23C3: "Sind wir paranoid genug?"

Experten haben auf dem 23. Chaos Communication Congress in Berlin am Mittwoch ein detailreiches Bild über den Stand staatlicher und privater Überwachung gemalt, die auch vor Hotelräumen, dem Internet und privaten PCs nicht haltmacht. "Die Frage muss lauten: Sind wir paranoid genug?", sagte der Coburger Sicherheitsberater Manfred Fink.

Fink empfahl allen, die in Hotelzimmern Wert auf Privatsphäre legten, "kritische Geräte" wie Telefone, Fernsehgeräte oder Radiowecker zu entfernen. Ein Auge sollte man auch auf die Schächte für die Klimaanlage haben, da dahinter Kameras versteckt sein könnten. Es gebe gerade in Luxusherbergen zahlreiche "verborgene Infrastrukturen", warnte Fink. Er empfahl, "einfach mal gegen die Decke zu drücken". Mitgebracht hatte der Wanzenjäger unter anderem eine Kachel mit dahinter installiertem Mini-Elektroauge.

Hotelzimmer gehören laut Fink "zu den unsichersten Orten überhaupt", was die Vertraulichkeit von Kommunikation anbelangt. Sie böten Informationsbeschaffern ein leichtes Spiel. In einer fremden Umgebung sei der Aufwand groß, Abhörsicherheit herzustellen. Er riet davon ab, in Hotels Telekommunikationsanlagen ohne vertrauenswürdige Verschlüsselungstechniken zu benutzen und öffentliche WLAN-Netze in Anspruch zu nehmen. Generell sei es hilfreich, nicht alle Dinge bei einem Telefonat im Klartext zu benennen. Bei E-Mails sollten vertrauliche Informationen mit Hilfe der Steganographie im Datenwust etwa eines Bildanhangs versteckt werden. Dies habe zugleich den Vorteil, dass damit eventuell bestehende Kryptographieverbote umgangen werden könnten. Faxe sollten handschriftlich diagonal beschrieben werden, um die OCR-Scansoftware der Lauscher auszutricksen.

Dass der Aufwand bei Bedarf angemessen sei, illustrierte Fink anhand von Medienberichten etwa über die audiovisuelle Überwachung im Hotel "Neptun" in Warnemünde und anderen von der Stasi unterwanderten Absteigen im ehemaligen Osten. 1997 sei aber auch aufgeflogen, dass im Marriott-Hotel in Wien in der Nähe des OPEC-Gebäudes drei Luxussuiten mit professionell ferngesteuerten Raumwanzen für Langwellenfunk ausgerüstet waren. In Verdacht, die Mikros installiert zu haben, geriet damals die National Security Agency (NSA), der technische Geheimdienst der USA.

Als Überwachungstrend machte Fink das Einschleusen präparierter Akkus in Mobiltelefone aus. Dazu reiche es aus, das Handy kurzzeitig unbeaufsichtigt zu lassen. In seiner Firma seien beim Röntgen mit hochauflösenden Digitalsystemen mehrere hundert Geräte mit Wanzen-Akkus entdeckt worden. "Machen Sie Kerben oder Kratzer rein", empfahl der Sicherheitsberater. Er schätzte die Anzahl der Geheimdienstler und Strafverfolger, die sich auf derlei Abhöraktionen spezialisiert hätten, auf "hoch dreistellig".

Der Kölner Strafrechtler Marco Gercke warnte davor, Regierungen als Sicherheitsgaranten in einer Welt ständig heraufbeschworener terroristischer Akte zu sehen. "Wir können Regierungen nicht trauen, wir müssen sie kontrollieren", betonte Gercke unter dem Beifall der Hackergemeinde. Dies sei heutzutage umso nötiger, als die Gesetzgeber nicht mehr auf Experten hörten. Vielmehr würden sie ihre Entwürfe von Konzernen schreiben lassen, wie etwa die Urheberrechtsreform zeige. "Know your Citizens", beschrieb der Wissenschaftler das Motto von Regierungen im digitalen Zeitalter. Das Spektrum gehe von der verdachtsunabhängigen Vorratsdatenspeicherung über Volkszählungen, die Erfassung von Kfz-Kennzeichen, Videoüberwachung, Mautsysteme bis hin zu Ausweisdokumenten, die nun mit der Funktechnik RFID und Fingerabdrücken aufgerüstet würden.

Im vergangenen Jahr hatte Gercke auf dem Hackerkongress prophezeit, dass die Sicherheitsbehörden auf Befugnisse zum Eindringen in private Rechner mit Hilfe von Trojanern drängen und per Keylogger sämtliche Tastatureingaben der PC-Nutzer mitschneiden wollten. Inzwischen hat Nordrhein-Westfalen ein entsprechendes Gesetz für solche "Online-Durchsuchungen" verabschiedet, während Bundesinnenminister Wolfgang Schäuble auf eine bundesweite Regelung pocht. Die Prinzipien der Hausdurchsuchung seien aber nicht aufs Internet übertragbar, warnte Gercke. Insgesamt bezeichnete er Versuche zur vorsorglichen Straftatenabwehr als "Nonsens". (Stefan Krempl)/ (cp)