Am 20. Juni 2008 war IT-Sicherheitsexperte Andreas Pfitzmann von 12.30 Uhr bis 13:45 zu Gast im tageschau.de-Chat. Er beantwortete Fragen zu den Befugnissen des Bundeskriminalamtes, dem "Bundestrojaner" und warum Terroristen sich von Online-Durchsuchungen nicht abschrecken lassen.
Moderator: Herzlich willkommen im tagesschau-Chat, heute zum Thema Online-Überwachung, Vorratsdatenspeicherung und Sicherheit im Netz. Unser Gast ist heute Professor Andreas Pfitzmann von der Technischen Universität Dresden. Er ist Leiter der Datenschutz- und Sicherheitsgruppe an der TU Dresden. Für die Experten unter uns: Aktuelle Forschungsprojekte von ihm laufen zum Thema „anonymes Surfen im Web“ und „Datenschutzgerechtes Identitätsmanagment“. Der Chat wird wie (fast) immer vom ARD-Hauptstadtstudio aus moderiert. Herr Pfitzmann chattet aus Dresden, dorthin die erste Frage:
M.Nießen: Wie lange könnte ein so genannter "Bundestrojaner" unerkannt operieren, bevor er von einer erfahrenen Person entdeckt und analysiert wird?
Andreas Pfitzmann: Kommt sehr darauf an, wie gut er gemacht ist und wie erfahren und aufmerksam die Person ist. Ich könnte also alles zwischen 2 Minuten und 200 Jahren rechtfertigen als Antwort. Eine erfahrene Person wird aber anders agieren: Vermeiden, dass ein so genannter Bundestrojaner auf ihren Rechner kommt. Das kann sie ziemlich gut sicherstellen.
Moderator: Gleich noch was, damit man weiß, wer Angst haben muss:
fredo: Können Trojaner auch in der Linux-Welt installiert werden?
Andreas Pfitzmann: Klar. Der Unterschied ist, dass es der Hersteller schwerer hat, ein Trojanisches Pferd in einer Software zu verstecken, deren Quelltext offengelegt ist, als in Software beispielsweise von MS oder Apple, wo der Quelltext nicht allgemein zugänglich ist.
Moderator: Das heißt, auch auf diese Frage lautet die Antwort ja?
Mac-User: Ist der "Bundestrojaner" mac-kompatibel?
Andreas Pfitzmann: Ich glaube nicht, dass es "den" Bundestrojaner gibt, es wird viele sehr unterschiedliche Arten von Bundestrojanern geben. Mag sein, dass manche davon auch mac-kompatibel sind.
hissi: Wie wahrscheinlich ist es, dass der Trojaner in Software vom Staat versteckt ist, z.B. in der Elster Software?
Andreas Pfitzmann: Ich persönlich glaube nicht, dass dies so geplant ist, aber Ihre Frage zeigt – wie auch meine unscharfe Antwort – dass das Vertrauensverhältnis zwischen BürgerInnen und Staat gerade massiv leidet. Die Terroristen werden sich hierüber sehr freuen. Denn Terroristen sind motiviert, können sich schulen lassen und ihre Rechner off-line betreiben. Kurzum: Die, die überwacht werden sollen, können mit der Maßnahme am wenigsten überwacht werden. Leider verstehen das viele unserer Politiker nicht (oder sie lassen sich das Verständnis zumindest nicht anmerken).
dasparadoxon: Jemand der wirklich Ahnung hat, kann seinen Rechner zumindest etwas schützen. Werden diese Lauschangriffe nicht nur "unerfahrene" Opfer treffen ?
Andreas Pfitzmann: Aus meiner Sicht ein klares Ja. Und damit würde ich behaupten, dass Terrorismusbekämpfung nur vorgeschoben ist.
efkay: Jeder, der eine vernünftige Firewall hat, sollte sich doch eigentlich keine Sorgen machen müssen.
jarek: Mit einer professinell betriebener Firewall kann man jeden Zugriff von außen unterbinden, somit auch Installation von Trojanern, oder ?
Andreas Pfitzmann: Ja, wobei auch bei einer Firewall das Problem bleibt, dass Sie ja hin und wieder auch Programme downloaden und dann ausführen.
johnny: Wird der Trojaner Bestandteil einer Software (irgendwas mit Microsoft) sein, oder ein eigener Dienst?
