 Okay, ich möchte euch jetzt alle herzlich begrüßen und ganz besonders hier unsere Speaker Konstanze Kurz, OZAPF-THS, Frank Rieger und Ulf Burmaier und Sie erzählen uns was über den Staatszoojana. Ist das Mikro an? Ja. Also wir bedanken uns sehr für das große Interesse und wollen in einem Schnelldurchlauf von nur zwei Stunden die Sache mit dem Staatszoojana nochmal aufarbeiten. Also das eine ist was wir eine kurze Einleitung geben über die Vorgeschichte. Wir bemühen uns die knapp zu halten. Ich denke die meisten werden einige dieser Schritte schon kennen, aber wir wollen sie nochmal zusammenfassen. Dann werden wir namentlich unser Top-Jurist Ulf Burmaier nochmal eine juristische Einordnung geben und wir werden nochmal kurz über das Urteil reden. Dann kommt der erste technische Teil, da ist die erste Version die wir analysiert und dann veröffentlicht haben und wir werden nochmal die Details darin ansprechen. Und in dem zweiten Schritt dann auf die zweite Veröffentlichung des Staatszoojanas eingehen, die neueren Datums ist und werden natürlich am Ende zu einer Bewertung kommen und zu einem Forderungskatalog, den wir in langen harten Kämpfen bearbeitet haben. Wir haben, glaube ich, mit dem Staatszoojana eine Debatte ausgelöst, die wir natürlich auch wollten, aber von der wir finden, dass sie jetzt noch nicht zum Ende kommen sollte, weil die Lösung die bisher, also quasi Direktion, die erfolgt ist, noch nicht ausreichend ist aus unserer Sicht. Und auch deshalb wollen wir natürlich nochmal auf die Details eingehen und versuchen, über zukünftige Trojaner oder eben nicht zukünftige Trojaner zu sprechen. Okay, Männer, ihr dürft auch was sagen. Also es gibt gewisse Vorgeschichte, die beginnt nicht erst mit dem Urteil des Bundesverpassungsgerichts, sondern die beginnt eigentlich schon früher als der Bundesgerichtshof den Beschluss faste, dass die per Erlass erlaubte Trojanisierung von Rechnern rechtswidrig sei. Das hat keine Rechtsgrundlage gäbe. Und dann hatten wir das erste Gesetz, die meisten werden sich erinnern. Der Verfassungsschutzgesetz Nordrhein-Westfalen und für den CCC auch wichtige Datum, da wir erstmals auch eine Stellungnahme abgeben durften. Und dieses Verfassungsschutzgesetz wurde in Karlsruhe angegriffen und zwar erfolgreich. Denn darin war der Trojaner erlaubt, aber das Gericht hat den später für Verfassungswidrig erklärt. Das sozusagen die Vorgeschichte und schon die erste große Diskussion, die mindestens, glaube ich, so lange geführt wurde, wie um den Staatstrojaner. Also darf man das, soll man das, welche technischen Grundlagen sollte man da eigentlich, sollte man da verwenden, wer soll das dürfen und unter welchen Schranken. Kriegen wir ihn weiter? Ja? Ich wollte das nicht bedienen. Muss ich das selbst bedienen? Okay. Das Verkehr drum geklickt. Wusch! Es gab eine interessante Anhörung zu den Beschwerdeverfahren gegen die Online-Durchsuchung, wo vor allen Dingen Prof. Heckmann, der der Vertreter der Landesregierung war, für wirklich viel Heiterkeit sorgte. Und wir haben hier so ein Zitat, das sich vielleicht noch einige erinnern aus der Anhörung. Denn Prof. Heckmann als Vertreter der Landesregierung sagte, es geht ja hier gar nicht um das Auslesen des gesamten Festplatten-Inhalts, worauf der Verfassungsgerichtspräsident, der damals ja noch im Amt war, Hans-Jürgen Papier dann so seine Augenbaue hochzug und meinte, ob wir dann tatsächlich vom gleichen Gesetz reden würden. Also zwar so ein bisschen Erheiterung im Publikum damals, also für uns eigentlich eine relativ neue Erfahrung. Also es war so eine mit der heitesten Anhörung in Karlsruhe. Wir haben ja nun einige uns angeguckt. Aber die war definitiv mit dem höchsten Schowwert vor allen Dingen, weil der Heckmann da halt so der Massen gelust hat und eine Klatsche nach der anderen vom Gericht einfängt. Dass man sich denn schon fragte, warum denn ausgerechnet die Regierung diesen Mann als ihren Prozessvertreter da bestellt hat. Und insbesondere halt die Augenbrauenbewegung des Vorsitzenden waren doch sehr erheiternt. Ja, das war in der Tat großes Kino, muss man wirklich sagen. Also Prof. Heckmann hat immerhin ein Lehrstuhl für Internetrecht. An der Uni Passau, das muss man sagen. Und sein Twitternix, irgendwie der Elor Prof, wenn man nicht alles täuscht. Also er hat schon so diesen Claim, ich bin Mr. IT im deutschen Staatsrecht. Und man muss allerdings zur Fairness dazu sagen, dass das natürlich auch ein Himmelfahrtskommando war. Also im Grunde war schon vor dieser Anhörung in Karlsruhe jedenfalls so den juristischen Insider und klar, dass das Gesetz gekippt werden würde. Die Frage war eigentlich vor allem, mit welcher Begründung. Also es gab bei dem Gesetz auch eine ganze Reihe von formellen Fehlern und wenn man also ein Gesetz erlässt, das Grundrechte einschränkt, dann muss man so bestimmte formale Anforderungen schon erfüllen. Und schon daran hat es gescheitert. Also Karlsruhe hätte im Grunde auf fünf Seiten das Gesetz abschießen können. Das haben sie aber nicht getan, sondern ganz im Gegenteil wahrscheinlich. Gerade auch wegen dieser sehr, sehr deutlichen Anhörung haben sie dann eine, wie ich finde, sehr, sehr spannende Entscheidung gefällt. Aber wir haben zunächst mal noch so eine kleine Folie, die was zu den Stellungnahmen sagt. Da auch jemand vom Club da, Andreas Bruck hat ... Im Konformantenanzug, total sächsisch. Andreas dort Org hat also wirklich da wunderschön eine Stellungnahme abgegeben und Andreas Pfitzmann, der viel zu früh verstorbene Informatiker aus Dresden, hat auch noch mehr sehr plastisch gemacht, dass man sich Computer eben nicht nur aus große graue Boxen vorstellen darf, sondern dass die IT natürlich längst weitergeht. Er hat dann Zukunftsvisionen so ein bisschen an die Wand gemalt von implantierbarer IT, von implantierbaren Rechnersystemen, die dann eben unter der Haut sitzen und dann quasi wirklich zur zweiten Persönlichkeit werden. Also, man muss dazusagen, das Gericht sind ja nun alles, also im Schnitt etwas ältere Herrschaften. Und in dem Umblick, wo der Prof. Pfitzmann Hörgerät sagte, wussten alle Richter, wovon er spricht. Also die Stellungnahmen unterscheiden sich von der Anhörung natürlich in gewisser Weise. Die Stellungnahmen sind in der Regel ja schon sehr differenziert. Aber in der Anhörung selbst wird natürlich nochmal nachgefragt. Da ja die Gutachter hier bei der Onlinurchsuchung alle technische oder zumindest technische Statements im weitesten Sinne abgegeben haben, bis auf eine Ausnahme, war es so, dass einfach die Richter viel nachgefragt haben. Und vollkommen klar war, dass sie die Inhalte der Stellungnahmen vollumfänglich durchdrogen hatten und auch technisch um den sehr hohen Niveau debattiert haben. Und entsprechend waren wir eigentlich anders als bei anderen Anhörungen in Karlsruhe sehr gespannt auf das Urteil. Also wir haben alle, nach der Anhörung gesagt, naja, das wird nix mit diesem Gesetz. Aber trotzdem war natürlich spannend, was im Urteil eigentlich stehen wird. Strategisch war das natürlich auch für die, sagen wir mal, eher konservativen Richter in Vergleichsweise einfach hier die Hand zu heben für ein deutliches Urteil. Und zwar einfach, weil das Ergebnis klar war. Also es war im Grunde von vornherein klar, dass man dieses Gesetz nicht wiederhalten können. Insofern war das jetzt nicht mehr der Punkt, wo man so lange nachdenken musste. Da konnten sie dann eben auch mal eine Entscheidung zustimmen, die sehr, sehr deutliche Worte findet. Und was ich aber sehr schön fand, also einer der Gedanken, der aus der Anhörung stammte, ist diese Geschichte vom Fuß in der Tür. Das ist also im Grunde nur eine Form von Online-Durchsuchung gibt. Das ist also alles Gerede von allen möglichen verschiedenen Formen. Und wir schauen nun mal hier und nun mal da und wir beschränken doch diese Maßnahmen und so. Dass das im Grunde alles kosmetik ist. Und das ist einer der Gedanken, der, denke ich mal, auch bei den Richtern vernünftig angekommen ist. Da ist der Fuß in der Tür und wenn man einmal drin ist im Rechner, dann hat man eben die Kontrolle. Und da sollte man sich eben auch von schönen Worten, von manchen Interessenträgern eben nicht blinden lassen. Letztlich, also mit Spannung erwartet, kam dann im 27. Februar die Entscheidung mit dem neuen Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität von informationstechnischen Systemen im Allgemeinen unter den Juristen IT-Grundrecht genannt. Ich finde zwar eine eher unpassende Wortwahl, aber so wird es halt genau, ja, na ja. Wir haben ja versucht, dann irgendwie andere kurze Namen für dieses Gesetz zu definieren, sowas wie digitale Intimsphäre zum Beispiel. Aber so richtig hat sich es dann nicht durchgesetzt und wir haben dann halt alle fleißig geübt, dass wir den offiziellen Titel dieses Grundrechts fließend aussprechen können, ohne uns zu versprechen, weil wir ihn dann doch teilweise sehr hoffig sagen mussten in Vorträgen oder in der Pressearbeit. Aber interessant an dieser Verkündung, dieses Grundrechts war, dass alle im Saal doch schon ziemlich beeindruckt waren. So, also weil die Verkündung also einen neuen Grundrechts haben wir zuletzt 1984, glaube ich, gehabt, mit dem Volksheilungs-Otteil. Dezember 83. 83, ja. Das heißt also, es passiert eben mal so, keine Ahnung, alle 20 Jahre mal, wenn überhaupt so aus. Also da haben wir schon Geschichte live gesehen. Wir hatten doch irgendwie, nach dem Urteil ist ja alles schon so ein bisschen hier. Die Debatte kam zu einem Ende, die Politiker haben natürlich alle wie immer gesagt, ja, wir sind sehr dankbar für die Klarstellung, was Karlsruhe und so. Also alle waren eigentlich froh. Der Urteil ist auch im Wesentlichen sehr detailliert und wir hatten eigentlich damit in gewisser Weise die Debatte als zunächst vorläufig beendet angesehen. Und wir haben mit unserer Naivität, zumindest viele von uns haben angenommen, was das Urteil mal schlicht beachtet würde. Dem war dann ja nicht unbedingt so. Manchmal sind wir auch noch jung und naiv, nicht wahr? Aber weil es so schön ist, ja, weil es so schön ist, dass Karlsruhe mal Grundrechte ausdehnt, beziehungsweise in diesem Fall ein neues Grundrecht herausliest aus dem Grundgesetz. Weil es einfach so schön ist, wollen wir einfach ein paar von diesen Formulierungen uns nochmal zusammen auf der Zunge zergehen lassen. Nein, nein, wirklich, hat uns der Jurist hier gezwungen. Ja, ich habe da so ein bisschen was zuliefern. Nein, das stimmt schon. Es sind in der Tat wie immer bei Juristen vergleichsweise lange Formulierungen, aber ich finde, sie haben eine gewisse Erotik und subtil, ja, subtile Erotik. Und außerdem werden wir auch immer im Verlauf dieses Talks noch darauf zurückkommen. Da gibt es immer wieder Formulierungen, die auch wichtig sind. Also muss man sich mal auf der Zunge zergehen lassen. Also für die meisten im Saale ist das wahrscheinlich jetzt keine große Neuigkeit. Dass sich Persönlichkeitsgefährdungen aus dem verbreiteten IT-Einsatz ergeben, das ist so ganz langsam auch vielleicht eingesickert, so in die Mainstream-Medien, aber jedenfalls am Frühjahr 2008 war das noch nicht Mainstream, aber natürlich eine uralte Forderung des CCC. Insofern waren wir da auch sehr glücklich, dass das sich mal in den ehrwürdig grauen Bänden aus Karlsruhe fahren. Ja, dann, das haben die Richter auch noch so ein bisschen weiter begründet. Es können sich auf dem System eine Vielzahl von Daten finden mit Bezug zu den persönlichen Verhältnissen, sozialen Kontakten und den ausgeübten Tätigkeiten des Nutzers. Also das ist im Grunde das, was dann der wichtigste Verfassungsrichter dieser Entscheidung federführend bearbeitet hat, Prof. Hoffmann Riem aus Hamburg, also das ausgelagerte Gehirn genannt hat. Das heißt also, wir haben es nicht mehr nur zu tun mit einer etwas avancierten Schreibmaschine, sondern brauche ich hier in diesem Saal, glaube ich, um zu sehen, wo die große Bedeutung ist. Okay, und jedenfalls ist es aber doch einfach schön, das auch mal zu lesen aus so berufendem Munde. Gut, machen wir die nächste Seite. Und ja, das ist letzten Endes der Kernsatz dieser Entscheidung, das also aus der Bedeutung der Nutzung informationstechnischer Systeme, irgendwo Computer, aber zum Beispiel auch Handys. Das ist zum Beispiel auch eine der spannenden Ideen aus der Entscheidung, dass es gerade nicht beschränkt ist auf den klassischen Computer, sondern auf ein informationstechnisches System. Und das ist eben ein weiter Begriff, der kann ausgelegt werden und insbesondere sind Smartphones ausdrücklich genannt in der Entscheidung, also wer hier mit iPhone oder einem kleinen Androiden durch die Gegend läuft, der stellt sich damit automatisch auch unter den Schutz dieses neuen Grundrechts. Genau, und da jedenfalls aus der Bedeutung folgt ein grundrechtlich erhebliches Schutzbedürfnis. Und das hat das Gericht dann auch noch weiter ausgemalt, was denn das eigentlich bedeutet, wenn man so ein erhebliches Schutzbedürfnis hat. Genau. Das ist doch ein sehr schönes Zitat von Zanzi. Ja, also letztlich, wir waren eigentlich alle nach dem Urteil ziemlich zufrieden. Auch das Rechner und Mobiltelefone, als das anerkannt ist, als dass wir sie benutzen jeden Tag. Damals war das noch wirklich eine Nachricht, ist ja noch schon ein paar Jahre her. Wir haben hier nochmal aus dem, in dieser Zeit kurz vor dem Urteil entstandenen, nach dem Urteil. Kurz nachher. Also während der Diskussion in Karlsruhe. Wir haben hier die Fragenkatalog, denn die SPD Bundestagsfraktion hatte damals als BMJ, also Justizministerium und Innenministerium, längentliche Fragenkataloge losgelassen. Und wir haben hier die Frage nach dem Kernbereich der privaten Lebensgescheitungen. Dann auch dieser sogenannte Kernbereich der privaten Lebensgescheitungen war natürlich in den Stellungnahmen und in den Anhörungen und letztlich in dem Urteil sehr wichtig. Das ist, wenn im Volksmund die Digitale Intimsphäre nennen würde. Nein, die Intimsphäre überhaupt, also der Bereich der innersten Gedanken eines Menschen. Darum ging es natürlich, und hier hat die BMI eine griffige Antwort gefunden. Es ging ja da gar nicht bei dem RFS, was übrigens Beamtendeutsch für Remote4N6-Software ist. Also die Online-Durchsuchung im Beamtendeutsch. Warum, so heißt es weiß ich auch nicht. Wahrscheinlich wegen der internationalen Usergroup, damit man einen gemeinsamen Begriff findet. Die Produkte heißen halt so, also ich meine, die heißen halt Remote4N6 irgendwas. Auf jeden Fall ist also der Trojana nicht etwa eine Spionagesoftware, sondern lediglich ein technisches Mittel zur Datenerhebung. Also der ganzen Frage nach dem Kernbereich der privaten Lebensgescheitungen wurde eigentlich überhaupt nicht Rechnung getragen. Es ist eigentlich ziemlich kennzeichnend für diese ganze Debatte, dass gerade vonseiten der Politik versucht wird, immer völlig unpassende Analogien aus dem analogen Leben zu finden und die dann zu etablieren. Also zu sagen so, ja, na ja, also so eine Online-Durchsuchung ist eigentlich nichts anderes als eine Haustichsuchung. So, wo man halt die Festplatte beschlagnahmt und ähnliche Dinge, die halt völlig unzutreffend sind, damit denen man halt versucht, irgendwie Meinung zu machen. Also insgesamt bin ich ein bisschen unzufrieden mit den Tatsachen, die im Urteil stehen zum Kernbereich. Denn ursprünglich galt der mal, der absolute Schutz dieses Kernbereiches, der kommt noch aus diesem