News Interne Prüfberichte: Staatstrojaner kaum zu kontrollieren

Status
Neue Beiträge in diesem Thema müssen von einem Moderator freigeschaltet werden, bevor sie für andere Nutzer sichtbar sind.

Andy

Tagträumer
Teammitglied
Registriert
Mai 2003
Beiträge
7.939
Das Problem bei den Staatstrojaner-Einsätzen bleibt die externe Kontrolle, wie ein von Netzpolitik.org veröffentlichter Prüfbericht des Bundesdatenschutzbeauftragten veranschaulicht. Offiziell hat der Datenschutzbeauftragte nichts zu beanstanden, allerdings werden nur Teile der Software kontrolliert.

Zur News: Interne Prüfberichte: Staatstrojaner kaum zu kontrollieren
 
  • Gefällt mir
Reaktionen: P. Schloenzke, aid0nex, Smartbomb und 4 andere
In dem Kontext lohnt sich dieser Vortrag sehr: https://media.ccc.de/v/35c3-9972-funkzellenabfrage_die_alltagliche_rasterfahndung_unserer_handydaten
Hier sieht man gut, wie die Behoerden mit erweiterten Befugnissen und den damit einhergehenden Pflichten umgehen.

Kurzfassung, wenn auch etwas polemisch:
FLvmMlOX0AIb3eB.jpg
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: aid0nex, Smartbomb, WhiteGoose und 33 andere
In dem Zusammenhang auch interessant ist diese heutige heise-Meldung:

https://www.heise.de/news/ModifiedE...faelschte-Beweise-aus-einer-Hand-6510349.html

Menschenrechtsaktivisten, Journalisten, Akademikern und Juristen in Indien wurden durch den dortigen Staatstrojaner »Beweise« für Straftaten auf ihre Geräte geschoben. Diese kamen dann sogar in Gerichtsverfahren zum Einsatz.

Man hat somit ein anschauliches Beispiel dafür, was solche Programme anstellen können, wenn ihre Verwendung staatlich legitimiert wird.
 
  • Gefällt mir
Reaktionen: aid0nex, Zockmock, muh0rsen und 20 andere
Der 'Volltext' selbst spricht schon Bände, wie auf dem Screenshot im Twitterpost gezeigt.
So geht Transparenz und Vertrauen.

Noch dazu das 'besondere Augenmerk' auf die Fähigkeiten durch 'stichprobenartige' Sichtung des Codes, der Doku und eines ' ██████████████ ' Berichts.
Bedeutet stichprobenartig dass jemand anderes vorgegeben hat welche Teile der Prüfer einsieht, oder hat der Prüfer wenigstens selbst auswählen dürfen? Die Auswahlmethode der Codesegmente war vermutlich ██████████.

Ich lese da raus dass durch die Blume geschrieben wird dass die Software mehr kann als sie soll, das aber OK ist weil man dem BKA vertrauen kann dass die nichts unerlaubtes machen und wenn doch die Ergebnisse nicht verwenden sondern wieder löschen.
Weitere Informationen könnten die Bevölkerung ████████████.

Die Lösung für den Datenschutzbeauftragten: man kann nichts beanstanden was man nicht prüfen konnte.

Ob das denen nicht doch ein ganz kleinwenig zynisch vorkommt?
Ich weiß da nie ob die Verantwortlichen fest davon überzeugt sind dass man der Bevölkerung nichts sagen darf, oder ob die einfach gleichgültig Dienst nach Vorschrift machen, oder nicht doch unter der Oberfläche unzufrieden sind mit dem was sie tun sollen, es aber im Interesse ihrer Bezüge, der Ordnung und Hierarchie dennoch tun.
 
  • Gefällt mir
Reaktionen: Zockmock, Slayher666, bikerider und 10 andere
@Bigeagle
Es ist (leider) sehr üblich, dass bei Codereviews die Thematik sehr eng gefasst wird. Die meisten Reviews/Pentests sind daher auch nahezu wertlos, solang man nicht die genaue Formulierung des Auftrags und eine genaue Beschreibung der Methodik hat.
Gerade bei Software die mit Updates versorgt wird und Updateroutinen hat wird es sowieso sinnlos. Nachladen lässt sich tendenziell ja beliebig Kram der nicht im im betrachtetem Bereich lag.
 
  • Gefällt mir
Reaktionen: Slayher666, Dusslighoch10, Bigeagle und eine weitere Person
Manchmal denke ich, es wäre einfach besser nicht so viel zu wissen.
Dann wird mir wenigstens nicht mehr Schwindelig und Schlecht, von der Geschwindigkeit wie unsere Bürgerrechte massakriert werden.
 