Andreas Pfitzmann: Beides ist denkbar. Ich glaube, die Bundestrojanerdiskussion wird Open Source Auftrieb geben, außerdem sollen und werden wir Tools entwickeln, die die Konsistenz verteilter Programmversionnen sicherstellen, also Bundestrojaner für alle oder für niemand.
none: Herr Pfitzmann, wie beurteilen Sie die (Existenz der) Gefahr, dass staatliche Stellen den Einbau von Lücken in bestimmte Softwareprodukte, z.B. bekannte Betriebssysteme, verlangen werden?
Andreas Pfitzmann: Ich glaube nicht, dass das in Deutschland in den nächsten paar Jahren gefordert wird. Aber einerseits ist es in den letzten 20 Jahren immer so gewesen, dass das heute Unvorstellbare in fünf Jahren massiv gefordert wurde. Andererseits sind amerikanische (wie auch andere) Geheimdienste keinesfalls so zimperlich (und gut kontrolliert) wie deutsche Behörden.
none: Ist es nicht so, dass ein wirklich funktionierender "Bundestrojaner" einen 0-day exploit – also eine unbekannte Schwachstelle benötigt? Heißt das nicht in letzter Konsequenz, dass sehr wohl alle betroffenen, z.B. Windows- Rechner durchsucht werden können? Ganz im Gegensatz zu den angekündigten "10-12 Ausnahmefällen"? Mithin wäre doch eine Massenanwendung möglich?
Andreas Pfitzmann: Alle wären sicherlich nicht betroffen: Terroristen werden ihre Rechner in der heißen Phase ihrer Anschlagsvorbereitung offline betreiben, aber das von Ihnen beschriebene Problem besteht und zeigt folgendes Dilemma: Das BSI, das Bundesamt für Sicherheit in der Informationstechnik, hat die Aufgabe, Staat, Wirtschaft und Bürger zu schützen, also Lücken schnellstmöglich zu stopfen bzw. stopfen zu lassen (und dabei auch in begrenztem Umfang zu veröffentlichen). Das BKA hat ein großes Interesse, solche Lücken geheim zu halten und möglichst lange zu nutzen.
BSI und BKA unterstehen dem Innenminister. Klar, dass das massiv Glaubwürdigkeit und Vertrauen kostet. Ich kann nur sagen: Die Terroristen wollten unsere Gesellschaft verändern (haben es aber nicht geschafft). Geschafft haben es die Innenpolitiker (wobei ich unterstelle, dass dies zumindest manche nicht wollten).
palettentreter: Man muss ja davon ausgehen, dass Verbrecher einfach auf exotische Plattformen ausweichen, um das Unterschieben von Rootkits o.ä. zu erschweren. Glauben Sie, dass der Staat über die nötigen Ressourcen verfügt, um in kurzer Zeit, und mit minimalem Entdeckungsrisiko, professionell gesicherte Systeme zu infiltrieren?
Andreas Pfitzmann: Das BKA verfügt über diese Ressourcen nicht. Denkbar ist natürlich Amtsthilfe, sei es vom BSI, der NSA, Mossad, KGB. 😉
Nächste Frage?
none: Verzeihen Sie mir, wenn ich nochmal auf einen Punkt zurückkomme: Eine massenweise Anwendung des Bundestrojaners (tausende Fälle pro Jahr) an Recht und Gesetz vorbei ist also technisch ohne weiteres möglich?
Moderator: Anmerkung dazu: Es gibt 3. Wenn die BKA-Novelle so kommt wie geplant, liegt die Begrenzung vermutlich eher im Aufwand, der betrieben wird, um einen Bundestrojaner zu programmieren und einem Verdächtigen unterzujubeln. Der ist so groß, dass es nur ein paar Fälle sind – sagt das Bundesinneministerium.
Andreas Pfitzmann: Wenn es um die Infiltrierung weitgehend ungeschützter Rechner über Kommunikationsnetze geht, dann gibt es technisch wie auch wirtschaftlich kein Limit, deshalb halte ich diese Methode auch für demokratie-unverträglich, da für Massenüberwachung geeignet. Ich würde deshalb andere Infiltrationsmethoden bevorzugen:
Abstrahlung auswerten; physischer Zugriff.
dasparadoxon: Wie kann man dem FaceBook-Bürger die Problematik erklären ?