Urteil zur Schlafzimmerwanze, zum großen Lauschangriff. Da war damals noch festgehalten worden, dass dieser Schutz dieses Kernbereiches absolut ist. Das darf also nicht eingegriffen werden. Das ist leider aufgeweicht worden. Aber wir wollen uns erstmal meinst du, dann darf eingehen, unter welchen konkreten rechtlichen Schranken die Online-Durchsuchung nach dem Urteil zulässig ist. Und müssen wir uns jetzt alle merken, wenn wir nachher den technischen Teil haben, dann müssen wir es vergleichen. Das ist ein Satz aus der Entscheidung zur Online-Durchsuchung, einer der zentralen Sätze. Wir haben nämlich nach der Feststellung, dass es so ein neues Grundrecht gibt, schreibt das Gericht auch gleich rein, unter welchen Voraussetzungen man in dieses Grundrecht eingreifen darf. Es gibt im Grunde keine Grundrechte, in die man gar nicht eingreifen darf. Die einzige Ausnahme ist die Menschenwürde. Also darf man auch in dieses sogenannte IT-Grundrecht eingreifen. Aber wegen der großen Bedeutung, die wir gerade uns angeschaut haben, wegen dieser großen Bedeutung sind die Hürden sehr, sehr hoch. Das ist nicht nur ein Problem, sondern irgendetwas Greifbares. Diese tatsächlichen Anhaltspunkte müssen auf eine konkrete Gefahr hindeuten. Also eine Gefahr, wo unmittelbar ein Schaden bevorsteht. Und dieser Schaden, die Gefahr genommen, muss drohen für ein überragend wichtiges Rechtsgut. Zum Beispiel eine Online-Apotheke? Zum Beispiel eine Online-Apotheke. Genau, das wäre zum Beispiel ganz wichtig zu wissen. Also Online-Apotheke, Konstanze verweist auf den Bayern-Troyane. Da kommen wir gleich dazu. Das Gericht war aber schon ein wenig misstrauisch gegenüber den Sicherheitsbehörden und hat deswegen nochmal genau hingeschrieben, was denn eigentlich solche überragend wichtigen... Ich hatte verschiedene Gelegenheit ein bisschen zu hören, was man sich dabei gedacht hat. Ein gewisses Misstrauen gegenüber Sicherheitsbehörden war da schon spürbar und deswegen haben die lieber mal reingeschrieben, was denn eigentlich überragend wichtige Rechtsglüter sind. Wahrscheinlich ausgehend davon, dass die Gerichte sowieso hinter Copy-Pasted in Gesetze werden, dachte man sich, dann macht man die Kopiervorlage wesentlich richtig? Das könnte man sich so überlegen. Das ist ja einer der zentralen Problembereiche, wenn man sich mal die Karlsruher Entscheidung anguckt. Also eigentlich definieren die Verfassungsrichtler, Richter, die absolut äußerst der Grenze dessen, was gerade noch so geht. Also wenn man so will, eine absolute Leitplanke dessen, was in einem Rechtsstaat gerade noch so unter größten Schmerzen und mit viel Augenzudrücken möglich ist. Und eigentlich ist es Aufgabe von den Gesetzgebers innerhalb der, oder auf einer Skala von null Eingriffen bis zu den maximalen Eingriffen, die Karlsruhe definiert, irgendwo in der Mitte eine Abwägung zu finden zwischen Freiheit und Sicherheit. Leider leben wir allerdings zur Zeit in einem Staat, wo diese Abwägung in aller Regel so ausfällt, wie Frankes gerade gesagt hat, man nimmt also die maximal möglichen Dinge, formuliert sie ein bisschen um und schreibt sie ins Bundesgesetzblatt. Hast du aber impliziert, dass uns dieser Bundestroyer schon die da hintersteht? Das finde ich in der Tat interessant. Die Formulierung ist Abwägung zwischen Freiheit und Sicherheitsversprechen. Sicherheitsversprechen. Bleiben wir bei der Themologie. Auf jeden Fall wollte ich diesen kleinen rechtspolitischen Seiten hieb, wollte ich doch nochmal loswerden. Eigentlich soll abgewogen werden auf einer Skala, aber Copy and Paste ist irgendwie so zur Methode der Wahl geworden. Aber gut, wir haben also eine Definition aus Karlsruhe Original, was sind eigentlich die Ja, dann kam der Sündenfall, ist glaube ich, Randnummer 186 in der Entscheidung zur Online-Durchsuchung. Da hat das Gericht sich nämlich überlegt, es muss aber doch eine Ausnahme geben. Wenn wir so hohe Hürden aufstellen für die Infiltration eines informationstechnischen Systems, dann müssen wir aber eine Ausnahme schaffen für die sogenannte Quellen-TKU. Ein unglaublich geschickte Wortwahl aus Sicht von Sicherheitsbehörden. Eine TKU, eine Telekommunikationsüberwachung auf Deutsch, Handy abhören, Telefon abhören, E-Mail mitschneiden, ist ja was absolut normales. Das ist also für die Polizei, für die Staatsanwaltschaften und für die Gerichte nichts Besonderes. Es gibt etwa 25.000 Mal im Jahr, dass ein Telefonanschluss abgehört wird, insofern TKU zu verwenden für eine Online-Durchsuchung, für eine spezifische Form der Online-Durchsuchung. Das war, muss man sagen, vom Wording her ein ganz geschickter Schachzug. Das war ganz klar, der Versuch, noch irgendwas zu retten. Dementsprechend, wenn man dieses Urteil so liest, dann ist dieser Quellen-TKU-Absatz auch ein bisschen fremdkörperlich drin. Meine Vermutung ist, dass es da einen internen Deal gab oder so, keine Ahnung, dass irgendwie irgendwas getradet werden musste. Interessant ist, dieser Absatz fängt halt an mit einem Zitat, in dem steht, der Computer wird aber infiltriert. Und deswegen muss man, also damit ist eine große Hürde überschritten und endet aber dann eben mit der, man kann eben die, ja, die Ermächtigung mit der normalen Telekommunikationsabwehr über Anordnung benutzen, um so eine Quellen-TKU durchzuführen. Also richtet sich nach §10 Grundgesetz, die Formulierung. Genau darum dreht sich eigentlich alles, was jetzt danach kommt, um die Interpretation dieser... Also man muss das im Grunde verstehen, als eine Ausnahme von den hohen Hürden, über die wir gerade eben gesprochen haben. Normalerweise gelten für die Online-Durchsuchung die hohen Hürden, aber es gibt eben die Ausnahme Quellen-TKU, wenn man mithilfe eines Trojaners in Anführungsstrichen nur Telekommunikation mitschneidet, also Dinge, die normalerweise von Artikel 10 Absatz 1 unseres Grundgesetzes geschützt sind, dann gilt eben nicht das neue Grundrecht, sondern dann gilt das gute alte Grundrecht aus Artikel 10 und damit ist es leichter möglich, eine solche Quellen-TKU durchzuführen. Allerdings sieht man, und das ist der Punkt, auf den Herr Frank gerade schon angesprochen hat, sieht man dieser Entscheidung gerade zu das schlechte Gewissen der Richter an oder doch zumindest eine gewisse Sorge, dass diese Ausnahme ausgedehnt wird. Denn Sie schreiben eben rein, das ist der Anfang dieses Absatzes, wenn ein informationstechnisches System zum Zwecke, auch nur zum Zwecke der TKU infiltriert wird, dann ist mit der Infiltration die entscheidende Hürde genommen, um das System insgesamt auszuspähen. Das ist genau dieser Punkt mit dem Fuß in der Tür, über den wir eben gerade schon kurz gesprochen haben und den der Andreas damals auch so stark gemacht hat oder Professor Pfitzmann auch. Das ist genau der Punkt und der ist so eben auch im Urteil aufgenommen worden. Die entscheidende Hürde ist genommen, um das System insgesamt auszuspähen. Also die Quellen-TKU ist gerade keine normale TKU, sondern sie ist brandgefährlich, weil sie eben so viel mehr ermöglicht. Man darf das dann zwar nicht, aber man hat den Fuß in der Tür und man kann, was immer man will. Genau. Und weil das eben so brandgefährlich ist, hat das Gericht eben aufgeschrieben, Artikel 10 Absatz 1, die Telekommunikationsfreiheit, ist nur dann der alleinige Maßstab, wenn sich die Überwachung ausschließlich auf Daten aus dem laufenden TKU-Vorgang beschränkt. Also ist es eine Ausnahme von dem neuen Grundrecht, aber die muss ganz eng begrenzt werden auf Telekommunikation, eben gerade keine Daten, die auf dem Rechner gespeichert sind, sondern nur Daten, die quasi unmittelbar abfließen in die Leitung hinein und die man normalerweise mit einer TKU erfassen könnte. Und das ist der zentrale Satz, der uns heute noch öfter beschäftigen wird. Dieses, also die Beschränkung muss durch technische Vorkehrungen auf Deutsch-Software und durch rechtliche Vorgaben auf Deutsch-Gesetze sichergestellt sein. So, die technischen Vorkehrungen, die wollen wir uns doch jetzt mal ansehen. Bei den rechtlichen Vorgaben haben wir eine Minute, denn in den meisten hier betroffenen Bundesbehörden, die die Quellen-TKU einsetzen, haben wir die ja quasi nicht. Wir haben noch eine kleine Problemfolie aufgemalt. Theorie und Praxis. Also Karlsruhe hatte das sich im Grunde wunderschön vorgestellt. Eigentlich gehen online die Suchungen nur unter hohen Voraussetzungen, Ausnahme Quellen-TKU und das muss eben sichergestellt sein. Technische Vorkehrungen, rechtliche Vorkehrungen. Da dachten in der Tat erstmal alle Juristen, die das so gelesen haben, dann brauchen wir also spezielle Gesetze, die strenge Vorgaben machen für die Software, die strenge Vorgaben machen für den Einsatz und die auf diese Art und Weise die Vorkehrungen von Karlsruhe sicherstellen. Deswegen sind in der Tat bis heute alle Verfassungsrechtler der Meinung, eine Quellen-TKU braucht ein spezielles Gesetz. Man kann das eben nicht mit dem normalen Gesetz, das im Üben des normaler Weises dazu dient, irgendwie gegenüber Vodafone anzuordnen, hört mal den Anschluss vom XY ab, sondern man braucht ein spezielles Gesetz. Wir wollen das nochmal betonen. Also nicht, dass da irgendwie Zweifel aufkommen, weil die Landesinnenministerium und der Bundesinnenminister irgendwie immer anders darstellen über die Medien. Es gibt keine Verfassungsrechtler, die irgendetwas anderes schreiben im juristischen Schriftum. Und wer behauptet, dass das irgendwie unter den Staatsrechtlern umstritten ist? Der hat einfach nicht gelesen, was seit dem Urteil 2008 dazu geschrieben wurde. Es gibt insgesamt ein gutes Dutzend von Aufsätzen von Verfassungsrechtlern, die sagen, man kann durchaus eine Quellen-TKU durchführen, aber es braucht eben ein spezielles Gesetz. Und es gibt solche Gesetze auch schon, nämlich zum Beispiel im Bayerischen Polizeigesetz und auch im Gesetz über das BKA, also Bundeskriminalamtsgesetz. Aber das Problem dabei ist das Worthing, Quellen-TKU. Das klingt eben so sehr nach normaler TKU, dass die allermeisten meiner Kollegen, das muss man leider, ich finde das einigermaßen traurig, zugestehen, die allermeisten meiner Kollegen gehen den Sicherheitsbehörden auf den Leim und sagen, Quellen-TKU ist ja so eine Art TKU, das ordnet doch einfach mal nach denselben Regeln an und man kann sich überhaupt keine Gedanken, dass ein Trojaner einfach was anderes ist, als wenn ein Provider ein Gespräch mitschneidet. Das ist also ein Unterschied, der in den Köpfen der allermeisten Richter und natürlich auch Richterin bislang nicht angekommen ist. Und das geht hin bis zu Richtern am Bundesgerichtshof. Also das ist ja in der Juristerei so, was im Gesetz steht, ist das eine. Die Anwendung wird geregelt durch so Kommentare, das sind so lange Erläuterungsbücher zu gesetzen. Und es gibt bestimmte besonders Einflussreiche. Und der Einflussreichste wird von einem Richter am Bundesgerichtshof geschrieben und weil ich auch gesagt, ne, also ich sehe da kein Problem. Die Infiltration mit einem Trojaner, da braucht man gar kein Gesetz dafür. Das macht man so en passant mit. Das Entscheidende ist ja, dass man hinterher irgendwie Melauschen kann und dass man also die Gespräche mitschneiden kann. Das ist das Kernproblem. Da haben wir wieder so ein Digital Divide zwischen den Nerds und den Richtern oder den Juristen, die allermeisten kriegen das irgendwie nicht mit und ordnen Quellen-TKU mehr oder weniger sorglos an. Und ich denke, da sind alle aufgefordert, die Gelegenheit dazu haben, ein bisschen mehr zu erklären, was eigentlich so ein Trojaner macht und was das eigentlich bedeutet, wenn man einen Rechner damit infiltriert. Wir haben uns schon bemüht, eine Öffentlichkeit herzustellen. Klar, klar. Also der Club hat immer wieder darauf hingewiesen. Ich habe selber auch mit einem Freund von mir, Professor Becker aus Mannheim einen Aufsatz geschrieben. Der steht online, kann sich jeder durchlesen. Ist auch viele 10.000 mal abgerufen worden. Aber das Problem ist, der entscheidende Kommentar ist eben dieser, von dem ich eben gerade sprach. Der heißt Meier Gossner, wird aber nicht mehr von Herrn Meier Gossner geschrieben. Und der sagt, das ist kein Problem, kann man machen und dann machen die Richter das eben auch. Die könnten das ablehnen. Aber das ist halt leider das entscheidende Buch und in aller, aller Regel werden die Ermittlungsrichter so handeln, wie es davor geschlagen wird. Na gut. Ja, das ist nochmal so ein schönes Statement von einem Verfassungsrechtler aus Passau, in diesem Fall, glaube ich, oder jedenfalls aus Bayernflugern Albrecht. Die Auffassung, wonach die Quellen ticker üben bis zum Zeitpunkt ihrer gesetzlichen Regelung wenigstens für eine Übergangszeit für das WHO, das ist die normale Regelung für die, für normale Telefonüberwachung, sodass ich bleiben soll, lässt sich mit unserem Grundgesetz nicht vereinbaren. Und das ist auch absolut einhändige Meinung aller Verfassungsrechtler. Ich habe jedenfalls noch keine andere gehört, kann jederzeit eine kommen von jemandem, der das anders sieht. Na ja, wie gesagt. Wer hat geschrieben, bevor das veröffentlicht wurde? Auch bevor die technischen Details jetzt bekannt wurden, schon längst herrschende Meinung gewesen. Ja. Und es ist auch bis heute. Aber wie gesagt, es gibt ein paar Richter, die es anders sehen und leider schreiben die die Einflussreichen Bücher. Es gibt auch noch ein paar mehr Problemzonen, die sich daraus ergeben, auf die wir natürlich jetzt um Folgen, dann werden wir die Technik genauer angucken und nochmal eingehen wollen. Die bestehen zum einen in den schon angesprochenen rechtlichen Vorgaben. Aus meiner Sicht auch in Bereichen, über die sehr wenig geredet wird, zum Beispiel beim Zeug-Kriminalamt. Einfach keine rechtshundlare bestätigt, wird langem kritisiert, aber einfach gemacht. Und natürlich auch in einigen Bereichen der Landesregnungsministerien. Ja, also rechtliche Vorgaben bedeutet eben dass man die politischen Regelungen für diese Quellen-TKÜ. Das wäre dann quasi die Umsetzung dessen, was Karlsruhe gefordert hat, wenn man Grundrechte einschränken will, auf das immer so, man braucht zunächst mal überhaupt ein einschränkbares Grundrecht und dann braucht man ein Gesetz, dass diese Einschränkbarkeit quasi ausnutzt und umsetzt in Handlungsanweisungen für die Polizei und die Staatsanwaltschaft. Es ist letztlich eine Frage des Demokratieprinzips. Der Gesetzgeber, unsere Parlamente, soll die Verantwortung für Eingriffe oder jedenfalls nur den absoluten Ausnahmefällen unmittelbare Eingriffe in Grundrechte, sondern es braucht für die Behörden immer ein Gesetz, das sagt, okay, du darfst hier in Grundrechte eingreifen, weil das dann unsere Volksvertreter so entschieden haben. Ja, und das wird in diesem konkreten Fall eben umgangen. Das führt zu bestimmten Problemen, denn das Karlsruher hat ja nicht nur gesagt, man braucht irgendein Gesetz, sondern Karlsruher hat gesagt, wir brauchen ein bestimmtes Gesetz, nämlich ein Gesetz, das Anforderungen stellt und dadurch sicherstellt, dass wir eben nur eine Quellen-TKÜ durchführen und die Anlösung, also keine Screenshots, keine E-Mails, keine E-Mailentwurfe, sondern wirklich nur das, was durch die Leitung wandert. Da wäre eine wichtige Voraussetzung, zum Beispiel ein Review, dass man also diese Software von einer neutralen Stelle auf Quelltextbasis sich vorher anschauen lässt. Das wäre das absolute Minimum. Ich will damit nicht sagen, dass ich