Gutachter bezweifeln Durchführbarkeit von heimlichen Online-Durchsuchungen

Die bisher bekannt gewordenen Fachgutachten zur anstehenden Entscheidung des Bundesverfassungsgerichtes über die Rechtmäßigkeit von heimlichen Online-Durchsuchungen zweifeln an der Machbarkeit eines "Bunds-Trojaners". Der Tenor: Die allgemeine Sicherheit von ITK-Systemen sollte wichtiger sein als die Ausnutzung von Sicherheitslücken durch eine Online-Durchsuchung. Diese Durchsuchung könnte größte Probleme damit haben, gerichtsverwertbare Beweise zu präsentieren. Wenn potenzielle Terroristen beobachtet werden sollen, seien analog zum großen Lauschangriff TEMPEST-Abhörmaßnahmen die bessere Methode

Im Streit um das BKA-Gesetz, dass die heimliche Durchsuchung von Rechnern festschreiben soll, spielt die anhängige Verfassungsbeschwerde gegen das nordrhein-westfälische Verfassungsschutzgesetz eine immer wichtigere Rolle. So einigte sich die Regierungskoalition am vergangenen Dienstag auf ein Verfahren zur Novellierung des BKA-Gesetzes, bei dem die Online-Durchsuchung gewissermaßen in Klammern gesetzt erwähnt wird. Je nachdem, wie das Bundesverfassungsgericht in seiner anstehenden Verhandlung zur Online-Durchsuchung entscheidet, soll die Klammer oder der Passus zur Online-Durchsuchung gelöscht werden.

Vor der mündlichen Verhandlung des Bundesverfassungsgerichtes hat das Gericht mehrere Gutachter mit einer Stellungnahme zur Online-Durchsuchung beauftragt. Als "sachkundige Auskunftspersonen" gaben Prof. Dr. Andreas Pfitzmann, TU Dresden, Prof. Dr. Felix Freiling, Universität Mannheim, Prof. Dr. Ulrich Sieber vom Max-Planck-Institut für ausländisches und internationales Strafrecht in Freiburg, Dirk Fox von der Secorvo Security Consulting in Karlsruhe und Andreas Bogk vom Chaos Computer Club in der letzten Woche ihre Einschätzungen zur Online-Durchsuchung ab. Das Gutachten der Sicherheitsfirma wurde nun als PDF-Datei im Web veröffentlicht (PDF-Datei), weitere technische Gutachten liegen heise online vor.

Allen vorliegenden Gutachten ist gemein, dass erhebliche Zweifel an der Durchführbarkeit einer heimlichen Online-Durchsuchung angemeldet werden, bei der nach Analyse des Zielsystems dort vorhandene Sicherheitslücken gezielt ausgenutzt werden. So heißt es im Gutachten des Sercovo-Forschers Dirk Fox: "Tatsächlich sind keine Möglichkeiten bekannt, eine Online-Durchsuchung so zu gestalten, dass ein Zielsystem nicht wirksam davor geschützt werden kann. Der Betreiber des Zielsystems kann durch geeignete Maßnamen entweder die Installation ("Einnistung") der Durchsuchungssoftware auf seinem System verhindern oder durch Sicherheitssoftware die Arbeit der Durchsuchungssoftware aufdecken oder zumindest erheblich behindern."

Im Gutachten von Andreas Pfitzmann, Leiter der Datenschutz-Forschungsgruppe an der TU-Dresden werden auch die voraussichtlichen Gegenmaßnahmen beschrieben: Das online gestartete Eindringen "lässt sich durch eine leichte Erweiterung der heute üblichen Sicherheitsmechanismen beim Download von Software entdecken – und damit wirkungslos machen. Hierzu müssen nur viele Endgeräte miteinander Hashwerte ihrer Downloads austauschen, um Inkonsistenzen zu entdecken und bei entdeckten Inkonsistenzen auch die Downloads selbst auszutauschen. Diese Entdeckung und Vereitelung funktioniert selbst dann, wenn der Hersteller des Programms rechtlich zur Kooperation verpflichtet wäre, indem er eine digitale Signatur unter sein um das Trojanische Pferd erweiterte Programm liefert."

Auch die von Hartmut Pohl in einem Gutachten angesprochene Ausnutzung eingekaufter Less-Than-Zero-Day-Exploits für den Einsatz von Trojanischen Pferden wird in allen vorliegenden Gutachten sehr kritisch als staatliche Förderung des Hacker-Untergrunds gesehen. In der Stellungnahme von Dirk Fox heißt es: "Die Verwendung von 'Less Than Zero Day Exploits' (unveröffentlichte Schwachstellen) und deren Erwerb durch Strafverfolgungsbehörden könnte eine erhebliche Erhöhung der allgemeinen Bedrohungslage zur Folge haben, falls die behördliche Nachfrage dazu motivieren würde, auf die (bisher übliche) Veröffentlichung und Weitergabe entdeckter Schwachstellen an die betroffenen Hersteller zu Gunsten eines Verkaufs zu verzichten."

So kritisch die Online-Durchsuchung auch gesehen wird, so erkennen die Gutachter doch das berechtigte Interesse der Behörden an, Rechner von verdächtigen Personen zu überwachen. Eine genehmigte Online-Durchsuchung sollte daher als "physischer Zugriff auf das Endgerät" erfolgen, wobei es über den Zugriff unterschiedliche Ansichten gibt. Das "traditionelle, robuste Agentenhandwerk" der Remote Forensic Software wird von den Gutachtern als die richtige Methode angesehen. Pfitzmann etwa beschreibt die Methode des zweimaligen "Ausleihens" eines Gerätes und die maßgeschneiderte Anbringung eines Programms als Maßnahme mit lokal begrenzter Wirkungsentfaltung, die deutlich besser zu unserem Rechtssystem passe und helfe, Verstöße gegen das internationale Völkerrecht zu vermeiden, wenn etwa ein Online-Trojaner unbeabsichtigt zu einem "Auslandseinsatz" mitgenommen werde. Allerdings könne es sein, dass Nutzer ihre Endgeräte (Computer, PDA, Mobiltelefone) mit Erkennungsmechanismen für physische Eingriffe ausstatten, in dem sie schwer nachmachbare, kaum lösbare Klebestreifen anbringen.

Aus diesem Grunde sind zumindest für Pfitzmann TEMPEST-Angriffe die beste Methode. Obendrein seien sie bereits im Rahmen des Großen Lauschangriffes einzusetzen: "TEMPEST-Angriffe verändern die im Gerät verarbeiteten Daten und Programme nicht. Selbst durch Inkaufnahme deutlichen Mehrgewichts ist Schutz gegen TEMPEST-Angriffe keinesfalls auch nur annähernd perfekt zu realisieren. Wegen der durch das Mehrgewicht deutlich geringeren Marktgängigkeit und zusätzlichem technischen Aufwand sind TEMPEST-geschützte Geräte deutlich teurer als entsprechende Geräte ohne TEMPEST-Schutz. Wer TEMPEST-geschützte Geräte kauft oder benutzt, fällt also auch in der vorhersehbaren Zukunft auf", heißt es im Dresdener Gutachten.

Mit diesen Argumenten und weiteren Auslegungen der Gutachter soll sich das Bundesverfassungsgericht in der nächsten Woche befassen. Eine Entscheidung des Gerichtes wird indes erst im Frühjahr 2008 erwartet.

Die heimliche Online-Durchsuchung eines Computers stößt bei Datenschützern ebenso wie bei Juristen auf Skepsis. In einer Reihe von Artikeln melden sie grundsätzliche Bedenken an und warnen vor der beabsichtigten Änderung des Grundgesetzes. Siehe dazu:

• Ist die Online-Durchsuchung wirklich notwendig?
• Ist die Festplatte eine Wohnung?
• Skeptische Stimmen zur Online-Durchsuchung

Zum aktuellen Stand und der Entwicklung der Debatte um die erweiterte Anti-Terror-Gesetzgebung, die Anti-Terror-Datei sowie die Online-Durchsuchung siehe:

• Von Datenschutz und Schäuble-Katalog: Terrorbekämpfung, TK-Überwachung, Online-Durchsuchung

(Detlef Borchers) / (vbr)