You are on page 1of 7

Andreas Pfitzmann, Datensicherheits-Experte

Moderator: Herzlich willkommen im tagesschau-Chat, zum Thema Online-Überwachung,


Vorratsdatenspeicherung und Sicherheit im Netz. Unser Gast ist heute Professor Andreas Pfitzmann
von der Technischen Universität Dresden. Er ist Leiter der Datenschutz- und Sicherheitsgruppe an
der TU Dresden. Für die Experten unter uns: Aktuelle Forschungsprojekte von ihm laufen zum
Thema "anonymes Surfen im Web" und "Datenschutzgerechtes Identitätsmanagment". Der Chat
wird wie (fast) immer vom ARD-Hauptstadtstudio aus moderiert. Herr Pfitzmann chattet aus
Dresden, dorthin die erste Frage:

M.Nießen: Wie lange könnte ein so genannter "Bundestrojaner" unerkannt operieren, bevor er von
einer erfahrenen Person entdeckt und analysiert wird?

Andreas Pfitzmann: Kommt sehr darauf an, wie gut er gemacht ist und wie erfahren und
aufmerksam die Person ist. Ich könnte also alles zwischen 2 Minuten und 200 Jahren rechtfertigen
als Antwort. Eine erfahrene Person wird aber anders agieren: Vermeiden, dass ein so genannter
Bundestrojaner auf ihren Rechner kommt. Das kann sie ziemlich gut sicherstellen.

Moderator: Gleich noch was, damit man weiß, wer Angst haben muss:

fredo: Können Trojaner auch in der Linux-Welt installiert werden?

Andreas Pfitzmann: Klar. Der Unterschied ist, dass es der Hersteller schwerer hat, ein
Trojanisches Pferd in einer Software zu verstecken, deren Quelltext offengelegt ist, als in Software
beispielsweise von Microsoft oder Apple, wo der Quelltext nicht allgemein zugänglich ist.

Moderator: Das heißt, auch auf diese Frage lautet die Antwort ja?

Mac-User: Ist der "Bundestrojaner" Mac-kompatibel?

Andreas Pfitzmann: Ich glaube nicht, dass es "den" Bundestrojaner gibt, es wird viele sehr
unterschiedliche Arten von Bundestrojanern geben. Mag sein, dass manche davon auch Mac-
kompatibel sind.

hissi: Wie wahrscheinlich ist es, dass der Trojaner in Software vom Staat versteckt ist, z.B. in der

Elster Software?

[Bildunterschrift: Prof. Andreas Pfitzmann, TU Dresden ]


Andreas Pfitzmann: Ich persönlich glaube nicht, dass dies so geplant ist, aber Ihre Frage zeigt -
wie auch meine unscharfe Antwort - dass das Vertrauensverhältnis zwischen BürgerInnen und Staat
gerade massiv leidet. Die Terroristen werden sich hierüber sehr freuen. Denn Terroristen sind
motiviert, können sich schulen lassen und ihre Rechner offline betreiben. Kurzum: Die, die
überwacht werden sollen, können mit der Maßnahme am wenigsten überwacht werden. Leider
verstehen das viele unserer Politiker nicht (oder sie lassen sich das Verständnis zumindest nicht
anmerken).
dasparadoxon: Jemand der wirklich Ahnung hat, kann seinen Rechner zumindest etwas schützen.
Werden diese Lauschangriffe nicht nur "unerfahrene" Opfer treffen?

Andreas Pfitzmann: Aus meiner Sicht ein klares Ja. Und damit würde ich behaupten, dass
Terrorismusbekämpfung nur vorgeschoben ist.

efkay: Jeder, der eine vernünftige Firewall hat, sollte sich doch eigentlich keine Sorgen machen
müssen.

jarek: Mit einer professionell betriebener Firewall kann man jeden Zugriff von außen unterbinden,
somit auch Installation von Trojanern, oder?

Andreas Pfitzmann: Ja, wobei auch bei einer Firewall das Problem bleibt, dass Sie ja hin und
wieder auch Programme downloaden und dann ausführen.

johnny: Wird der Trojaner Bestandteil einer Software (irgendwas mit Microsoft) sein, oder ein
eigener Dienst?

