Blauäugiges Sicherheitsempfinden beim Bundestrojaner

Via diesem Beitrag im lawblog bin ich auf einen SPON-Artikel aufmerksam geworden, der den - provokanten - Untertitel “Angriff auf die Ahnungslosen” trägt. Es geht, wie sollte es dieser Tage anders sein, um die Online-Durchsuchung. Grob und ungenau zusammengefasst sagt der Spiegel Online-Artikel aus, daß staatliche “Hacker” sowieso nur bei solchen Computernutzern Erfolg haben werden, die sich nicht allzu sehr mit dem Thema Sicherheit auseinandersetzen. Damit liegt er recht nahe an diesem Heise Online-Artikel, bei welchem wir nach einer Betrachtung der technischen Optionen, in fremde Rechner einzudringen, lesen können:

Und um Missverständnissen vorzubeugen: Selbstverständlich kann man sich gegen all die hier geschilderten Einbruchsversuche schützen.

Also alles halb so wild? Ich sehe vor meinem geistigen Auge eine ganze Reihe Nutzer erleichtert aufatmen: Die Windows-Benutzer mit (Personal) Firewall, Virenscanner, Router, automatischen Sicherheits-Updates, die ihre Browser- bzw. eMail-Alternativen zum Internet Explorer bzw. Outlook (Express) in einer Sandbox laufen lassen und grundsätzlich keine Anhänge oder Downloads ohne digitale Signaturen ausführen. Und recht sicher dürften sich wohl auch die Benuzter der diversen, frei verfügbaren Unix-Derivate fühlen, mit stark verschlüsselten Festplatten, selbstangepassten Linux-Distributionen auf ihren Routern, bei denen der Browser, (Para)Virtualisierung sei Dank, in einem anderen System läuft als das Mailprogramm, bei denen Software-Updates schon seit langem nur noch mit kryptographischen Signaturen ausgeführt werden und die sowieso keine so stark ausgeprägt Software-Monokultur pflegen wie “normale” Benutzer. (Disclaimer: Weder will noch werde ich hier Sicherheitskonzepte diskutieren. Die obigen Ausführungen sind exemplarisch zu sehen und keine Empfehlung meinerseits.) Und betrachtet man das ganze lange genug, so fällt einem für jeden Angriffsvektor, jedes Verbot von Sicherheitssoftware und jede Verschwörungstheorie eine Abwehrmöglichkeit ein. Klar, die meisten davon dürften unbequem sein, aber ein wenig plagen muß man sich halt, ist einem die Privatsphäre wichtig.

Ich frage mich gerade, ob System dahinter steckt, wie blauäugig hier etablierte Medien Beschwichtigungsversuche betreiben. Das Wort “Online-Durchsuchung” mag ja suggerieren, daß der Rechner für die Durchsuchung “online” sein muß, aber nirgendwo ist die Rede davon, daß die Kompromittierung desselben auch “online” stattfindet. Man gestatte mir, kurz auszuholen: Als Jugendlicher habe ich gerne Bücher von Tom Clancy gelesen. In einem davon, Befehl von oben, beschreibt er, wie ein Team des amerikanischen Secret Service die Wohnung eines Agenten durchsucht, der des Verrats verdächtigt wird. Dabei legt er großen Wert darauf zu schildern, daß die Mitglieder dieses Teams besonders darin geschult sind, Maßnahmen zu umgehen, mit denen der Verdächtige erkennt, ob jemand in seiner Abwesenheit die Wohnung betreten hat - und damit meint er nicht nur Alarmanlagen (Yps-Leser unter uns? Haar an die Tür kleben und nachgucken, ob es, wenn man nach Hause kommt, noch da ist!). Nun ist Tom Clancy, trotz oder gerade wegen seines Rufs, bestimmt nicht die ultimative Quelle, wenn es um die Fähigkeiten von Mitarbeitern der Sicherheitsbehörden geht. Aber mal ehrlich: In eine Wohnung unbemerkt einzudringen, das traue ich den deutschen Sicherheitskräften auf jeden Fall zu. Zugriff auf die Hardware zu haben ist jedoch den meisten Sicherheitskonzepten nicht zuträglich: Schon im Jahr 2000 hat mir ein Kollege - aus Spaß - mal einen Hardware-Keylogger verpasst - das war damals ein ganz normales, kommerziell erhältliches Gerät. Und ein Nationalstaat kann ganz bestimmt Abhörgeräte entwickeln (lassen), die noch viel weiter fortgeschritten sind. Damit fallen dann die Passphrasen für die verschlüsselte Platte und die PGP/GPG- und SSH-Schlüssel natürlich ebenso wie die Paßwörter für das eigene System, Mailserver etc. (egal, ob diese in .de stehen oder in Timbuktu). Ich bin weder in Elektrotechnik noch in Elektronik genügend bewandert, um ab hier weiter mitreden zu können, aber wenn mir jemand erzählt, daß man auch andere Dinge als die Tastatur überwachen kann, dann würde ich ihm das spontan glauben.

Zugegeben: So eine Maßnahme ist deutlich teurer als das, worüber der Spiegel & Co. berichten, wird also wohl nur eingesetzt werden, wenn man - auch unschuldig - als konkret verdächtig geführt wird. Trotzdem sollte sich jeder der “nicht Ahnungslosen” diese Möglichkeit einmal genau durch den Kopf gehen lassen und seinen Umgang mit persönlichen Daten evt. daran orientieren. Im Zweifelsfall wird man nämlich nicht umhin kommen, die eigenen Ressourcen mit denen eines Nationalstaats zu messen. Für ein flauschiges, rosa Sicherheitsgefühl gibt es da keinen Platz.