Andreas Pfitzmann: Schwierig. Ich wäre schon froh, wenn Herr Ziercke (Jörg Ziercke, Präsident des Bundeskriminalamtes, Anm. der Redaktion) und Herr Dr. Schäuble sie verstünden.
Moderator: Phsyischer Zugriff heißt: persönlich ran an den Rechner des Verdächtigen?
Andreas Pfitzmann: Ja – was auch bedeuten kann: In die Wohnung einsteigen.
danimo: Nochmal zurück zur Know-How-Quelle für den Einsatz des Bundestrojaners: Ist es nicht viel wahrscheinlicher, dass das BKA sich Unterstützung aus der Wirtschaft holt? Firmen, die Software und Dienstleistungen für Nachrichtendienste bereitstellen, dürften doch ausreichend existieren.
Andreas Pfitzmann: Das BKA wird sicherlich versuchen, Know-How dazuzukaufen. Macht die Sache aber nicht besser, sondern schlimmer: Jetzt stören wir nicht nur das Vertrauensverhältnis Bürger-Staat, sondern auch noch Konsument-Produzent.
horst: Zum Thema "Abstrahlung auswerten": Wie weit funktioniert das in der Praxis? Über welche Reichweite ist so eine Abstrahlung noch auswertbar und wie weit unterscheidet sich das nach Monitortyp? (TFT,CRT)
Andreas Pfitzmann: Da gibt es in der öffentlichen Literatur nur wenige Experimente und die Dienste schweigen. Abstrahlung von Monitoren kann man mit Amateurechnik mindestens einige zehn Meter gut auswerten, mit Profitechnik vermutlich einige Kilometer. Akustische Abstrahlung (jede Taste klingt anders) einige zehn Meter. Elektrische oder magnetische Impulse durch Tastendrücke vermutlich einige 100 Meter.
Kurzum: Es wäre zumindest einen sehr ernsthaften Versuch wert und ich finde es hoch interessant, dass das BKA hierauf auffällig unauffällig in keiner Weise eingeht. Zumal diese Abstrahlungsauswertung eine Methode wäre, der sich niemand, auch keine Terroristen, auch nicht mit Offline-Betrieb, entziehen könnte. Kurzum: Diese Ignoranz wirft die Frage auf, ob es bei der Massnahme wirklich um Terroristen fangen geht oder etwas anderes.
dasparadoxon: Oh Gott. Akustische Abstrahlung…das wusste ich nicht…
Moderator: So gehts mir auch.
none: Zu Abstrahlung (Tempest): Gilt bei "Abstrahlung" nicht dasselbe wie für den Bundestrojaner? Ein einigermaßen technisch versierter Terrorist kann sich leicht davor schützen?
Andreas Pfitzmann: Und akustische Wohnraumüberwachung ist erlaubt 😉
hmm: Zum Thema Abstrahlung (Monitor, Tastatur): Gibt es zu Ihren Aussagen Quellen?
Andreas Pfitzmann: Wenig. Die Namen zum Googeln sind van Eck (sehr alt, erste Veröffentlichung hierzu) und Markus Kuhn (Cambrige).Cambridge, UK, genauer.
Moderator: Wenn ich Sie richtig zusammenfasse, macht der Bundestrojaner für den Terroristenfang wenig Sinn.
Andreas Pfitzmann: Zumindest in den Varianten, auf die sich die Große Koalition geeinigt hat. Leider.
Moderator: Was vermuten Sie dann hinter diesen Maßnahmen, wir reden ja uch über Vorratsdatenspeicherung etc.?
Andreas Pfitzmann: Die Politik will Aktion demonstrieren und merkt nicht, wie lächerlich sie sich gegenüber denjenigen macht, die von der Technik Ahnung haben.
Ich sollte vielleicht einmal klar sagen, dass ich Online-Durchsuchung durch Auswertung der Abstrahlung (und ggf. spätere offene Beschlagnahme) für durchaus zielführend und ggf. auch angemessen halte. Ganz anders ist dies bei der Vorratsdatenspeicherung, wo nicht nur bestehende Sicherheitslücken der IT ausgenutzt werden, sondern auch noch zusätzliche geschaffen.
Es wird NSA, KGB wie auch die organisiere Kriminalität sehr freuen, dass auch für sie (denn die speichernden Systeme werden unsicher sein oder über „social engineering“ aufgemacht, vgl. Telekom-Skandal) Kommunikationsdaten aller Kommunikation sechs Monate lang zum Abruf bereit gehalten werden.