das überhaupt fordere. Damit man das nicht falsch versteht, zu unseren Forderungen kommen wir später, aber jedenfalls ist das ein Problem, wenn man so ein Gesetz schreiben wollte, mit einem Code Review auf Source Code Basis, damit man eben weiß, was diese Software überhaupt tut. Bei den Digitaskrojanern war genau das das Problem. Niemand wusste, was die tun. Also im Zweifel jedenfalls keiner außerhalb der Firma Digitas. Genau, also Begrenzung der Maßnahme auf laufende TKÜ, das ist, oder laufende TK, das ist auch eine ganz zentrale Voraussetzung und natürlich die ganzen Rahmenregelungen, damit man eben sicherstellt, dass die Software im grünen Bereich bleibt, wenn man ihn denn als grünen bezeichnen will. Also Archivierung und Evaluation des Einsatzes, Transitionskontrolle, alle solche Dinge, die für IT-Spezialisten eigentlich selbstverständlich sind. Aber ja, bislang gibt es all das nicht. Das heißt also, wer da mit Trojanern lauscht, der lauscht in einer Grauzone und letzten Endes ohne jede Form von Kontrollen. Ja, nun ist in ihr Trojaner jetzt ja leider abhandengekommen, der eine zumindest. Und deshalb ist glaube ich ein bisschen auf die Inhalte, die dieser Trojaner, den wir analysiert haben, in seine Aktien zu gehen. Also worum unterscheidet der sich eigentlich von einer Qualentikerü zur Online-Durchsuchung einmal durch die Screenshots, die ja bekannt wurden, der Betroffene, dessen Strafverteidiger sich ja später auch öffentlich dazu bekannt hat, dass also der Trojaner ist, den wir analysiert haben. Oh, wir haben ja übrigens mal einen Serviervorschlag, der hat natürlich in seiner Akte sehr viele tausend Bitches und Fotos von seinem Rechner gefunden. Da stellt sich ja unmittelbar die Frage nur, wenn man die da rein, dann natürlich die Frage, wie der mit umgegangen wurde, dass er im Browser E-Mails getippt hat, die also schon im Entwurfstandium ausgeleitet wurden. Aber es geht natürlich auch generell darum, dass eine Qualentikerü sehr leicht zur Online-Durchsuchung werden kann, wenn man auf unwaschelse Datenzugriff nimmt, die eigentlich im laufenden Kommunikationsverkehr dann verschlösselt sind und viele weitere Fälle, die man sich jetzt glaube ich sehr gut überlegen kann. Also diese Frage, kann man denn bei einem Trojaner auseinanderhalten, was er tut oder was er tun kann, welche Funktionen er tatsächlich hat, berührt natürlich einen tiefen Kern des Software Engineering. Nämlich die Frage, kann man wissen, also mit letzter Sicherheit wissen, was ein Stück Code tatsächlich tut. Und wie leicht ist es zum Beispiel verdeckte Funktionen in so einem Code unterzubringen, die man nicht finden kann oder die nicht ohne weiteres zu finden sind. Jeder, der mal beim Anderhande C-Contest mitgemacht hat, wird wissen, dass es da durchaus irgendwie eine Menge Möglichkeiten gibt. Und genau diese Debatte spielt ja auch schon in der Debatte in der Diskussion beim Urteilen Karlsruhe eine große Rolle. Das ist eben genau die Frage, wie kann man denn überhaupt eigentlich oder kann man überhaupt sicherstellen, dass so ein Trojaner nur das tut, was er tun soll. Und genau diese Debatte wird uns da jetzt auch noch weiter verfolgen. Genau. Normalerweise hätte es ja eigentlich so sein sollen, dass wir aus der Antwort des Bundesinnenministeriums auf den SPD-Bundestags-Fragen-Katalog gehört haben, dass die Analyse des Remote-Foreign-Sex-Software-Tools, also unseres Staats-Trojaners eigentlich unmöglich, also nahezu unmöglich sein sollte, denn sie hatten ja ausgefeilte kryptografische Methoden. Dennoch wollen wir die technische Analyse jetzt anschließen und ein bisschen darüber reden, was in unserem Reverse-Engineering-Projekt das Ergebnis zu verzeichnen sind und ein paar Details bringen, vielleicht die noch nicht jeder kennt und vor allen Dingen auch nicht diejenigen kennen, die nicht intensiv den Bericht oder die beiden Berichte, die wir geschrieben haben, gelesen haben. Und wir übergeben jetzt mal an ONESOPF-THS, der sich um den technischen Teil kümmern wird. Ja, also das war vielleicht nicht so, wie auf der Slide vorher ersichtlich besonders geschützt, kryptografisch. Ich werde jetzt hier keine bahnbrechenden Neuigkeiten erzählen, vielleicht einfach ein bisschen was zur Vorgehensweise, warum wir diese Versions aus dem Jahr 2008 auf die Art und Weise auseinandergenommen haben. Wir wollten es zumindest auch erst mal nachweisen, dass wir da ein Missbrauch feststellen können. Ja, wie sind wir auf das Ding überhaupt gestoßen? Wir hatten eine Festplatte bekommen, die uns zugesteckt wurde. Wir wussten erst mal nicht, wonach suchen wir eigentlich, wie sieht das aus? Wie kriegen wir das zu fassen? Ist da überhaupt etwas? Wir haben nämlich, um ehrlich zu sein, nicht gedacht, dass wir was finden. Dann waren wir als Erwart. Da ist von der Polizei bereits zurückgegeben eine Festplatte. Deshalb ist er ja auch schon etwas älter der Trojaner. Wir haben eigentlich nicht damit gerechnet, dass wir was finden. Sie haben ihn immerhin gelöscht. Ja, hey! Und wie man hört, nicht nur in den Papierkorb geschoben, das muss man dazu sagen. So viel Ehre muss sein. Bedient haben wir uns in erster Linie den recht gängigen Werkzeugen, die es gibt, um Festplatten zu analysieren und gelöschte Dateien wiederherzustellen. Sleutkit und Autopsie waren eben die Werkzeuge, die genutzt wurden, um mal ein bisschen zu gucken. Was ist auf der Festplatte eigentlich mal alles gelöscht worden und wo und warum werden zum Beispiel in Windows Systemverzeichnissen Dateien DLLs gelöscht und warum existiert dann nicht vielleicht eine neuere Version? Das waren dann halt so diverse Anhaltspunkte, wo dann nur geschaut wurde. Ist das jetzt eigentlich plausibel, was da passiert ist? Und ja, im Endeffekt natürlich auch mit einer ganzen Portion Glück sind wir dann auf eine DLL gestoßen, die gelöscht war. Eine DLL, die nicht unbedingt über die Merkmale einer DLL verfügt. Zum Beispiel gab es keine Exports, das war ja so eigentlich der Sinn einer DLLs, was wäre eins weiter. Ja, die weiteren Werkzeuge, die wir halt genutzt haben, sind eben IDA Pro. Vielleicht noch kurz, also werdet ihr nachvollziehen will, wir haben die IDA DB auch öffentlich gemacht. Ja, das ist... Ja, also mit IDA, einem recht verbreiteten Werkzeug, was es auch in einer Community-Edition gibt, wurde eben das Binary dann auseinandergenommen und analysiert. Und später dann insbesondere bei den weiteren Versionen wurden eben mit anderen leider kommerziell verfügbaren Tools eben die Diffs gemacht und auch geguckt, worin unterscheiden sich die unterschiedlichen Versionen, die uns zugespielt wurden. Ja, wie ich schon gesagt, die DLL verfügt über keine Exports, das war an sich schon mal relativ ungewöhnlich. Das Internet kannte diese DLL nicht, also den Namen. Also war das keine Bedrohung. Es gab einen Forum, wo mal jemand geäußert hat, dass das ja eine MyWare sein könnte. Aber das ist dann einfach auch untergegangen. Das war am Endeffekt ein Fall von daher gut. Die wurde dann erstmal analysiert, eben mit den entsprechenden Werkzeugen. Hier sehen wir einen Auszug. Also es sind sonst eigentlich zu viele, das ist nur ein kleiner Auszug aus den Zeichenketten, die hier in den Binary enthalten sind. Da finden sich eben ziemlich viele unterschiedliche Webbrowser-Namen. Auch Software, VoIP-Telefons, also Skype und Xlight sind ein paar Beispiele und diverse Instant Messenger. Was auch wieder so ein Indikator dafür war, dass da irgendwas nicht mit rechten Dingen zugeht. Dann gab es so die typischen Windows-System-RP-Funktionen. Das ist erstmal relativ unverdächtig, immerhin tauchen da schon ein paar wichtige APIs auf, die entscheidend sind für das, was der Trojan am Ende tut, nämlich auch Screenshots zu machen und Dateien auszuführen. Also wir müssen dazu sagen, wir wussten ja ungefähr, wonach wir suchen. Also das, was genehmigt worden war vom Gericht, also eben das Abhören von Telefonen, bzw. von Skype-Verbindungen und die Sache mit den Browser-Screenshots. Das heißt also, diese Kombination von Beidem in diesem Stück Nel-Ware war schon sehr ungewöhnlich. Also wenn man das vergleicht z.B. mit einem typischen Banking-Trojaner, der geht halt wahrscheinlich nicht anders vor, hat eine andere Struktur und guckt auch nach anderen Sachen. Wir waren zu dem Zeitpunkt schon einigermaßen doll sicher, dass wir da das Gesuchte gefunden haben. Ja, dann wurde das immer. Es gab eine Kooperation auch mit dem Strafverteidiger als Betroffene und der hat uns natürlich zumindest die Informationen, die er aus der Aktewissen konnte, natürlich auch gegeben, was er leistet hat, zu gucken, wonach man sucht. Ja, was dann ungewöhnlich war, sind die Zeichenketten, die wir hier sehen. C3PO, R2D2POE, das sind jetzt nicht unbedingt so die typischen Strings, die man an irgendwelchen Binarys im Microsoft-Windows-System-Verzeichnis findet. Dann gibt es eben noch eine Datei, ein Kernelmodul, Winsys32.sys, sollte offenbar einfach unverdächtig klingen, tut es auch. Jedenfalls sind wir dann erstmal davon ausgegangen, dass wir auf der richtigen Pferde sind und wir weitermachen mit einer statischen Analyse, denn solange wir noch nicht wissen, ob das jetzt wirklich die Malware ist, ob das Ding nach Hause telefoniert und wenn ja wie und ob dann auch irgendwelche Funktionen versteckt sind, wenn wir das erstmal nicht ausführen, sondern einfach nur statisch analysieren. Das Problem, was wir hierbei hatten, ist, dass diese Anwendung in C++ entwickelt wurde, was die Sache natürlich ein bisschen verkompliziert. Das heißt, wir mussten halt ziemlich viele Funktionsaufrufe, manuell auch tracken, weil eben keine direkten Crossreferenzen vorhanden sind. Das heißt, das war dann einfach ein bisschen aufwendiger. Es ist nicht unmöglich, aber man muss schon sehr viele Manueller da vorgehen in der Richtung. Die Ziele dieser statischen Analyse waren halt vor allen Dingen herausfinden, ob es da irgendwelche verschlüsselten oder gepackten Sektionen gibt, die eventuell noch weiteren Code und Daten enthalten, die wichtig sind, also versteckte Funktionalität, die ganz bewusst eben versteckt und verschleiert wird. Und natürlich suchen wir nach wie vor noch die eigentliche Schnüffelfunktionalität. Das war das Ziel der statischen Analyse, um natürlich auch herauszufinden, wo können wir eventuell sicherstellen, dass wir das Ding gefahrlos ausführen können, ohne dass jetzt gleich nach Hause telefoniert wird. Ja, und wir wollten natürlich auch den Server finden und so. Wir haben keine offensichtlichen Packer und Krypto-Geschichten da drin gefunden, die jetzt Code und Daten verschleiern. Was bei normalen, sagen wir, kommerziellen Trojanern vorständig üblich ist. Das tut jedem MyWare tut das. Damit versteckt man sich halt vor dem Reverse-Engineer und auch vor der Anti-Viren-Software. Das heißt also, da war schon mal klar, also nächster Datenpunkt, es handelt sich offensichtlich um eine sehr ungewöhnliche MyWare. Ja, letztlich in der Vorgehensweise sind wir dann auf ein paar Netzwerkfunktionen gestoßen, wo wir gesehen haben, dass dann noch auf AIS-Tabellen referenziert wird. Das war dann auch erst mal ein Hinweis darauf. Möglicherweise haben wir hier eine Netzwerk-Rapperfunktion, die Traffic dann auch transparent verschlüsselt. Also für die Schnittstelle, die dem Entwickler da zur Verfügung steht, haben also Hinweise auf ein Kryptolayer gefunden, hatten halt nach und nach uns die Informationen zusammen gesammelt. Das war halt eine sehr mühselige Arbeit und am Ende konnten wir halt ein paar Indizien zusammensetzen und haben auch noch ein AIS-Initializer gefunden, der eben einen Encryption-Key ableitet für die Verschlüsselung von irgendwelchen Daten. Wir wussten bis dahin auch noch nicht, was für Daten überhaupt verschlüsselt werden. Auffällig an diesem Ding war wieder, es gab nur eine Encryption, aber keine Decryption. Also es wurde kein Decryption-Key abgeleitet. Also bis zu dem Punkt, wo man schon dachte, oh Gott, sind wir doof? Wieso finden wir denn die Encryption hier nicht? Also das war wirklich so, oder es hat einen Tag gedauert, das war dann einfach eingesehen und haben okay, das gibt keine Decryption. Also es war schon tatsächlich ein bisschen eine Suche danach. Also man muss sich jetzt aber nicht so vorstellen, dass wir nicht auch Spaß dabei hatten. Also das klingt jetzt so ein bisschen... Also der Spaß danach? Nicht weit war klar, also wir haben hier doch vermutlich ein Staatsröhren, das sieht ziemlich so aus. Also ich meine, dann kommt natürlich auch der Spaß am Entdeckertum dazu. Ja, also Spaß hat man natürlich auch. Klingt jetzt so ein bisschen dazu. MyFirstMalware.dll. Aber ihr wart ja natürlich davon ausgegangen, wenn das BMI sagt, es ist eine zweisadige Verschlüsselung, dann muss da auch eine entdecken. Das war ja später. Das haben die doch nicht gezeigt, wir haben auch überhaupt nicht darüber geredet am Anfang. Ich bin davon ausgegangen, dass jemand, der so was schreibt, irgendwie nicht total mit dem Klammerbottel gepudert ist und irgendwie so einigermaßen weiß, wie man so was tut. Also halt nicht meine einsetige Encryption. Ja, aber wie wir ja auch festgestellt haben, es war nicht nur sehr einseitig, auch die Auswahl der Schlüssel war eine sehr... Also die haben sich das tatsächlich leicht gemacht, oder? Ja, und das Verschlüsselungsmodus. Also wie gesagt, den gleichen Key, der hier genutzt wird, um die IS Keys abzuleiten, die haben wir auch in anderen Versionen gefunden. Also aus dem Jahr 2008, ja. Ja, und zusammenfassend kann man eben zu dieser Kryptosagen, die halt für die Datenübertragung genutzt wird. Wir haben hier einen 256-bit IS Keys, der wiederverwertet wird. Es wird der ECB-Modus verwendet. Das heißt, ja, also was soll man dazu sagen, also ECB-Modus? Zeig doch mal kurz was ECB-Modus. Wir haben da gleich mal ein Beispiel. Wir sehen hier das Bild von einem Pinguin. In der Mitte auch. Also in der Mitte ist der Pinguin ECB-Verschlüssel. Also ECB ist für die, die mit Krypto nicht so viel zu tun haben, ist der Modus, der in den ganzen Krypto-Büchern drinsteht, als den hat man jemals sich ausgedacht, das will, nehmt ihn nicht. Und in so den besseren Krypto-Büchern wird er mittlerweile noch mit so einer Fußnote erwähnt, damit niemand in die Versuchung kommt, es zu implementieren. Aber ja, nun ja. Mein first Mal, der hat das dann halt ordentlich implementiert. Die Seite im Schneier hat wahrscheinlich der Hund gefressen oder so. Das steht aber auch wirklich in allengängigen Büchern. Also es hat auch nicht unbedingt eine neue Erkenntnis. Ja, und in dem Hochsicherheitsmedium Wikipedia kann man dazu auch was lesen, glaube ich. Ja, genau. Also Wikipedia lesen hätte gereicht. Also der, um es nochmal reinzuräumen. Der Key, also der, der da drin war, den genau denselben Key haben wir in allen anderen weiteren Versionen auch gefunden. Das heißt also in allen Versionen, die uns zuspielt wurden, haben wir überall genau den gleichen AES-Key gefunden. So, und da kommen wir dann später noch dazu, das ist also auch bestätigt, dass diese Software bis letztes Jahr tatsächlich nicht in der Lage war, mit einem anderen Key zu arbeiten. Das heißt also, die haben tatsächlich an alle Kunden denselben Key geschippt. Also es ist ja, ja. Man kann dann auch Rot-13 nehmen, ja. Rot-26 hat es wahrscheinlich auch getan. Im Datensegment haben wir halt letztlich noch diverse Parameter gefunden, die eben auch für den Verbindungsaufbau