Channel Security

Letzte Woche schrieb ich, die veröffentlichten Ausschnitte aus der Antwort des Bundesinnenministeriums auf einen Fragenkatalog der SPD zur Onlinedurchsuchung könnten auch aus dem Entwurf eines billigen Hollywood-Films stammen. Inzwischen wurden die Antworten von netzpolitik.org veröffentlicht, und meine Vermutung wurde mehr als bestätigt. Die Antworten haben laut des SPD-Innenexperten Dieter Wiefelspütz zahlreiche neue ungelöste Fragen aufgeworfen. Also ich habe eigentlich erst mal nur eine: Wo bitte sind die richtigen Antworten? Denn das, was da veröffentlicht wurde, ist ja wohl ein schlechter Witz.

Ich werde im folgenden nur ein paar der Antworten auf die Fragen der SPD (PDF bei netzpolitik.org) näher betrachten.

8. Frage: Sollen Teile der entwickelten Spionagesoftware später wiederbenutzt werden? Wie soll in diesem Fall sichergestellt werden, dass dies nicht zum Aufspüren der Software durch Anti-Viren-Hersteller oder Wirtschaftsspionierende führen wird?
Antwort: Die entwickelte Software soll grundsätzlich nur einmal zum Einsatz kommen. Dadurch ist das Entdeckungsrisiko aufgrund der insgesamt geringen Einsatzhäufigkeit sehr gering. Die RFS wird darüber hinaus vor dem Einsatz mit aktueller Anti-Viren-Software geprüft. Wird die RFS durch die Anti-Viren-Software erkannt, kommt sie nicht zum Einsatz und wird überarbeitet. Im Weiteren siehe Frage 6.

Ich hoffe, ich zerstöre da jetzt keine Illusionen im Innenministerium, aber es gibt auch andere Methoden, Schädlinge zu erkennen, als sie mit den Signaturen bekannter Schädlinge zu vergleichen. Ob der Bundestrojaner einmal oder tausendmal eingesetzt wird, ist einer Software, die das Verhalten der laufenden Programme analysiert, vollkommen egal. In dem Moment, in dem der Bundestrojaner nach Hause telefoniert oder auf bestimmte Dateien zugreift, oder ... oder ... oder ..., schlägt die Alarm.

Außerdem werden die meisten Schutzprogramme regelmäßig aktualisiert. Der Versuch, einen nicht erkennbaren Bundestrojaner zu entwickeln, kann da schnell zur Sisyphusarbeit werden.

9. Frage: Die Online-Durchsuchung setzt ein mehr oder minder "unsicheres" Netz voraus. Damit einher geht eine Umwertung der bisherigen Sicherheitspolitik. Die Sicherheitsbehörden und das BSI machen das Netz nicht sicherer, sondern im Gegenteil: Es gibt ein staatliches Interesse, "Hintertüren" in Betriebs- und Anwendungssysteme zu nutzen oder sogar "einzubauen". Hinzu kommt, dass wenn die deutschen Sicherheitsbehörden heimlich auf Rechner zugreifen können, dass dies dann auch Dienste anderer Staaten können. Wie bewerten Sie diese Tatsache vor dem Hintergrund der weltweiten Wirtschaftsspionage und welche Folgen könnte dies für den Wirtschafts- und Forschungsstandort Deutschland haben? Wer schützt die Zugänge (Ports), die für die Online-Durchsuchung genutzt werden sollen, gegen den Zugriff beispielsweise zu Zwecken der Wirtschaftsspionage oder durch Sicherheitsbehörden und Dienste anderer Staaten?
Antwort: Es besteht Einigkeit darüber, dass kein Interesse daran besteht, "Hintertüren" in Betriebs- und Anwendungssysteme einzubauen. Solche "Hintertüren", beziehungsweise absichtlich eingebaute Schwachstellen in Soft- und Hardware hätten nicht nur für die IT-Sicherheit, sondern auch für die deutsche IT-Wirtschaft fatale Konsequenzen. Die obige Annahme, es bestehe ein Interesse an einem "unsicheren" Netz ist daher unzutreffend. Hinzu kommt: Der Einbau von "Hintertüren" in deutsche Produkte wäre schon allein aufgrund der einfachen Ausweichmöglichkeit auf ausländische Produkte, die nicht dem Einflussbereich der deutschen Gesetzgebung unterliegen, unsinnig. Das Nutzen nur einer Sicherheitslücke für alle Maßnahmen wäre zudem ein stark risikobehaftetes Vorgehen, da alle Maßnahmen entdeckt würden, wenn diese Sicherheitslücke identifiziert würde.

Ich stelle fest, das auf einen wesentlichen Teil der Frage, nämlich den letzten Teil, nicht eingegangen wurde: "Wer schützt die Zugänge (Ports), die für die Online-Durchsuchung genutzt werden sollen, gegen den Zugriff beispielsweise zu Zwecken der Wirtschaftsspionage oder durch Sicherheitsbehörden und Dienste anderer Staaten?" Warum nicht? Weil man darauf keine Antwort wußte?

18. Frage: Was ist vorgesehen, um die Software zu steuern oder abzuschalten, wenn der Port für die Kommunikation beispielsweise mittels einer Firewall gesperrt ist?
Antwort: Sollte der Kommunikationsport während eines laufenden Einsatzes geschlossen werden und keine Kommunikation mit dem Steuerungssystem möglich sein, deinstalliert sich die Software selbständig.

Einfach zwischendurch mal das Netzwerkkabel ziehen, und schon deinstalliert sich der Bundestrojaner von selbst? Gute Idee.

Was passiert eigentlich, wenn sich Dritte mit dem Bundestrojaner verbinden und der statt mit seinem 'Heimatserver' mit einem anderen kommuniziert? Darauf wurde ja auch bei Frage 9 nicht eingegangen.

Ach ja: Ganz nebenbei haben die auch noch die erste Software entwickelt, die sich wirklich rückstandsfrei deinstalliert? Das wird jedenfalls auch in folgenden Antworten noch mehrmals behauptet. Bravo, das lässt sich sicher gut vermarkten, nachdem das Bundesverfassungsgericht dem Spuk ein Ende bereitet hat. Wenigstens kommt so ein Teil der Entwicklungskosten wieder rein.

19. Frage: Wie soll sichergestellt werden, dass die Online-Durchsuchungssoftware unbemerkt bleibt, vor allem beim Einsatz von Firewalls und Systemüberwachungssoftware? Sollen diese evtl. durch die Online- Durchsuchungssoftware ausgeschaltet werden? Wenn ja, wie sehen Sie die dann erhöhte Anfälligkeit des Systems gegenüber anderen Angreifern?
Antwort: Vor einem Einsatz wird die Systemumgebung des Zielsystems erkundet, insbesondere die darauf installierten Sicherheitsvorkehrungen. Die RFS wird hinsichtlich ihrer Tauglichkeit zu deren Überwindung getestet und gegebenenfalls modifiziert. Es ist nicht vorgesehen, die auf dem System befindlichen Sicherheitssysteme auszuschalten.

Das das Ausschalten wenig hilfreich wäre hatte ich ja schon mal erwähnt. Was mich aber interessieren würde: Wie wollen die Ermittler verhindern, das der mutmaßliche Terrorist weitere Sicherheitsvorkehrungen installiert, nachdem sie ihren Trojaner installiert haben? Oder z.B. eine über USB installierte Lösung zusätzlich einsetzt, z.B. Yoggie Pico?

20. Frage: Wie soll verfahren werden, wenn gängige Anti-Viren-Programme oder Firewalls die Tools bzw. die Online-Durchsuchungssoftware entdeckt haben?
Antwort: Es ist nicht zu erwarten, dass die RFS entdeckt wird. Sollte dies dennoch der Fall sein, wird das verwendete Tool vom Zielsystem entfernt. In dem Fall, dass die RFS durch eine Firewall oder eine Anti-Virus-Software erkannt wird, ist der Rückschluss auf die Sicherheitsbehörden nicht gegeben.

Den ersten Satz haben die Entwickler der chinesischen Trojaner sicher auch gesagt. Den zweiten vielleicht auch?

Wie erkennt der Bundestrojaner, das er erkannt wurde und sich nun löschen muss?

Und wieso ein Rückschluss auf die Sicherheitsbehörden nicht möglich ist, erschließt sich mir auch nicht. Natürlich wird da nirgends 'Copyright BKA 2008' drin stehen. Aber der Trojaner muss ja mit irgend einem Rechner im Internet kommunizieren. Der braucht eine IP-Adresse, und dann geht die Suche los... Und irgendwann landet man bei den Sicherheitsbehörden.

