1. „Es gibt keinen Trojaner“

2. „Der Trojaner ist nicht von uns“

3. „Wir haben ihn nie benutzt“

4. „Wir haben ihn nur nett benutzt“

Kleine Faktensammlung für die Argumentation in Sachen Bundestrojaner
1. Was ist der Bundestrojaner?

• Schadprogramm
• Ausspähen intimster Daten
• Ausspähen des PCs
• Verändern der Inhalte des Computers
• Einfalltor für weitere Schadprogramme ("Tür offen lassen")

2. Was macht der Bundestrojaner?

• Bildschirmfotos
• Tonaufzeichnung (z.B. Skype)
• Weitere Schadsoftware nachladen
• Alle Funktionen beliebigen Angreifern zur Verfügung stellen, nicht nur den Staatsorganen

3. Was kann der Bundestrojaner?

• Funktionalität nachladen -> was er dann kann ist unklar
• Daten auf dem Rechner speichern -> (fingierte) Beweise können aufgespielt werden (seid ihr euch sicher? ich dachte das geht nur über den Umweg von nachgeladenen Modulen..)
• Exakt. Die "Basisversion" kann das laut CCC nicht.
• (Dritt-)Programme auf dem Rechner ausführen
• 3a. Was kann der Bundestrojaner, wenn man Module nachlädt? Alles, z.B.:
• Mitschneiden von Tastatureingaben
• Videoaufzeichnungen von Skype oder von der eingebauten Kamera unabhängig von Skype
• Beliebige Internet-Aktivitäten im "Namen" des Betroffenen, z.B. SPAM verschicken oder Fehlinformationen auf Facebook veröffentlichen.
• Alle Daten auf dem Computer löschen, oder Operationen ausführen mit dem Ziel den Computer selbst zu beschädigen (Computersabotage)
• Daten auf dem Computer ändern bzw. Dateien auf dem Computer abladen, mithin Beweise fingieren bzw. fälschen.
• Falls der Computer sich im inneren Netzwerk einer Firma oder Organisation befindet, andere Systeme innerhalb dieses Netzwerkes angreifen, welche sonst womöglich durch Firewall geschützt gewesen wären. Das muss das Modul auch nicht ganz von alleine können: Das nachgeladene Modul kann einem externen Angreifer einfach eine totale Fernsteuerungsmöglichkeit geben, wodurch er "von Hand" oder semi-automatisch von seinem Arbeitsplatz aus im Netz herumwühlen kann, wo der betroffene Rechner steht.
• Der Bundestrojaner könnte sogar das vom Benutzer initiierte Herunterfahren des Rechners aufhalten, weswegen der Benutzer sich nur noch durch gewaltsames Abschalten des Rechners schützen kann.

4. Warum ist der Bundestrojaner ein Problem?

• Verstoss gegen Verfassungsgerichtsurteil (http://www.hrr-strafrecht.de/hrr/bverfg/07/1-bvr-370-07.php )
• unsicher (schlecht bis gar nicht verschlüsselt, nimmt Befehle ohne Authentifizierung an)
• Beweise gelten vor Gericht nicht (Bayerntrojaner, Bildschirmfotos -> Fall Anfang des Jahres 2011?)
• Beweise gelten vor Gericht -- siehe http://www.faz.net/aktuell/feuilleton/ein-amtlicher-trojaner-anatomie-eines-digitalen-ungeziefers-11486473.html: "In Strafverfahren landauf, landab gab es in den letzten Monaten Hinweise auf den Einsatz von Trojanern zur Kommunikationsüberwachung: Wenn sich etwa Informationen in den Akten finden, die über das am Telefon Besprochene weit hinausgehen, oder Bildschirmfotos vom Rechner des Beschuldigten auftauchen, die unerklärlichen Ursprungs sind." (Hervorhebung von mir.) Das ist ein noch viel größeres Problem (in Deutschland gibt es kein Beweisverwertungsverbot, auch wenn Beweise rechtswidrig erhoben wurden. Das BVerfG hat Anfertigen von Screenshots explizit für die Online-TKÜ verboten. Im Zusammenhang mit der möglichen Beweisfälschung ist das sogar ein Riesenproblem -- jedem Überwachten kann alles untergeschoben werden.)
• Verstoss gegen Entscheidung LG Landshut
• http://ijure.org/wp/archives/476
• http://ijure.org/wp/wp-content/uploads/2011/01/LG_Landshut_4_Qs_346-101.pdf
• Staatstrojaner wird über Server in den USA gesteuert, alle Kommunikation läuft über USA (stimmt so auch nicht ganz, das war bei einem eingereichten Trojaner so, die anderen laufen über einen deutschen Server)

5. Wie kam der CCC an den Trojaner?

Von Betroffenen eingereicht. AngeklagterAnkläger in Landshut z.B.

