Heute wurde in der ZIB1 über das Sicherheitspaket (vulgo Überwachungspaket) der Bundesregierung berichtet. Der Bericht war jedoch irreführend.

Im Bericht wird erwähnt dass es um die Überwachung von Whatsapp gehe. Das ist so unrichtig, es geht um jegliche Kommunikation auf dem Gerät. Das Problem ist, dass die meisten Kommunikationsdienste End to End Verschlüsselung verwenden. D.h. die Kommunikation wird auf dem Gerät des einen Kommunikationspartners verschlüsselt und am Gerät des anderen Kommunikationspartners wieder entschlüsselt. Der Betreiber des Kommunikationsdienstes (z.B. Whatsapp) hat daher keine technische Möglichkeit die Kommunikation mitzuhören, und daher auch die Strafverfolgungsbehörden nicht.

Um das Problem zu lösen – und damit die Strafverfolgungsbehörden eine derartige Kommunikation mithören können, müsse ein kleines Programm auf dem Gerät installiert werden. Dieses Programm müssten die Strafverfolgungsbehörden entwickeln – und dafür hätten sie bis 2019 Zeit. Die Aussage ist so irreführend und unrichtig: Um verschlüsselte Kommunikation mithören/lesen zu können, muss dort angesetzt werden – wo sie noch nicht verschlüsselt ist. Daher am Gerät selbst. Es muss daher eine Software auf dem zu überwachenden Gerät (Computer, Notebook, Handy, …) installiert werden. Wie wahrscheinlich ist es nun, dass diese Software vom zu überwachenden selbst installiert wird? Das ist nahezu auszuschließen. Diejenigen die das tun würden, würden sich vermutlich auch freiwillig im Gefängnis melden um eingesperrt zu werden.

Der Staat muss also eine Schadsoftware (einen Virus) entwickeln, und mit diesem dann das Gerät aus der Entfernung infizieren. Das Problem dabei ist – wie soll dieser Virus auf das Gerät gelangen? Die Geräte haben allesamt Firewalls installiert, und sind durch Anitviren und sonstige Mechanismen geschützt. Einzige Möglichkeit ist also Lücken – vor allem in Betriebssystemen – die der Allgemeinheit noch nicht bekannt sind (s.g. Zero Day Exploits) auszunutzen. Diese Lücken können nicht nur von Strafverfolgungsbehörden genutzt werden – sondern wenn sie bekannt werden natürlich von Jedermann – also auch von jedem Bösewicht. Genau das ist mit der Ransomware WannaCry passiert. Hacker hatten der NSA solche Zero Day Exploits von Windows entwendet – und damit die Erpressungssoftware WannaCry entwickelt, die unter anderem in England das Gesundheitswesen fast lahm gelegt hat.

Das Verwenden solcher Zero Day Exploits durch Staaten ist extrem gefährlich. Das Ausnutzen dieser Lücken kann extreme Schäden verursachen und siehe WannaCry unsere gesamte kritische Infrastruktur (wie in diesem Fall Spitäler) lahmlegen. Die Betriebssystemhersteller wie z.B. Microsoft warnen eindringlich davor, Sicherheitslücken geheim zu halten.

Ein weiteres Problem mit der Überwachung ist, dass es eine große Vielzahl an Kommunikationsdiensten gibt. Damit die Strafverfolgungsbehörden alle Kanäle die verwendet werden – abzuhören, muss auf dem Gerät erst einmal festgestellt werden, welche Software installiert ist, und welche Software für die Kommunikation verwendet wird. Dazu ist eine Durchsuchung des Gerätes notwendig – denn ohne diese Durchsuchung, wird man kaum feststellen können, was überwacht werden soll. Diese Online Untersuchung ist aber dediziert nicht zugelassen.