25. Frage: Informatiker und IT-Sicherheitsfachleute sind übereinstimmend der Meinung, dass es technisch nicht möglich ist, während der Durchführung der Online-Durchsuchung zu verhindern a) privateste Daten des durchsuchten PCs einzusehen und b) Daten auf dem PC zu manipulieren oder hochzuladen, bspw. um Beweise für eine Straftat zu fälschen. Ein "digitales Richterband" in Form eines Logs lässt sich so manipulieren, dass dieser Missbrauch für einen überprüfenden Richter nicht nachweisbar ist. Wie wollen Sie einen solchen Missbrauch verhindern?
Antwort: Siehe Antworten zu Frage 3 und 6.Im Gegensatz zur in dieser Praxis anerkannten "herkömmlichen" Datenträgeruntersuchung werden allerdings bei der Online-Durchsuchung nicht alle auf dem System befindlichen Daten, die dem Schutzbereich unterliegen, sichergestellt und ausgewertet, sondern allenfalls ein kleiner Teil. Durch die Hinterlegung des Quellcodes der RFS bei Gericht könnte zudem etwa belegt werden, dass die Software keine Daten frei im Zielsystem platzieren kann. Damit lässt sich der Vorwurf der Manipulation von Daten auf dem Zielsystem widerlegen.

Und wie wollen die Herrschaften beweisen, das der eingesetzte Trojaner erstens mit dem Quellcode übereinstimmt und zweitens keine weiteren Funktionen nachinstalliert wurden? Das System des mutmaßlichen Terroristen ist kompromittiert und damit sind alle sich darauf befindlichen Beweise nichts mehr wert.

27. Frage: Was ist unter einem informationstechnischem System in abschließender Definition zu verstehen? Sind unter "informationstechnischen Systemen" auch Mobilgeräte wie Handys, Smartphones, Blackberries etc. zu verstehen? Sind unter "informationstechnischen Systemen" auch Infrastrukturkomponenten untergeordneter Netzebenen zu verstehen (Router, Switches, aber auch DE-CIX-Einrichtungen ...)?
Antwort: Der Begriff "informationstechnisches System" wurde bewusst weit gewählt, um der derzeitigen und zukünftigen technischen Entwicklung Rechnung zu tragen. Hierunter wird ein System verstanden, welches aus Hard- und Software sowie aus Daten besteht und das der Erfassung, Speicherung, Verarbeitung, Übertragung und Anzeige von Informationen und Daten dient. Somit sind die aufgezählten Beispiele ebenfalls umfasst.

All your Systems belong to us? In Zukunft kommt der Bundestrojaner dann auch auf vernetzte Kühlschränke und Mikrowellen? Wie sieht es mit den RFID-Chips in der Kleidung des potentiellen Terroristen aus, werden die auch verwanzt?

Es wird jedoch darauf hingewiesen, dass die bisher in der Diskussion genutzte Definition der Online-Durchsuchung gerade die Aufzeichnung von Telekommunikationsinhalten nicht mit umfasst.

Was nicht ist, kann ja noch werden?

30. Frage: Wie wird bei Beendigung der Maßnahme technisch sichergestellt, dass das untersuchte informationstechnische System wieder in den ursprünglichen Zustand versetzt wird? Wie wird technisch sichergestellt, dass nicht z.B. durch ein während der Maßnahme erzeugtes Backup der kompromittierte Zustand wieder hergestellt wird?
Antwort: Ein in Betrieb befindliches Computersystem verändert sich dynamisch, sodass ein "statischer" Ursprungszustand technisch nicht mehr wiederherstellbar ist. Bei Beendigung der Maßnahme werden alle Bestandteile der RFS restlos von dem System entfernt. Durch die RFS selbst werden keine weitergehenden Systembeeinträchtigungen vorgenommen. Durch Einprogrammieren eines Verfallsdatums und eines Zeitzählmechanismus kann die Selbstdeinstallation der RFS auch nach einem eventuellen Wiederaufsetzen des Systems mittels Back-Up initiiert werden. Diese Selbstzerstörungsmechanismen dienen auch der Unterbindung der Weiterverbreitung.

Siehe oben - das wäre die erste Software, die sich wirklich restlos selbst entfernt. Wow!

Was passiert eigentlich, wenn ein auf einem Backup konservierter Bundestrojaner mit dem Backup im Internet landet? Was wäre, wenn der Bundestrojaner in einer virtuellen Maschine landet und das entsprechende Image weiterverbreitet wird? Egal ob absichtlich oder unabsichtlich mit Trojaner, sobald der irgendwo auftaucht, wäre das ein gefundenes Fressen für Hacker, Sicherheitsspezialisten, Journalisten,... . Fremde Geheimdienste hätten sicher auch Interesse daran, oder? Einfach um mal zu gucken, was denn die Konkurrenz so auf dem Kasten hat – und um das Teil vielleicht gegen seine Entwickler einzusetzen.

31. Frage: Wie wird während der einzelnen Phasen von Infiltration, Überwachung/Kommunikation und Beendigung der Maßnahme technisch sichergestellt, dass die Maßnahme nicht aufgedeckt und mit Gegenmaßnahmen beantwortet wird?
Antwort: Durch verschiedene Maßnahmen wird sichergestellt, dass eine Rückverfolgbarkeit nahezu unmöglich ist. Die Zielperson könnte nur feststellen, dass sich auf dem System eine für ihn unerwünschte Software installiert hat. Bevor Gegenmaßnahmen durch den Betroffenen getätigt werden könnten, müsste dieser zunächst das entdeckte Programm analysieren. Diese Analyse der RFS (Disassembling) wird jedoch durch die Verwendung kryptographischer Methoden nahezu unmöglich gemacht.

Aua, das tut weh. Jetzt habe ich Muskelkater vom Lachen. Wen darf ich auf Schmerzensgeld verklagen? Eigentlich sollte man so einen Unsinn unkommentiert stehen lassen, aber am Ende hält das dann irgendwer für tatsächlich machbar. Also: Gegenmaßnahmen – wie wollen die Ermittler verhindern, das sie sich virenverseuchte Dateien einfangen? Dazu ist keine Analyse notwendig, da bastelt sich der Terrorist von heute mit einem Virenbaukasten was passendes, nennt das Ergebnis "Anschlagsplan-Schäuble.doc" und wartet, bis sich das BKA selbst infiziert. Die Bundesregierung hat sich ja auch irgendwie die chinesischen Trojaner eingefangen, oder? Dann die kryptographischen Methoden (oh weh, dieser Muskelkater!): Also, wir haben ein verschlüsseltes Programm. Wenn der Algorithmus gut ist, kann das tatsächlich niemand entschlüsseln. Niemand? Nun ja, der Prozessor muss das Programm ja ausführen, und dazu muss es entschlüsselt sein. Und dann kann es natürlich analysiert werden. Ach ja: Damit sich das Programm selbst entschlüsseln kann, muss es auch den Schlüssel enthalten, außerdem eine Entschlüsselungsroutine. Das gibt genug Angriffspunkte. Oder wird der Trojaner mit USB-Dongle für den Schutz des Programms geliefert?

36. Frage: Welche genauen technischen Möglichkeiten gibt es und welche davon sollen genutzt werden, um die Maßnahmen umzusetzen, differenziert nach [...] c) der Ausleitung von Inhalten aus dem informationstechnischen System,
Antwort: Die gewonnenen Ergebnisse werden so lange verschlüsselt auf dem Zielrechner zwischengelagert, bis eine Internetverbindung durch den Betroffenen hergestellt wird. Bei aktiver Internetverbindung werden die verschlüsselten Daten über das Netzwerk auf einen von den Sicherheitsbehörden genutzten Server übertragen. Nach erfolgreicher Übertragung dieser zwischengelagerten Daten an den Server, werden diese verschlüsselten Daten auf dem Zielrechner gelöscht. Die dann in die Sicherheitsbehörde übertragenen Daten werden entschlüsselt und für die Auswertung entsprechend aufbereitet.

Und während der Trojaner nach Hause telefoniert und die sicher nicht unbedeutenden Datenmengen überträgt wundert sich der Terrorist gar nicht, wieso denn da so viel übertragen würde. Wie schon erwähnt: Gesucht wird der Super-DAT!

Es gibt noch so vieles, was ich dazu schreiben und kommentieren könnte und möchte. Aber durch die Zitate ist der Text schon so lang geworden, das ich mir das für die kommenden Wochen aufheben. Wenn es nichts wichtigeres gibt, habe ich Dank Herrn Schäuble jetzt reichlich Material, über das ich schreiben kann.

Ach, eins noch: Würde der Bundestrojaner nicht vom BKA entwickelt, sondern von einem externen Unternehmen, würde ich die bisher bekannt gewordenen Details für einen geschickten Weg halten, an Entwicklungs- und Fördermittel zu kommen. So was hat sich schließlich schon im Mittelalter bei den Alchemisten bewährt. Das, was für die damaligen Herzöge etc. der Stein der Weisen war, ist für unseren Bundesinnenminister der Bundestrojaner.

Carsten Eilers