  • Gefällt mir
Reaktionen: Zockmock, zelect0r, VoAlgdH und eine weitere Person
meine fragen zum staatstrojaner sind solche, wie:

a) wird der trojaner auch mal wieder vom computer des falsch verdächtigten entfernt, oder bleibt er auf dem system, damit man mal wieder bei gelegenheit reinschauen kann?
b) ich gehe davon aus, daß auf dem, bzw den computer(n) eines verdächtigten eine art server installiert wird. wer garantiert, daß der nötige client zum schnüffeln nicht in falsche hände gerät?
c) unter anbetracht meines punktes "b", frage ich mich, wie sicher die daten von verdächtigen sind? landen die eventuell auf einschlägigen seiten oder sammlungen im netz, abgegriffen von kriminellen?

ich frage mich halt, ob da nicht eine sicherheitslücke der größe eines scheunentors geschaffen wird, die nie wirklich geschlossen wird. grauseliger gedanke.
 
Zuletzt bearbeitet:
Mal eine ganz doofe frage :confused_alt:

Kann das BKA/BND/LKA die trojaner einfach wahrlos einsetzten oder nur bei einer Terroristischen gefahr einer Person oder Rechts Radiakalismus Etc? Sprich es muss erst ein verdacht gegeben sein?
 
stimme zu,
was gemacht werden kann - wird gemacht, egal wo/wer/wie.
 
  • Gefällt mir
Reaktionen: bikerider
Ist das eigentliche Problem nicht ganz woanders zu suchen? Nämlich in der Frage "wem nützt es?" bzw in der oft verwendeten lateinischen Übersetzung "cui bono?"

Das kann eine bis zuletzt sehr persönliche Frage werden. Denn oft bemerkt man, daß Wünsche oder Forderungen nach Bestimmungen, Beschränkungen, Verfolgungen, Verboten etc. schnell verflucht werden, solange sie das eigene Lager bzw Gefühl und Weltbild betreffen - aber ebenso schnell gutgeheißen werden, solange sie das gegnerische Lager betreffen.
 
  • Gefällt mir
Reaktionen: Hovac und Zockmock
Es ist ein schwieriges Thema, da es grundsaetzlich gegen Rechte versteosst. Ich bin kein Jurist und moechte auch keine juristische Diskussion anstossen. Aber ich sehe es so, dass Spionage (/Ueberwachung/Eindringen in die Privatssphaere) an sich illegal ist und daher erst entsprechend gerichtlich freigegeben, bzw der Einsatz streng geregelt werden muss. Fuer mich ist es vergleichbar mit der Dienstwaffe.

So etwas wie im Post von @madmax2010 beschrieben (unbegruendete Abfrage von Daten), darf nicht passieren. Ich bin mir sicher, dass man dafuer entsprechende Software und Infrastruktur schaffen kann. Aber nicht in einem Land, in dem alles noch gefaxt/gedruckt/gescannt werden muss und fuer die Polizei sowieso kein Geld da ist.
 
Es ist wie immer, sobald die Möglichkeit besteht wird es gemacht. Siehe Luca App und den Missbrauch der Daten durch die Polizei. Das es illegal ist interessiert erst später, wenn überhaupt. Notfalls wird so ein Handeln rückwirkend sogar noch legalisiert.
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: aid0nex, Zockmock, pseudopseudonym und 3 andere
Ich bin nicht vollständig dagegen... aber sowas kann nicht auf Vertrauensbasis passieren, dass Angestellte u.A. der Polizei damit schon keinen Mist bauen werden. Gleichzeitig muss technisch sichergestellt werden, dass auch der Staat das nicht missbrauchen kann. Kann ja nicht sein, dass es für eine Hausdurchsuchung mehr Hindernisse gibt, als das ausspähen der Kommunikation. letzteres ist imho ein tieferer Eingriff in den persönlichen Lebensbereich und sollte entsprechend auch strenger geregelt sein, also definitiv nur mit gerichtlichem Beschluss, der genau vorschreibt, was getan werden darf. Das ist dann überhaupt die Basis bevor man darüber steiten kann was genau der Trojaner machen können/dürfen sollte und was nicht.
 
  • Gefällt mir
Reaktionen: bikerider
Kann der CCC nicht mal eine Anleitung veröffentlichen wie du diesen Trojaner aufdecken kannst?
 
  • Gefällt mir
Reaktionen: bikerider
Aphelon schrieb:
Kann ja nicht sein, dass es für eine Hausdurchsuchung mehr Hindernisse gibt, als das ausspähen der Kommunikation.
Die Gewaltentrennung ist anscheinend noch nicht im Neuland angekommen. Ohne richterlichen Beschluss sollte da niemand etwas machen können, zumindest in der Theorie. Praktisch muss man dann natürlich kontrollieren ob eh wirklich niemand die Systeme missbraucht.

Da es wahrscheinlich eh nur bei ganz wenigen Fällen richterliche Beschlüsse geben wird, kann man sich auch gleich fragen ob wir diese digitalen Werkzeuge überhaupt noch brauchen oder ob klassische Beschattung nicht vielleicht sogar die bessere Lösung ist. Da ist dann wenigstens die Hemmschwelle höher da der Aufwand auch ganz andere Dimensionen annimmt.
 
