Chatprotokoll

tagesschau-Chat Constanze Kurz, Frank Rieger,
Chaos Computer Club

Stand: 25.04.2007 17:42 Uhr

Liebe Politik-Interessierte, herzlich willkommen zum tagesschau-Chat. Unsere Gäste sind heute Constanze Kurz und Frank Rieger vom Chaos Computer Club (CCC). Erstmal vielen Dank Frau Kurz und Herr Rieger, dass Sie sich Zeit für unsere User nehmen. Haben Sie Fragen zu Bundestrojanern auf dem Privat-PC, dem elektronischen Fingerabdruck im Pass oder ähnlichen Themen, dann ist jetzt die Gelegenheit, sie zu stellen. Denn der Chaos Computer Club beschäftigt sich mit den Auswirkungen der technischen Entwicklung auf unser Leben.

Kann es losgehen?

Constanze Kurz: Gern.

CCC
galerie

Chaos Computer Club

nixZuVerbergen: Wie soll der Bundestrojaner denn auf meinen Computer kommen? Als E-Mail-Anhang? Als Script in der E-Mail? Als präparierter Download? Oder geschieht der Zugriff auf meine Daten im Internet (an „Vermittlungsstellen")?

Frank Rieger: Es gibt verschiedenste Wege. Wir vermuten, dass je nach konkretem Einsatz unterschiedliche Methoden verwendet werden. Das Anhängen an herunter geladene Dateien wird in anderen Ländern schon praktiziert. Der Angriff auf Schwachstellen im Rechner ist eine andere Variante.

Moderatorin: Hier zwei ähnliche Fragen:

Alex: Guten Tag, wird der Schwerpunkt der Trojaner bei PCs liegen oder sind Macs sicherer?
nixZuVerbergen: Kann der Trojaner auch unter Linux funktionieren?

Frank Rieger: Die Behörden werden sich sicher nicht auf einen Rechnertyp festlegen. So wie auch heute schon können Angriffe sowohl gegen PCs als auch gegen Macs oder Linux gefahren werden.

Constanze Kurz: Man kann davon ausgehen, dass derjenige, der ausgespäht werden soll und sein Betriebssystem bereits vorher den Ermittlungsbehörden bekannt sind.

soran: Was genau kann der Bundestrojaner denn mit meinem Rechner anstellen?

Frank Rieger: Technisch ist eine komplette Fernsteuerung, das Auslesen von Dateien, das Abhören via Kamera und Mikrofon, das Abhören der Tastatureingabe et cetera möglich.

Constanze Kurz: Natürlich kann auch die komplette Kommunikation (E-Mail, Internettelefonie, Chat) mitgelauscht werden.

Frank Rieger: Es geht den Behörden vor allem um das Umgehen von Verschlüsselungsverfahren. Das heißt, Passworte sollen mitgelesen und Verschlüsselungskeys abgezogen werden.

Moderatorin: Nachfrage zu Erfahrungen in anderen Ländern:

mk: Heißt das, andere Länder spähen uns schon aus?

Frank Rieger: „Uns" ist hier ein bisschen weit gefasst. Solche Methoden werden seit langem in der Spionage verwendet.

Constanze Kurz: Wirtschaftsspionage mit technischen Mitteln wird seit Jahrzehnten erfolgreich betrieben.

Moderatorin: Dreimal zum gleichen Thema:

levin: Von der praktischen Seite her betrachtet: Gibt es nicht genug Werkzeuge, um Trojaner aufzuspüren und zu eliminieren?
tuxer: Kann ich mich durch das Verwenden von Firewalls davor schützen?
StinoC: Mit welchem System, und gegebenenfalls mit welcher zusätzlichen Software, kann ich mich gegen den Trojaner schützen?

Frank Rieger: Prinzipiell ist ein Schutz sehr schwer, solange der Rechner am Internet hängt.

Constanze Kurz: Der normale Computerbenutzer wird sich nicht wirkungsvoll schützen können.

