LKA Bayern steuert Computer fern
Das Bayerische Landeskriminalamt greift zu fragwürdigen Überwachungsmethoden. An sich war der Behörde gerichtlich nur gestattet, die Telekommunikation eines Beschuldigten zu überwachen. Einen auf den Computer des Betroffenen geschleusten Trojaner nutzten die Beamten aber auch dazu, alle 30 Sekunden einen Screenshot des Browserinhalts abzugreifen. Dies hat das Landgericht Landshut nun für unzulässig erklärt.
Gegen den Beschuldigten war wegen Betäubungsmitteldelikten ermittelt worden. Er nutzte für Telefonate unter anderem Skype. Um diese verschlüsselte Kommunikation überwachen zu können, beantragte das Landeskriminalamt eine “Fernsteuerung” (Formulierung des Landgerichts Landshut) für den Computer des Betroffenen.
Im Rahmen dieser Maßnahme fertigten die Beamten aber auch alle 30 Sekunden einen Screenshot des Firefox-Browsers. Angeblich wollten sie so vorrangig die E-Mails dokumentieren, die der Beschuldigte schrieb.
Gegen das Einschleusen eines Trojaners zum Knacken von Skype hatte das Landgericht nichts einzuwenden. Das ist jedoch höchst umstritten. Überwiegend wird die Auffassung vertreten, eine derartige “Quellen-TKÜ” sei mangels gesetzlicher Grundlage für Landesbehörden wie das LKA Bayern nicht zulässig. Das Landgericht Landshut schließt sich jedoch der Meinung an, die praktisch argumentiert: Bei verschlüsselten Verbindungen gehe die – an sich ja zulässige – Überwachung des Telefonverkehrs eben nur über einen direkten Zugriff auf die Hardware.
Deutlich zu weit geht dem Landgericht Landshut aber, dass mit dem Trojaner alle 30 Sekunden Screenshots des Browsers erstellt wurden. Zwar stelle sich im Grunde dasselbe technische Problem, aber die im Browser entworfenen Mails seien eben gerade noch keine Telekommunikation. Sie könnten immerhin jederzeit geändert – oder gar nicht abgesendet werden. Das Gesetz regele aber nur die Überwachung der Telekommunikation selbst. Für eine Sicherung von Daten, die vor dem eigentlichen Kommunikationsvorgang erstellt werden, gebe es keine rechtliche Grundlage.
Den Zugriff auf die Festplatte des Beschuldigten, also eine Online-Durchsuchung im eigentlichen Sinn, hatte übrigens schon das Amtsgericht ausdrücklich untersagt.
Beschluss des Landgerichts Landshut
Ups. Da ist wohl was mit der Anonymisierung im Urteil schiefgelaufen….
Also E-Mails nur als Entwurf schreiben und dem Adressaten Zugriff auf das Mail-Konto gewähren.
wenn bei der Freundin geklappt hat mit dem überführen (Stichwort: alte Koksnutte), klappst vielleicht auch bei anderen Beschuldigten wird sich der bayrische Kriminalbeamte gedacht haben.
Warum werden da die Namen der Richter geschwärzt? Ist das geheim?
Auf der anderen Seite steht da mindestens zweimal der Name des Beschuldigten ungeschwärzt drin…
"Hierzu hat das Bayer. LKA zum Zwecke der Ausleitung der verschlüsselten Telekommunikation auf dem Computer des Beschuldigten eine Software aufgebracht"
Mich würde wirklich einmal brennend interessieren, WIE diese Software "aufgebracht" wurde.
Kann ich mir richtig gut vorstellen wie das LKA-Personal vor dem "auf Festplatte zugreifen"-Knopf sitzt, jemand draufklicken will, und plötzlich ein männchen hinter dem Ofen hervorspringt und "NEIN ! Das dürfen wir nicht!" ruft.
Noch interessanter, ob die erlangten Informationen relevant waren und nun noch verwendet werden dürfen. Dann kann sich der Beschuldigte mal wieder mit dem Beschluss den A.. abwischen.
Dünnes Eis: Als "weit verbreiteten Meinung in Rechtsprechung" pro Quellen-TKÜ wird genau -eine- Entscheidung zitiert (LG Hamburg, 31.08.2010, 618 Qs 17/10).
Kennt übrigens jemand diese Entscheidung oder hat gar jemand einen Link dazu?
