Skip to content

Unheilige Allianz

20. Juli 2007

Auf kommerzielle Schutz-Software für den heimischen Rechner ist offenbar kein Verlass, wenn es gegen den Bundestrojaner geht. Das zumindest legt ein Bericht der IT-News-Seite Golem nahe, der unter dem Titel „Staatliche PC-Durchsuchung: Sicherheitsfirmen wären dabei“ berichtet: Namhafte Anbieter von Anti-Spyware würden staatlichen Ermittlungsbehörden bei der Durchsuchung von Computern helfen, würden sie dazu aufgefordert. Die IT-Sicherheitsfirmen würden ihre Produkte so verändern, dass vom Staat ausgeschickte Spionage-Software nicht mehr erkannt wird, wie eine Umfrage ergab. Während sich diese Umfrage auf Geschehnisse in den USA bezieht, erscheint es sehr wahrscheinlich, dass es in Deutschland nicht anders aussieht, wenn unser datenversessener terrorängstlicher Innenminister seinen Bundestrojaner auspackt.

Golem beruft sich dabei auf eine Umfrage des in den USA erscheinenden Computermagazins CNet.com, in der viele namhafte Hersteller von IT-Security-Software angaben, staatliche Stellen beim ausspionieren privater Rechner unterstützen zu wollen, sollten diese mit einer entsprechenden Anfrage auf sie zukommen und dafür zu sorgen, dass Anwender der Schutzsoftware entsprechende Angriffe nicht bemerken würden.

Vertrauen erweckend, oder? Offenbar reicht ein Appell an den Patriotismus und die Ablehnung krimineller Aktivitäten, um führende Security-Firmen ihre Verpflichtung gegenüber ihren Kunden vergessen zu lassen. Ein herber Schlag für alle diejenigen Verfechter des „technischen Datenschutzes“, die mit Argumenten wie „die Heuristik würde auch den Bundestrojaner erkennen“ oder „die Firmen hätten gar keinen Grund, bei so etwas mitzumachen, das kann daher überhaupt nicht funktionieren“ die Meinung vertraten, dass kommerzielle Software den Bundestrojaner effektiv aussperren könnte. Es wäre schön, wenn es so einfach wäre. Offenbar aber will angesichts der immer wieder herbeigeredeten terroristischen Bedrohungslage kaum eine Firma riskieren, als unpatriotisch dazustehen; oder aber man hat Angst, die Mitschuld an Terroranschlägen zugeschoben zu bekommen, was Datenschützern und den Verfechtern bürgerlicher Freiheiten ja auch schnell mal passiert. Es wäre sogar möglich, dass die US-Regierung noch andere Argumente hatte, die Firmen von einer „freiwilligen“ Kooperation zu überzeugen- wer weiß schon, was hinter den Kulissen gespielt wurde? Es ist ja mittlerweile „common knowledge“, dass US-Geheimdienste und Regierungsbehörden auch ganz gerne einmal in wirtschaftliche Vorgänge eingreifen…

Mit welchen Mitteln auch immer, man hat die Kooperation der Firmen offenbar in den meisten Fällen erreicht. Wie lange das schon so geht, ist unklar: In der Befragung verweigerten Microsoft und McAfee einen Kommentar dazu, ob Regierungsstellen bereits mit einer solchen Aufforderung an die Firmen herangetreten sind. Die Mehrzahl der befragten Unternehmen verneinten dies. An der Umfrage nahmen unter anderem Symantec, Trend Micro, Sophos, Kaspersky, IBM, Computer Associates (CA), Websense, Check Point und eEye teil.

Große Namen also- Namen, bei denen sich viele Menschen bisher sicher fühlten. Das stellt sich nun offenbar als zu optimistisch heraus- ich jedenfalls werde meine Kaspersky Security Suite von heute an mit anderen Augen betrachten. Vor Wald- und Wiesen-Malware mag die Software effektiv schützen, aber sobald der Eindringling das Logo der US-Regierung trägt, winkt ihn der virtuelle Türsteher offenbar mit einem freundlichen Lächeln einfach durch und tut hinterher beim Besitzer auch noch so, als wäre nichts gewesen.

