Zwischen Anspruch und Wirklichkeit – von Bundestrojanern, Drohnen und allgemeiner Trotteligkeit

Ich sitze bekanntlicherweise gerade an meiner Masterarbeit über die Volkszählungsproteste 1983 und 1987. Eine der erstaunlichsten Ergebnisse ist die Lücke zwischen der wahrgenommenen Bedrohung und dem, was wirklich passierte. So befürchteten die Gegner, dass ihre Daten fleißig an Geheimdienste weitergegeben würden, dass eine Datenbank aller Staatsgegner erstellt würde, dass die Gesellschaft total erfasst und somit kontrollierbar würde und so weiter. Am Ende erwies sich alles als eine große Luftnummer: Die Geheimdienste griffen nicht auf die Daten zu, die erhobenen Daten wurden für statistische Zwecke genutzt und das Statistische Bundesamt hatte Probleme, alle Unterlagen von den Zählern zu bekommen, weil diese sie betrunken in Kneipen liegen ließen, in U-Bahnen vergaßen oder sie einfach in den Müll warfen. Der große Bruder erwies sich dann doch als Chaot.

Diese Lücke zwischen dem technisch Möglichen und dem Chaos bei dessen Realisierung ist bemerkenswert. Kritiker und Gegner staatlicher Überwachungsmaßnahmen rechnen immer mit dem schlimmsten, dem perfekten Staatsapparat, der effizient arbeitet. In der Realität sieht dies immer wieder anders aus. Zwei aktuelle Beispiele verdeutlichen das ganz anschaulich:

Es gibt wohl kaum eine gesellschaftliche Organisation, die so liebenswert ist wie der Chaos Computer Club. Seit Jahrzehnten legt er immer den Finger in die digitale Wunde, deckt öffentlichkeitswirksam Sicherheitslücken auf und ist dabei auch noch herzlich anarchisch. Seit dem mittlerweile legendären BTX-Hack sorgt der CCC ständig für die nötige Unruhe. Jetzt hat er den Bundestrojaner zugespielt bekommen und analysiert. Das Ergebnis ist ein Desaster für unsere Sicherheitsbehörden: Der Bundestrojaner läuft nur auf 32bit Windows-Systemen, wer einen aktuellen Rechner mit 64bit System nutzt oder gar „exotische“ Systeme wie MacOS, der ist fein raus. Und wer wirklich Terrorpläne schmiedet, dem sei Linux empfohlen. Auch andere Funktionen des Trojaners wirken unglaublich dilletantisch: So erfolgen Verbindungen immer mit dem gleichen Verschlüsselungskey und der Trojaner nimmt Befehle ohne Authentifizierung an – jeder kann also den Trojaner steuern. Außerdem hat der CCC den Trojaner in seine Finger bekommen, weil dessen Selbstzerstörungsfunktion versagte – er lag im Windows-Papierkorb (!). Das sind Fehler, die eigentlich nicht passieren dürfen – jedes 13jährige Skriptkiddie hat bessere und ausgereiftere Software zur Verfügung.

Das zweite Beispiel betrifft das Drohnenprogramm der USA. Dies erweckt ganz schnell den Eindruck einer real gewordenen Science Fiction-Dystopie. Eine Flotte billiger Fluggeräte fliegt über die Schlachtfelder dieser Welt, gesteuert von Menschen, die morgens wie normale Arbeiter zur Arbeit fahren, 8 Stunden Krieg führen und dann den Abend mit ihrer Familie verbringen. In der Zwischenzeit haben sie vielleicht mehrere Häuser in Pakistan bombardiert. Das perfekte Waffensystem, günstig, ohne eigene Verluste, einfach aus der Luft zuschlagen, den Gegner vernichten und dann abends Dieter Bohlen im Fernsehen schauen. Phillip K. Dick hätte sich das nicht besser ausdenken können.

Und was stellt sich jetzt heraus? Das Herzstück der modernen Kriegsführung einer der zwei Supermächte hat ein Virenproblem. Der Angreifer ist anscheinend kein Superwurm wie Stuxnet, sondern ein recht banales Stück Malware, welches sich über USB-Sticks verbreitet. Und die Verantwortlichen reagieren herzlich hilflos. Moneyquote:

“We keep wiping it off, and it keeps coming back“

Nachdem ich das gelesen habe, hat mein Tisch hat jetzt eine Delle. Dazu kommt, dass die Predator-Drohnen ihre Übertragungen nicht verschlüsseln. Aufständische im Irak haben so problemlos die Aufzeichnungen der Drohnen mitschneiden können.

Das führt mich wieder zur Ausgangsfrage: Wie soll man das ganze Gerede vom Überwachungsstaat ernst nehmen, wenn dieser sich so trottelig anstellt?

