Vom Eurojobber gescannt

Der Diskussion rund um das Thema Nacktscanner fügte Josef Scheuring, Vorsitzender der Gewerkschaft der Polizei (GdP) einen neuen, bisher noch weniger beachteten Aspekt hinzu, wie man in einem Artikel von Peter Mühlbauer auf Telepolis lesen kann:

„Wenn“, so der GdP-Funktionär, „Hartz-IV-Empfänger, Leiharbeiter und Billiglöhner im Auftrag privater Sicherheitsfirmen für die Sicherheit an Flughäfen sorgen sollen, kann das nur schiefgehen“. Tatsächlich können Nacktscanner zwar potenziell auch abgepackte Flüssigkeiten, Pulver, knetmasseartige Stoffe und Keramikmesser sichtbar machen – wenn die Bilder allerdings von jener Sorte Sicherheitskräfte kontrolliert werden, die aktuell viele der Überprüfungen von Flugreisenden durchführen, dann ist nicht nur das Bestechungsrisiko ausgesprochen hoch, sondern auch die Möglichkeit, dass sich Komplizen der Terroristen einfach von einem privaten Dienstleister anstellen lassen und Selbstmordbomber trotz Nacktscanneraufnahme durchwinken.

Im Weiteren forderte Scheuring in einem Interview mit der Osnabrücker Zeitung dass der Staat diese Aufgabe an sich ziehen solle und das er dazu gut geschultes und motiviertes Personal (d.h. aus GdP-Sicht verbeamtete Polizisten) einsetzen soll.

Und in der Tat: ökonomisch-menschliches Versagen (vulgo: Bestechlichkeit und Schlamperei) ist in der Tat nichts ungewöhnliches, wenn der Job solcher Sicherheitsleute und Geräteoperatoren als so unbedeutend betrachtet wird, dass ihn un- und angelernte Billiglöhner von Leiharbeitsfirmen genauso gut (?) erledigen sollen, wie vormals echte Polizisten. Aber damit wird man im Zeitalter der Shareholder-Value-Doktrin leben müssen.

Besser wäre es jedoch, die Notwendigkeit und Sinnhaftigkeit solcher Scanner grundsätzlich zu hinterfragen. Egal ob später ein verbeamteter Polizist oder nur ein ausgeliehener Eurojobber das Ding bedienen soll.

Der Arschbomber – Neue Gerätegeneration der Nacktscanner in der Diskussion

Vor einigen Tagen versuchte Umar Farouk Abdulmutallab, ein Al-Quaida-Kämpfer aus dem Jemen, sich an Bord eines Verkehrsflugzeugs über den USA in die Luft zu sprengen. Nachdem Waffen und Bomben den Passagieren üblicherweise bereits beim Check-in abgenommen werden, hatte er eine kleine Portion Nitropenta (PETN) anal ins Flugzeug hineingeschmuggelt und dort kurz vor der Landung in Detroit gezündet. Doch die selbstgebaute „Arschbombe“ reichte nur für einen feurigen Furz und so kam der Flieger unbeschadet und die Passagiere mit dem Schrecken davon. Nun sitzt Abdulmutallab mit angesengtem Hinterteil in den USA ein und wird wohl als „Arschbomber“ in die Geschichte des Terrorismus eingehen.

Das brachte Sicherheitsbehörden inzwischen dazu, sich an eine umstrittene Überwachungstechnologie zu erinnern: die Nacktscanner. Denn mit ihnen glaubt man nicht nur nichtmetallische Waffen wie Kunststoffklingen und Pistolen aus Keramik rechtzeitig am Körper der Reisenden zu erkennen. Sondern auch Dinge in den Körpern der Durchleuchteten. Und in der Tat: Herzschrittmacher, Implantate und künstliche Hüftgelenke erkennen die Geräte problemlos.

Und gerade dieser Blick ins Intimste der gescannten Personen ist ein Kritikpunkt, der Scannergegner. Zudem einmal mehr eine neue zusätzliche Überwachungstechnologie nur pauschal mit Terrorgefahr und der Notwendigkeit, den Sicherheitsstaat technisch weiter aufzurüsten, begründet wird.

Während die Diskussion über die Nackscanner für etwa ein Jahr zur Ruhe kam, entwickelten die Hersteller ihre Geräte weiter und Sicherheitsbehörden testeten sie in Labors, um Sicherheitslücken sowie Möglichkeiten zur Gerätemanipulation zu entdecken und auszuräumen. Nach der Vorlage ihrer Ergebnisse, änderten Politiker wie Wolfgang Bosbach(CDU) und Gisela Piltz (FDP) ihre kritische Haltung zu den Geräten.

Sollte es möglich sein, diese Geräte so zu konstruieren, dass beispielsweise die Intimsphäre geschützt ist, dann könnte man über Nacktscanner nachdenken, da es die Sicherheit der Flugpassagiere maßgeblich verbessern würde, so Bosbach in einem Interview mit der Tagesschau. Noch vor einem Jahr lehnte er die Scanner als weitgehenden Eingriff in die Privat- und in die Intimsphäre der Flugpassagiere ab. Und Frau Piltz schränkte in einem Zeitungsinterview ihre Ablehnung der Scanner auf die erste, mittlerweile überholte Gerätegeneration ein. Und auch Bundesinnenminister Thomas de Maizière (CDU) zeigt sich offen für den Einsatz von Körperscannern auf deutschen Flughäfen. Zumal die Niederlande beschlossen hat, in den nächsten Wochen die Körperscanner auf niederländischen Flughäfen einzuführen.

