(Das trojanische Oktoberfest, Teil 3)
Den Staatstrojaner gibt’s jetzt auch für Windows mit 64 bit. Das will zumindest Kaspersky herausgefunden haben, wie Heise meldet. Nicht wirklich überraschend, auch nicht, dass BMI und BKA das nicht gleich zugegeben haben, als der erste Staatstrojaner aufflog. Wir kennen diese Salamitaktik aus anderen Skandalen: Am Ende ist der Schaden viel größer, als wenn man gleich klar Schiff gemacht hätte. Aber da sind unsere Überwachungsbehörden ja lernresistent.
Mal angenommen, Kaspersky produziert nicht nur heiße Luft (was bei dem Renommee des Unternehmens unwahrscheinlich ist): Der CCC hatte ja schon angedeutet, dass für einen 64-bit-Trojaner der Zertifikatsspeicher kompromittiert werden müsste. Das hat DigiTask (oder wer immer den neuen Trojaner geschrieben hat) jetzt offenbar geschafft.
Und dazu braucht es allerdings schon eine Menge krimineller Energie. Es ist auch relativ egal, ob das so beauftragt wurde oder behördlicherseits der Auftrag lediglich lautete: Hebelt die Bordsicherheit aus, ohne Rücksicht auf Verluste. In beiden Fällen ist es ein Indiz dafür, dass wir es inzwischen in Deutschland mit Überwachungsstrukturen zu tun haben, die sich weder um Grundrechte noch um Folgeschäden auch nur einen Pfifferling scheren.
Stopp. Ändern. Schnellstmöglich. „Sicherheitsrelevante“ Ministerien und Behörden müssen in Kontrolle genommen werden — und soweit irgendwie verantwortbar, in öffentliche Kontrolle.
Und der Osterhase
Heute tagte übrigens der Rechtsausschuss des Bundestages zu dem Thema, anschließend gab’s eine aktuelle Fragestunde, in der sich unter anderem der Grünen-Abgeordnete Jerzy Montag sehr ins Zeug gelegt hat. (Protokolle gibt’s noch nicht, dürften aber bald auf der Bundestags-Site abrufbar sein [1].) Finanz-, Innen- und Justizministerium waren gefragt. Antwort, zusammengefasst: Wir haben zwar nicht mal den Quelltext bekommen, aber sind uns ganz sicher, dass der Trojaner nichts Ungesetzliches macht. Und DigiTask liefert auch nur das, was wir beauftragt haben. Das können wir überprüfen.
Wie bitte? Ohne Quelltext? Also ausschließlich mit Reverse Engeneering? Aber dann ein externes Unternehmen mit dem Trojaner beauftragen? Und den Osterhasen gibt’s auch?
Wir wissen nicht, was wir tun, aber das mit voller Kraft
Vor einer Woche wusste unsere Bundesjustizministerin noch nicht einmal, ob es einen Staatstrojaner überhaupt gibt. Angenommen, das war keine Lüge (und ich halte Frau Leutheusser-Schnarrenberger immer noch für einigermaßen glaubwürdig): Dann leben wir in einem Staat, wo Ministerien und Kriminalämter fröhlich verfassungswidrige Überwachungssoftware erstellen und einsetzen lassen und es nicht mal für nötig halten, die zuständige Ministerin zu informieren.
Was für ein Laden ist das bitte, der uns regiert?
Die Linken-Abgeordnete Halina Wawzyniak hat sich die Mühe gemacht, aus dem Rechtsausschuss zu bloggen (danke an Fefe für den Link). Ich zitiere mal:
Wir schränken Bürgerrechte ein, wissen aber gar nicht wie weit die Einschränkung wirklich geht und auf welcher Rechtsgrundlage.
Gut gesagt.
Was kann der Staatstrojaner eigentlich?
Was bei dem ganzen Durcheinander gern mal verloren geht: Was kann der Staatstrojaner eigentlich? Das hat schon vor ein paar Tagen Alexander Svensson in einem YouTube-Video in dreieinhalb Minuten zusammen gefasst. Bezieht sich auf Version 1.0 des Trojaners (den, den der CCC analysiert hat), und die Beweisfälschung kommt mir etwas zu kurz. Aber sehr schön und verständlich gemacht.
[1] Update 2011-10-20: Verlassen Sie sich aber nicht zu sehr auf die Protokolle. Die werden nämlich zensiert, auf Wunsch des Abgeordneten. Herrn Uhl ist zum Beispiel eingefallen, dass er sich schon ein wenig verplappert hatte, als er zugab, dass dieses Land von Sicherheitsbeamten regiert wird. Zu spät allerdings. Internet: It works, bitches.
Armutszeugnis 