VanDusen schrieb:– Wie will man es mit den Herstellern von Virenscannern halten? Sollen die in so einer Art Gentlemens' Agreement den Staatstrojaner auf eine weiße Liste setzen, also den Nutzer nicht vor seiner Präsenz warnen? Ich stelle es mir schwierig vor, sämtliche großen Hersteller von Virenscannern auf diese Linie einzuschwören. Die Alternative wäre, den Staatstrojaner die AV-Software manipulieren zu lassen, um Warnungen zu unterdrücken. Dann aber bestünde das Risiko, dass kriminelle Malware von dem lahmgelegten Virenscanner profitiert. Wer haftet, wenn einem Unternehmen deswegen die IT-Infrastruktur abraucht?
Das ist sicherlich ein Problem, was noch weitgreifende Konsequenzen haben könnte. Denn wie will der BND z.B. einen amerikanischen Anti-Virus Hersteller denn dazu zwingen, dass dessen Programmroutinen den Trojaner nicht erfassen? D.h. der BND wird schon mehr als "Bitte, Bitte" sagen müssen und aller Voraussicht nach von Steuergeldern eine Prämie dafür vorstrecken müssen. Das hat dann natürlich einen bitteren Beigeschmack, wenn man bedenkt, wie Steuermittel eingesetzt werden.
Aber na ja, zur Snowden-Zeit ging ja auch schon so einiges in Amerika und erschreckenderweise scheint sich Deutschland das nun zum Vorbild zu nehmen,
VanDusen schrieb:Die Exploits, auf denen der Staatstrojaner basiert, werden früher oder später reverse engineered und für kriminelle Zwecke verwendet werden. Wie, wenn überhaupt, will man das verhindern? Sollen gängige OS wie Windoof oder Android ungepatcht bleiben, um die Investitionen der Ermittlungsbehörden in ihre Malware nicht zu gefährden? (So ein Staatstrojaner wird mindestens 1,5 Mio. kosten. Wie lange muss er funktionieren können, damit sich diese Investition rechnet?)
Es dürfte relativ schwierig sein an den Quellcode oder die Master-Datei des Trojaners heran zu kommen, sonst hätte man auch in den USA ja auch schon anarchische Verhältnisse in der IT-Welt. Aber tatsächlich ist die Frage des Kosten-Nutzen/Pflege Aufwands schon nicht unerheblich.
VanDusen schrieb:– Durch den Staatstrojaner wird gezielt eine Sicherheitslücke in dem befallenen System geschaffen, so als ob man an einem Haus die Hintertür aufsperrt und nur angelehnt lässt. Wer haftet, wenn Kriminelle diese Sicherheitslücke für ihre Zwecke ausnutzen, gewissermaßen durch die offene Hintertür einsteigen und die Bude ausräumen?
Dürfte schwer nachzuweisen sein, dass die Lücke durch den Trojaner ausgelöst wurde oder ob der Kriminelle sie nicht von selbst gefunden hat.
VanDusen schrieb:– Zumindest theoretisch müssen Personen, bei denen sich ein Verdacht auf eine Straftat nicht erhärtet hat, nach dem Abschluss der Ermittlungsmaßnahmen über diese informiert werden. Wie muss man sich das im Fall des Staatstrojaners vorstellen? Erhält man dann als Betroffener irgendwann eine E-Mail, "Du, hör mal, wir haben dir vor ein paar Monaten die Kiste auf links gedreht, aber nichts gefunden. Sei doch bitte so gut und zertrümmere deine Festplatte mit einem Hammer, denn die Malware auf deiner Kiste, die gehört uns und ist urheberrechtlich geschützt. MfG, dein Zollkriminalamt"?
Ich vermute mal, man wird sich hier an der Stasi orientieren. Was der betroffene nicht weiß, macht ihn nicht heiß, auch wenn man die moralische Verpflichtung hätte, ihm mitzuteilen, dass man ihn inspiziert hat. Es ist heutzutage aber durchaus möglich einen automatischen Deinstaller oder self-kill-code einzubauen, so dass das Programm z.B. nach 30 Tagen inaktiv wird oder zerfällt.
Man muss generell aber mal realistisch an die Sache heran gehen. Der Trojaner wird mit Sicherheit die gleichen Backdoors nutzen, die andere "private" Hacker auch nutzen würden. Und damit meine ich nicht die Script-Kiddies, die mit DDoS Attacken eine Netzwerkadresse lahm legen können oder die über Bot-Netzwerke Spam-Mails mit fragwürdigen Links und Anhängen verschicken. Letztendlich stellt man sich mit denen aber auf eine Stufe. Man begeht Verbrechen unter dem Vorwand Verbrechen zu verhindern. Wenn der Staat erst mal so weit ist, dann sollte man sich normalerweise mal hinterfragen warum man bei Leuten, die so etwas unterstützen, ein Kreuz am Wahlzettel macht. Das ist aber von einem Großteil der deutschen Gesellschaft wohl zu viel verlangt.
Ungeachtet dessen empfinde ich den Mehrgewinn an Sicherheit, die durch einen Staatstrojaner evtl. entstehen könnte, als viel zu gering. Die USA praktizieren solche Methoden seit Jahren, auch im Ausland und ich sehe nicht, dass dadurch eine Reihe von Anschlägen in Frankreich, England oder Deutschland verhindert worden ist.