Alleine der Gedanke, zum Zwecke der Kommunikationsüberwachung, i. e. E-Mail, Screenshots vom Browser in 30-Sek-Abständen zu machen ist grundsätzlich fragwürdig.
Zwar gibt es zahlreiche Webmail-Dienste, dennoch lässt sich eine E-Mail in unzählig anderen Programmen, die Texteingabe ermöglichen, erstellen, dann in die Maske im Browser kopieren und absenden. Dabei kann es gut sein, daß der Screenshot gerade nicht den Mailtext erfasst.
Wie ist es wenn, bspw. in einem simplen Texteditor die Mail verfasst und dort direkt mit GnuPG verschlüsselt wird?
Was hilft dann noch der Screenshot der Webmail-Maske mit Zeichensalat?
Zentraler aber dürfte doch sein, daß E-Mails eigentlich mit einem E-Mail-Client und eben nicht mit einem Web(!)browser bearbeitet/versandt werden.
Wieso wird das vollkommen außer Acht gelassen?
Geht man davon aus, daß der zu Überwachende Webmail-Dienste via Browser nutzt oder hat man hierzu sogar konkrete Erkenntnisse? Woher stammen diese?
Ist es ein Schuss ins Blaue, weil man dies lediglich vermutet?
Ist klar, daß bei der Überwachung eines E-Mail-Clients tatsächlich "nur" Telekommunikation beobachtet werden kann, bei einem Webbrowser aber noch viel mehr (bspw. Interessen und damit auch die Bildung eines Persönlichkeitsprofils)?
Dieser Fokus auf den Webbrowser als Kommunikationsmittel finde ich arg befremdlich.
Ich dachte, so eine Software darf nur bei Gefahr für Leib und Leben, bei Terroristen, bei besonders schwerwiegender Krimonalität und so eingesetzt werden?!? BTM? Hallo? Verhältnismäßigkeit der Mittel? Ich fass es nicht.
Tja, kein schlechtes Urteil, nur leider ohne echten Folgen befürchte ich. Da müßte schon radikal die Vernichtung *allen* gewonnen Materials angeordnet und auch durchgesetzt werden. Nur wenn die Strafverfolger sich selbst (und leider indirekt auch der Bevölkerung) damit schaden sich nicht an Recht und Gesetz zu halten, werden sich solche Zustände auch ändern.
Also mich würd hier auch am meisten interessieren, wie die den Trojaner auf dem Zielsystem installieren.
Bei der Diskussion zur Einführung des BKA Gesetzes hieß es, dass sie dafür vorort (in der Wohnung) den Computer manipulieren wollen. Das muss natürlich in Abwesenheit des Besitzer passieren, sonst wäre die Aktion ja sinnlos.
Über offizielle Webseiten den Trojaner zu verteilen gäbe wohl zuviel Kollateralschaden. Direktangriff auf offene Ports des PCs – dagegen hat ja mittlerweile jeder ne Firewall. Und auch der letzte Ignorant sollte mittlerweile kapiert haben, dass man nicht jeden Anhang von Emails öffnet.
Noch als Nachtrag u. a. zu meinem Punkt "hat man konkrete Erkenntnisse, daß der Beschuldigte E-Mails über den Webbrowser verschickt":
Im Beschluss ist ständig explizit die Rede von "Internet-Browser Firefox".
Mal abgesehen, daß das ein Web- und kein Internetbrowser ist (jaja, Korinthenkacken und so): man scheint zu wissen, daß dies die vom Beschuldigten genutzte Software ist.
Wieder frage ich mich, wie.
Zudem scheint der Trojaner explizit auf Firefox zugeschnitten, d. h. er erstellt ausschließlich Screenshots eines Fensters, das sich bspw. mit WM_CLASS(STRING) als "Navigator", "Firefox" ausgibt und ignoriert Opera, Internet Explorer, Flock, etc.
Das ist doch aber seltsam unscharf.
Außerdem findet sich im Beschluss die Beschreibung des Screenshot-Mechanismus. So wurden "Screenshots der Bildschirmoberfläche gefertigt [...], während der Internet-Browser aktiv geschaltet war."
Das liest sich für mich nicht nach Abbild des Browserfensters mit dem vermuteten Mailtext, sondern nach pauschal dem kompletten Desktop.
