig stattfinden Funkzellenabfrage über Gesichtserkennung mit Kameras an Bahnhöfen, Verhaltensanalyse per Videobild bis hin zu der angekündigten Überwachung von Dieselfahrzeugen – die Bürger werden eben doch überwacht. Wir brauchen mehr Polizei, mehr Ressourcen für Ermittlungen, nicht aber mehr Daten über die Bürger, für einen effektiven Sicherheitsapparat. Jeder gesammelte und gespeicherte Datensatz hilft im Zweifel dem Feind – egal ob das eine zukünftige Regierung ist, die noch weniger wohlmeinend als die aktuelle unsere Bürgerrechte missachtet, oder eine staatliche Hackertruppe einer ausländischen Macht. Jede Sicherheitslücke die gefunden und von ZITiS wissentlich offengehalten wird, dient nicht nur unserer Polizei oder anderen Sicherheitsbehörden, sondern eröffnet neue Möglichkeiten für Kriminelle, Erpresser, staatlichen Cyberkriegern oder der NSA.

Bis heute haben ca. 20% der deutschen Behördenmitarbeiter keine IT-Sicherheitsschulung erhalten – und Penetrationstests des BSI sind für alle Behörden und Ministerien nicht etwa vorgeschrieben, sondern optional, sie werden nur auf Antrag durchgeführt, nach einer Bedarfsprüfung durch das BSI. Dabei wäre diese Bedarfsprüfung sehr einfach:  hat das Ministerium einen Internetanschluss? Wenn ja, dann müssten regelmäßige Penetrationstests durchgeführt werden.

Wir leisten uns ein Lagezentrum zur Beobachtung der „Cyberlage“ im BSI, betreiben es aber nicht 24/7, es schließt um 17:00. Dabei hat das Internet keine Öffnungszeiten, ausländische Computerkriminelle halten sich auch nicht an die behördlichen Arbeitszeiten von 9:00 bis 17:00!

Wir diskutieren in der Digitalpolitik über Luftschlösser in ferner Zukunft, schaffen es aber nicht, die Schlaglöcher im Feldweg vor uns zu schließen, während alle anderen um uns herum in Europa auf schicken neuen Digitalautobahnen fahren. Wir dürfen nicht vergessen: Die Lage in Deutschland ist heute, 2018, so schlimm, dass Bundesminister ihr Büro anweisen, keine Telefontermine mit Vertretern anderer Staaten während Autofahrten zu terminieren, weil die Mobilfunkabdeckung so schlecht ist, dass das Gespräch abreißen würde, was gegenüber den Vertretern anderer Staaten peinlich wäre.

Wir reden über quantencomputer-sichere Verschlüsselung, schaffen es aber nicht, die seit den 90er Jahren des letzten Jahrhunderts bekannten und immer noch weit offen stehenden Sicherheitslücken in der Mobilfunkverschlüsselung A5 zu schließen.

Wir gestatten Prof. Dr. Helge Braun, Chef des Bundeskanzleramts und Bundesminister für besondere Aufgaben, hunderte von Millionen Euro in eine frisch gegründete „Agentur für disruptive Innovationen in der Cybersicherheit“ zu stecken, mit der Hoffnung  den nächsten technologischen Durchbruch in der Cybersicherheit nicht zu verpassen. Aber niemand schreit auf, wenn die allererste technische Richtlinie, die Mindestkriterien für die IT-Sicherheit in Internetroutern für Privathaushalte (BSI TR-03148) festlegt, sogar noch hinter den schon wenig ambitionierten Zielen des Koalitionsvertrags zurückbleibt. Wir dürfen nicht vergessen: Dieses kleine Stück Plastik-mit-Elektronik in unserem Hausflur ist unsere digitale Haustür! Ist die IT-Sicherheit dort so schlecht, wie die neue Richtlinie vorschreibt, so ist das als ob wir eine Haustür ohne Schloss in unser Eigenheim einbauen.

Das BMBF gründet auch eine Agentur für Sprunginnovationen, um damit bahnbrechende Forschung finanzieren zu können, aber ein wirklich sicheres elektronisches Postfach (beA) zur verschlüsselten Kommunikation zwischen Gerichten und Anwälten zu etablieren, das schaffen wir weder im ersten noch im zweiten Anlauf. Und das, obwohl Bürgerinitiativen in diesem Land, ehrenamtlich, seit Jahrzehnten bessere, sichere und obendrein sogar kostenlose Technologie wie z.B. GnuPG entwickeln, auf die man für einen Bruchteil der Kosten hätte aufbauen können.

Und trotzdem dieser desolaten Situation im Bereich der Digitalisierung traut sich die Politik über Blockchain und KI zu reden.

Lasst uns endlich aufhören, Stellvertreterdebatten zu führen und stattdessen über die wirklich wichtigen Themen wie den Klimawandel, die kaputtgesparte Polizei, den Breitbandausbau, die Modernisierung des Bildungssystems, die IT-Sicherheit und die Entbürokratisierung der Verwaltung durch Digitalisierung sprechen