Schlagwort-Archive: Cybersicherheit

Digitale Bildung: Probleme lassen sich nicht lösen, wenn wir nur auf die Schulen schauen. Brauchen wir eine Bundeszentrale für digitale Bildung?

Verbreitung von Desinformation, fehlendes Bewusstsein für Cybersicherheit – bei Problemen im Digitalen fordern wir fast immer eine Sache: mehr Bildung. So weit so richtig. Der Umgang mit (digitalen) Medien, der sichere Umgang im Netz, die Gefahren von Identitätsdiebstahl, Doxing, Social Engineering, usw. müssen dringend Bestandteil schulischer Bildung sein. Vergessen dürfen wir hier auch nicht die beruflichen Schulen und Universitäten. Doch wir machen es uns zu leicht, wenn wir die teils enormen Probleme mit der Verbreitung von Desinformation und menschlichem Fehlverhalten vorm Computer auf “die jungen Leute” abschieben.

Die Generation Y lernte das Netz beim Aufwachsen kennen, die Generation Z wuchs und wächst digital auf. Für die Generation X, die Babyboomer und alle noch älteren hingegen, ist das Netz wirklich Neuland. Das soll gar nicht abwertend gemeint sein, aber sie sind diejenigen, die erst in späteren Lebensjahren gelernt haben, dass Gefahren im Netz lauern können, dass Menschen online deutliche einfacher und im hohem Maße Identitäten stehlen und sie missbrauchen können. Dass nun jeder Informationen erstellen und sie verbreiten kann und es keine Gatekeeper mehr gibt, die alleinig Informationen verbreiten können. Wenn wir also davon sprechen, dass wir uns mit Bildung vor Gefahren im Netz schützen müssen, dann müssen wir auch darüber sprechen, wie wir die breite Masse der Bevölkerung – eben alle, die schon im Arbeitsleben sind, oder bereits wieder aus ihm ausgeschieden sind – erreichen können. Schließlich ist die Altersgruppe von 45 bis 55 Jahre mit 86,8 Prozent die zahlenmäßig stärkste Alterskohorte unter den Erwerbstätigen und die von 55 bis 65 Jahre mit 71,5 Prozent die drittstärkste (Stand 2018). Legt man darüber die Zahlen des Bitkom, die zeigen, dass mittlerweile jeder zweite Arbeitnehmer einen Computer am Arbeitsplatz hat und jeder dritte ein mobiles Gerät mit Internetzugang, verdeutlicht sich nochmal das Problem.

Eine Studie der Universitäten Princeton und New York unter Amerikanern zeigte, dass Nutzerinnen und Nutzer soziale Medien über 65 sieben Mal so häufig Falschmeldungen teilen, als 18- bis  29-Jährige. Die Studie begründet dies mit mangelnder digitaler Medienkompetenz  und einem schlechteren Erinnerungsvermögen. Wenn man nun bedenkt, dass das größte soziale Netzwerk Facebook im Jahr 2017 einen Nutzerzuwachs von 23 Prozentpunkten bei über 60-Jährigen verzeichnen konnte (weltweit) und immer mehr Menschen über 60 WhatsApp nutzen (in Deutschland 52% der über 60-Jährigen, Stand 2017) und Falschnachrichten nicht nur über soziale Netzwerke, sondern insbesondere über Messenger eine zunehmende Verbreitung finden, dann stehen wir vor einer enormen gesellschaftlichen Herausforderung, die eben nicht lediglich mit Konzepten für schulische Bildung in der Zukunft gelöst werden kann.

Und Falschnachrichten in Form von Text sind schon heute nicht mehr das größte Problem. Manipulierte Bilder oder in falschen Kontext gesetzte Bilder grassieren bereits jetzt zu Hauf. Ebenso darf das Manipulationspotential durch Memes, Trolle und dergleichen nicht unterschätzt werden. Doch die viel größere Bedrohung steht mit sogenannten DeepFakes ins Haus: Manipulierte Videos, die Nacktaufnahmen bzw. pornografisches Material vornehmlich von Frauen darstellen, oder Aufnahmen, die mit neuem Ton und damit auch Inhalt unterlegt werden, wobei auch die Mimik des Sprechers verändert wird und so ganz neue, nie getätigte Aussagen entstehen können. Das Missbrauchspotential dieser Technologie ist riesig und der Fall eines verbreiteten manipulierten Video der amerikanischen Kongressabgeordneten Nancy Pelosi und dessen Weiterverbreitung von diversen Politikern unter anderem auf Twitter zeigt, dass Gesellschaften noch nicht bereit sind, für einen Umgang mit dieser Art der Desinformation. Für Ältere, die sich nicht tagtäglich mit digitalen Tools – sei es auch nur zum Spaß – beschäftigen, die demonstrieren, wie Bilder und Videos manipuliert werden können, ist dies ein erhebliches Problem. Jüngere Nutzer kennen dies häufig, und sei es nur durch Filter oder Ähnliches auf Instagram, Snapchat oder TikTok.

