Schlagwort-Archive: Bundesregierung

CCC: „Rechtsbruch durch Bundestrojaner“

Der Chaos Computer Club (CCC) hat nach eigenen Angaben Festplatten mit „staatlicher Spionagesoftware“ zugespielt bekommen und die Software analysiert. Stimmt die Analyse und haben Behörden damit gearbeitet, dürften sie Grundrechte missachtet haben. silicon.de zeigt die technische Perspektive und die verfassungsrechtliche Perspektive des Falls.

Wie der Trojaner funktioniert

Wie CCC-Sprecher Frank Rieger in der FAZ vom 9. Oktober berichtet, erhielt der CCC mehrere Festplatten in brauen Umschlägen ohne Absender, vermutlich von „Betroffenen“. Der CCC habe auf allen Festplatten eine Trojaner-Software entdeckt, deren Varianten sehr ähnlich gewesen seien. Die Trojaner-Dateien seien nur „amateurhaft gelöscht“ gewesen.

Die Analyse habe ergeben, dass sich die Software nach dem Start des Computers in alle laufenden Anwendungen einblende. Sie sende Signale an einen fest konfigurierten Server in den USA, um ihre Dienstbereitschaft zu signalisieren. Dieser Datenaustausch werde mit AES verschlüsselt – die Verschlüsselung sei jedoch falsch implementiert gewesen. Auch nehme die Software Befehle des Servers ohne jegliche Authentifizierung entgegen. Einzige Bedingung für die Akzeptanz eines Befehls sei es, dass er von der IP-Adresse des US-Servers zu kommen scheine.

Laut CCC verfügt die Software über vorkonfigurierte Funktionen:

  • Abhören von Skype-Telefonaten
  • Anfertigen von Bildschirmfotos in schneller Folge sowie
  • Nachladen eines beliebigen Programmes aus dem Netz

Die letzte Funktion könne genutzt werden, um mögliche Features zu installieren:

  • Raumüberwachung mit Mikrofon und Kamera des Computers
  • Durchsuchen der Festplatte sowie
  • Herunterladen von Dateien auf die Festplatte

Die letztgenannte Funktion – das Herunterladen von Dateien auf die Festplatte – sei die einzige Funktion der Software gewesen, die gegen eine spätere Analyse getarnt worden sei, so Rieger. Im Code habe sich kein Hinweis auf den Urheber der Software gefunden. Im Jahr 2008 sei jedoch ein interner Schriftverkehr einer Justizbehörde bekannt geworden. Daraus sei hervorgegangen, dass ein deutsches Unternehmen einen Trojaner zum Abhören von Skype angeboten habe, dessen Funktionsumfang sich mit dem jetzt vom CCC analysierten Trojaner decke. Rieger: „Sogar die Anmietung des Weiterleitungsservers im Ausland, um die IP-Adresse der Trojaner-Kontrollstation zu verschleiern, war im Angebot erwähnt.“ Nach Angaben der Frankfurter Rundschau handelt es sich beim besagten Unternehmen um die Firma DigiTask aus dem hessischen Haiger.

Der CCC hat den Quellcode der Trojaner-Software ins Netz gestellt. Der Code ist zudem in der FAZ vom 9. Oktober nachzulesen (Seiten 43 bis 47). Die Behörden wurden zuvor in Kenntnis gesetzt. „Gemäß unserer Hackerethik und um eine Enttarnung von laufenden Ermittlungsmaßnahmen auszuschließen, wurde das Bundesinnenministerium rechtzeitig vor dieser Veröffentlichung informiert. So blieb genügend Zeit, um die Selbstzerstörungsfunktion des Schnüffel-Trojaners zu aktivieren.“

Was das Verfassungsgericht sagt

Das Thema „Bundestrojaner“ ist nicht neu. Im Februar 2008 entschied das Karlsruher Bundesverfassungsgericht, dass Online-Durchsuchungen zulässig, jedoch an strenge Auflagen gebunden sind. Die Richter führten in diesem Zusammenhang ein neues Grundrecht ein: das Grundrecht auf die Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme.

Nach diesem Urteil muss die Online-Durchsuchung durch einen Richter angeordnet werden. Sie ist nur zulässig, wenn Gefahr für Leib, Leben oder Freiheit einer Person besteht. Die Intim- und Privatsphäre („Kernbereich privater Lebensgestaltung“) darf überhaupt nicht angetastet werden – so lange nicht der begründete Verdacht besteht, dass der Verdächtige diesen Schutz ausnutzt. Falls Daten aus dem Intimbereich zufällig erhoben werden, müssen sie sofort gelöscht werden.

Erlaubt ist demnach – nach richterlicher Anordnung – auch die sogenannte Quellen-Telekommunikationsüberwachung. Diese erlaubt den Behörden, Daten auf dem Rechner mitzuschneiden, bevor sie verschlüsselt werden – jedoch nicht dauerhaft, sondern nur für einen bestimmten Telekommunikationsvorgang.

Was der CCC fordert

Laut CCC zeigt die vorliegende Trojaner-Software, dass der Gesetzgeber nachbessern muss. Schon die vorkonfigurierten Funktionen des Trojaners – ohne nachgeladene Programme – seien besorgniserregend. Die von „den Behörden suggerierte strikte Trennung von genehmigt abhörbarer Telekommunikation und der zu schützenden digitalen Intimsphäre“ existiere in der Praxis nicht. Der Richtervorbehalt könne nicht vor einem Eingriff in den privaten Kernbereich schützen.

„Unsere Untersuchung offenbart wieder einmal, dass die Ermittlungsbehörden nicht vor einer eklatanten Überschreitung des rechtlichen Rahmens zurückschrecken, wenn ihnen niemand auf die Finger schaut“, sagte ein CCC-Sprecher. „Hier wurden heimlich Funktionen eingebaut, die einen klaren Rechtsbruch bedeuten: das Nachladen von beliebigem Programmcode durch den Trojaner.“

Der Trojaner könne auf Kommando – unkontrolliert durch den Ermittlungsrichter – Funktionserweiterungen laden, um die Schadsoftware für weitere Aufgaben beim Ausforschen des Systems zu benutzen. Dieser Vollzugriff auf den Rechner, auch durch unautorisierte Dritte, könne etwa zum Hinterlegen gefälschten belastenden Materials benutzt werden und stelle damit den Sinn dieser Überwachungsmethode grundsätzlich in Frage.

Der Gesetzgeber sei gefordert, dem „ausufernden Computerschnüffeln“ ein Ende zu setzen und „endlich unmissverständlich“ zu formulieren, wie die digitale Intimsphäre juristisch zu definieren und wirksam zu bewahren sei. „Leider orientiert sich der Gesetzgeber schon zu lange nicht mehr an den Freiheitswerten und der Frage, wie sie unter digitalen Bedingungen zu schützen sind, sondern lässt sich auf immer neue Forderungen nach technischer Überwachung ein.“ Dass der Gesetzgeber die Technik nicht überblicken, geschweige denn kontrollieren könne, zeige die vorliegende Analyse der Funktionen der Schadsoftware.

Im Streit um das staatliche Infiltrieren von Computern hätten der Ex-Bundesinnenminister Wolfgang Schäuble (CDU) und BKA-Chef Jörg Ziercke stets betont, die Bürger müssten sich auf höchstens „eine Handvoll Einsätze von Staatstrojanern“ einstellen. Entweder sei nun fast das ganze Set an staatlichen Computerwanzen beim CCC eingegangen oder das Versprechen sei schneller als erwartet von der Überwachungswirklichkeit überholt worden.

Auch andere Zusagen hätten in der Realität keine Entsprechung gefunden. So habe es 2008 geheißen, alle Versionen der „Quellen-TKÜ-Software“ würden individuell angefertigt. Der CCC habe nun mehrere verschiedene Versionen des Trojaners vorliegen, die alle denselben hartkodierten kryptographischen Schlüssel benutzen und nicht individualisiert seien. „Der CCC hofft inständig, dass dieser Fall nicht repräsentativ für die besonders intensive Qualitätssicherung bei Bundesbehörden ist.“

Wie es weiter geht

Das Bundesinnenministerium hat den Einsatz von Spionagesoftware durch das Bundeskriminalamt (BKA) mittlerweile dementiert. „Was auch immer der CCC untersucht hat oder zugespielt bekommen haben mag, es handelt sich dabei nicht um einen sogenannten Bundestrojaner“, zitierte das Magazin Focus aus einer Mitteilung des Ministeriums.

Den kompletten Artikel mit allen Links von Lutz Poessneck, findet ihr unter CCC: „Rechtsbruch durch Bundestrojaner“ von silicon.de.

Freundliche Grüße
das OSS-Haus Team

Eine Strategie im Kampf gegen Kinderpornographie

Das Bündnis White IT veranstaltet in dieser Woche in Hannover sein Symposium 2011. Im Mittelpunkt der Veranstaltung steht die künftige Strategie im Kampf gegen Kinderpornographie. Die neue Vorgehensweise ist die Konsequenz aus einer Studie, die erstmals Herstellung und Vertrieb von Kinderpornographie im Internet wissenschaftlich untersucht hat.

Es wird erwartet, dass Niedersachsens Innenminister Uwe Schünemann auf seiner Keynote am Eröffnungstag des Symposiums an diesem Mittwoch, eine weltweite IT-Lösung zur Bekämpfung von Kinderpornographie fordern wird. Den Plänen zufolge soll ein „Child Abuse Media Metainformation Network“ (CAMnet) künftig Datenbanken verschiedener Polizeibehörden mit kinderpornographischen Inhalten zusammenführen.

Die internationale Zusammenarbeit gilt unter Experten als eine der größten Herausforderungen im Kampf gegen Kinderpornographie im Internet. Im Video-Interview mit silicon.de beschreibt Frank Ackermann, Director Self-Regulation beim eco-Verband der deutschen Internetwirtschaft, die Erfahrungen des Verbands auf diesem Gebiet.

Der eco-Verband hat beispielsweise bereits vor einiger Zeit einen Browser-Button etabliert, über den Internetnutzer Alarm schlagen können, wenn sie im Netz auf kinderpornographische Inhalte stoßen. Die Erfahrung hat gezeigt, dass solche und ähnliche Ideen gut sind, um die Aufmerksamkeit der Öffentlichkeit auf die Problematik zu lenken – die Zahl der einschlägigen Webseiten lässt sich damit aber kaum verringern. Auch weil die Beteiligung und das Interesse der Bevölkerung in der Regel schnell nachlässt.

Das Bündnis White IT unterstützt auch deshalb einen ganzheitlichen Ansatz und versucht, das Problem von mehreren Seiten einzukreisen. So werden auf dem Symposium in Hannover auch Vertreter der Bundesregierung über die Möglichkeiten auf politischer Ebene sprechen. Ein Forensiker der Polizei beschreibt konkrete Fälle aus seinem Einsatzalltag und zeigt, wie Endgeräte ausgewertet werden können, um so Tätern auf die Spur zu kommen.

Den originalen Artikel mit Videointerview und Links von Sibylle Gassner, findet ihr unter Eine Strategie im Kampf gegen Kinderpornographie von silicon.de.

Freundliche Grüße
das OSS-Haus Team

EU mahnt Deutschland wegen Telekomgesetzen

Die Europäische Kommission in Brüssel hat gegen Deutschland ein Vertragsverletzungsverfahren eingeleitet. Es geht um die europäischen Regeln zur Telekommunikation, die Deutschland nicht fristgerecht umgesetzt habe. Die Frist war am 25. Mai abgelaufen. Neben Deutschland wurde ein Großteil der EU-Mitgliedsstaaten abgemahnt.

Insgesamt hat die EU-Kommission gegen 20 der 27 Mitgliedsländer ein Strafverfahren eingeleitet. Sie alle haben nun zwei Monate Zeit, um auf das formelle Auskunftsgesuch der EU zu antworten.

„Sollte die Kommission keine oder eine nur unbefriedigende Antwort erhalten, so kann sie eine förmliche Aufforderung zur Umsetzung des EU-Rechts an die betreffenden Mitgliedstaaten richten“, heißt es in einer Mitteilung der Kommission. Nächster Schritt wäre eine Klage vor dem Europäischen Gerichtshof.

Die Bundesregierung hat die Vorwürfe nach einem Bericht der Nachrichtenagentur Reuters zurückgewiesen. „Wir haben das schon im März im Kabinett beschlossen“, heißt es aus Regierungskreisen. Inzwischen befinde sich der Gesetzentwurf in den parlamentarischen Beratungen, also nicht mehr im direkten Zugriffsbereich der Regierung.

Bei der EU sieht man das anders: Ein Sprecher sagte, einige der 20 Länder hätten zumindest die Umsetzung eines Teils der Richtlinie nach Brüssel gemeldet. Deutschland gehöre nicht dazu.

Mit den neuen Vorschriften sollen Unternehmen und Verbraucher neue Rechte bei der Nutzung von Telefon- und Mobilfunkdiensten erhalten. Auch der Bereich der Internetzugänge wird neu geregelt. Dazu gehört etwa das Recht des Kunden, innerhalb eines Tages ohne Änderung der Rufnummer den Telefonanbieter zu wechseln. Nutzer haben dann auch Anspruch auf klarere Informationen über angebotene Dienstleistungen sowie auf einen besseren Online-Datenschutz.

Anfang März hatte das Bundeskabinett den Entwurf einer Novelle zum Telekommunikationsgesetz beschlossen, der besagte EU-Richtlinie in nationales Recht umwandeln sollte. Er sieht unter anderem vor, dass bestimmte Telefon-Wartschleifen künftig kostenlos sind. Damals war man davon ausgegangen, dass die Novelle Mitte 2011 verabschiedet werden würde.

Den originalen Artikel mit weiterführenden Links von Anita Klingler und Sibylle Gassner, findet ihr unter EU mahnt Deutschland wegen Telekomgesetzen von silicon.de.

Freundliche Grüße
das OSS-Haus Team

Aus für Arbeitnehmer-Datenbank ELENA

Das Projekt war von Anfang an höchst umstritten und hatte viele Fragen aufgeworfen. Nun zieht die Bundesregierung die Notbremse und stellt den elektronischen Entgeltnachweis ELENA umgehen ein. Der Rückzug stößt in Wirtschaft und Politik auf breite Zustimmung – kommt aber gerade die Softwarebranche teuer zu stehen.

„Umfassende Untersuchungen haben jetzt gezeigt, dass sich dieser Sicherheitsstandard, der für das ELENA-Verfahren datenschutzrechtlich zwingend geboten ist, trotz aller Bemühungen in absehbarer Zeit nicht flächendeckend verbreiten wird“, heißt es in einer gemeinsamen Mitteilung von Wirtschafts- und Arbeitsministerium. Die Bundesregierung werde dafür sorgen, dass die bisher gespeicherten Daten unverzüglich gelöscht und die Arbeitgeber von den bestehenden elektronischen Meldepflichten entlastet werden.

Das Wirtschaftsministerium will dafür in Kürze einen entsprechenden Gesetzentwurf vorlegen. Das Arbeitsministerium sicherte außerdem zu, ein Konzept für ein einfacheres und unbürokratischeres Meldeverfahren in der Sozialversicherung zu erarbeiten. Die Infrastruktur des ELENA-Verfahrens und das Know-how aus dem Projekt sollen in dieses neue Verfahren mit einfließen.

Kritiker verbuchen den ELENA-Stopp nun als ihren Erfolg. Rena Tangens von der Bürgerrechts- und Datenschutz-Organisation Foebud etwa jubelt: „Wir haben es geschafft – der breite Widerstand gegen die Datenkrake ELENA war erfolgreich! Über ein Jahr lang hat die Bundesregierung die Probleme mit ELENA verschleppt, nun musste sie die Reißleine ziehen.“

Den kompletten Artikel von Sibylle Gassner, findet ihr unter Aus für Arbeitnehmer-Datenbank ELENA von silicon.de.

Freundliche Grüße
das OSS-Haus Team

Überblick zu Open Source in Behörden

Die Bundesstelle für IT des Bundesverwaltungsamts (BIT) betreibt den Webauftritt des ‚Kompentenzzentrums Open Source Software‘ (CC OSS). Das Online-Angebot wurde jetzt erheblich ausgebaut.

Bundesweit nutzen Behörden den Webauftritt des Kompetenzzentrums als Quelle für Informationen zum Einsatz von Open Source Software und für den Austausch von Erfahrungen. Behörden können über den Webauftritt Einsatzszenarien sowie Produktbeschreibungen veröffentlichen, suchen und einsehen.

Mittlerweile wurden über 25 Einsatzszenarien von 20 Behörden veröffentlicht. Rund 60 Produktbeschreibungen wurden größtenteils durch IT-Experten der Behörden sowie der Open Source Communities erfasst und werden von diesen regelmäßig aktualisiert. Aktuelle Neuigkeiten, Termine und Informationen zu rechtlichen Aspekten ergänzen das Angebot.

So ist etwa eine ‚Open Source Karte der Öffentlichen Verwaltung‘ verfügbar. Die Karte bietet eine geografische Darstellung des Einsatzes und der Entwicklung von Open Source Software in der Verwaltung. Durch Klick auf einen Marker erhält der Nutzer Informationen zum Einsatzszenario, durch einen weiteren Klick auf den Titel des Einsatzszenarios sind Details abrufbar.

Web-2.0-Funktionalitäten ermöglichen die Pflege von Inhalten durch die registrierten Experten direkt über den Browser. Interessenten können sich durch das Abonnement von RSS-Feeds über neue Inhalte informieren oder im Forum mit anderen Experten diskutieren. Der Webauftritt selbst basiert auf dem Open Source-Produkt Drupal.

Den originalen Artikel mit weiteren Links von Lutz Poessneck, findet ihr unter Überblick zu Open Source in Behörden von silicon.de.

Freundliche Grüße
das OSS-Haus Team