6. Wo wurde der Trojaner schon eingesetzt?

• Bayern
• Niedersachsen
• Brandenburg
• Baden-Württemberg
• Rheinland-Pfalz
• NRW
• Zollkriminalamt (untersteht dem Bundesfinanzministerium)

7. Wer trägt dafür die politische Verantwortung?

1. Innen- und Justizminister
2. LKAs
3. Landgerichtspräsidenten und Generalstaatsanwälte waren auch eingeweiht

8. Wer hat den Trojaner entwickelt?
So wie es aussieht die Firma DigiTask. Laut Christopher Lauer haben die schon 13 Millionen Euro dafür bekommen. (http://www.christopherlauer.de/2011/10/11/zum-bundestrojaner-ein-rant/#more-726 )
Artikel von Sophos für das internationale Publikum:
http://nakedsecurity.sophos.com/2011/10/10/german-government-r2d2-trojan-faq/
(da kann einiges rausgeholt werden)
9. Umleitung der Daten über die USA

Gewöhnlicher Datenschutz ebenfalls nicht beachtet

10. Beweistauglichkeit in Frage gestellt

... und zwar nicht, weil Staatsorgane fingierte Beweise einspielen könnten – das geht natürlich, aber das würde ein Gericht nicht ohne klaren Indizien glauben – sondern, weil der Missbrauch ungeschützt ist, es somit Tausende kompetenter Personen gibt, die solche fingierten Beweise einspielen könnten, und die Staatsmacht gar nicht erkennen könnte, von wem irgendwelche Dateien auf dem Computer angelegt wurden.

11. Kosten
http://bit.ly/nYi3iw Suche nach digitask und TKÜ im EU-Amtsblatt
Die Anti-Terror-Lüge: http://gutjahr.biz/blog/2011/05/die-anti-terror-luege/ (von Gutjahr)

Die Zahl der von den Ermittlungsbehörden überwachten Personen bzw. Geräte hat sich in den letzten 10 Jahren fast verdreifacht

Die Überwachungsmaßnahmen kommen nicht etwa zur Terrorbekämpfung oder im Kampf gegen Kinderpornographie zum Einsatz – sondern überwiegend bei Drogenhandel, Raub und Diebstahl

... sogar bei der Suche nach Vermissten wird nachgeschlagen, wo das Handy zuletzt geortet wurde ...

12. Welche Straftaten sollten mit dem Einsatz des Trojaners aufgedeckt werden?
(-> Stichwort Verhältnismässigkeit)

• Diebstahl
• Handel mit gefälschten Produkten
• Handel mit BtM
• gewerbsmäßiger Betrug - "Internetbetrug"

Statements (Quellenangaben wären nicht schlecht, wenn von Personen im öffentlichen Leben geäußert))
"Der Staat verwendet Methoden, die Cyberkriminelle auch verwenden. Gleichzeitig sieht er sich im Recht und schafft es nicht die Software vor unrechtmäßigem Zugriff zu schützen."
(selber ausgedacht ;) )
"Die Landesbehörden geben insgesamt 13 Millionen Euro aus um eine handvoll PCs zu verwanzen? Entweder die können nicht haushalten oder es sind mehr als eine Handvoll...." (Frei nach Christopher Lauer)
"Das allgemeine Persönlichkeitsrecht (Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG) umfasst das Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme. (BVerfG)"
"Immer mehr Menschen werden nachweislich überwacht. Und das aus immer kleineren Anlässen heraus. Von wegen Anti-Terror Maßnahmen...."
"Selbst Peter Schaar befürchtet, dass Anti-Terror nur vorgeschoben wird."

