Einbruch und Staatstrojaner: „Wir schätzen Flexibilität und unkompliziertes Anpacken“

Screenshot twitter.com Screenshot twitter.com

Als neue, junge Organisation sind wir nicht von Vorschriften und Hierarchien durchdrungen, bieten aber alle Vorzüge eines öffentlichen Arbeitgebers. … Dabei erschließen wir auch Neuland. National wie international stehen wir im Austausch mit den führenden Köpfen unseres Fachs und kooperieren mit wissenschaftlichen Einrichtungen, Unternehmen und Sicherheitsbehörden, die im Cyber-Umfeld forschen und entwickeln. Wir schätzen Flexibilität und unkompliziertes Anpacken.“ – So beschreibt sich das ZITiS in seinen eigenen Worten. Was genau mit diesem beschönigenden Begriff gemeint ist, wird von der Behörde – aus gutem Grund – nicht näher erläutert. Im Grunde genommen geht es darum, in technische Systeme einzudringen, wobei rechtsstaatliche Strukturen manchmal hinten angestellt werden müssen. Dies führt dazu, dass kriminelle Hacker und Einbrecher zusammen mit Beamten sich gegenseitig bei ihrer “Arbeit” ins Gehege kommen.

“Vor allem Passwort-Cracker setzen seit Jahren darauf, auch die Rechenleistung von Grafikprozessoren”

>>Golem<<

„Das Bundeskriminalamt (BKA) und die Zollverwaltung setzen für das Entschlüsseln kryptografisch geschützter Kommunikation oder Datenträger keine Supercomputer ein. Dies hat die Bundesregierung in einer jetzt veröffentlichten Antwort auf eine Anfrage der Linksfraktion im Bundestag mitgeteilt. Die Fahnder verwenden demnach „eigene Computersysteme“ mit teilweiser „Unterstützung durch Prozessoren auf Grafikkarten“ bei ihren Versuchen, an verschlüsselte Daten heranzukommen. Derlei Verfahren sind in der Szene nicht unbekannt: Vor allem Passwort-Cracker setzen seit Jahren darauf, auch die Rechenleistung von Grafikprozessoren (GPUs) anzuzapfen, um Angriffe zu erleichtern. Verschlüsselung stellt die Sicherheitsbehörden nach Angaben der Bundesregierung hierzulande und in der EU „vor wachsende Herausforderungen bei den Ermittlungen“. Der Europäische Ministerrat empfahl daher im Oktober den Mitgliedsstaaten, gegebenenfalls unter Einbeziehung des Privatsektors „spezielle Hard- und Software mit angemessener Rechenleistung“ bereitzustellen, um durch „intelligentere Analysen“ Passwörter zu knacken. Um schwachen Passwortschutz zu brechen, sollen die Ermittler darauf achten, Hinweise zu Passphrasen, entsprechenden Segmenten, Zeichensätzen oder zur Passwortlänge zu sammeln. Bei der Bundespolizei und beim Militärischen Abschirmdienst (MAD) komme in diesem Sinne „keine gesonderte Hard- oder Software“ zum Einsatz, führt die Bundesregierung aus. Zu den anderen Geheimdiensten in Form des Bundesnachrichtendiensts (BND) und des Bundesamts für Verfassungsschutz will sich das federführende Bundesinnenministerium öffentlich nicht äußern, um keine „Informationen zu Aufklärungsaktivitäten, Analysemethoden und zur aktuellen Aufgabenerfüllung“ zu verraten und die „Interessen der Bundesrepublik“ nicht zu gefährden.“

“Bundesinnenministerium öffentlich nicht äußern, um keine „Informationen zu Aufklärungsaktivitäten, Analysemethoden und zur aktuellen Aufgabenerfüllung“ zu verraten”

Die Enthüllungen der Behörde sind keine Überraschung. Um sichere Passwörter zu knacken, wird eine große Menge Rechenleistung benötigt, die Geld kostet. Beim Entschlüsseln ist der Aufwand sogar noch höher. Selbst ein Staat mit Zugriff auf unbegrenzte finanzielle Mittel – sprich Steuergeld – stößt hier an seine Grenzen. Daher soll der Staatstrojaner, also Sabotage-Software, helfen. Allerdings muss diese erst einmal heimlich auf die Rechner installiert werden.

“Es müssten also Mittel und Wege gefunden werden, auch ohne Wissen von zum Beispiel Apple das iPhone zu knacken”

>>Süddeutsche Zeitung<<

„Es müssten also Mittel und Wege gefunden werden, auch ohne Wissen von zum Beispiel Apple das iPhone zu knacken. Dafür ist es notwendig, Sicherheitslücken zu finden. Entweder man findet sie selbst oder man findet jemanden, der einem dieses Wissen verkauft – was einen Schwarzmarkt befeuert, auf dem dubiose Händler diese Lücken anbieten. Dieses Problem erwähnt Karl auf der Bühne nicht. Heise online sagte er: „Es gibt keinen Ankauf von Zero-Days (so werden diese Schwachstellen genannt, Anm. d. Red.) auf Grau- oder Schwarzmärkten. Es gibt keine Zusammenarbeit mit unseriösen Firmen.“ Auf Nachfrage sagt er: „Wir schaffen keine Sicherheitslücken, diese existieren bereits und sind seit Jahren bekannt. IT-Sicherheit ist ein Management-Problem.“ Zitis werde also nicht aktiv Verfahren schwächen, die für IT-Sicherheit sorgen, sondern bereits bestehende IT-Unsicherheit ausnutzen.“

“Zero-Days ” – “Man findet jemanden, der einem dieses Wissen verkauft – was einen Schwarzmarkt befeuert, auf dem dubiose Händler diese Lücken anbieten”

Es handelt sich um eine klare Falschmeldung und das genaue Gegenteil ist wahr. Es gibt keinen legalen Markt, auf dem Sicherheitslücken zum Verkauf angeboten werden. Es kommt zwar gelegentlich zu Lücken in der Software, die in der Regel öffentlich bekannt gemacht werden, um sie so schnell wie möglich zu schließen. Das Ziel: größeren Schaden zu verhindern. Hier wird deutlich, dass es in Wirklichkeit um etwas ganz anderes geht. Der weltweit durch Trojaner und andere Schadprogramme verursachte Schaden übertrifft bereits jetzt die übrige Kriminalität. Fragen der Verhältnismäßigkeit werden von den Behörden hierbei nicht einmal mehr gestellt. Diese Vorgehensweise setzt sich auch anderswo fort.

“Um die neuen Ermittlungsmaßnahmen effektiv und praxistauglich einsetzen zu können”

>>taz<<

„Doch schon ein Jahr später soll die Strafprozessordnung nachgebessert werden. „Um die neuen Ermittlungsmaßnahmen effektiv und praxistauglich einsetzen zu können“, fordern Bayern und Rheinland-Pfalz „die Schaffung eines gesetzlichen Betretungsrechts zum Zwecke der Aufbringung der Software“. Bundesjustizministerin … soll einen entsprechenden Gesetzentwurf vorlegen, so der Antrag. Mit „Betretungsrecht“ ist der heimliche Einbruch in die ­Wohnung gemeint. Dabei ­sollen wohl Nachschlüssel und ­ähnliche spurenlose Methoden benutzt werden, denn der ­Wohnungseigentümer soll ja nicht merken, dass die Polizei seine Geräte manipuliert hat.“

“Mit „Betretungsrecht“ ist der heimliche Einbruch in die ­Wohnung gemeint”

Eine Vielzahl von Grundrechten wird einfach außer Kraft gesetzt, um die Bürger mit Geheimdienstmethoden zu überwachen. Die Definition von Kriminalität und Terrorismus wird praktischerweise von den ermittelnden Behörden übernommen. Sogar die klare Trennung zwischen Geheimdienst und Polizei wird nicht mehr eingehalten. Insbesondere die Zentrale Stelle für Informationstechnik im Sicherheitsbereich (ZITiS) fällt hier negativ auf. Es ist ein Puzzlestück organisierter Verantwortungslosigkeit: Nicht nur arbeitet die Behörde für alle möglichen Dienste, niemand kann mehr nachvollziehen, welchen Schaden diese Sicherheitslücken letztendlich verursachen werden.