Re: BSI-Surf-CD, Bundestrojaner?
- From: Ansgar -59cobalt- Wiechers <usenet-2008@xxxxxxxxxxxxxxxx>
- Date: Thu, 4 Sep 2008 19:12:22 +0200 (CEST)
Thomas Hochstein <thh@xxxxxxxxx> wrote:
Ansgar -59cobalt- Wiechers schrieb:
Du siehst keinen Unterschied zwischen einem einmaligen Dump und
einem ständigen Monitoring?
Technisch? Nein. Organisatorisch gibt es da durchaus Unterschiede,
aber das ist eine andere Baustelle.
Vielleicht haben wir unterschiedliche Auffassungen von "technisch" und
"organisatorisch" ...
Möglicherweise. Ich sehe die Anzahl der Iterationen als organisatori-
sches Detail an, nicht als technisches.
Du siehst keinen technischen Unterschied zwischen einem Live-
Mitschnitt des Netzwerkverkehrs, ggf. auf bestimmte Protokolle
beschränkt, und einem Zugriff auf die auf einem dauerhaften Speicher
(typischerweise: Festplatte) abgelegten gespeicherten Daten. Das
kann ich mir kaum vorstellen.
Die Backdoor braucht in beiden Fällen effektiv administrative Rechte
auf dem jeweiligen System. Die Beschränkung des Zugriffs auf
bestimmten Netzwerkverkehr oder Dateien ist damit ein rein
willkürlicher, organisatorischer Akt.
*grübel* Ein SMTP-Server, der sich an Port 25 bindet, und ein Rootkit
sind also technisch identisch, weil beide administrative Rechte
brauchen, so daß die Unterschiede in der Wirkung dann bloß
organisatorisch sind? Das vermag ich beim besten Willen nicht
nachzuvollziehen.
Klar, wer das eine installieren kann, kann genausogut das andere
installieren - aber deshalb ist es doch - auch technisch - nicht
dasselbe.
Du vereinfachst unangemessen, und das weißt du auch.
- Im Gegensatz zu regulärer Computerforensik kann man für Quellen-TKÜ
oder Online-Durchsuchungen keine Standardsoftware verwenden, denn die
wäre (relativ) schnell entdeckt und damit wirkungslos.
- Die Software braucht in jedem Fall administrative Rechte, um sich an
den entsprechenden Stellen in die Kommunikation einhängen zu können,
bzw. um Zugriff auf alle Daten auf dem System haben zu können.
- Im Gegensatz zu einem MTA ist Software zur Quellen-TKÜ bzw. Online-
Durchsuchung üblicherweise vom Betreiber unerwünscht, d.h. die
Software muss Rootkit-Techniken verwenden, um sich selbst vor
Entdeckung zu schützen. Derartige Techniken entziehen jedoch per
definitionem dem Benutzer die Kontrolle über sein System, und können
ggf. auch von anderer Software missbraucht werden. Ich erinnere da an
die Diskussion zum Sony-Rootk^WKopierschutz.
- Die Installation von Software für Quellen-TKÜ oder Online-Durchsuchung
ist an sich schon ein problematischer Vorgang. Man müsste wahlweise:
- eine Sicherheitslücke ausnutzen (was dem Betroffenen das Argument
"mein System war kompromittiert" an die Hand gibt)
- den Benutzer per Social Engineering dazu bringen, die Software
selbst zu installieren (was fehlerträchtig ist und obendrein nur bei
Personen ohne hinreichenden technischen Background funktioniert; ein
Personenkreis, bei dem AFAICS normale polizeiliche Ermittlungs-
methoden völlig ausreichen dürften)
- in die Wohnung einbrechen und vor Ort das System manipulieren
(Verletzung von Art. 13 GG, es stellt sich außerdem die Frage, ob
eine reguläre Wohnungsdurchsuchung oder aber die Installation
herkömmlicher Wanzen ausreichend wäre)
- Es gibt keine unabhängigen Zeugen, die beobachten könnten, was genau
bei der Installation gemacht wird. Eine Wanze kann man nach Abschluss
der Überwachungsmaßnahme sicherstellen und untersuchen, ob sie
manipuliert wurde. Derjenige, der eine Quellen-TKÜ-Software
installiert könnte jedoch problemlos unbemerkt auch noch weitere
Software installieren, die beispielsweise geeignete Samples in die
aufgezeichnete Kommunikation einschleust und sich danach rückstands-
frei selbst entsorgt. Das ist das Wahlcomputer-Problem: es wird
Einzelpersonen viel zu leicht gemacht, unbemerkt Manipulationen
vorzunehmen.
- Im Gegensatz zu regulärer Computerforensik findet bei Quellen-TKÜ und
Online-Durchsuchung bereits durch die Installation eine Manipulation
des Gegenstands der Untersuchung statt. Das mag Quellen-TKÜ vielleicht
weniger betreffen, aber für Online-Durchsuchungen wird dadurch IMHO
die Glaubwürdigkeit der Ergebnisse per se in Frage gestellt.
Die Liste ist sicher nicht vollständig.
Technisch gibt es genau nichts, was jemand mit Zugriff auf die
Backdoor daran hindern würde zusätzlich zum Netzwerkverkehr auch
Dateien auszuspähen oder umgekehrt.
Das kommt darauf an (nämlich auf die Konstruktion der Backdoor).
IMHO ist das unabhängig von der Konstruktion der Backdoor, aus den oben
dargelegten Gründen.
[...]
Der Mitschnitt und die Ausleitung des Netzwerkverkehrs wird von
installierter Software nicht beeinflusst.
Der Mitschnitt erfolgte aber auf einem nachweislich kompromittierten
System. Damit ist automatisch die Integrität (oder vielleicht besser
die Beweiskraft) der aufgezeichneten Daten in Frage gestellt.
Nicht wirklich. Deine Argumentation erscheint mir hier etwas
rabulistisch; Du hängst Dich sehr an den Begriff "kompromittiert". Ein
Rechner, auf dem bspw. bewußt ein administrativer Zugriff von außen,
von mir aus noch paßwortlos, zugelassen wird, wäre nicht
kompromittiert (weil der Betreiber das so veranlasst hat), aber
natürlich ist die Integrität der Daten dann höchst fraglich. Ein ohne
Wissen und Wollen des Betreibers installierter administrativer Zugang
kann hingegen durchaus die Integrität der Daten sicherstellen, und sei
es durch eine gesicherte Dokumentation aller Vorgänge.
IMO kann man das aus den oben dargelegten Gründen eben nicht
sicherstellen.
Ich habe für mein Beispiel unterstellt, dass sich das Telefon in der
Wohnung des Betroffenen befindet, d.h. die Wohnung für die
Installation betreten werden muss. Das wäre IMHO die zur Installation
einer Quellen- TKÜ-Software äquivalente Situation im Pizzamannland.
Jein. Die Frage ist, ob ein Zugriff über Datenleitungen auf einen
Rechner das Grundrecht auf Unverletzlichkeit der Wohnung, in der
dieser Rechner steht, berührt bzw. verletzt, auch wenn die Wohnung
nicht betreten und auch physisch nichts in sie hineinbefördert wird.
Das scheint auch das BVerfG zu verneinen; es begründet damit die
Notwendigkeit des "Grundrechts auf Gewährleistung der Vertraulichkeit
und Integrität informationstechnischer Systeme" als Ausprägung des
Allgemeinen Persönlichkeitsrechts.
Dazu aus dem Urteil des 1. Senats des BVerfG vom 27.02.2008:
| Art. 13 Abs. 1 GG vermittelt dem Einzelnen allerdings keinen
| generellen, von den Zugriffsmodalitäten unabhängigen Schutz gegen
| die Infiltration seines informationstechnischen Systems, auch wenn
| sich dieses System in einer Wohnung befindet [...]. Denn der
| Eingriff kann unabhängig vom Standort erfolgen, so dass ein
| raumbezogener Schutz nicht in der Lage ist, die spezifische
| Gefährdung des informationstechnischen Systems abzuwehren. Soweit
| die Infiltration die Verbindung des betroffenen Rechners zu einem
| Rechnernetzwerk ausnutzt, lässt sie die durch die Abgrenzung der
| Wohnung vermittelte räumliche Privatsphäre unberührt.
