Onlinedurchsuchungen seien verfassungsgemäß…
…behaupten die Innenminister. Ich hätte da aber noch ein paar Fragen zur Rechtslage:
- Was ist, wenn man seinen Rechner dagegen wirksam schützt? Ist das dann noch erlaubt? Widerstand gegen die Staatsgewalt? Insubordination? Vorbereitungstat zum Terrorismus?
- Und was ist, wenn man so einen Trojaner einfängt? Darf man in disassemblieren oder ist das dann Spionage? Darf man ihn kaputtmachen? Verletze ich Urheberrechte oder Staatsgeheimnisse, wenn ich ihn untersuche?
- Dürfte ich bei der Entdeckung des Trojaners einen CERT-Alert usw. auslösen und eine genaue Analyse auf bugtraq oder sowo posten?
- Dürfte ich einen entdeckten Trojaner in einer Vorlesung sezieren?
- Darf ich “Trojanerabwehr” lehren?
- Muß man den Trojaner dulden, wenn man ihn bemerkt? Darf man ihn mit falschen Daten füttern? Darf man versuchen, auf der Datenrückrichtung durch Pufferüberläufe usw. Gegentrojaner einzuschleusen?
- Man ist seit einiger Zeit verpflichtet, Elster Online zu verwenden, z. B. als Arbeitgeber für die Einkommensteuer und als Freiberufler für die Umsatzsteuer. Darf ich mich jetzt aus “Angst vor dem Trojaner” weigern, Steuererklärungen digital einzureichen?
- Woher weiß man überhaupt, daß der Trojaner “echt” ist? Könnte ja sein, daß jetzt jeder Feld-Wald-und Wiesenhacker in seine Malware “Bundestrojaner BKA” reinschreibt. Kann ich einen Trojaner kaputthauen und dann sagen, ich hab ihn für ne lausige Fälschung gehalten?
- Was ist denn, wenn ich als Sicherheitsspezialist einen Trojaner entdecke/abfange, der sich gegen einen Dritten wendet, z. B. gegen einen Kunden, für den ich Sicherheitsdienstleistungen erbringe? Kann ich den warnen oder muß ich gegen den Vertrag verstoßen? Mache ich mich gar strafbar, wenn ich jemanden vor einem Trojaner warne oder den Trojaner abfange? Ist das dann Beihilfe, Begünstigung oder sowas? Habe ich dann eine Polizeiaktion gestört? Muß ich den Bundestrojaner wieder auf die Beine setzen und weiterkrabbeln lassen?
Was ist, wenn das irgendwann herauskommt und der Kunde sich bei mir beschwert? Hafte ich dann dafür, weil ich meine vertraglichen Verpflichtungen nicht erfüllt habe? Oder entläßt mich der Trojaner aus meinen Vertragspflichten? Kann ich den Vertrag dann noch nach Treu und Glauben erfüllen, wie es das BGB fordert?
- Was ist denn, wenn ich für jemanden eine Firewall verwalte, die den – gegen jemand anderen eingesetzten – Trojaner hemmt oder sonstwie behindert? Muß ich die dann aufmachen? Kommen die dann zu mir und fordern vonmir, ihnen zu helfen? Muß ich dann?
- Dürfen Virenfilterhersteller den Bundestrojaner ausfiltern? Und wenn nein: Woran erkennen Sie, daß das der Trojaner und nicht irgendwas anderes ist?
- Wem darf ich eigentlich die Kosten in Rechnung stellen, wenn der Bundestrojaner Speicher- oder Kommunikationskosten verursacht? Oder wenn er doch Schäden anrichtet? Angenommen, der stört da etwas. Wer haftet? Und was ist, wenn Schaden entsteht, der Betroffene aber nicht merkt, wer ihm da Schaden verursacht hat?
Als Sicherheitsspezialist könnte es mir durchaus passieren, daß ich im Rahmen meiner beruflichen Aufgaben einem Trojaner in die Quere komme (oder der mir). Man muß sich als Consultant, Admin usw. also beizeiten überlegen, wie man sich da eigentlich zu verhalten hat, egal wie man zu der Sache steht.
Irgendwie erscheint mir das noch nicht ausgegoren.
2 Kommentare (RSS-Feed)
Ein paar Laienhaften Überlegungen:
> Was ist, wenn man seinen Rechner dagegen wirksam schützt?
Das ist erlaubt, weil man sich ja generell gegen Spionage schützen darf, und eine Überwachungsmaßnahme heimlich stattfindet, d.h. niemand wird sagen “Wir, das BKA, haben Ihnen einen Trojaner untergeschoben – er trägt gelbe Socken, daran erkennen sie, daß es unserer ist, und hier ist der richterliche Beschluß.”
Bei so vielen Punkten wäre eine Nummerierung hilfreich.
2-6: wie oben: In der Praxis wird man nicht so leicht wissen, ob das eine Software der Polizei ist, und ob es einen richterlichen Beschluß gibt, der die Software legitimiert.
Mit falschen Daten füttern sollte auch nicht verboten sein – es sei denn man täuscht eine Straftat vor usw.
Gegentrojaner sind leider verboten – ‘Hacker’paragraph.
Aber dulden muß man ihn nicht – sein Zweck ist ja ohnehin arg beschädigt, sobald er entdeckt ist.
Elster muß dennoch verwendet werden. Eine separate (virtuelle?) Maschine wird empfohlen. 🙂
8. Eben. Woher weißt Du überhaupt, daß es ein BKA-Trojaner ist.
Weil er seine Daten an eine IP sendet, und die whois-Abfrage … – ach so.
Ja, dann.
9. Bevor sie kommen checken sie Dich ab, und wenn sie das richtig machen, dann fragen sie Dich nur, wenn sie vorher wissen, daß Du ja sagen wirst. 🙂
Ich glaube nicht, daß sie Dich zwingen können zu helfen.
Ein solcher Zwang darf m.W. nur in akuten Notfällen ausgeübt werden.
Ein Trojaner wird aber nicht in akuten Fällen eingesetzt, sondern in langwierigen Ermittlungsverfahren.
Auf welcher Rechtsgrundlage man Deine Mithilfe erzwingen wollte, oder verhindern, daß Du Deinen Kunden warnst, ist mir unklar.
Für die Telefonüberwachung, Vorratsdatenspeicherung usw. gibt es explizite Gesetze.
Im Notfall ist es vielleicht besser erst einen Anwalt zu konsultieren, als Dich auf einen Blogkommentar zu berufen.
Ich meine der CCC hatte mal einen Vortrag zum Thema auf dem Camp (ccc07).
Und im Zusammenhang mit einem G8-Überwachten, der am PKW einen Pieper fand, den er dann versteigern wollte, gab es öffentliche, juristische Diskussionen.
Ein Peilsender war’s:
http://de.indymedia.org/2007/07/186639.shtml
Du solltest aber vielleicht das BKA mal fragen, wie Du deren Trojaner erkennst, nur um sie im Falle der Entdeckung staatstreu unterschlagen zu können.
Ach Hadmut,
da werden die Herren in Schwarz (oder wars mit Trenchcoat) das ganz pragmatisch Regeln. Sie werden dich einfach zu einer Stadtrundfahrt mit einer dunklen Limousine einladen und je nachdem, ob Dir die Rundfahrt gefallen hat oder nicht tauchst Du wieder auf (oder auch nicht).
d.h. Du wirst auf jeden Fall der angeschissene sein, wenn sowas bei einem Kunden passiert, den Du betreust.