relevant sind. Hier sehen wir einen Auszug aus der IDA-Datenbank, die auch veröffentlicht wurde, den Port, mit dem unser Trojaner hier dann spricht im Netzwerk, eine IP-Adresse. Wir haben in dieser Version ist das alles dann auch ein bisschen modifiziert, weil wir in der Version halt auch noch die Quelle geschützt haben. Das heißt, wir haben hier auch noch eine so genannte Fall-ID oder Case-ID, da nehmen wir zumindest anders dazu ist. Die haben wir erst mal ausgetauscht durch 23 CCC 23. Die Versionsnummer, die haben wir deswegen als Versionsnummer bezeichnet, weil wir in einer anderen Version eben parallel gefunden haben. Vielleicht, wenn sich einige nicht mehr erinnern. Also wir haben von uns aus den Landshuterfall gar nicht öffentlich gemacht. Der Strafverteidiger ist ohne uns zu informieren, an die Öffentlichkeit gegangen und hat gesagt, ja, hier mein Mandant ist der Betroffene. Ursprünglich hatten wir geplant, die Quelle zu schützen. Aber es war uns natürlich nicht ganz unrecht, denn somit war ein anfänglicher Argument nach der Veröffentlichung. Das könnte ja auch ein anderer Trojaner sein oder so, war dann natürlich irgendwie vom Tisch. Ja, und hier haben wir Mentefekt, unser Key, der dann auch in diversen Medien abgedruckt wurde. Inklusive dem Kommentar. Ja, natürlich. Ja, und unser Star Wars Freak-Entwickler hat hier auch noch seine Protokoll-Druiden versteckt, die, wenn wir später sehen, auch noch genutzt werden. Ja, also wir hatten dann hier eben Daten gefunden. Also einfach durch das Reverse-Engineering, durch die Netzwerkfunktionen, haben wir halt einfach nachvollzogen, jetzt sind da hier die IP-Adresse, hier den Port, macht eine Verbindung nach außen auf, haben also eine IP-Adresse gehabt und ein Port. Die IP-Adresse und der Port waren noch aktiv. Der Port 443 ist eigentlich ein Port, über den eben HTTP-SSL gesprochen wird. Allerdings verstand dieser Port kein SSL, das heißt, man konnte dort kein Handshake durchführen. Dafür hielt sich eben sehr passiv. Das war halt auch schon wieder mal ein Indikator, dass man hier möglicherweise auf der richtigen Spur ist. Ja, es handelt sich hier um ein Virtual-Server von so einem billig Host aus USA. What could possibly go wrong? Da war dann, wie ich halt, also ich mein, ich habe gehört, dass es da auch noch so so eine Plesk-Admin-Oberfläche von 2009 gab. Also was ist das, Schäns, ja, durch den... Wir müssen uns auch, also, kann nicht, also nur die BKA beanten, die haben dann da auch Zugriff drauf. Das muss man wissen. Also das kann man eigentlich ausschließen, dass die dann halt, also dass da irgendjemand... Das muss man natürlich sich immer wieder klar machen. Das heißt, da wird ja im Grunde ein Netzwerk-Kabel in das ausgelagerte Gehirn des Beschuldigten gelegt. Das heißt, die Sicherheitsbehörden tragen, eigentlich würde man annehmen, die volle Verantwortung dafür, das Menschen mögliche zu tun, dass eben niemand anderes auf diese Festplatte zugreift und auf diesen Rechner. Man kann bei den Dingen, die der CCC da gefunden hat, sich schon die Frage stellen, ob da wirklich das Menschen mögliche gibt. Also insbesondere zum Beispiel... Die Frage braucht man sich, glaube ich, nicht stellen. Ja, ich formuliere das mal ganz vorsichtig. Wir wollen hier auch, wie man den indoctrieren. Auf jeden Fall, wenn schon Port 443, da hätte ja vielleicht zum SSL-Layer auch nicht... Wir können uns ja vielleicht auf die Formulierung das Beamten mögliche einigen. Vielleicht noch eine andere Sache. Wir hatten ja vor der Veröffentlichung eine gewisse Frist, uns vorher überlegt und einen Emissär gebeten, den Behörden Bescheid zu sagen, dass wir also diesen Trojaner veröffentlichen, weil wir natürlich nicht in laufende Ermittlungsverfahren irgendwie eingreifen wollten, aber dieser... Also dieser IP war noch so 3, 4 Tage aktiv nach der Veröffentlichung. Ja. Ja, möglicherweise war den auch Open SSL einfach viel zu komplex und fehleranfällig. Also vielleicht haben sie es einfach aus Sicherheitsaspekten einfach selber implementiert. Na, da ist Open am Name, ne? Ausserdem. Jetzt hast du aber gemeint. Okay, wir haben auch eine ganze Menge Code gefunden, wo wir keinen Colp-Fahrt finden konnten. Und das ist wieder so eine Situation gewesen. Wir dachten, warum sind wir so blöd und finden diesen Colp-Fahrt dahin? Wie können wir dieses Modultrick an, zum Beispiel, das hier? Wir sehen jetzt hier einen Auszug, eine Funktion, die aus der WinMM DLL Function Point Alerts. Das ist eine DLL, die alle möglichen APIs bereitstellt, um zum Beispiel das Mikrofon an einem Rechner anzuschalten oder den Lautsprecher. Ich glaube, es ging den Leuten hier nicht um den Lautsprecher, sondern eher um das Mikrofon. Das weiß man nicht so genau. In North Korea, zum Beispiel, ist es ja auch so, dass man angeblich die Propaganda-Lautsprecher nur leise aber nicht ausmachen kann. Also vielleicht ist es ja einfach nur die Vorbereitung für den nächsten Schritt. Es kann natürlich auch sein. Wir sollten auch aufhören, den Ideen mitzugeben. Ich bitte euch. Es gab da mal so ein Buch. Wir sind jetzt irgendwo abgebogen. Im Endeffekt haben wir da auch dann irgendwann gesagt, okay, wir hören jetzt auf, danach zu suchen. Das wäre vielleicht so ein Fall fürs Crowdsourcing. Wenn wir die erste Version veröffentlichen, dann was sagen, Leute, schaut auch mal, vielleicht habt ihr Lust und Zeit und vielleicht genug Glück, gerade bei diesen Audio-Geschichten, wo wir dann über eine Raumüberwachung reden, in entsprechenden Keubfahrt zu finden, wie man das Ganze triggern kann. Wie sich dann später herausstellte, waren diese Funktionen tatsächlich mal aktiv? Ja, das kann ich mir vorstellen, als wenn die Versionen von diesem Trojaner, die geschippt haben, da haben die nicht jeweils einen neuen Trojaner zusammengebaut, sondern haben tatsächlich... Wie Sie es immer behauptet haben. Wie Sie behaupten ja immer, dass der Trojaner direkt nach der Anordnung des Gerichtes individuell für jeden Einzelfall zusammengestellt. Was aber wir an dieser Stelle gesehen konnten im Code, ist, dass alle Funktionen immer drin sind und sie nur mit minimalen Modifikationen disabled sind. Man hat also eine Maschinenhalle voller Maschinen und man dreht halt für ein paar Maschinen die Sicherung raus, die Maschinen stehen halt noch da. Es gibt halt, genau, einfach so ein Kommand des Patcher, wo im Endeffekt dann eben die einzelnen Befehle einfach disabled werden. So kann man sich das halt vorstellen. Aber der eigentliche Code bleibt halt drin. Das macht die Sache natürlich schwierig, am Ende auch zu beweisen, dass der nicht gekollt werden kann. Also, gut. Nachdem wir also jetzt festgestellt haben, gut, wir können annehmen, dass wir jetzt alle Punkte gefunden haben, die wir patchen können, damit wir das Ding mal selber betreiben können, um eine dynamische Analyse durchzuführen. Das heißt, wir können auch mal mit einem Debugger dran gehen und ein paar Breakpoints setzen und eben einfach ein bisschen zielgerichtet da und schneller vorwärts kommen mit dem Reversing. Ja, eben weil der Server noch aktiver war, ist eben wichtig, dass wir das Ding isolieren und entsprechend, ja, ein bisschen in den Binary Room patchen, einen IP-Adressen eintragen, um selber Server spielen zu können, um Befehle triggern zu können, um die Call-Pfade zu finden für die einzelnen Funktionen. Und ja, insbesondere eben diese Teile, wie können wir zum Beispiel diesen Command- und Control-O-Server-Part übernehmen? Können wir da mal ein paar Informationen raus. Suchen wir, damit wir diesen Trojaner selber fernsteuern können. Gut, wir haben jetzt hier noch ein paar Details. Wie wird das Ding überhaupt installiert? Wie ist sich das ein? Was passiert, wenn es ausgeführt wird? Also zur Einlistung, das ist in dieser Version auch relativ simpel im Endeffekt, wird eben diese Datei mfc42ul.dll und divinsys32.sys, das ist ein Kernel-Modul, wo wir annahmen, das wäre vielleicht ein Kernel-Logger oder so. Das wird eben ins Windows-Systemverzeichnis kopiert. Dann gibt es in der Windows Registry einen entsprechenden Key, nennt sich App-Init-DLL. Das ist so was wie Auto-Run. Alle DLL-Pfade, die hier drin stehen, werden nach dem Logon geladen. Und so eine DLL hat ja auch eine Main-Funktion, wie ein anderes Executable-Pfeil auch. Und das ist eben eine DLL-Main-Routine, die dann in jedem Fall ausgeführt wird. Und das ist eben auch genau der Moment, wo dieser Trojaner dann aktiv wird. Und nach dem Start des Trojaners beim Logon wird eben Code in andere laufende Prozesse injected. Unter anderem in den Prozessexplorer.exe, der nach dem Logon auf jedem System halt auch vorhanden ist. Aber auch andere Prozesse. Laut Digitask um eventuelle Firewall Settings zu umgehen oder zumindest zu versuchen, wenn zum Beispiel Explorer.exe in die Firewall aufgenommen wurde, dann wird ein anderer Prozess eben versuchen, die Verbindung nach außen aufzubauen. Das ist der Sinn dahinter. Dann wird ein Windows-Curnal-Service registiert. Das heißt, dieses Kernelmodul wird dann eben geladen beim Buten. Im Endeffekt wird dieses Kernelmodul genutzt, um halt auch Dateien hin und her zu kopieren von Prozessen, die noch aktiv sind. Das ist halt sonst aus dem User denn nicht möglich. Ja, im Endeffekt auch gefunden, dass es eigentlich keinerlei Hooking-Mechanismen gibt. Das heißt, das werden hier keine api-Funktionen abgefangen und gefiltert. Das heißt, das finden auch eigentlich überhaupt gar keine Versteckspielchen statt. Man findet eigentlich, man kann das ganze Verhalten des Trojaners kann man eigentlich mit Bordmitteln auch identifizieren. Ja, die Kommunikation, die eben eine TCP-Verbindung nach außen aufgebaut wurde zu der api-Adress und dem Port, werden diese Daten verschleiert mit unserer AES-ECB-Methode. Da konnten wir dann sehen, dass sich viele Muster oft wiederholten, insbesondere bei den ganzen Verbindungsaufbauten. Da gibt es dann eben so ein Protokoll-Intern-Handshake, der immer ein festes Format hat, am Header. Das war schon mal sehr, sehr auffällig. Das ist auch sehr praktisch, wenn man sich eine Snort-Rule dafür schreiben möchte. Ja, genau. Selbst wenn man den Key jetzt nicht hat, könnte man das definitiv easy wegfiltern, weil das immer gleich ist. Wir haben eben einen Switch-Statement gefunden, über welches möglicherweise die ganzen Kontrollkommandos ausgeführt werden. Das hier ist im Endeffekt dieses Switch-Statement als Graf oder als Ausschnitt. Hier sehen wir, dass diverse Funktionen dann aufgerufen werden, je nachdem, was für einen Befehl da angekommen ist. Und dann werden noch weitere Daten vom Netzwerk Socket gelesen. Wir konnten dann nach ein bisschen Arbeit, das ist jetzt natürlich fast forward, also das hat natürlich ein bisschen länger gebraucht, als man das jetzt hier so sieht. Ein paar wichtige Kommandos, die für uns interessant sind, die wir dann verstärkt hinterhergeturn sind, sind eben die Kommandos 8, die liefert eine komplette Liste mit allen installierten Software-Komponenten und Patches zurück. Warum auch immer die Ermittlungsbehörden diese Information brauchen. Dann gibt es ein Kommando 13, die wir auch tun, dann eben mit anderen Parametern, anderen Auflösungen. Und dann gibt es Kommando 14, das war halt besonders interessant, weil wir festgestellt haben, dass man über Kommando 14 beliebige Executable-Daten da hochladen konnten und die wurden später auch ausgeführt. Das war dann natürlich eine Sache, wo wir ganz klar auch eine Missbrauchsmöglichkeit gesehen haben. Noch ein Wort zu dieser Kommandoliste. Ich würde nochmal kurz noch zurückspringen zu den Anforderungen des Bundesverfassungsgerichts. Ausschließlich laufende Kommunikation. Wenn man sich die Liste anguckt, kein einziges dieser Kommandos erfasst laufende Kommunikation. Wir haben ja in der Öffentlichkeit vor allem den Programm upload, also diese Downloadfunktion, skandalisiert. Man muss aber schon sehen, dass im Grunde das komplette Kommandos-Set darauf angelegt ist, die Vorgaben aus Karlsruhe zu umgehen. Das muss man alles sehen. Die sind alles Kommandos, die nichts mit laufender Kommunikation zu tun haben. Im Grunde der einzige theoretisch noch legale Befehl wäre gewesen, schneide mit, was über Skype gesagt wird. Das wäre das einzige zulässige Kommando-Befehl. Aha! Und wie sollen sie denn die E-Mails, die kriegen, wenn die verschlüsselt werden, aber am Browser getippt werden? Man muss natürlich die Argumentation sehen, dass die Forderung immer ist, das sind verschlüsselte Kommunikationsprozesse. Wir sind aber gewohnt, an Kommunikation ranzukommen, indem wir an die Anbieter herantreten. Hier können wir aber nicht, wenn das verschlüsselt. Wir müssen natürlich sehen, dass es eine Gegenargumentation gibt, aber auf die wollen wir natürlich am Schluss noch kommen. Die Debatte werden wir schon führen, wenn sozusagen jetzt noch darauf wartet. Letztlich habe ich auch schon in politiker getroffen, die ein Screenshot als Kommunikation sehen. Man guckt halt mit den Augen auf ein Browser. Man kann sich jetzt hinsetzen. Also ich meine, mit diesen Offline-Welt-Beispielen ist das immer so eine Sache. Das hat ja Frank ja eben schon gesagt, die sind in aller, aller, allerregel schräg. Aber ich will es trotzdem nochmal versuchen, nämlich das Beispiel, zum Beispiel eines Briefes zu nehmen. Also der Artikel 10, dieser Telekommunikationsfreiheit schützt, vor Zugriffen auf der Übertragungsstrecke. Wenn man also bei der Kommunikation in der heutigen Zeit ein Übertragungsmittler einschaltet, auf Deutsch man sich darauf verlässt, dass ein Dritter die Daten sicher überbringt, dann sind diese Daten unterwegs besonders gefährdet. Das ist völlig klar. Unterwegs kann jeder auf diese Daten zugreifen. Und wenn ich jetzt also einen Screenshot am Computer ansetze, dann ist das ja im Grunde das genau dasselbe, als wenn ich jemandem zu Hause beim Schreiben eines Briefs über die Schulter gucke und eine Reihe von Fotos mache. Das hat aber natürlich nichts damit zu tun, dass ich auf der Übertragungsstrecke, also zum Beispiel bei der Post in den Brief reinschauen, und Artikel 10 verbietet dieses Zugreifen auf den Brief aber andersherum. Wenn ich einen in Artikel 10 eingreifen darf, dann darf ich eben auch nur bei der Post in diesen Brief reinschauen, was schon ein hinreichend gravierender Eingriff ist. Aber das hat nichts damit zu tun, dass ich dem, der einen Brief schreiben will, auch schon zu Hause beim Briefschreiben über die Schulter gucke. Nur mal dieses Real-Life-Beispiel zu bringen und genau dasselbe liegt auch dieser Screenshotargumentation wenn, oder andersherum Karlsruhe hat gesagt, unterwegs, soweit dieser Schutzbereich von Artikel 10 reicht, könnt ihr in Gottes Namen und der Quellen-TKÜ nachschauen, aber eben gerade nicht sonstige Daten vom Computer aussparen. Das kann man gar nicht auf genug sein. Also wenn man sich das mal überlegt, so was wie Google Docs zum Beispiel, also wenn man einfach in den Browsersachen schreibt, die halt nicht Kommunikation sind oder E-Mailentwürfel oder ähnliches, würden halt davon erfasst. An dem Punkt, wo wir allerdings gesehen haben, dass dieses Programm Upload und Execute Funktionen gibt, was noch ein bisschen spannend war, weil die nicht auf den ersten Blick so aus, als wenn sie funktionieren würde. In dem Umblick war eigentlich klar, dass wir uns den Rest der Analyse eigentlich im Wesentlichen sparen können. Weil in dem Umblick, wo man Upload und Execute kann, ist