(Im Umkehrschluss bedeutet es natürlich nicht, dass die beiden Programme aufgrund der Trotteligkeit der Verantwortlichen harmlos sind: Sowohl militärische Drohnen als auch Staatstrojaner bergen massive Gefahren. So enthält der Bundestrojaner auch Funktionen, die vom Verfassungsgericht nicht erlaubt wurden. Dank stetiger Screenshots des Bildschirminhaltes ist eine fast lückenlose Überwachung des digitalen Lebens möglich, was mit der Quellen-TKÜ nichts mehr zu tun hat. Und er ermöglicht es auch, beliebigen Code zu laden und auszuführen – damit ließe sich beispielsweise auch belastendes Material auf dem Rechner platzieren. Und es ist völlig unverständlich, warum er Daten über einen Server in den USA leitet. Weiterhin sind natürlich auch die Überwacher lernfähig – es ist damit zu rechnen, dass die nächste Version des Bundestrojaners deutlich verbessert wird, die generellen Probleme bleiben aber bestehen.)

Dieser Beitrag wurde unter Allgemein abgelegt und mit , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

12 Antworten zu Zwischen Anspruch und Wirklichkeit – von Bundestrojanern, Drohnen und allgemeiner Trotteligkeit

  1. DAMerrick sagt:

    Schade, jetzt wo Sie ihn geschrieben haben muss ich diesen Article nicht mehr schreiben. ^^

  2. SmilerGrogan sagt:

    Ich finde, dass diese Ausführungen den Überwachungsstaat nicht weniger gefährlich erscheinen lassen, eher umgekehrt. Der Dilentatismus der hier deutlich wird, lässt ja befürchten, dass staatliche Kontrollmaßnahmen überaus fehlerhaft sein können und dadurch sicherlich vielfach falsche Urteile gefällt werden.

    Staatliche Überwachung ist dadurch also nicht bestenfalls ineffizient, sondern schlimmstenfalls fehlerhaft und bringt unschuldige Bürger in Gefahr und den Staat selbst ein Legitimationsdefizit ein.

  3. Pingback: #0zapftis – ein Trojaner für die Regierung « … Kaffee bei mir?

  4. Fabian sagt:

    Die Kritker rechnen längst nicht mit einem perfekt funktionierenden effizienten Staatsapparat sondern mit schlimmerem: einer technisch inkompetenten aber böswilligen Exekutive. Gib dem BKA ein Werkzeug mit dem leicht missbrauch betrieben werden kann in die Hand und es wird genutzt werden. Und nirgendwo gibt es eine fähige Kontrollinstanz, die die Vorgaben des BVerfG sicherstellt – da wird einfach behauptet, die Software genüge höchsten Qualitätstandards usw.

    Dazu muss überhaupt nichts perfekt funktionieren und das macht die Sache wie schon gesagt wurde nur noch schlimmer.

    Und, die Anmerkung muss sein, ein paar Dinge hast du nicht ganz verstanden:

    Der Bundestrojaner läuft nur auf 32bit Windows-Systemen, wer einen aktuellen Rechner mit 64bit System nutzt oder gar “exotische” Systeme wie MacOS, der ist fein raus. Und wer wirklich Terrorpläne schmiedet, dem sei Linux empfohlen. Auch andere Funktionen des Trojaners wirken unglaublich dilletantisch: So erfolgen Verbindungen immer mit dem gleichen Verschlüsselungskey und der Trojaner nimmt Befehle ohne Authentifizierung an – jeder kann also den Trojaner steuern. Außerdem hat der CCC den Trojaner in seine Finger bekommen, weil dessen Selbstzerstörungsfunktion versagte – er lag im Windows-Papierkorb (!).

    – Die vorliegende Version läuft auf 32-Bit Windows, ob es auch Versionen für andere Systeme gibt ist nicht bekannt aber durchaus zu vermuten.
    – Auch wenn die Vorstellung putzig ist, der Trojaner lag nicht im Windows-Papierkorb. Gelöschte Dateien lassen sich wiederherstellen, so lange der Bereich der Festplatte in dem sie lagen nicht überschrieben wurde.

  5. Lutz sagt:

    Und wer sagt denn, dass diese Dinge nicht gewollt sind?
    Man entlässt fehlerhafte Spionage-Software in die Öffentlichkeit, diese mokiert sich darüber, wie trottelig die staatlichen Stellen agieren, während diese sich in Fäustchen lachend mit den eigentlichen Überwachungsprogrammen auf den privaten Festplatten der Bürger tummeln.
    Aber mit Einführung der Cloud wird das ohnehin alles überflüssig. dann stehen die Daten im Netz und die Behörden müssen sie nur dort ganz bequem abgreifen.

  6. Pingback: Stichwort Staatstrojaner – Linkliste

  7. murry sagt:

    Umgekehrt wird ein Schuh draus. Gerade weil man mit dem menschlichen Faktor rechnen muss – Inkompetenz, Ignoranz, persönlichem Ehrgeiz usw. muss man Überwachungsmaßnahmen enge Grenzen setzen.

    Ich sehe die Gefahr durch Techniken wie den Bundestrojaner weniger in einer Verschwörung von oben sondern eher beim kleinen Beamten unten – der z.B. für einen Ermittlungserfolg kurz mal eine Datei bei einem Verdächtigen platziert. Nach dem Motto – ich bin mir sicher das er schuldig ist, aber nachweisen kann ichs ihm nicht. Dann helfe ich einfach mal kurz ein bischen nach.

  8. Nie mand sagt:

    Es geht nur darum einzelne unliebsame öffentlich zu zernichten.
    Dann braucht man keine totale Überwachung mehr weil alle Angst haben.
    Existenzvernichtende Abmahnungen oder Scheinprozesse usw. sind übliches Mittel in Diktaturen.

    Der CCC sollte vielleicht die Diplomwürdigkeit der Beteiligten aberkennen lassen.
    Wer gerne Steuern zahlt und kein Geld hat, seine Kinder auf Privatschulen oder Uni zu schicken, kann dann auch (wenn er alt genug ist) überlegen, was systematische Verhinderung von Schlamperei und Miswirtschaft in Management, Politik und seinem Unternehmen (Opel, Wadan, Quelle-Arcandor, Escom, Maxfield, Griechenland, Island, Lehmann, Dexia, DDR,…) ihm an Verbesserung erbracht haben und wer alles davon profitierte.
    Dazu hätte man die Controlling-Vorlesung halt nicht schwänzen dürfen.

  9. Nie mand sagt:

    Korrektur/Nachtrag: Der erste Absatz gilt natürlich nur für Diktaturen. Der dritte Satz sollte der erste Satz werden. In anständigen Staaten geht es natürlich nur um die 100%ige Aufdeckung aller Steuerhinterzieher und korrupten Politiker und erzbösen Terroristen die ihre Anschläge zu sicher fast 100% im „bösen“ „gelegentlich stinkende Killer-Spieler“-Internet planen während praktisch alle deutschen Vorlesungen und Pressekonferenzen zu 100% in Fußballstadien und Hörsälen stattfinden weil das viel besser ist als von zu Hause aus zu lernen wie in der Ipad-Werbung.

    Und bei golem wird erklärt, wieso Proxies eingesetzt werden.

  10. „Dazu kommt, dass die Predator-Drohnen ihre Übertragungen nicht verschlüsseln.“

    Das ist kein Zufall, sondern der Erkenntnis geschuldet, daß das Management einer PKI unter Gefechtsfeldbedingungen nicht machbar ist. Tatsächlich haben die Erfahrungen mit SSL in der letzten Zeit gezeigt, daß das Management einer PKI unter Bürobedingungen auch nicht funktioniert.

    Was die Viren angeht: http://techzwn.com/2011/10/predator-drone-virus-could-be-internal-monitoring-system-analyst/ Es ist nicht unwahrscheinlich, daß es sich gar nicht um einen Virus handelt, sondern einfach um zwei Abteilungen innerhalb einer Organisation, die nicht korrekt miteinander kommunizieren, aber dieselben Systeme administrieren. Das ist nicht weniger bedrohlich, aber ein anderes Szenario.

  11. Gaston Lagaffe sagt:

    „Der große Bruder erwies sich dann doch als Chaot.“

    Nicht das was der Staat aktuell tut, sondern das, was mit den Daten gemacht werden könnte, ist das Gefährliche an der Sache. Klar, die Volkszählung anno dazumal war ein großer Flop aber wer kann garantieren, dass die durchaus „professioneller“ durchgeführte neue Datenerhebung in Zukunkft nicht doch an Staatsorgane weitergereicht wird?

    Ähnlich der Staatstrojaner. Klar das LKA versucht klarzumachen, dass man sich an geltende Rechte gehalten hat, aber wer garantiert das sie es in anderen Fällen tut? Und dank Gossenzeitschriften wie Blöd und ähnlichem könnte davon ausgegangen werden, dass falls ein Gesetztesübertritt öffentlich wird, dem LKA-Beamten kaum Strafe zu teil wird (ähnlich dem folternden Polizisten beim Kindermörder Gäfgen).

    Ergebnis ist eine Verrohung des moralische, ethischen und auch verfassungsrechtlichen Bewertungssystem innnerhalb unserer Gesellschaft. Und diese Verrohung ist schon so weit fortgeschritten, dass im „Tatort“ (Immerhin eine Seundung im öffentlich, rechtlichen TV) einen Trojaner einsetzten um illegal Beweise zu beschaffen – ohne irgendwelche Sanktionen, Strafen ect.

    Über die Problematik, ein privates Unternehmen, welches von einem vorbestraften Geschäftsführer geleitet wird, welches eklatante Sicherheitslücken auf ihren Servern besitzt; dass die Daten über die USA geleitet werden (also jeglicher Rechtsanspruch eines Beschuldigten verfällt) sehe ich mal hinweg…

  12. Pingback: Stichwort Staatstrojaner – Linkliste | Blog HeikeRost.com

Kommentare sind geschlossen.