Wie also umgehen mit dieser Problematik? Wie so oft: es gibt kein Patentrezept. Es ist aber dringend angebracht, dass sich Politik, Zivilgesellschaft und auch Unternehmen mit dieser Problematik auseinandersetzen. Unternehmen sollten ein eigenes Interesse daran haben, dass ihre Mitarbeiter lernen, Desinformation und DeepFakes von echten Informationen zu unterscheiden. Verbreiten Mitarbeiter solche, kann das nicht nur dem Ansehen des Unternehmens schaden, es schadet auch der Sicherheit des Unternehmens, wenn Mitarbeiter dubiosen Informationen trauen und sich womöglich Schadsoftware einfangen. Die Politik könnte hier mit der finanziellen Förderung entsprechender Fortbildungen unterstützen.

Bildung ist aber auch ein staatlicher Auftrag. Warum also nicht über eine Bundeszentrale für digitale Bildung, analog zur Bundeszentrale für politische Bildung nachdenken? Thematisch gäbe es hier weitaus mehr, als die Themen Desinformation und Cybersicherheit. Datenschutz bzw. der Umgang mit Daten wird immer essentieller. Von den Datenspuren durch surfen im Netz bis hin zum Umgang mit den eigenen, hochsensiblen Gesundheitsdaten. Vom Verständnis über Algorithmen bis hin zu Künstlicher Intelligenz. Themen gäbe es genug und ihre Bedeutung nimmt rasant zu.

Finnland hat dies schon erkannt und führt umfassende Bildungsmaßnahmen durch. Das Land hat durch die Grenze zu Russland schon seit Jahrzehnten mit Desinformationskampagnen zu kämpfen und daher eine ganzheitliche, nachhaltige Strategien entwickelt, um Finnlands Bürgerinnen und Bürger dagegen zu immunisieren. Manipulation durch Desinformation wird hier als ein gesamtgesellschaftliches Problem gesehen, gegen das man bereits im Kindergarten, aber auch und vor allem in späteren Lebensjahren vorgehen muss. “It’s not just a government problem, the whole society has been targeted. We are doing our part, but it’s everyone’s task to protect the Finnish democracy,” sagt zum Beispiel Jussi Toivanen, der Erwachsene in Finnland unterrichtet. Doch auch bei der breiten Aufklärung über Künstliche Intelligenz ist Finnland Vorreiter. Ein Pilotprojekt sollte ein Prozent der Finnen Grundlagen über Künstliche Intelligenz vermitteln.Die ersten Teilnehmerinnen und Teilnehmer wurden zufällig ausgewählt. Das Thema wurde digital und niedrigschwellig vermittelt, sodass es jede und jeder verstehen kann. Der Ansatz dahinter: wenn Menschen die Prinzipien von Künstlicher  Intelligenz verstehen, haben sie weniger Angst vor ihr und mehr Interesse an dessen Nutzung und damit auch der Ausgestaltung. Das Vorhaben ging auf. Heute ist der Kurs für jeden zugänglich und kostenlos nutzbar. Unternehmen und der Staat nutzen ihn, um Mitarbeiterinnen und Mitarbeiter fortzubilden, aber auch das Interesse unter den Bürgerinnen und Bürgern, die bisher keinen beruflichen Bezug zum Thema hatten, ist enorm. Ein wichtiger Schritt für Finnlands Ziel, Europas Nummer eins in der KI-Forschung zu werden.

Eine ähnliche Bildungsstrategie braucht es auch für Deutschland, denn die Probleme werden nicht weniger. Bei unserem EU-Partner können wir dafür genügend Inspiration und Lösungsansätze finden. Wichtig ist nur, dass sowohl Politik, als auch Zivilgesellschaft und Unternehmen anerkennen, dass fehlende digitale Bildung kein Problem von jungen Menschen ist, sondern von uns allen.

Dieser Artikel erschien zuerst bei der Friedrich-Naumann-Stiftung für die Freiheit.

Photo by Nicole De Khors from Burst

Staatstrojaner lügen vor Gericht!

