US-Bundestrojaner CIPAV kommt offenbar inflationär zum Einsatz
von , veröffentlicht am 18.04.2009Das US-Magazin Wired hat dank einer Anfrage nach dem Freedom of Information Act die Veröffentlichung von Dokumenten erreicht, die eigentlich noch eine Weile geheim bleiben sollten und das Online-Ermittlungstool des FBI betreffen – die sogenannte CIPAV-Software (Computer IP Address Verifier) lässt sich in Teilen mit dem in Deutschland konzipierten "Bundestrojaner" vergleichen. Obwohl man bislang davon ausgegangen war, dass dieses Tool recht selten verwendet wird, heißt es schon auf der ersten Seite des 27 Megabyte großen PDF-Dokuments seitens der amerikanischen Behörde:
"While the technique is of indisputable value in certain kinds of cases, we are seeing indications that it is being used needlessly by some agencies, unnecessarily raising difficult legal questions (and a risk of suppression) without any countervailing benefit."
Zwar sind in dem stark geschwärzten Dokument kaum Einzelheiten zur Funktionsweise des CIPAV enthalten, doch zusammen mit einem Antrag auf den Einsatz des Tools aus dem Jahr 2007, als die CIPAV-Software zur Identifizierung eines Jugendlichen führte, der seine ehemalige High School mit Bombendrohungen per E-Mail belästigte, lässt sich ein recht deutliches Bild zusammenfügen: Das FBI verwendet offenbar Exploits, die Schwachstellen des jeweiligen Web-Browsers ausnutzen, um das Schnüffelprogramm an den Mann zu bringen; die jeweiligen Opfer könnten durch entsprechende Social-Engineering-Methoden zum Besuch einer präparierten Website gebracht worde sein. Letztlich greift das FBI damit auf profane Mittel zurück, die in exakt derselben Manier auch von Internetkriminellen eingesetzt werden.
Diese Lehren und Erkenntnisse werfen auch auf den Einsatz des "Bundestrojaners" in Deutschland ein neues Licht: Wie in den USA behauptet man auch hierzulande, dass die Spionagesoftware lediglich wenige Male pro Jahr zum Einsatz kommen soll. Und während der bayerische Verfassungsschutz auch in Wohnungen einbrechen darf, um die Infiltration der Rechner eines Verdächtigen voranzutreiben, soll das BKA mit Täuschen, Tricksen und Tarnen arbeiten. Wenn es allerdings – wie offenbar bei dessen amerikanischen Kollegen – für potentielle Zielsysteme ausreichen würde, das Betriebssystem und die Anwendersoftware aktuell zu halten, zu patchen und mit gesundem Menschenverstand an Verlockungen aus der Social-Engineering-Ecke heranzugehen, dann wäre einem "Bundestrojaner" wohl nicht nur technisch wenig Erfolg beschieden, dann müssten zwangsläufig auch verfassungsrechtliche Bedenken an der Geeignetheit des Eingriffs greifen. Und: Möglicherweise muss man sich überlegen, dass eine Überwachungssoftware umso häufiger eingesetzt wird, je einfacher sie auch von Nicht-Fachleuten zu bedienen ist – nicht nur deswegen könnte es ratsam sein, im Bedarfsfall bei SSH & Co. zu bleiben.
Hinweise zur bestehenden Moderationspraxis
Kommentar schreiben
1 Kommentar
Kommentare als Feed abonnierenVielen Dank für gute Informationen.
In den U.S.A ist das Einsetzen des CIPA-Softwares verfassungsmäßig?