acepoint’s home

Am vergangenen Freitag habe ich mir die Mühe gemacht, das Abstimmungsverhalten der Direktkandidaten in meinem Wahlkreis Steinfurt I zu recherchieren. Hier stellen sich zwar Kandidaten von insgesamt sechs Parteien zur Verfügung, ernsthafte Chancen haben aber nur Ingrid Arndt-Brauer (SPD) und Jens Spahn (CDU).

Für Frau Arndt Brauer habe ich den Kandidaten-Check von abgeordnetenwatch.de verwendet. Jens Spahn scheint wenig von diesem Portal zu halten, selbst direkt an ihn gerichtete Fragen hat er nie beantwortet. Ich habe deshalb versucht, die wichtigsten Informationen seiner eigenen Webseite zu entnehmen. Die unterschiedlichen Farben sollen mögliche Übereinstimmung/entgegengesetzte Ansicht zum Wahlprogramm der Piraten abbilden.

 Die große Koalition hat eine weitere Vorlage für den ehemaligen Innenminister und heutigen "Hobby-Kläger" Gerhart Baum geliefert. Der Innen- und Rechtsausschuss winkten gestern das umstrittene BKA-Gesetz durch. Am Mittwoch wird der Bundestag über das *gähn* "Gesetz zur Abwehr von Gefahren des internationalen Terrorismus durch das Bundeskriminalamt" abstimmen und vermutlich mit den Stimmen von CDU/CSU und SPD verabschieden.

 Gerhart Baum (FDP) hat für den Fall einer Verabschiedung bereits eine Klage vor dem Bundesverfassungsgericht angekündigt. Dies wäre dann seine dritte. Oder vierte? Langsam kommt man mit dem Zählen nicht mehr nach. Selbst die Deutsche Polizeigewerkschaft (nicht zu verwechseln mit der Gewerkschaft der Polizei, die  sieht nämlich keine Probleme!) hat starke Bedenken gegen die Gesetztesnovelle angemeldet. Ebenso Journalisten, Rechtsanwälte und Ärzte. Aber unsere Politiker sind anscheinend beratungsresistent.

 Kritiker sehen in dem Gesetz eine starke Beschneidung der Bürgerrechte, weil das BKA damit bei einer konkreten Gefahr und schwersten Straftaten eine heimliche Onlinedurchsuchung ausführen dürfen. Normalerweise nur mit richterlicher Genehmigung (die mittlerweile einfach zu erhalten ist, die Prüfung eines Antrags auf Hausdurchsuchung dauert laut Statistik beim Gericht weniger als 30 Minuten), bei dringenden Gefahren natürlich auch ohne. Ebenso entscheiden nun zwei BKA-Beamte und der Datenschutzbeauftragte der Polizei *haha!*, was auf dem durchsuchten Rechner zur Privatsphäre gehört und was nicht. Diese soll nämlich, ebenso wie bei telefonischen Lauschangriffen, weiterhin geschützt bleiben.

 
Wie man mit unliebsamen Bürgern umgeht, zeigten kürzlich die Bayerische Polizei und Staatsanwaltschaft. Laut Netzpolitik.org wurde am vergangenen Donnerstag beim Pressesprecher der Piratenpartei eine Hausdurchung durchgeführt.

 Grund: Der Piratenpartei wurde im Januar 2008 ein sehr amtlich aussehendes Schreiben zugespielt, in dem das Bayerische Staatsministerium für Justiz die Kostenverteilung bei der Überwachung von "Internettelefonaten" (hier speziell Skype) regelte. Bezug genommen wurde auf ein Angebot der hessischen Firma DigiTask, welche eine Software zum direkten Mitschnitt von Kommunikation über Skype anbietet. Diese Software, bei DigiTask "Skype Capture Unit" genannt, muss jedoch noch auf dem Rechner eines der Kommunikationspartner installiert werden. DigiTask liefert hierzu eine ausführbare Datei, die z.B. als Attachement einer E-Mail versendet werden kann.

 Obwohl das Einpflanzen von Trojanern (noch) illegal ist, haben die Bayerischen Ermittlungsorgane keine Bedenken, die Rechner von Zielpersonen zu verseuchen. Dies falle schließlich unter den Bereich "Telefonüberwachung."

 Natürlich ermitteln die Bayerischen Staatsschützer nicht gegen Ihre Kollegen wegen möglicher illiegaler Abhör- oder Durchsuchungsaktionen. Vielmehr wird nun derjenige  in die Mangel genommen, dem das brisante Dokument (an dessen Authentizität nun nicht mehr gezweifelt werden braucht) zugespielt wurde. Als Zeuge wird er in einem Ermittlungsverfahren gegen unbekannt um 5 Uhr morgens aus dem Bett geklingelt und mit dem Durchsuchungsbeschluß konfrontiert. Wie heißt es so schön in einem Heiseforums-Betrag: "Die Junta zeigt ihre Fratze."