Zudem wurden manche Scanner weiter automatisiert. Statt Sicherheitspersonal wertet nun der Computer die gescannen Bilder aus (und soll sie anschließend löschen). Entdeckt er etwas Verdächtiges, greifen Sicherheitsleute ein und durchsuchen manuell – so wie heute bereits üblich. Wenn das alles so stimmt, wären etliche Argumente der Scannergegner entkräftet. Die Hersteller und Betreiber hätten deren Bedenken in Hardware, Software, Arbeitsabläufe und somit in Funktionalität und Gebrauchstauglichkeit der Geräte integriert und die Terahertztechnologie so den Bedürfnissen der Bürgerrechtler und Überwachungsgegner nach Achtung ihrer Menschenwürde angenähert. Am Ende bliebe vom Nackscanner nur noch eine Teilautomation des heutigen Sicherheitspersonals im Flughafen übrig. Was dann für die Nutzerakzeptanz ausreichen dürfte – spätestens wenn die Abfertigung am Scannerterminal zügig läuft, während beim Terminal mit manuellem Abtasten und Durchsuchen der Passagiere Wartestaus entstehen.

Allerdings habe sich auch Al-Qaida inzwischen (mindestens) einen der neuen Körperscanner beschafft um – ähnlich wie die Sicherheitsbehörden – dessen Stärken und Schwächen auszutesten und um Strategien der Umgehung der Geräte zu entwickeln, wie eine Amsterdamer Zeitung unter Berufung auf Kreise des niederländischen Militärgeheimdienstes berichtete. Was eigentlich nahe liegt, nachdem man die Geräte ganz normal bei Herstellern wie L-3 Communications kaufen kann.

Erneut kommt also eine „Rüstungsspirale“ in Gang und die nächste Aufrüstungsrunde im Bereich der technischen Überwachung ist so sicher wie das Amen in der Kirche…

Ein Blick in die Hackerbibel

Mitte der 80er Jahre erschien ein zweibändiges, großformatiges Buch, die „Hackerbibel“. Sie enthielt zahlreiche Artikel zum Thema kreative Techniknutzung, Netzkultur und Hackertum, zum Teil aus Fanzines der Hackerszene entnommen, zum Teil bereits in der Datenschleuder veröffentlicht, zum Teil auch neu und speziell für die Hackerbibel verfasst. Insgesamt enthalten die beiden Bände ein Sammelsurium an Geschichten und Texten aus den Anfangszeiten der Hackerszene.

Zum damaligen Zeitpunkt gab es noch kein WWW und dessen Vorläufertechnologien der Datenkommunikation wie Datex-P und Mailboxen waren nur einem kleinen Teil der Bevölkerung zugänglich (hauptsächlich wegen der relativ hohen Kosten sowie dem zur Nutzung erforderlichen Know-how). Daher waren Informationen, wie man sie heute zuhauf im Internet findet, noch rar und begehrt. Eine netzpolitische Öffentlichkeit mit eigenen Medien und laufender Berichterstattung gab es praktisch noch nicht.

Und so wurde die Hackerbibel, deren Printausgabe rasch vergriffen war, zum zeitgeschichtlichen Dokument der deutschen Hackerszene. Als ich meine beiden Exemplare kürzlich mal wieder in die Hand nahm, war ich jedoch überrascht, wie zeitlos aktuell manche der darin enthaltenen Artikel sind. Exploits und Sicherheitslücken in gängiger Kommunikationstechnik waren damals so aktuell wie heute. Ebenso die zahlreichen Ideen zur kreativen Techniknutzung und zum Netzzugang, auch wenn die Technologien und Gerätschaften heute andere sind. Nur die Lücken im Technologiewissen und der Medienkompetenz lassen sich heute dank größerem und leichter zugänglichen Angebot an Information und Weiterbildung rascher und zielgenauer füllen als damals.

Die Printausgabe dürfte heute kaum noch zu bekommen sein, zumal die einfache Leimbindung das Buch bei intensiver Nutzung wohl irgendwann zur Loseblattsammlung machen dürfte. Allerdings wurden Teil 1 und Teil 2 der Hackerbibel von engagierten Hacktivisten aus dem CCC-Umfeld online bereitgestellt und können so auch heute noch gelesen werden.

Die Abmahnindustrie wächst – der Widerstand ebenso!

Zivilrechtliche Abmahnungen, einst als Instrument der raschen außergerichtlichen Streitbeilegung, werden zunehmend als Mittel für Betrug und Abzocke missbraucht. Die Diskussion zum Thema Abmahnbetrug schwappt schon seit geraumer Zeit durch das Netz und hat inzwischen auch Mainstreammedien wie die ct‘ erreicht. Die berichtet in ihrer aktuellen Ausgabe 01/2010 auf S. 154 ff umfangreich und unter Nennung etlicher Namen über das Geschäftsmodell der Abmahnindustrie. Da arbeiten inzwischen Anwaltskanzleien, IP-Logging-Firmen und Verwerter unter dem Motto „turn piracy into profit“ zusammen, um tatsächliche oder auch nur angebliche Verletzer von Verwerterrechten unter Anwendung juristischer Repression zu pauschalen Geldzahlungen zu nötigen. So hat auch bereits die Piratenpartei Deutschland dieses wirtschaftskriminelle Geschäftsmodell in einer Pressemeldung genauer dargestellt.

Doch inzwischen zeigt sich neben argumentativen Schwächen entsprechender anwaltlicher Drohungen auch der eigentliche betrügerische Kern des Modells: Dass den Abgemahnten nämlich Kosten abgefordert werden, die auf Seiten des Abmahnenden und seiner Anwälte gar nicht entstanden sind. Weil diese sich im Rahmen einer Zusammenarbeit innerhalb eines Abmahnkartells zu gegenseitiger Kostenfreistellung verpflichtet haben und sich stattdessen den Erlös einer Massenabmahnaktion untereinander gemäß einer vereinbarten Quote aufteilen, wie es kürzlich auf Gulli.com sowie etlichen Blogs basierend auf geleaken Dokumenten berichtet wurde.

Irgendwie erinnert das an Geschäftspraktiken gewisser sizilianischer Familienclans, weshalb Insider die „music and film industriy associations“ (Verwerterlobby) auch gern als M.A.F.I.A. abkürzen. Und tatsächlich laufen inzwischen Betrugsanzeigen und Verfahren gegen entsprechende Abmahnkanzleien, die ihrerseits ziemlich dreist versuchen missliebige Artikel in Blogs aus dem Netz zu klagen.

Das Problem Abmahnbetrug hat zwischenzeitlich sogar die Verbraucherschutzzentralen erreicht, in denen immer häufiger ratsuchende Opfer von Abmahnbetrügern auftauchen. Dabei ist es rechtlich gar nicht so einfach, eine berechtigte Abmahnung von einem Betrugsversuch zu unterscheiden da beides derselben Kanzlei unter Verwendung ganz ähnlicher Textbausteine entstammen kann.

Maßgeblich für die regelrechte Explosion des Abmahnunwesens war die Einführung des sog. „urheberrechtlichen Auskunftsanspruches“ (§ 101 Abs 9 UrhRG) im Rahmen der letzten Urheberrechtsreform 2008, welche maßgeblich durch intensive Lobbyarbeit der Verwerterlobby „gestaltet“ wurde. In der gleichen Reform fand zwar auch eine Art Bagatellregel mit Begrenzung der Abmahnkosten auf 100 € ihren Weg in das Gesetz. Sie wurde jedoch bewusst so schwammig formuliert, dass sie in der Praxis leer läuft.

Doch inzwischen formiert sich zunehmender zivilgesellschaftlicher Druck gegen Verwerterlobby und Abmahnbetrüger. Zahlreiche Blogs und Websites machen deren Machenschaften publik und sorgen für unerwünschte Transparenz. Parteien wie die Grünen oder die Piratenpartei griffen das Thema bereits mehrmals auf. Auf immer mehr Branchentreffen und Kongressen der Verwerterlobby tauchen Leute aus dem Umfeld der Piratenpartei oder des Chaos Computer Club auf und fordern die Wiederherstellung des Primats des Grundgesetzes über das Urheberrecht ein. Aktuell läuft auch eine e-Petition, die sich gegen Urheberrechtsmissbrauch und Abmahnbetrug richtet.

So wie es klassische Abmahnkanzleien gibt, haben sich inzwischen auch Opferanwälte herausgebildet, die sich auf die Abwehr von Abmahnbetrug spezialisiert haben. In Mailinglisten stieß ich bereits einige Male auf die Idee ein Äquivalent zur „Roten Hilfe“ (eine dem linken Spektrum zuzuordnende Prozesshilfeorganisation) zu errichten und mit ihr das Prozessrisiko der Geschädigten zu reduzieren und um entsprechende Prozesse politisch und öffentlichkeitswirksam führen zu können. Da die juristischen Argumentationen der Abmahnbetrüger oftmals das Papier nicht wert sind, auf dem sie stehen, könnten so herrschende Meinung und laufende Rechtsprechung im Sinne der Opfer und Geschädigten beeinflusst werden. Abmahnbetrug würde risikovoller für die Abmahnbetrüger und könnte so zurückgedrängt werden.

Ansonsten werden wir wohl schon in baldiger Zukunft auch Akte „autonomer Rechtsfindung“ beobachten können, bei denen geschickt platzierte Grillanzünder und mit brennbaren Substanzen gefüllte Wurfgeschosse eine maßgebliche Rolle spielen könnten und so manche Abmahnkanzlei samt davor geparktem Wagen zum Dauerkunden der örtlichen Feuerwehr werden könnte. In einigen größeren deutschen Städten sind das heute schon übliche Mittel zur Lösung von Problemen, die man durch Untätigkeit von Justiz und Verwaltung zu größeren sozialen Konflikten hat herangären lassen.

Hoffen wir daher, dass Felix von Leitner (Fefe) in seinem Blog recht behält, wenn er dazu schreibt:

Nun greift so eine Abmahnung bei normalen Menschen als Bedrohung, aber nicht bei Anwälten. Anwälte verstehen ja die Risiken und Drohungen viel besser als Laien, und dementsprechend strahlt der Herr Stadler da auch im Moment gar keine große Panik aus sondern legt sogar noch einen drauf und spricht bezüglich DigiProtect von einem “unlauteren Geschäftsmodell”.

Warum glaube ich jetzt, dass das ein Epic Fail für die Raubkopierer-Inkassobranche werden könnte? Weil auch der RA Kompa und der RA Vetter dazu bloggen und beide auf Seiten von RA Stadler zu stehen scheinen. Ich hoffe daher auch mal heimlich, dass es zu einem Verfahren kommt, und dieses Geschäftsmodell an der Stelle rückstandsfrei beerdigt wird.

Cyber-Mobbing im Internet – der Kampf um die eigene Online-Reputation

Nicht alle Kriminellen im Internet sind hinter den Kreditkartendaten ihrer Opfer her oder wollen mit Hilfe von Hackern oder Trojanern in Unternehmensnetze eindringen, um dort Wirtschaftsspionage zu betreiben. Es ist gut möglich, dass viele Cybergangster vom Computern weniger verstehen, als das für solche Vergleiche gern herangezogene Rentnerpaar im Altersheim. Das zeigen die langsam aber stetig zunehmenden Fälle von Cyber-Mobbing und Cyber-Stalking.