  • Gefällt mir
Reaktionen: bikerider
Messer, Schere, Trojaner, Licher ist für unbedarfte Nutzer nix...
Die Länge des Prüfbericht ist wirklich kurz, für so ein Thema und mit gerade einmal 10 Seiten sehr dürftig, dazu noch (bis zum jahre 2080) großteils geschwärzt.

Dazu kommt die Art und Weise wie die Anfänge der Sätze formuliert sind, die Software ist geeignet ;
ist in der lage; ist ein.. :
Daraus lässt sich ableiten das hier nicht gerade viel " Kreativität " bei den Sätzen genutz wurde.
Jeder 10. Klässer in Deutschland sollte Satz anfänge besser formulieren können...

z.B:
In der Software,
Z.z ist die Sofware,
Derzeit ist nicht ersichtlich das die Software
Und so wieter und so fort...
 
Benni1990 schrieb:
Kann das BKA/BND/LKA die trojaner einfach wahrlos einsetzten oder nur bei einer Terroristischen gefahr einer Person oder Rechts Radiakalismus Etc? Sprich es muss erst ein verdacht gegeben sein?
Edit: Es sind polizeiliche Maßnahmen der Überwachung- und Hausdurchsuchung gemeint und nicht jedwede polizeiliche Maßnahme. Im Gegensatz zu Maßnahmen von Geheimdiensten, wo es meist keine richterliche Kontrolle gibt.
/Edit

Für alle polizeilichen Maßnahmen sollte es den sogenannten Richtervorbehalt geben. Daher, die Exekutive muss eine Maßnahme durch die Judikative Gewalt genehmigen lassen. Zu der Prüfauftrag sollte immer eine Abwegung zwischen den Rechten der Betroffenen und dem Interesse der Öffentlichkeit Straftaten vorzubeugen, zu unterbinden und/oder aufzuklären. Quasi ist das analog zum Richtervorbehalt bei Hausdurchsuchungen. Wobei Hausdurchsuchungen sich grundlegend dadurch unterscheiden, dass sie weit weniger verdeckt stattfinden.
Gerade bei technischen Maßnahmen wird da aber schon länger kritisiert, dass entsprechende Maßnahmen einfach durchgewunken werden. Artikel von 2011:
https://www.zeit.de/politik/deutschland/2011-10/trojaner-richtervorbehalt-2
Kritisiert den Einsatz eines bayrischen Trojaners, der weit mehr erfasste als notwendig als auch die massive Funkzellenüberwachung in Dresden.

Wobei der Effektivität Richtervorbehalt generell kritisiert wird (wichtig: die Notwendigkeit kritisiert nach meiner Einschätzung Niemand, der nicht sowieso Probleme mit dem Grundgesetz hat):
https://www.zis-online.com/dat/artikel/2006_1_4.pdf (anno 2006)

Oder zuletzt der Höhepunkt, als jemand auf Twitter den Hamburger Innensenator Andy Grote als "1Pimmel" bezeichnete, er diese Tat gestand und Tage später bei seiner getrennt lebenden Exfreundin eingeritten wurde. Wo die judikative Prüfung mehrfach fehlgeschlagen ist. Nach dem Geständnis war die Durchsuchung sinnlos, die schwere der Tat war Imho auch nicht gegeben und es war auch nicht gesichert, dass die Durchsuchung der Adresse überhaupt das Gewünschte Ergebnis liefern konnte:
https://www.abendblatt.de/hamburg/a...schaft-kritik-ehemaliger-richter-twitter.html

Und nicht zu vergessen, dass div. Polizeigesetze der Länder zuletzt stark zu Ungunsten von Bürgern formuliert wurden. Wie zum Beispiel in NRW unter CDU und FDP[1] Regierung, wo Polizeigewahrsam ohne Richtervorbehalt auf bis zu eine Woche ausgedehnt wurde:
https://netzpolitik.org/2021/polizeigesetz-nrw-eine-woche-ohne-anklage-in-gewahrsam/

[1] liberale Freiheitspartei am Arsch

Czk666 schrieb:
Kann der CCC nicht mal eine Anleitung veröffentlichen wie du diesen Trojaner aufdecken kannst?
Bei den Datenspenden die der CCC bzw. Club Nahe Inditäten bisher bekam ist anzunehmen, dass kritische Informationen auch an andere Sicherheitsforscher und Antivirenhersteller gingen.

Ansonsten ist bei ausreichend guten Angreifern meist soviel Dynamik bei den entsprechenden Softwarekomponenten gegeben, dass es keinen Goldstandard gibt. Im Zweifelsfall muss man jedes Paket Netzwerkverkehr sichten und jeden Prozess eines Rechners auseinandernehmen.
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: Bigeagle und Czk666
Status
Neue Beiträge in diesem Thema müssen von einem Moderator freigeschaltet werden, bevor sie für andere Nutzer sichtbar sind.

Ähnliche Themen

Zurück
Oben