Frank Rieger: Man kann davon ausgehen, dass bei der Vorerkundung vor dem Angriff etwaige Firewalls et cetera mit berücksichtigt werden. Antivirus-Software kann nur Trojaner finden, die dem Hersteller bekannt sind. Und die Behörden planen, ihren Trojaner geheim zu halten. (Ich weiß, das klingt ein bisschen traurig.)

Snoopy: Wird der Chaos Computer Club dem Trojaner „nachgehen" und versuchen, ihn ausfindig zu machen?

Constanze Kurz, Computer Chaos Club
galerie

Constanze Kurz, Computer Chaos Club

Constanze Kurz: Sofern jemand tatsächlich entdeckt, dass es ein solches Spionageprogramm auf seinem Rechner hat und es dem Chaos Computer Club zur Kenntnis bringt, werden wir natürlich den Trojaner untersuchen, so gut wir können.

Adam: Denken Sie nicht, dass es freie Antivirus-Software geben wird, die eine Lösung dafür findet? Die „Open Source“-Gemeinde ist ja sehr kreativ.

Frank Rieger: Wir gehen davon aus, dass jeweils modifizierte Trojaner zum Einsatz kommen. Antivirus-Software arbeitet mit Signaturen (das heißt mit Mustern, die erkannt werden) und Heuristiken, das heißt, mit Verhaltensweisen, die erkannt werden.

Belias: Es gibt doch Netzwerküberwachungstools, mit denen man den Traffic beobachten kann. Kann man nicht dadurch auch einen Trojaner erkennen?

Frank Rieger: Eine erfolgreiche Abwehr erfordert, dass man die Verhaltensweisen, die sich nicht sehr von normalen Programmen unterscheiden, erkennen kann oder einen Trojaner zum Muster erkennen findet. Also Open Source wird da wenig helfen.

Constanze Kurz: Wenn es derart gute Netzwerküberwachungstools gäbe, hätten wir kein Problem mit Schadsoftware. Dem Bundestrojaner wird solche Software wenig anhaben können, sofern die Ermittler keine groben Fehler machen.

Frank Rieger: Prinzipiell kann man natürlich auf die Inkompetenz der Behörden vertrauen, aber sicher nicht auf Dauer.

Loopie: Bisher haben es unzählige Firmen und Hacker versucht, ihre Trojaner und Viren geheim zu halten. Alle ohne Erfolg. Selbst diverse Rootkits, wie zuletzt von Sony BMG lassen sich nicht dauerhaft verstecken. Die Idee ist meiner Meinung nach schon von Anfang an zum Scheitern verurteilt.

Frank Rieger: Wenn ein Trojaner nur einmal verwendet wird und ansonsten immer wieder modifiziert wird, geht das schon.

Constanze Kurz: Es gibt heute wohl Rootkits, die sich wirkungsvoll verstecken können, und zwar so gut, dass selbst Spezialisten sie nicht ausfindig machen können.

demlak: Es ging durch die Presse, dass bereits eine Art Bundestrojaner seit längerem im Einsatz ist. Wie ist der Kenntnisstand des Chaos Computer Clubs zu der bisher eingesetzten Software?

Frank Rieger: Im Bereich Industriespionage passiert das durchaus schon länger.

Constanze Kurz: Wir gehen davon aus, dass deutsche Geheimdienste diese Techniken anwenden, allerdings natürlich nicht in großem Umfang.

Snoopy: Wenn man der Regierung Glauben schenken kann, soll der Trojaner bei ausgesuchten Personen eingesetzt werden. Glauben Sie daran? Ich kann mir mittlerweile sehr gut vorstellen, dass ein flächendeckender Einsatz geplant sein könnte.

Moderatorin: Ist das technisch machbar?

Constanze Kurz: Wir denken, dass die Spionage-Software tatsächlich nur gezielt eingesetzt werden soll. Auf breiter Basis wäre auch die Entdeckungsgefahr viel zu groß.

Frank Rieger: Solange die Regierung nicht die Hersteller zwingt, Hintertüren für sie in weit verbreitete Produkte einzubauen... Was ich angesichts des Schäuble-Wahns nicht ausschließen würde.

