Heute hat das Bundesverfassungsgericht in Sachen Bundestrojaner entschieden. Zwar wurde das entsprechende Gesetz für nichtig erklärt, aber ansonsten handelt es sich bei dem Urteil um nichts anderes als die Freifahrtkarte für SSchäuble und seine faschistischen Compagnons: "Onlinedurchsuchungen" sollen zulässig sein, wenn:

tatsächliche Anhaltspunkte einer konkreten Gefahr für ein überragend wichtiges Rechtsgut bestehen.

Als Beispiele wurden "begründeter Verdacht" für einen Terroranschlag oder Gefahr für die Existenz des Staates (oder so ähnlich) genannt.

Was immer das heissen mag.

Für die Faschisten ist es aber klar, was das bedeutet: Die Stasi 2.0 kann kommen.

Denn was das BVG offengelassen hat ist die Frage, wer das definiert, ein "wichtiges Rechtsgut"?! Im Zweifel wird es der Staat, also SSchäuble, also die Faschisten definieren: Geistiges Eigentum, linke Umtriebe, Demonstranten, sich engagierende Bürger oder Menschen, die im Internet ihre Meinung kundtun.

Und wehe uns allen, wenn diese ganzen furchtbaren Werkzeuge einmal in die falschen Hände gelangen. Wehe uns allen. Ich wage zu prophezeien, dass es dann Tote geben wird, viele Tote. Die Geschichte wiederholt sich und die Menschen lernen nicht aus der Geschichte, das konnten sie noch nie.

Der Witz des Jahrhunderts aber ist das vom BVG neu geschaffene "Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme". Was für ein Schwachsinn!

über einen solchen Unsinn kann ich nur lachen. Unglaublich. Da streune ich nachts durch die Strassen und verteile Flugblätter, werde von überwachungskameras erfasst, identifiziert, überwacht und schliesslich werden meine Rechner daheim entweder remote (bei mir unmoeglich) oder vor Ort durch Einbruch, gehackt.

Begründung: meine Flugblätter gefährden die Existenz des Staates. Eine ähnliche Begründung fanden auch die Nazis, als sie die Geschwister Scholl ermordet haben.

Das ist doch alles Bullshit.

Das Bundesverfassungsgericht hat sich zum Steigbügelhalter der Faschisten gemacht, ob freiwillig oder unter Druck wird man wohl nie erfahren. Das neü Ermächtigungsgesetz wird demnächst durchgewunken werden und die Demokratie und Freiheit werden dann endgültig ihr Ende finden.

Update: Fefe meint, dass die Schranken für den Trojaner doch höher sind, als gedacht:

Das Erfordernis tatschlicher Anhaltspunkte führt dazu, dass Vermutungen oder allgemeine Erfahrungssätze allein nicht ausreichen, um den Zugriff zu rechtfertigen. Vielmehr müssen bestimmte Tatsachen festgestellt sein, die eine Gefahrenprognose tragen (vgl. BVerfGE 110, 33 <61>; 113, 348 <378>).

Allerdings steht schon im zweiten Absatz des Urteils folgender folgenschwerer Satz:

Die Manahme kann schon dann gerechtfertigt sein, wenn sich noch nicht mit hinreichender Wahrscheinlichkeit feststellen lsst, dass die Gefahr in näherer Zukunft eintritt, sofern bestimmte Tatsachen auf eine im Einzelfall durch bestimmte Personen drohende Gefahr für das überragend wichtige Rechtsgut hinweisen.

Ich würde Fefe gerne per Mail widersprechen, die Erfahrung hat mir aber leider gezeigt, dass er wenig bis gar nicht auf Emails reagiert. Daher tue ich das hier: Du irrst Dich, und zwar gewaltig. Schon allein dieser eine Satz könnte aus der Feder von SSchäuble stammen. Eine derart schwammige Formulierung hat man lange nicht mehr vom BVG gesehen.

Zunächst sollte man das Thema Onlinedurchsuchung immer durch die politische Brille betrachten. Es handelt sich dabei letztlich um eine typische Nebelkerze. Alle regen sich über das Thema auf und streiten sich was das Zeug hält und auf diese Weise geht das weitaus wichtigere an der ganzen Sache völlig unter: die Onlinedurchsuchung ist nämlich nur ein kleiner Teil des geplanten neuen BKA Gesetzes. Dieses neue BKA Gesetz kommt praktisch einem Ermächtigungsgesetz gleich. Danach wird das BKA Geheimdienstarbeiten durchführen können, Hausdurchsuchungen ohne Durchsuchungsbefehl, Verhaftungen ohne Haftbefehl, Verhöre ohne Rechtsbeistand, Ausspionieren und Überwachen ohne Kontrolle und zu guter Letzt der praktisch unbegrenzter Zugriff auf Daten aller Art, wo immer sie anfallen, auch hier ohne irgendwelche Einschränkungen oder Informationspflichten.

Mit diesem neuen Gesetz verwandelt sich das BKA zu nichts anderem als einer Geheimpolizei ähnlich der Stasi oder der GeStaPo, erstaunlicherweise z.T. sogar mit noch weitgehenderen Befugnissen. Die Onlinedurchsuchung ist dabei nur ein Zuckerl. Sie hätten es gern, aber sie werden es nicht wirklich brauchen. Eigentlich geht es um die neuen Befugnisse und nichts anderes.

Ausserdem sollte man nie vergessen, dass wir es hier in der Politik, genauso wie beim BKA, zumindest auf Führungsebene, mit absoluten DAUs zu haben. Die wissen nicht mal, wie man Betriebssystem schreibt, das sind Leute, die Linux für ein Hackertool halten und Onlineforen wie dieses hier für Terrorzellen. Sie verstehen Computer und das Internet nicht und haben daher Angst davor - im Grunde ist das sogar eine ziemlich menschliche Eigenschaft.

Zur Entstehungsgeschichte der Onlinedurchsuchung gehört auch, dass es sich dabei eigentlich um einen Irrtum handelt, der aus der o.g. Unwissenheit resultiert. Ursprünglich wollten Staatsschützer, wie z.b. der Verfassungsschutz oder auch das BKA das Recht bekommen, sich in die Onlinekommunikation Verdächtiger verdeckt einklinken zu dürfen. Es ging darum, sich z.b. mit einem Fakeaccount in einem Forum einzuloggen oder in einem IRC Channel. Auch im Gespräch war die Idee, Festplatten von Webservern untersuchen zu dürfen, wo sich Logs und gesperrte Seiten befinden.

Sobald das Wort Festplatte aufgekommen ist, sind die meisten Menschen, auch Techniker, jedoch davon ausgegangen, dass damit Festplatten in PCs, die bei den Bürgern zu Hause stehen, gemeint waren. Dies war zwar nicht der Fall, aber es eignete sich hervorragend als Nebelkerze, wie oben schon erläutert. Also wurde diese Idee aufgegriffen. Von Foren oder Chat spricht daher heute niemand mehr.

Spätestens bei dieser Wende hätte es eigentlich jedem auffallen müssen, dass hier was faul ist. Aber wie das eben so ist. In der heutigen Meidenlandschaft gibt es kein Langzeitgedächtnis.

Aber nun zum theoretischen "Bundestrojaner". Der Idee nach soll es sich dabei also um eine Software handeln, die auf dem Rechner des Opfers (Neusprech: Gefährder, altmodisch: Verdächtiger), heimlich ohne dessen Wissen installiert wird. Diese Software soll dann den Benutzer beobachten, Eingaben aufzeichnen und die Festplatte nach Verdächtigem durchsuchen. Um sich ein Bild von so einem Trojaner zu machen, und wie er funktioniert, kann man sich z.b. dieses kurze Flashdemo von Subseven anschauen. Subseven ist eine typische Backdoor, ein Programm, welches unerkannt auf einem Windowsrechner läuft und das man fernsteuern kann. Man kann mit ihm den Desktop des aktuellen Users anschauen und abfotografieren, sich Dateien anschauen, herunterladen oder auch ändern, man kann Programme starten, installieren oder löschen und vieles mehr.

Beim Gedanken an Subseven bekommt SSchäuble wahrscheinlich feuchte Hände und fängt das Sabbern an.

Die alles entscheidende Frage ist aber wie dieses Ding nun auf so einen Rechner kommen soll. Dafür gibt es verschiedene denkbare Szenarios. Ich fange mal mit dem wahrscheinlichsten an:

Szenario 1: Auf gute altmodische Agentenmanier wird beim Opfer eingebrochen, seine Rechner werden hochgefahren, das aktuelle Betriebssystem und wichtige Parameter notiert, zb. Benutzt er WLAN? Hat er Verschlüsselungssoftware im Einsatz? Liest er seine Mails auf dem Rechner oder mit dem Browser im Internet? Welche Programme verwendet er regelmässig? Und so weiter. Anschliessend begibt man sich ins Labor und schneidert den Trojaner für diese Umgebung passend zurecht. Angedacht sind dabei Bausteine, aus denen die endgültige Software zusammengesetzt wird. Dann wird erneut eingebrochen und die Software wird vor Ort installiert.

Szenario 2: Dies ist eher die Art und Weise, wie ein Hacker einen Trojaner installieren würde. Es gibt hier wieder zwei Varianten: entweder der Rechner des Opfers, das dazu online sein muss, wird aus dem Internet angegriffen und über eine Schwachstelle, z.b. im Windows, eingebrochen. Der PC wird quasi gehackt. Die andere Variante ist etwas subtiler, hier wird eine sogenannte Man-in-the-middle-Attacke durchgeführt. Man muss sich das so vorstellen: das Opfer möchte eine Datei downloaden, zb. das tägliche Virenupdate. Das BKA klinkt sich in diese Verbindung ein, es nimmt also die Download Anfrage stellvertretend für den Virushersteller entgegen und leitet diese an den Hersteller weiter. Der Hersteller liefert die aktuelle Virusdatei zurück, die dann vom BKA verändert wird, in die Datei wird der Trojaner eingebaut. Danach wird der so manipulierte Download an das Opfer weitergeleitet. Das Opfer merkt davon nichts, weil es glaubt, sich mit dem Virushersteller zu unterhalten. Es nimmt den Download an, öffnet ihn - der Rest ist klar.

Szenario 3: Hier wird darüber nachgedacht, den Trojaner einfach per Mail als Anhang zu verschicken, getarnt als Grusskarte oder ein Spielchen oder Viagrawerbung, you name it. Also die seit über 10 Jahren übliche Methode, Viren und Trojaner zu verbreiten. Dieses Szenario ist am unwahrscheinlichsten, weil es dafür einfach zu viele Gegenmaßnahmen gibt, wie Virenscanner, SPAM Filter oder einfach Benutzer, die keine fremden Anhänge öffnen (ja, die Leute haben in den letzten Jahren tatsächlich ein wenig dazugelernt).

Wahrscheinlich wird das Opfer vorher genauestens ausspioniert werden, das Telefon wird abehört werden und der Traffic am Internetzugang beim Provider wird mitgeschnitten werden. Die Berechtigung für solche Aktionen wollen/werden sie ja mit dem neuen BKA Gesetz erhalten. Auf diese Weise kann man recht viel herausfinden, ob der User oft online ist, ob er in Foren unterwegs ist, ob er chattet, ob er Onlinebanking nutzt und vieles mehr. Meist findet man so auch schon das verwendete Betriebssystem heraus. Man erfährt, wann er in der Arbeit ist, wann er seine Freundin besucht oder in den Puff fährt, wann er zum Tennis fährt, wann seine Schwiegermutter zu Besuch kommt und und und.

Je nachdem, welches Bild sich hier ergibt, wird dann halt eine der o.g. Szenarios für die Zielperson ausgewählt, die internen Genehmigungen eingeholt und losgelegt.

Soweit zum rein technischen Vorgehen. Ich möchte hier anmerken, dass dies nur wahrscheinliche Szenarios sind. Auf andere Ideen können die natürlich immer kommen, vorzugsweise dümmere.

Wie kann man sich nun dagegen wehren? Hier liegt der Hase im Pfeffer. Das wichtigste ist, dass man sich vorher dagegen wehrt. Das mag paranoid klingen, hat aber einen konkreten juristischen Hintergrund. Wenn man so weitermacht wie bisher und merkt, dass man überwacht wird und dann auf einmal Verschlüsselung, Tor, Proxies, Prepaidhandies und ähnliches nutzt, macht man sich verdächtig. Das BKA und auch die Staatsanwaltschaft nennt das Verdunkelungsgefahr. Wer Zeit und Muße hat, kann sich gerne mal im Blog der Ehefrau von Andrej H. umschauen, um zu erfahren, welche Konsequenzen es hat, wenn man der Verdunkelung verdächtigt wird. Dann schlägt der Apparat recht erbarmungslos zu, die Wohnung wird gestürmt, man kann verhaftet werden, die ganze Gestaposcheisse also.