halt klar, kann man halt genau alles tun. Und was wir uns zum Beispiel auf jeden Fall gespart haben, wie man auch feststellen kann, zum Beispiel diese ganzen Skype-Abschnorche-Funktion. Die haben wir weder in der Tiefe detailliert, analysiert noch dokumentiert. Dann das ist ja eigentlich etwas, was sie auch von sich aus zugeben. Also von daher, sagen wir jetzt nicht, die Notwendigkeit da noch tiefer reinzusteigen. Wir wollten eigentlich eher die anderen Aspekte hervorheben. Aber wenn noch jemand tatsächlich ein bisschen C++-Reverse-Engineering üben will, da gibt es noch genug zu tun, die Ida-Datenbank ist online, kann man sich darum kümmern. Ja, zurück zum Verbindungsaufbau. Wenn der initiiert wurde, dann fängt halt der Kleint an in regelmäßigen Abständen dem Server mitzuteilen, dass er gerade nichts zu tun hat. Und wenn der Server oder eben der Beamte, der da gerade dran sitzt, eben möchte, dass der Trojana jetzt ein Screenshot schickt oder irgendeine andere Aktion durchführt, dann bekommt er der Trojana diesen Befehl letztlich mit diesem Server, mit dem er verbunden ist. Und möglicherweise auch noch ein paar Parameter. Und ja, dann führt er im Endeffekt dieses Kommando aus und die Ergebnisse des Kommandos werden dann zurück an den Server geschickt und somit an den entsprechenden Beamten. So, die Verbindung zum Server wird aufgebaut über ein, ja, das sind so die ersten drei Zeilen von so einem Header. Die Zeilen, die mit A markiert sind, sind dann Daten, die da geschickt werden. Das Blaue darunter ist dann die entschlüsselte Variante nur als hexadecimale Darstellung. Und die C, also rot markierte Zeile, das sind dann die Stringdaten, die da übermittelt werden. Und wir sehen hier zum ersten Mal in diesem ganzen Prozess überhaupt unseren komischen C3PO String. Der wird nämlich als fester Header im Endeffekt als allererstes Datenpaket bei einem Verbindungsaufbau an den Server geschickt. Weil es natürlich super, dieser String wird offenbar verwendet, damit der Server entscheiden kann. Da kommt jetzt ein Trojaner, der mit mir reden will. Das ist so was wie ein Sesam öffnet ich. Also, wie sagt Protokoll Droiden, also für die Kommunikation zwischen Inkompatilen außerirdischen Lebensformen zuständig sind. So, die zweite Zeile, die wir hier in Rot sehen bzw. Blau, das sind halt wahrscheinlich umfetsche Flex, das ist nicht ganz klar. Die letzte Zeile, das ist diese Fall-ID, die wir vorher in dem Datensegment im EDA gesehen haben, in der Statischen Analyse. Hier ist sie jetzt nicht verschleiert, das ist also die originale Case-ID als String, die diesem Landshutfall zuzuordnen ist. Die Frage ist halt, ob das vielleicht ein Timestamp sein könnte oder so. So ein Antwortpaket, also eine Antwort von dem Trojaner an den Server, ist halt so strukturiert, wir haben am Anfang einen Returncode, der ist ein Beitlang. Wir haben nicht alle Returncodes reversed, aber es gibt halt so ein Paar, die man halt immer wieder gesehen haben. Das ist eben dieses Ping, mit 1.6 haben wir den Returncode für ein Bild, was eben als Response auf ein Screenshot Anforderung kommt. Hexadecimal 2.3 bedeutet in diesem Fall dein Code wurde ausgeführt und bei 2.8 heißt das, es gibt gerade kein Bild. Ein Screenshot wird von dem Trojaner auch nicht angefertigt, wenn eben ein Prozess, der sich in einer White List befindet, nicht aktiv im Vordergrund ist. Das heißt, wir haben hier in der Tat kein Komplettenscreenshot, zumindest haben wir keinen Trig an können. Ist eigentlich ein Application Shot. Im Endeffekt dient. Ja, Sie haben sich dann rausgerät, Sie nennen das dein Application Shot. Möglicherweise haben Sie damit recht. Aber wir können natürlich nicht ausschließen, dass es auch noch irgendwelche Parameter gibt, die man setzen kann damit. Könnte man ja auch nachladen. Aber das ist jetzt das Lassung jetzt erstmal aus und vor. Hier sehen wir wie zum Beispiel was sendet der Trojaner, also der Client. Wenn ein Screenshot angefertigt wurde das war für uns natürlich interessant, weil wir auch zum Ziel hatten, eventuell einen eigenen Trojaner zu schreiben, den offiziellen Server mit Bildern beschießt. Wenn man also diesen Header von eben hat, mit dem Status 1.6, dann folgt ja ein weiterer Header. Hier sehen wir 32-bit, also 4-byte die Länge der Daten, die dann gleich folgen in Little Indian. Im Endeffekt sind das all die Informationen, die man benötigt, um dieses Protokoll mit dem Server zu sprechen, dass der Server einen auch versteht und glaubt, oh, da kommt jetzt ein wirklich valider Screenshot. Die andere Sache mit dem Upload und Execute, das ist übrigens unser erster Server, den wir gebaut haben, um diesen Trojaner zu exploiten, sage ich jetzt mal. Das ist ein Einzeiler auf der Shell. Zum Schluss noch ein schönes GUI darum gebastelt, obwohl schön war es nicht, habe ich gehört, aber ich wette, es ist schöner, als das, was die Beamten da verwenden. Da gehen wir echt jede Wette. Also das ist auf jeden Fall die Hacker-Variante, die halt cooler aussieht, aber egal. Das ist ein Einzeiler. Wir sehen hier den Befehl, Hexadec mal E, das sagt halt, ich habe hier eine Datei für dich, lad die mal und für die aus. Dann kommen Parameter, die dem Programm dann am Ende übergeben werden, in dem Fall eben die Länge, das sind 16, die Länge der Argumente, die den Programm übergeben werden, 16, mal den Buchstaben B, das ergibt natürlich keinen Sinn, aber wir sehen es später in der Prozessliste auf dem Windows mit dem Trujarner, dass dann das Kalkpunkt-Echse ausgeführt wird mit dem Argument 16 mal B. Danach kommt eben die Länge des Executables und die Daten dann anschließend selber. Das ist eigentlich alles, was man wissen muss, um ein beliebiges Executable auf diesen infizierten Rechner zu schieben und auszuführen. Dann mussten wir raus damit, natürlich. Das war dann eigentlich der Punkt, wo wir ... Wir haben eine Weile hinterher überlegt, wie wir es publizieren und haben zwei Sachen beschlossen, zum einen müssen wir sicherstellen, dass wir vorher Bescheid sagen, dass wir dem Innenministerium zumindest irgendeine Art von Warnung zustellen, dass sie noch 2-3 Tage Zeit haben, um noch laufende Ermittlungsmaßnahmen zu beenden und zum anderen brauchen wir einen Medium, mit dem wir so eine Sache vorbereiten also wo halt einfach die Möglichkeit besteht auch in eine relativ große Geschichte zu machen, ohne dass wir mit Beeinflussungen seitens staatlicher Behörden rechnen müssen. Und haben dann halt so ein bisschen das Kredit rumgefragt und am Ende sind wir halt bei der FIZ gelandet, die uns halt das beste Angebot gemacht haben dafür. Und zwar Angebot im Sinne der Publikation. Also was halt passiert ist, es gab es glaube ich bisher noch nie, die FIZ hat nicht nur einen großen Artikel gebracht, sondern auch noch fünf Seiten Disassembly gedruckt, also so Fullpage. Also als wir mir das vorgeschlagen haben, habe ich gesagt, naja, das ist vielleicht nicht ein bisschen übertrieben oder so. Und die meinten halt so, ne, ne, guck mal, wir müssen den, also allen Leuten da draußen zeigen, wie der Kot aussieht, der das Gesetz bricht. Der Kot wurde, war auch genau dieser Kot Ausschnitt, der nämlich diese Kot Execution macht. Der einzige Teil in dem gesamten Kot ist, wo versucht wird, ein bisschen zu verschleiern, was man tut. Also da gibt es halt so eine Funktion, haben wir die nachher noch im Detail? Ja, ich hab die aber in dem zweiten Teil. Also, kommen wir noch im Detail darauf, also wie sagt die einzige, der einzige Teil des gesamten Trojaners, wo ein bisschen Verschleierung stattfindet ist. Ich kann das ja ganz kurz einwerfen, also sehr schnell gesagt, weil die Verschleierung halt auch schnell durchschaut ist. Für die Ausführung von einem Prozess, also für die Eröffnung eines neuen Prozesses wird ein Windows App genannt, create process A verwendet. Und dann gibt es da noch ein Shell Execute X. Und diese Zeichenkette wird eben genutzt, um ein Function Point aus einer DLL Internet anzusammen, wie wir paste es. Anschließend den Function Point ergeladen. Also, wir haben aber noch versucht, rauszukriegen aus welchem My First Melvia how to, sie das sich irgendwie den Trick abgeguckt haben, aber bisher habe ich das auch nicht gefunden, also falls ihr jemand ein Hinweis habt, im Sinne des historischen Rekords, wenn wir dafür dankbar. Ja, die Geschichte lief dann an einem Sonntag. Ich habe vor ein paar Jahren gesagt, auf einen Sonntag geht ja gar nichts, wie kann man dann auf einen Sonntag mit so was rauskommen. Interessant ist aber, es schlug halt ein wie eine Bombe, weil wir den Sonntag halt für uns hatten. Und was wir halt auch so nicht gesehen hatten, dadurch, dass es halt eben gedruckt war, also dieses Disassembly gedruckt war, in der FAZ war klar, man kann es nicht wegdiskutieren, also der faktische Beweis sind und sogar Leute dazu inspiriert hat, sich das einzurahmen und an die Wand zu hängen. Und wie mir nachher die Vertriebler sagten von einer Zeitung, war die halt komplett ausverkauft unter einem deswegen, weil viele Leute sich einfach 2 gekauft haben, weil wenn man es einrahmen, wir mussten uns ja links rum und rechts rum hängen. Ja, also die es wurde dann halt irgendwie den Medien aufgegriffen, dann gab es noch eine weiterhin untere Diskussion, ob es jetzt in dem Umblick ja am Montag schon beendete als der Anwalt von den Betroffenen, von dem diese Trojaner-Werserung stammte dann von sich aus an die Presse ging und sagte so, ist von mir, da gibt es jetzt also nicht so viel darum zu diskutieren, wir haben halt eine klare Beweiskette von diesen Betroffenen zu uns, also wir können halt definitiv zeigen, dass es halt ein Trojaner ist, der eingesetzt wurde und der dementsprechend halt auch irgendwie nicht wegzudiskutieren ist. Wobei das ja versucht worden war, also an dem Montagmorgen hörte ich beim Zähneputzen im Deutschlandfunk Interview mit einem CDU-Bundestagsabgeordneten, der so orakelte, so nach dem Motto naja wer weiß, was der CCC da eigentlich analysiert hat und es könnte ja auch sein, dass das ja alles gar nicht stimmt und alles nur ganz großer Fake ist und das war also der Moment, wo dann der Anwalt sich quasi entschlossen hat, eine Pressemitteilung rauszugeben und zu sagen, hey von wegen CCC hat da irgendwie was gefaked, sondern das ist halt einfach genau die Festplatte, die bei meinem Mandanten beschlagnahmt wurden. Also da kann man dann nochmal schön nachvollziehen wer so wer ist in Deutschland, indem man mal nachschlägt weil wer dann da versucht hat, irgendwie diese etwas plumpe Diskreditierung zu fahren. Interessant war, dass wir ein bisschen überraschend tatsächlich die Springerpresse auf unserer Seite hatten, fanden wir auch sehr überraschend, aber offensichtlich waren die bei diesem Thema durchaus Willens halt irgendwie ihre, ja, mal im Interesse des Bürgers zu handeln, kommt gelegentlich offenbar auch vor. Ja, das Presse-Echo war enorm, wir hatten glaube ich noch nie so viel, also an den Presseauflauf. Das würde ich jetzt vielleicht auch nicht sagen, aber war schon so eines von den Top 3. Man muss schon sagen, dass zu den Urteitzzeiten und zu Anhängerungszeiten auch schon sehr viel war, aber hier war natürlich so, dass wir den Inhalt erstmal geliefert haben und wir auch sehr viele technische Nachfragen hatten. Aber meine typische Erfahrung war leider, wenn man anfing, die technischen Details zu erklären, insbesondere bevor der Strafverteidiger das öffentlich machte, dann sah man immer so, wie sich die, bei den Journalisten so die Ohren schließen, wenn man versucht, technisch zu erklären, warum das kein irgendwie Malware-Troyana aus dem Internet ist, sondern ein Staats-Troyana. Wir waren uns ja nicht nur sicher wegen des Strafverteidigers, sondern auch technisch sicher, aber dann haben die immer irgendwie die Ohren zugeklappt, so richtig durch technisch wollten sie dann doch nicht wissen. Naja, und dann gab es halt irgendwie dieses schöne, diesen schönen Zeitraum der Konfusion, wo sich die einzelnen Landes-Inministerien und Landeskriminalämter halt komplett in widersprüchlichen Verlautbarungen ergingen, sich gegenseitig widersprachend Inministerien, widersprach LKA, LKA sagte irgendwas Dementiertes, zwei Stunden später Inministerium, sagt, das weiß von nichts. Und es ging halt irgendwie überall so los, und zwar deswegen, weil gleich am Anfang des Bundes-Inministeriums, unseren derzeitigen Innenminister, Herrn Friedrich, versucht hat, aus der Schusslinie zu nehmen, gesagt haben, ja, also von uns kommt es nicht, also es ist nicht unser. So, guck mal in die Länder, so hint hint. Ja, daraufhin sind dann natürlich die Journalisten losgegangen, haben halt alle Länder abgefragt, was halt so ein heilosen Bild der Konfusion führte, weil natürlich dann auch plötzlich, also da war da unter anderem der prassistrategische Fehler drin von denen, weil dadurch hatte plötzlich jede Lokalzeitung im Fernsehsender einen lokalen Aspekt. Ist es denn auch in Mecklenburg-Vorpommern eingesetzt worden? Was war dann eigentlich in Hessen so? Gab es auch Betroffene Nordrhein-Westfalen? Ja, da wurden so Zeitungen wie die Ostsee-Zeitung, Westfalen, da da wurden die zu echt investigativen Journalisten schleudern. Also, einer der der Höhepunkte der Sache war dann halt die, es kamen ziemlich schnell zu einer Debatte im Bundestag, also gefolgt von einer Sitzung. Wir wollten uns darauf hinweisen, dass ich bitte nochmal da bin, darauf zurückkommen. Achso, wir haben das wieder? Wir können es sofort sehen, das ist ja ein Geoschnuppe. Achso, haben wir es? Wir haben nur ein Plan und eine Struktur, da können wir jetzt nicht so richtig raus, wegen der... Nein, ihr wisst schon. Nein, das große, was kam eigentlich danach, das haben wir eigentlich später noch. Genau, jetzt... Wie sagt ich doch gerade, es gab dann die durchaus zu einem der Höhepunkte der deutschen Parlamentsgeschichte zählte, aus zwei Gründen. Zum einen, was, glaube ich, einen der leersten Debatten überhaupt im Bundestag. Es war fast niemand da. Und zum anderen haben wir eine schöne Galerie von parlamentarischen Staatssekretärien gehabt, die es so dermaßen bis auf die Knochen blamiert haben. Ein paar Ausschnitte müssen wir euch davon unbedingt mal zeigen. Ist die angebliche Anwendung einer unsicheren Software zur Quellen-Tele-Kommunikationsüberwachung durch Bundesbehörden. Dieser Vorwurf kam erstmals vom Chaos Computer Club und wurde dann von vielen Seiten hysterisch aufgebaut bis hin zur Forderung, dass eine solche Überwachung rechtswidrig seid. Meine Damen und Herren, die Beratung heute, die Aufklärung im Innenausschuss, hat gezeigt, dass ein solcher Vorwurf schlichtweg falsch ist. Zunächst einmal ein Gericht. Im Ausnahmetheil angeordnete Telekommunikationsüberwachung, kurz TKÜ, ist ein unverzichtbares Hilfsmittel der Strafverfolgungsbehörden im Kampf gegen Terrorismus, gegen organisierte Kriminalität. Und wir reden hier allein über diese Formen von Kriminalität. Wir reden hier nicht über Bagatellkriminalität, über Alltagskriminalität. Für diese Formen ist eine solche Überwachungsmaßnahme überhaupt nicht erlaubt und wird in Deutschland auch nicht angewendet. Also, wir sehen, es ist alternativlos gegen die Krimität im Internet. Aber wir haben noch mehr. Erstverständlich muss das auch entsprechende Konsequenzen für die Software haben. Wo Quellen, TKÜ draufsteht, darf keine Online-Duchsuchung drinstehen, meine Damen und Herren. Die Vorwürfe des Chaos Computer