si tacuisses

In der heute am Kiosk erschienenen Ausgabe 25/2008 der c't ist u.a. auch folgender Artikel enthalten:

Markus Hansen, Andreas Pfitzmann: Windei Bundestrojaner - Online-Durchsuchung vs. Gewährleistung von Vertraulichkeit und Integrität informationstechnischer Systeme, in: c't Magazin für Computer-Technik 25/2008, Heise-Verlag, 2008-11-24, S. 86-93

Andreas Pfitzmann war vom Bundesverfassungsgericht als sachkundige Auskunftsperson in der Verhandlung um die Befugnisse zur Online-Durchsuchung im NRW-Verfassungsschutzgesetz berufen. Zum Thema haben wir schon mehrfach zusammen gearbeitet, woraus u.a. folgende Publikationen und einige Vorträge resultieren:

• Markus Hansen, Andreas Pfitzmann: Techniken der Online-Durchsuchung: Gebrauch, Missbrauch, Empfehlungen, in: Fredrik Roggan (Hrsg.): Online-Durchsuchungen - Rechtliche und tatsächliche Konsequenzen des BVerfG-Urteils vom 27. Februar 2008, Berliner Wissenschaftsverlag, 2008, S. 131-154, ISBN 9783830515609
• Markus Hansen, Andreas Pfitzmann: Technische Grundlagen von Online-Durchsuchung und -Beschlagnahme, Deutsche Richterzeitung, August 2007

Nachtrag: Heise weist nun auch im Newsticker darauf hin.

Und: Windei.

Der Artikel ist nun auch online verfügbar.

In meinem Vortrag gestern wies ich unter anderem darauf hin, dass man öffentliche Gelder lieber nicht für die Online-Durchsuchung, sondern für effektivere Schutzmaßnahmen dagegen aufwenden solle. Dass die gesamte (Informations-)Gesellschaft eher von der Abwehr informationstechnischer Angriffe profitiert und von ihrer staatlichen Anwendung eher Schaden nimmt, habe ich nicht das erste Mal propagiert und es hat sich anscheinend herumgesprochen:

BKA-Chef Ziercke gibt inzwischen Tipps zur Abwehr der Online-Durchsuchung. Wenn dat man blos de Terrors nich lesen tun ...

Das BKA deshalb rät Computernutzern zur peniblen Trennung zwischen Internet-Surfen und sensiblen Vorgängen wie etwa dem Führen von Online-Konten: "Am besten benutzen Sie zwei voneinander getrennte Betriebssysteme – eines fürs Online-Banking und ein anderes fürs Surfen", äußerte sich BKA-Chef Ziercke gegenüber dpa.

Zierckes Schlußfolgerung, dass man, weil das Konzept der Online-Durchsuchung nichts taugt, unbedingt die Vorratsdatenspeicherung brauche, ist dann aber doch etwas kurzsichtig: Die meisten ernstzunehmenden Angriffe kommen entweder aus ausländischen Netzbereichen, bei denen die Vorratsdatenspeicherung nicht greift, oder aus Bot-Netzen.

Im Fall von Bot-Netzen könnte man mit den Daten der Vorratsdatenspeicherung zwar die Nutzer eines infizierten Rechners herausfinden, vielmehr aber auch nicht - denn die Kontrollinfrastruktur innerhalb der Bot-Netze ist deutlich darauf ausgelegt, die kontrollierende Instanz genau dagegen zu schützen.

Aber: Wenn die Vorratsdaten zur umfangreichen Nutzung durch staatliche Stellen bereitstünden (derzeit untersagen die Beschlüsse des Verfassungsgerichts die Nutzung für die von Ziercke angeführten Fallkonstellationen), dann stehen diese Stellen unter Erfolgsdruck. Der Besitzer eines infizierten Rechners hat dann schnell eine Hausdurchsuchung am Hals - findet man, nachdem man ca. ein Jahr für die Untersuchung des Rechners benötigt hat, nichts "Richtiges", kann man ihn ja immer noch der Content-MAFIA (Music And Film Industy Associations) zum Fraß vorwerfen.

Beliebte Taktik bei Staatsanwaltschaften, die auf (sinnvollerweise) verschlüsselte Dateisysteme stoßen, ist, wie ich gerade hören durfte, eine Einstellung des Verfahrens gegen Einziehung der genutzten Hardware anzubieten - wer verschlüsselt, hat ja bestimmt Dreck am Stecken und wird dann so bestraft. Dabei gilt: Wenn die Staatsanwaltschaft irgendwas beweisen könnte, würde sie keine Einstellung anbieten.

Aber vielleicht hat Herr Ziercke ja demnächst auch gegen solche Machenschaften ein paar Tipps.

Gegen Ende des zweiten Weltkrieges, 1943, entwickelten Forscher der Bell Labs in den USA einen Telegraphen, der Ende-zu-Ende-Verschlüsselung und damit vertrauliche Kommunikation über ein unsicheres Netz ermöglichte - ein nicht zu unterschätzender Vorteil, wenn man zum Beispiel während einer Invasion Zugriff auf Telefonleitungen bekommt, die zum Teil noch unter Kontrolle des Gegners stehen

Die Ingenieure im Labor machten eine interessante Entdeckung: Jedes Mal, wenn sie eine Taste am Bell 131-B2 drückten, flackerte ein Oszilloskop am ganz anderen Ende des Raumes kurz auf. Weitere Untersuchungen offenbarten, dass das beobachtete Flackern aufgefangene elektromagnetische Abstrahlungen des Krypto-Gerätes waren und dass diese Signale signifikant für die auf dem Krypto-Gerät durchgeführten Operationen waren: Der Klartext der eingegebenen Nachrichten konnte daraus rekonstruiert werden.

Die Bell-Leute taten, was gute Kryptographen tun, wenn sie eine Schwachstelle entdecken: Sie informierten die Nutzer. Die Militärs vom US Signal Corps waren angeblich wenig angetan; die Geräte waren längst im Feldeinsatz und man glaubte nicht, dass sich die von den Forschern unter Laborbedingungen gewonnenen "zweifelhaften und esoterischen" Ergebnisse tatsächlich im Echtbetrieb des Krieges reproduzieren ließen.

Die Ingenieure gingen daher mit ihren Geräten in ein Haus ca. 25 Meter gegenüber vom Cryptocenter des Signal Corps. Sie nahmen eine Stunde lang Signale auf und gingen drei bis vier Stunden später rüber und präsentierten drei Viertel des verarbeiteten Klartextes.

Dies alles geht hervor aus dem ehemals als geheim eingestuften Paper TEMPEST: A Signal Problem von 1972, dass die NSA (IT-Geheimdienst der USA) kürzlich zumindest teilweise freigab.

Auf TEMPEST-Angriffe ging das deutsche Bundesverfassungsgericht auch in seinem Urteil zur Online-Durchsuchung ein. Es stellte klar, dass das Grundrecht auf Gewährleistung von Vertraulichkeit und Integrität informationstechnischer Systeme sich auch auf die elektromagnetische Abstrahlung erstreckt, nachdem Andreas in seinem Gutachten und seiner Aussage darauf verwies.

Nachtrag: Unter dem Titel Online-Durchsuchungen - Rechtliche und tatsächliche Konsequenzen des BVerfG-Urteils vom 27. Februar 2008 ist inzwischen ein Buch erschienen, dass die Inhalte der Tagung dokumentiert.


Gestern fand in Berlin die Tagung Online-Durchsuchungen - Konsequenzen aus dem Karlsruher Richterspruch der Humanistischen Union statt. Das Programm war sehr interessant, unter anderem sprachen Burkhard Hirsch, Alexander Dix und Andreas Pfitzmann. Einen Bericht von der Veranstaltung hat Heise.