Auch dies enthält u. U. wesentlich mehr Information als angeblich beabsichtigt.
Interessant ist durchaus die Argumentation, Mails im Entwurfstadium seien noch keine Telekommunikation, aber schon auf rein praktischer Ebene greift dieser Screenshot-Trojaner weit mehr ab als "nur" E-Mail-Text und kann demnach nicht eingesetzt werden.
@daMax:
Na ja, wenn man mittlerweile selbst wegen der wiederholten Einfuhr von ein paar Kilo Gras in Sicherheitsverwahrung landen kann, ist wohl auch der Einsatz solcher Software im Krieg gegen die Drogen legitim. Die Frage nach der Angemessenheit oder gar dem tieferen Sinn bestimmter Maßnahmen wird in diesem lächerlichen Krieg doch schon lange nicht mehr gestellt.
Screenshots vom Browser?
Na wenn da mal nicht beim LKA das Prinzip Hoffnung regiert.
Nach deren kruder Weltvorstellung wird der "Verdächtige" früher oder später auf einer illegalen Seite (sei es Kinderpornos, Tauschbörsen oder "Islamisten-Seiten") landen. Und dann hätte man ja wenigsten etwas.
Mal sehen, welche Stasi-Gestapo-KGB-CIA-Methoden bald noch auftauchen.
ich will endlich eine strafverfolgung *aller* verbrecher – auch der verbeamteten.
wie viel aufwand ist eigentlich ZU viel um eine verwanzung zu legitimieren? hätte nicht ein transparenter proxy der traffic zwischen dem verdächtigten und dessen mailprovider aufzeichnet genügt? ist die unverletzlichkeit der wohnung so wenig wert das sie sofort ausser kraft gesetzt wird sobald jemand beweise haben will und nach dem einfachsten mittel gesucht wird?
Da hilft nur eins. Auf polizei.de gehen und die kiste mal 24std stehen lassen. Auch lustig.
Nur bei "Terrorismus und besonderen Gefahren für Leib und Leben oder die Demokratie", hm?
Ging es wenigstens um einen richtigen Drogenring oder war es nur ein einsamer Kiffer? Nach der Beschreibung tippe ich mal auf http://www.webwatchernow.com/ oder sowas. Das Programm ist wenigstens vor Virensoftware usw. sicher und kann genau das.
Geht ein bißchen zu weit, finde ich.
Wäre in einem Mordfall ermittelt worden oder in Sachen Terrorismus wäre das vielleicht gerechtfertigt.
Armin
Armin Fischer info@arminfischer.de +4917621008967
Was diese Technikkünstler wohl machen, wenn sie auf ein alternatives OS treffen? Zwar ist es dort auch möglich, dass Trojaner installiert werden, allerdings bezweifle ich, dass das BKA für jedes OS einen solchen bereit hält.
Dazu kommt das Problem der Aktivierung des Trojaners. Damit dieser im OS aktiv wird müsste das LKA sich mit dem entsprechenden Administratoraccount anmelden, ansonsten könnte der Trojaner maximal auf den Inhalt des normalen Benutzerkontons zugreifen. Selbst beim Ausnutzen diverser exploits müsste man noch auf den Rechner zugreifen können, schwierig wenn alle Konten mit Passwörtern gesichert sind.
Als letzte Möglichkeit könnte ich mir lediglich noch vorstellen, dass das BKA/LKA unter Umgehung des OS direkt auf die Festplatte zugreift und diverse Systemdateien austauscht, welche beim Booten sowieso geladen werden. Das würde dann aber wiederum angepasste Trojaner für jedes OS (und major versions derselbigen) erfordern.
Dazu kommt, dass wirklich böse Jungs wohl eine LiveCD verwenden dürften. Was dann, liebes LKA?
Ok, blieben noch ACPI rootkits, diese sind aber (momentan) eher im proof of concept Stadium.
Kurz:
Das ganze System ist absolut nutzlos, weil jeder wirkliche Schwerverbrecher einfach zu einer (Linux) LiveCD greift und gut ist.
also seh ich das richtig, wenn ich mit meinem handy über skype telefoniere dann gucken die in die röhre, wenn ich nicht gerade in mikrofonreichweite meines computers sitze?
@Theoretiker:
Wirkliche Schwerverbrecher scheinen gar nicht mal unbedingt die Zielgruppe zu sein.