Moderatorin: Mal ganz persönlich:
SomeBdyElse: Mir ist zu Ohren gekommen, dass Chaos Computer Club-Mitglieder Jobangebote bekommen haben, die mit dem Trojaner in Zusammenhang stehen könnten. Ist da was dran?

Constanze Kurz: Ja, wir haben einige Mitglieder, die so etwas berichtet haben.

Moderatorin: Und die Reaktion?

Frank Rieger: Die angesprochenen Mitglieder haben die Anfrage direkt publiziert. Damit war dann Ende.

Constanze Kurz: Man muss sich klar machen, dass die Ermittlungsbehörden in Sachen Bundestrojaner Personal und Kompetenz hinzukaufen müssen, insofern ist das nicht überraschend.

gubrats: Kann der Trojaner auch Daten auf meinen Rechner hochladen? Also könnten mir Beweise untergeschoben werden?

Constanze Kurz: Das kann er, ebenso wie Daten, die auf deiner Festplatte sind, manipulieren.

Frank Rieger: Das ist eines der Kernprobleme beim Bundestrojaner. Die Beweissicherheit ist damit hinüber.

Moderatorin: Nachfrage zum Personal:
soran: Wäre es nicht sinnvoll, ein Chaos Computer Club-Mitglied auf diesem Wege in das Bundesministerium des Innern einzuschleusen. Als Gegentrojaner?

Constanze Kurz: Wir sind doch kein Geheimdienst. Wir arbeiten nicht mit solchen Methoden.

Frank Rieger: Unsere Erfahrungen bei derartigen Spielen sind nicht so besonders gut ;-).

trara: Ich hab es noch nicht ganz verstanden: Trojaner haben ja auch eine bestimmte Logik, sind eine bestimmte Art von Software, die eine gute Anti-Viren-Software eigentlich erkennen sollte - an der Heuristik. Warum soll der Bundestrojaner da nicht entdeckt werden?

Constanze Kurz: Es wird keine breite Schadsoftware, sondern eine gezielt eingesetzte Spionage-Software gegen einen konkreten Verdächtigen geben. Insofern haben die Virenhersteller keine Chance.

Moderatorin: Übrigens kommen im Moment sehr, sehr viele Fragen rein. Wir springen deshalb ein wenig zwischen den Themen!

Wisniewski: Sind Gegenmaßnahmen gegen den Trojaner „Widerstand gegen die Staatsgewalt“?

Frank Rieger: Das ist eine spannende Frage. Wir sind keine Juristen, aber da der Trojaner im Zweifel nicht mit Bundesadler daherkommt, wird es schwer zu erkennen sein, wer einen gerade hackt.

Constanze Kurz: Ich meine, dass es natürlich legitim für jeden Computerbenutzer ist, seine privaten Daten zu schützen.

levin: Könnte der „Bundestrojaner " auch europa-, beziehungsweise EU-weit greifen?

Frank Rieger: Derzeit ist das eine Länder-individuelle Geschichte.

Constanze Kurz: Wir wissen nicht, inwieweit und wie eng die europäischen Ermittlungsbehörden hier zusammenarbeiten.

StinoC: Mal eine weniger praktische Frage: Bedenkt Schäuble eigentlich nicht, wie sich die Leute fühlen, bei diesem Maß an Überwachung? Wer überwacht die Überwacher noch?

Frank Rieger: Ich glaube, das ist dem egal. Beziehungsweise, ist die derzeitige Sicherheitsdoktrin auf die Erziehung von Duckmäusern ausgerichtet.

maldoror: Wer legt fest, wer ein konkreter Verdächtiger ist? Wenn das richterlich geschehen soll, warum reichen dann nicht herkömmliche Methoden?

Constanze Kurz: Generell ist für den Bundestrojaner ein Richtervorbehalt vorgesehen. Aus der Vergangenheit haben wir allerdings gelernt, dass nicht jeder Richter die Zeit hat, so etwas genau zu prüfen.

abulafia: Was schätzt denn der Chaos Computer Club, wie groß der individuelle Arbeitsaufwand für die Schaffung eines individuellen Trojaners ist?