Staatstrojaner sind als Beweismittel vor Gericht absolut ungeeignet. Warum das so ist, möchte ich in diesem Artikel erklären. Bevor wir in die technischen Hintergründe dieser Behauptung einsteigen, möchte ich kurz die Begrifflichkeiten sauber definieren. Unsere Bundesregierung findet, dass man einen Staatstrojaner nicht so nennen soll, sie würde das Wort „Online-Durchsuchung“ oder Quellentelekommunikationsüberwachung (QTKÜ) bevorzugen und beantwortet kleine Fragen über Staatstrojaner nicht, wenn man die Dinge beim Namen nennt. 

Zur Definition: Ein Staatstrojaner ist ein Stück Software, das von Geheimdiensten oder Polizeibehörden genutzt wird. Diese Software überwindet die Sicherheitsmaßnahmen auf einem Computer oder Smartphone unter Ausnutzung von Sicherheitslücken und bringt sich selbst (ungewollt durch den User) zur Ausführung auf dem Zielsystem der überwachten Person. Danach sammelt dieses Stück Software Daten von dem Computer oder Smartphone und überträgt diese Daten zurück an den Geheimdienst oder Polizeibehörde, die diese Software eingesetzt haben.

Damit ein Staatstrojaner funktioniert, benötigt es eine vorhandene Sicherheitslücke auf dem Ziel-Computer (oder Smartphone). Diese Sicherheitslücke ist also das Einfallstor für die Software. 

Es muss nicht extra betont werden, da es offensichtlich scheint: Es gibt viele Akteure, die mit teilweise viel Geld (oder Zeit) nach Sicherheitslücken suchen. Beispiele dafür sind z.B. Cyberkriminelle, Geheimdienste, IT-Sicherheitsforscher und Polizeibehörden. Die genannten Gruppen gibt es in jedem Land auf der Erde, es gibt also sehr viele Menschen, die Sicherheitslücken suchen und finden. Jede dieser Gruppen hat ihre eigene Motivation eine gefundene Sicherheitslücke ersteinmal für sich zu behalten. Je mehr Menschen ein Geheimnis kennen, desto schneller wird ein Geheimnis allgemein oder öffentlich bekannt – da sich sehr viele Menschen mit dem professionellen Finden von Sicherheitslücken befassen, muss man davon ausgehen, dass jede Sicherheitslücke binnen kurzer Zeit auch anderen bekannt wird.

Wenn also der Staatstrojaner eine Sicherheitslücke erfolgreich benutzt, dann hat er damit den Beweis geführt, das jeder andere auch diese Sicherheitslücke vor dem Staatstrojaner benutzt haben könnte. Damit sinkt die Beweiskraft der Informationen auf dem infiltrierten System, denn jeder andere Nutzer der Sicherheitslücke kann genau die digitalen Spuren platziert (gefälscht) haben, nach denen der Staatstrojaner sucht. 

Ein Computersystem ist binär – es gibt nur „0“ oder „1“. Grundsätzlich sollte man davon ausgehen, dass jedes ausgeführte Computerprogramm jede beliebige 0 oder 1 auf dem System verändern kann. Es ist daher nicht möglich zu beweisen ob der User, oder ein (Schad)Programm eine Datei angelegt hat, denn jede Meta-Information zu dieser Datei kann ebenso gefälscht werden wie die Datei selbst. Es gibt keine digitalen Fingerabdrücke oder ein Äquivalent zu DNA-Spuren, die zweifelsfrei den Urheber einer Aktion auf einem Computersystem identifizieren könnten, alles was auf einem System vorhanden ist, kann dort platziert worden sein.

Ein mit Schadsoftware infiziertes System ist also von Außen verändert worden, und hat nun ein weiteres Einfallstor (der Steuerkanal der Schadsoftware), durch das Dritte das System weiter verändern können. Damit kann keine Datei auf dem Zielsystem mehr eindeutig der Zielperson zugeordnet werden. Soviel zur allgemeinen Betrachtung – kommen wir zu den Feinheiten.

Was ist denn mit „Staatstrojaner light“, also WhatsApp, E-Mails – das digitale Gegenstück zum „Telefon abhören“?

Befürworter eines Staatstrojaners argumentieren damit, das eine herkömmliche Telefonüberwachung nicht ausreicht, da dort Messenger und E-Mails nicht miterfasst werden können. Daher versuchen sie einen Staatstrojaner light zu etablieren. Dies heisst dann „erweiterte Quellentelekommunikationsüberwachung“ (QTKÜ) und dieser Staatstrojaner soll nur einige wenige Funktionen haben, wie z.B. das dieser sich nur auf das Auslesen von E-Mails oder Abhören von Chatkommunikation beschränkt und andere Funktionen wie z.B. die Durchsuchung des Speichers des Geräts eben nicht hat. 