Kann ich so als Standpunkt akzeptieren.
[...]
Nimm beispielsweise den "Holzklotz-Mord" überneulich [1]. Ja, da
handelte es sich zweifellos um eine schwere Straftat. Hältst du
deshalb das Vorgehen der Polizei für gerechtfertigt, unmittelbar und
ohne konkreten Verdacht die Verbindungsdaten von 13000 Gesprächen
abzufragen und auszuwerten?
Das ist m.E. keine Frage, die man so generell beantworten kann. Es
handelt sich dabei ja nicht um irgendein beliebiges Vorgehen der
Polizei, sondern um eine auch in diesem Fall richterlich angeordnete
und gesetzlich normierte Maßnahme, d.h. man kann die Rechtmäßigkeit
des Vorgehens an den Voraussetzungen der Vorschrift messen.
Eine
endgültige Einschätzung dazu wird man aus meiner Sicht nur anhand der
Presseberichterstattung aber wohl nicht treffen können (siehe auch
<dcsm.0809032051.3527@xxxxxxxxxxxxxxxxxxxxxxx>).
Eine Funkzellenabfrage nach § 100g Abs. 1, Abs. 2 S. 2 StPO setzt
voraus:
- eine Straftat eine Straftat erheblicher Bedeutung, insbesondere aus
dem Katalog des § 100a Abs. 2 StPO,
- die auch im Einzelfall von erheblicher Bedeutung ist,
- dass die Erforschung des Sachverhalts auf andere Weise aussichtslos
oder wesentlich erschwert wäre (ultima-ratio-Klausel),
Der Antrag wurde praktisch unmittelbar nach Beginn der Ermittlungen
gestellt (vorausgesetzt, die Berichterstattung hat den Sachverhalt nicht
grob entstellt wiedergegeben). Zu dem Zeitpunkt soll schon klar gewesen
sein, dass "die Erforschung des Sachverhalts auf andere Weise aus-
sichtslos oder wesentlich erschwert wäre"? Das glaubst du doch selbst
nicht. Mag sein, dass ein Richter die Maßnahme genehmigt hat, aber auch
Richter sind halt nunmal nicht unfehlbar.
und (ungeschrieben)
- dass es konkrete Hinweise darauf gibt, dass der Beschuldigte oder
die Beschuldigten dort telefoniert haben (nicht nur allgemeine
Erwägungen), sowie
- dass räumliche und zeitliche Beschränkungen getroffen werden, die
dem Verhältnismäßigkeitsgrundsatz genügen (möglichst enger Bereich,
möglichst kurzer Zeitraum, soweit die Tatbegehung das irgend erlaubt;
je größer vermutlich die Anzahl der geführten Gespräche - Größe des
Bereichs, Ort, Tageszeit -, desto gravierender muß die Tat sein und
desto kleiner Bereich und Zeitspanne).
Ausgehend von http://www.spiegel.de/spiegel/0,1518,566847,00.html
können hier in Frage stehen die ultima-ratio-Klausel (wobei ich
angesichts der dünnen Beweislage die Annahme einer sonst wesentlichen
Erschwerung der Ermittlungen für nicht besonders weit hergeholt
halte), die Verhältnismäßigkeit (das Zeitfenster von 5 Stunden ist
weit, was sich andererseits angesichts der Schwere der Tat
relativiert) und auch die konkreten Hinweise darauf, daß der Täter
überhaupt telefoniert hat. Letztere vermisse ich insbesondere; dazu
muß man allerdings sagen, daß dieses Kriterium sich auch nicht aus dem
Gesetz ergibt und wohl auch nicht unumstritten ist. Rechtsprechung
gibt es dazu noch nicht.
Sorry, aber keine 24 Stunden nach der Tat schon auf eine als *Ultima
Ratio* deklarierte Maßnahme zurückgreifen zu wollen, halte ich für
absurd.
[...]