Frank Rieger: Es wird vermutlich mit einem Baukasten gearbeitet werden, der den Aufwand reduziert. Ich denke, der Aufwand für die Anpassung wird im Bereich von Tagen liegen, wenn die Beamten oder ihre Dienstleister wissen, was sie tun.

Adam: Wie sieht es mit Geschäftsgeheimnissen aus? Denken Sie nicht, dass Firmen etwas dagegen hätten, dass die Bundesregierung eine offene Tür in ihre Systeme haben will?

Frank Rieger: Das ist eines der Kernprobleme. Nicht nur der Zugriff auf Firmeninterna ist zu erwarten. Für Hersteller von IT-Produkten in Deutschland ist auch alleine der Verdacht, dass ihre Produkte Trojaner enthalten könnten schon ein echtes Problem.

Constanze Kurz: Ein Problem in diesem Zusammenhang ist auch, dass beispielsweise Kriminelle die vom Bundestrojaner ausgenutzten Schwachstellen ebenfalls benutzten könnten, zum Beispiel für Wirtschaftsspionage.

thomas l.: Ist ein solcher Trojaner nicht einfach zu umgehen, indem man eine USB-Festplatte physikalisch trennt, wenn man online ist?

Frank Rieger: Der Trojaner kann sich auf dem Rechner verankern und die Daten kopieren, sobald die Platte angesteckt ist. Was hilft, ist, den gesamten Rechner nie ans Netz zu stecken.

Fluxus: Ist es tatsächlich denkbar, dass Softwarehersteller hier mit den Bundesbehörden zusammenarbeiten, um das Trojanerprogramm rauszubringen? Wäre das nicht viel zu schnell öffentlich? Wie schätzen Sie das ein?

Moderatorin: Ist der Hersteller dann nicht „erledigt" in der Öffentlichkeit?

Frank Rieger: Bisher funktioniert das so, dass einfach Schwachstellen nicht oder verspätet gefixt werden. Der Hersteller kann dann immer behaupten, das hätte andere Gründe gehabt. Das heißt, der Nachweis, dass das Absicht des Herstellers war, wird sehr schwer.

Constanze Kurz: Die Bundesbehörden haben schon eine große Marktmacht als Softwarekäufer, insofern werden einige Hersteller vielleicht gern mit den Ermittlern kooperieren. Außerdem kann man sich mal fragen, ob nicht Softwarefirmen deshalb zusammenarbeiten mit den Behörden, um sich nicht dem Vorwurf auszusetzen, Terroristen zu schützen. Die Ermittler werden den Auszuspähenden und sein System schon vorher gut kennen.

SdK: Wie wird sichergestellt, dass man genau den richtigen Rechner „infiziert"? Viele haben mehrere oder auch verschiedene Internetzugänge.

Frank Rieger: Das fragen wir uns auch :-) Es wird im Zweifel eine intensive Vorerkundung geben, aber Fehler werden passieren.

Knut: Online-Banking kann man wohl abhaken?

Frank Rieger: Wir empfehlen, Dinge, die man wirklich schützen will, auf einem nicht am Netz hängenden Rechner zu lagern. Auf Dein Konto haben sie aber ohnehin schon direkten Zugriff.

CyborgMax: Wie sieht es mit Krankenhäusern und Arztpraxen aus? Da sind viel sensiblere Daten.

Constanze Kurz: Auch Ärzte, Journalisten oder Anwälte werden betroffen sein.

thomas l.: Welche Gegenstrategie hat der Chaos Computer Club parat, um nicht ausspioniert zu werden?

Frank Rieger: Verhindern auf der politischen Ebene und wieder mehr Notizbücher kaufen (vorzugsweise essbare).

Constanze Kurz: Wir gehen davon aus, dass der Bundestrojaner nicht verfassungsgemäß ist.

alexking: Ist der Staat nicht rechtlich verpflichtet, mich zu informieren, dass gegen mich ermittelt wird?

Frank Rieger: Ja, hinterher. Bei den Abhöranordnungen bisher wird nicht einmal die Hälfte der Betroffenen wirklich hinterher informiert.