 Einfach nur noch krank. 

 Am kommenden Freitag wird der Bundestag voraussichtlich den heftig umstrittenen Gesetzesentwurf  zur Neuregelung der TK-Überwachung  und zur Vorratsdatenspeicherung von Telefon- und Internetdaten entscheiden. Der Gesetzesentwurf geht zurück auf eine im Februar 2006 vom Rat der Europäischen Union verabschiedeten Richtlinie.

 In der Vergangenheit haben zahlreiche Verbände und Arbeitskreise gegen eine weitere Annäherung an einen "Orwellschen Staat" protestiert, unter anderem in einer Großdemonstration am 22.September in Berlin. In den Medien fand die Großkundgebung damals nur geringes Echo (siehe auch "die Demonstration, die es nicht gab"). Nun, wo es (fast?!) zu spät ist, wachen die Journalisten plötzlich auf. Heute wird in etwa 40 Städten nochmals demonstriert. Einige Beispiele der Medienberichterstattung[Update]:

• Heute-Journal
• Tagesschau.de
• Tageschau um 20:15 (nuscht!!!)
• Tagesthemen um 22:15 (noch mehr nuscht!!!)
• Deutscher Journalisten Verband
• Frontal 21
• Spiegel online

 Grund: den eiligen Reportern wird auf einmal bewußt, daß auch ihre Berufsgruppe massiv von der Vorratsdatenspeicherung betroffen sein wird. Viele Informationen, die bisher von Insidern über die Medien an die Öffentlichkeit gelangt waren, wurden nur deshalb "gesteckt", weil die Informanten einen unbedingten Quellenschutz genossen, also sicher sein konnten, daß ihr Name nie mit der Publizierung eines Skandals in Verbindung gebracht werden konnte. Dieser Vertrauensschutz war und ist absolut notwendig, um die Presse als "vierte Macht" im Staat zu erhalten.

 Wenn nun in Zukunft alle Kommunikationsdaten für einen Zeitraum von mindestens sechs Monaten gespeichert – und von Ermittlungsbehörden abgerufen – werden, ist dieser Quellenschutz passé. Potentielle Informanten werden sich in Zukunft hüten, befreundeten Journalisten per Telefon oder E-Mail brisantes Material zukommen zu lassen, weil sie dann mit direkten Konsequenzen rechnen müssen. Und die Journaille fürchtet nun plötzlich um ein wichtiges Standbein ihrer Arbeit.

 Zwei Dinge sind besonders traurig an der ganzen Geschichte:

 1. Ich selbst habe diverse Zeitungen sowie ARD und ZDF bzw. die Redakteure der entsprechenden Internetportale in der Vergangenheit mehrfach darauf angeschrieben, jedoch kein einziges Mal eine sachbezogene Antwort erhalten. Das Thema war den Journalisten offenbar nicht wichtig genug.

 2. In den meisten Artikeln und Berichten, die in den letzten Tagen erschienen sind, geht es den Autoren nicht um die Freiheit des Bürgers, die Durchsetzung von elemetaren Menschenrechten für alle Deutschen oder die Verhinderung  einer  weiteren Stufe der allgemeinen Überwachungsqualtät. Man liest leider nur von Journalisten als "Bürger zweiter Klasse" hinter Anwälten, Seelsorgern und Ärzten, die ebenfalls massiv von der neuen Regelung betroffen sein werden.

 Der Leser, also das eigentliche Klientel der Medien, interessiert offenbar nicht mehr. 

 8,000 Menschen waren gestern in Berlin auf der Straße – und glaubt man nicht der Polizei, sondern den Veranstaltern, dann waren es sogar 15,000 Teilnehmer. Sie alle demonstrierten friedlich unter dem Motto "Freiheit statt Angst" gegen einen Überwachungsstaat, gegen die kommende Vorratsdatenspeicherung, gegen Schäubles Pläne zu Onlinedurchsuchungen. Die Freie Ärzteschaft war ebenso vertreten wie Mitglieder des CCC oder Hans-Christian Ströbele (Bündnis90/Die Grünen).

 Folgt man jedoch dem Mainstream, handelte es sich um eine Demonstration, die es nicht gab. Der ARD-Tagesschau war die Demo keine Sendesekunde wert, den Heute-Nachrichten wenigstens ein kurzer Einspieler. ZDF-Online meldete falsch, daß an der Demo nur 2,000 Menschen teilnahmen, und die Kundgebung nach acht Festnahmen und einem verletzten Polizisten angeblich von den Ordnungshütern abgebrochen wurde.

 Weder der Spiegel, noch die Süddeutsche oder die Welt berichteten über das Großereignis in Berlin. Bild-Online und die FAZ sowieso nicht. Auch in der Berliner Zeitung findet man nur einen kurzen Artikel mit falschen Zahlen (Quelle: ddp?!). Und man muss lange suchen, um überhaupt weitere Erwähnungen in den Medien zu finden. Selbst die linke taz hüllt sich in Schweigen.

 Dabei betrifft es auch die Journalisten selbst, wenn ab dem kommenden Jahr Kommunikationsdaten für sechs Monate vorgehalten werden und für Ermittlungsmaßnahmen der Behörden genutzt werden können. Wer wird denn ab 2008 angesichts einer lückenlosen Überwachung von Mobilfunk und Internetkommunikation den Investigativ-Journalisten noch als nicht genannte Quelle zur Verfügung stehen? Den Quellenschutz, auf den sich die Medien bei Sensationsstories heute gerne (und zu Recht) berufen, den gibt es dann nicht mehr.

 Hatten alle Journalisten (mit Ausnahme der Sportredaktionen) am Wochenende frei? Handelt es sich bei der "Nicht-Berichterstattung" um eine Art freiwilliger und vorauseilender Selbstzensur? Ist Berlin Provinz? Sind unsere Medien mit dem Thema schlichtweg überfordert? Oder glauben die verantwortlichen Redakteure, ihrer Leserschaft dies nicht mehr zumuten zu können?

 Wer dennoch über die Ereignisse am vergangenem Samstag informiert werden möchte, dem seien folgende Links empfohlen:

• Tausende Bürger demonstrieren für "Freiheit statt Angst" (Heise)
  
• Polizeizugriffe bei Demo gegen den Überwachungsstaat (Heise)
• Ausführlicher Forenbeitrag eines Teilnehmers (Heise Forum)
• Wider den Überwachungsstaat (Deutschlandradio)
• Tagesschau.de
• Protest gegen geplante Vorratsdatenspeicherung (RBB)
• Youtube I
• Youtube II
• Youtube III
• Youtube (EN)

[Update]

 Die taz ist dann doch aufgewacht, am späten Sonntagabend gab es unter dem Titel "Generation Internet protestiert" einen kurzen Bericht. 

  Ein vernichtendes Urteil über den möglichen Einsatz von Bundestrojanern fällte Professor Hartmut Pohl (FB Informatik an der FH Bonn-Rhein-Sieg) in einem Aufsatz für die Zeitschrift Datenschutz u. Datensicherheit. Er anaylsierte bekannt gewordene Online-Durchsuchungen der letzten drei Jahre und die damit verbundenen Technik ("Less-than-Zero-Day-Exploits"). Professor Pohl kam außerdem zu dem Ergebnis, daß neben dem Vertrauensschaden die hohen Entwicklungskosten, das "Züchten" einer Szene und der im Sommer verabschiedete $202c StGB ("Hackerparagraph") Unternehmen und Privatpersonen schädigen würde.

 Pohl führte in seinem Aufsatz etwa ein Dutzend seit 2005 bekannt gewordene Online-Durchsuchungen des BND an, von denen etwa ein Viertel im Auftrag anderer Behörden durchgeführt worden seien. Er stellte drei Verfahren vor, mit denen Behörden auf die Rechner ihrer Opfer gelangen könnten:

• Viren, Würmer und Trojanische Pferde
• Zero-Day-Exploits
• Less-Than-Zero-Day-Exploits

 Von diesen drei "Verfahren" sei allerdings nur das letztere dazu geeignet, den Wünschen Schäubles zu entsprechen. Bei "Less-Than-Zero-Day-Exploits" wird eine Schwachstelle in einer Anwendung und deren Ausnutzung zwar entdeckt, von einer Veröffentlichung aber abgesehen, meist mit dem Ziel, sein Know-How an den Hersteller zu verkaufen oder gewinnbringend über einen grauen Markt zu veräußern. Laut Professor Pohl stehe dies im Gegensatz zu der Verpflichtung Deutscher Behörden, speziell des Bundesinnenministeriums, vor Sicherheitslücken und Schwachstellen zu warnen.