Andreas Pfitzmann: Beides ist denkbar. Ich glaube, die Bundestrojaner-Diskussion wird Open
Source Auftrieb geben, außerdem sollen und werden wir Tools entwickeln, die die Konsistenz
verteilter Programmversionen sicherstellen, also Bundestrojaner für alle oder für niemand.

none: Herr Pfitzmann, wie beurteilen Sie die (Existenz der) Gefahr, dass staatliche Stellen den
Einbau von Lücken in bestimmte Softwareprodukte, z.B. bekannte Betriebssysteme, verlangen
werden?

Andreas Pfitzmann: Ich glaube nicht, dass das in Deutschland in den nächsten paar Jahren
gefordert wird. Aber einerseits ist es in den letzten 20 Jahren immer so gewesen, dass das heute
Unvorstellbare in fünf Jahren massiv gefordert wurde. Andererseits sind amerikanische (wie auch
andere) Geheimdienste keinesfalls so zimperlich (und gut kontrolliert) wie deutsche Behörden.

none: Ist es nicht so, dass ein wirklich funktionierender "Bundestrojaner" einen 0-day exploit - also
eine unbekannte Schwachstelle benötigt? Heißt das nicht in letzter Konsequenz, dass sehr wohl alle
betroffenen, z.B. Windows- Rechner durchsucht werden können? Ganz im Gegensatz zu den
angekündigten "10-12 Ausnahmefällen"? Mithin wäre doch eine Massenanwendung möglich?

Andreas Pfitzmann: Alle wären sicherlich nicht betroffen: Terroristen werden ihre Rechner in der
heißen Phase ihrer Anschlagsvorbereitung offline betreiben, aber das von Ihnen beschriebene
Problem besteht und zeigt folgendes Dilemma: Das BSI, das Bundesamt für Sicherheit in der
Informationstechnik, hat die Aufgabe, Staat, Wirtschaft und Bürger zu schützen, also Lücken
schnellstmöglich zu stopfen bzw. stopfen zu lassen (und dabei auch in begrenztem Umfang zu
veröffentlichen). Das BKA hat ein großes Interesse, solche Lücken geheim zu halten und möglichst
lange zu nutzen. BSI und BKA unterstehen dem Innenminister. Klar, dass das massiv
Glaubwürdigkeit und Vertrauen kostet. Ich kann nur sagen: Die Terroristen wollten unsere
Gesellschaft verändern (haben es aber nicht geschafft). Geschafft haben es die Innenpolitiker
(wobei ich unterstelle, dass dies zumindest manche nicht wollten).

palettentreter: Man muss ja davon ausgehen, dass Verbrecher einfach auf exotische Plattformen
ausweichen, um das Unterschieben von Rootkits o.ä. zu erschweren. Glauben Sie, dass der Staat
über die nötigen Ressourcen verfügt, um in kurzer Zeit, und mit minimalem Entdeckungsrisiko,
professionell gesicherte Systeme zu infiltrieren?
Andreas Pfitzmann: Das BKA verfügt über diese Ressourcen nicht. Denkbar ist natürlich
Amtshilfe, sei es vom BSI, der NSA, Mossad, KGB.

none: Verzeihen Sie mir, wenn ich nochmal auf einen Punkt zurückkomme: Eine massenweise
Anwendung des Bundestrojaners (tausende Fälle pro Jahr) an Recht und Gesetz vorbei ist also
technisch ohne weiteres möglich?

Moderator: Anmerkung dazu: Es gibt kein "Limit" für einen Einsatz von Bundestrojanern. Wenn
die BKA-Novelle so kommt wie geplant, liegt die Begrenzung vermutlich eher im Aufwand, der
betrieben wird, um einen Bundestrojaner zu programmieren und einem Verdächtigen unterzujubeln.
Der ist so groß, dass es nur ein paar Fälle sind - sagt das Bundesinnenministerium.

Andreas Pfitzmann: Wenn es um die Infiltrierung weitgehend ungeschützter Rechner über


Kommunikationsnetze geht, dann gibt es technisch wie auch wirtschaftlich kein Limit, deshalb halte
ich diese Methode auch für demokratie-unverträglich, da für Massenüberwachung geeignet. Ich
würde deshalb andere Infiltrationsmethoden bevorzugen: Abstrahlung auswerten; physischer
Zugriff.

dasparadoxon: Wie kann man dem FaceBook-Bürger die Problematik erklären?

Andreas Pfitzmann: Schwierig. Ich wäre schon froh, wenn Herr Ziercke (Jörg Ziercke, Präsident
des Bundeskriminalamtes, Anm. der Redaktion) und Herr Dr. Schäuble sie verstünden.

Moderator: Physischer Zugriff heißt: persönlich ran an den Rechner des Verdächtigen?

Andreas Pfitzmann: Ja - was auch bedeuten kann: In die Wohnung einsteigen.

danimo: Nochmal zurück zur Know-How-Quelle für den Einsatz des Bundestrojaners: Ist es nicht
viel wahrscheinlicher, dass das BKA sich Unterstützung aus der Wirtschaft holt? Firmen, die
Software und Dienstleistungen für Nachrichtendienste bereitstellen, dürften doch ausreichend
existieren.

Andreas Pfitzmann: Das BKA wird sicherlich versuchen, Know-How dazuzukaufen. Das macht
die Sache aber nicht besser, sondern schlimmer: Jetzt stören wir nicht nur das Vertrauensverhältnis
Bürger-Staat, sondern auch noch Konsument-Produzent.

horst: Zum Thema "Abstrahlung auswerten": Wie weit funktioniert das in der Praxis? Über welche
Reichweite ist so eine Abstrahlung noch auswertbar und wie weit unterscheidet sich das nach
Monitortyp? (TFT,CRT)

Andreas Pfitzmann: Da gibt es in der öffentlichen Literatur nur wenige Experimente und die
Dienste schweigen. Abstrahlung von Monitoren kann man mit Amateurtechnik mindestens einige
zehn Meter gut auswerten, mit Profitechnik vermutlich einige Kilometer. Akustische Abstrahlung
(jede Taste klingt anders) einige zehn Meter. Elektrische oder magnetische Impulse durch
Tastendrücke vermutlich einige 100 Meter. Kurzum: Es wäre zumindest einen sehr ernsthaften
Versuch wert und ich finde es hoch interessant, dass das BKA hierauf auffällig unauffällig in keiner
Weise eingeht. Zumal diese Abstrahlungsauswertung eine Methode wäre, der sich niemand, auch
keine Terroristen, auch nicht mit Offline-Betrieb, entziehen könnte. Kurzum: Diese Ignoranz wirft
die Frage auf, ob es bei der Maßnahme wirklich um Terroristen fangen geht oder etwas anderes.
Und akustische Wohnraumüberwachung ist erlaubt. ;-)

dasparadoxon: Oh Gott. Akustische Abstrahlung...das wusste ich nicht...


Moderator: So geht‘s mir auch.

none: Zu Abstrahlung (Tempest): Gilt bei "Abstrahlung" nicht dasselbe wie für den
Bundestrojaner? Ein einigermaßen technisch versierter Terrorist kann sich leicht davor schützen

hmm: Zum Thema Abstrahlung (Monitor, Tastatur): Gibt es zu Ihren Aussagen Quellen?

Andreas Pfitzmann: Wenig. Die Namen zum googeln sind van Eck (sehr alt, erste
Veröffentlichung hierzu) und Markus Kuhn (Cambridge, UK).

Moderator: Wenn ich Sie richtig zusammenfasse, macht der Bundestrojaner für den
Terroristenfang wenig Sinn.

Andreas Pfitzmann: Zumindest in den Varianten, auf die sich die Große Koalition geeinigt hat.
Leider.

Moderator: Was vermuten Sie dann hinter diesen Maßnahmen, wir reden ja auch über
Vorratsdatenspeicherung etc.?

Andreas Pfitzmann: Die Politik will Aktion demonstrieren und merkt nicht, wie lächerlich sie sich
gegenüber denjenigen macht, die von der Technik Ahnung haben. Ich sollte vielleicht einmal klar
sagen, dass ich Online-Durchsuchung durch Auswertung der Abstrahlung (und ggf. spätere offene
Beschlagnahme) für durchaus zielführend und ggf. auch angemessen halte. Ganz anders ist dies bei
der Vorratsdatenspeicherung, wo nicht nur bestehende Sicherheitslücken der IT ausgenutzt werden,
sondern auch noch zusätzliche geschaffen. Es wird NSA, KGB wie auch die organisiere
Kriminalität sehr freuen, dass auch für sie (denn die speichernden Systeme werden unsicher sein
oder über „social engineering“ aufgemacht, vgl. Telekom-Skandal) Kommunikationsdaten aller
Kommunikation sechs Monate lang zum Abruf bereit gehalten werden.

Moderator: Anmerkung 1: Nach der derzeit geplanten BKA-Novelle, darf das BKA nicht in eine
Wohnung eindringen, um dort einen Trojaner oder ähnliches zu platzieren. Anmerkung 2: Zum
Thema akustische Überwachung mit Dank an User "None"
http://www.cl.cam.ac.uk/techreports/UCAM-CL-TR-577.html ist der Link zur PhD-Arbeit von
Markus Kuhn.

Andreas Pfitzmann: Ja, so ist es: Die CDU hat sich profiliert, dass es Online-Durchsuchung gibt.
Die SPD hat sich profiliert: Aber nicht durch Einstieg in die Wohnung. Super für beide. Und die
Terroristen freuen sich, dass es gegen sie nicht wirkt. Schlecht nur für unsere demokratische
Gesellschaft.

foo bar: Ich habe als Bürger immer gedacht, dass die Politik solche Gesetze u.a. mit Experten wie
Ihnen bespricht/entwirft?

Andreas Pfitzmann: Nein, die Politik fragt uns zwar, glaubt aber dem BKA. Und das BKA hat
natürlich auch Eigeninteressen - Ausbau der IT-Abteilung.

Moderator: Noch mal ein paar technische Details:

ego: Noch mal die Frage zu den Ports: Ist es möglich, kontrolliert alle Ports zu sperren? Ein Blick in
NETSTAT zeigt, wie schwierig es wohl ist, auch wenn die Firewall aktiv ist.

Andreas Pfitzmann: Da passe ich, bin kein Firewall-Experte. Aber wenn ich nicht will, dass mein
Rechner über das Netz infiltriert wird, dann hänge ich ihn nicht ans Netz. So viel Wissen traue ich
auch andern zu.

wolfgang: Warum Onlinedurchsuchung, wenn "man-in-the-middle"-Angriffe leichter gehen?

Andreas Pfitzmann: Zweites ist Kommunikationsüberwachung. Das wird natürlich auch gemacht.
Bei Online-Durchsuchung möchten die Suchenden auf ALLES zugreifen können, unabhängig
davon, ob es jemals kommuniziert wird.

Kako: Ist Deutschland das einzige Land, welches einen Bundestrojaner einführen will, oder gibt es
schon Länder, die mit sowas schon arbeiten?

Andreas Pfitzmann: Die USA arbeiten mit sowas schon viele Jahre.

Moderator: .. und müssen sich nicht an deutsches Recht halten, wenn Sie mal in good old Germany
reinschauen.

irrlaender: Ist das auch nicht alles Angstmache? Wie soll man diese Massen von Daten denn
auswerten können?

Andreas Pfitzmann: Die NSA ist einer der größten IT-Anwender weltweit. Das BKA ist verglichen
damit nicht gut ausgestattet. Die Auswertungstools (data mining ist das Schlagwort) gibt es bereits.
Sie werden u.a. im Marketing benötigt.

Moderator: Zwischenfrage: Können wir ein paar Minuten überziehen?

Andreas Pfitzmann: Ja.

Moderator: Prima. Viele Fragen zum Thema bzw. Vorschlag zwei Rechner - einer fürs Arbeiten,
einer fürs Netz. Das hilft gegen alle Art von Schadsoftware, hat Prof. Pfitzmann ja schon erklärt,
aber Detailfrage:

Nolle: Beispiel: Ich habe einen alten Rechner, der für das Internet reicht. Auf dem sind weder die
privaten Filmchen mit der Familie noch meine geschäftlichen oder behördlichen Vorgänge. Um nun
aber ein heruntergeladenes PDF oder Rechnung auf den Offline-Rechner zu bekommen, benutze ich
einen USB-Stick. Könnte dieser vom "Bundestrojaner“ als Medium benutzt werden, um auch den
Offline-Rechner zu durchsuchen?

Andreas Pfitzmann: Wenn Sie auf ihrem Stick nur Daten transportieren, aber keine Programme,
dann sind Sie mit dieser Maßnahme gegen "Bundestrojaner" sicher. Was uns zu der uralten
Erkenntnis zurückbringt, dass es klug ist, zwischen Programmen und Daten zu unterscheiden.
Leider haben große Softwareanbieter diese Unterscheidung zunehmend verwischt.

GeMe: Ein Trojaner ließe sich doch sicherlich in einer interaktiven Webseite wie z.B. einem
Gewinnspiel verstecken?

