Erstellt am: 10. 10. 2011 - 16:38 Uhr
Polizeitrojaner kommt auch in Österreich
Der Polizeitrojaner
"Anders als in Deutschland besteht in Österreich keine gesetzliche Grundlage für Online-Durchsuchungen" sagte Karl-Heinz Grundböck, Sprecher des Innenministeriums zu ORF.at: "Wir machen, was erlaubt ist und nicht was technisch möglich ist. Ich kann dezidiert ausschließen, dass eine derartige Software derzeit bei Österreichs Polizei eingesetzt wird."
Wohl gebe es zwischen Innen- und Justizministerium darüber seit 2008 Diskussionen, so Grundböck weiter, denn eine solche Maßnahme müsse schließlich in der Strafprozessordnung verankert sein.
Aktuell dazu
Die deutsche Bundeskanzlerin Angela Merkel hat sich in die Trojaner-Affäre eingeschaltet, bei der immer stärker die Landesbehörden ins Visier geraten, und dringt auf rasche Klarheit.
Beschluss und Abwägung
Man sei noch in der "Abwägung von Grundrechtsschutz und polizeilicher Aufgabenstellung", ein Ergebnis liege noch nicht vor.
Aus dem Justizministerium kam auf Anfrage von ORF.at die Bestätigung, dass es bis dato keine Regelung zur sogenannten "Online-Durchsuchung" gebe. Sehr wohl sei dies aber im Regierungsprogramm für diese Legislaturperiode vorgesehen.
"Prä-Enigma"
Auf die Qualität der vom CCC veröffentlichten Software angesprochen, antwortete der österreichische Sicherheitsexperte Rene Pfeiffer mit dem lapidaren Satz: "Die Programmierer dürften damit eigentlich keinen Hochschulabschluss bekommen." Die Grundlagen der modernen Kryptografie seien im Design überhaupt nicht berücksichtigt worden.
Mit "modern" meint Pfeiffer "ab 1940". Denn "das selbstgebaute Protokoll des Trojaners verwendet keine Sitzungsschlüssel, wie es schon die Engima-Kommunikation im 2. Weltkrieg gemacht hat, sondern gleich den hartkodierten Generalschlüssel für alles."
Eine Gruppe von Sicherheitsexperten rund um Rene Pfeiffer veranstaltet die jährliche DeepSec, eine mittlerweile international renommierte Security-Konferenz. Die DeepSec 2011 steigt von 15. bis 18. November in Wien.
Und dann zählte Pfeifer die wichtigsten Designfehler des "Staatstrojaners auf:
Register der Designsünden
"Verschlüsselt wird nur vom Trojaner zum Kontrollserver. Alle Daten und Kommandos vom Kontrollserver an den Trojaner sind nicht verschlüsselt und können von einem Angreifer abgefangen, modifiziert und beliebig wiederholt werden."
"Der Trojaner verwendet nur Verschlüsselung, keine Authentifizierung. Wer Kenntnis des hartkodierten Generalschlüssels und Zugriff auf den unverschlüsselten Kanal vom Kontrollserver zum Trojaner hat, kann beliebig Daten und Kommandos verändern und fälschen. Normalerweise bauen kryptografische Protokolle Vorkehrungen ein, damit alte abgefangene Transmission nicht wiederverwendet werden können und die Herkunft der Daten nachprüfbar bleibt. All dies wurde nicht gemacht."
"Zeigen, wie es nicht geht"
"Das Protokoll und die Kommandos werden durch simple Zeichenketten gekennzeichnet. Dadurch lässt sich de facto ohne Aufwand ein Filter konfigurieren, der den Trojaner aufspürt und blockt."
Auf die Frage um ein abschließende Einschätzung zum Status und Verwendungszweck zeigte sich Pfeiffer etwas ratlos. Für eine Beurteilung sei ausschlaggebend, den Verwendungszweck des Codes zu kennen: "Vielleicht war auch nur gedacht zu zeigen, wie man es nicht machen soll."
"Nach intensiven Protesten durch verärgerte Apple-Nutzer ist der Bundestrojaner ab demnächst endlich auch für Mac-Computer verfügbar" so beginnt der Blogbeitrag von Sascha Lobo
Wer nicht antwortet
Mittlerweile hat sich auch schon die Spaß- und Satirefraktion zu Wort gemeldet. Den absolut witzigsten Beitrag dazu Blogger Sascha Lobo ins Netz gestellt.
Nicht zu erreichen ist hingegen die Firma DigiTask. Auf der im Impressum angegebenen Telefonnummer wird nicht abgehoben, ebenso blieben zwei schriftliche Anfragen bisher unbeantwortet.
Anmerkung
Zweckdienliche Hinweise können nicht nur im Klartext über "Mail an den Autor" oder bei tante.jutta [at] orf.at eingeworfen werden. Verschlüsselte Kommunikation ist hier möglich.