 Pohl räumte auch mit dem Vourteil auf, der Bundestrojaner werde aus einem eindeutigen Schadcode bestehen. Vielmehr beinhalte eine Online-Durchsuchung ein Bündel von unterschiedlichen Maßnahmen. Ebenso wies er auf die Gefahren hin, die der $202c StGB berge, da die Strafbarkeit vom Zweck des Tools abhänge und nicht von den Zielen oder Aktivitäten der Handelnden. Jeder, der sich zukünftig mit z.B. "Less-Than-Zero-Day-Exploits" befasse, mache sich strafbar. Ausländischer Wirtschaftsspionage sei damit Tür und Tor geöffnet.

[Update] 

 Passend dazu hat "die Zeit" heute eine Glosse unter dem Titel "Trojanische Horde" veröffentlicht, in der auf die Zusammenhänge Bundestrojaner, Hackerparagraph, Linux und Bundesaußenministerium eingangen wird. Lesenswert! 

 Für einiges Aufsehen sorgte die Bundesregierung in den letzten Tagen, möglicherweise jedoch eher unbeabsichtigt. In einem Antwortpapier auf einen Fragenkatalog der SPD-Bundestagsfraktion erläuterte ein Mitarbeiter des Innenministeriums, wie dieses sich den Einsatz des sogenannten "Bundestrojaners" vorstelle und legte außerdem dar, wie der vom Bundesverfassungsgericht geforderte Schutz der Privatsphäre gewährleistet werden solle. Alles in allem klingen die Beschreibungen in dem Papier jedoch mehr als abenteuerlich.  Fast zeitgleich veröffentlichte der Spiegel einen Artikel,  in dem beschrieben wird, wie zahlreiche Computer im Kanzleramt und in drei Ministerien von Trojanern befallen gewesen seien, die der Übermittlung von Daten nach China dienten.

 Sowohl  das  Schreiben des Innenministeriums,  als auch die Reaktionen der Regierung auf  die Entdeckung der  infizierten Rechner lassen nicht wirklich auf geballte Kompetenz schließen. Hatten die früheren (illegalen) Versuche unserer Fahnder, Computer online zu überprüfen, noch ihren Ursprung in CDs, die bei den Betroffenen einfach in den Briefkasten geworfen wurden (in der Hoffnung, daß diese die darauf befindliche Software ungeprüft starten würden), soll der Angriff nun über E-Mail-Anhänge, z.B. Word- oder MS-Powerpointdateien erfolgen. Eine zweite Variante bestehe im Clonen der PC-Festplatten, die dann anschließend durch mit RFS (Remote Forensic Software) versehene Platten ersetzt werden sollen. Das Risiko einer Entdeckung bezeichnte das Innenministerium als gering. Sollte der Besitzer eines observierten PCs wider Erwarten doch mißtrauisch werden, könne man das Virus einfach entfernen. Auch der Schutz der Privatsphäre sei durch Einsatz bestimmter "technischer Maßnahmen" gewährleistet.

 Unabhängig von der verfassungsrechtlichen Fragwürdigkeit erinnert mich dieses Vorgehen eher an einen schlechten Sat1-Film denn an IT-Kompetenz. Ich stelle mir gerade vor, wie ich eine E-Mail mit einer "Ist wirklich lustig" Powerpoint-Datei erhalte. Innen drin befindet sich dann ein Trojaner mit einem Algorithmus, der "Meine geheimsten Sexphantasien.doc" in Ruhe lässt, aber die im gleichen Verzeichnis befindlichen Dateien "Anleitung zum Bombenbau.pps" und "Mitgliedsbeiträge Al Quaida.xls" an den Verfassungsschutz sendet.

 Offenbar befindet sich der Wissensstand der Mitarbeiter des Innenministeriums auf gleichem Niveau wie das IT-Knowhow im Bundeskanzleramt und drei weiteren Ministerien. Dort wurden nämlich tatsächlich Trojaner entdeckt und – laut Aussage des BMI und des Verfassungsschutzes – die Übermittlung von etwa 160GB Daten an eine Adresse in China "gerade noch rechtzeitig" verhindert. Wie die ermittelnden Beamten so sicher sein können, daß wirklich nichts nach China übertragen wurde, bleibt mir allerdings ein Rätsel.

 Vielleicht sollte Schäuble unserer Bundeskanzlerin, die sich gerade auf dem Weg nach China befindet, einen Fragenkatalog mitgeben und sich den professionellen Einsatz von Spionagesoftware von chinesischen Spezialisten mal so richtig erklären lassen. Und der Verfassungsschutz nimmt am nächsten Camp des CCC teil – wenn die Schlapphüte nicht sowieso schon (unentdeckt) beim letzten Treffen waren.