Staatstrojaner goes 2.0

(Das trojanische Oktoberfest, Teil 3)

Den Staatstrojaner gibt’s jetzt auch für Windows mit 64 bit. Das will zumindest Kaspersky herausgefunden haben, wie Heise meldet. Nicht wirklich überraschend, auch nicht, dass BMI und BKA das nicht gleich zugegeben haben, als der erste Staatstrojaner aufflog. Wir kennen diese Salamitaktik aus anderen Skandalen: Am Ende ist der Schaden viel größer, als wenn man gleich klar Schiff gemacht hätte. Aber da sind unsere Überwachungsbehörden ja lernresistent.

Mal angenommen, Kaspersky produziert nicht nur heiße Luft (was bei dem Renommee des Unternehmens unwahrscheinlich ist): Der CCC hatte ja schon angedeutet, dass für einen 64-bit-Trojaner der Zertifikatsspeicher kompromittiert werden müsste. Das hat DigiTask (oder wer immer den neuen Trojaner geschrieben hat) jetzt offenbar geschafft.

Und dazu braucht es allerdings schon eine Menge krimineller Energie. Es ist auch relativ egal, ob das so beauftragt wurde oder behördlicherseits der Auftrag lediglich lautete: Hebelt die Bordsicherheit aus, ohne Rücksicht auf Verluste. In beiden Fällen ist es ein Indiz dafür, dass wir es inzwischen in Deutschland mit Überwachungsstrukturen zu tun haben, die sich weder um Grundrechte noch um Folgeschäden auch nur einen Pfifferling scheren.

Stopp. Ändern. Schnellstmöglich. „Sicherheitsrelevante“ Ministerien und Behörden müssen in Kontrolle genommen werden — und soweit irgendwie verantwortbar, in öffentliche Kontrolle.

Und der Osterhase

Heute tagte übrigens der Rechtsausschuss des Bundestages zu dem Thema, anschließend gab’s eine aktuelle Fragestunde, in der sich unter anderem der Grünen-Abgeordnete Jerzy Montag sehr ins Zeug gelegt hat. (Protokolle gibt’s noch nicht, dürften aber bald auf der Bundestags-Site abrufbar sein [1].) Finanz-, Innen- und Justizministerium waren gefragt. Antwort, zusammengefasst: Wir haben zwar nicht mal den Quelltext bekommen, aber sind uns ganz sicher, dass der Trojaner nichts Ungesetzliches macht. Und DigiTask liefert auch nur das, was wir beauftragt haben. Das können wir überprüfen.

Wie bitte? Ohne Quelltext? Also ausschließlich mit Reverse Engeneering? Aber dann ein externes Unternehmen mit dem Trojaner beauftragen? Und den Osterhasen gibt’s auch?

Wir wissen nicht, was wir tun, aber das mit voller Kraft

Vor einer Woche wusste unsere Bundesjustizministerin noch nicht einmal, ob es einen Staatstrojaner überhaupt gibt. Angenommen, das war keine Lüge (und ich halte Frau Leutheusser-Schnarrenberger immer noch für einigermaßen glaubwürdig): Dann leben wir in einem Staat, wo Ministerien und Kriminalämter fröhlich verfassungswidrige Überwachungssoftware erstellen und einsetzen lassen und es nicht mal für nötig halten, die zuständige Ministerin zu informieren.

Was für ein Laden ist das bitte, der uns regiert?

Die Linken-Abgeordnete Halina Wawzyniak hat sich die Mühe gemacht, aus dem Rechtsausschuss zu bloggen (danke an Fefe für den Link). Ich zitiere mal:

Wir schränken Bürgerrechte ein, wissen aber gar nicht wie weit die Einschränkung wirklich geht und auf welcher Rechtsgrundlage.

Gut gesagt.

Was kann der Staatstrojaner eigentlich?

Was bei dem ganzen Durcheinander gern mal verloren geht: Was kann der Staatstrojaner eigentlich? Das hat schon vor ein paar Tagen Alexander Svensson in einem YouTube-Video in dreieinhalb Minuten zusammen gefasst. Bezieht sich auf Version 1.0 des Trojaners (den, den der CCC analysiert hat), und die Beweisfälschung kommt mir etwas zu kurz. Aber sehr schön und verständlich gemacht.

[1] Update 2011-10-20: Verlassen Sie sich aber nicht zu sehr auf die Protokolle. Die werden nämlich zensiert, auf Wunsch des Abgeordneten. Herrn Uhl ist zum Beispiel eingefallen, dass er sich schon ein wenig verplappert hatte, als er zugab, dass dieses Land von Sicherheitsbeamten regiert wird. Zu spät allerdings. Internet: It works, bitches.

Wir haben alle gelacht

(Das trojanische Oktoberfest, Teil 2)

Wir haben alle gelacht, aber jetzt ist auch mal wieder gut. Der Staatstrojaner ist mittlerweile aus den Schlagzeilen verschwunden. Da ihn inzwischen alle Virenscanner erkennen dürften, muss DigiTask, oder ein anderes Unternehmen, wohl einen neuen schreiben. Vermutlich profitieren die Programmierer auch von der Gratis-Qualitätssicherung des CCC und merzen die übelsten Schwachstellen aus.

Legal, illegal, scheißegal

Also alles bestens, Demokratie funktioniert, und selbst unsere Überwacher lernen aus ihren Fehlern? Ja, Pfeifendeckel. Denn der wirkliche Skandal ist ja nicht einmal, dass 13 Millionen Euro Steuergelder für eine geradezu peinlich schlechte Software ausgegeben wurden. Sondern, dass diese Software zu 90 % genau das tut, was das Bundesverfassungsgericht explizit verboten hat. Dass ihr Einsatz unsere Grundrechte aushebelt — und Grundrechte sind nicht verhandelbar. (Und sie gelten für alle, nicht nur für die, die „nichts zu verbergen“ haben.) Und dass Bundes- und Landesinnenministerien und -kriminalämter offenbar wild entschlossen sind, diese Grundrechte weiter gepflegt zu ignorieren. Flächendeckend.

Weil, die kriegen ja nicht die Gesetze, die sie gern hätten, um das Grundgesetz weiter zu durchlöchern. Oder, um Pofalla zu zitieren, man solle sie doch mit so einer Scheiße in Ruhe lassen.

Öffentliches Interesse

Die Piratenpartei Bayern hat jetzt Strafanzeige gegen den bayrischen Innenminister Herrmann, LKA-Präsident Dathe und Konsorten erstattet. Wenn Politiker aktiv gegen unsere verfassungsmäßigen Rechte vorgehen, ist das ein Antragsdelikt — das heißt, die Staatsanwaltschaft ermittelt nur, wenn man ihr auf die Füße tritt. Und dann auch nur, wenn ein öffentliches Interesse vorliegt — sofern nicht der Geschädigte selbst klagt (was er vermutlich aus guten Gründen nicht tun wird).

Ob auch Politiker sich an die Menschenrechte zu halten haben, ist eine Frage, die durchaus öffentliches Interesse verdient. Ich bin mal gespannt, ob die Staatsanwaltschaft — die ja weisungsgebunden und per Definition eine politische Behörde ist — das auch so sieht.

Das trojanische Oktoberfest

© moarplease (CC) (1)

Der Skandal, den der CCC mit der Entschlüsselung und Veröffentlichung des Staatstrojaners ausgelöst hat, verspricht ganz großes Kino zu werden. Das ist zunächst einmal nicht schlecht: Es zeigt, dass die Öffentlichkeit und die Medien inzwischen sensibilisiert sind, wenn es um Überwachung geht. Wie immer, wenn ein Thema in den Fokus gerät, hätte man gern schnelle Lösungen. Nur, wer soll die liefern — der gleiche Staat, der augenscheinlich den Trojaner in Auftrag gegeben hat? Reaktionen von Politikern taugen daher auch eher als Stimmungsbild, als dass man tatsächlich Konsequenzen erwarten dürfte. Und nicht zuletzt sind einige Details noch alles andere als klar:

• Wer hat den Staatstrojaner in Auftrag gegeben?
• Wer von den politischen Verantwortlichen wusste Bescheid, in welchem Umfang?
• Wo wurde der Trojaner bisher eingesetzt, in wie vielen Fällen?
• Wer gab den Befehl für den Einsatz?
• Gibt es noch weitere (verbesserte?) Versionen des Trojaners?

Fefes Aufforderung an die Piraten, „mal kräftig auf die Kacke zu hauen“, ist verständlich, hilft aber im Moment nicht weiter. Dass Friedrich und Schäuble ihre Finger im schmutzigen Spiel hatten, ist wahrscheinlich — aber noch nicht bewiesen. Auch hier gilt erst einmal die Unschuldsvermutung. Und gönnen wir uns doch das Vergnügen, die Verantwortlichen sich immer weiter in Widersprüche verwickeln zu lassen. Untersuchungshaft ist in diesem Fall nicht angebracht. Diese Beweise lassen sich so leicht nicht mehr aus der Welt schaffen.

Sagen was wahr ist

Was allerdings schon mehr als deutlich ist und sich auch nicht mehr leugnen lässt: Der Staatstrojaner

• überschreitet bei weitem den Rahmen der gesetzlich legitimierten Überwachung,
• ist so schlampig programmiert, dass die Frage nahe liegt, ob das nicht schon Absicht ist,
• macht jedes Rechtsverfahren, das sich auf die durch den Trojaner erhobenen „Beweise“ stützt, zu einer Farce.

Updates

• Teil 2: Wir haben alle gelacht
• Teil 3: Staatstrojaner goes 2.0

(1) Original auf Flickr. Lizenz: CC by-nc-nd 2.0