Online-Durchsuchung (noch) rechtswidrig
Im Gegensatz zur Politik zeigt sich der Bundesgerichtshof von Online-Durchsuchungen nicht sonderlich begeistert. In einem Beschluss vom 25. November 2006 hat der BGH-Ermittlungsrichter eine vom BKA geplante Aktion als rechtswidrig abgelehnt und diese in der Praxis gestoppt, berichtet heise online. Die Bundesanwaltschaft hat Beschwerde eingelegt.
Die aktuellen Pläne der Politiker klingen so, als könnte man in Firmen investieren, die virtuelle, über drei Ecken gesicherte Festplatten zur Verfügung stellen, und zwar ganz weit weg. Oder in Softwarehersteller, deren Programme Festplatten unknackbar verschlüsseln. Aber wer weiß, als nächste Konsequenz wird es dann auch verfolgt, Daten zu verschlüsseln oder außerhalb der deutschen Strafgewalt zu speichern. Es sei denn natürlich, das BKA wird jeweils auf CC gesetzt.
Es wurde vor einiger Zeit tatsächlich angedacht, dass nur noch Verschlüsselungssysteme ausgeliefert werden dürfen, für die ein Zweitschlüssel bei der Staatsmacht hinterlegt ist.
Und was ist aus der Idee geworden, mittels Beugehaft Schlüssel aus Verdächtigen herauszupressen?
Export- oder Importverbote für Kryptografische Software gab es auch schon und gibt sie noch. DE ist in dieser Hinsicht noch pragmatisch und erlaubt Einfuhr und Ausfuhr.
Die aktuellen Pläne der Politiker klingen so, als könnte man in Firmen investieren, die virtuelle, über drei Ecken gesicherte Festplatten zur Verfügung stellen, und zwar ganz weit weg.
Und wer sagt mir, das diese Firma keine Tarnfirma des BND/BKA ist?
Sensible (Kunden)daten sind bei mir seit je her schon aus Haftungsgründen auf Rechnern ohne Internetanschluß gespeichert.
Bin ja mal sehr gespannt wie diese Durchsuchung technisch durchgeführt werden soll.
Wenn das BKA mittels Trojaner in einen Rechner mit angeschlossenem Mikrophon und Webcam eindringt kann man ja auch gleich diese Werkzeuge zur Überwachung nutzen. 1984 läßt grüßen.
@ 2: Wie ging der Spruch noch gleich? – "Paranoid zu sein, heisst noch lange nicht, dass sie nicht hinter dir her sind"
Fiel mir nur gerade so ein ;-)
Ob die "Terrorgefahr" dadurch gedämmt wird? Ich weiß es nicht. Ich glaube eher, dass mit so etwas dann Jagd auf ein paar popelige Raubkopierer und Websites-ohne-Impressum-ins-Netz-Steller gemacht wird.
Die Kontenkontrolle, die gegen die organisierte Kriminalität eingeführt wurde, wird ja auch vor allem benutzt, um die Vermögensverhältnisse von Arbeitslosen zu durchleuchten.
M.: Es gilt (noch), dass niemand sich selbst belasten muss.
Es gab schon Bestrebungen Verschlüsselung verbieten zu lassen!
http://www.heise.de/newsticker/meldung/35727
Auch aus Deutschland/Europa kamen schon derartige Stimmen, finde nur keinen Link dazu auf die Schnelle.
Desweiteren gibt es bereits Verschlüsselungs-Tools die eine Festplatte unknackbar verschlüsseln, ganze Platten, nur Partitionen oder eine Container-Datei jeder gewünschten Größe. Ohne (gutes) Passwort keine Chance.
Allen voran sei hier TrueCrypt erwähnt. Relativ einfach zu bedienen. Freeware und OpenSource.
http://de.wikipedia.org/wiki/TrueCrypt
http://www.truecrypt.org/
Und zur Meldung, Es scheint mir als wäre der BGH nur eine Scheininstitution.
Man braucht ja nur Gesetze zu ändern um einst illegales in legales zu verwandeln. Auch solche die zuvor sogar verfassungsbrechend waren.
"Oder in Softwarehersteller, deren Programme Festplatten unknackbar verschlüsseln."
Oder einfach auf vorhandene freie Open-Source Software zurückgreifen. Zum Beispiel Truecrypt. Da kann sich dann auch jeder selbst ein Bild davon machen, ob der Staatsanwaltschaft ein Hintertürchen freigehalten wurde.
Ich hoffe stark, dass das rechtswidrig bleibt.
Würde das legal werden, wäre es wohl viel simpler, Polizist zu werden und irgenwo ein gefälschtes Logfile zu hinterlassen/von einem Freund hinterlassen zu lassen, um auch mit völlig illegitimen Absichten in beliebige Computer einzudringen.
Sollte ausserdem eine hardwareseitige Backdoor gesetzlich vorgeschrieben werden, gäbe es für jeden ans Internet angeschlossenen PC ein zentrales, idealerweise einheitliches Sicherheitsloch. Wenn dann noch an den richtigen Stellen gespart wurde, mit festem Passwort/Zugangsbedingungen.
Wenn noch mehr gespart wurde, sind diese für alle so "ausgestatteten" Hardwarekomponenten gleich; hat man also erstmal Zugriff auf einen PC, hätte man Zugriff auf alle PCs.
Weitere Erläuterungen sind wohl nicht nötig, hoffe ich.
Übrigens zu derartigen Überlegungen m.E. sehr empfehlenswert:
Das "Allwissenheitsprotokoll" [RFC 3751] (englisch)
http://tools.ietf.org/html/rfc3751
Dazu fällt mir nur ein Liebermann Zitat ein: "Ach, wissen Se, ick kann jar nich soville fressen, wie ich kotzen möchte."
@4: Wie ging der Spruch noch gleich? – “Paranoid zu sein, heisst noch lange nicht, dass sie nicht hinter dir her sind”
Mal ein Beispiel:
Vor ein paar Jahren war ich in einem Projekt für die Rezeptur- und Zutatenverwaltung eines großen Fertiggerichteherstellers tätig.
Auf die Rezepte wäre nicht nur die Konkurenz neugierig, auch das Finanzamt wäre durchaus in der Lage, anhand der Mengen von in einem bestimmten Zeitraum verbrauchter Zutaten fiskalisch relevante Rückschlüsse zu ziehen.
Z.B. ist es problematisch, wenn ein Bratwurstbudenbesitzer pro Woche angeblich nur 150 Würste verkauft, sein Einkauf aber 30 Liter Senf pro Woche ausweist.
Der Trend geht eindeutig zum Zweitcomputer…
BTW, ein schönes Beispiel dafür, daß in unserem Staat Leute am Ruder sind, die nichtmal in der Lage sind, quasi als Mindestanforderung, strategisch zu denken. Das ganze Bürgerrechte-mit-Füssen-treten-Gejammer lasse ich mal weg, haben andere schon genug drüber geschrieben, interessiert solche Leute ja auch sowieso einen Scheiß. Ein anderer Aspekt ist mindestens ebenso interessant:
Im September hieß es noch, daß die "Anti-Hacker-Gesetze" verschärft werden sollen (§ 202a StGB, § 303b StGB etc). Soweit so gut. Jetzt will man bei BKA und Co. selber hacken. Tolle Idee. Man hat aber schon festgestellt, daß es zuwenig geeignete Hacker gibt, bzw. die wenigen vorhandenen lieber ihr Geld in der Industrie verdienen, bringt mehr als poppeliger BAT. Könnte dieser Nachwuchsmangel jetzt ev. mit der übermässigen Kriminalisierung von Hacker-Aktivitäten auf Hobby-Ebene zusammenhängen? Ich denke ja. (Man denke zum Vergleich an die Nationalmannschaft. Die braucht auch den Jugendbereich als Talentschmiede.)
Das ist also ungefär so, als wenn erst der private Umgang mit Messern verboten wird, und dann später das BKA jammert, daß man nicht genug geeignete Köche für die Kantine finden kann, die in der Lage sind, ein halbes Schwein zu zerlegen. Womit wir bei den dummen Schweinen wären…
Ich weiß jedenfalls nicht, was mir mehr Angst macht: Die zunehmende Beschneidung von Bürgerrechten, oder die Tatsache, daß dies durch Leute geschieht, die reichlich unterbelichtet zu sein scheinen…
Was da im Moment so alles angestrebt wird finde ich schon ziemlich gruselig. Die Stasi hätte vor Begeisterung in die Hände geklatscht.
Man darf auch nicht vergessen, daß auf diesem Weg auch Daten auf einen Rechner geschoben werden könnten.
Einem unliebsamen, kritischen Zeitgenossen Kinderpornographie auf dem Rechner laden – die dann ganz aufgeregt "entdeckt" wird. So ist jemand sehr schnell und ohne großen Aufwand mundtod gemacht.
Anschließend läßt sich noch prahlen, daß daß dieser Schlag nur durch Online-Durchsuchung möglich war.
Auch die Aussage, die dafür entwickelte Software wäre nur für einen ganz kleinen Kreis zugänglich – und ist deswegen sicher, beruhigt mich genauso wie die Aussage: Wahlcomputer sind nicht manipulierbar.
> Die Stasi hätte vor Begeisterung in die Hände geklatscht.
Das dürfte noch ziemlich milde ausgedrückt sein, ich würde sagen
hier bewegt sich Deutschland wieder in bekannten Gefilden alter
GeStaPo-Zeiten. Folter lassen wir ja bei unseren amerikanischen Freunden,
was sind wir wieder aus dem Schneider.
mfg M.M.
Herr Vetter, da haben sie etwas nicht ganz verstanden. Das neue an der ganzen Sache ist ja, dass die Polizei versucht in Rechner mittels Hacking in Computer einzudringen. D.h. es werden Software oder Hardware Schwachstellen ausgenutzt um auf dem Zielsystem eigene Software auszuführen, die dann wiederum die Daten auf dem Rechner zur Polizei zurückübermittelt.
Ist diese Software ersteinmal auf dem Rechner, dann hilft auch die beste Verschlüsselung nichts mehr. Denn zum Arbeiten muss man seine Daten ja mittels eines Schlüssels auf dem Rechner entschlüsseln. Dieser Schlüssel kann problemlos von einer anderen Software abgegriffen werden.
Zum Thema staatliche vorgeschriebenes Hintertürchen: Das gibt es auf dem Mobiltelefon schon längst. Da regt sich komischerweise niemand mehr drüber auf.
>Dieser Schlüssel kann problemlos von
>einer anderen Software abgegriffen werden.
Ganz so einfach ist es nicht, wenn es auch bei 85% der Computernutzer klappen wird.
Die einfachste Lösung ist natürlich, zwei getrennte (also nicht vernetzte) Computer zu benutzen. Einer ist nicht im Internet und enthält die sensiblen Daten. Wenn man Daten zwischen den Computern übertragen will, benutzt man kein Netzwerk (oder USB etc.), sondern ganz traditionelle Datenträger.
Das ist schon ziemlich sicher, wenn man weiß, was man tut.
Wie wäre es denn mal mit einer Strafanzeige wegen Computersabotage, Datenveränderung, und Verstoß gegen das Recht auf informationelle Selbstbestimmung (die Paragraphen hab ich nicht zur Hand)? Was sagt der Strafrechtsanwalt, könnte man damit durchkommen?
jenseits der anderen gegenargumente die bereits genannt wurden: wie will die polizei das denn überhaupt vom arbeitsaufwand her in den griff bekommen? die haben doch jetzt schon zu wenig leute um z. b. beschlagnahmte rechner zu durchsuchen, woher wollen die denn die heerscharen an technisch versierten leuten bekommen um dieses projekt durchführen zu können? ein-euro-hacker als neue chance für lehrstellenlos gebliebene jugendliche oder wie?
@18: Wieso sollen die Experten brauchen, die kaufen sich nen Trojaner ein und lassen die Provider die Arbeit der Verbreitung machen, vergütet wird das dann mit ein paar € wie bei der Telefonüberwachung auch üblich.
Allerdings wird das eh überflüssig wenn sobald die Leute DRM-Verdongelte Systeme einsetzen die geben nämlich den beteiligten Firmen und Regierungen quasi Root Zugriff.
Meiner Meinung nach sollte der Staat einfach mal akzeptieren, dass es Grenzen gibt. Beispielsweise ist die Privatwohnung verfassungsrechtlich geschützt und darf nur unter ganz besonderen Umständen betreten werden. Und ein solches Betreten erfolgt nicht heimlich, sondern mit Durchsuchungsbefehl, gegebenenfalls wird beschlagnahmt, aber der Betroffene wird natürlich davon in Kenntnis gesetzt und kann sich wehren.
Und genau die gleiche Grenze sehe ich auch bei einer Festplatte, die zuhause steht, das gehört zur Privatwohnung. Und da sollte man jetzt nicht irgendwie etwas vorschieben, der Staat hat andere Möglichkeiten, er kann den gesamten Internet-Traffic abhören. Natürlich sind mir diese ganzen Probleme mit Verschlüsselung, Anonymisierung, und was ist da noch alles gibt so im groben bekannt. Aber es muss eine Grenze geben.
Und wenn dann teilweise gesagt wird, es gehe um Landesverrat – ich glaube wirklich, dass dann ganz schnell mal sehr viel durchsucht werden könnte, auch Bagatellen. Beispielsweise würde ich davon ausgehen, dass eine künftige Regierung, die es mit den Bürgerrechten nicht ganz so genau nimmt, ganz gerne mal bei Bürgerinitiativen auf der Festplatte nachschauen würde, was die so machen. Also alles was halt irgendwie nicht so richtig in die jeweilige Staatsräson passt, könnte dann mal eben überprüft werden. Da könnte man auch den politischen Gegner schonmal ausschnüffeln, was der so im nächsten Wahlkampf plant. Also es gibt dann quasi keine Grenze mehr.
Ein wichtiger Auslöser, für diese ganze Online-Durchsuchungsdebatte dürfte sein, dass mittlerweile kryptografische Techniken verfügbar sind, die nur durch ein Eindringen unmittelbar in den Computer überwindbar sind. Als Beispiel kann das Protokoll ZRTP, welches in der Anwendung Zfone implementiert ist, genannt werden. Die dort verwendeten kryptografischen Schutzmechanismen sind so ausgefeilt, dass man sie nur unmittelbar direkt am Computer umgehen kann, nicht aber über die Telefonleitung. Da hilft auch keine zwangsweise Herausgabe des Passwortes etwas, was man sich wohl in Großbritannien als Maßnahmen überlegt, da hilft nur das heimliche Eindringen direkt in den Computer, was man natürlich auch erstmal schaffen muss.
Aber mit dieser Vorgehensweise schadet der Staat selbst, er muss eine absolute Grenze einhalten. Also niemand würde es wollen, wenn heimlich die Wohnung durchsucht wird, wenn man bei der Arbeit ist oder im Urlaub, und man wieder nachhause kommt, und man davon nichts weiß.
@20: "..dass eine künftige Regierung, die es mit den Bürgerrechten nicht ganz so genau nimmt,.."
Ich gewinne immer mehr den Eindruck, daß schon unsere jetzige Regierung es mit den Bürgerrechten nicht so genau nimmt. Schließlich haben sie die absolute Mehrheit, was will also das dumme Stimmvieh?
Ich werde einfach vorausschauen, meine Computer und Datenverbindungen entsprechend sichern und meine Paranoia weiterpflegen.
das BKA setzen wir auf BC
Nun, um mit den Daten zu arbeiten, benötigt man diese im Klartext . Da braucht man gar keinen Schlüssel zum Entschlüsseln (der bleibt beim Nutzer), sondern nur ein Rootkit an geeigneter Stelle im System. Denn um die Bildschirmanzeige zu ermöglichen, müssen die Daten im Klartext geliefert werden. Und genau da werden diese dann im Klartext abgegriffen. Die angedachten Trojaner setzen also viel tiefer, nämlich an den internen Routinen des Betriebssystems an. Und das unabhängig davon, welches Verschlüsselungsprogramm oder Betriebssystem (Linux, MacOS, Windows) man benutzt.
@Der Trend geht eindeutig zum Zweitcomputer…
gibt´s da drau0en noch welche die mit ihrem hauptrechner ins netz gehen?
aber keine angst. betrifft ja nur kinderschänder, nazis und terroristen.
in welchen juristischen licht würden antiviren und firewall anbieter stehen, die diese atacken der polizei verhindern?
die behindern ja dann die arbeit der polizei
Ich halte es schon unter der derzeitigen Rechtslage für grob fahrlässig und bedenklich, eine unverschlüsselte Festplatte zu benutzen.
@15: >Zum Thema staatliche vorgeschriebenes Hintertürchen: Das gibt es auf dem Mobiltelefon schon längst. Da regt sich komischerweise niemand mehr drüber auf.
Wozu? Es wird doch grundsätzlich nichts auf den Telefonen verschlüsselt abgespeichert oder was ist gemeint?