Club und viele andere, auch hier im Haus, dass der Bund Software einsetzt, die mehr kann als Quellen, TKÜ ist schlichtweg falsch. Die Telekommunikationssoftware der Bundesbehörden macht keine Screenshots und bedient sich auch keiner Bildschirmkameras oder Mikrofone. Durch eine revisionssichere Protokollierung sämtlicher Schritte ist das auch für den zuständigen Richter kontrollierbar und durch diese Protokollierung ist es auch nicht einfach möglich, mal eben andere Schadmodule nachzuladen, weil das mir nicht genannt werden wird. Wir müssen uns so vorstellen, diese revisionssichere Protokollierung muss ja auf der Seite des Beschuldigten stattfinden. Man hat manchmal im Einzelfall darauf verzichtet, da noch ein MO-Laufwerk hinzustellen, was revisionssicher protokolliert. Wir wollen aber vor allem auch an nicht, dass wir hier nicht so bei ist Information, wir wollen auch alle Seiten zu Wort kommen lassen, deswegen war uns auch wichtig, den Innenstaatssekretär den Krimitätsbekämpfer erster Ordnung auch hier nochmal zu Wort kommen zu lassen. Ja, das Medienecho war, wie gesagt, relativ groß, auch heiße Titel und in diesem Kontext ist kontextbezogene Werbung auch manchmal erfreulich. Das ist richtig los, als wir gehört haben, dass Digitas gegenüber ihren Kunden nämlich den Behörden eine Stellungnahme abgegeben hat und relativ knapp auf so viel Seiten man zwar mal ein bisschen Position bezogen haben. Also die Stellungnahme wurde uns innerhalb von Stunden weiter gelegt, weil sie war irgendwie zu großartig. Sie machten offenbar unsere Bewertung nicht. Wir hatten ja so ein bisschen wertenden Bewertung, wir fanden wir doch ein bisschen schade, hätten wir gerne ein bisschen Gegenwehr gehabt. Muss ich das ja einfach so vorstellen, diese Digitas-Software wird ja nicht so ohne weitest auf den freien Markt verkauft, sondern jedenfalls in Deutschland, vor allem an irgendwelche Behörden und da hat natürlich die Luft gebrannt, da muss man sich das so vorstellen, da kam in jedem Landesparlament eine Anfrage an das sieberlige Innenministerium, das heißt der Innenminister kam unter Druck und diesen Druck gibt jeder Minister natürlich nach innen weiter haben, jedenfalls nach außen. Und diesen Druck werden sie natürlich auch weitergegeben haben an die Firma Digitas. Ich möchte wirklich nicht wissen, was da für Telefonanrufe passierten, so frei nach dem Motto, wir haben euch hier 100.000 bezahlt, ihr habt immer gesagt, es ist total top, was ihr da liefert und in Wirklichkeit grillt ihr uns auf diese Art und Weise. Also Reaktion von Digitas auf diese Anwürfe, die man sich vorstellen kann, die wiederum hatte eben vier Seiten und die wollen wir doch jetzt mal auseinander puzzeln. Und dann haben wir hier noch ein paar Stationsstationsstationen gegangen, bevor diese Stellungnahme kam und die haben ihren Anwalt als Pressesprecher losgeschickt, der dann gegenüber Spiegel-TV solche goldigen Sätze sagte, ich meine bei Heckler und Koch riegt sich doch auch niemand auf, wenn die sowas verkaufen, nicht wahr? Weil der auf euch eine lustige Realitätswahrnehmung ist. Ja, großartig. Es ist halt Krieg gegen Terror, und gegen Krimität. Und dafür brauchen wir natürlich auch Updates. Und man darf dann natürlich auch nur Updates damit machen, wie Digitaschen natürlich hervorhebt. Wir gehen natürlich auch davon aus, dass grundsätzlich die Beamten oder irgendjemand, also das ist ja ist ja Close Source, das ist nicht offen, das macht dann schon keiner, weil das kennt ja keiner, da nicht zugelassene Funktionen selber zu schreiben und dahin zu schieben oder auszuführen. Das wird einfach erstmal vorausgesetzt. Ja, ansonsten müssen wir euch bitten, hier möglichst stillschweigen zu warnen. Also ihr habt das nie gesehen. Digitasch zieht auch noch ein Fazit, was wir euch auch nicht vorenthalten wollen. Die Quellen-TKÖ-Software der Firma Digitasch ist ein ständig gepflegtes Produkt, das hier in einer fast drei Jahre alten Version untersucht wurde. Das ist richtig. Die Firma Digitasch ist aber ständig dabei, diese Software auf die aktuellen Anforderungen und Sicherheitsstandards anzupassen. Ständig. Ständig, laufend. Also auch jetzt, also in diesem Moment sitzen die Entwickler von Digitasch und verbessern ihr. Dann konntet BKA natürlich nur sekundieren, wir natürlich auch. Es gibt kein Mills, braucht durch BKA-Beamte, das heißt, wir haben hier auch die, also der Papst macht sowas auch nicht. Also in haltlose Verleumdungen und unseriöse Skandalisierungen ist natürlich auch eine echte sachliche Antwort. Ja, absolut. Und falsch ist, wir verschlüsseln in beide Richtungen. Also diese, das stammt aus dem Sprechzettel das BKA-Präsidentin Zierke, der immer wieder für goldiges Statement gut ist, der in diesem Fall einen Innenausschuss informiert hatte und sich dann hinterher so ein bisschen drüber aufregte, dass sein Sprechzettel natürlich auch prompt an die Öffentlichkeit gelangt ist. Und natürlich, der immer gleichbleibende Schlüssel dient zur Verschlüsselung und zur Authentifizierung, das ist natürlich auch selbstverständlich. Ja. Wir haben eine dreijahre alte Version der Software analysiert, das ist völlig richtig und wir sind gespannt, was uns nach diesen drei Jahren so erwartet, weil schliesslich wird dieses Produkt ja auch ständig und laufen weiterentwickelt und verbessert und gepflegt. Und gepflegt. Ob es falsche Futter genommen hat. Ob es so Trojaner-Gesichtspflegecreme gibt. Wollen wir mal gucken mit unserer Innenstadtsekretär, der ja in Vertretung des leider abwesenden Minister sprechen musste dazu zu sagen hat. Weil in drei Jahren kann sich natürlich auch eine ganze... Anders als bei der vom Chaos-Computer-Club untersuchten Software, die ja im übrigen Zeit ist und drei Jahre ist und wirklich in der IT eine lange Zeit, findet eben bei der eingesetzten Software des Bundes auch eine Verschlüsselung in beide Richtungen statt. Damit ist die Software auch entsprechend gesichert. Ja. Also uns hat es erstmal auch überzeugt, wir waren eigentlich sicher ja, mit Schohle ja. Super. Aber dann... Also wir bekamen dann halt im Laufe der Wochen, waren es bis zu dieser Debatte drei Jahre späterer Software. Noch weitere Versionen zugestellt und wir haben dann halt die allerneuste davon genommen, weil wir sind das schließlich fair und haben dann halt einfach die genommen, die am frischesten war und also was Mindesthaltbarkeitsdatum noch nicht so sehr abgelaufen war. Ach so, wir können uns bei der Gelingen auch bedanken über die hundertfache Einsendung von E-Mails, die wir hatten von Leuten, die auch den haben. Ich bin sehr gefreut. Also nochmal ein kurzer Hinweis, wenn ihr sowas findet, also wenn eure Antivirussoftware sagt, hey du hast da so ein Trojaner, der irgendwie so aussieht, WR2D2, guckt erstmal nach, ob er nicht vielleicht das Tempel von unserer Webseite runtergeladen hat und dann eure Antivirussoftware geschlagen. Also neben einigen echten Einreichungen von tatsächlich Betroffenen hatten wir doch so eine knapp dreistellige Anzahl von Leuten, die erst runtergeladen und dann ihre Antivirussoftware beachtet haben. Wir wollen uns auch bedanken über die andere Mailware, die uns im Zuge dieser Staatstrojaner Affäre so zugeschickt wurden. Wir haben jetzt wirklich eine stattliche Sammlung von allem möglichen Mailwarezeug. Ach so, aber wir haben vielleicht noch eine Sache, die wir vorher noch kurz erwähnt haben, bevor wir auf diesen zweiten Fall kommen, den wir dann vergleichen analysiert haben. Wir waren nicht die ersten, die diesen Staatstrojaner auch untersucht haben, aber damit eben nicht an die Öffentlichkeit gegangen sind. Wir gehen auch davon aus, dass vielleicht noch andere, außer diese zwei Gruppen diesen Trojaner untersucht haben, aber damit eben nicht. Wissen wir nicht, aber es spielt jetzt auch nicht wirklich eine große Rolle. Der Punkt ist halt schon interessant, dass offensichtlich deutsche Universitäten in diesen Fragen nicht unbedingt die Vertrauensförderung Ansprechpartner sind, wenn es um Mailware geht, weil die dann halt im Zweifel überlegen, was ihre Loyalitäten sind. Man muss schon ein bisschen informieren, dass von den Lehrstühlen zum Beispiel Mitarbeiter sich nicht wenigstens mal hintenrum bei uns gemeldet haben, sondern einfach dann in der Schublade verschwunden ist. Also man muss zum Beispiel sagen, bei der Landzuter-Festplatte war es so, dass die mal an einen Lehrstuhl weitergereicht wurde zu Analyse und da gab es dann offiziell die Botschaft, wir haben nichts gefunden. Wir haben diese Informationen in gewisser Weise auch angewiesen. Oder Sie haben es nicht gefunden, das können natürlich auch sein. Ich meine, war ja gelöscht, haben wir ja schon gesagt. Muss man nicht finden. Kann man aber. Also wir kommen mal sozusagen dem zweiten Teil. Hier sehen wir ein Diff von einer Funktion, also das sind die einzelnen Basic-Blocke einer Funktion, nämlich der Funktion die sogenannten Updates ausführt. Auf der rechten Seite, die zweite Version ist mehr Obfuscation eingebaut. Dazu kommen wir später noch mehr zu den Details. Das ist jetzt einfach nur eine Folie um einfach zu zeigen. Wir haben uns dann halt auch darum bemüht, die genauen Unterschiede herauszufinden. Wir reden jetzt hier über eine Version vom Dezember 2010, etwa Dezember 2010. 2007 hieß es noch sofort das BMI an die SPD Bundestagsfraktion, das nicht zu erwartend ist, dass diese Remote Forensic Software entdeckt werden wird. Jedenfalls nicht zweimal. In der Tat hatten wir nach der ersten Veröffentlichung ein und dieselbe MyWare, also diese hier aus verschiedenen Quellen zugeschickt bekommen. Ich wurde nämlich mehrfach an Virus Totals submitted. Ob das jetzt Kunden waren oder die Entwickler ist unklar. Fakt ist halt, dass dieser Trojaner am Endeffekt dadurch in groß verteilt wurde an ganz viele Firmen, die uns das Ding dann einfach zur Verfügung stellten. Weil man sagen muss, also die verteilen die Software natürlich an relativ breiten Kreis und wenn man sich dann vor Augen führt HardCoded IS Schlüssel und HardCoded IP Adresse und solche Geschichten, das macht die Aussagen zum Thema, da kann nichts untergeschoben werden in einer gewissen Weise peppig. Also man weiß eigentlich so gut wie gar nichts über das System und kann da auch nicht gezielt angreifen, dann geht nicht. Also auch wenn man ein Sample hat nicht. Neu hervor zu heben in dieser Version ist, es gibt tatsächlich keine Screenshots mehr. Das heißt, die haben das ernst genommen, was da vorgegeben wurde. Zumindest ist es nativ nicht mehr möglich, diese Screenshot Funktionalität zu triggern. Der Code ist immer noch da. Also das selbe Spiel vorher Funktionalität bleibt drin. Sie wird halt nur mit minimalen Änderungen disabled. Genau, das gleiche eben mit diesen Multimedia Funktionen, womit ich das Mikrofon anschalten kann. Der Code war da, aber wir haben keinen Crawl Pfad gefunden. Die gleiche Situation haben wir jetzt hier auch. Das lässt natürlich dann wieder einige Rückschlüsse zu, auf die Art und Weise wie sie ihre Software maintain. Ständig pflegen. Ständig gepflegt und da noch mehr Krypto eingebaut. Also zumindest in diesem einen Punkt hat der Innenstadtsekretär nicht gelogen, sondern es ist tatsächlich bidirektional. Das war wahrscheinlich doch eines der größten Features, die sie dann in den 3 Jahren neu entwickelt haben. Ob Sie dafür noch ein extra, also Bonus, so geltenmäßig verlangt haben? Das war schon ein Tether-Change. Also würde ich schon sagen, also ich meine, das ist immerhin 50% der Krypto. Ja. Doppel zu viel Krypto hat. Also wie sich denn aus einer Digital- Stellungnahme ergab, haben Sie tatsächlich mindestens 2 Jahre gebraucht, um diese bidirektionale Krypto zu entwickeln? Es gibt noch ein Feature, dazu komme ich gleich. Anders auch an dieser Weihnachts- Edition war, dass die IP-Adresse nicht mehr in den USA terminierte, sondern hinter einer QSC- Leitung. Die wir hatten, wir wissen natürlich auf dem politischen Gespräch, dass auch noch länger als 2008 ausländische Server benutzt wurden, aber nicht in den, die wir gesehen haben. Ja, und es gibt noch eine weitere Authentifizierung vor diesem Kommando des Patcher, wo eben die einzelnen Anforderungen vom Server entgegengenommen und verarbeitet werden. Da gibt es jetzt noch eine Authentifizierung davor, die zeige ich gleich. Es wird weiter Code-opposiziert und da, wo die Updates eingespielt werden, es wird, es werden zwei weitere Strings werden zerhackt, oder? Das Puzzle werden wir gleich mal zeigen. Das sehen wir auch noch, ja. Und natürlich gibt es auch eine 64-Bit Version. Ständig Pflege. Willkommen im Jahr 2010. Das ist gar nicht so erfreulich, man muss sich auch klar machen, dass sich bei uns sehr viele Leute gemeldet haben, die gefragt haben, wie sie sich vor allen Dingen schützen und sagen, ja, 32-Bit-Windows kommen, alles andere, mussten wir natürlich dann zurücknehmen. Also so erfreut waren die Anrufer nicht darüber. Ja, also zur Authentifizierung, das sehen wir hier in diesem Coil-Grafen grün markiert, ist eben diese Funktion, die extra noch mit hinzugekommen ist. Wir haben sie hier Checkout genannt und sie wird unmittelbar vor diesem Switch Statement, was ich vorhin erwähnt habe, ausgeführt. Wenn die Credentials, die dann da von dem Server mitgegeben werden, nicht stimmen, dann wird eben auch dieser Commander-Spatcher nicht ausgeführt. Das Assembly sieht das Ganze so aus, dass hier vier Immediate-Values auf den Stack gepusht werden als Argumente für diese Checkout-Funktion. Das heißt, sie sind dort hard coded, wie man leicht erkennen kann. Genau diese Werte, die hier auf den Stack gepusht werden, muss sich im Endeffekt auch übers Netzwerk machen. Also die Bild hatte einen schönen Überschrift, die lautete, jedes Flort-Portal ist besser gesichert. Wie viele Jahre hast du gebraucht, um den Command-and-Control-Server anzupassen an diese Kryptöne? Das hat glaube ich, ja, das hat schon mal so echt zwei Stunden gedauert. Wir haben hier noch, genau die gleiche Funktion wird nochmal aufgerufen, und zwar in dem das Kernelmodul registriert werden soll. Auffällig ist, dass sie ganz andere Werte benutzen, um da hochzuschämen. Ein zweiter, eine zweistufige Authentifizierung sozusagen. Und die beidseitige Verschlüsselung. Das ist jetzt sehr unübersichtlich, aber wir sehen hier diese sogenannte Code-Opfiscation, auf die ich im ersten Teil gar nicht so genau eingegangen bin. Ich habe das jetzt hier stark gekürzt. Wir sehen hier mit dem, was hier gepusht wird, sind eben die Argumente zu den String-Concatenatern. Hier werden Zeichenketten zusammengesetzt. Wir sehen shell32.dll, das ist eine Zeichenkette, dann gibt es shell executeX. Dann gibt es createProcessA. Das sind die Zeichenketten, die notwendig sind, um die entsprechenden Zeige aus der Funktion, aus der DLL herauszuholen. Und wenn man das mal nachverfolgt, kommen wir am Ende an den Punkt, wo createProcessA aus shell32.dll geholt wird und ausgeführt wird. Das heißt, wir haben die gleiche Kommando-Execution gefunden, die wir auch schon in der 2008er-Version hatten. Und im Endeffekt war das auch wieder ein Punkt, wo wir gesagt haben, dass es da eigentlich ja ... Da hat es natürlich auf den BKA verschiedentlich geäußert. Also zunächst mal wir haben relativ viele Anfragen unmittelbar nach der Veröffentlichung bekommen. Eigentlich am schnäzen war die FDP, muss man so sagen, da ja offenbar in der Regierungskorrektion untereinander nicht mehr so richtig