Einbruch und Staatstrojaner: „Wir schätzen Flexibilität und unkompliziertes Anpacken“
Screenshot twitter.com
„Als neue, junge Organisation sind wir nicht von Vorschriften und Hierarchien durchdrungen, bieten aber alle Vorzüge eines öffentlichen Arbeitgebers. … Dabei erschließen wir auch Neuland. … National wie international stehen wir im Austausch mit den führenden Köpfen unseres Fachs und kooperieren mit wissenschaftlichen Einrichtungen, Unternehmen und Sicherheitsbehörden, die im Cyber-Umfeld forschen und entwickeln. …Wir schätzen Flexibilität und unkompliziertes Anpacken.“ So das ZITiS in seiner Eigenbeschreibung. Was mit diesen Euphemismus genau gemeint ist, darüber schweigt sich die Behörde – aus guten Grund – aus. Im verkürzten Sinne, geht es um das Infiltrieren von technischen System und dabei müssen rechtsstaatliche Strukturen schon mal hinten anstehen. Es gipfelt darin, dass sich krimineller Hacker und Einbrecher zusammen mit Beamten gegenseitig bei ihrer „Arbeit“ auf die Füße treten.
„Das Bundeskriminalamt (BKA) und die Zollverwaltung setzen für das Entschlüsseln kryptografisch geschützter Kommunikation oder Datenträger keine Supercomputer ein. Dies hat die Bundesregierung in einer jetzt veröffentlichten Antwort auf eine Anfrage der Linksfraktion im Bundestag mitgeteilt. Die Fahnder verwenden demnach „eigene Computersysteme“ mit teilweiser „Unterstützung durch Prozessoren auf Grafikkarten“ bei ihren Versuchen, an verschlüsselte Daten heranzukommen. Derlei Verfahren sind in der Szene nicht unbekannt: Vor allem Passwort-Cracker setzen seit Jahren darauf, auch die Rechenleistung von Grafikprozessoren (GPUs) anzuzapfen, um Angriffe zu erleichtern. Verschlüsselung stellt die Sicherheitsbehörden nach Angaben der Bundesregierung hierzulande und in der EU „vor wachsende Herausforderungen bei den Ermittlungen“. Der Europäische Ministerrat empfahl daher im Oktober den Mitgliedsstaaten, gegebenenfalls unter Einbeziehung des Privatsektors „spezielle Hard- und Software mit angemessener Rechenleistung“ bereitzustellen, um durch „intelligentere Analysen“ Passwörter zu knacken. Um schwachen Passwortschutz zu brechen, sollen die Ermittler darauf achten, Hinweise zu Passphrasen, entsprechenden Segmenten, Zeichensätzen oder zur Passwortlänge zu sammeln. Bei der Bundespolizei und beim Militärischen Abschirmdienst (MAD) komme in diesem Sinne „keine gesonderte Hard- oder Software“ zum Einsatz, führt die Bundesregierung aus. Zu den anderen Geheimdiensten in Form des Bundesnachrichtendiensts (BND) und des Bundesamts für Verfassungsschutz will sich das federführende Bundesinnenministerium öffentlich nicht äußern, um keine „Informationen zu Aufklärungsaktivitäten, Analysemethoden und zur aktuellen Aufgabenerfüllung“ zu verraten und die „Interessen der Bundesrepublik“ nicht zu gefährden.“
Die Offenbarungen der Behörde sind keine Überraschung. Um sichere Passwörter zu knacken, ist jede Menge Rechenleistung erforderlich und diese kostet Geld. Bei Verschlüsselungsverfahren ist der Aufwand, nochmal um ein vielfaches Höher. Selbst ein Staat, mit Zugriff auf nahezu unbegrenzte finanzielle Mittel – Namens Steuergeld – kommt hier an seine Grenzen. Aus diesen Grund soll Sabotage-Software, also der sogenannte Staatstrojaner helfen. Aber dieser müssen erstmal heimlich auf die Rechner installiert werden.
„Es müssten also Mittel und Wege gefunden werden, auch ohne Wissen von zum Beispiel Apple das iPhone zu knacken. Dafür ist es notwendig, Sicherheitslücken zu finden. Entweder man findet sie selbst oder man findet jemanden, der einem dieses Wissen verkauft – was einen Schwarzmarkt befeuert, auf dem dubiose Händler diese Lücken anbieten. Dieses Problem erwähnt Karl auf der Bühne nicht. Heise online sagte er: „Es gibt keinen Ankauf von Zero-Days (so werden diese Schwachstellen genannt, Anm. d. Red.) auf Grau- oder Schwarzmärkten. Es gibt keine Zusammenarbeit mit unseriösen Firmen.“ Auf Nachfrage sagt er: „Wir schaffen keine Sicherheitslücken, diese existieren bereits und sind seit Jahren bekannt. IT-Sicherheit ist ein Management-Problem.“ Zitis werde also nicht aktiv Verfahren schwächen, die für IT-Sicherheit sorgen, sondern bereits bestehende IT-Unsicherheit ausnutzen.“
Das ist natürlich Gelogen und das exakte Gegenteil ist richtig. Es existiert kein legaler Markt, wo Sicherheitslücken feil geboten werden. Natürlich tauchen ab und an Lücken in der Software auf, normalerweise werden diese öffentlich gemacht, damit sie so schnell wie möglich geschlossen werden können. Ziel: Um größeren Schaden zu verhindern. Genau hier zeigt sich, dass in Wahrheit um etwas ganz anderes geht. Der weltweit angerichtet Schaden durch Trojaner und andere Schadprogramme, stellt schon gegenwärtig die übrige Kriminalität in den Schatten. Fragen der Verhältnismäßigkeit werden hierbei von den Behörden schon gar nicht mehr aufgeworfen. Diese Richtschnur setzt sich auch woanders fort.
„Doch schon ein Jahr später soll die Strafprozessordnung nachgebessert werden. „Um die neuen Ermittlungsmaßnahmen effektiv und praxistauglich einsetzen zu können“, fordern Bayern und Rheinland-Pfalz „die Schaffung eines gesetzlichen Betretungsrechts zum Zwecke der Aufbringung der Software“. Bundesjustizministerin Katarina Barley (SPD) soll einen entsprechenden Gesetzentwurf vorlegen, so der Antrag. Mit „Betretungsrecht“ ist der heimliche Einbruch in die Wohnung gemeint. Dabei sollen wohl Nachschlüssel und ähnliche spurenlose Methoden benutzt werden, denn der Wohnungseigentümer soll ja nicht merken, dass die Polizei seine Geräte manipuliert hat.“
Eine ganze Reihe von Grundrechten werden kurzerhand für null und nichtig erklärt, um mit Geheimdienstmethoden die Bürger auszuspionieren. Die Einschätzung, was unter Kriminalität und Terrorismus zu verstehen ist, übernimmt praktischerweise gleich die ermittelnde Behörde. Selbst die strikte Trennung von Geheimdienst und Polizei, wird nicht mal mehr zum Anschein gewahrt. Besonders die Zentrale Stelle für Informationstechnik im Sicherheitsbereich (ZITiS) tut sich hierbei negativ hervor. Es handelt sich um einen Mosaikstein organisierter Verantwortungslosigkeit: Nicht nur dass die Behörde sowohl für Dienste aller Art zuarbeitet, niemand kann mehr schlüssig Rückverfolgen, welchen Schaden diese Sicherheitslücken am Ende anrichten.
Screenshot twitter.com
