Krypto e.V.

Der von der Bundesregierung vorgelegte Gesetzentwurf zur Neuregelung der Telekommunikationsüberwachung sieht eine Einführung der Pflicht zur Speicherung der Verkehrsdaten von Internet- und E-Mail-Nutzern schon zum 1. Januar 2008 vor. Die Bundesregierung plante ursprünglich, die Vorratsdatenspeicherung für die Branchen zeitlich versetzt einzuführen. Für die Internetbranche sollte diese erst ab März 2009 gelten. Diese verlängerte Umsetzungsfrist war von der Bundesregierung extra in die dem Gesetz zugrunde liegende EU-Richtlinie hineinverhandelt worden, um auf die besonderen Probleme der Einführung einer neuartigen Überwachungstechnik Rücksicht zu nehmen.

Dazu Klaus Landefeld, Vorstand Infrastruktur und Netze des Verbandes der deutschen Internetwirtschaft, eco: “Die Internetwirtschaft ist von dieser kurzfristigen Umsetzung böse überrascht worden. Es ist völlig unrealistisch, dass die Speicherung der Verkehrsdaten von Internet- und Email-Nutzung zu diesem Zeitpunkt umgesetzt werden kann. Sie ist mit herkömmlicher Überwachung nicht zu vergleichen. Es geht hier nicht um die Erweiterung bestehender Überwachungstechnik, sondern es müssen neue, anspruchsvolle technische und organisatorische Prozesse aufgesetzt werden, die hohe Kosten verursachen. Denn es sind auch Daten zu speichern, die kein Provider bisher erfasst hat. Bislang haben wir noch nicht einmal grundlegende Informationen zu den technischen Anforderungen. Die überhastete Umsetzung stellt eine enorme Belastung für die Internetwirtschaft dar. Sie wird gezwungen, kurzfristig enorme Kosten für die Umsetzung eines Gesetzes zu tragen, das dann möglicherweise vom Europäischen Gerichtshof oder vom Bundesverfassungsgericht wieder gekippt wird.”

Vor dem Europäischen Gerichtshof ist eine Klage gegen die dem Gesetz zugrunde liegende EU-Richtlinie anhängig. eco fordert deshalb ein Moratorium der Umsetzung der Richtlinie. eco hat zudem Zweifel, ob die geplante Vorratsdatenspeicherung mit der Verfassung vereinbar ist. Klagen gegen das Gesetz vor dem Bundesverfassungsgericht sind von verschiedenen Seiten bereits angekündigt worden.

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, Peter Schaar, hat den 21. Tätigkeitsbericht für 2005/06 vorgelegt. Der oberste Datenschützer betonte, dass seine Arbeit deutlich zugenommen habe und übte erhebliche Kritik an der Bundesregierung.

Der Datenschutzbeauftragte hob die steigende Zahl von Eingaben der Bürger hervor, die gegenüber dem letzten Bericht um 28 Prozent gestiegen sind. Schaar kritisierte, dass das Datenschutzrecht nicht mit der sich entwickelnden Informationsgesellschaft mithalten kann – er forderte eine Modernisierung des Rechtes sowie endlich ein Ausführungsgesetz zum Datenschutzaudit.

Besonders auffällig sei die Opferung des Datenschutzes zu Gunsten von Maßnahmen, die der Erhöhung der inneren Sicherheit dienen sollen. Schaar forderte die Politik auf, das Grundrecht auf informationelle Selbstbestimmung wieder stärker unter den Schutz des Staates zu stellen.

Wichtige Felder, die nicht nur den Datenschutz, sondern auch die Verfassungsrechte der Bürger betreffen, seien die Gesetze zur Terrorismusbekämpfung, die damit verbundenen neuen Befugnisse für Sicherheitsbehörden sowie die geplante Vorratsdatenspeicherung als auch die Ausweitung der Videoüberwachung. Doch auch die Kontenabrufe durch Finanzämter und andere Behörden sowie die Steuer-Identifikationsnummer und RFID-Techniken halten den Datenschutzbeauftragten auf Trab.

Mobiltelefone, PDAs, Router und andere elektronische Geräte mit embedded Software stellen laut Barnaby Jack, Sicherheitsexperte beim Netzwerkspezialisten Juniper Networks, eine erhebliche Sicherheitsbedrohung dar. Die Betriebssysteme, unter denen diese Produkte laufen, würden riesige Lücken aufweisen, wodurch ein Hack problemlos durchführbar sei, berichtet das Branchenportal Cnet. Im Rahmen der Konferenz CanSecWest im kanadischen Vancouver demonstrierte der Experte, wie einfach es für Hacker ist, diese Lecks auszunutzen.

“Auf derartigen Geräten sind Sicherheitslücken in Hülle und Fülle vorhanden”, moniert Jack. Sicherheit müsse über den PC hinausgehen. “Ein unsicheres Gerät stellt für das gesamte Netzwerk ein Problem dar. Hardwareanbieter müssen Sicherheitsfragen stärker in Betracht ziehen”, fordert der Experte. Um seine Kritik zu untermauern, zeigte er, wie einfach es Hackern gemacht wird. Dazu attackierte er einen Router des Unternehmens D-Link, der ein bislang noch nicht behobenes Leck aufweist. Zwar musste der Experte in diesem Fall eine direkte Verbindung mit dem Gerät herstellen, anschließend war es allerdings problemlos möglich, das Passwort zu umgehen, die Kontrolle zu übernehmen und ein Spionage-Programm hochzuladen. Laut Jack existieren sehr viele Lücken dieser Art, die auch über das Internet ausgenutzt werden können.

Die von Jack untersuchten Systeme wiesen beispielsweise zahlreiche so genannte “Null Pointer” auf. Diese Lecks sind zwar für den PC selbst meist kein Problem, allerdings lassen sie sich ähnlich ausnutzen, wie ein Buffer- oder Heap-Overflow. Dabei werden Befehle direkt in das Betriebssystem geschrieben, wodurch der Angreifer die Kontrolle über das attackierte Gerät erhalten kann. Bislang interessierten sich Hacker wie auch Forscher kaum für diese Geräte. Das ändert sich allerdings gerade, da Hacker zunehmend versuchen, Geräte mit Microprozessoren wie PowerPC, Xscale, ARM oder MIPS zu knacken und für ihre Zwecke zu missbrauchen, so Jack.

Die Lückensuche eines Hackers beginnt mit der Analyse des Betriebssystems des betroffenen Gerätes. Dieses kann über die zumeist ungesicherten Schnittstellen wie JTAG (Joint Test Action Group) und UART (Universal Asynchronous Reciver Transmitter) ausgelesen werden. Als Sofortmaßnahme empfiehlt Jack den Herstellern der Geräte, ebendiese Zugriffsmöglichkeiten besser abzusichern.

Nur wenige Stunden, nachdem die Meldung über den US-Amoklauf an der Virginia Tech die Nachrichtenwelt im Sturm erobert hat, haben Cyberkriminelle das schockierende Ereignis zu ihren Gunsten ausgenützt. So ist mittlerweile eine wahre Flut an Spam-Mitteilungen im Umlauf, die einen vermeintlichen Videolink zum Massaker an der US-Universität beinhalten. Beim Anklicken des Links, der auf die Datei “terror_em_virginia.scr” verweist, bekommt der E-Mail-Empfänger allerdings kein Videomaterial zu Gesicht. Vielmehr installiert sich ein bekannter Bankentrojaner, der in der Lage ist, Passwörter, User-Namen und Kontonummern zu stehlen.

“In letzter Zeit häufen sich die Vorfälle, bei denen große Medienereignisse noch am selben Tag von kriminellen Kräften ausgenutzt werden”, erklärt Sophos-Sicherheitsexperte Graham Cluley. Ähnliches konnten Malware-Beobachter bereits rund um den Hurrikan Katrina, den Concorde-Absturz oder in der Orkannacht des Herbststurms Kyrill beobachten. Dabei beschränken sich die Internetgangster aber nicht nur auf das Versenden von getarnten Nachrichtenmeldungen mit schadhaften Trojaner-Links, sondern verfolgen eine mehrgleisige Strategie.

“Allein am ersten Tag des Massakers wurden mehr als 450 Domains gekauft, die auf den Namen oder die Ereignisse rund um Virginia Tech zurückgehen”, so Cluley. Auch wenn der wahre Verwendungszweck beim Großteil der erworbenen Domains noch nicht klar sei, könne man davon ausgehen, dass einige als falsche Wohltätigkeits- und Spendenseiten im Netz auftauchen werden. Im Falle der Londoner Bombenattentate im Sommer 2005 seien kurze Zeit danach auch sogenannte Nigeria-Briefe im Umlauf gewesen, in denen Hinterbliebene um Hilfe für Transaktionen baten, so Cluley gegenüber pressetext.