Klingt fast als gehe es nach dem kleinen Kiffer von nebenan der sich vll. was dazu verdient…
Selbst wenn es sich um größere Mengen handelt, dann finde ich das auch keineswegs angemessen.
Ich kann mich noch an die Worte erinnern: Nur für Terroristen, bei Gefahr für Leib, Leben, Integrität des Staates, usw…
— traurig —
@stachel:
Mir stellt sich auch die Frage warum überhaupt? Das erklärte Ziel wird nicht erreicht. Ist das wieder eine dieser "Hauptsache wir haben mehr Überwachungsinstrumente" Ideen? Ist es die Angst, dass der Bürger vielleicht ein kleines bisschen Privatsphäre hat?
So manchem Politiker scheint es bei diesem Gedanken ja zu grausen.
Skype hat bekanntlich eine Backdoor für polizeiliche und geheimdienstliche Aufgaben, die verschlüsselte Kommunikation sinnlos macht.
Mir ist nicht ganz klar wieso daher auf die technisch vollkommen unsinnige Methode eines solchen Trojaners zurückgegriffen werden müsste.
Welche Strafe erwartet denn jetzt die verfassungsfeindlichen Schnüffel-Polizisten? Beförderung? Ein Orden?
Wie schon in der Überschrift zu lesen, wundert es mich, dass da überhaupt irgendjemand mit durchkommt.
Darf der Staat einen Gegenstand verändern und manipulieren und ihn dann gegen ihn einsetzen?
Gibt es einen Beweis dafür, dass ein Mensch den Computer bedient hat und nicht der Trojaner?
Und wenn ein Mensch die Tastatur benutzt hat, welcher war es dann?
"Was diese Technikkünstler wohl machen, wenn sie auf ein alternatives OS treffen? "
Denk mal Windows/Linux/MacOs wird abgedeckt sein, gibt es dazu noch brauchbare Alternativen für den täglichen Einsatz ?
Wer Glaubt
a) Das das LKA das Urteil beim nächsten mal beachtung findet?
b) Das auch die noch nicht zugegebenen Funde auf der Festplatte nicht verwertet werden?
c) an den Weichnachtsmann?
mfg
Ralf
@Bert:
Nun, für einen Terroristen wäre es wohl attraktiv ggfls. auch weniger bekannte Alternativen wie BSD einzusetzen.
Und natürlich könnte das BKA/LKA für jedes OS entsprechende Trojaner vorrätig haben, der Aufwand an Pflege wäre allerdings gigantisch, da man ständig auf neue Releases reagieren müsste.
Ggfls. verwendete exploits werden häufig durch Patches geflickt.
Und, wie oben schon geschrieben, wüsste ich nicht, was das BKA/LKA derzeit gegen LiveCDs tun könnte.
Genau deshalb sehe ich auch den Nutzen dieser Technik nicht, da sie zwangsläufig nur bei unbedarften Verbrechern und unschuldigen Mitbürgern greifen kann. Von daher könnte ich mir auch vorstellen, dass es früher oder später Gesetze geben wird, welche Backdoors in Hardware verpflichtend machen.
Rein technisch gesehen könnte EFI das abdecken.
Hallo alle zusammen,
ich sehe das so:
1.) Kann von mir aus jeder wissen:
-das ich ab und zu Kiffe & mir das Zeug quasi zugeworfen wird!
[Zu Dumm das man darauf keine Steuern zahlen muss^^]
-das ich mich schon mal an ein paar nackten Brüsten oder Pornos im I.net erfreue! [Kann nicht verstehen, wie man mit sowas Geld verdienen kann... Gibt's doch alles GRATIS... DANKE! :-D]
-das ich Kino.to nutze!
[Wenn mein Gewissen das zuläßt, kauf ich mir später auch NICHT die DVD... Bei Avatar hatte ich so ein schlechtes, das ich direkt am nächsten Tag in den Cinedom(Kino in Köln) gefahren bin^^ WAR GEIL! WAHNSINNS FILM!:-)]
-das ich den ein oder anderen, "illegal" kopierten, MP3 Track auf der Festplatte gespeichert hab! [Wieder so ein Gewissensding... die richtig guten Sachen kauf ich mir! ;-)]
2.) Darf sich ruhig jeder grün & blau ärgern, das ich gerade den 1. Punkt verfasst hab, dann bringt er wenigstens ein bisschen Farbe in sein Leben! :-D
& 3.) Wenn hier irgendwer einen Trojaner auf meinem Rechner platziert, soll er auch damit leben können, wie ich MEIN LEBEN lebe und nicht dann anfangen rumzumeckern!