Denn für diese Untaten ist reines Anwenderwissen völlig ausreichend. „Getuschel auf dem Schulhof war früher. Heute tragen vor allem Mädchen ihren Psycho-Zoff im Netz aus. Obszönes auf der Pinnwand, Demütigungen im Chat – schon Zwölfjährige sticheln hinterhältig und hemmungslos gegen Mitschüler. Für die Mobbing-Opfer geht oft eine Welt unter“ so führte ein Artikel von Carola Padtberg auf Spiegel Online vor einiger Zeit den Leser in das Thema ein.

Vor allem Jugendliche haben die Möglichkeiten sozialer Netzwerke und Communities im Web 2.0 als Plattform zum Mobben, Dissen und Stalken, kurz also zum Bedrohen und Belästigen ihrer pupertären Widersacher entdeckt. Während Schulhofraufereien aber meist rasch wieder vergessen sind und sich spätestens beim Eingreifen von Aufsichtspersonen, Eltern oder Streitschlichtern regulieren lassen, wurden Opfer von Cyber-Mobbing dadurch bereits in den Selbstmord getrieben. Was inzwischen in Teilen der USA dazu geführt hat, Cyber-Mobbing rechtlich als Straftat einzustufen, für die die Täter schlimmstenfalls zu Tode verurteilt und hingerichtet werden können (ein von pädagogischer Nachsicht geprägtes Jugendstrafrecht gibt es in den USA nicht).

Das Perfide beim Cyber-Mobbing ist seine Allgegenwart für das Opfer. Es kann überall und jederzeit angegriffen werden, auch wenn sich die Gegner auf anderen Kontinenten aufhalten. Das Internet relativiert Entfernungen. Und während Blessuren von Raufereien in der Schule bald wieder verschwinden, bleiben die Schmähungen, Beleidigungen und Verleumdungen im WWW im Prinzip auf ewig dort auffindbar, denn das Internet vergisst nichts. Zudem unterschätzen gerade Jugendliche oft die nachhaltige Wirkung solcher Internetattacken auf das Opfer.

So druckte ein Lehrer aus Nordrhein-Westfalen einmal alle SchülerVZ-Profile seiner Schüler auf Papier aus und hängte sie im Schulflur auf, wie Birgit Kimmel, pädagogische Leiterin der Organisation Klicksafe, die sich gegen Cyber-Mobbing engagiert, als Fallbeispiel berichtet. Die Schüler reagierten empört: Der Lehrer dürfe das nicht, das sei Privatsache. Doch erst diese Aktion des Lehrers, der dazu letztlich nur Informationen aus öffentlich verfügbaren Quellen nutzte, zeigte ihnen auf, wie heikel sowas werden kann. Zumal der Lehrer die Informationen nur ausgedruckt aber nicht verfremdet, verfälscht und dann in anderen Communities weiterverbreitet hat, wie es manche Cyber-Mobber tun. Personenfotos von Gesichtern beispielsweise so in Pornobilder einzumontieren, dass es den Anschein hat als hätte die Person an der dargestellten Sex-Szene teilgenommen, ist für Photoshop- oder Gimp-Anwender kein wirkliches Problem. Und diese Fotomontagen dann in global erreichbare soziale Netze wie Facebook oder Bildablagen wie Flickr hochzuladen, dauert Minuten und erfordert keine besonderen Kenntnisse.

„Den Jugendlichen ist die Öffentlichkeit des Internets gar nicht bewusst“, sagt Kimmel, „ebenso wenig wie die Dimension, die eine Demütigung bekommt.“

Doch die große Welle dürfte erst noch kommen. Denn in selben Maße, wie auch Erwachsene eine beruflich relevante Online-Reputation aufbauen, können auch Angriffe auf eben diese der Karriere der Betroffenen schaden. In Ländern mit schwachem Kündigungsschutz kann es heute schon vorkommen, dass Beschäftigte wegen übler Nachrede und Gerüchten über sie im Internet entlassen werden. Gerüchte die möglicherweise von Cyber-Mobbern und Konkurrenten gestreut wurden. Damit ist das „Brand Busting“ also das gezielte Angreifen von Markenbotschaften durch PR- und unternehmenskritische Aktivisten auch auf der privaten und persönlichen Ebene angekommen. Zumal geschickte Cyber-Mobber nur schwer zu identifizieren und rechtlich zu belangen sind.

Was inzwischen auch zu einer neuen Art von Dienstleistung geführt hat: Der Prüfung und bei Bedarf auch gezielten Aufwertung und Optimierung der eigenen Online-Reputation durch eine ganze Reihe spezieller Datenwachschutz- und Internetsäuberungsfirmen.

Antiforensik-Tool Decaf erweist sich als Hoax

Das Antiforensik-Tool DECAF, welches sich speziell gegen Microsofts forensische Toolsammlung COFEE richtete, stellte sich inzwischen als PR-Gag, als eine Art Hoax heraus. Sämtliche Kopien des Programms wurden vor kurzem per Fernsteuerung deaktiviert.

Das erst kürzlich allerdings ohne Quellcode veröffentlichte Tool war niemals für den aktiven Einsatz bestimmt. Auf ihrer Website, die mittlerweile mit „Game Over“ überschrieben ist, schreiben die Macher, sämtliche Exemplare von DECAF wären von ihnen zentral deaktiviert worden. Das Projekt sei eine Aktion gewesen, um das Bewusstsein für Sicherheit und den Bedarf nach besseren Forensik-Tools zu erhöhen. Es sollte die Menschen dazu auffordern, insbesondere im professionellen Umfeld verantwortungsbewusster mit Fragen der IT-Sicherheit umzugehen. Zudem sollten insbesondere Regierungen sich nicht auf intransparente automatische Tools verlassen, sondern in die Ausbildung kompetenter Experten investieren.

Inzwischen wurde diese Erklärung durch eine weitere ersetzt, in der die Decaf-Entwickler ankündigen, den Quellcode ihres Tools zusammen mit der Domain verkaufen zu wollen. Zudem fordern sie am Thema IT-Sicherheit und IT-Forensik Interessierte zur Kontaktaufnahme auf. Anscheinend plant man ein größeres Team aufzubauen, das sich mit der Aufdeckung und Publizierung von Exploits und Schwachstellen sowie der Erstellung von Fachartikeln und Lehrmaterial für die Community beschäftigen soll. Bewusst sollen neben Experten auch thematische Anfänger und Fortgeschrittene angesprochen werden, um so an der Schließung der Fachkräftelücke im Bereich IT-Sicherheit in den Unternehmen zu arbeiten.

Hier dürfte ein gutes Stück Eigenwerbung dahinterstecken, da z.B. regelmäßig auf Bugtraq oder ähnlichen Listen publizierende Security-Researcher durchaus auch in der Community wahrgenommen werden.

Wenn es also primär darum ging, für ein solches Vorhaben einen entsprechenden PR-Aufschlag hinzulegen, dürfte die Aktion gelungen sein. Trotzdem bleiben etliche Fragen offen, wie auch Annika Kremer auf Gulli.com findet:

DECAF – ein Proof of Concept, eine Kampagne für bessere IT-Sicherheit oder ein Hoax, ein PR-Stunt konservativer religiöser Spinner? Oder irgend etwas dazwischen? Ein Beweis, dass man Closed Source-Software nicht trauen kann? Vieles bleibt angesichts des spektakulären und für viele wohl unerwarteten Endes des Projekts offen, und auch das angekündigte Diskussionsforum der beiden Verantwortlichen wird kaum alle Fragen klären. Klar ist allein eines: Wer sich Sorgen um Microsofts Forensik-Tool macht, wird in Zukunft selbst kreativ werden müssen.

„Predator“-Drohnen mit Kaufsoftware gehackt und angezapft

Drohnen, d.h. unbemanntes, fern gesteuertes oder autonom funktionierendes, meist fliegendes Gerät, werden bei den technologieorientierten Streitkräften vieler Länder immer beliebter. Führend beim Einsatz unbemannter Kampfmaschinen ist die USA, obwohl auch die Bundeswehr zunehmend in Entwicklung und Einsatz von Drohnen investiert. Damit soll dem Umstand Rechnung getragen werden, dass die potentiell gesundheitsschädlichen Folgen von Kampfeinsätzen für das daran beteiligte Personal möglichst reduziert werden sollen.

Drohnen wurden zunächst primär zur Aufklärung und Ausspähung von Gegnern eingesetzt. Mit ihrer Weiterentwicklung und Verbreitung kam dann auch die gezielte Ausschaltung militärischer Anführer hinzu. Schließlich kann eine halbautonom operierende Drohne wie die amerikanische „Predator“ z.B. im afghanischen Bergland per Satellitenverbindung aus einem Einsatzzentrum in einer US-Vorstadt zum gezielten „Bejagen und Ausdünnen“ von Talibankämpfern verwendet werden, ohne dass sich der Drohnenlenker auch nur annähernd in ein echtes Gefecht hineinbegeben müsste.

Allerdings sind Drohnen auch ein hochinteressantes Angriffsziel für Cyber-Krieger aller Seiten. Das musste erst kürzlich auch die US-Army erfahren, als bekannt wurde, dass es iranisch-schiitischen Milizverbänden im Irak im Sommer 2009 gelungen war, Videodaten von Predator-Drohnen, die über eine ungeschützte (!) Schnittstelle übertragen wurden, abzufangen und mitzuschneiden. Dabei sollen unter anderem Informationen über US-Truppenbewegungen und Stützpunkte in die Hände der gegnerischen Kämpfer gefallen sein. Besonders spaßig: Die Irakis verwendeten dazu die Kaufsoftware „SkyGrabber“, die es für knapp 26 $ im Internet direkt beim Hersteller zu kaufen gibt und mit der man Satellitenübertragungen aller Art abhören und aufzeichnen kann.

Besonders heikel dabei ist, dass das US-Militär von diesem Sicherheitsproblem in den Predatoren wohl bereits seit den 1990ern wusste, die Lücke aber als unkritisch einstufte, solange sie nicht bekannt werden würde. Man ging naiverweise davon aus, dass Dritte nur solche Lücken ausnutzen würden, die offiziell bekannt sind, anstatt kreativ nach neuen, noch nicht entdeckten Schwächen im Design der gegnerischen Waffen zu suchen (security by obscurity). Und das, obwohl sich in fast jeder Armee der Welt Spezialisten mit der Beschaffenheit von Waffensystemen der Gegner beschäftigen.

Natürlich bestreiten die US-Militärs, dass zu irgendeinem Zeitpunkt die Möglichkeit oder die Gefahr bestanden hätte, dass die Drohnen übernommen wurden oder Dritte die Flüge manipuliert haben könnten. Trotzdem dürfte so – zumindest inoffiziell – eine fachliche Debatte über Schachstellen in Drohnen und anderem militärischen Gerät entstehen. Schließlich wird der Einsatz dieser teuren Geräte politisch vor allem mit der Möglichkeit zur Senkung und Vermeidung von Verlusten an Soldaten begründet. Das aber wäre hinfällig, wenn Hacker die Drohnen mit einfachen Methoden und preiswerten Tools angreifen oder gar ganz außer Gefecht setzen könnten.

Lt. Gen. David Deptula, der das US Air Force-Programm für unbemannte Fluggeräte leitet, erklärte dem Wall Street Journal, es sollen schon in absehbarer Zukunft neue Technologien und Verbesserungen eingesetzt werden. Wahrscheinlich wird man die Predatoren also mit verbesserter Hardware nachbessern. So ist etwa ein neues Kamerasystem namens „Gorgon Stare“ geplant, das es der Drohne ermöglichen soll, zeitgleich bis zu zehn Videofeeds aufzuzeichnen. Zudem sollen bessere Verschlüsselungstechnologien mehr Sicherheit bringen.

Nichtsdestotrotz dürfte das Hacken von Militär-Equipment längst eröffnet sein. Und solch naive Äußerungen wie die zur Schwachstelle, die aufgrund ihrer Unbekanntheit nicht ausgenutzt würde, machen deutlich, dass es für Freunde kreativer Techniknutzung in den Waffenkammern der US-Army noch viel zu entdecken gibt.

Wer sich für die Drohnentechnologie an sich interessiert, kann aber auch ganz ohne militärischen Bezug und völlig legal daran arbeiten. Beispielsweise beim Bau privater Mikrokopter, also ferngesteuerter oder teilautonom fliegender Mini-Hubschauer, die man z.B. mit Kameras bestücken und zu fliegenden Spähern ausbauen kann. So wird z.B. beim Chaos Computer Club bereits erwägt, der Polizeiüberwachung von Demonstrationen eine eigene Kameraüberwachung der Polizeitruppen entgegenzusetzen, um ggf. gewalttätige Übergriffe durch die Polizei dokumentieren zu können. Auch gibt es bereits Wettbewerbe für Drohnenbastler wie den Motodrone.

Saure Milch im Kaffee – Wie Hacker Microsofts Forensik-Tool auskontern

Vor einiger Zeit wurde bekannt, dass Microsoft eine Toolsammlung namens „Computer Online Forensic Evidence Extractor“ (COFEE) entwickelt hat. Und sie bereits seit längerem an Strafverfolgungsbehörden zur Sammlung forensischer Informationen abgibt. Das Tool fand rasch seinen Weg in die Community und wurde dort analysiert.

Inzwischen gibt es ein erstes Programm, das den Einsatz von Cofee behindern soll. So nutzten Hacker die Gunst der Stunde und entwickelten mit „Decaf“ (Detect and Eliminate Computer Assisted Forensics) ein Abwehrprogramm, dass beim Einstecken eines mit COFEE bestückten USB-Sticks automatisch Gegenmaßnahmen ergreifen und Beweise verschleiern soll, indem es etwa temporäre Dateien löscht,  die von COFEE generierten Logdaten manipuliert oder gleich den USB-Port abschaltet. Auch wurde eine Art „Lockdown“-Modus implementiert, mit dem es möglich sein soll, einen gerade ausgespähten Rechner intern zu verriegeln, forensisch verwertbare Datenspuren zu beseitigen und das System nach dem Deaktivieren  von USB-Ports, Disketten- und CD-Laufwerken, Drucker- und Netzwerkanschlüssen  „verschlossen“ herunterzufahren.

„Wir wollen einen gesunden, ungehinderten freien Fluss von Daten im Internet fördern und zeigen, wieso die Ermittlungsbehörden sich nicht allein auf Microsoft verlassen sollen, um ihre Beweissicherung zu automatisieren“ so einer der Decaf-Entwickler.

Ob das Tool hält, was es verspricht, wurde bislang noch nicht umfassend untersucht – der Ansatz jedenfalls ist für einige  interessant, für manch Andere eher beunruhigend. Allerdings ist es wohl nur eine Frage der Zeit, bis das geklärt ist. Herunterladen und testen kann man Decaf u.a. unter decafme.org.

Allerdings legten die Entwickler den Quellcode von Decaf nicht offen, so dass das genaue Tun des Programms nicht per Codereview analysiert werden kann. Zudem untersagen sie in der Lizenzvereinbarung des kostenfrei verbreiteten Programms explizit die Disassemblierung und das Reengineering der Software. Nach Aussagen der Entwickler sollen so die im Programm  verwendeten Signaturen geschützt werden, mit deren Hilfe das Tool beim Einsatz wohl die Rechnerumgebung analysiert.

Update vom 20.12.2009:
Inzwischen stellte sich heraus, dass DECAF ein von den Entwicklern gezielt geplanter PR-Gag war, mit dem das Ziel verfolgt wurde, Aufmerksamkeit für das Thema IT-Sicherheit und IT-Forensik speziell in Unternehmen und Behörden zu erzeugen. Sowie für die Notwendigkeit hierfür in die Ausbildung kompetenter Experten zu investieren.

Kommt die staatliche Zwangsimpfung für PCs?

Bei Landwirten ist die staatliche Zwangsimpfung für Kälber gegen Blauzungenkrankheit aufgrund der Nebenwirkungen durchaus umstritten. Daher sorgte auch ein Vorschlag des eco – Verband der deutschen Internetwirtschaft e.V. auf dem IT-Gipfel kürzlich in Stuttgart für Diskussionsstoff.  Der eco schlug dort vor, unter dem Label „Deutsche Anti-Botnetz-Initiative“ eine Art Beratungs- und Unterstützungsangebot für Benutzer einzurichten, deren PCs von Schadsoftware befallen wurden.

Der eco dazu in einer Pressemeldung:

Ziel der Initiative ist, dass Kunden der teilnehmenden Internet Service Provider, deren PC ohne ihr Wissen Teil eines Bot-Netzes wurde, von ihrem Provider hierüber informiert werden und zugleich kompetente Unterstützung bei Beseitigung der Schadsoftware erhalten.

Die Unterstützung erfolgt in gestufter Form: Zunächst kann der betroffene Kunde eine Webseite besuchen, auf der er Informationen und Hilfsmittel zur Selbsthilfe zur Verfügung gestellt bekommt. Die zweite Stufe des Unterstützungsangebots stellt ein anbieterübergreifendes Beratungszentrum dar, das Kunden mit weitergehendem Beratungsbedarf telefonisch durch die erforderlichen Schritte zur Beseitigung des Schadprogramms sowie zur nachhaltigen Absicherung des PCs führt. Die Benachrichtigung der betroffenen Kunden soll nach Möglichkeit auf mehreren Kanälen erfolgen, sodass ein zuverlässiger Eingang beim Empfänger sichergestellt ist, etwa durch eine Vorschaltwebsite beim Öffnen des Browsers sowie zusätzlich per Post.

An sich eine gute Idee. Die sich aber rasch zu einen Problem für Datenschutz und Bürgerrechte entwickeln könnte. Denn Internetprovider wollen dazu den Datenverkehr ihrer Kunden analysieren, um diese dann zu kontakten und zu warnen. Und diesen Kunden ggf. den Internetzugang zu sperren, wenn sie nicht zusehen, dass sie mit Hilfe der angebotenen Unterstützung (0900-Nummer?) das Problem loswerden. Da ist sie also wieder: Die Internetsperre als Disziplinierungsinstrument. Kein Wunder, dass Vertreter der Regierung die Idee rasch als „gelungenes Beispiel privatwirtschaftlicher Verantwortungsübernahme für die Gesamtgesellschaft“ lobten.

„Zentrale Frage für uns ist, ab wann dürfen wir Internetnutzer sperren?“, so Sven Karge, Fachbereichsleiter beim eco daher auch zu Journalisten von Welt online. Im Eco sind schließlich viele Provider vertreten. Denn zu dieser Sanktion würden die Provider gerne greifen, wenn ihre Kunden sich auch nach Hinweisen durch die Unternehmen weigern, etwas gegen Schadsoftware auf ihren Rechnern zu unternehmen.

Um die Idee umzusetzen, müssten die Provider jedoch zunächst einmal Geld in die Hand nehmen. Weshalb ihnen auch das Innenministerium bereits eine Anschubfinanzierung und das Bundesamt für Informationstechnik (BSI) technische Unterstützung zusagten. Zudem müsste man an Verträge und AGBs ran. Denn bislang sind Internetprovider genau dafür zuständig, dem zahlenden Kunden eine funktionierende Internetverbindung in vereinbarter Qualität zur Verfügung zu stellen. Nicht mehr. Doch schon länger streben die Bitschieber nach neuen Aufgabenfeldern, da die reine Datenspedition eine recht austauschbare und daher dem Preiswettbewerb voll ausgesetzte Leistung ist. Beratungsdienste (zunächst kostenlos, später kostenpflichtig oder gleich per 0900-Nummer), die der Kunde in bestimmten Situationen in Anspruch nehmen muss, könnte da ein interessantes Zusatzangebot sein.

Technisch wäre das Überwachen von Kundenrechnern auf Auffälligkeiten für die Provider kein echtes Problem. Man könnte z.B. nach, für bestimmte Formen von Schadsoftware charakteristischen, Veränderungen im Lastprofil von Kunden suchen (vermehrter Traffic auf bestimmten Ports, Nutzung unüblicher Dienste / Protokolle …). Oder auch per Deep-Packet-Inspection (DPI) die Inhalte von Datenpaketen auffällig gewordener Rechner z.B. nach Befehlssequenzen zur Botnet-Steuerung durchsuchen, die zwischen Kontrollrechner und Bot hin und hergehen. DPI ist eine aus Gründen des Datenschutzes umstrittene Technik, die neben der Bespitzelung der Kunden auch zur Aufweichung der Netzneutralität durch das Wegfiltern oder Verzögern bestimmter Dienste (z.B. P2P-Datenverkehr oder unerwünschte Sprachtelefoniedienste) missbraucht werden kann.

Andererseits haben solche Ansätze auch ihre technischen Grenzen. Veränderungen im Nutzungsverhalten und im Inhalt von Datenpaketen können schließlich auch durch Installation neuer Programme, dem Einsatz von Zweitrechnern mit anderem Betriebssystem oder dem Teilen des Internetzugangs per WLAN in einer WG zustandekommen.

Und so sah sich der eco inzwischen zu einer Klarstellung genötigt. Zumal sich bereits etliche Stimmen aus der Politik kritisch zu den bürgerrechts- und datenschutzbezogenen Folgen des  Vorhabens geäußert hatten. Was auch zeigt, wie skeptisch und dünnhäutig die Menschen nach fortwährenden internetpolitischen Angriffen auf ihre Freiheiten im Netz inzwischen geworden sind.

So erläuterte Gisela Piltz (FDP) Heise online: „Natürlich ist es richtig und notwendig, die IT-Sicherheit zu verbessern, Spam zu bekämpfen und Malware aufzuspüren. Allerdings muss man sich schon einmal fragen dürfen, ob es eine staatliche Aufgabe ist, Steuergelder für ein Call-Center zum IT-Support bereitzustellen“. Es gebe ja auch keine staatlich finanzierte Hotline für Probleme mit dem eigenen Auto.

Stefan Krempl von Heise online weiter über Frau Piltz:

Die Innenpolitikerin machte zudem deutlich, dass auch im Kampf gegen infizierte Computer von Heimanwender der Datenschutz gewahrt bleiben müsse. „Eine generelle Überwachung des Internet-Datenverkehrs darf es nicht geben, dies ist auch im Koalitionsvertrag vereinbart“, betonte Piltz. Das mögliche Kappen von Netzzugängen oder eine Beschränkung des Internetzugangs allein auf eine Warnseite sei ein gravierender Grundrechtseingriff, der für die Liberalen nicht denkbar sei. Es sei rechtlich auch höchst fragwürdig, ob derartige Eingriffe über die Allgemeinen Geschäftsbedingungen verhältnismäßig wären. Eine potenzielle Pflicht zum Schutz gegen PC-Viren hält Piltz zudem genauso für unmöglich wie ein Kino- und Theater-Verbot für Menschen mit Erkältung.

Daher forderte die Piratenpartei die Regierung bereits dazu auf, bei dem geplanten Projekt auf gesetzliche Sanktionen zu verzichten.

Es ist daher gut möglich, dass die „Deutsche Anti-Botnetz-Initiative“ rasch wieder dorthin verschwindet, wohin bereits zahlreiche netzpolitische Vorhaben der Kategorie „gut gemeint – nichts dabei gedacht“ hin verschwunden sind: Ins politische dev0-Device bzw. die Rundablage.

Nachlese zum vierten deutschen IT-Gipfel

Gestern am 08.12. fand in Stuttgart der vierte deutsche IT-Gipfel statt. Dort berieten sich Regierungsvertreter, Wirtschaftslobbyisten und IT-Branchenverbände über den IT-Standort Deutschland im Allgemeinen sowie Regierungsvorhaben mit IT-Bezug im Speziellen.

Dabei werden häufig auch Themen mit Bezug zu Informationssicherheit und Softwarequalität beraten, weshalb man diese Gipfel nicht vorschnell als reines Schaulaufen von Politikern und Branchengrößen abhaken sollte.

Neu hinzu kam dieses Jahr das Thema (informationstechnische) Bildung und Ausbildung. Studentenproteste, besetzte Hochschulen und die wieder aufkeimende Diskussion um das Thema Fachkräftemangel hatten dafür gesorgt. Dazu soll es Schulungsangebote zu e-Skills für die Jugend, die nicht zu den „Digital Natives“ gehören, geben. Womit man wohl plant, die Kompetenzen der Heranwachsenden  in einer digital geprägten Kultur zu stärken und ihnen so eine bessere Teilhabe am gesellschaftlichen Netzleben zu ermöglichen.

(was aber übel ins Auge gehen kann – teilhabende Netzbürger gelten i.A. als sehr bürgerrechtsensibel, was die Verzehnfachung der Mitgliederanzahl der Piratenpartei in diesem Jahr sowie die Proteste gegen von der Leyens Internetsperren zeigten)

Im Bereich der Forschungsförderung soll mit  „Autonomik – Autonome und simulationsbasierte Systeme für den Mittelstand“ ein neuer Themenschwerpunkt geschaffen und mit 70 Millionen Euro ausgestattet werden. Dabei soll es um Dinge wie intelligente Werkzeuge und Systeme, die sich via Internet vernetzen, Situationen erkennen und Nutzer intelligent unterstützen, gehen. Also im Prinzip um die Zusammenführung von Ideen aus der Telematik mit dem „Internet der Dinge“ sowie der allgegenwärtigen Verfügbarkeit von Informationstechnik (ubiquitous computing).

Ein weiteres zentrales Thema war die Internetregulierung. „In den vergangenen Jahren gab es in der Internetpolitik viele Gesetzesinitiativen und in der Folge viel Verunsicherung“, so BITKOM-Präsident August-Wilhelm Scheer auf dem IT-Gipfel. Für Kritik in der Öffentlichkeit sorgten insbesondere die Netzsperren zur angeblichen Eindämmung von  Kinderpornografie im Internet aber auch Vorratsdatenspeicherung, Online-Durchsuchung oder bestehende Probleme im Urheberrecht. Dabei steht die Wirtschaft häufig für die praktische Durchsetzung in der Pflicht, was den Branchenverbänden sauer aufstößt. „Es darf nicht länger eine Trial-and-Error-Politik auf dem Rücken der Internetwirtschaft geben“ so Scheer. Stattdessen müsse wieder die richtige Balance zwischen Freiheit und Sicherheit geschaffen werden. Allerdings fielen in der Vergangenheit gerade Wirtschaftsvertreter bei internetpolitischen Themen oft rasch um, sobald man ihnen bei den Kosten entgegenkam oder ihnen Steuervorteile versprach.

Als gemeinsames Abschlussdokument wurde die sog. „Stuttgarter Erklärung“ verfasst, in der neben recht allgemeinen und unverbindlichen Formeln auch Themen wie Breitbandausbau und Netzinfrastrukturen, GreenIT, informationstechnische Forschungsförderung sowie Software-Entwicklung in Deutschland auftauchen.

So plant die Regierung im kommenden Jahr ein Kompetenzzentrum IT-Sicherheitsforschung einzurichten, in dem entsprechende Programme des Forschungsministeriums und des Innenministeriums zusammengelegt und weiter ausgebaut werden sollen.

Vom Gesichtspunkt der IT-Sicherheit und der Softwarequalität her betrachtet, bleibt abzuwarten, welche konkreten Auswirkungen insbesondere die Ankündigungen zum Kompetenzzentrum IT-Sicherheitsforschung sowie zu den Programmen im Bereich der Software-Entwicklung haben werden.