Constanze Kurz: Ja, es wird eine nachträgliche Information geben wie bei fast allen Überwachungsmaßnahmen. In der Praxis wird dies allerdings häufig nicht geschehen.

bernd: Wie schätzen Sie eigentlich die Erfolgsquote ein? Ein potentieller Terrorist wird doch eher selten auf verdächtige Mail-Anhänge klicken, oder seinen Rechner ungeschützt (sprich: Router/ Firewall) ans Internet hängen.

Frank Rieger: Offenbar glauben die Behörden, dass Terroristen nicht wirklich schlau sind. Vielleicht haben sie ja damit recht...

Constanze Kurz: Die wahrscheinlichste Methode bei einem versierten Computerbenutzer ist, dass er während eines anderen Downloads die Schadsoftware auf den Rechner bekommt.

Moderatorin: Zweimal mit Humor:

Adam: Denken Sie nicht, dass es in der Linux-Gemeinde eher als Herausforderung, eine Art Spiel, angesehen wird? Neue Distribution: "Debian Bundestrojaner-Free"?
DarkKnight: Was ist, wenn sich der Staat durch diese Art der Durchsuchung einen Virus bei mir einfängt? Bin ich dann dafür verantwortlich ;-) ?

Frank Rieger: Adam, ja, das wird schon passieren. Die spannende Frage ist dann, wie es mit der Garantie aussieht.

Constanze Kurz: DarkKnight, tja, auch Bundeskriminalamt-Rechner können Schwachstellen haben. Also tu' dir keinen Zwang an.

Moderatorin: Als Viel-Surfer können Sie folgende Frage vielleicht beantworten:

CyborgMax: Haben Onlinedurchsuchungen vielleicht auch tatsächliche Vorteile in der Terrorbekämpfung? Läuft wirklich soviel Terrorplanung über IT ab?

Frank Rieger: Nachdem, was wir von Bundeskriminalamt-Leuten hören, benutzen deren Lieblingsverdächtige Computer genau wie andere Menschen.

Constanze Kurz: Ich denke, die Ermittlungsbehörden haben schon heute alle nötigen Mittel in der Hand, Terroristen zu fangen. Dafür brauchen sie wirklich nicht den Bundestrojaner.

Frank Rieger: Rechner beschlagnahmen et cetera sollte eigentlich reichen.

muckisan: Welche Zeichen sind (un)sichtbar, die darauf hinweisen, dass ich von Behörden online durchsucht werde?

Frank Rieger: Keine, wenn sie keine Fehler machen. Irgendwann kommt dann halt das Schreiben mit der Mitteilung.

Michael44: Mal ehrlich, würdest Du einen Anschlag am PC planen, vielleicht noch simulieren?

Frank Rieger: Keine Ahnung. Nach allem, was berichtet wird, nicht.

Constanze Kurz: Wenn man mal etwas weiterdenkt, dann wird man feststellen, dass gegen Leute, die sich in die Luft sprengen wollen, einfach auch kein Bundestrojaner hilft.

ThSch: Zunächst mal Grüße an alle Chaosradio-Hörer [Radiosendung des Chaos Computer Club, Anm. d. Red.] und natürlich die anwesenden Macher :-). Meine Frage: Wie kann man als Bürger kurzfristig politisch aktiv werden, um die akut drohende Totalüberwachung zu verhindern?

Constanze Kurz: Man kann seinem Bundestagsabgeordneten schreiben. Man kann sich im Chaos Computer Club engagieren. Man kann mit den normalen Leuten, die noch nichts davon mitbekommen haben, reden.

Frank Rieger: Und die im Zweifel anstehenden Verfassungsklagen supporten.

Constanze Kurz: Hauptsache ist, man steht dem nicht gleichgültig gegenüber und artikuliert eben seine Meinung.

Moderatorin: Fanpost:

StinoC: Hi. Das Engagement des Chaos Computer Club beeindruckt mich immer wieder!!! Bravo. Ist es wahr, dass der Bundestrojaner tatsächlich über die Steuersoftware vertrieben wird?

