#BBA16 Das Schweigen der Lemminge

In der Kategorie "Politik" wurden nominiert:

Wie jedes Jahr haben alle Nominierten die Möglichkeit, sich mit Kommentaren an info@bigbrotherawards.at zu wenden. Wir veröffentlichen dann die Reaktionen unter der jeweiligen Nominierung.

Golden Key - Systematisches Verschweigen von Sicherheitslücken

Minister Brandstetter

  • Im Zuge der Strafrechtsreform versucht Minister Brandstetter seine Behörde mit einem erweiterten Zugang in die Privaträume Verdächtiger auszustatten. [1] Ununterbrochen taucht die Forderung nach der gesetzlichen Verankerung eines "Bundestrojaners" auf. Zuletzt ist ihm sein Amtskollege aus dem Innenressort Sobotka mit der Bemerkung zur Hilfe geeilt: "Bundestrojaner soll im Darknet patrouillieren". [2]

    Bei einer Hausdurchsuchung, die zu einem definierten Zeitpunkt, mit einem definierten Untersuchungsziel, und unter Anwesenheit von Zeugen stattfindet, werden bestehende Fakten sichergestellt. Hierbei könnten auch eventuelle Schlüssel sichergestellt werden, um ohne Bundestrojaner die Nachrichten wieder entschlüsseln zu können.

    Bei einem Einbruch in ein Computersystem muss in die Funktionsweise des Systems eingegriffen werden.

    Als Begründung für den Einbruch in unsere Systeme wird immer wieder die Kommunikation über Skype und WhatsApp vorgebracht. Beides Firmen, die die österreichischen Ermittlungsbehörden, auf richterlichen Beschluss, bei ihrem Bestreben unterstützen würden.

    In Wahrheit scheint das Ziel die End-zu-End-Verschlüsselung in der Kommunikation zu sein, hierbei ist es aber völlig egal über welches Medium, Internet, Telefon, Post, diese Kommunikation stattfindet.

    Alle angedachten Varianten in ein fremdes Computersystem einzubrechen, egal ob aus der Ferne oder direkt vor Ort, setzt das geheime ausnützen von Schwachstellen im jeweiligen Betriebssystem voraus. Da wir, als User ununterbrochen aufgefordert werden alle Updates zeitnah einzuspielen, um eben den Zugriff von Verbrechern zu verhindern, können bei diesem staatlichen Einbruch nur so genannte Zero-Day-Exploits verwendet werden.

    Hierbei handelt es sich um entdeckte Sicherheitslücken, die aber bewusst vor den Augen des Entwicklers geheim gehalten werden, damit diese nicht beim nächsten Patchday geschlossen werden.

    Es gibt einen internationalen Marktplatz, auf dem Systemschwachstellen, für sehr viel Geld von Staaten, Geheimdiensten und Cyberkriminellen gekauft bzw. rezensiert werden, um für den Einbruch in Computersysteme genutzt zu werden. Durch diese Konkurrenz werden die Angebote zB von Google, die für die Meldung von Schwachstellen bis zu einer Million bieten, in den Wind geschlagen.

    Das Ziel der Regierung sollte der Schutz aller Bürger vor Einbrüchen durch Cyberkriminelle auf ihren Systemen sein, statt das System aktiv zu schwächen, um eventuell leichter an Ermittlungsdaten heranzukommen.

  • Quellen:
    • [derstandard.at]:
      TU Wien äußert vernichtende Kritik an "Bundestrojaner"-Plänen

      Der Fakultätsrat des Informatikbereichs spricht davon, dass "nicht gesetzeskonforme Aktivitäten mit Steuergeldern finanziert" würden

      Staat verfolgt "gegenteilige Interessen"

      So weist die TU Wien darauf hin, dass sich der Staat in Interessenkonflikte bringt, wenn er sich auf die Suche nach Sicherheitslücken macht, um über diese den Trojaner in fremde Systeme einzuschleusen. In der "Österreichischen Strategie für Cybersicherheit" verfolge der Staat "explizit ein gegenteiliges Interesse", so die TU Wien.

      Doch die Kritik geht noch einen Schritt weiter: Um diese Lücken aufzustöbern, müssten wahrscheinlich sogenannte Zero-Day-Exploits erworben werden. Dabei handelt es sich um Schwachstellen, die vom Hersteller noch nicht entdeckt wurden. In der geheimdienstnahen Branche hat sich ein ganzer Geschäftszweig rund um solche Lücken gebildet.

      Datenschutzbehörde ebenfalls skeptisch Auch die Datenschutzbehörde äußert Kritik. Sie fragt in ihrer Stellungnahme etwa, wie der Trojaner auf Smartphones installiert werden soll, wenn das nur durch physischen Kontakt mit dem Gerät möglich sein soll. Außerdem wird moniert, dass sämtliche Kommunikation überwacht würde.
    • []: PDF
      [...]
      Die in § 1 36a (2) angeführte "Überwindung von spezifischen Sicherheitsvorkehrungen« setzt bei realistischer Betrachtung voraus, dass zur Einbringung der im Gesetzesentwurf beschriebenen Software Sicherheitsschwachstellen am Zielsystem ausgenutzt werden müssen. Damit bringt sich der Staat in mehrere Interessenskonflikte .
    • [derstandard.at]:
      Oberster Gerichtshof will "schärferen" Bundestrojaner
    • [forbes.com]:
      Meet The Hackers Who Sell Spies The Tools To Crack Your PC (And Get Paid Six-Figure Fees)

      “We wouldn’t share this with Google for even $1 million,” says Bekrar. “We don’t want to give them any knowledge that can help them in fixing this exploit or other similar exploits. We want to keep this for our customers.”
    • [futurezone.at]:
      "Staatstrojaner ist ein Einfallstor für Kriminelle"

      Österreich plant eine staatliche Überwachungssoftware, die eigens für den Zweck der Online-Durchsuchung angeschafft und für die der Bund jährlich hohe Lizenzgebühren von zumindest 450.000 Euro pro Jahr zahlen wird.