Sophos zufolge sind die bisher aufgetauchten E-Mails ausschließlich in portugiesischer Sprache verschickt worden. Bislang sind keine Informationen bekannt, wie viele Anwender und welche Banken von der E-Mailattacke betroffen sind. Eine weitere E-Mail-Welle in einer anderen Sprache sei nicht auszuschließen, rät Sophos zu erhöhter Vorsicht.

Das Bundeskabinett hat heute einen Gesetzentwurf zur Vorratsdatenspeicherung beschlossen. Während das Bundesjustizministerium die neuen Regelungen als verbesserten Rechtsschutz der Betroffenen darstellt, sehen Datenschützer in der vorsorglichen Speicherung aller Verbindungsdaten eine Verletzung des Grundgesetzes. Einige Mitglieder, Mandatsträger und Untergliederungen von SPD, CDU und CSU sprechen sich derweil gegen die “drohende Zwangsspeicherung des Telekommunikationsverhaltens der gesamten Bevölkerung” aus.

Der Staat könne auf verdeckte Ermittlungsmaßnahmen zur Aufklärung schwer wiegender Straftaten nicht verzichten, so Bundesjustizministerin Brigitte Zypries. “Da verdeckte Ermittlungsmaßnahmen aber regelmäßig in die Grundrechte der Bürgerinnen und Bürger eingreifen, müssen für ihre Anordnung strenge Voraussetzungen gelten und der Rechtsschutz wirksam ausgestaltet sein. Mit den Neuregelungen gestalten wir die Anordnungsvoraussetzungen einheitlich, sorgen für Verfahrenssicherungen und verbessern die Möglichkeiten des Betroffenen, nachträglich die Rechtmäßigkeit einer solchen Maßnahme gerichtlich überprüfen zu lassen”, kommentiert Zypris den Gesetzentwurf aus dem eigenen Hause.

Allerdings wird dabei auch die EU-Richtlinie zur Vorratsdatenspeicherung umgesetzt. Vorgesehen ist eine Speicherpflicht für Telekommunikationsunternehmen. Für sechs Monate soll gespeichert werden, wer mit wem wann und – beim Mobilfunk – von wo aus telefoniert hat. Gespeichert werden im Wesentlichen die genutzten Rufnummern und Kennungen, die Uhrzeit und das Datum der Verbindungen sowie die Standorte bei Beginn der Mobilfunkverbindung.

Zudem sollen Daten zum Internetzugang sowie über E-Mail-Kommunikation und Internettelefonie erfasst werden. Die genannten Daten müssen auch dann gespeichert werden, wenn sie für die Gebührenabrechnung nicht oder nicht mehr benötigt werden. Das bedeutet, dass auch Anbieter so genannter Flatrates die Daten speichern müssen. Bislang ist es nur erlaubt, die entsprechenden Daten zu Abrechungszwecken zu speichern, künftig soll es eine Speicherpflicht geben.

Der Inhalt der Kommunikation und Daten, die Aufschluss über aufgerufene Internetseiten geben, dürfen dagegen nicht gespeichert werden. Dennoch, Datenschützer sehen in dieser geplanten Vorratsdatenspeicherung, die die Kommunikation eines jeden Bürgers erfasst, einen Verfassungsbruch und warnen vor dem “gläsernen Bürger”. Besonders problematisch gestaltet sich die Situation für Geheimnisträger wie Seelsorger, Ärzte, Rechtsanwälte, Journalisten und Abgeordnete, denn auch deren Kommunikation würde vorsorglich aufgezeichnet, obwohl sie einen besonderen Schutz genießen.

Die Pläne stoßen aber nicht bei allen Mitgliedern der Regierungskoalition auf Zustimmung. Gleiches gilt für die Frage, ob mit der Vorratsdatenspeicherung tatsächlich mehr Sicherheit erreicht wird.

Die Frage, wer wann mit wem von welchem Ort aus kommuniziert hat, berühre den Kernbereich privater Lebensumstände sowie Geschäftsgeheimnisse. “Es ist bisher in keiner Weise überzeugend dargelegt, dass die Speicherung solch sensibler Daten in Fällen, in denen nicht einmal ein Anfangsverdacht vorliegt, angemessen ist”, heißt es in einem Appel des Arbeitskreises Vorratsdatenspeicherung.