Bisher kenne ich nur den Vortrag von Andreas Pfitzmann. Hier seine letzte Folie (vor den Literaturangaben):

18

6. Die Perspektive eines Informatikers auf das Urteil

---

• Verfassungsrichter tun das, was Politiker hätten tun sollen:
  Sich ein eigenes Urteil über IT erarbeiten und danach Verantwortung übernehmen


• Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme als
  • Ausprägung des allgemeinen Persönlichkeitsrechts
  • Und nicht etwa als Ausprägung von Art. 10 oder Art. 13 GG


• „IT-Grundrecht“ reicht weit über Online-Durchsuchung hinaus
  • Klarer, als ich je zu hoffen gewagt hätte
  • Auch von überwältigenden Mehrheiten IT-unverständiger Politiker nicht zu ändern
  • Impliziert Recht auf Selbstschutz bei eigengenutzer IT, u.a. Verschlüsselung, Steganographie und Anonymität
  
  
  • Verpflichtet den Staat: Gewährleistung statt nur Respektierung
    ⇒ z.B. Bildungsauftrag: IT-mündige Bürger!

Das Urteil des Bundesverfassungsgerichts hat tatsächlich weitreichende Konsequenzen - die Auswirkungen auf die Online-Durchsuchungen durch den Verfassungsschutz in NRW (darum ging es ursprünglich vor Gericht) sind eigentlich am Uninteressantesten.

Leider konnte ich nicht vor Ort sein, aber der Offene Kanal Berlin (Sonderkanal 8 im Berliner Kabelnetz) hat die Veranstaltung mitgeschnitten und sendet sie an folgenden Terminen:

• Teil 1: 2008-04-30, 10:00 Uhr,
  Wdh.: 2008-05-21 und 2008-06-16, jeweils 22:00 Uhr.
• Teil 2: 2008-05-02, 10:00 Uhr,
  Wdh.: 2008-05-23 und 2008-06-17, jeweils 22:00 Uhr.
• Teil 3: 2008-05-05, 10:00 Uhr,
  Wdh.: 2008-05-29 und 2008-06-18, jeweils 22:00 Uhr.

Die Sendungen können auf den Seiten des OKB auch als Live-Stream angesehen werden. Trotzdem würde ich mich freuen, wenn jemand aus Berlin das - möglichst digital - aufnehmen und mir zukommen lassen könnte. Schön wäre ein freies Format wie XVID, im Zweifel nehme ich aber alles.

In Österreich übergab eine eigens eingerichtete interministerielle Arbeitsgruppe aus Justiz- und Innenministerium den von ihr erstellten Endbericht zur Online-Durchsuchung an die beiden Minister:

Flankierend zur gesetzlichen Regelung der Online-Durchsuchung sollen die Instrumente des Rechtsschutzes ausgebaut werden. So sollte laut Empfehlung der Arbeitsgruppe künftig anstatt eines Einzelrichters ein Richtersenat die Maßnahme der Online-Durchsuchung kontrollieren, die Stellung des Rechtsschutzbeauftragten gestärkt werden und die maßgebenden Rechtsentscheidungen in anonymisierter Form veröffentlicht werden. Zu prüfen sind auch Auswirkungen auf die Authentizität und den Beweiswert von Daten, die im Wege von Online-Durchsuchungen gewonnen wurden.

Inhaltlich ist der Bericht schon von Daniel Sokolov und Erich Moechel zusammengefasst, bei Interesse deren Artikel nachlesen. Interessant am Endbericht ist auch, dass auf die Rechtslage in anderen Ländern eingegangen wird - in Schweden etwa ist das "Gesetz für Maßnahmen um gewisse besonders gefährliche Verbrechen zu verhindern" den dort eigentlich recht rührigen Digitalbürgerrechtlern wohl vorbeigegangen - zumindest wussten die, mit denen ich sprach, nichts davon.

Nachdem das deutsche Innenministerium bereits den Neusprech-Begriff Remote Forensic Software für die Spionage-Software verbreitet hatte, mit denen bei einer Online-Durchsuchung Rechner manipuliert werden, um die Vertraulichkeit und Integrität der informationstechnischen Systeme zu brechen, wollen unsere südlichen Nachbarn dem nicht nachstehen: Remote Forensic Hardware werden im Bericht Spionage-Komponenten wie Keylogger genannt, die nicht als Software daherkommen.

Dabei sind die Begriffskomponenten "Remote" und "Forensic" eigentlich Widersprüche in sich. Forensisch bedeutet soviel wie "für das Forum geeignet", d.h. gerichtsfest belastbar, frei vom Zweifel der Manipulation, durch unabhängige Experten jederzeit nachvollziehbar und somit revisionssicher. Eine eherne Regel in der noch jungen Disziplin der Computer-Forensik ist daher z.B. bei der Durchsuchung von Festplatten, diese nur über eine spezielle Hardware, die ein Schreiben auf den Datenträger ausschließt, auszulesen. Untersuchungen werden dann ausschließlich an auf diese Weise erzeugten Image-Kopien vorgenommen. Dass so etwas "remote", d.h. über einen Fernzugriff nicht geht, ist offensichtlich: Um den Fernzugriff zu realisieren, muss ich das System zunächst vorsätzlich manipulieren. Geht man mit einer beschlagnahmten Festplatte so vor, darf man sich in der Regel nicht wundern, wenn das Gericht "not amused" ist. (Über Online-Durchsuchungen und die mangelnde forensische Eignung habe ich mich auch in einem Interview geäußert).

Das deutsche Bundesverfassungsgericht ist in seiner wegweisenden Entscheidung zur Online-Durchsuchung (1 BvR 370/07, 1 BvR 595/07, Rn. 223) auf diesen Einwand eingegangen:

Weiter ist die Eignung der geregelten Befugnis auch nicht deshalb zu verneinen, weil möglicherweise der Beweiswert der Erkenntnisse, die mittels des Zugriffs gewonnen werden, begrenzt ist. Insoweit wird vorgebracht, eine technische Echtheitsbestätigung der erhobenen Daten setze grundsätzlich eine exklusive Kontrolle des Zielsystems im fraglichen Zeitpunkt voraus (vgl. Hansen/Pfitzmann, DRiZ 2007, S. 225 <228>). Jedoch bewirken diese Schwierigkeiten der Beweissicherung nicht, dass den erhobenen Daten kein Informationswert zukommt. Zudem dient der Online-Zugriff nach der angegriffenen Norm nicht unmittelbar der Gewinnung revisionsfester Beweise für ein Strafverfahren, sondern soll der Verfassungsschutzbehörde Kenntnisse verschaffen, an deren Zuverlässigkeit wegen der andersartigen Aufgabenstellung des Verfassungsschutzes zur Prävention im Vorfeld konkreter Gefahren geringere Anforderungen zu stellen sind als in einem Strafverfahren.

Das Gericht hat natürlich Recht, denn es hatte nicht über eine gesetzliche Grundlage für Strafverfolger zu entscheiden, sondern für den NRW-Verfassungsschutz. In diesem Bereich ist man die Arbeit mit wagen Informationen und Gerüchten gewöhnt. Aufgrund des Verfahrens (s.o.) sind die gewonnenen Informationen auch nicht sehr viel belastbarer - diese "Schwierigkeiten der Beweissicherung" räumt das Gericht auch ein. Für die "Schlapphüte" ist dies zunächst kein Problem, von richtigen Polizisten wünscht man sich aber schon gewissenhaftere Arbeit. (Unter anderem deshalb sollte man die Trennung von polizeilichen und geheimdienstlichen Befugnissen strikt durchziehen und nicht verwischen. Herauskommen kann sonst nur eine Geheimpolizei - mit allen Konsequenzen, die die deutsche Geschichte lehren könnte, setzte man sich mit ihr auseinander).

Im Sommersemester 2008 gibt es am Institut für Informatik der CAU Kiel wieder eine ULD-Vorlesung zu Recht und Technik des Datenschutzes. An zwei Terminen werde ich vor Ort sein und hoffe auf rege Diskussionen zur Technik der Online-Durchsuchung, geeigneten Gegenmaßnahmen gegen derartige Spionage-Angriffe sowie der Gewährleistung von Vertraulichkeit und Integrität informationstechnischer Systeme. Die Termine stehen auf einem Zettel in meinem Büro und werden bei Interesse nachgereicht (ich glaube, es ist im Juli). :-) Einen ersten Vortrag zu Online-Durchsuchungen nach der BVerfG-Entscheidung hatte ich für den Heise-Verlag auf der CeBIT gehalten.