Constanze Kurz: Nein, das war ein Aprilscherz des Chaos Computer Club. Wir haben keine konkreten Hinweise, dass der Bundestrojaner über die ELSTER-Software verbreitet werden soll.

FeX: Was macht eigentlich der Bundesbeauftragte für Datenschutz?

Constanze Kurz: Er äußert sich regelmäßig zu Fragen der Überwachung, aber mehr als mahnen und meckern kann er schlicht nicht tun. Er hat keine politische Macht.

Hans Hubert: Ich sehe die Diskussion um den Bundestrojaner oder auch die Speicherung von Fingerabdrücken als Ablenkungsmanöver. Andere Themen (Vorratsdatenspeicherung, Speichern von Passbildern ...) geraten dabei in den Hintergrund des öffentlichen Interesses und können leichter durchgesetzt werden. Teilen Sie meine Meinung?

Frank Rieger: Wir sehen das eher als Gesamtpaket, so wie es auch gemeint ist. Die öffentliche Meinung scheint ja gerade zu kippen, wenn man sich so die Mainstream-Presse ansieht.

Constanze Kurz: Auch die anderen Probleme mit den biometrischen Daten und der Vorratsdatenspeicherung beschäftigen uns. Natürlich. Der Bundestrojaner ist aber besonders widerwärtig als Überwachungsmaßnahme, da er heimlich ist und außerdem die intimsten Daten der Benutzer preisgibt.

siemensi: Wie sieht es beim E-Personalausweis beziehungsweise E-Pass aus. Gibt es eine Chance, dass die Funkchips da drin sicher sind?

Frank Rieger: Die Schnüffelchips da drin sind auch nur Computer wie alle anderen. Das heißt, sie werden Fehler haben und zu Problemen führen. Wie auch gestern in der Bundestagsanhörung zu hören war.

Adam: Wäre man vor dem Trojaner sicher, wenn man über einen ausländischen Provider ins Internet käme? Wie sollen denn die „deutschen" Benutzer gefunden werden?

Constanze Kurz: Das würde nicht helfen, nein.

Michael44: Funkchips dienen genauso wie Paybackkarten et cetera dazu, Verbraucher und Nutzer auszuspionieren.

Moderatorin: Gretchenfrage: Haben Chaos Computer Club-Mitglieder Kundenkarten?

Frank Rieger: Zu experimentellen Zwecken schon *hust*

Constanze Kurz: Wir stehen RFID [Radio Frequency Identification, eine Radiowellentechnologie zur automatischen Identifizierung und Lokalisierung, Anm. d. Red.] prinzipiell kritisch gegenüber.

Moderatorin: Warum?

Frank Rieger: In der Regel erfüllt RFID keinen sinnvollen Zweck, außer Probleme, die schon einmal gelöst wurden, noch mal mit Datenerhebung zu lösen.

Constanze Kurz: Die Chips sind klein und für den Träger oft kaum sichtbar. Dass man damit detektiert werden kann, wissen die meisten Menschen nicht. Daher haben sie ein hohes Überwachungspotential.

Spectator: Hilft es, den Pass in Aluminiumfolie einzuwickeln, solange man ihn nicht vorzeigen muss?

Frank Rieger: Vermutlich ja, aber es löst nicht das eigentliche Problem. Die biometrische Vollerfassung wird dadurch nicht verhindert.

Moderatorin: Das waren 60 Minuten tagesschau-Chat bei tagesschau.de und politik-digital.de. Vielen Dank Constanze Kurz und Frank Rieger, dass Sie sich Zeit genommen haben. Das Protokoll des Chats ist wie immer in Kürze zum Nachlesen auf den Seiten von tagesschau.de und politik-digital.de zu finden. Das Tagesschau-Chat-Team dankt allen Teilnehmern für Ihr Interesse und die zahlreichen Fragen und wünscht noch einen angenehmen Tag.

Constanze Kurz: Auf Wiedersehen.

Frank Rieger: Auf Wiedersehen.

Darstellung: