Staatstrojaner. Was für ein Wort. Und was für eine unnütze Technik, zumindest, wenn es darum geht, die ganz gefährlichen Kriminellen zu schnappen, die ihren Computer tatsächlich zur Vorbereitung ihrer Straftaten nutzen. Weil es schliesslich genug Techniken gibt, eine solches Stück Software effektiv unnütz zu machen. Und wenn das geht, dann macht es natürlich auch jeder, nicht wahr?
Naja, gut... Ich erinnere mich, dass ich vor vielen Jahren als zuständiger Admin bei einem vorherigen Arbeitgeber gebeten wurde, eine bestimmte IP-Adresse aus dem Firmennetz zu ermitteln, welche verwendet worden war, um (über den Unternehmensproxy) in einem Online-Forum einen bestimmten Beitrag zu verfassen... es gehe um eine Straftat (mein Chef sagte etwas von "Beleidigung"). Ich zögerte zunächst, wies darauf hin, dass das ja schon ein ziemlicher Eingriff ins Persönlichkeitsrecht wäre, und bat um einen Gerichtsbeschluss, der mir dann auch wenig später durch meinen damaligen Chef zugestellt wurde. Das sah soweit in Ordnung aus, also suchte ich die IP-Adresse heraus, ermittelte auch den betreffenden Nutzer und teilte beides meinem Chef mit, der dies dann an die Strafverfolgungsbehörden weiterleitete. Der betreffende Kollege (Mitarbeiter einer im Hause ansässigen Tochterfirma) war mir nicht bekannt, aber ich kannte Kollegen, die öfter mit ihm zu tun hatten. Ich hielt den Mund, und das
stellte sich als völlig richtig heraus.
Der Täter in diesem Fall war, obgleich definitiv nicht computerunwissend, offenbar unbedacht genug, um das fragliche Forum aus dem Unternehmensnetzwerk heraus aufzusuchen. Nicht sehr schlau, aber in dem Fall war das ja in unser aller Sinn. Wie ich auch für die überwältigende Mehrzahl der Fälle davon ausgehe, dass die staatlichen Stellen nur dann derart tätig werden, wenn es auch meiner Meinung nach richtig wäre.
Aber dann gibt es da auch noch die anderen Fälle. Die Fälle, bei denen man am Verstand mancher Strafverfolger zweifeln muss. Oder an ihrer Objektivität. Oder ihrer Aufrichtigkeit und Loyalität zu den
grundlegenden Regeln unseres Gemeinwesens.
Und natürlich sind wir informierten Staatsbürger ja durchaus darüber im Bilde, wie schnell sich ein demokratischer Rechtsstaat in eine Diktatur verwandeln lässt, wenn man als Bürger nicht wachsam ist. Vor diesem Hintergrund ist Spionagesoftware, die heimlich auf dem eigenen Rechner installiert wird, natürlich dann doch etwas weniger sympathisch.
Hypothetisch gedacht: Wenn unser Staat von Oligarchen gekapert würde, wenn wir uns gezwungen sähen, die Demokratie und den Rechtsstaat
gegen die Behörden zu verteidigen, wie würden wir dann, rein aus IT-Sicht, gegen einen Staatstrojaner vorgehen?
Zunächst mal: Wir würden unsere "Verschwörungskommunikation" gar nicht über unsere normale IT-Infrastruktur abwickeln.
Wir würden nicht unseren reguläre Festplatte und nicht unser reguläres Handy verwenden. Wir hätten irgendwoher mehrere nicht unserer Person zuordbare SIM-Karten (von völlig unbeteiligten unterschiedlichen Leuten im Auftrag als Prepaid-Karten gekauft) und das verwendete Gerät wäre völlig blank, enthielte keine Informationen, die nicht "verschwörungsrelevant" sind und liesse sich so keiner Person zuordnen; es würde ohnehin nur mit einem Akku versehen, wenn es für die Verschwörung vorübergehend dringend erforderlich ist. Wann immer wir mit dem Computer Dinge tun würden, die die hypothetischen staatlichen Feinde der Republik missfallen, würden wir von einem externen Datenträger booten, der, wenn er nicht benutzt wird, gut versteckt aufbewahrt (oder gar immer versteckt am Körper getragen) wird. Sämtliche Verschwörungskommunikation liefe selbstverständlich
verschlüsselt und
anonymisiert ab, so dass auch die öffentliche IP-Adresse unseres heimischen DSL-Routers der Verschwörungstätigkeit nicht zuordbar wäre.
Daneben würden wir
nicht darauf verzichten, im normalen privaten Leben via Facebook, Google+, herkömmliche Email und dergleichen über weitgehend harmlose Dinge zu kommunizieren, würden bestenfalls darauf achten, die Zeiten und Orte solcher Kommunikation verdächtig sein zu lassen. Wir würden allerdings keine Mitverschwörer in unsere Kontakt- und Freundeslisten aufnehmen, sondern die Kommunikation für und über den Widerstand völlig über die "Schatten-IT" abwickeln.
Jede Fahndungsmaßnahme der Art, wie sie gerade in den Medien diskutiert wird, würde folglich nur zeigen können, dass wir ganz normale, harmlose, wenn auch kritische Bürger sind. Unsere Computer und Handys wären für das Auge des Staates die eines ganz normalen, gehorsamen Untertanen. Selbst wenn sie als Folge von Ermittlungen beschlagnahmt würden, wären wir nicht vom Verschwörernetz abgeschnitten. Da wir unsere gewöhnliche Identität im Verschwörerkontext nicht preisgeben würden, könnte selbst das Ertappen eines einzelnen Mitverschwörers auch nicht das ganze Netzwerk kompromittieren.
Wie würden die Behörden reagieren? Naja, was dann halt übrig bleibt: Die Beweise an einem Tatort sichern und auswerten, Leute observieren, V-Leute einschleusen, Mikrofone und Kameras in der Wohnung eines Verdächtigen platzieren, etc. pp. Vielleicht würden sie auch "prophylaktisch einschüchtern", wie es ja bekanntlich nur unfreiheitliche Regime zu tun pflegen.
Wahrscheinlich hätten sie damit auch Erfolg. Weil diese Methoden ohnehin viel leistungsfähiger sind als ein "Staatstrojaner", selbst als einer, der nicht so stümperhaft geschrieben wurde wie der, dessen Entdeckung der CCC letzte Woche beschrieb.