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit hat öffentlich vor einem möglichen Missbrauch der Daten gewarnt, die bei zahlreichen Telekommunikationsunternehmen und Internetprovidern gespeichert werden sollen. “Schon die Befürchtung von Missbrauch schreckt von unbefangener Telekommunikation ab, auf die Menschen in Notlagen (z.B. bei Gesundheits-, Ehe- oder Drogenproblemen) ebenso angewiesen sind wie die demokratische Gesellschaft insgesamt (z.B. Schutz von Informanten der Presse als Voraussetzung der Aufdeckung öffentlicher Missstände)”, heißt es in dem Appell weiter. Quelle:  Golem.de

Die Bundesregierung gibt sich weiter sehr bedeckt zu Einzelheiten über die Durchführbarkeit von heimlichen Online-Durchsuchungen. Im Bundeskriminalamt (BKA) werde “derzeit die technische Umsetzbarkeit” der momentan heiß diskutierten verdeckten Ermittlungsmaßnahme “im Rahmen eines Entwicklungsprojekts geprüft”, schreibt das Bundesinnenministerium in einer jetzt vorliegenden Antwort auf eine umfassende Anfrage der FDP-Fraktion im Bundestag. Dabei würden “Aspekte der Gerichtsverwertbarkeit der Ergebnisse, der Nichtweiterverbreitung von hierzu verwendeten Programmen und des weitestgehenden Ausschlusses unerwünschter Effekte berücksichtigt”. Absprachen mit Softwareherstellern strebe man nicht an. Konkrete Aussagen zur geplanten Technik würden sich noch nicht treffen lassen.

Die Schaffung von Sicherheitslücken werde bei möglicherweise bald legalen Online-Durchsuchungen privater Festplatten und Speicherplattformen im Netz nicht angestrebt, versichert das Innenministerium. Derzeit werde davon ausgegangen, dass eine missbräuchliche Nutzung der einzusetzenden Programme durch Dritte für eigene Zwecke durch technische Maßnahmen allerdings nur "weitestgehend" verhindert werden könne. Insgesamt stuft die Bundesregierung ein Entdeckungsrisiko der verwendeten Software als gering ein. Eine Manipulation eines entsprechenden Beschnüffelungsprogramms sei "im Vergleich zu anderen über den Markt bereits bestehenden Möglichkeiten" zur Ausnutzung von Sicherheitsschwachstellen auf gängigen PCs zudem "extrem aufwendig".

Die von den Liberalen, Forschern und Hackern skizzierte Gefahr eines "digitalen Wettrüstens" zwischen staatlichen Online-Durchforstern und Internet-erfahrenen Kriminellen sieht das Innenministerium nicht. Das Ergreifen möglicher Gegenmaßnahmen durch die "Zielperson" und eine Reaktion der Ermittlungsbehörden darauf sei "tägliche Praxis". Einen möglichen Vertrauensverlust der Bevölkerung in das Bundesamt für Sicherheit in der Informationstechnik (BSI) befürchtet die Bundesregierung ebenfalls nicht, da die Bonner Behörde im Gegensatz zum BKA nicht mit der Entwicklung technischer Verfahren zur Durchführung von Online-Durchsuchungen beauftragt sei.

Der Bundesgerichtshof (BGH) hatte Ende Januar entschieden, dass es bislang keine Rechtsgrundlage für heimliche Online-Durchsuchungen gibt. Insbesondere Bundesinnenminister Wolfgang Schäuble (CDU), andere Innenpolitiker der Union und das BKA fordern seitdem die rasche Schaffung einer rechtlichen Grundlage für das umstrittene neue Ermittlungsinstrument, das auch von SPD-Innenexperten nicht grundsätzlich abgelehnt wird. Erforderlich seien entsprechende Online-Durchsuchungen insbesondere, heißt es jetzt in der Stellungnahme des Innenministeriums, um an "flüchtige", also sich nur im Arbeitsspeicher eines Rechners befindende, sowie an verschlüsselte Inhalte heranzukommen. Für eine "verdachtlose" Online-Durchsuchung etwa in Gestalt einer umfassenden Rasterung von Internetcomputern, um Anhaltspunkte für durchgeführte oder geplante Straftaten zu erhalten, bestehe aber "aus strafverfahrensrechtlicher Sicht" kein rechtfertigender Anlass.

In aktuellen Entwicklungen auf dem Gebiet der Computerforensik und der Beschlagnahme von Rechnern oder Servern kann die Bundesregierung keine Alternative zur Online-Durchsuchung erkennen. Die Wiederherstellung nicht endgültig gelöschter Daten sei zwar grundsätzlich möglich, es bestehe aber das ungelöste Problem der endgültigen Ausradierung von Informationen auf Datenträgern.

Die personellen Ressourcen für die Durchführung heimlicher Netzausforschungen kann das Innenministerium bislang nicht prognostizieren. Dünn bleiben die Aussagen in der Antwort der Bundesregierung auf die FDP-Anfrage auch zum Schutz des Kernbereichs der privaten Lebensgestaltung, den das Bundesverfassungsgericht bei verdeckten Ermittlungen mehrfach besonders angemahnt hat. Die Suche würde sich "aufgrund der jeweiligen Anordnung auf Daten beschränken, die für das zu Grunde liegende Ermittlungsverfahren von Bedeutung sind", heißt es dazu allein pauschal. Eine eventuelle technische Vorauswahl etwa mit Hilfe von Schlagworten oder den vom BKA ins Feld geführten "Schlüsselbegriffen" würde lediglich als Hilfsmittel dienen und einer herkömmlichen Durchsuchung entsprechen. Auch dabei würden Papiere zunächst nur grob auf eventuelle Relevanz geprüft.

"Der Bundesregierung fehlt offenbar jede genaue Vorstellung davon, wie Online-Durchsuchungen vom Bundeskriminalamt durchgeführt werden sollen", interpretiert Gisela Piltz, innenpolitische Sprecherin der FDP-Fraktion, die ausweichenden Antworten als "Offenbarungseid". Es bleibe weiter völlig unklar, "wie die zahlreichen technischen Probleme dieses Zugriffs gelöst werden sollen und ob sich überhaupt Vorteile gegenüber der Beschlagnahme von Festplatten ergeben". Elementare Fragen zum Grundrechtsschutz würden bislang genauso missachtet wie zum Rechtsschutz des Bürgers gegenüber den geforderten Maßnahmen. Der mehrfache Verweis darauf, über die Tätigkeit der Nachrichtendienste keine Auskunft zu geben, lege zudem erneut nahe, dass die Geheimdienstler ohne rechtliche Grundlage und richterliche Kontrolle "wilde Online-Durchsuchungen betreiben". Die Regierung müsse über die Vorgehensweise der Geheimdienste "zügig aufklären". Quelle: Heise.de

Verschlüsselungsverfahren entwickelt, bei dem der Empfänger der Daten diese durch seinen Fingerabdruck dechiffrieren kann. Als Einsatzgebiet können sich die Forscher auch das Mobiltelefon vorstellen. “Im Prinzip lässt sich die Methode auch zur Verschlüsselung von Multimedia-Nachrichten in handelsüblichen Handys einsetzen. Die Technik dazu gibt es bereits”, so die Wissenschaftler.

Als Basis des Systems kommen zwei Hardwarekomponenten zum Einsatz. Dabei kann es sich um handelsübliche Memory-Sticks handeln. “Das Paar wird anhand der unverwechselbaren biometrischen Daten der Anwender, wie deren Fingerabdrücke, programmiert”, erklärt der Forscher Rolf Eckmiller vom Bonner Institut für Informatik. Die von Eckmüller und Dirk Neumann entwickelte Software erzeugt nun mit Hilfe der Informationen im Memory-Stick eine individuelle Verschlüsselung, die nur vom Besitzer des zweiten Memory Sticks in Verbindung mit seinem Fingerabdruck geknackt werden kann – und auch nur dann, wenn sein Fingerabdruck mit dem übereinstimmt, der für die Programmierung des Memory-Stick-Paares eingesetzt wurde.

“Die beiden handelsüblichen Memory-Sticks werden durch die Programmierung zu zwei Hälften eines Unikats”, so der Informatiker. “Das ist, als ließe sich ein anspruchsvoller Kunde ein völlig individuelles Schloss mit dem dazu passenden Schlüssel bauen. Ein unbefugter Lauscher kann mit den Daten nichts anfangen”, erklärt Eckmiller. Die Verschlüsselung erzeugt aus einem zu übertragenden Bild eine wirre Abfolge von Pixeln. “Wir benutzen so genannte spatiotemporale Filter”, erklärt Neumann. Durch diese Filter geht die Information für die Lagebeziehung zwischen den Pixeln verloren. Ohne die entsprechend programmierten Memory-Sticks sei diese Information nicht zu rekonstruieren, versichern die Informatiker. “Die Verschlüsselung ist nicht invertierbar.”

Einsatzmöglichkeiten sehen die Forscher überall dort, wo es auf die diskrete Übermittlung sensibler Informationen an ganz bestimmte Empfänger ankommt. Das Verfahren lässt sich auch problemlos in ein handelsübliches Handy einbauen und zum Verschlüsseln von Bildern und MMS einsetzen. “Die Software zu implementieren ist ein Klacks”, betont Eckmiller. “Damit würde das Handy zu einer Verschlüsselungsmaschine, die auch James Bond nicht knacken könnte”, sind die Forscher überzeugt.

Auf der Hackerkonferenz Shmoocon hat der US-Sicherheitsexperte Billy Hoffmann mit “Jikto” ein Java-Script vorgestellt, das jeden Computer für seine kriminellen Handlungen einspannen kann, ohne dass Antivirensoftware dies bemerkt. Das von Hoffmann selbst als “äußerst gefährlich” beschriebene Programm ist mittlerweile gegen den Willen des Autors im Internet aufgetaucht und verbreitet sich unkontrolliert.

Hoffmann ist Forscher bei der Web-Security-Firma SPI Dynamics. Jikto wurde von ihm ursprünglich als Sicherheitsprogramm entwickelt, das nach Schwachstellen in Webseiten suchen soll, damit sie behoben werden können. Diese Suchfunktion kann jedoch ebenfalls von Hackern für ihre Zwecke missbraucht werden. Die im Web-Browser ausführbare JavaScript-Anwendung kapert die Rechner ahnungsloser Anwender und führt einen Portscan durch. Gefundene Schwachstellen werden als Angriffsziele zurück übermittelt.

Auf der Shmoocon-Konferenz demonstrierte Hoffmann, dass die Applikation funktioniert. Dazu musste er sie online verfügbar machen. Währende eines Folienwechsels war der gesamte Link zum Programm kurzfristig lesbar. Zuhörer und Hacker Mike Schroll konnte ihn abschreiben und veröffentlichte den Quellcode daraufhin in seinem Blog. Auf Bitten von Hoffmann entfernte er diesen Eintrag nach einigen Stunden wieder. Damit lies Schroll jedoch seinen Hackerkollegen genug Zeit – der Code wurde mehrere Hundert Mal abgefragt.

Am Wochenende tauchte Jikto schließlich erneut im Web auf – diesmal in einem Hacker-Forum. Sicherheitsexperten äußern nun Befürchtungen, dass Kriminelle das erhebliche Schadpotenzial des Tools ausnutzen könnten. Jikto-Erfinder Hoffmann sieht die Veröffentlichung gelassen. “Spätestens in einigen Monaten hätten Hacker das Programm selbst entwickelt. Ich mache Schroll keinen Vorwurf – auch ich verdiene mein Geld mit Neugier”, meint Hoffmann.

Informatikern der TU Darmstadt ist es gelungen, das W-LAN-Verschlüsselungsverfahren WEP (Wired Equivalent Privacy) innerhalb von 60 Sekunden zu knacken. “Damit ist bewiesen, dass das Verfahren mittlerweile sehr unsicher ist”, meint Johannes Buchmann, Professor für Kryptologie an der TU Darmstadt, im Gespräch mit pressetext. W-LAN-Netze mit dieser vermeintlichen Absicherung sind nach wie vor weit verbreitet. Die Forscher gehen davon aus, dass bis zu fünfzig Prozent aller drahtlosen Netze in Deutschland davon betroffen sind. “Wir empfehlen allen WEP-Nutzern dringend auf den Nachfolgestandard WPA (Wi-Fi Protected Access) umzusteigen”, sagt Buchmann.

Die theoretische Idee hinter der Methode, mit der die Nachwuchsforscher in kürzester Zeit in der Lage waren, Zugriff zu solchen Netzen zu erlangen, basiert auf einer Analyse der RC4-Stromchiffre. Diese wurde schon vor zwei Jahren von dem Mathematiker Andreas Klein veröffentlicht. Mit Hilfe einer mathematischen Weiterentwicklung dieser Analyse gelang es den Forschern, einen Angriff gegen WEP zu implementieren, der unter realistischen Bedingungen in der Lage ist, den geheimen Schlüssel in über fünfzig Prozent der Fälle in einer Zeit von unter einer Minute zu berechnen. “Der Knackpunkt war diese Methode, bei der deutlich weniger Information als bisher benötigt wird, um den Schlüssel zu brechen”, erklärt Buchmann.

WEP gilt seit Jahren als unsicherer Standard. Bereits 2001 wurden erste Angriffe vorgestellt, die zeigten, dass WEP auch in der Praxis angegriffen werden kann. Der bis jetzt beste Angriff aus dem Jahre 2004 braucht in der Regel mindestens zehn bis 40 Minuten, um den geheimen Schlüssel zu ermitteln. Die Entdeckung der Darmstädter Forscher zeigt, dass es für Personen mit entsprechenden Kenntnissen und genügend krimineller Energie praktisch keine Hürde gibt, in WEP-Netzwerke einzubrechen. “Wer sich auf diese Weise unbefugt Zugang zu einem Laptop oder Netzwerk verschafft, kann zum Beispiel unbemerkt private Nachrichten mitlesen oder den Internetzugang des ahnungslosen Besitzers benutzen”, warnt einer der WEP-Knacker, Erik Tews.

“Der WEP-Standard ist aus unserer Sicht nach dem heutigen Tag als Verschlüsselungsmethode nicht mehr haltbar”, betont Buchmann und weist darauf hin, dass viele Hersteller bereits zusätzlich zu WEP noch WPA als Sicherungsmethode von W-LAN-Netzwerken anbieten. WPA wird aber häufig aus Bequemlichkeitsgründen nicht eingesetzt, da der Konfigurationsaufwand höher ist. Er basiert auf dem Verschlüsselungsstandard AES (Advanced Encryption Standard) und ist daher deutlich sicherer als WEP, so Buchmann. Zwar ist davon auszugehen, dass auch diese Methode eines Tages geknackt wird – wann es soweit sein wird, sei allerdings schwer zu prognostizieren. “Aufgrund der Erfahrungen mit den bisherigen Verschlüsselungsmethoden gehe ich davon aus, dass WPA in den nächsten zehn Jahren sicher sein wird”, so Buchmann abschließend.

Der Bundestrojaner sorgt mittlerweile für ähnliches Aufsehen wie das Holzpferd, mit dem die Griechen dereinst die Trojaner hinters Licht führten. Allerdings fehlt den Verbalschlachten um die heimliche Online-Durchsuchung privater PCs bisweilen das Überraschungsmoment des mythischen Vorbilds. Nun aber belebt der bayerische Datenschutz-Beauftragte Karl Michael Betzl die festgefahrene Debatte mit neuen Argumenten: In einem Interview mit Chip, dem Magazin für digitale Technik, warnt Betzl vor schwerwiegenden finanziellen Folgen des Bundestrojaners.

Die Forderung deutscher Sicherheitsbehörden, Privatcomputer mit Hilfe einer Spionage-Software ausspähen zu dürfen, ist datenschutzrechtlich äußerst umstritten. Doch Betzl befürchtet auch handfeste wirtschaftliche Probleme: “Die Spyware könnte das EDV-System eines Unternehmens beschädigen, Geschäftsgeheimnisse könnten in die falschen Hände geraten.” Dann, so der Landesbeauftragte, drohten Schadensersatzklagen.

Bayerns oberster Datenschützer hält die nationale Sichtweise der Befürworter einer Online-Durchsuchung für unzureichend: “Ein einmal freigesetzter Trojaner hält sich nicht an Landesgrenzen. Er könnte auch in Südafrika oder New York seine schädliche Wirkung entfalten oder einem Trittbrettfahrer den Eintritt ermöglichen.” Mit möglicherweise fatalen Folgen, so Betzl im Chip-Interview: “Dann haben Sie nach der dortigen Rechtsordnung eine Klage am Hals. Das könnte richtig teuer werden.”

Betzl übt in dem Artikel auch grundsätzliche Kritik an den immer weiter gehenden Überwachungsmaßnahmen im Namen der Terror-Abwehr:  “Inzwischen hat sich das alles verselbstständigt, der Antiterror-Schutz ist nur noch Lippenbekenntnis.”
Das vollständige Interview erscheint in der Ausgabe Chip 05/2007, die am 5. April in den Handel kommt.