//log//

Die Debatte um den sogenannten “Bundestrojaner” respektive die heimliche Online-Durchsuchung von vernetzen PCs durch Polizei und Verfassungsschutz wird uns wohl noch eine Weile erhalten bleiben. Persönlich hoffe ich inständig, daß das zurückliegende Urteil des BGH in dieser Sache nicht zu einer Gesetzesänderung führt, auf deren Basis derartiges Eindringen in die Privatsphäre von Nutzern doch noch ermöglicht wird, sondern Zeit schafft, um noch einmal konkret nachzudenken über das, was dort eigentlich getan werden soll. Persönlich habe ich aus verschiedenen Aspekten heraus ausgesprochene Vorbehalte gegen die Idee, PCs von potentiell beliebigen Personen heimlich und ohne deren Wissen zu durchsuchen mit einem Werkzeug, welches in Struktur und Verhalten gegenwärtiger Schadsoftware bedenklich nahekommt.

Der Datenschutz-Aspekt: Eine bewußte, aktive Kontrolle der Daten auf einem PC durch Sicherheitsbehörden wäre vermutlich auch schon im Hinblick auf Privatsphäre ein ausgesprochen drastischer Eingriff. Passiert dies unbemerkt im Hintergrund, erhält die Problematik eine ganz neue Qualität – im Grunde genommen kann der Nutzer dann, sobald er dieser Einflußnahme gewahr wird, die Integrität seines gesamten Datenbestandes in Frage stellen: Wer garantiert ihm, daß sich die Software auf das Ausspähen von Informationen beschränkt, nicht etwa Daten gelöscht, verändert oder gar hinzugefügt hat? Welche Aussagekraft hat, umgekehrt, das Auffinden von Daten auf einem persönlichen PC, wenn dieser zuvor unter Fremdkontrolle durch ohne Wissen des Nutzers aufgebrachte Software gewesen ist? Bei gegenwärtigen Festplatten-Kapazitäten wird ein Nutzer schwerlich die vollständige Liste aller Dateien auf seinem System im Kopf haben, um feststellen zu können, ob nach einer derartigen Online-Durchsuchung nicht etwa Dateien angelegt oder gelöscht wurden? Von den Inhalten komplexer Dokumente wollen wir erst einmal noch gar nicht reden. Was dort dann bleibt: Herausfinden, wie lang der eigene Rechner unter dem Einfluß der Software gewesen ist, danach Neu-Installation und Wiederherstellen des letzten vor der “Infektion” erzeugten Backups.

Der administrative Aspekt: Als Administrator eines Firmen-Netzwerkes werde ich dafür beschäftigt und bezahlt, die Integrität der Daten in diesem sowie die Verfügbarkeit der den Kunden gegenüber zugesicherten Dienste zu gewährleisten. Ein Teil der Maßnahmen, dies zu realisieren, besteht darin, daß ich als Administrator explizit bestimme, welche Software auf den Systemen, für die ich verantwortlich bin, installiert ist, welche Dienste dort betrieben werden und wer auf den Rechner zugreifen kann. Die Installation von über externe Netze erreichbaren Diensten (Trojaner, Spyware, …) ist ein erheblicher Eingriff in meine administrative Arbeit. Das Einbringen solcher Software, ganz gleich durch wen und mit welcher Motivation, erfüllt in meinem Verständnis den Tatbestand der Computersabotage und würde, praktisch erkannt, höchstwahrscheinlich zunächst in einer Strafanzeige gegen unbekannt enden. Für meine Begriffe wären die entsprechenden Paragraphen an eine eventuelle Gesetzgebung zur Legalisierung heimlicher PC-Onlinedurchsuchungen anzupassen, was andererseits recht klar aufzeigen würde, welcher Natur diese Maßnahme im Grunde genommen ist.

Der technische Aspekt: Es ist sinnlos, weil nicht praktikabel! Die Online-Durchsuchung, heimlich oder nicht, von PCs wird vermutlich nicht den geringsten Wert haben, sobald tatsächliche Kriminelle (daß auch solche Menschen Computer nutzen, steht außer Frage) auf diese Möglichkeit des Eingriffes durch Behörden aufmerksam werden und merken, daß die Umgehung dieser Art der Überwachung ausgesprochen trivial sein dürfte. Ein paar Ideen hierzu:

• Angesichts der gegenwärtigen PC-Preise ist die Investition in einen Zweitcomputer, auf dem die tatsächlich belastenden Daten abgelegt sind, durchaus vertretbar. Im besten Fall ist dann der PC, der online ist, nur ein Kommunikations-Endpunkt, auf dem vielleicht ein paar E-Mails, ein paar Urlaubsfotos, ein bisschen temporärer Speicher des Web-Browsers, aber ansonsten keine wichtigen Daten liegen. Bringt der Kriminelle nun belastende Daten (etwa für den Versand per E-Mail) auf den mit dem Netz verbundenen Computer, existieren mehr als genug Möglichkeiten von leistungsfähiger computerbasierter Verschlüsselung über Steganografie bis hin zu simplen, nur Eingeweihten bekannten “Geheimsprachen” und Codes, um diese Daten für den Zeitraum der Übertragung so zu verschlüsseln, daß ein Entschlüsseln zumindest beträchtlichen Zeitaufwand mit sich bringt.
• Die Online-Durchsuchung greift gnadenlos ins Leere, wenn der Nutzer nicht dauerhaft online ist. Wieviele Daten lassen sich durchsuchen, wenn die Maschine nur eine halbe Stunde pro Tag (vielleicht noch über ISDN oder Modem) mit dem Internet verbunden ist, um Mails zu senden und zu empfangen?
• Gegenwärtig übliche PC-Festplatten haben Kapazitäten weit jenseits der 100GB-Grenze. Nehmen wir eine über mehrere Jahre ohne Neuinstallation betriebene Arbeitsumgebung vor, in der tatsächlich gearbeitet wurde: Für gewöhnlich fällt es (insbesondere auf Windows-Plattformen) schon dem durchschnittlichen Nutzer nach dieser Zeit noch schwer, seine über Ordner, Unterordner und Partitionen verteilten Daten wiederzufinden. Wenn man nicht weiß, wonach man sucht (nur in grenzenloser Naivität kann man wohl davon ausgehen, daß Kriminelle belastende Daten auf ihrer Festplatte mit entsprechenden, leicht auffindbaren Namen versehen speichern…), dürfte das Durchsuchen etwa einer gut gefüllten 300GB-Festplatte eine Aufgabe sein, die mehrere Beamte über mehrere Tage hinweg voll auslastet (und auch das dann nur unter der Maßgabe, daß der Rechner permanent mit dem Netz verbunden ist – siehe oben). Wenn wir eventuell sogar über ganze Netzwerk-Bereiche, USB-Festplatten oder NAS-Appliances reden, wird die Sache sehr schnell noch sehr viel extremer. Gleiches gilt für Ablage-Strukturen, die mitnichten standardisiert und weitestgehend abhängig von Geschmack und Gewohnheit des PC-Nutzers sind.
• Auch auf einer PC-Festplatte lassen sich Daten verschlüsseln, und nahezu alle gängigen Betriebssysteme (Windows, Linux, MacOS X, …) bringen dafür Werkzeuge mit, die den Zugriff auf derart geschützte Daten entweder vollständig oder nur für “unerlaubte Programme” blockieren. Auch hier ist bestenfalls (mithin unter Verwendung von Algorithmen, die per Brute-Force oder bekannter Schwächen zu kompromittieren sind) Zeitaufwand zu erwarten, um dann vielleicht festzustellen, daß der PC-Nutzer lediglich ein paar “anstößige” Bilder den Blicken seiner Kinder entziehen wollte.
• Stichwort Virtualisierung: Derzeit existiert eine wachsende Menge verschiedener Ansätze, um auf einem physikalischen PC mehrere logische (virtuelle) Maschinen zu betreiben (Xen, VMware, Solaris Zones, Linux-KVM, qemu, …). Was, wenn der Teil des Computers, der “mit dem Netz verbunden” ist, in einer solchen Maschine wohnt und das “umgebende” System gar nicht kennt? Was, wenn die belastenden Daten, die die Online-Durchsuchung bringen soll, in einer solchen virtuellen Maschine leben, die vom umgebenden System aus bestenfalls via Netzwerk einsehbar ist (so sie denn gerade läuft)? Wie umgehen mit der Vielzahl verschiedener Technologien, die genau dies teilweise kinderleicht realisieren?

Dazu könnten einem sicher noch mehr Ideen einfallen (fühlt Euch frei, die Kommentar-Funktion reichlich zu nutzen… 😉 ); alles in allem bleibt die Online-Durchsuchung für mich ein Instrument, das rechtlich, freiheitlich wie auch technisch bestenfalls fragwürdig ist. Kann man eigentlich nur noch auf ein Minimum verbliebener Vernunft im “Überwachung-ist-Sicherheit” – Zeitalter hoffen und/oder die eigenen Abgeordneten auf dieses Thema anstoßen. Vielleicht hilft’s ja doch…

Filed under: