Ein Kommentar zum Thema "Staatstrojaner"
sToRm 
An dieser Stelle möchte ich persönlich, an der aktuellen Diskussion zum Thema "Bundestrojaner" oder auch "Staatstrojaner" teilnehmen und öffentlich ein paar Worte und Gedanken hierzu aufschreiben. Diese Nachricht wird an die Regierung, insbesondere an Herrn Hans-Peter Uhl, sowie die jeweilig verantwortlichen Behörden gerichtet und sollte in Ihrem Inhalt und den dargelegten Fakten und auch den Fragen, einen Anreiz darstellen, einmal über die Anwendung und die rechtliche, sowie moralische Situation zum Thema "Bundestrojaner" nachzudenken.
Herr Uhl, Sie haben in Ihrer Rede davon gesprochen, dass der Bürger von der Regierung geschützt werden sollte. Insbesondere haben Sie mit einem Betrugsfall argumentiert, welcher sich über das Internet abspielte und tausende Bürger zu Opfern machte.
Nun, es ist sicherlich richtig, dass sich viele Betrüger im Internet herumtreiben, um dort gezielt nach Opfern zu suchen. In erster Linie geht es darum, sich zu bereichern und ahnungslose Menschen in eine Betrugsfalle zu locken. Grundsätzlich ist es nicht falsch, derartige Betrüger strafrechtlich zu verfolgen und die Bürger vor derartigen Betrugsfallen zu schützen. Allerdings verurteile ich Ihren Versuch, derartige Fälle für die Rechtfertigung einer Software zu nutzen, die gegen geltende Gesetze und Persönlichkeitsrechte verstößt, sowie moralisch nicht vertretbar ist.
Gerne würde ich erfahren, wie Sie sich vorstellen, mit einem Trojaner auf Verbrecherjagt zu gehen. Gerade bei Betrügern die über Onlineshops Waren anbieten und die Kunden prellen, würde mich brennend interessieren, WEM Sie den Trojaner unterschieben würden und WIE Sie dies begründen. Möchten Sie der gesamten Bevölkerung einen Trojaner unterschieben, um vielleicht eines Tages auf den Täter zu stoßen, während dieser seinen Betrügereien nachgeht? Sicher, für einen "normalen Bürger" der sich mit dem Thema "Internet" nicht wirklich beschäftigt und keine Ahnung von der zugehörigen Technik, geschweige denn von einem Trojaner hat, wird sich Ihre Ansprache plausibel anhören. Darum gehe ich davon aus, dass Sie entweder selbst keine Ahnung haben wovon Sie da überhaupt sprechen oder Sie gezielt versuchen, die Zuhörer, welche kein Fachwissen zum Thema besitzen, mit Ihren durchaus inkompetenten Aussagen zu manipulieren.
Im Übrigen finde ich es lächerlich, mit der Strafverfolgung zu argumentieren. Ich kenne Fälle, in denen derartige Betrüger verfolgt wurden. Ich selbst habe mich in einigen Fällen bereit erklärt, Unterstützung zu leisten. Ein ähnlicher Fall wie Sie ihn schilderten, lag auch auf meinem Schreibtisch. Es handelte sich um einen Betrüger, der über einen Onlineshop seine Kunden prellte. Der Schaden ging in die Millionen. Als die Medien über diesen Fall berichteten, habe ich mich mit den ermittelnden Beamten in Verbindung gesetzt, um diese bei Ihren Ermittlungen zu unterstützen.
Bereits wenige Tage nach meinen ersten Aktionen, konnte ich mir Zugriff auf die Administration des Onlineshops, sowie auf die Serververwaltung, Konto- und Kreditkartendaten des Betrügers, sowie dessen Email-Account und weitere Informationen verschaffen (in Rücksprache mit den Behörden). Auch IP-Adressen die eindeutig dem Betrüger zuzuordnen waren, habe ich herausgefunden und verfolgen können. Eine der IP-Adressen war sogar direkt auf ein Unternehmen in Berlin registriert. Es wäre also absolut kein Problem gewesen, den Verantwortlichen ausfindig zu machen und hinter Schloß und Riegel zu bringen.
Die Informationen wurden an die ermittelnden Beamten übersandt. Danach erfolgte keinerlei Antwort. Soweit ich den Fall verfolgen konnte, wurden die Ermittlungen eingestellt. Unzählige Kunden haben ihr Geld verloren. Die Regierung hat es nicht interessiert.
Nun möchten Sie ernsthaft sagen, dass dieser Trojaner so wichtig für die Strafverfolgung ist? Wollen Sie ernsthaft sagen, dass unsere Behörden so wahnsinnig dahinter sind, Betrüger im Internet ausfindig zu machen? Nein, ich glaube nicht, dass das der wahre Grund ist, wofür es diesen Trojaner gibt.
Sie sagen auch, dass der CCC rein garnichts aufgedeckt hat und die Details bereits zuvor bekannt waren. Nun, dann möchten Sie also zustimmen, dass die Behörden BEWUSST einen Trojaner erstellen ließen, der gegen das Gesetz verstößt und unsere Regierung durchaus Kenntnis davon hatte? Die Software kann weit mehr, als es erlaubt ist. Neben Telefongesprächen und Chats über diverse VoIP Programme, erstellt die Software auch Bildschirmaufnahmen und zeichnet Tastatureingaben des Benutzers auf, manipuliert Prozesse und bietet die Möglichkeit, Dateien auf den Computer zu schleusen. Das ist eindeutig ein Schritt zu weit und verletzt sämtliche Rechte eines Bürgers in diesem Land.
Ich möchte Sie und auch alle anderen Beteiligten Personen und Unternehmen fragen, ob Sie in Ihrem Kontrollwahn auch einmal an die Nebeneffekte gedacht haben?
Was passiert, wenn Sie einen Trojaner auf einen Laptop aufspielen und die verdächtige Person gibt das Gerät an eine dritte Person weiter? In diesem Fall gibt es absolut keine Rechtfertigung für die Überwachung und auch die richterliche Anordnung greift hier nicht. Sie KÖNNEN als Strafverfolgungsbehörde nicht kontrollieren, WER an diesem Gerät sitzt. Demnach können Sie auch nicht nachweisen, WER genau im Chat geschrieben und Dokumente verfasst hat, wer im Internet nach gewissen "Bombenanleitungen" gesucht oder sich auf Kinderporno-Seiten herumgetrieben hat.
Natürlich kann es in manchen Fällen hilfreich sein, einen Telefonanschluss zu überwachen, um zum Beispiel Drogendealer bei Terminvereinbarungen am Telefon zu belauschen. Hier haben die Beamten aber auch die Möglichkeit, die Überwachung bzw. das Mithören genau dann abzubrechen, wenn sie bemerken, dass es nicht die verdächtige Person ist, die sich am Hörer befindet. Sie haben also die Möglichkeit die Rechte der unbeteiligten und unschuldigen Person zu schützen. Bei einem Trojaner FEHLT diese Option vollständig. Denn Sie können nicht wissen, wer im Moment der Aufzeichnung am Gerät sitzt.
Nehmen wir an, der Verdächtige verkauft das Gerät oder gibt es im Bekanntenkreis weiter. Was ist dann? Würde diese Person dann illegale Geschäfte im Internet tätigen oder einen Anschlag planen, wen würden Sie verhaften? Gehe ich also richtig davon aus, dass hier auch die Möglichkeit besteht, eine völlig unschuldige Person hinter Gitter zu bringen bzw. unter falschen Verdacht zu stellen? Oder wie läuft das Ganze dann ab? Besuchen Sie den neuen Besitzer nach dem Motto:
"Ach, entschuldigen Sie. Ich bräuchte mal eben Ihren Computer. Wir haben da einen Trojaner installiert, den würden wir nun gerne wieder löschen."
Wo wir gerade beim Thema sind. Was passiert, wenn sich der Verdacht bei der Person nicht bestätigt? Bleibt der Trojaner dann auf der Festplatte? Wie lange ist denn so eine Überwachung gedacht? Vielleicht ein paar Jahre, könnte ja sein, dass später mal etwas Illegales passiert?!
Alleine aus den oben genannten Gründen, würde ich den verantwortlichen Beamten, sowie den Richtern die eine Anordnung für den Einsatz eines derartigen Trojaners ausgestellt haben empfehlen, den Beruf an den Nagel zu hängen und lieber bei McDonald's Hamburger in Tüten zu hüllen. Es ist absolut unverantwortlich eine derartige Überwachung zu genehmigen und ein Risiko einzugehen, dass unbeteiligte und unschuldige Personen Ihrer Rechte beraubt werden. Können Sie sich vorstellen, welchen Schaden es anrichten könnte, wenn ein junges Mädchen sich völlig unbeteiligt an den Computer setzt, um sich über Internetforen zu Ihren Sorgen zu informieren und im Anschluß erfahren muss, dass die gesamte Belegschaft der Kripo-XY mitgelesen hat?
Liebe Damen und Herren, haben Sie sich schon einmal überlegt, ob es nich sein könnte, dass sich auch unter den Beamten die ein oder andere "falsche Nummer" befindet, die sich eine derartige Software auch in einer anderen Form zu Nutze machen könnte? Haben Sie schon einmal überlegt, ob es nicht auch möglich wäre, unschuldige Personen mit den erspähten Informationen zu erpressen und vielleicht auch zu einem falschen Geständnis zu bewegen? Könnte man mit sensiblen, privaten Informationen nicht auch Politiker erpressen oder gezielt Gegner ausschalten?
Haben Sie vielleicht auch schonmal darüber nachgedacht, dass die Server auf denen die Daten gespeichert werden nicht sicher sein könnten? Ich habe nach den ersten Analysen des Trojaners auch die angesprochenen Server in Augenschein genommen, sowie einen Blick auf den Betreiber geworfen. Aus technischer Sicht wäre es durchaus möglich gewesen, dass sich Angreifer einen Zugriff zu diesen Server verschaffen. Was, wenn dies so passiert wäre?
Da von mir persönlich, in vergangenen Wochen auch eine Sicherheitslücke beim BMI gemeldet wurde (Details können Sie gerne direkt beim BSI erfragen), ist davon auszugehen, dass auch Software/Server unserer Regierung sicherlich nicht vor Angriffen geschützt sind. Alleine die Hackerangriffe auf die Polizei bzw. Bundespolizei der vergangenen Monate, zeigen mir persönlich, dass durchaus eine gewaltige Gefahr besteht, was die aufgezeichneten Daten des Trojaners betrifft.
Es wird Zeit, dass diese Regierung endlich begreift, dass man durch Kontrollwahn keine Sicherheit erreichen kann und dass durch die bisherigen Maßnahmen keine Vorbeugung von Straftaten stattgefunden hat. Vielmehr setzen Sie das eigene Volk einer Gefahr aus oder versuchen, die Persönlichkeitsrechte der Bürger zu beschneiden, statt die Ursachen für Kriminalität zu beseitigen. Kümmern Sie sich doch darum, dass sich Gutmütigkeit wieder lohnt, dass das Arbeiten wieder einen Sinn ergibt. Wenn immer mehr Menschen sich täglich die Frage stellen müssen, ob sie sich das Leben in dieser Gesellschaft noch leisten können, dann wird es auch immer mehr zu Betrügereien und Kriminalität in diesem Land und auch anderen Ländern kommen.
Abgesehen davon ist es falsch, jeden "Hacker" grundsätzlich als Verbrecher darzustellen. Sie können alleine hier im Portal verfolgen, dass dies nicht so ist und es durchaus Menschen gibt, die sich für den Schutz ihrer Mitmenschen einsetzen und gegen Verbrechen kämpfen, ohne dabei die Rechte der einzelnen Personen oder gar der Bevölkerung zu verletzen. Und noch schlimmer ist es, davon auszugehen, dass Sperren, Kontrollen und Aufzeichnungen, zur Beseitigung von Straftaten dienen könnten. Theorien, wie die der Vorratsdatenspeicherung sind eine blanke Idiotie und jeder Fachmann weiß, dass eine VDS keinerlei Vorteil in der Strafverfolgung bringen würde. Die wirklich "dicken Fische" im weltweiten Netz, wissen genau, was Anonymität im Internet bedeutet. Es würde ja schon reichen, wenn ein Straftäter sich bei seinen Aktionen im Netz, an einem fremden Internetanschluß via W-LAN bedienen würde. Schon wäre ihre Kontrolle ausgeschalten und vielmehr würden womöglich unschuldige Personen, für die Taten Anderer bestraft werden.
Sie als Regierung sollten sich auch darüber klar werden, dass bei vielen kriminellen Handlungen die über das Internet geschehen, nicht nur die Täter eine Schuld trifft. Sie können hier im Security-Blog mehrfach lesen, dass es viele Betreiber von Internetportalen und Onlineshops gibt, die kein Bewusstsein für die Sicherheit der eigenen Kunden aufbringen. Täglich gibt es Übergriffe auf Onlineshops und große Internetdienste, bei denen Kundendaten erspäht werden, die im Anschluss für weitere, kriminelle Handlungen benutzt werden. In vielen Fällen in denen wir Sicherheitslücken entdeckt haben, stießen wir bislang auf totale Ignoranz. Böswillige Hacker haben in diesem Fall freie Fahrt und können diese Schwachstellen weiter ausnutzen. Als gutmütiger Bürger kann man hier nicht mehr als Warnen und Hinweise senden, die Problematik öffentlich darstellen und Druck aufbauen. Der Fehler liegt dabei aber lediglich an den Betreibern, die bewusst nicht auf Warnungen eingehen und Sicherheitslücken einfach ignorieren. Wenn dann ein "Einbruch" stattgefunden hat, wird lediglich über die Täter gesprochen, jedoch nie über die Fahrlässigkeit der Betreiber.
Auch wenn man an öffentlicher Stelle einen Hinweis richtet, in dem über hunderte, unsichere Onlineshops berichtet und gleichzeitig eine Lösung präsentiert wird, bringt dies nicht viel. Das BSI bzw. Bürger-CERT wurde vor Wochen über Sicherheitslücken in einem bekannten Shopsystem informiert, welches mit den Schwachstellen noch immer in tausendfacher Ausführung verwendet wird. Man versicherte, eine öffentliche Warnung auszusprechen bzw. die Öffentlichkeit darüber zu informieren. Bis heute ist rein garnichts passiert.
Und Sie Herr Uhl, möchten nun in Ihrer Ansprache den Bürgern weismachen, dass sich die Regierung und die Behörden so sehr für die Sicherheit der Bürger im Internet und die Verfolgung von Straftätern im Netz einsetzt? Verstehen Sie mich bitte nicht falsch, wenn ich unterstelle, dass dies nicht der Fall ist.
Vielen Dank für Ihre Aufmerksamkeit.
Mit freundlichen Grüßen
Heiko Frenzel
Gründer und Inhaber
Sicherheit-Online.org