viel geredet wird, so beidseitig. Oder verschlüsselt? Also war das FDP-Presidium zunächst mal vor allen Dingen interessiert an Informationen. Also die wollten gerne wissen, was das eigentlich heißt und wie das auch juristisch zu bewerten ist. Also ganz wenige Tage danach haben wir uns also mit dem FDP-Presidium getroffen und gab Anhörung in den entsprechenden Ausschüssen im Bundestag. Welcher war deine? Ich hatte glaube ich SPD und mit mir war der und der Ausschuss neue Medien. Also gab es halt verschiedene Treffen auf politischer Ebene und gab es sehr viele. Also eigentlich haben wir mit allen geredet außer der CDU. Also eigentlich haben wir sozusagen allen Parteien das nochmal H-Klein erklärt. Naja und natürlich einige Veranstaltungen wo wir darüber gesprochen haben, aber dann auch die verschiedenen Zusammenarbeiten mit den Landesregierung, weil natürlich die Opposition oft technische Hilfe bei den Anfragen von uns gesucht hat. Also wie formulieren wir die Fragen? Das sind teilweise riesenhafter Kataloge von 50, 60 bis 80 Fragen an die Landesregierung rausgegangen, die teilweise ein bisschen unterschiedlich waren, weil er die Lokalzeitung immer schon lustige Sachen ermittelt hatten. Also es war doch eine Menge politischer Interesse von sehr verschiedenen Seiten, denn je nachdem, wie die Landesregierung geformt war, haben sich dadurch aus in so unterschiedliche Koalitionen gefunden, die da gemeinschaftlich gesucht haben, bis hin eben zu Baden-Württemberg, wo ja die ansonsten Überwachungskritischen Grünen ja plötzlich nur die Regierungsverantwortung haben und die Antworten auf diese staatsrojener Fragen entsprechend ausführen. Nämlich, dass man die unverzichtbar brauche, es sei alles alternativ los und es sei, ihr wisst schon. Also man sieht ja, dass man mal wieder die parteistrategischen Spiele waren. Letztlich. Ich hatte da neuliche Nummer ganz kurz an der Stelle. Ich hätte neulich mal den Link gepostet und dann ein Dokument vom Baden-Württembergischen Landtag irgendwie auf Twitter rumgeschickt habe, auch tausende von Retweets, weil es natürlich halt spannend ist, wenn eine grüne, rote Landesregierung sich für den Trojanereinsatz ausspricht und 10 Tage später oder so bekam ich dann Ad Reply von der grünen Landtagsfraktion und da hieß es dann in der Tat, wir sind dafür, aber es geht ja auch nur um Telefonüberwachung. Muss man sich mal auf der Zunge zergehen lassen. Wir kennen ja die Argumentation. Das ist auch eine der frustrierenden Runden halt irgendwie Politikberatung, die wir so hatten, weil zum einen ist das technische Verständnis bei den Allermeisten dort beschränkt sich halt auf solitär Spielen auf dem iPad und dementsprechend lassen sie sich halt auch relativ einfach von den Argumentationen der Sicherheitsbehörden einwickeln. Die halt sagen, aber wir müssen doch und wir brauchen doch. Und dementsprechend läuft halt auch die politische Diskussion in diesen Ausschüssen oder gerade bei den Regierungsparteien doch eher in relativ festgefügten Bahnen. Da kommen wir gleich nach drauf. Man muss sich mal vorstellen, dass die Argumentation ungefähr so läuft. Aber da sind doch die Krimität und der Terrorismus und die haben ja da quasi verstößerte Kommunikationswege, da müssen wir ran. Und die Gegenargumentation, dass ja diese Quellen-TKÜ on top auf den anderen Überwachungsmaßnahmen ist, dann haben sie also schon die gesamte Festnetz und Mobile-Telefonie und so weiter. Das alleine die Bundesbehörden im letzten Jahr 1,69 Millionen Ping-SMS geschickt haben. Das heißt, die haben auch schon Bewegungsprofile und also man muss sich immer überlegen, dass wir ja nur davon reden, was sie ganz am Ende noch dürfen. Dann saß sich jetzt BKA in mehreren Gegebenheiten dann auch zur Stellungennahme verpflichtet, also einmal zunächst mal mündlich vor den entsprechenden Ausschüssen im Bundestag und dann aber auch in so einem schriftlichen Raum, wo sie ja zunächst mal natürlich sagen, es wird alles protokolliert, also die Box, die sie dann beim betroffenen Rechner daneben steigt oder so, revisionssicher natürlich. Die wird unsichtbar gemacht einfach. Ja? Ja. Klar. Es ist natürlich schon eine wichtige Sache, die uns auch ein bisschen am Herzen liegt. Wir wollen uns natürlich jetzt auch nicht vor irgendwelchen verdächtigen Stellen, die da vielleicht zu Recht abgehört werden. Zumindest jeder hat auch ein Recht darauf, sich zu verteidigen. Dafür braucht der Strafverteidiger auch die Mittel. Und die Beweissicherheit der damit erlangten Beweise ist natürlich von vorne rein kritisch, also wie sich glaube ich aus der technischen Analyse ziemlich genauer gibt. Naja, und das System technische Protokoll ist aus der Bedienoberfläche heraus nicht manipulierbar. Sie haben bestimmt Recht, also wir sind ziemlich sicher, dass sie dann ganz viel Recht haben. Wir brauchen auf jeden Fall aktive Zugänge. Ja, da waren wir dann auch wirklich überzeugt. Wollten wir auch schon aufhören, aber... Einer geht noch. Die gelieferten Tools werden abgelegt, um deren nachträgliche Prüfung zu ermöglichen. Also Tools, mein Trojaner. Also, das ist interessant. Ich weiß nicht, ob Sie sich auch deshalb der Platte gelassen. Wahrscheinlich. Also jetzt verwenden wir den Professor auf. Also im Zuge dieser Debatte kamen halt ja so verschiedene Merkwürdigkeiten in diesem ganzen Verfahren hoch. Also langsam kristallisiert es sich heraus, wie es so funktioniert. Wir haben es spezifisch mal für einen Bundesland mal so ein bisschen in Detail erfahren. Und es ist tatsächlich so, dass das Bundesland sagt halt, ja, ich hätte gerne, wir hätten gerne für einen Fall mit diesen Rahmenbedingungen halt eine Quellen-Tele-Kommunikationsüberwachung. Und dann bekommen die von Digitas den Trojaner zum Installieren. Wie auch immer, durch irgendwie E-Mail oder durch irgendwie physisches Einbringen auf den Computer, wenn sich dazu die Gelegenheit ergibt, zum Beispiel bei einer Personenkontrolle oder ähnliches. Und sie bekommen dazu einen konfigurierten Computer, der bei ihnen in die Abteilung gestellt wird und da kommen die Daten an. Das heißt also, die haben mit der gesamten Technologie überhaupt nichts zu tun. Das heißt, die wissen auch nicht wirklich, was da passiert. Und also der Staatssekretär hat das ja dann auch so schön gesagt, so was sie dann da eigentlich tun ist, halt sie prüfen das System, an dem sie da halt auf die Knappe drücken. Mal gucken, was passiert so. Ja. Das ist bestimmt so ein Nadel-Drucker angeschlossen, der dann die Screenshots aussieht. Genau. Revision sicherlich. Und genauso sind dann halt eben auch diese Antworten. Also in diesem Kontext muss man das ja sehen, so aus der Bedienoberfläche. Also da braucht man mindestens ein System und ein Strat dafür. Also es gab natürlich neben diesen ja Statement die Folie, warte mal, sollte eigentlich noch die andere kommen, Entschuldigung. Wer hat noch die Reaktionsfolie davor, oder? Ah, okay, Entschuldigung, wir gerade ein bisschen verwirrt. Dann musst du das machen. Ja. Keine Ahnung, vielleicht ist es recht, aber ich glaube nicht. Ja, die ungewollten Konsequenzen, die sehen wir ja doch sehr deutlich bei den Punkten, die wir ganz besonders aufgezeichnet haben. Wie wir ja auch schon Jahre vorher gesagt haben, durch die Erweiterung eines Computers, durch einen Staatstrojaner vergrößern wir im Endeffekt auch die Angriffsfläche. Das heißt Fehler in der Software Trojana die können genauso ausgenutzt werden durch malware automatisiert oder durch gezielte Angriffe, durch bösartige Benutzer, durch Leute, die im Endeffekt den Rechner kompromittieren wollen und da den Weg über den Trojaner gehen. Das sind die Dienste, die zum Beispiel Interesse an den Daten haben. Was schließlich haben wir ja die Fälle, die jetzt öffentliche worden sind, sind ja auch einige aus Sicht der Wirtschaftspionage interessante Fälle dabei. Das haben wir im Endeffekt demonstriert in der Version aus 2008. Wir haben beliebige Programme da hochladen können. Wir haben auch testweise eigene Executorbirds da hochgeschoben, die eben eine Raumüberwachung durchführen können. Das haben wir gezeigt, das ist im Endeffekt bewiesen. Das haben wir gesehen, das war eine Kod enthalten war, der unklar war, der offensichtlich auch tot, also stillgelegt war zu diesem Toten Kod und insbesondere in dem Windows Kernel-Treiber äußert sich digital, dass der CCC bestätigt hat, dass hier nicht zugelassene Funktionen, also der Key-Locker, der da quasi mitgeliefert wird und... Um es nochmal zu erläutern, in diesem Kernel-Modul waren alle Komponenten bis auf minimale Auslassungen, die man für einen Low-Level-Key-Locker braucht, also der alle Tastatureingaben auf dem Computer mitlockt. Und ja, um dem jetzt nochmal irgendwie einen Statement entgegenzusetzen, wir hatten dann einige Tage, nachdem wir das veröffentlicht hatten, noch etwas Feedback bekommen. Also jemand hat, auf PaySpin landete dieses wundervolle Programm, was im Endeffekt diesen Toten Code aktivierte und ein Key-Logging zu ließ. Also... Ja, da geben sich auch ganz neue Probleme, über die wir in Zukunft dann nachdenken können. Also aus alles berücksichtigt werden. Wir haben es leider nicht geschafft, eine der Parteien zu überzeugen, die Frage nach den vertikalen Betrimentorienmaschinen, die parlamentarischen Anfrage aufzulegen. Aber vielleicht beim nächsten Mal. Auf jeden Fall. Aber diese Stichworte und gerade das Stichwort Touringmaschinen macht natürlich schön deutlich, wo auch bei dem Einsatz solcher Software ein großes Problem liegt. Jetzt mal aus der Perspektive der Justiz ist natürlich völlig klar, da kann man überhaupt gar nichts mehr prüfen. Also auch bei einer Telefonüberwachung steht man sich natürlich jetzt nicht hin und guckt mal, welches Kabel geht da jetzt eigentlich so ein Provider macht, wenn er eine Telefonüberwachung schaltet. Wenn man solche Software einsetzt, die ja auch aus Sicht der Behörden, also der Landeskriminalamt hat zum Beispiel eine Blackbox ist, die ja selber überhaupt nicht wissen, was sie da tun, die nur so eine fertige Lösung in ihr Büro gestellt bekommen. Da muss man einfach sagen, dass es vorkommt, unüberwachtes Handeln, von zum Beispiel Digitas, die vorwerken an den Rechnern von irgendwelchen Beschuligten herum. Natürlich gibt es da immer irgendein richterlichen Beschluss, das muss man sich mal klar machen. Der weiß allenfalls, hat er seine Quellen-TKÜ anordnet, aber er könnte natürlich genauso gut irgendwie Mox32 anordnen, da wüsste er genauso wenig, was es damit eigentlich auf sich hat. Dann werdet eigentlich mal erwähnt, dass niemand im Land, im Bund, niemand beim BKA, LKA nicht, ZKA nicht, Bundespolizei nicht, bei den Diensten wüssten wir es nicht. Niemand hat diesen Quercode. Also nur, das muss man festhalten. Da ist natürlich auch nicht der Richter. Der Richter musste sich letztlich in dem Land zu, ganz klar geworden, verlassen auf die Aussagen, die ein LKA-Mitglied, machte schriftlich. Und der natürlich auch den Quertext nicht hatte. Also es ist so ein lustiges Bandespielen, also wo der Blinde den anderen Blinden berät. Und der Richter hatte aus unserer Sicht natürlich nie eine Chance, mal abgesehen davon, dass die LKA-Papiere zumindest in manchen Teilen hart an der Wahrheit vorbeigehen. Da ist der Richter, also die Aussagen verlassen des LKAs, die ihr unabhängig ohnehin nicht prüfen kann. Also nur kurz zur Erläuterung dazu. Es gab eine Anordnung von einem Richter am Amtsgericht, die quasi die erste Instanz darauf haben, die losgelauscht. Und als dann der Verteidiger Monate später in den Akten dieses Screenshots fand und so schlau war, sich zu sagen, hey, da stimmt das nicht. Wieso Screenshots? Wieso Screenshots von meinem Rechner? Da muss ja wohl ein Trojaner am Start gewesen sein. Und das Landgericht in Landshut darüber entscheiden. Und im Zuge dieses Verfahrens hat das LKA-Stellungnahmen abgegeben gegenüber dem Gericht und damit quasi so die wesentliche Grundlage geliefert, dafür, dass das Gericht sagen konnte, hopp oder top, legal oder illegal. Und wie Konz schon sagt, also diese LKA-Stellungnahmen sind irgendwie auch durchgesickert. Und da muss man schon sagen, da stimmen eben so ein paar Sachen nicht. Vielleicht muss es nicht besser, das kann natürlich sein. Und wenn man jetzt mal noch andere juristische Fragen zum Beispiel danach, sind dann überhaupt die Ergebnisse davonstellt. Da haben wir uns natürlich dem auch technisch mal angenehren mit unserer Fake-Evidence-Schleuder. Ja, wir haben ja festgestellt, in der zweiten Version wurde ja die Screenshot-Funktionalität stillgelegt. Wir haben uns dann gefragt, ob die möglicherweise auf der Behördenseite, also auf der Server-Seite vielleicht noch aktiv ist und ob man nicht einfach unerwünscht eingesandte Screenshots, also ob die da nicht auch weiter verarbeitet werden. Und deshalb gab es dann ein kleines Perl-Skript, was den Trojaner emolliert hat. Über dieses Perl-Skript konnten wir dann zeigen, dass wir beliebige Bilder an den Server der Behörden schicken können. Daher eben Fake-Evidence-Schleuder. Der Quellcode für dieses Perl-Skript wird natürlich genauso wenig veröffentlicht wie der Quellcode für unsere wundervolle GUI, die wir hier sehen. Selbstverständlich hat unsere beschuldigte Zielperson mit dem Trojaner keine Rick Astley-Bilder angefordert. Also Fake-Evidence. Das war dann unser Fake-Evidence Perl-Skript. Wir haben gerade den Screenshot oben, die Hauptkritik, die wir bekamen für diese Benutzeroberfläche für den Trojaner war, dass sie nicht den Mac OS X Coding Guidelines für die Faces entspricht. Wir möchten uns dafür in aller Form entschuldigen. Aber zum Glück musstet ihr die Software ja nicht benutzen. Wir haben jetzt noch eine kleine Übersicht, was dann letztlich zusammengetragen wurde, wo dieser Stadts Trojaner überall im Einsatz war. Da sieht man an den schwarz markierten Bundesländern. Allerdings natürlich nur die Landesbehörden jeweils ohne Dienste bei den Bundesbehörden, die ja hier Bundespolizei und BKA sind. Da gibt es eine gesonderte Antwort. Da kann man natürlich den Bundesländern nicht unbedingt zuordnen. Und auch beim Zollkriminalamt, dass ja dem Finanzministerium damit Schäuble unterstellt ist, haben wir natürlich jetzt keine Zuordnung gemacht. Möglicherweise will dann die Bundesrepublik jetzt als Schwärzer aussehen. Wir haben sich verschiedene Projekte gebildet, die ausgewertet haben, aber es fehlen aus einigen Bundesländern noch die Antworten. Wir können aber letztlich davon ausgehen, dass wir seit etwa 70 bis 80 Fälle haben, von denen allerdings auch so einige nicht auf das System gelangt sind. Das heißt, es gab vor allem im Bereich des Zollkriminalamts einige Versuche Trojaner zu installieren, die fehlgeleitet sind oder aber keine Daten ausleiten konnten. Die näheren Umstände davon sind uns nicht bekannt und alles, was die Dienste betrifft im Land ist nur in der Geheimschutzstelle des Bundestages einzusehen, was die Abgeordneten machen können, allerdings nicht darüber sprechen dürfen. Also wir wissen weiterhin natürlich im Bereich der Dienste gar nichts. Stichwort Zoll nochmal ganz kurz. Wir wissen immerhin in einigen wenigen Fällen, wie die Software installiert wurde. Nämlich zum Beispiel im Landshuterfall. Da ist es so gewesen, dass der Beschuldigte ein Händler war. Bei der Einreise am Münchner Flughafen war es ein Laptop abgeben musste und dann haben die Behörden, die die Bördenmitarbeiter dann den Laptop mal in so ein Nebenzimmer gebracht. Er musste vorne warten, vielleicht seine Schuhe ausziehen oder so und währenddessen ist auf diesen Rechner eben diese Trojaner Software aufgebracht worden und hat von da an fleißig gefunkt und praktisch für die Behörden war, dass dieser Laptop auch noch eine eingebaute UMTS-Schnittstelle hatte. Das heißt also man musste noch nicht mal darauf vertrauen, dass der irgendwie im WLAN ist sondern der hat also in der Tat auch Screenshots angefertigt. Es ist nicht die regelmäßige Methode, wie war jetzt aus den Antworten in den Ländern unter dem Bundwissen sondern die typische Methode war die E-Mail und passenden Anhang dieser E-Mail. Aber wahrscheinlich nur das aber der physische Zugriff sicherlich eher aufwendig ist und man in der Regel der Behördenkooperation wie hier also mit zum Beispiel den Flughafenbehörden suchen muss. Also der Spiegel hat allerdings ganz sicher war das wohl auch nicht dass einer der barischen Fälle auch bei einer Hausdurchsuchung installiert wurde was auch Glas klar illegal wäre. Das wäre auch Verletzungen der Grundrechte der Wohnung, oder? Ja, man darf natürlich wenn man einen Durchsuchungsbeschluss hat die Wohnung durchsuchen, aber man darf natürlich nicht den dort befindlichen Rechner verbanzen. Man kann mitnehmen und analysieren aber man kann nicht verbanzen grundsätzlich. Aber das ist natürlich nicht bewiesen aber das war also die These über die Reaktion jetzt teilweise schon gesprochen. Zunächst mal ging es hekhaft darum ob man zu einem Einsatz stopp kommen sollte. Da hieß es erst ja, nein, vielleicht und jetzt am Ende nein und wir haben also zumindest auch selbst aber auch einiger andere im Chaos Computer Club A gebeschwerten darüber bekommen dass eben jetzt die Software durch die veröffentlicht ja nicht mehr einsatzfähig sei, das ging ja gar nicht. Also ich musste mir so einiges anhören im Unterausschuss neue Medien aber nun ja zum anderen die Idee die Kompetenz jetzt zusammen zu ziehen und also ein Kompetenz-Kompetenzzentrum zu bilden und dort vor allen Dingen auch einen Kriterien- und Anforderungsatalog zu entwerfen, den es ja offenbar oder zumindest bis zum heutigen Tage für diese Software nicht gibt. Also der Plan ist, dass man erkennt, dass also die Kompetenz-Kompetenz in den Ländern also den LKA es nicht so hart vertreten ist und man deswegen versucht in einer gemeinsamen Kompetenz-Kompetenz-Zentrale im BKA die geballte Kompetenz zu sammeln und dort halt einen Anforderungskatalog zu gestalten nachdem dann sich, also auf den sich dann alle Länder einigen, weil wir haben ein federales System in Deutschland, den können also die nicht dazu zwingen und sie wollen es dann so machen, dass sie sagen okay es gibt es dann halt ein bisschen billiger und dafür einigen wir uns darauf, dass wir also diesen Anforderungskatalog erfüllen das Problem, was wir jetzt haben, ist natürlich es gibt gerade ja nur nicht so, also ich meine so teuerner, also kommerzt teuerner Hersteller gibt es halt nicht so viele und schon keine Sicherheitsüberprüften was ja angeblich der Grund war, wieso sie damals bei Digitas gelandet sind einer Firma, die dafür bekannt ist, dass sie schon ausführlich deutsche Behörden bestochen hat und trotzdem halt diesen Auftrag bekam jedenfalls die reden gerade mit Digitas und die reden gerade mit Gamma beziehungsweise Elamann, ist der die deutsche Gamma-Distribution Gamma ist aufgefallen als dadurch, dass sie Akten hinterlassen haben im ägyptischen Stadt-Sicherheitsministerium wo sie dann von Aktivisten gefunden wurden das heißt, es ist doch eher etwas A-Grozonen-Firma mit denen Redelsbicker aber trotzdem offenbar um da den nächsten deutschen Staatstrainer bauen zu lassen als interim Lösung für das was die langfristige Lösung sein sollen ist der große Plan vielleicht noch eine letzte Sache, woher wissen wir das wird auch vorhanden mit der große Plan ist mal wieder ein großes deutsches staatliches Software-Groß-Projekt also zu deutsches sie wollen halt im BKA die nächste Trojaner Generation selber schreiben also wieder ein Kopf an Kopf-Rennen zwischen dem Bundes-Trojaner 2.0 und der Gesundheitskarte wahrscheinlich genau und viele unter Arbeitslosensoftware und dem Personal aus Weiß 5.0 mit genetischen Daten und subcutaner Endnahme also wir wissen aus den Antworten aus der Bundesregierung, dass tatsächlich von Gamma auch eine Produktpräsentation für die sie einige 1000 Euro bezahlt haben gemacht wurde aber der Großteil der Gelder wurde natürlich schon in die Firma Digital gesteckt also die war der Hauptlieferant und jetzt soll eben alles anders werden als das, was der Lok geben sollte dann wollen sie halt selbst entwickeln und nach wie vor ist so wie in der Antwort 2007 der BKA auch diesmal wieder im Unterausschuss noch ein wenig gesagt dass sie selbstverständlich auch selbst genügend Sachverstand hätten das zu tun es hieß ja auch mal, dass man ja mal die Entwickler der Firma Digitasc anstellen könnte in den Behörden, weil so viel Kompetenz sei ja dann auch notwendig und wichtig wenn man die halt selber hat wir hätten ja seit bei Digitas doch eher Mitarbeiterfluktuationen gibt also wenn sich da jemand zum Beispiel früherer Mitarbeiter oder auch sonst wie sein Gewissen entdeckender wir würden ja auch gerne ein paar Kontakte also wir stehen für Gewissenerleitung zur Verfügung wollen wir damit sagen also weil ich meine mal den Quelltext anzugucken da hätten wir auch ein Trasse dran und also wir wir würden so unter dem Open Data Aspekt würden wir auch den Quelltext befreien, damit die Behörden auch mal reingucken können was sie da eigentlich einsetzen ja also würden wir sehr Open naja letztlich wir haben verschiedene Seiten an diesem Treuerner auskandalisiert die sich aus der Technik ergeben aber ich denke der politisch größere Skandal ist sicherlich der dass das Urteil ja jetzt eben nicht nur in der IT 3 Jahre eine lange Zeit ist sondern auch für den Gesetzgeber der die rechtlichen Vorgaben zu machen hat in der lange Zeit ist das Urteil eigentlich ignoriert wurde Teile davon wurden kopiert als BKA-Gesetz in wenigen Landesgesetzen gibt es eine Regelung aber diese Regelungen sind auch zum großen Teil nicht ausreichend und entsprechen nicht dem was im Urteil wo wir ja Eingangs drüber gesprochen haben steht, nämlich dass man die technischen Vorkehrungen definiert und die rechtlichen Vorgaben eben auch einfach gesetzlich umsetzt und da ist natürlich auch ein gewisser Disrespect gegenüber dem Gericht was mir eigentlich aus anderen durchsrichterlichen Urteilen so nicht bekannt ist dass man schlecht ignoriert was da eigentlich steht und jetzt auch in der Aktuellen Debatte wir uns immer anhören konnten naja es gibt da verschiedene juristische Meinungen also so richtig unzulässig ist es ja eigentlich gar nicht das heißt hier wird auch negiert was im juristischen Schriftum steht es sind übrigens so wenige Aufsätze dass man die noch selber lesen kann macht sogar etwas Spaß denn sind ja da viele technische Aspekte in diesen juristischen Papieren wir haben also die Probleme das eigentlich ignoriert wird zumindest aber die Landes- und der Bundesgesetzgeber keinen Handlungsbedarf sehen was wir natürlich grundsätzlich anders sehen das ist nämlich der interessante Punkt normalerweise braucht man für eben schon kurz drüber gesprochen braucht man immer ein Gesetz wenn man irgendwelche Eingriffe machen kann hier müsste man tatsächlich mal ein Sperrgesetz erlassen weil die Behörden einfach ohne Gesetz lauschen beziehungsweise Gesetze die für andere Lauschvorgänge eigentlich mal gedacht waren für diesen Zweck umbiegen hat ein starkes Stück das muss man ganz klar sagen wenn solche Sachen vorkommen schauen wir mal, der Schlüssel zum Problem ist hier eben die Strafprozessordnung da gibt es bislang Regelungen zum normalen Lauschen da sprachen wir schon drüber und die Frage ist was wird jetzt eben mit dem Trojanereinsatz und da werden wir mit Interesse verfolgen was im politischen Raum da weiter diskutiert werden wird in den nächsten Monaten wir haben auch so zu sagen also die wir ein Team repräsentieren das an diesem weil der Staatsrojaner gearbeitet hat natürlich auch selber intensiv darüber nachgedacht auch nachdem wir natürlich jetzt vom Gesetzgeber häufig aufgefordert wurden doch mal endlich eine ordentliche Respekt zu liefern wie denn so ein quänticker Ythrojaner eigentlich aussehen sollte wir haben uns natürlich auch Gedanken gemacht wie soll es eigentlich weitergehen zum einen ja man könnte nicht nur Banken verstaunen sondern auch Digitask war gerade der Vorschlag dass es wohl aus der Unionsecke kam wenn ich es richtig verstanden habe dass man einfach Digitase aufkaufen könnte und schon hätte man so eine Art Kompetenzzentrum kompetenz kompetenzzentrum also das heißt wie weiter die Frage die sich über die wir glaube ich auch intern in dieser Gruppe die sich ja intensiv mit diesem Trojanereinsatz hat immer wieder gestritten haben ist die Frage kann man sich dieser immer wieder geäußerten Forderung dass dieses Mittel krimitätsbekämpfen unverzichtbar sein kann man sich dem verschließen das heißt es ist eine Forderung danach dass sie die Rechner nicht infiltrieren sollen um diese Kommunikation abzuhören überhaupt durchsetzbar und da scheint mir ein bisschen der Blick in die Zukunft wichtig sich also zu fragen wenn wir heute führt Abschnurchen von Skype oder anderen voiceover IP irgendwelchen Protokollen auch laufende Kommunikation nennen können wenn wir das zulassen wo geht eigentlich dann die zukünftige technische Entwicklung hin und wo bleiben die Antworten darauf die wir von Anfang an gestellt haben warum man nicht einfach wie man es bei anderer Telekommunikation macht sich an den Anbieter wendet was ja offenkundig in anderen Ländern funktioniert und hier in Deutschland offenbar zu umständig ist wenn man sein Fax nach Luxemburg wo ja Skype sitzt also ich finde das nicht die Techies und wir schon gar nicht in der Pflicht sind Kriterien für den verfassungsrechtlich unbedenklichen Trojaner zu bringen sondern letztlich geht es darum dass die Ermittler die verdammte Pflicht haben das mildeste Mittel einzusetzen an die Informationen letztlich zu kommen und das wäre sich an den Anbieter zu wenden und ich glaube bevor diese Ringschuld auch mal zu sagen wieso es denn nicht geht bei Skype direkt abzuschnorchen nicht gebracht ist sehe ich auch keinen Bedarf darin hier über die tatsächliche konkrete technische Umsetzung überhaupt noch zu debattieren es fehlen die rechtlichen Grundlagen die hätten wir erst mal gern und dann natürlich die Frage was ist das mildeste auch verhältnismäßigste Mittel ohne in unser außenladen Gehirne hinein zu Trojanisieren was ich natürlich stelle wenn wir jetzt zulassen dass zum Beispiel Computer oder Telefone Trojanisiert werden unter der Maßgabe, Quellen, Telekommunikationsüberwachung wo ist denn genau die Grenze also wir können ja absehen dass in den nächsten Jahren wir immer interessanter Implantator haben werden die halt irgendwie mit so mal höher Geräten anfangen die dann irgendwann zu Headsets werden und später keine Ahnung zu Livecams werden oder was auch immer sondern irgendwie rasant weitergeht und dementsprechend wenn halt sehr zu durchgeht, dass man halt solche Informationstechnosysteme problemlos Trojanisieren kann zumal möglicherweise eben sogar noch unter einer normalen Abhöranordnung dann ist vollkommen klar dass diese Schranke dieses Bundesverfassungsgericht versucht hat aufzurichten indem sie gesagt haben hier ist mal Schluss hier ist jetzt mal Ende dass die dann brechen und bröckeln wird und eines der Probleme was wir halt haben es ist verdammt schwer festzustellen dass eine Software eine bestimmte Funktion nicht hat so man kann mit relativ begrenzendem Aufwand feststellen dass sie eine Funktion hat indem man sich halt zur Not reverseingeniert und nachweist dass diese Funktion nach vorhanden ist dass sie eine bestimmte Funktion nicht hat ist der Aufwand ist sehr groß und mit letztlicher Sicherheit lässt es sich eben nicht sagen da sind wir eben wieder beim Halteproblem also der fundamentalen Problem in Informatik und genau dieses dieses Problem Politikern und Juristen verständlich zu machen ist nicht so einfach weil die haben halt so eine relativ deterministische Vorstellung von Software obwohl den dauern zweimal am Tag ihr dort abstürzt wo sie eigentlich wissen müssten dass Software sich nicht deterministisch verhält sind sie irgendwie der Meinung dass so ein Trojaner so eine total deterministische fehlerfreie, nur das was es tun soll Software ist die man halt problemlos und bedenkenlos einsetzen könnte wobei gerade eine Software die man in ein unbekanntes System hineinschiebt die da Dinge tun muss die für dieses System nicht vorgesehen ist und möglicherweise noch mit Antivirussoftware und der gleiche Ding mehr auseinandersetzen muss gerade da steigt die Unvorher-Sackbarkeit ins Unermessliche und trotzdem wird irgendwie angenommen dass man das schon irgendwie in den Griff bekommen könnte und da sagen wir tut uns leid, da redet ihr einfach gerade am Stand der Technik vorbei da ist also nichts wo man sagen kann dass es absehbar wäre dass sowas zum jetzigen Stand der Dinge problemlos möglich wäre und ihr ihr nicht zeigen könnt wenn man eine Software so was im Griff habt brauchen wir eigentlich darüber nicht weiter reden weil es da keine Möglichkeit gibt, wenigstens zu sagen was es eigentlich auf diesem Computer hinter passiert und es gibt ja auch noch einen letzten Punkt jetzt eher so aus der rechtspolitischen Sicht man muss ja mal die Überwachungsgesamtrechnung aufmachen wie das Peter Schaar der Bundesdatenschutzbeauftragte noch nicht so schön sagte es gibt ja schon einen bunten Strauß an Ermittlungsmaßnahmen und wenn es dann wirklich um Terror geht wenn es dann wirklich um gravierende Straftaten geht dann hat man zum Beispiel auch den so genannten großen Lauschangriff wir haben den normalen Telefonüberwachung wir haben Hausdurchsuchung, wir haben den großen Lauschangriff wir haben Beschattung, wir haben Frauenmänner nicht zu vergessen Frauenmänner wir haben Fraupersonen wir haben einen ganz bunten Strauß wir haben wenn die Polizei wirklich den vollen Katalog einsetzt haben wir quasi und hin schon den Gläser in den Bürger und deswegen würde ich auch sagen auch aus Sicht der Justiz wir brauchen keine weiteren Maßnahmen also ich persönlich halte das nicht für notwendig der Bereich den man tatsächlich noch nicht überwachen kann ist ohnehin extrem schmal und ich denke in einem Rechtsstaat ist eben die Grundannahme dass die Polizei und die Justiz auch nicht alles dürfen es muss einen schmalen Bereich geben eben sowas wie die digitale Intimsphäre und deswegen würde ich sagen klares Nett zu jedem Trojaner genau, wir kommen also zu dem Schluss man sieht also unser Forderungskatalog ist verdammt kurz also zu dem klaren Nö und wir wollen uns gerne bedanken wir wollen uns bedanken bei denjenigen die mitgearbeitet haben denn durch die Veröffentlichung hatten wir doch auch einige interessante Hinweise und nicht wenige haben sich tatsächlich auch mit den Daten, die wir veröffentlicht haben noch weiter befasst, wir bedanken uns für den unglaublich vielen positiven Zuspruch wir hatten eine Welle an Flausch, es war kaum zum aushalten also da freuen wir uns natürlich auch dann war nicht wenig Arbeit und wir hoffen natürlich auch auf weitere Zusendungen vielen Dank