- selbst jetzt schon viel zu häufig die Opfer von erfolglosen
Überwachungsmaßnahmen rechtswidrig nicht informiert werden
Soweit das tatsächlich der Fall ist, dürfte sich das durch die
geschaffene Neuregelung ändern.
Ich sehe nicht, wie neue Regelungen irgendwas daran ändern sollen,
dass Informationspflichten verletzt werden.
Dass Informationspflichten verletzt wurden ist zumindest nicht
offensichtlich; eine Benachrichtigung mußte nämlich nicht in jedem
Fall erfolgen. Es gibt Gründe, sie zunächst zurückzustellen oder gar
auf Dauer zu unterlassen,
In Einzelfällen: möglicherweise. Wenn aber, wie die Studie [1] des MPI
sagt, in weit über der Hälfte aller Überwachungsmaßnahmen unklar bleibt,
wer (bzw. ob überhaupt jemand) über die Überwachung informiert wurde,
dann liegt da irgendwas grundsätzlich im Argen.
es war umstritten, wer genau zu benachrichtigen ist, das Prozedere war
unklar, und überhaupt waren u.a. die Benachrichtigungspflichten
unübersichtlich und verstreut geregelt. Die Neuregelung in § 101 StPO
faßt diese Verpflichtungen jetzt zusammen, vereinheitlicht sie, stellt
die Gründe für Nichtbenachrichtigung und Zurückstellung zusammen,
führt auch dafür die richterliche Entscheidung ein und ergänzt weitere
persönlichkeitsschützende Vorschriften (Kennzeichnungspflicht,
Vernichtungspflicht).
Wir werden sehen, ob das etwas bringt.
- faktisch keine Erfolgskontrolle der Überwachungsmaßnahmen erfolgt.
Was stellst Du Dir denn als "Erfolgskontrolle" vor? Ich kann den
Begriff in diesem Zusammenhang nicht zuordnen.
Wenn die Anzahl der Überwachungen, die ergebnislos blieben (d.h. den
Anfangsverdacht nicht bestätigt haben), die Anzahl der erfolgreichen
Überwachungen überproportional übersteigt, dann muss IMHO bei derartig
schwerwiegenden Eingriffen in Grundrechte die Verhältnismäßigkeit und
damit die Zulässigkeit derartiger Maßnahmen überdacht werden.
Das ist furchtbar schwer zu sagen, weil sich die Vielzahl der
Konstellationen kaum erfassen läßt.
Dazu kann ich nur sagen: na und? Ja, es ist viel einfacher, Grundrechte
massenhaft zu verletzen, als darüber nachzudenken, wie man das
vermeidet. Das ändert genau gar nichts daran, dass ich von denjenigen,
die in Grundrechte eingreifen wollen, verlange, dass sie sich Gedanken
darüber machen, wie sie das minimalinvasiv tun, und dass sie es auch
ganz unterlassen, wenn es sich insgesamt als nicht verhältnismäßig
herausstellt. Und ja, ich erwarte ebenfalls, dass sie herausfinden, ob
das so ist oder nicht.
[...]
Telefongespräche lassen sich auch ohne Quellen-TKÜ ganz analog
überwachen. Ja, das ist mehr Aufwand. Ja, das ist trotzdem gut so.
Da fehlt mir offenbar der technische Hintergrund. Wie überwache ich
denn verschlüsselte VoIP-Gespräche ohne Quellen-TKÜ, also ohne
Ansetzen am Endgerät? Ich würde das für unmöglich halten.
Ganz einfach: du greifst die Kommunikation diesseits des A/D-Wandlers
ab. Die meisten Menschen neigen dazu, unverschlüsselt zu sprechen. ;)
[...]
Dass in praktisch allen Bereichen, wo diese Maßnahmen sinnvoll zum
Einsatz kommen könnten, die Aufklärungsquote auch ohne diese Maßnahmen
schon hinreichend hoch ist. Zu hoch, um derartig schwere und fragwürdige
Grundrechtseingriffe als verhältnismäßig rechtfertigen zu können.
Mir ist nicht recht klar, aus welchen Statistiken sich die
entsprechenden Daten ergeben sollen.
http://www.bka.de/pks/index.html
Die polizeiliche Kriminalstatistik erfaßt alle angezeigten Straftaten
(und nur diese, also nur das Hellfeld); jedes polizeiliche
Ermittlungsverfahren findet sich dort wieder (also unabhängig davon,
ob es sich gegen Unbekannt oder gegen bestimmte Verdächtige richtet).
Die Erfassung in der PKS erfolgt mit dem Abschluß der Ermittlungen,
also der Vorlage an die Staatsanwaltschaft, und umfaßt die
polizeiliche Wertung der Tat nach einem vorgegebenen Katalog (nicht
aber die Einschätzung der Staatsanwaltschaft und erst recht nicht die
Beurteilung des Gerichts). [1] Als "aufgeklärt" werden diejenigen
Straftaten erfaßt, bei denen dann ein Tätverdächtiger ermittelt wurde
(also im Prinzip solche, bei denen eine Anzeige gegen eine bestimmte
Person der Staatsanwaltschaft vorgelegt wird, so daß dort ein
Js-Verfahren eingeleitet wird), auch dann, wenn derjenige
schuldunfähig ist usw. usf. "Tatverdächtig" ist dabei definiert als
"jeder, der nach dem polizeilichen Ermittlungsergebnis aufgrund
zureichender tatsächlicher Anhaltspunkte verdächtig ist, eine
rechtswidrige (Straf-)Tat begangen zu haben". Die Formulierung
"aufgrund zureichender tatsächlicher Anhaltspunkte verdächtig ist" ist
allerdings die, die den *Anfangsverdacht* umschreibt. Wenn das so
zutrifft - und mein Eindruck deutet in diese Richtung -, dann ist
jeder Fall "aufgeklärt", in dem es einen Beschuldigten gibt, ganz
gleich, ob am Ende die Staatsanwaltschaft einen hinreichenden
Tatverdacht bejaht (was auch deshalb konsequent ist, weil Erfassung ja
schon mit der Abgabe der Akten erfolgt und die Polizei zu diesem
Zeitpunkt schlicht nicht mit Sicherheit wissen kann, was die
Staatsanwaltschaft dann mit dem Verfahren tut). Das ist auch insofern
praktisch, weil man dann für die Auswertung "geklärt" oder "ungeklärt"
nur prüfen muß, ob das Verfahren noch gegen Unbekannt geführt wird
oder es einen Verdächtigen gibt.
Wenn das so ist - und so ist wie gesagt mein Eindruck -, bedeutet das,
daß praktisch jedes Verfahren, in dem verdeckte Ermittlungsmaßnahmen
(TKÜ usw.) eingesetzt werden, als "aufgeklärt" geführt wird,
alldieweil diese Maßnahmen eine Beschuldigtenstellung erfordern [2]
und es dann ja jemanden gibt, der "aufgrund zureichender tatsächlicher
Anhaltspunkte verdächtig ist, eine rechtswidrige (Straf-)Tat begangen
zu haben".
[1] Was dem einen eine gefährliche Körperverletzung, ist dem anderen
ein versuchter Mord.
[2] Okay, nicht jede; die Funkzellenabfrage ist bspw. eine der ganz
wenigen Ausnahmen.
Langer Rede kurzer Sinn: für solche Auswertungen ist die PKS schlicht
ungeeignet. (Sie hat durchaus auch noch andere Mängel, und auch die
Qualität der Daten ist teilweise durchaus zweifelhaft; in einem
aktuell laufenden kriminologischen Forschungsprojekt haben sich
jedenfalls teilweise - je nach Bundesland - ganz erhebliche
Diskrepanzen zwischen den PKS-Zahlen und den tatsächlichen
Ermittlungsakten ergeben.)
Was würdest du ersatzweise vorschlagen? Denn auf irgendwelche nachvoll-
ziehbaren Zahlen muss sich ja schließlich auch die Forderung nach
Quellen-TKÜ bzw. Online-Durchsuchungen gründen. Andernfalls wäre sie
einfach nur lächerlich.
Wie willst Du denn bei einer Durchsuchung sicherstellen, daß keine
Manipulation stattfindet?