Moderator: Anmerkung 1: Nach der derzeit geplanten BKA-Novelle, darf das BKA nicht in eine Wohnung eindringen, um dort einen Trojaner oder ähnliches zu platzieren.
Anmerkung 2: Zum Thema akustische Überwachung mit Dank an User "None" http://www.cl.cam.ac.uk/techreports/UCAM-CL-TR-577.html ist der Link zur PhD-Arbeit von Markus Kuhn.
Andreas Pfitzmann: Ja, so ist es: Die CDU hat sich profiliert, dass es Online-Durchsuchung gibt. Die SPD hat sich profiliert: Aber nicht durch Einstieg in die Wohnung. Super für beide. Und die Terroristen freuen sich, dass es gegen sie nicht wirkt. Schlecht nur für unsere demokratische Gesellschaft.
foo bar: Ich habe als Bürger immer gedacht, dass die Politik solche Gesetze u.a. mit Experten wie Ihnen bespricht/entwirft?
Andreas Pfitzmann: Nein, die Politik fragt uns zwar, glaubt aber dem BKA. Und das BKA hat natürlich auch Eigeninteressen – Ausbau der IT-Abteilung.
Moderator: Noch mal ein paar technische Details.
ego: Nochmal die Frage zu den Ports: Ist es möglich, konrolliert alle Ports zu sperren? Ein blick in NETSTAT zeigt, wie schwierig es wohl ist, auch wenn die Firewall aktiv ist.
Andreas Pfitzmann: Da passe ich, bin kein Firewall-Experte. Aber wenn ich nicht will, dass mein Rechner über das Netz infiltriert wird, dann hänge ich ihn nicht an Netz. So viel Wissen traue ich auch andern zu.
wolfgang: Warum Onlinedurchsuchung, wenn "man-in-the-middle"-Angriffe leichter gehen?
Andreas Pfitzmann: Zweites ist Kommunikationsüberwachung. Das wird natürlich auch gemacht. Bei Online-Durchsuchung möchten die Suchenden auf ALLES zugreifen können, unabhängig davon, ob es jemals kommuniziert wird.
Kako: Ist Deutschland das einzige Land, welches einen Bundestrojaner einführen will, oder gibt es schon Länder, die mit sowas schon arbeiten?
Andreas Pfitzmann: Die USA arbeiten mit sowas schon viele Jahre.
Moderator: Und müssen sich nicht an deutsches Recht halten, wenn Sie mal in good old germany reinschauen.
irrlaender: Ist das auch nicht alles Angstmache? Wie soll man dieses Massen von Daten denn auswerten können?
Andreas Pfitzmann: Die NSA ist einer der größten IT-Anwender weltweit. Das BKA ist verglichen damit nicht gut ausgestattet. Die Auswertungstools (data mining ist das Schlagwort) gibt es bereits. Sie werden u.a. im Marketing benötigt.
Moderator: Zwischenfrage: können wir ein paar Minuten überziehen?
Andreas Pfitzmann: Ja.
Moderator: Prima.
Viele Fragen zum Thema bzw. Vorschlag zwei Rechner – einer fürs Arbeiten, einer fürs Netz. Das hilft gegen alle Art von Schadsoftware, hat Prof. Pfitzmann ja schon erklärt, aber Detailfrage:
Nolle: Beispiel: Ich habe einen alten Rechner, der für das Internet reicht. Auf dem sind weder die privaten Filmchen mit der Familie noch meine geschäftlichen oder behördlichen Vorgänge. Um nun aber ein herruntergeladenes .pdf oder Rechnung auf den Offline-Rechner zu bekommen, benutze ich einen USB Stick. Könnte dieser vom "Bundes"trojaner als Medium benutzt werden, um auch den Offline-Rechner zu durchsuchen?
Andreas Pfitzmann: Wenn Sie auf ihrem Stick nur Daten transportieren, aber keine Programme, dann sind Sie mit dieser Maßnahme gegen "Bundestrojaner" sicher.
Was uns zu der uralten Erkenntnis zurückbringt, dass es klug ist, zwischen Programmen und Daten zu unterscheiden. Leider haben grosse Softwareanbieter diese Unterscheidung zunehmend verwischt.
GeMe: Ein Trojaner ließe sich doch sicherlich in einer interaktiven Webseite wie z.B. einem Gewinnspiel verstecken?
Andreas Pfitzmann: Hoffentlich ist Ihr Rechner so konfiguriert, dass Programmcode auf einer Webseite nicht beliebig auf Ihre Speicherinhalte zugreifen kann.
Moderator: Das Verfassungsgericht hat festgelegt, dass Bundestrojaner etc. nur für die Abwehr oder Verfolgung von schweren Straftaten zulässig ist. Aber denoch:
M.Nießen: Im Internet klingt immer wieder die Vermutung durch, das man mit der Onlinedurchsuchung eigentlich die illegalen Raubkopierer kontrollieren will. Wie beurteilen sie diese Vermutung?
tankwart: Wie schätzen sie die Rolle der Musik und Filmindustrie ein? (Filesharing)
Andreas Pfitzmann: Ich glaube nicht, dass Musik oder Filmindustrie momentan treibend sind. Dr. Schäuble will Terroristen fangen, nicht Raubkopierer. Aber die Erfahrung sagt natürlich: Die in fünf Jahren voll ausgebaute IT-Abteilung des BKA, die leider leider keine durchschlagenden Erfolge gegen den Terrorismus verbuchen wird (die sind so gemein und betreiben ihre Rechner offline), wird dann sagen: Aber wir können vielleicht helfen, dass zwar nicht der Terrorismus ausgerottet wird, aber das Raubkopieren. Und wenn wir nun schon mal die vielen ExpertInnen im BKA bezahlen.
hmm: Ist es nicht möglich, in .pdf oder .doc-Dateien, also eigentlich Daten, Schadcode zu implementieren?
Moderator: Ich hoffe mal, dass es nicht so ist. PDF sind Grundnahrungsmittel für recherchierende Journalisten.
Andreas Pfitzmann: Leider geht es sowohl bei pdf wie auch bei doc. Wie gesagt, Microsoft und andere haben unserer Bequemlichkeit zuliebe sehr unsichere IT-Systeme in den Markt gebracht. Ich vermute aber: Terroristen können auch mit reinen Text-Dateien kommunizieren.
Moderator: Und letzte Frage:
Herman: Was macht Ihnen mehr Sorgen: Die Datensammelwut des Staates oder die der Wirtschaft?
Andreas Pfitzmann: Sorgen machen mir fremde Geheimdienste und organisierte Kriminalität, die auch Daten sammeln, wie auch versuchen werden, auf "unsere" Datensammlungen zuzugreifen. Sie werden dabei häufig Erfolg haben. Deshalb sollten wir bereits die Erfassbarkeit von Daten minimieren und insbesondere Datensammlungen nur dann anlegen, wenn dies absolut unvermeidbar ist und die Sammlungen anonymisiert oder pseudonymisiert sind.
Kurzum: Unser Staat arbeitet aus meiner Sicht nicht bewusst gegen uns. Manche seiner Entscheidungsträger sind nur sehr technik-unkundig. Und ich hoffe, dass der Telekom-Skandal dazu nütze ist, die Vorratsdatespeicherung abzublasen und die Wirtschaft durch den Staat besser zu kontrollieren.
Moderator: Damit ist unser tagesschau-Chat zu Ende. Mein Name ist Wolfram Leytz. Herzlichen Dank nach Dresden an Professor Pfitzmann, dass Sie sich Zeit für die Diskussion genommen haben! Das Protokoll des Chats ist in Kürze auf den Websiten von tagesschau.de und politik-digital.de zu lesen. Das tagesschau-Chat-Team wünscht allen noch einen schönen Tag und ein schönes Wochenende und gibt nach Dresden an Prof Pfitzmann zum Schlusswort:
Andreas Pfitzmann: Wir sollten uns und anderen möglichst solides Wissen, auch über IT-Sicherheit beibringen. Nur darauf kann rationale Politik aufbauen.
Moderator: Stellvertretend für andere:
dasparadoxon: Sehr guter Chat ! Ich schneide mir ne Scheibe von ihrem Optimismus ab !
Umfrage: Fühlen sie sich durch die neuen Sicherheitsgesetze in Ihrer persönlichen Freiheit eingeschränkt?- 95 Prozent haben "Ja" gesagt, fünf Prozent "Nein".