Daher mein Tipp: wenn man merkt, dass man überwacht wird, nicht auf einmal das Verhalten drastisch ändern. Man kann mit bestimmten Kleinigkeiten aufhören, z.b. dem Onlinebanking. Aber man sollte sich möglichst weiter so verhalten wie bisher, aber aufmerksam bleiben. Was man auch tun kann, dass man dann halt den Rechner mal ein paar Tage auslässt und Fernsehen schaut oder mit der besseren Hälfte öfter in die Koje hüpft.

Was kann man nun jedenfalls tatsächlich technisch unternehmen, um sich zu schützen? Ich liste hier mal auf, was mir dazu einfällt, das kann gerne ergänzt werden, wenn hier noch jemand Ideen hat:

- Anonymität bewahren, also keine persönlichen Details im Internet preisgeben. Also keine eigene Website mit Impressum, kein Forenaccount mit dem echten Namen und so weiter.

- Anonym surfen: Tor benutzen. Alternativ gibt es JAP oder I2P zur Anonymisierung. Wer es einfacher mag, der möge sich Anonymouse anschauen

- Emails nicht zu Hause lesen und schreiben. Ich persönlich habe einen eigenen Rootserver und mache das dort. Kann jeder nach persönlichem Geschmack tun. Webmailer sind hier eine Idee, aber lieber im Ausland. Gut und weit weg ist z.b. mail.ru (ja, ist in Russland).

- Anonymisiert suchen oder alternative Suchmaschinen benutzen. Alternativen zu Google gibt es einige, ich erübrige mir hier eine Liste. Erwähnt sei Scroogle.

- kritische Daten verschlüsseln und die Daten extern speichern, z.b. auf USB Stick. Hier bietet sich TrueCrypt an, das hat ein geiles Feature namens "Hidden Volume", man erstellt eine verschlüsselte Datei auf die man als Laufwerk zugreifen kann, wozu man ein Passwort eingeben muss. Auf das Hidden Volume kann man genauso zugreifen, dazu muss man aber ein anderes Passwort eingeben. Das geniale: der Datei sieht man nicht an, dass sich darin ein versteckter Bereich befindet. Bombensicher.

- Und falls Ihr das schon irgendwo gelesen haben solltet: nein Linux hilft gar nicht gegen so einen Trojaner, im Gegenteil. Tatsächlich gibt es unter Linux noch wesentlich mehr Möglichkeiten für Trojaner. Es gab unter Unix (dem Linux ja entstammt) schon Trojaner, da gab es noch gar kein Windows. Und ein Mac hilft noch weniger.

- wichtige Dinge offline besprechen. Im Café, im Park oder bei Freunden zu Besuch (wobei die dann durchaus auch Opfer von Abhörmaßnahmen werden könnten). Das Telefonat mit dem Anwalt von der Arbeit oder einer Telefonzelle aus erledigen, und so weiter. Der ganze Geheimdienstkram also.

- am sichersten ist wahrscheinlich, dass man erst gar keine Festplatte benutzt, was die paranoide Variante ist. Man bootet seinen Rechner von einer sogenannten Live-CD, wie z.b. Knoppix - das ist ein komplettes Linux, mit dem man praktisch alles machen kann. Sogar Officeprogramme sind drauf. Und die Live-CD tagsüber mit in die Arbeit nehmen. So sehen die BKAler ziemlich alt aus.

Zu guter Letzt: es gibt auch noch eine Menge anderer Wege, um Leute auszuspionieren, die meist viel effektiver sind, als so ein Trojaner. Richtmikrofone, Lichtsensoren, die die Monitorstrahlung auslesen oder Wanzen.

Und nein, Auswandern hilft auch nicht. Heutzutage ist das überall so. Man ist nirgends mehr sicher. Es sei denn, man will gerne in der Wüste oder der Antarktis leben.

Die SPD, ihres Zeichens bislang immer auf SSchäbles Seite, wenn es darum geht, die Bürgerrechte einzuschneiden und/oder abzuschaffen, will jetzt erst mal in Ruhe Ferien machen. Es geht um das Thema Bespitzelung der Bürger mittels Computerkriminalität, aka Bundestrojaner.

Man will das Vorhaben genauer prüfen und keine "Hau Ruck" Aktion durchziehen. Ach? Dass es der SPD eigentlich nur darum geht, ungestresst in die Ferien zu kommen, zeigt diese Aussage von SPD Chefüberwacher Wiefelspitz:

Es sei noch viel Überzeugungsarbeit erforderlich, da es in der Sozialdemokratie eine 'weitgehende Ablehnung' gebe: 'Die Skepsis in der SPD-Bundestagsfraktion gegenüber Online-Durchsuchungen ist erheblich'.

Übersetzt: die SPD wird der Onlinedurchsuchung auf jeden Fall zustimmen. Aber bitte erst nach den Ferien.

Und SSchäble zeigt sich von seiner netten Seite:

Schäuble ist nach WELT-ONLINE-Informationen bereit, der SPD eine Brücke zu bauen. So besteht er nicht mehr auf einer Grundgesetzänderung. Sollten die Sozialdemokraten ihn davon überzeugen, dass Online-Durchsuchungen im geltenden Verfassungsrahmen möglich sind, werde er dies akzeptieren, hieß es in Unionskreisen.

Zusammengefasst: die SPD will die Onlinedurchsuchungen und SSchäble ist ihnen behilflich dabei das Gesicht zu wahren (welches eigentlich?!). Es geht gar nicht darum, OB es gemacht werden soll, sondern eigentlich nur darum, wie.

SPD und Grüne wollen gegen das neue NRW-Verfassungsschutzgesetz klagen. Die Begründung (aufpassen):

Ein bei den Staatsrechtlern Marion Albers und Manfred Albers in Auftag gegebenes Gutachten habe die Einschätzung bestätigt, dass das im Dezember vom Landtag beschlossene Gesetz gegen die Verfassung verstößt, erklärten die Innenpolitiker Karsten Rudolph (SPD) und Monika Düker (Grüne).

Also erstens sind das genau die selben Grünen und die selbe SPD, die in der Bundesregierung seit Monaten ein Stasi/SS Gesetz nach dem anderen kritiklos und ungesehen durchwinken. Und zweitens was ist das denn eine Begründung?! Wozu braucht ein Politiker denn bitte ein Gutachten(!) um festzustellen, ob die Bespitzelung Unschuldiger gegen das Grundgesetz verstösst. Da hätten sie auch irgendein x-beliebiges Kind im Kindergarten um die Ecke fragen können.

Wie auch immer. Immerhin stellt jene Frau Albers richtig fest:

Wer etwas zu verbergen hat, wird seinen Computer schützen. Getroffen wird nur der dümmste anzunehmende User.

Naja, halb richtig. Denn zu verbergen hat ja jeder was, gell Frau Albers?! Seine Privatsphäre nämlich. Und nicht jeder wird seinen rechner schützen. Wenn dem so wäre, hätten wir in Deutschland keine Botnetze mit mehreren zehntausend Nodes.

Der entscheidenste Umstand der Bundestrojanerproblematik wird aber auch von diesen sogenannten "Kritikern" übersehen: durch den Onlinezugriff, so er denn funktionieren sollte, wird der Computer im Laufenden Betrieb durchsucht. Dadaurch kann nicht beweiskräftig sichergestellt werden, dass Inhalte, die sich auf dem Rechner finden, vor oder nach dem Onlinezugriff dort hingelangt sind. Insofern bräuchte man eigentlich keine Angst vor dem Bundestrojaner zu haben.

Wenn man sich aber gleichzeitig überlegt, wie die Polizei und die Justiz jüngst in Heiligendamm praktisch im Minutentakt das Recht gebrochen haben, kann man sich leicht ausrechnen, dass die Beweiskraft einer Onlinedurchsuchung im Ernstfall wahrscheinlich ignoriert werden wird. Die hetzen Dir dann einfach ein SEK auf den Hals und die stürmen Deine Bude. Und da findet sich immer was. Und wenn es eine gebrannte Windows 95 CD von anno dazumal ist. Das reicht dann schon zum Einbuchten.