si tacuisses

In der heute am Kiosk erschienenen Ausgabe 25/2008 der c't ist u.a. auch folgender Artikel enthalten:

Markus Hansen, Andreas Pfitzmann: Windei Bundestrojaner - Online-Durchsuchung vs. Gewährleistung von Vertraulichkeit und Integrität informationstechnischer Systeme, in: c't Magazin für Computer-Technik 25/2008, Heise-Verlag, 2008-11-24, S. 86-93

Andreas Pfitzmann war vom Bundesverfassungsgericht als sachkundige Auskunftsperson in der Verhandlung um die Befugnisse zur Online-Durchsuchung im NRW-Verfassungsschutzgesetz berufen. Zum Thema haben wir schon mehrfach zusammen gearbeitet, woraus u.a. folgende Publikationen und einige Vorträge resultieren:

• Markus Hansen, Andreas Pfitzmann: Techniken der Online-Durchsuchung: Gebrauch, Missbrauch, Empfehlungen, in: Fredrik Roggan (Hrsg.): Online-Durchsuchungen - Rechtliche und tatsächliche Konsequenzen des BVerfG-Urteils vom 27. Februar 2008, Berliner Wissenschaftsverlag, 2008, S. 131-154, ISBN 9783830515609
• Markus Hansen, Andreas Pfitzmann: Technische Grundlagen von Online-Durchsuchung und -Beschlagnahme, Deutsche Richterzeitung, August 2007

Nachtrag: Heise weist nun auch im Newsticker darauf hin.

Und: Windei.

Der Artikel ist nun auch online verfügbar.

In meinem Vortrag gestern wies ich unter anderem darauf hin, dass man öffentliche Gelder lieber nicht für die Online-Durchsuchung, sondern für effektivere Schutzmaßnahmen dagegen aufwenden solle. Dass die gesamte (Informations-)Gesellschaft eher von der Abwehr informationstechnischer Angriffe profitiert und von ihrer staatlichen Anwendung eher Schaden nimmt, habe ich nicht das erste Mal propagiert und es hat sich anscheinend herumgesprochen:

BKA-Chef Ziercke gibt inzwischen Tipps zur Abwehr der Online-Durchsuchung. Wenn dat man blos de Terrors nich lesen tun ...

Das BKA deshalb rät Computernutzern zur peniblen Trennung zwischen Internet-Surfen und sensiblen Vorgängen wie etwa dem Führen von Online-Konten: "Am besten benutzen Sie zwei voneinander getrennte Betriebssysteme – eines fürs Online-Banking und ein anderes fürs Surfen", äußerte sich BKA-Chef Ziercke gegenüber dpa.

Zierckes Schlußfolgerung, dass man, weil das Konzept der Online-Durchsuchung nichts taugt, unbedingt die Vorratsdatenspeicherung brauche, ist dann aber doch etwas kurzsichtig: Die meisten ernstzunehmenden Angriffe kommen entweder aus ausländischen Netzbereichen, bei denen die Vorratsdatenspeicherung nicht greift, oder aus Bot-Netzen.

Im Fall von Bot-Netzen könnte man mit den Daten der Vorratsdatenspeicherung zwar die Nutzer eines infizierten Rechners herausfinden, vielmehr aber auch nicht - denn die Kontrollinfrastruktur innerhalb der Bot-Netze ist deutlich darauf ausgelegt, die kontrollierende Instanz genau dagegen zu schützen.

Aber: Wenn die Vorratsdaten zur umfangreichen Nutzung durch staatliche Stellen bereitstünden (derzeit untersagen die Beschlüsse des Verfassungsgerichts die Nutzung für die von Ziercke angeführten Fallkonstellationen), dann stehen diese Stellen unter Erfolgsdruck. Der Besitzer eines infizierten Rechners hat dann schnell eine Hausdurchsuchung am Hals - findet man, nachdem man ca. ein Jahr für die Untersuchung des Rechners benötigt hat, nichts "Richtiges", kann man ihn ja immer noch der Content-MAFIA (Music And Film Industy Associations) zum Fraß vorwerfen.

Beliebte Taktik bei Staatsanwaltschaften, die auf (sinnvollerweise) verschlüsselte Dateisysteme stoßen, ist, wie ich gerade hören durfte, eine Einstellung des Verfahrens gegen Einziehung der genutzten Hardware anzubieten - wer verschlüsselt, hat ja bestimmt Dreck am Stecken und wird dann so bestraft. Dabei gilt: Wenn die Staatsanwaltschaft irgendwas beweisen könnte, würde sie keine Einstellung anbieten.

Aber vielleicht hat Herr Ziercke ja demnächst auch gegen solche Machenschaften ein paar Tipps.

Im Berliner Wissenschaftsverlag erscheint gerade das Buch Online-Durchsuchungen - Rechtliche und tatsächliche Konsequenzen des BVerfG-Urteils vom 27. Februar 2008 (179 Seiten, EUR 23,90).

Herausgeber ist Fredrik Roggan, enthalten sind Beiträge von Alexander Dix, Markus Hansen, Burkhard Hirsch, Hans-Heiner Kühne, Martin Kutscha, Oliver Lepsius, Andreas Pfitzmann, Fredrik Roggan und Maximilian Warntjen.

Das Buch dokumentiert die Vortrags-Inhalte einer Tagung zu den Konsequenzen des Karlsruher Richterspruchs, die im April in Berlin stattfand. Das Bundesverfassungsgericht hatte in seinem Urteil das Grundrecht auf Gewährleistung von Vertraulichkeit und Integrität informationstechnischer Systeme als Ausformung des allgemeinen Persönlichkeitsrechts formuliert.

Der Verlag schreibt über das Buch Online-Durchsuchungen:

Mit dem Urteil des Bundesverfassungsgerichts vom 27. Februar 2008 zu einer Novelle des Nordrhein-Westfälischen Verfassungsschutzgesetzes wurde nicht nur ein (weiteres!) Sicherheitsgesetz in wesentlichen Teilen verworfen, sondern auch eine neue verfassungsrechtliche Gewährleistung aus der Taufe gehoben.

Das Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme ist seitdem Bestandteil deutscher Verfassungswirklichkeit. Aber welche Bedeutung hat dieses neue Grundrecht im Verhältnis zu anderen Grundrechten, insbesondere dem Recht auf Informationelle Selbstbestimmung? Welche Maßgaben haben die Gesetzgeber in Bund und Ländern gerade bei der Legalisierung der „Online-Durchsuchungen“ im Einzelnen zu beachten? Und sind diese angesichts der technischen Implikationen gegenwärtig überhaupt sinnvoll regelbar?

Im Sinne einer rationalen Rechtspolitik will der Band nicht nur den Gesetzgebern in Bund und Ländern eine Argumentationshilfe an die Hand geben, sondern auch einen Beitrag zur rechtswissenschaftlichen Debatte leisten.

Ich bin da mit reingeraten, weil Andreas etwas zeitknapp dastand, er wusste, dass mich das Thema interessiert, und weil wir dazu auch schon zusammen gearbeitet hatten. Herausgekommen ist dieser Beitrag:

Markus Hansen, Andreas Pfitzmann:
Techniken der Online-Durchsuchung: Gebrauch, Missbrauch, Empfehlungen,
in: Fredrik Roggan (Hrsg.): Online-Durchsuchungen - Rechtliche und tatsächliche Konsequenzen des BVerfG-Urteils vom 27. Februar 2008, Berliner Wissenschaftsverlag, 2008, ISBN 9783830515609

Abstract
Nach der Verhandlung des Bundesverfassungsgerichts über die Regelungen zur Online-Durchsuchung in Nordrhein-Westfalen und seiner grundsätzlichen Entscheidung ist eine vertiefende Diskussion um anwendbare Techniken der Online-Durchsuchung erforderlich. Deshalb stellen wir die bekannten Techniken für die heimliche Informationserhebung auf informationstechnischen Systemen (IT-Systemen) mit ihren jeweiligen Vor- und Nachteilen hinsichtlich Anwendung und Verwertbarkeit der Ergebnisse dar und zeigen die jeweiligen Gebrauchs- und Missbrauchspotentiale auf. Ferner werden Folgerungen aus dem Urteil und dem darin proklamierten Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme jenseits des Themenkreises der Online-Durchsuchung aufgezeigt und Empfehlungen ausgesprochen.

Ich freue mich schon auf die Beiträge der anderen Autoren.

Nachtrag: Mein Exemplar ist inzwischen geliefert worden. Das Buch ist gegliedert in die Abschnitte Verfassungsrecht, Datenschutzrecht, Innere Sicherheit, Technik und Bürgerrechte. Enthalten sind die folgenden Aufsätze:

• Burkhard Hirsch:
In dubio pro libertate

• Oliver Lepsius:
Das Computer-Grundrecht: Herleitung, Funktion, Überzeugungskraft

• Maximilian Warntjen:
Kernbereichsschutz

• Alexander Dix:
Neue Perspektiven für den Schutz personenbezogener Daten?

• Hans-Heiner Kühne:
Strafprozessuale Konsequenzen der Entscheidung vom 27. Februar 2008

• Fredrik Roggan:
Präventive Online-Durchsuchungen. Überlegungen zu den Möglichkeiten einer Legalisierung im Polizei- und Geheimdienstrecht

• Markus Hansen, Andreas Pfitzmann:
Techniken der Online-Durchsuchung: Gebrauch, Missbrauch, Empfehlungen

• Martin Kutscha:
Neue Chancen für die digitale Privatsphäre?