Im Real Life würde man einen solchen Mitarbeiter feuern und sich jemand zuverlässigeres suchen- und genau das dürfte auch in der digitalen Welt auf Dauer die beste Lösung sein. Wenn irgend etwas gegen diese Misere hilft, ist es auf technischer Ebene die konsequente Verwendung von Open Source Software- hier dürfte es nämlich ziemlich schnell auffallen, wenn jemand in den Quellcode mal schnell ein „strcmp Bundestrojaner“ oder etwas ähnliches einzubauen versucht. Dann hilft entweder das eliminieren des betreffenden Quellcodes durch die Entwickler oder dem Anwender der Hex-Editor- jedenfalls sind dies völlig andere Bedingungen, als wenn man bei Closed Source quasi die Katze im Sack kauft- anschließender Kater inbegriffen (womit dieses Blog auch einmal ein bisschen Cat Content hätte…). Abgesehen vom praktischen Aspekt, Schutz zu gewähren, verdienen Firmen, die derart mit dem Vertrauen unserer Kunden umgehen, schlicht unser Geld nicht. Ganz egal wer uns zu hacken und auszuspionieren versucht, von einer Schutz-Software verlange ich, dass sie ihrem Namen Ehre macht und bestmöglich gegen solche Versuche schützt. Alles andere grenzt an Betrug. Wenigstens sollte man verpflichtend machen, wie auf Zigarettenschachteln auf kommerzielle Security-Software einen Warnhinweis aufzudrucken: „Der EU-Datenschutzbeauftragte warnt: Die Verwendung dieser Software gefährdet Ihre Privatsphäre“.

Der Stein der Weisen ist allerdings, auch wenn es die Vertreter freier Software schmerzt, auch der Umstieg auf freie Software in diesem Fall nicht. Sicher bieten sowohl unkompromittierte Virenscanner und Firewalls als auch ein Linux oder Unix als OS einen besseren Schutz als die beliebte „XP & integrierte Firewall & Norton“-Kombi, aber mit genug Aufwand ist selbst das zu umgehen. Langfristige Möglichkeiten haben daher politisch zu sein, nicht technisch. Technische Mittel sind allenfalls Schadensbegrenzung. So wichtig diese auch ist, gewinnen kann man auf diesen Schlachtfeld nicht, egal wie gut man ist. Wirklich etwas bewegen kann man nur im Real Life und in der Gesellschaft. Auf die Technik, das hat man wieder einmal klar gesehen, ist in dieser Hinsicht kein Verlass. Wer den in die Landesflagge eingewickelten Trojaner unentdeckt durch die eigene Firewall lässt, vertreibt wahrscheinlich auch manipulierte Patches oder hilft anderweitig bei der Komprommittierung von privaten PCs. Folge wird höchstens ein Wettrüsten, bei dem weniger versierte PC-Nutzer (meinetwegen auch die eben erwähnten Norton-Noobs) schon bei der ersten Runde auf der Strecke bleiben. Und sollen diese Leute etwa nicht das Recht haben, dass ihre privaten Daten auch privat bleiben, nur weil sie nicht Informatik studieren oder in ihrer Freizeit Linux-Server betreuen? So würde der Cyberspace zur Zwei-Klassen-Gesellschaft, in dem sich höchstens noch die technisch versiertesten Privatsphäre leisten könnten- und selbst diese könnten nicht völlig sicher sein, dass sie auch Erfolg haben.

Soweit darf es gar nicht erst kommen. Deshalb kann der technische Datenschutz immer nur Mittel zum Zweck sein. Technischer Datenschutz bedeutet Defensive, bedeutet, sich gegen bereits erfolgende Angriffe zu verteidigen. Wieso aber sollte jemand überhaupt das Recht haben, uns anzugreifen?

Advertisements
2 Kommentare leave one →
  1. 22. Juli 2007 1:55 am

    Kleiner Hinweis: Golem.de hat seinen Bericht korrigiert „Sicherheitsfirmen nicht dabei“. Es hätte mich auch sehr gewundert, welchen Sinn hätte eine Firewall wohl, wenn er einige Trojaner wissentlich durchlassen würde? Außerdem wären die Kunden und somit auch der Umsatz weg, wenn das raus käme.

    Ich glaube aber, dass wir weniger vor einem Bundestrojaner Angst haben müssen, viel schlimmer wird es sein, wenn ein Bundestrojaner modifiziert wird. Was passiert dann? Wer kommt für die wirtschaftlichen und privaten Schäden auf?

    Falls es zu Online-Durchsuchungen kommt und davon bin ich mittlerweile überzeugt, wird es auch einen Trojaner geben. Ich kann mir aber nicht vorstellen, dass der Bundestrojaner so ausgereift sein wird, dass er nicht entdeckt werden kann.

  2. freiheitblog permalink*
    27. August 2007 1:47 pm

    Danke für den Hinweis und sorry, dass ich aufgrund meiner Abwesenheit erst jetzt ausführlich antworte. Naja, vom marktwirtschaftlichen Standpunkt aus macht es für die Firmen Sinn, sich von so etwas zu distanzieren. Was im Einzelfall „hinter den Kulissen“ abläuft, kann man aber leider nicht wissen.
    Klar, eine Manipulation/Missbrauch des Bundestrojaners ist sicher ein erhebliches Risiko, ebenso wie die Möglichkeit, dass versehentlich Sicherheitsrisiken entstehen, wenn z.B. ein Programmierfehler vorliegt.
    Früher oder später wird wahrscheinlich auch der Bundestrojaner entdeckt, die Frage ist nur, was dann passiert und wieviel Schaden bis dahin schon angerichtet ist…

Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s

%d Bloggern gefällt das: