Wie ihr sicher mitbekommen habt, wurde im Bundestag mit einer Mehrheit von 355 Stimmen aus CDU/CSU und SPD das Gesetz zur Anpassung des Verfassungsschutzrechts angenommen. Es erlaubt allen 19 Geheimdiensten Geräte wie Smartphones oder Computer mit Staatstrojanern zu hacken.
Es geht dabei um die Quellen-Telekommunikationsüberwachung (Quellen-TKÜ). Die beschlossene ‚Quellen-TKÜ plus‘ ermöglicht den Zugriff auf laufende Kommunikation plus die Kommunikation, die vor Installation der Schadsoftware, aber nach Anordnung der Überwachungsmaßnahme stattgefunden hat.
Das Gesetz verpflichtet wohl auch Internet-Provider bei der Installation von Schadsoftware zu helfen, wobei Messenger und Email-Dienste ausgenommen sein.
Gibst es Möglichkeiten - und wenn ja, welche - sich effektiv vor Staatstrojanern zu schützen?
Reichen typische Privatsphäre-Maßnahmen oder gibt es seitens der technisch Bewanderten in diesem Forum Empfehlungen?
Einer wäre besagter Weg über den Internet-Provider. Scheinbar gab es das schon im Jahr 2017. Dort beobachtete das IT-Sicherheitsunternehmen ESET eine Welle der Ausbreitung von Finisher-Trojanern. Es soll so ausgesehen haben, als ob die Software auf der Ebene der Internetprovider in die Netze gelangte.
„Die ESET vermutete, dass die Provider auf Anweisung von Behörden gezwungen waren, die Verbindungen ihrer Kunden zu manipulieren. In diesem Szenario würdet ihr eine Website aufrufen und ohne es zu merken auf eine gefälschte Version dieser Website „entführt“ werden. Dort fangt ihr euch dann den Trojaner ein.“
In dem Szenario würde es vermutlich nur noch helfen, den Browser so zu strippen, dass sämtliche Skripte, Add-ons, Dateihandler, etc. deaktiviert sind. Damit wäre ein Großteil aller Seiten nicht mehr nutzbar. Im Prinzip der Ansatz des Tor-Browsers.
Der Angriffspunkt läge demnach zunächst im Browser.
Um diesen zu kapseln wäre Prozessisolierung notwendig, die den Browser vom Betriebssystem trennt. (Unter Linux wird das mittels Snap/Flatpak-Paketformate bereits eingesetzt. Unter Windows teilweise auch schon: Sandbox (nativ) oder als third-party Anwendung „Sandboxie“).
Zusätzlich könnte noch ein schmales virtuelles Betriebssystem (VM) einsetzen, was die wichtigen Daten von den unwichtigen trennt. Der Browser müsste darin betrieben werden.
Wie man sieht, kann der Aufwand in astronomische Höhen getrieben werden. Die Nutzbarkeit wird darunter leiden.
Ich hab nicht besonders viel Ahnung aber gibt es nicht Programme und Wege den Traffic zu überwachen? Dadurch könnte man doch sehen ob etwas ausgesendet wird was nicht ausgesendet werden sollte zb Webcam oder so. Dann würde man zumindest feststellen wenn man den Trojaner hat
Bin auch kein Experte, jedoch glaube ich nicht, dass der Trojaner oder dessen Traffic analysiert werden kann, da er - wie normaler Internetverkehr eben - verschlüsselt ist. Für Windowsnutzer ist es daher wichtig, ausführbare Programme zu prüfen und zu bestätigen (UAC).
@maxpower26
Na klar kannst du den ausgehenden Traffic überwachen, aber was bringt es dir, wenn in Wireshark ausgehender Traffic bei einem Systemprozess steht, mit dem sich unter Umständen der Trojaner „tarnt“. Es läuft dann augenscheinlich über den normalen Prozess, aber in Wahrheit wäre es der Trojaner.
@osito
natürlich kann der Traffic analysiert werden, bei MitM Attacken greifst du der Verschlüsselung vor.
Der Nutzer muss selbst nicht einmal besonders unaufmerksam sein. Durch Drive-By-Download Angriffe bekommst du die Schadsoftware im Hintergrund nur durch den Besuch auf Websiten mit. Wenn 0day Lücken genutzt werden bist du in diesem Falle aufgeschmissen.
Sorry wenn das jetzt OffTopic ist, aber ich möchte hier mal eine Relativierung des Beschlusses bewirken.
Es heißt ja, dass der Staatstrojaner bei Personen eingesetzt werden darf, die noch keine Straftat begangen haben.
Nun ja, das ist auch logisch, dass dies so beschrieben werden muss, weil selbst wenn jemand eine Straftat begangen hat, dann ist er vor dem Gesetz erst straffällig geworden, wenn er dafür auch verurteilt wurde.
Demnach geht es garnicht anders, als es so zu beschreiben.
Ich für meinen Teil kann die Aufregung nicht wirklich verstehen.
Meint ihr, dass jeder von euch jetzt ausgespäht wird?
Deutschland hat garnicht die Kapazitäten für so ein Vorhaben. Die Auswertung müsste schon von einem gigantischen Neuronalen Netz vorgenommen werden… und dann sollen wir bei „Minority Report“ ankommen oder wie?
Relativierung ist vielleicht auch schwierig ausgedrückt.
Korrekt.
Aber ganz unabhängig davon ermöglicht dies weit(er)reichende Eingriffe in die informationelle Selbstbestimmung.
Ich möchte die Verabschiedung nicht dramatisieren, aber freue mich, wenn es einen Anstoß geben sollte sich mit dem Thema Privatsphäre auseinander zu setzen. Und es sensibilisiert natürlich auch für die Möglichkeiten die Kriminelle jetzt schon nutzen (können).
Eine Diskussion über den Beschluss als solchen wäre selbst schon einen eigenen Thread wert.
Edit: Und damit Schadsoftware über die Internet-Provider eingespielt werden kann, müssen diese wissentlich Sicherheitslücken offen lassen, von denen natürlich auch Kriminelle profitieren.
Im großen und ganzen stimme ich dir voll zu. Aber allein das mit diesem Gesetz die theoretisch Möglichkeit besteht das das JEDER ausspioniert werden kann, und das durch diesen Entwurf auch noch völlig rechtmäßig, ist schon eine krasse Sache die mir überhaupt nicht gefällt.
Ein VPN kann bei einem Angriff über den Provider helfen.
Es gibt allerdings mehrere Möglichkeiten für die Geheimdienste, daher würde ich mich mit einem VPN nicht in Sicherheit wiegen ^^
Naja, wir wissen dass der Verfassungsschutz von oben bis unten mit Faschisten vollgepackt ist und die jetzt aussuchen können, von wem die gerne etwas wissen wollen um dann einem Richter entsprechend Müll erzählen zu können ums zu dürfen…
Ich hoffe, der verantwortliche Nutzer darf trotzdem erfahren, ob der unverantwortliche Nutzer schon mal von dem NSU gehört hat. Und wieso missliebige online Kommentare genauso willkürlich gelöscht werden können sollten wie Beweismaterial vom Verfassungsschutz in Ermittlungen zu rechtsextremistisch motivierten Straftaten
Edit: OK, der Verfassungsschutz hat maßgeblich zur Verschleierung rechtsextremistischer Straftaten beigetragen, trotzdem hätte ich mich nicht so überspitzt und undifferenziert ausdrücken sollen, ohne mich zu erklären.
Btw, Quizfrage: Welche der folgenden Beispiele sind strafbar:
a Hakenkreuz öffentlich zeigen
b SS Runen öffentlich zeigen
c Wehrmacht Symbole öffentlich zeigen
d Alle genannten
Tatsächlich darfst du mit Kleidung etc., die zum Beispiel Uniformen der Wehrmacht nachempfunden sind, frei herumlaufen oder die mit dem Schriftzug „Wehrmacht“ versehen sind.
Dafür könntest du dich als Nazi einzig beim Verfassungsschutz bedanken, dessen (wohlgemerkt unbegründete) „Einschätzung“ das erlaubt:
Ganz offiziell unter 1.1.6. nachzulesen. Die Wehrmacht sei keine ehemalige nationalsozialistische Organisation. Deutschland, 2021. Kein Skandal.
Mal ganz ehrlich, Rechtsextremisten die in Wehrmachtsuniform rumlaufen machen mir am wenigsten Sorgen. Das sind idR keine Leute die irgendwo was zu sagen oder zu entscheiden haben.
Mir liegt wirklich viel an dem Thema und ich würde mir wünschen, dass es zum einen weder in Richtung off topic ausartet noch einen Chat-artige Charakter bekommt.
Das heißt welche open source Software für Passwortmanager ist eventuell hilfreich (KeePass)? Schützt ein VPN überhaupt? Nutzt ihr VMs? Verzichtet ihr auf Mails, falls doch, welchen Anbieter nutzt ihr und verschlüsselt ihr (z.B. PGP) diese? Schützt ihr euer Smartphone und wenn ja, wie? Oder verzichtet ihr auf eins? Habt ihr eventuell einen anderes Betriebssystem draufgespielt? Gibt es Software die überwacht was auf dem PC passiert?
Also gewissermaßen, welche Privatsphäre-Vorkehrungen trefft ihr im Allgemeinen, die womöglich auch gegen Staatstrojaner helfen?
Oder eben ganz konkret, welche Möglichkeiten gibt es eben sich gegen Sicherheitslücken seitens des eigenen Internet-Providers zu schützen? Etc.