Gegen Ende des zweiten Weltkrieges, 1943, entwickelten Forscher der Bell Labs in den USA einen Telegraphen, der Ende-zu-Ende-Verschlüsselung und damit vertrauliche Kommunikation über ein unsicheres Netz ermöglichte - ein nicht zu unterschätzender Vorteil, wenn man zum Beispiel während einer Invasion Zugriff auf Telefonleitungen bekommt, die zum Teil noch unter Kontrolle des Gegners stehen

Die Ingenieure im Labor machten eine interessante Entdeckung: Jedes Mal, wenn sie eine Taste am Bell 131-B2 drückten, flackerte ein Oszilloskop am ganz anderen Ende des Raumes kurz auf. Weitere Untersuchungen offenbarten, dass das beobachtete Flackern aufgefangene elektromagnetische Abstrahlungen des Krypto-Gerätes waren und dass diese Signale signifikant für die auf dem Krypto-Gerät durchgeführten Operationen waren: Der Klartext der eingegebenen Nachrichten konnte daraus rekonstruiert werden.

Die Bell-Leute taten, was gute Kryptographen tun, wenn sie eine Schwachstelle entdecken: Sie informierten die Nutzer. Die Militärs vom US Signal Corps waren angeblich wenig angetan; die Geräte waren längst im Feldeinsatz und man glaubte nicht, dass sich die von den Forschern unter Laborbedingungen gewonnenen "zweifelhaften und esoterischen" Ergebnisse tatsächlich im Echtbetrieb des Krieges reproduzieren ließen.

Die Ingenieure gingen daher mit ihren Geräten in ein Haus ca. 25 Meter gegenüber vom Cryptocenter des Signal Corps. Sie nahmen eine Stunde lang Signale auf und gingen drei bis vier Stunden später rüber und präsentierten drei Viertel des verarbeiteten Klartextes.

Dies alles geht hervor aus dem ehemals als geheim eingestuften Paper TEMPEST: A Signal Problem von 1972, dass die NSA (IT-Geheimdienst der USA) kürzlich zumindest teilweise freigab.

Auf TEMPEST-Angriffe ging das deutsche Bundesverfassungsgericht auch in seinem Urteil zur Online-Durchsuchung ein. Es stellte klar, dass das Grundrecht auf Gewährleistung von Vertraulichkeit und Integrität informationstechnischer Systeme sich auch auf die elektromagnetische Abstrahlung erstreckt, nachdem Andreas in seinem Gutachten und seiner Aussage darauf verwies.

Nachtrag: Unter dem Titel Online-Durchsuchungen - Rechtliche und tatsächliche Konsequenzen des BVerfG-Urteils vom 27. Februar 2008 ist inzwischen ein Buch erschienen, dass die Inhalte der Tagung dokumentiert.


Gestern fand in Berlin die Tagung Online-Durchsuchungen - Konsequenzen aus dem Karlsruher Richterspruch der Humanistischen Union statt. Das Programm war sehr interessant, unter anderem sprachen Burkhard Hirsch, Alexander Dix und Andreas Pfitzmann. Einen Bericht von der Veranstaltung hat Heise.

Bisher kenne ich nur den Vortrag von Andreas Pfitzmann. Hier seine letzte Folie (vor den Literaturangaben):

18

6. Die Perspektive eines Informatikers auf das Urteil

---

• Verfassungsrichter tun das, was Politiker hätten tun sollen:
  Sich ein eigenes Urteil über IT erarbeiten und danach Verantwortung übernehmen


• Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme als
  • Ausprägung des allgemeinen Persönlichkeitsrechts
  • Und nicht etwa als Ausprägung von Art. 10 oder Art. 13 GG


• „IT-Grundrecht“ reicht weit über Online-Durchsuchung hinaus
  • Klarer, als ich je zu hoffen gewagt hätte
  • Auch von überwältigenden Mehrheiten IT-unverständiger Politiker nicht zu ändern
  • Impliziert Recht auf Selbstschutz bei eigengenutzer IT, u.a. Verschlüsselung, Steganographie und Anonymität
  
  
  • Verpflichtet den Staat: Gewährleistung statt nur Respektierung
    ⇒ z.B. Bildungsauftrag: IT-mündige Bürger!

Das Urteil des Bundesverfassungsgerichts hat tatsächlich weitreichende Konsequenzen - die Auswirkungen auf die Online-Durchsuchungen durch den Verfassungsschutz in NRW (darum ging es ursprünglich vor Gericht) sind eigentlich am Uninteressantesten.

Leider konnte ich nicht vor Ort sein, aber der Offene Kanal Berlin (Sonderkanal 8 im Berliner Kabelnetz) hat die Veranstaltung mitgeschnitten und sendet sie an folgenden Terminen:

• Teil 1: 2008-04-30, 10:00 Uhr,
  Wdh.: 2008-05-21 und 2008-06-16, jeweils 22:00 Uhr.
• Teil 2: 2008-05-02, 10:00 Uhr,
  Wdh.: 2008-05-23 und 2008-06-17, jeweils 22:00 Uhr.
• Teil 3: 2008-05-05, 10:00 Uhr,
  Wdh.: 2008-05-29 und 2008-06-18, jeweils 22:00 Uhr.

Die Sendungen können auf den Seiten des OKB auch als Live-Stream angesehen werden. Trotzdem würde ich mich freuen, wenn jemand aus Berlin das - möglichst digital - aufnehmen und mir zukommen lassen könnte. Schön wäre ein freies Format wie XVID, im Zweifel nehme ich aber alles.