Gestern veröffentlichte der Chaos Computer Club CCC seine Analyse des Staatstrojaners 0zapftis, und ein Aufschrei ging durch die Netzwelt. 2 Schreie waren es, um genau zu sein:

Der erste war von allen, die nicht glauben konnten, dass der Staat nun tatsächlich so weit in ihre Privatsphäre eingreifen kann. Nicht nur die Kommunikation an sich wird abgehört / aufgezeichnet, sondern auch der Prozess der dorthin führt. Screenshots werden erzeugt und dokumentieren damit nicht das versendete Endergebnis sondern auch Gedanken, welche man wieder verwirft.

Als Beispiel: Ich schreibe mir meine Wut von der Seele über ein aktuelles Ereignis und beschreibe dabei, wie gern ich deswegen einen Feuerwerkskörper im Briefkasten einer Person zünden würde. Bis ich zum Ende komme ist meine Laune abgekühlt und ich lösche den Paragraph. Der Trojaner hat aber einen Screenshot gemacht. Legt nun der überwachende Beamte diesen dem Richter vor und nicht die finale Version meiner Nachricht, in der nur noch von faulen Eiern steht, die ich gegen ein Fenster werfen will, bin ich nicht ein potentieller Sachbeschädiger sondern ein potentieller Sprengstoffattentäter.

Mit dem Speichern und Verwerten von Screenshots gehen wir erstmals in der Geschichte der Menschheit noch einen Schritt näher auf die Strafbarkeit des Gedankens zu.

Der zweite Schrei kam von allen, die den Code genauer betrachteten. Wie der CCC so schön schreibt:

Wir sind hocherfreut, daß sich für die moralisch fragwürdige Tätigkeit der Programmierung der Computerwanze keine fähiger Experte gewinnen ließ und die Aufgabe am Ende bei studentischen Hilfskräften mit noch nicht entwickeltem festen Moralfundament hängenblieb.

Ein zweischneidiges Schwert. Denn ein Profi hätte sicher nicht die Authentisierung des Kontrollservers gegenüber dem Client unterlassen. Selbst mit einfachen Programmierkenntnissen lässt sich nach Analyse des Programmcodes nun eine eigene Kontrollstruktur schreiben, welche auf dem infizierten Computer fingierte Beweise hinterlässt. Mit dem gleichen Trojaner werden diese "Beweise" dann wieder eingesammelt.

Nicht, dass ich einem Ermittlungsbeamten ein solches Verhalten würde unterstellen wollen - aber so wie der Trojaner programmiert ist sind m.E. sämtliche gesammelten Beweise wertlos - es kann nicht garantiert werden, dass sie nach forensischen Kriterien gesammelt wurden und somit verwertbar sind.

Im Weiteren ist der Trojaner in seinem Programmierstandard weit unter dem, was man sich von bösartigen, von nicht-staatlichen Stellen Programmen gewohnt ist. Er bringt seine eigenen Sicherheitslücken mit. Das wäre, wie wenn das Ortungsgerät, das man dem Verdächtigen ins Auto schmuggelt, jedem mit einem Handy in der Nähe die Möglichkeit geben würde, das Bremspedal zu kontrollieren.

Was hat das alles mit uns zu tun, wir leben doch in der Schweiz und nicht in Deutschland?

In der Schweiz läuft gerade wieder die Revision der Verordnung über die Überwachung des Post- und Fernmeldeverkehrs (VÜPF). Diese gehört zum Bundesgesetz über die Überwachung des Post- und Fernmeldeverkehrs (BÜPF). Beide zusammen regeln unter anderem die Überwachung des E-Mail-Verkehrs (siehe Art. 24 VÜPF). Noch ist diese erst möglich, wenn die Nachricht den eigenen PC und damit quasi den eigenen Hoheitsbereich verlassen hat - die Internetprovider werden gezwungen, die Kommunikation mitzuschneiden und (je nach Anordnung) in Echtzeit weiterzuleiten.

Weiter geht das Bundesgesetz über die Massnahmen zur Wahrung der inneren Sicherheit (Botschaft des Bundesrats, BWIS Entwurf). Unter dem Deckmantel des Kampfes gegen den Terrorismus wird hier in Artikel 18m die rechtliche Grundlage für staatlich legitimiertes Hacken (Unbefugtes Eindringen in besonders gesicherte Datensysteme gem. Art. 143bis StGB) geschaffen - und damit auch für den Einsatz eines Bundestrojaners in der Schweiz.

Schöne neue Welt.

Gastbeitrag von Florian Mauchle, Nationalratskandidat Piratenpartei Zürich