Bei einer physischen Durchsuchung durch unabhängige Zeugen,
Was die sehen, ist immer die Frage - und bei Anwesenheit des
Staatsanwalts bedarf es keiner Zeugen.
Ich lese in § 105 StPO nichts davon, dass die Gegenwart eines Richters
oder Staatsanwalts weitere Zeugen grundsätzlich ausschlösse.
Versiegelung der beschlagnahmten Beweismittel
Findet praktisch nicht statt, und wenn, dann mit dem Amtssiegel der
Polizei; das kann also jederzeit durch böswillige Beamte erneuert
werden.
Das Beweismittel geht AFAICS aber durch mehrere Hände, die Manipulatio-
nen feststellen könnten.
bzw. Prüfsummen bei digitalen Medien.
Digitale Medien werden gleichfalls zunächst der polizeilichen
Auswertung zugeführt; Prüfsummen werden wenn dann rest dort erzeugt.
Unter der Annahme, daß die Polizei nicht vertrauenswürdig ist, hilft
das also auch nicht.
Die Annahme ist nicht, dass die Polizei insgesamt nicht vertrauenswürdig
sei, sondern dass einzelne Beamte böswillig sein könnten. Im digitalen
Raum ist es häufig so, dass Einzelpersonen Dinge allein (und häufig
genug auch ohne Spuren zu hinterlassen) tun können, wofür IRL die
Kooperation vieler Personen notwendig wäre. Dadurch sind Manipulationen
im digitalen Raum viel einfacher und risikoloser als solche IRL.
Wie stellst Du das sonst bei einer Rechnerauswertung sicher?
Bei einer Rechnerauswertung dadurch, dass von Medien bzw. RAM unter
Zeugen Images erstellt werden, von denen dann Prüfsummen erstellt und
hinterlegt werden. Alle weiteren Untersuchungen werden auf Kopien der
Images ausgeführt. So lassen sich spätere Manipulationen leicht
nachweisen.
Das kann sein, allerdings wird das nicht getan.
Kann ich mir eigentlich nicht vorstellen, denn das würde die Integrität
und Beweiskraft der Untersuchungsergebnisse in Frage stellen. IMHO.
Es ist für eine Bewertung der RFS doch nur ein Vergleich zu der
derzeitigen (und jahrzehntealten) Praxis sinnvoll.
Diesem Vergleich kann sie prinzipbedingt nicht standhalten, wie ich
eingangs zu erläutern versucht habe.
Wenn wir bisher - durchaus nicht ohne Grund - keine Manipulationen
befürchtet haben, warum dann plötzlich jetzt und nur dort?
Das Problem ist doch nicht entscheidend anders.
Das sehe ich wie gesagt ganz anders.
Der Unterschied ist aber dann nur ein theoretischer, kein praktischer.
Nein.
PS: Ich weiß nicht, ob ich in den nächsten Tagen zeitnah (!) weiter an
der Diskussion "dranbleiben" kann; Postings dieser Art (und Länge ;))
verschlingen überproportional viel Zeit. Ich werde mich aber auf jeden
Fall bemühen, zu antworten.
Geht mir genauso. Ich werde die nächsten Tage offline sein und
frühestens Montag wieder antworten können.
[1] http://www.mpicc.de/ww/de/pub/forschung/forschungsarbeit/kriminologie/archiv/tkue.htm
cu
59cobalt
--
"The Mac OS X kernel should never panic because, when it does, it
seriously inconveniences the user."
--http://developer.apple.com/technotes/tn2004/tn2118.html
.
- References:
- Re: BSI-Surf-CD, Bundestrojaner?
- From: Ansgar -59cobalt- Wiechers
- Re: BSI-Surf-CD, Bundestrojaner?
- From: Thomas Hochstein
- Re: BSI-Surf-CD, Bundestrojaner?
- Prev by Date: Re: BSI-Surf-CD, Bundestrojaner?
- Next by Date: Re: Integrit?t der Windows-Dienste pr?fen
- Previous by thread: Re: BSI-Surf-CD, Bundestrojaner?
- Next by thread: Re: BSI-Surf-CD, Bundestrojaner?
- Index(es):
Relevant Pages
|