ICH WEISS WER ICH BIN! und du? :-)
Zum Teufel mit der GEMA und unserem "angeblichen" Rechtsstaat… VERKLAGT MICH DOCH! :-D Ich warte nur auf den Prozess… Dann erzähl ich euch die Geschichte: "Der Tag an dem der deutsche Staat sein Gesetzbuch verlor und das Gewissen da hin gestellt hat!"
IN MEINEM KOPF: Fragen über Fragen, die mir keiner Beantworten kann oder will… Auch kein Richter^^
DER BIN NÄMLICH ICH und ich richte nicht, das macht DAS LEBEN schon von selbst! :-D
LG, Dülla (Prophet des Lichts) ;-)
@Bert: Der Skype-Trojaner ist Windows-Only und kostet 3000€-Miete pro Woche.
"Der Skype-Trojaner ist Windows-Only und kostet 3000€-Miete pro Woche"
So kann man Steuergelder auch aus dem Fenster werfen.
:(
@ich: Wuerdest du das mal naeher erlaeutern?
@9 scanlines
GnuPG? Der? Glaub ich nicht. Nicht bei einem Skypenutzer.
Warum wird das Ding immer Trojaner genannt? Trojaner werden vom Benutzer installiert, per Definition. Der Besuch freundlicher Herren in Abwesenheit, die mal kurz den Rechner "verbessern" ist genau das nicht.
Und als kreative Variante des Mailversands fallen mir die Unixtools mail, ssh und nc/telnet ein sowie der Texteditor der Wahl. Ctrl-Alt-F[1-6] und echo/mkfifo. Gibt so viele Moeglichkeiten…
GnuPG schoen und gut, aber das muss der Empfaenger ja auch unterstuetzen.
Also das ist ja echt die Höhe. Was ist das hier für Drecksstaat geworden, in dem einem erstmal erzählt wird, dass der Bundestrojaner NUR GEGEN TERRORISMUS eingesetzt wird. Und jetzt kommen die in meine Wohnung und spielen mir Schadcode auf den Rechner auf. Diese Verbrecher von der Polizei haben doch echt zuviel gekifft. Nicht nur die Verletzung der "unverlertzlichen" Wohnung, nein, da überwachen die einen den Computer (das erweiterte Gehirn) und fühlen sich auch noch als Helden. Ich wünsche mir die DDR zurück, dort durfte man alles machen, nur nicht gegen den Staat aufmucken oder rüber machen wollen.
Mir war so, als könne man über SINA-Boxen, die nach TKÜV beim Provider stehen müssen, Binärcode in jeden beliebigen Download einschleusen und damit auf dem Zielsystem einen Trojaner installieren.
Also nix Wohnung betreten und nix Mailanhang.
Ach ja… hier wars: http://www.heise.de/tp/r4/artikel/24/24766/1.html
http://www.truecrypt.org
Der Typ war nichtmal Dealer nur n kleinen Grow am Laufen gehabt
@36:
in jeden beliebigen Download sicher nicht. Man stelle sich eine TCP-Verbindung ueber IPSec vor. Oder signierte Pakete und Dateien, wie sie in Linuxdistros ueblich sind.
Und wie wird der Code ausgefuehrt? Buffer Overflow im IP-Stack?
Der Link im Artikel zum BSI (->SINA-Boxen) ist uebrigens tot.
@crypt:
Truecrypt bringt aber in diesem Fall nur etwas, wenn man wirklich die ganze Platte verschlüsselt, oder zumindest die Systempartition.
Wenn man einfach nur ein paar Container hat und die Systempartition nicht verschlüsselt ist, dann bringt das natürlich überhaupt nichts.
Ich frage mich nur, was die Polizei machen würde, wenn ich mit meinem Rechner nur über LIVE-CD mit dem Internet verbinde, da im Rechner keine Festplatte ist.
In diesem Fall dürfte es auch mit dem Trojaner schwierig werden, denn er kann ja schlecht auf die CD kopiert werden.