Andreas Pfitzmann: Hoffentlich ist Ihr Rechner so konfiguriert, dass Programmcode auf einer
Webseite nicht beliebig auf Ihre Speicherinhalte zugreifen kann.

Moderator: Das Verfassungsgericht hat festgelegt, dass Bundestrojaner etc. nur für die Abwehr
oder Verfolgung von schweren Straftaten zulässig ist. Aber dennoch:
M.Nießen: Im Internet klingt immer wieder die Vermutung durch, das man mit der
Onlinedurchsuchung eigentlich die illegalen Raubkopierer kontrollieren will. Wie beurteilen sie
diese Vermutung?

tankwart: Wie schätzen sie die Rolle der Musik und Filmindustrie ein? (Filesharing)

Andreas Pfitzmann: Ich glaube nicht, dass Musik oder Filmindustrie momentan treibend sind. Dr.
Schäuble will Terroristen fangen, nicht Raubkopierer. Aber die Erfahrung sagt natürlich: Die in fünf
Jahren voll ausgebaute IT-Abteilung des BKA, die leider leider keine durchschlagenden Erfolge
gegen den Terrorismus verbuchen wird (die sind so gemein und betreiben ihre Rechner offline),
wird dann sagen: Aber wir können vielleicht helfen, dass zwar nicht der Terrorismus ausgerottet
wird, aber das Raubkopieren. Und wenn wir nun schon mal die vielen ExpertInnen im BKA
bezahlen…

hmm: Ist es nicht möglich, in .pdf oder .doc-Dateien, also eigentlich Daten, Schadcode zu
implementieren?

Moderator: Ich hoffe mal, dass es nicht so ist. PDF sind Grundnahrungsmittel für recherchierende
Journalisten.

Andreas Pfitzmann: Leider geht es sowohl bei .pdf wie auch bei .doc. Wie gesagt, Microsoft und
andere haben unserer Bequemlichkeit zuliebe sehr unsichere IT-Systeme in den Markt gebracht. Ich
vermute aber: Terroristen können auch mit reinen Text-Dateien kommunizieren.

Moderator: Und letzte Frage:

Herman: Was macht Ihnen mehr Sorgen: Die Datensammelwut des Staates oder die der Wirtschaft?

Andreas Pfitzmann: Sorgen machen mir fremde Geheimdienste und organisierte Kriminalität, die
auch Daten sammeln, wie auch versuchen werden, auf "unsere" Datensammlungen zuzugreifen. Sie
werden dabei häufig Erfolg haben. Deshalb sollten wir bereits die Erfassbarkeit von Daten
minimieren und insbesondere Datensammlungen nur dann anlegen, wenn dies absolut
unvermeidbar ist und die Sammlungen anonymisiert oder pseudonymisiert sind. Kurzum: Unser
Staat arbeitet aus meiner Sicht nicht bewusst gegen uns. Manche seiner Entscheidungsträger sind
nur sehr technikunkundig. Und ich hoffe, dass der Telekom-Skandal dazu nütze ist, die
Vorratsdatenspeicherung abzublasen und die Wirtschaft durch den Staat besser zu kontrollieren.

Moderator: Damit ist unser tagesschau-Chat zu Ende. Mein Name ist Wolfram Leytz. Herzlichen
Dank nach Dresden an Professor Pfitzmann, dass Sie sich Zeit für die Diskussion genommen
haben! In unserer Umfrage haben wir heute gefragt: „Fühlen sie sich durch die neuen
Sicherheitsgesetze in Ihrer persönlichen Freiheit eingeschränkt?- 95 Prozent haben "Ja" gesagt, fünf
Prozent "Nein". Das Protokoll des Chats ist in Kürze auf den Webseiten von tagesschau.de und
politik-digital.de zu lesen. Das tagesschau-Chat-Team wünscht allen noch einen schönen Tag und
ein schönes Wochenende und gibt nach Dresden an Prof. Pfitzmann zum Schlusswort:

Andreas Pfitzmann: Wir sollten uns und anderen möglichst solides Wissen, auch über IT-
Sicherheit beibringen. Nur darauf kann rationale Politik aufbauen.

Moderator: Stellvertretend für viele andere:

dasparadoxon: Sehr guter Chat ! Ich schneide mir ne Scheibe von ihrem Optimismus ab!