Quelle: Piratenpad

--------------------

Meine als persönlich "lesens- oder hörenswert" eingestufte Quellen:

• Sein Einsatz wurde vorerst gestoppt: Staatstrojaner -> Dementis, Rätselraten und Nebelkerzen
• Erst mal als Audio zum Reinhören. Die Aussagen von Bundesinnen- und Bundesfinanzministerium am 12. Oktober vor der Hauptstadtpresse.
• Auch der deutsche Zoll verwendete bei seinen Ermittlungen Spähprogramme.
• In Alternativlos-Podcast Folge 19 sprechen Frank Rieger, Felix von Leitner und Constanze Kurz über den Staatstrojaner und plaudern etwas aus dem Nähkästchen. 0zapftis: Podcast
• Ah, der fliegende Bundestrojaner ! (Gigantischer-Datenstaubsauger-in-20-000-Meter-Hoehe)
• ähnliches Desaster (Handygate) -> spannender Video-Beitrag (Grüne Politiker zur Handygate Überwachung)
• Blog Beitrag von Christopher Lauer: Zum Bundestrojaner, ein Rant
• Deutschland verbreitet Computerviren — Schmeißt die Staatshacker raus!
• Herr Uhl, der Trojaner und Post Privacy!
• "Bayerntrojaner" auch in Baden-Württemberg und Brandenburg
• Funk- und Fernsprechüberwachungssystem
• „Das geht an das Vertrauen der Bürger in staatliches Handeln“
• BKA fahndet bei Landesbehörden nach Staatstrojaner
• Wie inkompetente Behörden das Trojaner-Desaster begünstigen
• “nur soweit es die gesetzlichen Vorgaben erlauben”
• #0zapftis - Offener Brief zur Aufklärung des Sachverhalts
• Staatstrojanische Straftaten? Merkwürdiges rund ums Recht
• Bundestrojaner zum Download (Satire)
• Orginal Bericht vom CCC: Chaos Computer Club analysiert Staatstrojaner (08.10.2011)

-------------------

zur Geschichte:

Ende 2006:

Bundestrojaner - der chronologisch erste Artikel zu diesem Thema. Er schließt mit 'Auf dem nächsten CCC wird das sicherlich dokumentiert'.

Der Bundestrojaner durchdekliniert - ein Grundlagenartikel, der die notwendigen Anforderungen bei der Beweissicherung (gemäß den Richtlinien zur erfolgreichen Sicherung von EDV-Beweismitteln) der Funktionsweise des Bundestrojaners entgegenstellt und zeigt, daß das Konzept eines 'Trojaners' zur Sammlung gerichtsverwertbarer Beweise prinzipbedingt nicht umsetzbar ist.

Der Artikel hat ein ziemliches Echo erzeugt, und eine Reihe von Folgeartikeln hier im Blog generiert.

Anfang 2007:

Das generelle Mißverständnis beim Bundestrojaner - insbesondere gab es damals auch eine große Menge Medienanfragen, die mehr Material und Soundbites haben wollten. Nachdem sich die Politik beratungsresistent zeigte, schloß ich den Wortwechsel mit einem Kontakt mit den Worten: "Das ist ein Terror-Thema. Das bedeutet, man muss diese Leute erst mal machen und sie auf das Maul fallen lassen. Weil aus deren Sicht ist das alles engineered, beherrschbar und ein Fortschritt. So wie bei den Wahlmaschinen. Oder bei Atomkraftwerken. :) Da muss immer erst eines explodieren." Oh, ja.

Bundestrojaner, Sina-Boxen und Mailüberwachung - damals gab es in der Diskussion eine Verwirrung um den Aufgabenbereich und die Funktionsweise der SINA-Boxen, die bei vielen Providern installiert werden mußten. Der Artikel stellt das klar, und macht transparent, wie das Abhören von Mailboxen technisch vereinheitlicht und gesichert worden ist. Das SINA-Zeugs ist von der Spezifikation und der Umsetzung projekttechnisch in etwa das Gegenteil von der aktuellen Umsetzung des Bundestrojaners.

Man beachte auch den Kommentar hier: "Leider kann ich diese Aussagen aus verständlichen Gründen weder statistisch belegen noch Quellen dafür angeben." "Und das, glaube ich, ist derzeit der zentrale Bug an der Sache. Es würde der öffentlichen Diskussion hier sehr gut tun, wenn sie mit ein wenig mehr Fakten und Offenheit geführt würde - ein anständiger Staat hat schließlich nichts zu verstecken und braucht auch nichts zu befürchten." Das beleuchtet einen der zentralen Fehler in der ganzen Bundestrojaner-Geschichte.

