CCC: „Rechtsbruch durch Bundestrojaner“

Schreibe eine Antwort

Der Chaos Computer Club (CCC) hat nach eigenen Angaben Festplatten mit „staatlicher Spionagesoftware“ zugespielt bekommen und die Software analysiert. Stimmt die Analyse und haben Behörden damit gearbeitet, dürften sie Grundrechte missachtet haben. silicon.de zeigt die technische Perspektive und die verfassungsrechtliche Perspektive des Falls.

Wie der Trojaner funktioniert

Wie CCC-Sprecher Frank Rieger in der FAZ vom 9. Oktober berichtet, erhielt der CCC mehrere Festplatten in brauen Umschlägen ohne Absender, vermutlich von „Betroffenen“. Der CCC habe auf allen Festplatten eine Trojaner-Software entdeckt, deren Varianten sehr ähnlich gewesen seien. Die Trojaner-Dateien seien nur „amateurhaft gelöscht“ gewesen.

Die Analyse habe ergeben, dass sich die Software nach dem Start des Computers in alle laufenden Anwendungen einblende. Sie sende Signale an einen fest konfigurierten Server in den USA, um ihre Dienstbereitschaft zu signalisieren. Dieser Datenaustausch werde mit AES verschlüsselt – die Verschlüsselung sei jedoch falsch implementiert gewesen. Auch nehme die Software Befehle des Servers ohne jegliche Authentifizierung entgegen. Einzige Bedingung für die Akzeptanz eines Befehls sei es, dass er von der IP-Adresse des US-Servers zu kommen scheine.

Laut CCC verfügt die Software über vorkonfigurierte Funktionen:

  • Abhören von Skype-Telefonaten
  • Anfertigen von Bildschirmfotos in schneller Folge sowie
  • Nachladen eines beliebigen Programmes aus dem Netz

Die letzte Funktion könne genutzt werden, um mögliche Features zu installieren:

  • Raumüberwachung mit Mikrofon und Kamera des Computers
  • Durchsuchen der Festplatte sowie
  • Herunterladen von Dateien auf die Festplatte

Die letztgenannte Funktion – das Herunterladen von Dateien auf die Festplatte – sei die einzige Funktion der Software gewesen, die gegen eine spätere Analyse getarnt worden sei, so Rieger. Im Code habe sich kein Hinweis auf den Urheber der Software gefunden. Im Jahr 2008 sei jedoch ein interner Schriftverkehr einer Justizbehörde bekannt geworden. Daraus sei hervorgegangen, dass ein deutsches Unternehmen einen Trojaner zum Abhören von Skype angeboten habe, dessen Funktionsumfang sich mit dem jetzt vom CCC analysierten Trojaner decke. Rieger: „Sogar die Anmietung des Weiterleitungsservers im Ausland, um die IP-Adresse der Trojaner-Kontrollstation zu verschleiern, war im Angebot erwähnt.“ Nach Angaben der Frankfurter Rundschau handelt es sich beim besagten Unternehmen um die Firma DigiTask aus dem hessischen Haiger.

Der CCC hat den Quellcode der Trojaner-Software ins Netz gestellt. Der Code ist zudem in der FAZ vom 9. Oktober nachzulesen (Seiten 43 bis 47). Die Behörden wurden zuvor in Kenntnis gesetzt. „Gemäß unserer Hackerethik und um eine Enttarnung von laufenden Ermittlungsmaßnahmen auszuschließen, wurde das Bundesinnenministerium rechtzeitig vor dieser Veröffentlichung informiert. So blieb genügend Zeit, um die Selbstzerstörungsfunktion des Schnüffel-Trojaners zu aktivieren.“

Was das Verfassungsgericht sagt

Das Thema „Bundestrojaner“ ist nicht neu. Im Februar 2008 entschied das Karlsruher Bundesverfassungsgericht, dass Online-Durchsuchungen zulässig, jedoch an strenge Auflagen gebunden sind. Die Richter führten in diesem Zusammenhang ein neues Grundrecht ein: das Grundrecht auf die Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme.

Nach diesem Urteil muss die Online-Durchsuchung durch einen Richter angeordnet werden. Sie ist nur zulässig, wenn Gefahr für Leib, Leben oder Freiheit einer Person besteht. Die Intim- und Privatsphäre („Kernbereich privater Lebensgestaltung“) darf überhaupt nicht angetastet werden – so lange nicht der begründete Verdacht besteht, dass der Verdächtige diesen Schutz ausnutzt. Falls Daten aus dem Intimbereich zufällig erhoben werden, müssen sie sofort gelöscht werden.

Erlaubt ist demnach – nach richterlicher Anordnung – auch die sogenannte Quellen-Telekommunikationsüberwachung. Diese erlaubt den Behörden, Daten auf dem Rechner mitzuschneiden, bevor sie verschlüsselt werden – jedoch nicht dauerhaft, sondern nur für einen bestimmten Telekommunikationsvorgang.

Was der CCC fordert

Laut CCC zeigt die vorliegende Trojaner-Software, dass der Gesetzgeber nachbessern muss. Schon die vorkonfigurierten Funktionen des Trojaners – ohne nachgeladene Programme – seien besorgniserregend. Die von „den Behörden suggerierte strikte Trennung von genehmigt abhörbarer Telekommunikation und der zu schützenden digitalen Intimsphäre“ existiere in der Praxis nicht. Der Richtervorbehalt könne nicht vor einem Eingriff in den privaten Kernbereich schützen.

„Unsere Untersuchung offenbart wieder einmal, dass die Ermittlungsbehörden nicht vor einer eklatanten Überschreitung des rechtlichen Rahmens zurückschrecken, wenn ihnen niemand auf die Finger schaut“, sagte ein CCC-Sprecher. „Hier wurden heimlich Funktionen eingebaut, die einen klaren Rechtsbruch bedeuten: das Nachladen von beliebigem Programmcode durch den Trojaner.“

Der Trojaner könne auf Kommando – unkontrolliert durch den Ermittlungsrichter – Funktionserweiterungen laden, um die Schadsoftware für weitere Aufgaben beim Ausforschen des Systems zu benutzen. Dieser Vollzugriff auf den Rechner, auch durch unautorisierte Dritte, könne etwa zum Hinterlegen gefälschten belastenden Materials benutzt werden und stelle damit den Sinn dieser Überwachungsmethode grundsätzlich in Frage.

Der Gesetzgeber sei gefordert, dem „ausufernden Computerschnüffeln“ ein Ende zu setzen und „endlich unmissverständlich“ zu formulieren, wie die digitale Intimsphäre juristisch zu definieren und wirksam zu bewahren sei. „Leider orientiert sich der Gesetzgeber schon zu lange nicht mehr an den Freiheitswerten und der Frage, wie sie unter digitalen Bedingungen zu schützen sind, sondern lässt sich auf immer neue Forderungen nach technischer Überwachung ein.“ Dass der Gesetzgeber die Technik nicht überblicken, geschweige denn kontrollieren könne, zeige die vorliegende Analyse der Funktionen der Schadsoftware.

Im Streit um das staatliche Infiltrieren von Computern hätten der Ex-Bundesinnenminister Wolfgang Schäuble (CDU) und BKA-Chef Jörg Ziercke stets betont, die Bürger müssten sich auf höchstens „eine Handvoll Einsätze von Staatstrojanern“ einstellen. Entweder sei nun fast das ganze Set an staatlichen Computerwanzen beim CCC eingegangen oder das Versprechen sei schneller als erwartet von der Überwachungswirklichkeit überholt worden.

Auch andere Zusagen hätten in der Realität keine Entsprechung gefunden. So habe es 2008 geheißen, alle Versionen der „Quellen-TKÜ-Software“ würden individuell angefertigt. Der CCC habe nun mehrere verschiedene Versionen des Trojaners vorliegen, die alle denselben hartkodierten kryptographischen Schlüssel benutzen und nicht individualisiert seien. „Der CCC hofft inständig, dass dieser Fall nicht repräsentativ für die besonders intensive Qualitätssicherung bei Bundesbehörden ist.“

Wie es weiter geht

Das Bundesinnenministerium hat den Einsatz von Spionagesoftware durch das Bundeskriminalamt (BKA) mittlerweile dementiert. „Was auch immer der CCC untersucht hat oder zugespielt bekommen haben mag, es handelt sich dabei nicht um einen sogenannten Bundestrojaner“, zitierte das Magazin Focus aus einer Mitteilung des Ministeriums.

Den kompletten Artikel mit allen Links von Lutz Poessneck, findet ihr unter CCC: „Rechtsbruch durch Bundestrojaner“ von silicon.de.

Freundliche Grüße
das OSS-Haus Team

Verbraucherzentrale fordert ‚Privacy-by-Default‘

Schreibe eine Antwort

Voreinstellungen bei technischen Geräten und Diensten sollten maximalen Datenschutz gewährleisten – der Verbraucherzentrale Bundesverband (vzbv) hat den Bundestag aufgefordert, dieses Prinzip gesetzlich zu verankern. Der vzbv hat dafür eine Online-Petition ins Netz gestellt. Dem Bitkom gehen die Forderungen zu weit.

Verbraucher müssten sich nicht schon vor der ersten Nutzung informieren, was ein Gerät über sie Preis gibt und wo man die Einstellungen ändern könne, hieß es vom vzbv. Denn dazu fehle vielen die Zeit oder Erfahrung. „Die Kontrolle über persönliche Daten darf kein Expertenprivileg sein“, sagte vzbv-Vorstand Gerd Billen.

Nach diesen Angaben bietet die aktuell anstehende Novelle des Telemediengesetzes Gelegenheit, datenschützende Voreinstellungen gesetzlich zu verankern, wenn auch nur für Internetdienste. Auf Initiative Hessens habe der Bundesrat am 17. Juni einen entsprechenden Vorschlag auf den Weg gebracht. Dieser sehe neben der Pflicht zu maximalen Datenschutzeinstellungen auch die automatische Löschung inaktiver Accounts in Sozialen Netzwerken vor. Der vzbv unterstütze diese Forderungen. Die Bundesregierung habe dagegen am 4. August erklärt, zunächst eine Lösung auf europäischer Ebene anzustreben. „Man kann das eine tun, ohne das andere zu lassen“, so Billen. „Eine EU-Regelung würde mindestens noch drei Jahre auf sich warten lassen.“

Dem vzbv geht es nicht nur um Facebook oder Google. Datenschützende Voreinstellungen seien auch bei technischen Geräten, Software, Gewinnspielen oder im Versandhandel wichtig. Daher halte der vzbv mittelfristig eine Verankerung im Bundesdatenschutzgesetz für erforderlich. Eine Novellierung des Datenschutzrechts stehe im Zusammenhang mit dem vom Bundesinnenministerium seit längerem angekündigten Schutz der Verbraucher vor ungewünschter Profilbildung im Internet („Rote-Linien-Gesetz“) ohnehin an.

Das angestrebte Prinzip lautet ‚Privacy-by-Default‘. Standardmäßig dürften damit nur so viele Daten erfasst, verarbeitet und weiter gegeben werden, wie es für die Nutzung unbedingt erforderlich ist. Erst dies schafft echte Wahlfreiheit, die die Nutzer in die Lage versetzt, sich bewusst für oder gegen eine Einstellung zu entscheiden. Auch unerfahrene Verbraucher könnten neue Produkte und Dienste dann ohne die Sorge nutzen, dass plötzlich Daten gegen ihren Willen verwendet und verbreitet werden, weil sie eine Entwicklung oder ein neues Feature verpasst haben.

Dem Branchenverband Bitkom geht der Vorstoß des vzbv zu weit. „Meist braucht es einen Mindestumfang von Angaben, damit ein Online-Service überhaupt funktioniert und nutzerfreundlich zu handhaben ist“, sagte Bitkom-Präsident Prof. Dieter Kempf. „Das ist von Plattform zu Plattform verschieden. Die Verbraucherzentralen wählen mit ihrer Kampagne einen radikalen Ansatz und verzichten auf die notwendige Differenzierung.“

Den kompletten Artikel mit allen Links von Lutz Poessneck, findet ihr unter Verbraucherzentrale fordert ‚Privacy-by-Default‘ von silicon.de.

Freundliche Grüße
das OSS-Haus Team

Opensuse 12.1 Beta veröffentlicht

Schreibe eine Antwort

Das Opensuse-Projekt hat die Beta-Version für Ausgabe 12.1 seiner Linux-Distribution veröffentlicht.

Die Beta entstand aus dem zunächst geplanten Milestone 6 und verzögerte sich ein wenig wegen Schwierigkeiten mit Systemd. Nun stehen die ISO-Images für 12.1 Beta zum Download bereit. Der Opensuse-Entwickler Bryen Yunashko empfiehlt die Beta interessierten Anwendern, die wissen möchten, was die finale Release im November bringen wird. Mit Hilfe von Virtualbox lasse sich die Entwicklerversion am einfachsten ausprobieren, schreibt er im Opensuse-Blog.

Selbstverständlich ist Opensuse 12.1 Beta noch nicht für den produktiven Einsatz gedacht, Fehler sind zu erwarten. Die Macher bitten daher, Bugs zu melden.

Den originalen Artikel mit Links von Mathias Huber, findet ihr unter Opensuse 12.1 Beta veröffentlicht von Linux-Magazin.

Freundliche Grüße
das OSS-Haus Team

Heimkehr des Linux-Kernels

Schreibe eine Antwort

Linus Torvalds hat sein offizielles Git-Repository auf Kernel.org wieder in Betrieb genommen.

Aus Anlass des Release Candidate 9 für die kommende Linux-Version 3.1 hat der Kernel-Chef sein Repository unter der alten Adresse auf Git.kernel.org aktualisiert. Gleichzeitig erfuhr auch das in der Zwischenzeit verwendete Github-Konto ein Update.

Der Release Candidate bringt laut Torvalds nur kleine Verbesserungen: Fixes gab es beispielsweise im DRM-Code für Radeon- und i915-Grafikchips, für Netzwerktreiber sowie für das verteilte Dateisystem Ceph. Auch der Sparc-Port erfuhr kleine Änderungen.

Daneben besitzt Linus nun einen stärkeren GPG-Schlüssel, der bereits von mehr Parteien unterschrieben ist als es der alte je war. Damit nimmt er an der Sicherheitsstruktur für Kernel.org teil, die H. Peter Anvin und die anderen Admins nach dem Server-Einbruch aufbauen. Wer den neuen Schlüssel importiert, kann mit dem Kommando „git verify-tag“ die Signatur der getaggten Kernel-Releases prüfen. Bezugsquelle und Fingerprint des Schlüssels nennt Torvalds in seiner Mitteilung an die Kernel-Mailingliste.

Den originalen Artikel mit Links von Mathias Huber, findet ihr unter Heimkehr des Linux-Kernels von Linux-Magazin.

Freundliche Grüße
das OSS-Haus Team

Open-Source-Repository Berlios schließt

Schreibe eine Antwort

Das vor rund zehn Jahren vom Fraunhofer-Institut für Offene Kommunikationssysteme (Fokus) entwickelte Projekt Berlin Open Source kurz Berlios stellt zum Jahresende den Betrieb ein, heißt es in einer Mitteilung auf der Webseite.

Gefördert wurde das Projekt Berlios durch Mittel vom Bundesministeriums für Wirtschaft und Technologie und einigen Geldgebern aus der Industrie. Der Betreiber Fraunhofer Fokus nennt als Kennzahlen, dass 2011 rund 4800 Projekte gehostet würden, Berlios rund 50.000 registrierten Nutzern zähle sowie über 2,6 Millionen Downloads pro Monat verzeichne. Wie es in dem Schreiben heißt, fehlt dem Projekt nun die Anschlussfinanzierung. Die Suche nach Sponsoren sei ergebnislos verlaufen ,heißt es. Der 31. Dezember 2011 gilt deshalb als Schlusspunkt. Entwickler sollen ihre Projekte auf andere Repositories umziehen, ein Leitfaden auf der Webseite hilft dabei.

Den originalen Artikel mit dem Link zum Leitfaden von Ulrich Bantle, findet ihr unter Open-Source-Repository Berlios schließt von Linux-Magazin.

Freundliche Grüße
das OSS-Haus Team