Diese Argumentation ist mehrfach invalide. Ein persönliches Beispiel: Ich persönlich habe mir angewöhnt in schwierigen menschlichen Situationen einen „bösen“ E-Mail-Entwurf zu schreiben. Zum abreagieren. Ich stelle mir dabei vor, dass ich diese E-Mail wirklich senden möchte. Diese E-Mail ist allerdings niemals für den Versand gedacht, ich zwinge mich immer mindestens eine Nacht über diese E-Mail zu schlafen, bevor ich sie lösche, redigiere oder stark geändert unter Umständen abschicke. 

Ein QTKÜ-Trojaner würde diesen Entwurf kopieren und an die Polizei übermitteln, obwohl dieser Entwurf keine Kommunikation ist, da er nicht für den Versand vorgesehen war und damit nicht von der QTKÜ-Maßnahme gedeckt war. Das weiß aber der Trojaner nicht und auch nicht mein E-Mailprogramm. 

Wenn man diesen Gedanken zu Ende denkt, kommt man zum Schluss, das wir unsere Geräte eher wie einen „Meta Cortex“ nutzen, also wie einen ausgelagerten Teil des Gehirns, und damit dem Ort meiner Gedanken. Ein Staatstrojaner (auch die QTKÜ-Variante) verschafft Dritten Zugriff auf diese höchstpersönlichen Gedanken, obwohl der „Staatstrojaner light“ (QTKÜ) eben gerade nicht in diesen höchstpersönlichen Teil des Lebens eingreifen sollte und nur die Kommunikation abgreifen sollte.

Es hieß doch in dieser Republik „Die Gedanken sind frei!“ – aber ist das wirklich so, wenn wir Staatstrojaner haben?

Das BVerfG hat Staatstrojaner für die QTKÜ unter sehr engen Grenzen erlaubt, nämlich, dass ein solcher Staatstrojaner bestimmte Funktionen wie das Durchsuchen der Festplatte nicht haben darf. In einem Rechtsstaat  muss der Staat gegenüber den Bürgern den Beweis führen, das die Ermittlungswerkzeuge innerhalb der Grenzen bleiben, die unsere Gerichte gesetzt haben. Aber kann der Staat diesen Beweis bei der „light“-Variante führen? 

Durch das erfolgreiche Eindringen führt der Trojaner zuerst den Beweis, das auch andere auf dieses System hätten zugreifen können. Der Trojaner kommt mit einer bestimmten Menge an Funktionen, es ist aber möglich, das der Trojaner weitere Funktionen, z.B. durch Download aus dem Internet, dazugewinnt. Es ist auch denkbar, das der Trojaner durch Verwendung von Algorithmen, die bereits auf dem infizierten System vorhanden sind, weitere Funktionen dazugewinnt.

Beispielsweise muss der Trojaner selbst gar keinen Algorithmus zur Durchsuchung einer Festplatte mitbringen – jedes Betriebssystem hat dazu schon Software. Auch das Verpacken und Hochladen von Dateien kann jedes Betriebssystem selbst, wenn man es dazu anweist. 

Eine Untersuchung des Quellcodes des Trojaners reicht also nicht für diesen Beweis, da der Staatstrojaner auch andere Algorithmen nutzen kann. Schlimmer noch, die Anweisung zur Nutzung von Funktionen, die zwar nicht im Staatstrojaner stecken, allerdings z.B. im Betriebssystem bereits vorhanden sind oder aus dem Internet nachgeladen werden, kann jeder auslösen, der auch Kenntnis von der initialen Sicherheitslücke erlangt hat, wie z.B. die Polizei, oder Dritte die auf eine andere Weise Zugriff auf das System erlangt haben. 

Es ist deswegen der Polizei unmöglich, die Rechtsstaatlichkeit eines Staatstrojaners den Bürgern zu beweisen, da es nicht möglich ist, einen Beweis über die Abwesenheit einer Funktion zu führen, solange die Geräte ein Betriebssystem haben und mit dem Internet verbunden sind. Schlimmer noch – durch das Installieren eines Staatstrojaners haben die Ermittlungsbehörden das System für Dritte geöffnet, die dort auch (gefälschte) Beweismittel platzieren könnten.

Dies gilt selbstverständlich sowohl für die „Online-Durchsuchung“, also die tiefgehende Durchsuchung des Systems ohne echte Grenzen, als auch für die „light“-Variante, die QTKÜ, die im Narrativ der Regierung das Gegenstück zur klassischen Telefonüberwachung darstellt und in ihrer Funktion begrenzt sein soll.

Durch den Einsatz eines Staatstrojaners ist es, wie weiter oben erklärt, nicht mehr möglich zu sagen wer die Datei auf dem System platziert hat (der Vdrdächtigte, oder ein Dritter). Die Ergebnisse eines Staatstrojaner haben daher eine äußerst geringe Beweiskraft und es ist unmöglich einen Staatstrojaner so zu gestalten, das bewiesen werden kann, das er grundrechtskonform ist, also gewisse Funktionen nicht hat. Dies folgt logisch aus der grundlegenden Beschaffenheit der Computersysteme, auch zukünftige Entwicklungen können die Grundprinzipien der Informatik nicht wiederlegen. 

Wenn eine Sicherheitsbehörde eine Sicherheitslücke findet und für die Ausnutzung der selbigen Geld investiert, so hat die Behörde ein Interesse daran, das diese Investition sich möglichst lange lohnt, die Sicherheitslücke also eben nicht geschlossen wird. Dieses Interesse überwiegt in der Betrachtung unserer Regierung dem Interesse der Bürger, Systeme zu benutzen die möglichst wenig Sicherheitslücken haben. Die Bundesregierung nimmt sogar viel Geld in die Hand und hat ZITiS gegründet – eine Behörde, die Sicherheitslücken suchen soll – nicht damit diese geschlossen werden können, sondern damit Staatstrojaner gebaut werden können. 

Wo soll die Reise also hingehen?

Selbstverständlich darf unsere Polizei auf dem digitalen Auge nicht blind sein, Staatstrojaner können aber, wie dargelegt, kein Teil der Lösung sein, wenn man den Wortlaut unserer Verfassung nicht ad absurdum führen möchte. 

Die Antwort ist: klassische digitale Forensik. Wenn ein erhärteter Verdacht besteht, soll ein Richter urteilen, dass die Hardware des Verdächtigen beschlagnahmt werden soll. Mit speziellen forensischen Geräten, die elektrophysikalisch beweisbar keine Daten auf der untersuchten Hardware schreiben können, sollen dann die Daten Bit-für-Bit kopiert werden. Dann sollen Fachkräfte für digitale Forensik diese Kopie analysieren. Dieser Vorgang ist in sich bereits ein enormer Eingriff in die Privatssphäre, wenn wir allerdings einen Richtervorbehalt schaffen, so wäre diese Art von Eingriff vollständig grundrechtswahrend durchführbar, die juristischen Schranken sollten wir allerdings höher hängen als für eine Hausdurchsuchung. Auch ist es notwendig die untersuchte Hardware nach dem Anfertigen einer forensischen Kopie so schnell wie möglich zurückzugeben, dies folgt aus der Unschuldsvermutung.

Selbstverständlich benötigt unsere Polizei und die Landeskriminalämter für die forensische Untersuchung kompetentes Fachpersonal. Es ist daher notwendig für digitale Forensik deutlich mehr Planstellen in den Landeskriminalämtern (LKA) zu schaffen und diese Fachkräfte marktüblich zu bezahlen und dafür die TVÖD-Tarife entsprechend anzupassen.

Die Aussage einer forensischen Analyse ist vor Gericht belastbarer als die Informationen von einem Staatstrojaner, da die Integrität des Computersystems durch die Ermittlungen in keinster Weise gestört oder verändert wurden, im Gegensatz zu einem Trojaner, der die Integrität des informationstechnischen Systems und die der Sicherheitseinrichtungen bei seinem Einsatz verletzt. 

Nichtsdestotrotz kann jede Datei immer auch auf dem Computersystem platziert worden sein – das Vorhandensein einer Datei ist kein Beweis, nur ein Indiz. Genau wie in der analogen Welt ein beschlagnahmtes Beutelchen Cannabis kein Beweis ist, das dieses auch vor der Durchsuchung im Besitz des Verdächtigen war. Sowohl die Begleiter des Verdächtigen, als auch der durchsuchende Polizeibeamte haben bei einem solchen Vorwurf die Gelegenheit gehabt dieses metaphorische Beutelchen (Datei) zu platzieren.

Wenn wir also unsere Polizei wirklich unterstützen wollen, dann hören wir auf in potentiell verfassungsfeindliche Software ohne echte Beweiskraft vor Gericht zu investieren und statten lieber die Polizeibehörden so aus, das diese auf dem klassischen Weg der Beschlagnahmung und forensischer Untersuchung verwertbare und belastbare Indizien unter Richtervorbehalt produzieren können. So würden wir die zweifelsohne notwendigen Ermittlungen im Bereich der Schwerst-Kriminalität nicht nur ermöglichen, sondern sogar vereinfachen.