Erst mal die Verfassung brechen... - Ausschnitte aus einem Interview mit Thomas de Maizière gegenüber Deutschlandradio. Money Quote: "Das muss man probieren, wie weit man gehen kann. Und dann ist jeder eingeladen, eine Verfassungsbeschwerde einzulegen, und dann wird Karlsruhe darüber zu entscheiden haben." Das hat Karlsruhe dann getan, und die Politik und die Exekutive haben das gemeinschaftlich ignoriert.

Bundestrojaner im Handelsblatt - Das Handelsblatt interviewt Thomas Michael Menk, Leiter Konzernsicherheit Daimler-Chrysler, vormals im Bundesministerium des Innern und im Bundesamt für Verfassungsschutz tätig. Die Soundbites sind entsprechend, aber seine Minimalanforderung "Es müssen jedoch zielgerichtete Eingriffe gegen potenzielle terroristische Straftäter sein, bei denen die rechtsstaatlichen Grenzen genau definiert sind" hat man dann doch noch leicht unterschreiten können.

Unfälle mit dem Bundestrojaner - Verweis auf einen Bericht des Deutschlandfunk, der dokumentiert, daß behördlichem Blödsinn beim Umgang mit Überwachungssoftware keine Grenzen gesetzt sind. "In einem Fall ist der Schädling nach etwa zwei Wochen bemerkt worden, weil er im Ernst versucht hat, 120GB hochzuschießen, im zweiten Fall ist der Schädling sofort bemerkt worden und durch ein Programm ersetzt worden, das statt Daten blöden Scheiß geuppt hat."

Mitte bis Ende 2007:

Mehr Online-Durchsuchungs-Nebelkerzen - "Mal sehen, ob ich das richtig geparsed bekomme, was Ziercke da erzählt: Er möchte in einer missionskritischen Anwendung in einer Gefahrensituation unter Zeitdruck eine ungetestete Software in einer Situation einsetzen, in der er das Zielsystem nicht vollständig kontrollieren kann." Nein, am Ende hat man nicht Encase eingekauft, sondern was eigenes zusammengestümpert. Und dabei nicht die Ressourcen des Bundes genutzt (weil die sich geweigert haben, so was zu machen - das sollte einem zu denken geben), sondern vorbestrafte Amateure in der Privatwirtschaft zeugst schreiben lassen, den man dann von inkompetenten Nichtprogrammierern nicht hat reviewen lassen.

Bundestrojaner in den Tagesthemen - Tagesthemen-Bericht über den Prozeß zum Thema Bundestrojaner vor dem Bundesverfassungsgericht, Auftritt des CCC.

Anfang 2008:

Warum Hacker sich als Bürgerrechtler verstehen - die Rolle und Mission des CCC.

Anfang 2009:

Mehr Bundestrojaner - mehr Nebelkerzen von Ziercke, BKA.

Mitte 2009:

gulli: Bundestrojaner: ein Programmierer erzählt - der Artikel bei Gulli ist leider nicht mehr verfügbar. Es handelte sich um ein Interview mit einem Mitarbeiter der Schweizer ERA IT Solutions, der an den Projekten Mini- und Megapanzer mitgearbeitet hatte (der Source ist hier)

Anfang 2010:

Grundrechtsfusion und ein Grundrecht auf Netzneutralität - ein weiterer Artikel von mir, der recht weite Kreise gezogen hat. "Wir haben nun einen offenen gesellschaftlichen Konflikt um die Ausübung unserer Meinungs- und Informationsfreiheit im Internet. Der Konflikt ergibt sich aus dem Wegfall von Mittlern bei der Produktion, Verbreitung und Vernetzung von Personen und Dokumenten. Denn bisher hat jede Form von gesellschaftlier Regulierung von Diskursen und Kommunikation immer an den Mittlern statt an den Sendern und Empfängern angesetzt."

Das ist genau der Kernpunkt der Diskussion um den Staatstrojaner, die wir hier erleben. Der Staat, seiner regulativen Mittel auf dem Weg zwischen Sender und Empfänger verlustig gehend, versucht nun, beim Sender- und Empfängersystem direkt anzusetzen. Dagegen ist zunächst einmal nichts zu sagen - der Ansatz ist notwendigerweise der einzige, der in irgendeiner Weise Erfolg versprechend ist. Aber nicht nur wird er technisch stümperhaft ausgeführt, sondern er erfolgt auch ohne eine offene und transparente gesellschaftliche Diskussion mit einer einhergehenden Rechtsdefinition und -findung.

Der Staat, der so vorgeht, greift die Grundlage seiner Existenz und Legitimation an. Er zerstört sich selber.