Christian, den viele nur unter seinem Nick "hotshot" und dem Amateurfunk-Rufzeichen "DO4HOT" kannten, stand mit guten Ratschlägen und vor allem Taten jedem zur Seite. Bei unseren Veranstaltungen war er treibende Kraft und unermüdlicher Helfer an allen Ecken und Enden. Ohne ihn hätte es auf unseren Veranstaltungen vielleicht Internet gegeben – aber keinen einzigen Switch, um sich damit zu verbinden.

Wie kaum ein anderer versinnbildlichte Christian den Prototyp des technisch versierten, neugierigen, interessierten Hackers. Ihn trieb stets die Begeisterung für komplexe Technologien, deren kreative Verwendung er gern ausprobierte. Seine Neugier sprang förmlich über und trug ihn auch durch lange, aufwendige Suchen nach Antworten.

Unser Beileid und unsere Anteilnahme gehören den Eltern und der Familie von Christian.

Du hast uns mit Deiner unerschöpflichen Freude und Lebenslust unterstützt und motiviert. Wir werden Dich vermissen, hotshot.

Foto: PoCSascha

Liebe Tatort-Drehbuchschreiber,

mit Freude nehmen wir – ganz kess als Vertreter der von Euch angeprangerten "Netzgemeinde" – Euer Interesse [1] an unseren Gedanken zu einer Versachlichung der Diskussion über Urheber- und Urheberverwertungsrechte im digitalen Zeitalter wahr. Bevor wir aber unnötig gleich zu Beginn Schubladen öffnen: Auch wir sind Urheber, sogar Berufsurheber, um genau zu sein. Wir sind Programmierer, Hacker, Gestalter, Musiker, Autoren von Büchern und Artikeln, bringen gar eigene Zeitungen, Blogs und Podcasts heraus. Wir sprechen also nicht nur mit Urhebern, wir sind selber welche.

Es wird daher keinen "historischen Kompromiß" geben, denn es stehen sich nicht zwei Seiten gegenüber, jedenfalls nicht Urheber und Rezipienten, sondern allenfalls prädigitale Ignoranten mit Rechteverwertungsfetisch auf der einen Seite und Ihr und wir auf der anderen, die wir deren Verträge aufgezwungen bekommen.

Das Tragische (im griechischen Sinne) ist doch, daß wir beide Opfer des Verwertungssystems sind. Ihr schuftet Euch seit Jahren für die Verwertungsindustrie ab und habt so viele Eurer Rechte weggegeben, daß weder Ihr noch Eure Nachfahren von der verlängerten Urheberrechtsschutzfrist etwas haben. Das ist bloß ein Verhandlungsmittel, mit dem Ihr zu reduzieren hofft, wie doll Euch die Verwertungsindustrie abzockt. Wir kämpfen eigentlich auf derselben Seite, aber Ihr merkt es nicht einmal.

Bei uns ist das ganz ähnlich. Viel Software wird inzwischen gar nicht mehr für Profit geschrieben, sondern frei ins Netz gestellt oder als Selbstvermarkter-Shareware, weil den Autoren klar ist, daß sie nie einen müden Cent sehen werden für ihr Werk. Für Software gibt es keine Verwertungsgesellschaften, mangels historischen Präzedenzfalls. Wenn Ihr Euch mal umschaut, werdet Ihr sehen, daß auch kein einziger von uns Software-Autoren eine GEMA für Software fordert. Wir nehmen Euch nichts weg, das wir für uns fordern. Wir haben uns nur von der Idee verabschiedet, daß dieses Modell in zehn Jahren noch existieren wird.

Software im kommerziellen Bereich entsteht im Allgemeinen als Werkvertrag oder unter Anstellung, und sämtliche Verwertungsrechte gehen an die Auftraggeber. Kommt Euch das bekannt vor? Nur daß bei uns niemand unsere Rechte zu vertreten versucht. Und wißt Ihr, welcher kreative Bereich stärker wächst und mehr Umsatz macht, Eurer oder unserer? Überraschung: Es stellt sich heraus, daß man auch ohne Verwertungsindustrie überleben kann. Anstatt Euch an den Konsumenten gütlich zu tun, solltet Ihr Eure Anstrengungen darauf konzentrieren, für Eure Werke direkt vom Auftraggeber ordentlich entlohnt zu werden. Was Ihr braucht ist eine den Namen verdienende, starke Gewerkschaft, kein Monster aus Verwertungsgesellschaften, die dann Youtube langjährig verklagen, weil sie kostenlos Werbung für Euch machen und Euch damit zukünftige Aufträge verschaffen. [2]

Um die Anwürfe in Eurem offenen Brief zu sortieren:

• "wir" würden eine apokalyptische Zeit der Kulturlosigkeit a la "Demolition Man" heraufbeschwören, um allen kostenlos Zugang zu aller Kultur zu verschaffen,
• der Feind seien grundsätzlich alle nur an Geld und nicht an der Kultur interessierte Verwerter,
• "wir" würden nicht anerkennen, daß sich Kulturdienstleister durch das Schaffen von Werken Eigentum akkumulieren dürften.

Die Pauschalkritik an Verwertern, die uns nun mit so bunt zusammengeklaubten Kommentaren von so unterschiedlichen Quellen wie drei Parteien und einer von Euch offensichtlich nicht ganz verstandenen "Netzgemeinde" um die Ohren gehauen wird, ist so nie geäußert worden. Dieser plumpe Diskussionsstil ist uns zuletzt bei den eben alle Verwerter in einen Topf werfenden Zwölfjährigen begegnet, die gegen Staat, GEMA und zu wenig Taschengeld rebellierend ihre Lieblingsmusik für lau aus dem Netz ziehen und denen dafür jede Rechtfertigung recht ist. Daß hier noch kein Equilibrium im Spannungsfeld zwischen neuen Technologien und Werkschaffungen im Vor-Netz-Zeitalter erreicht ist, ist offensichtlich. Dies ist jedoch kein Grund, uns als Netizens mit in denselben Topf zu werfen.

Natürlich wird niemand behaupten, in den Filesharingdiensten würde überwiegend Schostakowitsch getauscht. Dies ist keine Lebenslüge, auch wenn es schade ist. Daß unerwünschtes Vervielfältigen von digitalen Erzeugnissen nun zum gesamtgesellschaftlichen Problem wird, hat weniger mit dem ebenfalls reformbedürftigen Verwertungsrecht zu tun, als mit dem Abmahn-Unwesen, das zur Zeit viele gerade jüngere, nicht adäquat versorgte potentielle Konsumenten eiskalt erwischt.

Als der Chaos Computer Club (CCC) den Staatstrojaner enttarnte [1], wurde nach einigen Tagen der innenministeriellen Konfusion und des verwirrten Abstreitens Besserung, vor allem aber Aufklärung und Transparenz versprochen. Die Datenschutzbeauftragten in Bund und Ländern sollten sich des Falles annehmen und gründlich hinterfragen, was sich an verfassungsrechtlichen Problemen und technischen Unzulänglichkeiten angehäuft hatte.

Der Bericht des bayerischen Landesdatenschutzbeauftragten steht noch aus, doch der Bericht des Bundesdatenschutzbeauftragten Peter Schaar zu seinen Untersuchungen zum Thema Staatstrojaner liegt nun öffentlich vor. Nicht direkt freiwillig, eigentlich sollte dieser Text unter Verschluß bleiben. Nun ist der Datenschutz-Bericht trotzdem der Öffentlichkeit zugänglich geworden und bestätigt viele Befürchtungen. Das Bundeskriminalamt (BKA) und das Finanzminister Wolfgang Schäuble unterstellte Zollkriminalamt (ZKA) sind demnach ebenfalls DigiTask-Kunden, für das BKA existiert sogar ein Rahmenvertrag.

Eine tatsächliche tiefgehende inhaltliche Prüfung der Staatstrojanerversionen war auch Schaar nicht möglich – keine der Bundesbehörden hatte Zugang zum Source Code. Das BKA weigerte sich zudem, den Prüfern den Binärcode zur Einsicht zu überlassen.

Zollkriminalamt und Bundespolizei ließen noch weniger Kontrollmöglichkeiten als das quasi im Blindflug ohne Quellcode agierende BKA: Nicht einmal die Software selbst, keinerlei Versionskontroll-Möglichkeiten oder auch nur ordentliche Handbücher lagen vor. Teilweise wurde das Ausspionieren komplett an DigiTask ausgelagert. Damit wurde die Ermittlung vollständig als Auftrag an eine private Firma vergeben.

Drastisches Beispiel ist ein ganz klar zum geschützten Kernbereich gehörendes Telefonsex-Gespräch, das in Schaars Bericht dokumentiert wird: Die Ermittler vermerkten akkurat "Liebesbeteuerungen" und "Selbstbefriedigungshandlungen" zwischen "15.52 Uhr und 16.01 Uhr". Dieser klare Eingriff in den grundgesetzlich absolut geschützten Kernbereich der privaten Lebensgestaltung führte nach der Aufzeichnung nicht einmal zur Löschung, wie es geboten gewesen wäre.

Auch die Löschung des Staatstrojaners nach Ablauf der vom Richter genehmigten Frist bereitete den Behörden Schwierigkeiten, sie wurde aufgrund technischer Unzulänglichkeiten auch schon mal um mehr als einen Monat überzogen. Ohnehin war der Löschvorgang nur ein logisches Löschen, die Software ist also einfach wiederzufinden, da sie nicht überschrieben wurde. Dies ist bei dem amateurhaften DigiTask-Spionageprodukt auch gar nicht vorgesehen.

Offenbar planen die Behörden dennoch weiter mit dem Skandallieferanten DigiTask zusammenzuarbeiten. Er soll laut dem Bericht mit technischen Erweiterungen beauftragt worden sein, konnte bisher jedoch nicht liefern.

Ohne ausreichende rechtliche Grundlage wurde der Staatstrojaner in Bund und Ländern dutzendfach eingesetzt, um die Computer von Verdächtigen zu infiltrieren. Schaar kommt zu dem Ergebnis, daß der Gesetzgeber nachbessern muß. Sowohl § 100a StPO als auch § 23z Zollfahndungsdienstgesetz seien keine hinreichende Rechtsgrundlage, da sie dem Urteil aus Karlsruhe nicht genügten. Warum die Ermittler nicht direkt an Skype herantreten, ist Schaar ohnehin nicht ersichtlich.

Grundsätzlich stellt sich die Frage, inwieweit auch die richterlichen Beschlüsse hinterfragt werden müssen. Schaar gibt hier mangels Zuständigkeit keine Bewertung ab. Es bleibt zu fordern, daß in Zukunft der Richterbeschluß – besonders bei intensiven Grundrechtseingriffen – einer Prüfung auf Rechtmäßigkeit unterzogen werden kann.

Schaars Bericht belegt auch, daß die Staatstrojaner-Spezialexperten bei der Programmierung schlampten. Die Fernsteuerschnittstelle des behördlichen Infiltrationsprogrammes kann von praktisch jedem beliebigen Angreifer genutzt und gesteuert werden. Die Kommandos zum Trojaner waren darüberhinaus weder verschlüsselt noch authentifiziert, und die Daten, die die Computerwanze zurückschickte, waren mit dem immer gleichen AES-Schlüssel kodiert.

Schaars Bericht rügt auch, daß die in naher Zukunft geplante Einsichtnahme in den Quelltext bei DigiTask keine tatsächliche Prüfung ersetzen würde. Das BKA selbst sah sich nicht einmal in der Lage zu prüfen, ob der AES-Schlüssel, den der CCC im Rahmen der Staatstrojaner-Veröffentlichung publiziert hatte, auch in der vom BKA genutzten Software steckt.

Dafür gibt es nur zwei Erklärungen: Entweder hat das BKA klaffende Kompetenzlücken oder wollte absichtlich eine ordentliche Auskunft schuldig bleiben. Schaar sah sich durchaus in der Lage eine solche Prüfung selbst durchzuführen und bestätigte, daß der AES-Schlüssel auch beim BKA derselbe wie in den vom CCC veröffentlichten Staatstrojaner-Versionen ist.

Aus dem Bericht geht weiter hervor, daß auch beschlagnahmte Rechner heimlich infiltriert und an die Besitzer zurückgegeben wurden. Das ist ein weiterer klarer Rechtsbruch, da eine Beschlagnahme nur der Sicherung von Beweisen dienen darf.

Es wird leider niemanden überraschen: Nicht um Terrorismus oder Menschenhandel ging es in vielen geprüften Einsatzfällen, es waren in der Mehrzahl die üblichen Verstöße gegen das Betäubungsmittelgesetz.

Links:

[1] Chaos Computer Club analysiert Staatstrojaner

[2] geleakter Bericht bei Indymedia (pdf)

[3] geleakter Bericht in html

[4] Mirror des geleakten Berichts (pdf)

Unser Beitragsaufruf ("Call for Papers") ist jetzt online und kann unter http://sigint.ccc.de/Beitragsaufruf begutachtet werden.

Die SIGINT ist eine Konferenz zu den Diskursen im digitalen Zeitalter, veranstaltet vom Chaos Computer Club e. V. im KOMED in Köln. Bei der SIGINT geht es um Mitwirkung und Veränderungen, um gesellschaftspolitische Forderungen und Utopien, um Hacktivismus, kreative Normverletzungen und Spaß am Gerät.

Weiterre Informationen findet ihr im CCC Eventblog.

Das Easterhegg ist eine jährliche Veranstaltung des Chaos Computer Clubs in familiärer Atmosphäre für alle diejenigen, die sich dem Chaos Computer Club verbunden fühlen.

Seit dem ersten Easterhegg im Jahr 2001 in Hamburg gastiert das Event in jedem zweitem Jahr auswärts und wird dann vom Erfa-Kreis oder dem aktiven Chaostreff der jeweiligen Stadt ausgerichtet. In diesem Fall ist das der Chaostreff Basel.
Der Easterhegg besteht hauptsächlich aus Workshops und weniger aus reinen Vorträgen. Abgedeckt wird das ganze Spektrum von Technik über Netzkultur bis zum Szenetreff. Die Veranstaltung bietet eine Fülle an hochklassigen Workshops und Vorträgen. Dazu kommt, daß das Easterhegg unschlagbar preiswert ist, da es nicht kommerziell ist und alle Beteiligten ehrenamtlich arbeiten.

Weitere Informationen findet Ihr auf der Schweizer Easterhegg-Webseite: https://easterhegg.ch/

Nach der Veröffentlichung des CCC über staatliche Spionagesoftware [2] erreichten den Club Anfragen und Bitten um Stellungnahmen. Auch in Niedersachsen wurde der Staatstrojaner der Firma DigiTask eingesetzt. Der Chaos Computer Club Hannover e. V. hat sich nun schriftlich zum Antrag „Staatstrojaner stoppen“ 
[1] im niedersächsischen Landtag 
(Ausschuß Inneres und Sport) geäußert. Die leicht gekürzte Stellungnahme steht zum Download bereit. [3]

Der CCC fordert:

• kein weiterer Einsatz der sogenannten Trojaner durch Strafverfolgungsbehörden,
• sofortige Offenlegung der Quellcodes und aller Prüfprotokolle über vergangene Einsätze von Trojanern durch deutsche Ermittlungsbehörden,
• zukünftige automatische Offenlegung von Quellcode, Binary und Protokollen der Trojaner nach jedem Einsatz.

Links:

[1] Drs. 16/4175, Antrag der Fraktion DIE LINKE: „Staatstrojaner“ stoppen http://www.linksfraktion-niedersachsen.de/uploads/media/16-4175.pdf

[2] Chaos Computer Club analysiert Staatstrojaner

[3] Stellungnahme zum Antrag „Staatstrojaner stoppen“

Der umstrittene Vorstandsbeschluß zum Ausschluß von Daniel Domscheit-Berg wurde nach intensiver Aussprache auf der Mitgliederversammlung rückgängig gemacht.

Der CCC publiziert das 271-seitige Dokument, um endlich eine faktenbezogene Diskussion um die angebliche Notwendigkeit der Vorratsdatenspeicherung zu ermöglichen. "Die umfangreiche europaweite Erhebung und Auswertung des MPI offenbart, daß die Stammtischparolen von der 'Schutzlücke' durch den Wegfall der anlaßlosen Telekommunikationsdatenspeicherung keine Faktenbasis haben", faßte CCC-Sprecher Frank Rieger die Ergebnisse der Studie zusammen. "Die Vorratsdatenspeicherung führt nachweislich nicht zu höheren Aufklärungsquoten bei schweren Verbrechen." Das Gutachten vom Juli 2011 betrachtet detailliert Deliktsbereiche hinsichtlich ihrer Aufklärungsquoten. Für den Zeitraum, in dem es in Deutschland eine Vorratsdatenspeicherung gab, ist kein positiver Effekt auf die Aufklärungsquoten zu verzeichnen. Aber auch nach dem Ende der Vorratsdatenspeicherung durch das Urteil des Bundesverfassungsgerichts vom 2. März 2010 war kein Abfall der Quote der aufgeklärten Fälle zu beobachten.

Weiterhin verglichen die MPI-Forscher die Situation und Entwicklungen in anderen europäischen Ländern und zogen auch die Daten aus der auf EU-Ebene durchgeführten, äußerst unzureichenden "Evaluation" heran. Zudem wurden Ermittler, Staatsanwälte und Richter befragt. Auch im direkten Vergleich mit anderen europäischen Ländern, die derzeit eine Vorratsdatenspeicherung umsetzen, ist keine deutsche "Schutzlücke" feststellbar.

Die Studie bemängelt weiterhin das Fehlen systematischer empirischer Untersuchungen zu den Auswirkungen der anlaßlosen Massenerfassung. Auch in Zukunft sind solche wissenschaftlichen Evaluationen aus Kostengründen nicht einmal geplant. Entsprechend werden von den Befürwortern der anlaßlosen Massenspeicherung lediglich Einzelfälle herangezogen, um die Notwendigkeit der Datenhalden herbeizureden.

"Der hartnäckige Unwille, technische Ermittlungsmaßnahmen, die tief in Grundrechte eingreifen, einer regelmäßigen neutralen Evaluierung zu unterwerfen, setzt sich hier fort", erklärte CCC-Sprecher Frank Rieger. "Innenpolitiker und Sicherheitsbehörden sehen offenbar keinen Bedarf an einer sachlichen, faktengestützten Diskussion und versuchen stattdessen immer wieder, mit Einzelfällen und Anekdoten die öffentliche Meinung zu manipulieren." Laut dem MPI-Gutachten halten solche in der öffentlichen Debatte gern verwendeten Fallbeschreibungen einer nüchternen wissenschaftlichen Überprüfung oftmals nicht stand.

Selbst beim Lieblingsthema der Sicherheitspolitiker, dem islamistischen Terror, liegen keinerlei Hinweise dafür vor, daß auf Vorrat gespeicherte Verkehrsdaten in den letzten Jahren zur Verhinderung eines Terroranschlags geführt hätten, wie die MPI-Untersuchung feststellt.

Das Gutachten betrachtet nüchtern die kriminologischen Effekte der Vorratsdatenspeicherung und kommt zu dem eindeutigen Schluß, daß die behauptete Schutzlücke nicht besteht. Nicht erst aufgrund dieser Erkenntnis fordert der CCC daher erneut, auf eine massenhafte verdachtslose Speicherung von Telekommunikationsdaten zu verzichten.

Links:

Gutachten des MPI: "Schutzlücken durch Wegfall der Vorratsdatenspeicherung? Eine Untersuchung zu Problemen der Gefahrenabwehr und Strafverfolgung bei Fehlen gespeicherter Telekommunikationsverkehrsdaten"

Seit dem 16.1.2012 läuft nun in Berlin der Prozeß gegen die Polizeibeamten, die trotz der fast lückenlosen Videodokumentation des Geschehens eine partiell ganz andere Wahrnehmung vom Geschehen zutage bringt. Wir veröffentlichen hiermit einige Dokumente, die der vom CCC unterstützte Anwalt des Betroffenen, Johannes Eisenberg, uns in anonymisierter Form zur Verfügung gestellt hat.

Zum Prozeß gegen die Polizeibeamten wegen der Gewalttaten gegen friedlichen Demonstranten im Rahmen der FSA09:

• Prozeßgeschichte
• Beschreibung der Videosequenzen mit Vorgeschichte
• Anonymisierte Einlassung des Angeklagten "A"
• Anonymisierte Einlassung des Angeklagten "B"

Bisherige Meldungen des CCC hierzu:

• Polizeieinsatz auf der Demo "Freiheit statt Angst" (7.11.2009)
• Text von Rechtsanwalt Johannes Eisenberg vom 28.10.2009

Die Videodokumentation zum Vorgang:

• Videozusammenschnitt 12.9.2009 mit Polizeikamera 1
• Videozusammenschnitt 12.9.2009 mit Polizeikamera 2

Am 8. Oktober 2011 veröffentlichte der CCC die Dokumentation und Binärdaten eines deutschen Staatstrojaners. [0] Dieser wurde für verharmlosend "Quellen-Telekommunikationsüberwachung" genannte behördliche Computerinfiltrationen genutzt. Der Einsatz in Ermittlungsverfahren und zur Repression wurde zwischenzeitlich von vielen Bundesländern eingeräumt.

Obwohl der CCC handfeste technische Beweise veröffentlicht hatte, dementierten die Behörden, verantwortliche Innenpolitiker und der Hersteller DigiTask die Existenz illegaler Funktionalitäten [1],[2],[10] und beriefen sich auf eine angeblich veraltete Softwareversion des analysierten Trojaners.

Die Ausflüchte variierten von "Testversion" bis "Prototyp", DigiTask beteuerte noch am 11. Oktober 2011 gegenüber seinen Behördenkunden, daß fast alle Probleme in neueren Versionen gelöst seien. Die Funktion zum Code-Nachladen wird vom Hersteller DigiTask unisono mit den einsetzenden Behörden als "natürlich notwendig" angesehen, zum darin implizierten Grundrechtsverstoß wird in keiner Weise Stellung bezogen. Gemacht wird, was nutzt, der Zweck heiligt die Mittel.

Der CCC legte daher nun eine weitere detaillierte technische Dokumentation einer neueren Version des Staatstrojaners aus dem Jahre 2010 vor. [3] Die Aussagen von DigiTask in [10] erweisen sich anhand der im Bericht erläuterten Details als beschönigender Versuch, die rechtswidrige technische Realität zu kaschieren. Zeitgleich werden vom CCC kommentierte Disassemblate beider Trojaner-Versionen öffentlich zur Verfügung gestellt, um eine Nachvollziehbarkeit der Erkenntnisse zu gewährleisten und weitere Forschung durch Interessierte zu erleichtern. [4]

"Auch in den letzten drei Jahren waren die Behörden und ihr Dienstleister offensichtlich nicht in der Lage, einen Staatstrojaner zu entwickeln, der auch nur minimalen Anforderungen an Beweiskraft, Grundgesetzkonformität und Sicherheit gegen Manipulation erfüllt", faßte ein CCC-Sprecher die neuen Erkenntnisse zusammen. "Es steht aus prinzipiellen und konkreten Gründen auch nicht zu erwarten, daß dies in Zukunft gelingt."

Die Befunde des neuen CCC-Berichts stehen in scharfem Kontrast zu den Behauptungen des Innenstaatssekretärs Ole Schröder, der offenbar das kürzere Streichholz gezogen hatte und dem Bundestag Rede und Antwort stehen mußte. Dort behauptete er: "Die Software wird für jeden Einzelfall entsprechend konzipiert und vorher überprüft, damit sie eben nicht mehr kann, als sie darf." [8] Die Prüfung kann ausweislich der vorgefundenen Zustände nicht sehr intensiv gewesen sein – wie sollte sie auch, ohne verfügbaren Quellcode.

Der CCC fordert daher:

1. Kein weiterer Einsatz von Trojanern in strafprozessualen Ermittlungen,
2. Sofortige Offenlegung der Quellcodes und aller Prüfprotokolle über vergangene Einsätze von Trojanern durch deutsche Ermittlungsbehörden,
3. Zukünftige automatische Offenlegung von Quellcode, Binary und Protokollen des Trojaners nach jedem Einsatz.
4. Bei einer staatlichen Infiltration eines Rechners muß unwiderruflich die Möglichkeit erlöschen, Daten von der Festplatte des infiltrierten Systems gerichtlich zu verwerten.

"Der Kontrast zwischen den wohlfeil klingenden Beschwichtigungen des BKA-Präsidenten im Innenausschuß und den vorgefundenen technischen Realitäten könnte kaum größer sein", kommentierte ein CCC-Sprecher. "Das DigiTask-Trojaner-Modell 2010 entspricht wie seine Vorgängervarianten in keiner Weise dem Stand der Technik und enthält weiterhin die grundgesetzbrechende Funktion zum Nachladen beliebiger Erweiterungen. Es ist ein 'multifunktionaler Rohling' in einem ganz anderen Sinne."

Die nun analysierte Version 3.6.44 des von der Firma DigiTask entwickelten Trojaners entspricht in ihren Funktionen den Angaben des BKA-Präsidenten Ziercke im Innenausschuß des Bundestages, [1] nach denen inzwischen eine beidseitige Verschlüsselung und weitere Schutzmechanismen implementiert worden seien. Grundsätzlich stellte sich bei der Analyse heraus, daß sich die Trojaner-Version aus dem Jahre 2010 nur punktuell von der älteren Variante unterscheidet.

Wesentliche technische Neuerung des DigiTask-Trojaners Modell 2010 ist die von BKA-Präsident Ziercke betonte bi-direktionale Verschlüsselung, laut DigiTask seit dem 8. Oktober 2009 in Verwendung. [10] Die Analyse zeigt jedoch, daß diese genauso schlecht implementiert und anfällig für Angriffe ist, wie in den zuvor verwendeten Varianten. Der CCC konnte sein selbstgeschriebenes Trojaner-Steuerprogramm in nur wenigen Stunden anpassen, die Schadsoftware weiterhin steuern und Code auf den Opfer-Rechner nachladen.

Selbst DigiTask mochte die schwerwiegenden Manipulationsmöglichkeiten nicht in Abrede stellen. "Dies würde im Umkehrschluss bedeuten, dass die Behörden eigene nicht richterlich zugelassene Funktionen selbst schreiben und auf das ZÜA System laden. Dieser Vorwurf der Manipulation durch eine Sicherheitsbehörde ist technisch möglich, würde aber geloggt werden und mit einem MD5 Hash Wert versehen." (Agovis im Original) Wieso die manipulierende Sicherheitsbehörde dazu die DigiTask-Steuersoftware verwenden sollte, die möglicherweise den Code-Upload loggen könnte, bleibt wohl das Geheimnis des DigiTask-Geschäftsführers Achim Pulverich.

Wie von Herrn Ziercke zu Protokoll gegeben sind die Funktionen zum Anfertigen von Bildschirmfotos nicht mehr direkt aus der staatlichen Fernsteuersoftware heraus zugänglich. Die verfassungswidrige Nachladefunktion steht jedoch weiterhin scheunentorweit offen. Dies bedeutet, daß unbefugten Dritten vom spukhaften Fernlöschen von Dateien bis hin zur akustischen Raumüberwachung genausoviele Möglichkeiten geboten werden, wie den ermittelnden Beamten und ihren von Unkenntnis der technischen Sachlage geplagten Vorgesetzten.

Besonders bemerkenswert ist die Verwendung desselben, bereits mindestens drei Jahre alten und zudem fest eingebauten AES-Schlüssels für die Verschleierung der Datenübertragung. Laut der DigiTask-Stellungnahme ist erst seit dem 2. Juli 2010 überhaupt die Vergabe eines anderen AES-Schlüssels "global für eine Recording Unit" möglich. Eine angeblich neue, aber noch nicht veröffentlichte Version soll nun sogar bahnbrechenden Fortschritt ermöglichen und einen neuen Key pro Infiltrationsmaßnahme ermöglichen. Das dem CCC vorliegende Trojaner-Exemplar vom Dezember 2010 hat jedoch wiederum keinen abweichenden AES-Schlüssel. Kleinere Anpassungen versetzten den CCC innerhalb kürzester Zeit in die Lage, mit Hilfe seines selbstentwickelten Fernsteuer-Werkzeugs auch diesen neueren Trojaner zu kontrollieren, ein Programm hochzuladen und dieses zur Ausführung zu bringen. [5]

Der CCC zeigt zusätzlich zu den bisherigen Erkenntnissen, daß eine sogenannte "revisionssichere Protokollierung" im Falle eines Staats- oder Bundestrojaners nicht effektiv umsetzbar ist. In der Realität der Trojaner-Software kann sogar von unautorisierten Dritten eine Ermittlungsmaßnahme mit fingierten "Beweisen" irregeführt werden. Schon die erste Vorführung einer selbstgebauten Fernsteuer-Software des CCC hat gezeigt, daß ein Trojaner Befehle von unautorisierten Dritten erhalten kann, ohne daß die Behörden davon Notiz nehmen, geschweige denn revisionssicher protokollieren könnten.

Zur Veranschaulichung führte der Club nun eine Software vor, mit Hilfe derer jeder den Ermittlern gefälschte Bildschirmfotos senden kann. Bizarrerweise bestätigt die Herstellerfirma DigiTask in ihrer Stellungnahme diesen Fakt und behauptet allen Ernstes: "Das Unterschieben von falschen Beweisen kann z. B. über eine vorhandene DSL-Überwachung erkannt werden." Daß die DigiTask-Software keine nennenswerten Sicherungsmechanismen gegen einen solchen Angriff aufweist, wird nicht einmal bestritten.

Dahinter steckt der simple Fakt, daß ein Trojaner auf einem unkontrollierbaren System läuft, nämlich dem Computer eines Verdächtigen. Hier ist er potentiell immer unter Kontrolle des Besitzers oder eines weiteren Angreifers. Es ist nicht möglich, einen Trojaner zu entwickeln, den unautorisierte Dritte nicht imitieren könnten. Alles dazu notwendige Wissen steckt schließlich im Trojaner selbst, den man per Definition in dem Moment aus der Hand gibt, wenn man ihn auf dem Fremdsystem installiert. Hier kann er jederzeit entdeckt und untersucht werden. Mit Trojanern erlangte Erkenntnisse sind daher generell nicht gerichtsfest. Der CCC fordert, diese einfache Erkenntnis zu verinnerlichen und gesetzlich zu verankern.

"Per Trojaner erlangte Beweise dürfen generell nicht vor Gericht verwertet werden. Die Exekutive darf kein rechtsfreier Raum sein", sagte ein CCC-Sprecher.

Ein weiterer wesentlicher Aspekt ist die Inkaufnahme von Risiken für die Betroffenen. Man halte sich das Beispiel des Zollkriminalamts vor Augen, das durch eine Infiltration deutscher Firmencomputer mit nachladefähiger Trojanersoftware etwaigen Wirtschaftsspionen und Konkurrenten die aufwendige Verwanzung ihrer Opfer erspart. Schlimmer noch: Die fahrlässige und schlecht geschützte Durchleitung der gewonnenen Betriebsgeheimnisse durch Netzwerke und Rechenzentren auf ihrem Weg in und durch die USA liefern unzähligen weiteren Parteien einen Zugriff frei Haus – 0zapftis.

Die Verantwortlichen für die Konzeptionierung, den Einsatz und die Überprüfung dieser Trojaner lassen den notwendigen Respekt vor dem Urteil des Bundesverfassungsgerichtes aus dem Jahr 2008 sowie eine ausreichende technische und rechtliche Ausbildung vermissen. Wer solch grundgesetzwidrige Vorgehensweise nach der Maxime 'der Zweck heiligt die Mittel' nicht nur billigt, sondern fortzuführen plant, hat in verantwortlicher Position in einem Rechtsstaat nichts verloren.

Links:

• [0] Die erste Pressemitteilung zum Staatstrojaner
• [1] http://netzpolitik.org/wp-upload/174366-Bericht-BKA-Prasident-Ziercke_TOP-24a-24c_53.-InnenA-Sitzug.pdf
• [2] http://www.bundestag.de/dokumente/protokolle/plenarprotokolle/17132.pdf
• [3] Technischer Report Die hier betrachtete Version des Trojaners stellte sich während der Analyse als identisch mit den an die Antivirus-Industrie über das Portal Virustotal übermittelten Binärdaten vom Dezember 2010 heraus. Virustotal bietet eine Plattform zum Online-Analysieren potentieller Schadsoftware und verteilt diese Dateien an die größten Antivirus- und Betriebssystemhersteller zur Entwicklung von Gegenmaßnahmen. Informationen aus der Antivirus-Indstrie zufolge hat vermutlich der Hersteller DigiTask selbst diese Version zu Virustotal übermittelt, um zu prüfen, ob aktuelle Virenscanner den Trojaner erkennen können.
• [4] kommentierte Disassemblate beider Trojaner-Versionen und die Binaries dazu
• [5] Videos: http://haha.kaputte.li/0zapftis-2_lowres-final.mov
  http://haha.kaputte.li/0zapftis-2_922x578-final.mov (medium resolution)
  http://haha.kaputte.li/0zapftis-2_1230x770-final.mov (high resolution)
• [6] Frank Braun: „0zapftis – (Un)Zulässigkeit von ,Staatstrojanern‘“. In: Kommunikation & Recht 11/2011, S. 681-686
• [7] FAQ zum Staatstrojaner
• [8] Plenarprotokoll 17/132 des Deutschen Bundestages, 19. Oktober 2011, S. 15604,
• [9] Ulf Buermeyer, Matthias Bäcker: Zur Rechtswidrigkeit der Quellen-Telekommunikationsüberwachung auf Grundlage des § 100a StPO, HRRS
• [10] Dem CCC zugespielte Stellungnahme der Firma DigiTask an ihre Behördenkunden

Nicht erst seit das Bundesverfassungsgericht die Pläne zum Einsatz des Bundestrojaners am 27. Februar 2008 durchkreuzte, ist von der unauffälligeren Neusprech-Variante der Spionagesoftware die Rede: von der "Quellen-TKÜ" ("Quellen-Telekommunikationsüberwachung"). Diese "Quellen-TKÜ" darf ausschließlich für das Abhören von Internettelefonie verwendet werden. Dies ist durch technische und rechtliche Maßnahmen sicherzustellen.

Der CCC veröffentlicht nun die extrahierten Binärdateien [0] von behördlicher Schadsoftware, die offenbar für eine "Quellen-TKÜ" benutzt wurde, gemeinsam mit einem Bericht zum Funktionsumfang sowie einer Bewertung der technischen Analyse. [1] Im Rahmen der Analyse wurde vom CCC eine eigene Fernsteuerungssoftware für den Behörden-Trojaner erstellt.

Die Analyse des Behörden-Trojaners weist im als "Quellen-TKÜ" getarnten "Bundestrojaner light" bereitgestellte Funktionen nach, die über das Abhören von Kommunikation weit hinausgehen und die expliziten Vorgaben des Verfassungsgerichtes verletzen. So kann der Trojaner über das Netz weitere Programme nachladen und ferngesteuert zur Ausführung bringen. Eine Erweiterbarkeit auf die volle Funktionalität des Bundestrojaners – also das Durchsuchen, Schreiben, Lesen sowie Manipulieren von Dateien – ist von Anfang an vorgesehen. Sogar ein digitaler großer Lausch- und Spähangriff ist möglich, indem ferngesteuert auf das Mikrophon, die Kamera und die Tastatur des Computers zugegriffen wird.

Es ist also nicht einmal versucht worden, softwaretechnisch sicherzustellen, daß die Erfassung von Daten strikt auf die Telekommunikation beschränkt bleibt, sondern – im Gegenteil – die heimliche Erweiterung der Funktionalitäten der Computerwanze wurde von vorneherein vorgesehen.

"Damit ist die Behauptung widerlegt, daß in der Praxis eine effektive Trennung von ausschließlicher Telekommunikationsüberwachung und dem großen Schnüffelangriff per Trojaner möglich oder überhaupt erst gewünscht ist", kommentierte ein CCC-Sprecher die Analyseergebnisse. "Unsere Untersuchung offenbart wieder einmal, daß die Ermittlungsbehörden nicht vor einer eklatanten Überschreitung des rechtlichen Rahmens zurückschrecken, wenn ihnen niemand auf die Finger schaut. Hier wurden heimlich Funktionen eingebaut, die einen klaren Rechtsbruch bedeuten: das Nachladen von beliebigem Programmcode durch den Trojaner."

Der Behördentrojaner kann also auf Kommando – unkontrolliert durch den Ermittlungsrichter – Funktionserweiterungen laden, um die Schadsoftware für weitere gewünschte Aufgaben beim Ausforschen des betroffenen informationstechnischen Systems zu benutzen. Dieser Vollzugriff auf den Rechner, auch durch unautorisierte Dritte, kann etwa zum Hinterlegen gefälschten belastenden Materials oder Löschen von Dateien benutzt werden und stellt damit grundsätzlich den Sinn dieser Überwachungsmethode in Frage.

Doch schon die vorkonfigurierten Funktionen des Trojaners ohne nachgeladene Programme sind besorgniserregend. Im Rahmen des Tests hat der CCC eine Gegenstelle für den Trojaner geschrieben, mit deren Hilfe Inhalte des Webbrowsers per Bildschirmfoto ausspioniert werden konnten – inklusive privater Notizen, E-Mails oder Texten in webbasierten Cloud-Diensten.

Die von den Behörden so gern suggerierte strikte Trennung von genehmigt abhörbarer Telekommunikation und der zu schützenden digitalen Intimsphäre existiert in der Praxis nicht. Der Richtervorbehalt kann schon insofern nicht vor einem Eingriff in den privaten Kernbereich schützen, als die Daten unmittelbar aus diesem Bereich der digitalen Intimsphäre erhoben werden.

Der Gesetzgeber ist hier gefordert, dem ausufernden Computerschnüffeln ein Ende zu setzen und endlich unmißverständlich zu formulieren, wie die digitale Intimsphäre juristisch zu definieren und wirksam zu bewahren ist. Leider orientiert sich der Gesetzgeber schon zu lange nicht mehr an den Freiheitswerten und der Frage, wie sie unter digitalen Bedingungen zu schützen sind, sondern läßt sich auf immer neue Forderungen nach technischer Überwachung ein. Daß der Gesetzgeber die Technik nicht einmal mehr überblicken, geschweige denn kontrollieren kann, beweist die vorliegende Analyse der Funktionen der behördlichen Schadsoftware.

Die Analyse offenbarte ferner gravierende Sicherheitslücken, die der Trojaner in infiltrierte Systeme reißt. Die ausgeleiteten Bildschirmfotos und Audio-Daten sind auf inkompetente Art und Weise verschlüsselt, die Kommandos von der Steuersoftware an den Trojaner sind gar vollständig unverschlüssselt. Weder die Kommandos an den Trojaner noch dessen Antworten sind durch irgendeine Form der Authentifizierung oder auch nur Integritätssicherung geschützt. So können nicht nur unbefugte Dritte den Trojaner fernsteuern, sondern bereits nur mäßig begabte Angreifer sich den Behörden gegenüber als eine bestimmte Instanz des Trojaners ausgeben und gefälschte Daten abliefern. Es ist sogar ein Angriff auf die behördliche Infrastruktur denkbar. Von einem entsprechenden Penetrationstest hat der CCC bisher abgesehen.

"Wir waren überrascht und vor allem entsetzt, daß diese Schnüffelsoftware nicht einmal den elementarsten Sicherheitsanforderungen genügt. Es ist für einen beliebigen Angreifer ohne weiteres möglich, die Kontrolle über einen von deutschen Behörden infiltrierten Computer zu übernehmen", kommentierte ein CCC-Sprecher. "Das Sicherheitsniveau dieses Trojaners ist nicht besser, als würde er auf allen infizierten Rechnern die Paßwörter auf '1234' setzen."

Zur Tarnung der Steuerzentrale werden die ausgeleiteten Daten und Kommandos obendrein über einen in den USA angemieteten Server umgelenkt. Die Steuerung der Computerwanze findet also jenseits des Geltungsbereiches des deutschen Rechts statt. Durch die fehlende Kommando-Authentifizierung und die inkompetente Verschlüsselung – der Schlüssel ist in allen dem CCC vorliegenden Staatstrojaner-Varianten gleich – stellt dies ein unkalkulierbares Sicherheitsrisiko dar. Außerdem ist fraglich, wie ein Bürger sein Grundrecht auf wirksamen Rechtsbehelf ausüben kann, sollten die Daten im Ausland verlorengehen.

Gemäß unserer Hackerethik und um eine Enttarnung von laufenden Ermittlungsmaßnahmen auszuschließen, wurde das Bundesinnenministerium rechtzeitig vor dieser Veröffentlichung informiert. So blieb genügend Zeit, die vorhandene Selbstzerstörungsfunktion des Schnüffel-Trojaners zu aktivieren.

Im Streit um das staatliche Infiltrieren von Computern hatten der ehemalige Bundesinnenminister Wolfgang Schäuble und BKA-Chef Jörg Ziercke stets unisono betont, die Bürger müßten sich auf höchstens "eine Handvoll" Einsätze von Staatstrojanern einstellen. Entweder ist nun fast das vollständige Set an staatlichen Computerwanzen in braunen Umschlägen beim CCC eingegangen oder die Wahrheit ist wieder einmal schneller als erwartet von der Überwachungswirklichkeit überholt worden.

Auch die anderen Zusagen der Verantwortlichen haben in der Realität keine Entsprechung gefunden. So hieß es 2008, alle Versionen der "Quellen-TKÜ"-Software würden individuell handgeklöppelt. Der CCC hat nun mehrere verschiedene Versionen des Trojaners vorliegen, die alle denselben hartkodierten kryptographischen Schlüssel benutzen und mitnichten individualisiert sind. Die damals versprochene besonders stringente Qualitätssicherung hat weder hervorgebracht, daß der Schlüssel hartkodiert ist, noch daß nur in eine Richtung verschlüsselt wird oder daß eine Hintertür zum Nachladen von Schadcode existiert. Der CCC hofft inständig, daß dieser Fall nicht repräsentativ für die besonders intensive Qualitätssicherung bei Bundesbehörden ist.

Der CCC fordert: Die heimliche Infiltration von informationstechnischen Systemen durch staatliche Behörden muß beendet werden. Gleichzeitig fordern wir alle Hacker und Technikinteressierten auf, sich an die weitere Analyse der Binaries zu machen und so der blamablen Spähmaßnahme wenigstens etwas Positives abzugewinnen. Wir nehmen weiterhin gern Exemplare des Staatstrojaners entgegen. [5]

Addendum zum Bericht des Chaos Computer Clubs über den Staatstrojaner vom 8. Oktober 2011

Links:

[0] Binaries

[1] Bericht über die Analyse des Staatstrojaners

[4] BigBrotherAwards 2009, Kategorie Business: companies selling internet and phone surveillance technology

[5] 0zapftis (at) ccc.de mit folgendem PGP-Key

-----BEGIN PGP PUBLIC KEY BLOCK-----
Version: GnuPG v1.4.9 (Darwin)
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=jS/I
-----END PGP PUBLIC KEY BLOCK-----

Link zur Petition

Nicht alle klugen Ideen für die Bewahrung einer digitalen Intimsphäre richten sich gegen die Datensammler selbst, sondern können auch durch Gestaltung, Programmierung und Voreinstellung bei informationstechnischen Geräten und Diensten durchgesetzt werden. Technikgestalter sollten stärker in die Pflicht genommen werden, namentlich durch Umsetzung von "privacy by default"-Ansätzen.

Nicht erst seit der öffentliche digitale Raum zunehmend kommerzialisiert und zu Werbezwecken oder staatlicherseits überwacht wird, gibt es die Idee des "privacy by default": datensparsame Privatsphäre-Einstellungen in Soft- und Hardware von vorneherein mit einzubauen.

Noch zu oft ist die Reaktion auf Angriffe auf die digitale Privatsphäre: Nichtstun. Eine britische Studie etwa zeigt, daß fast die Hälfte der Facebook-Nutzer entweder keinen Gedanken darauf verschwendet oder keinen blassen Schimmer von den Einstellungen hat, daher die Privatsphäre-Einstellungen unverändert läßt. [1] "privacy by default" kann das Aufzeichnen individueller Daten ohne Wissen des Benutzers verhindern. Diskretion im zwischenmenschlichen Handeln kann so unterstützt werden. Absichtliche Datenexhibitionisten werden andererseits nicht gestört, sie können ihre Einstellungen gemäß ihren Vorlieben unbevormundet vornehmen.

Die Idee wird die Benutzung von Werbeplattformen sicher nicht vollständig verändern, aber hilft dabei, das angenehme Gefühl des Unbeobachtetseins ein wenig öfter zu genießen. Vernetzten Datensammlungen und Datenmüllhalden – seien sie kommerziell oder staatlich – wird entgegengewirkt. Langfristig dreht man damit auch die Wahrnehmung des Datenschutzes: Datensparsame Dienste und Voreinstellungen, Software- und Hardware können zum Wettbewerbsvorteil werden.

Es gibt also gute Gründe für "privacy by default": Über das Petitionssystem OpenPetition [3] möchte der vzbv das Quorum von fünfzigtausend Stimmen erreichen, um eine Petition beim Deutschen Bundestag möglich zu machen. Es kann gegenüber der Öffentlichkeit anonym gezeichnet werden. Die Forderung lautet:

Der Deutsche Bundestag möge in den Datenschutzgesetzen regeln, daß die Grundeinstellungen von Produkten und Diensten so zu gestalten sind, daß so wenig personenbezogene Daten wie möglich erhoben oder verarbeitet werden.

Der Chaos Computer Club (CCC) unterstützt das Ansinnen der Petition ausdrücklich und möchte alle Mitglieder und sonstige Technikinteressierte auffordern, nicht nur die Petition zu zeichnen, sondern auch bei eigenen Projekten "privacy by default" mitzudenken.

Links:

• [1] Office of Communications: Social Networking – A quantitative and qualitativ research report into attitudes, behaviors, and use (pdf)
• [2] Facebook Privacy News
• [3] OpenPetition
• [4] vzbv: Auf die Voreinstellung kommt es an
• [5] Text der Petition von Gerd Billen (Verbraucherzentrale Bundesverband)

update

In einer Presseerklärung [2] erläutern die Militärtechnik-Fachleute des IOSB [1] zur geplanten Werbeveranstaltung auf dem Sommerfest:

Sie feiern und wir passen auf Sie auf

Am 18. September veranstaltet der SWR4 als Höhepunkt der Festsaison sein SWR-Fest in Heidenheim. Das Fraunhofer IOSB nahm die Einladung des SWR gerne an, auf dem Festival das Sicherheitssystem AMFIS einzusetzen und zu präsentieren.

Das AMFIS-System ist ein militärisches Vertragsforschungsprojekt, spezialisiert auf die Überwachung von Regionen und Straßen und das Lokalisieren und Identifizieren von Personen und Fahrzeugen. Dazu werden Daten von fliegenden Drohnen, Heliumballons, Funk-Sensornetzen, Infrarotkameras und Webcams ausgewertet. Das technische Arsenal wird nun auf dem SWR-Sommerfest aufgefahren. Ziel des Einsatzes von AMFIS ist das Feststellen auffälligen Verhaltens. [3] Das Friedensplenum Mannheim [4] schätzt das Fraunhofer-Institut IOSB als Institution ein, die sich überwiegend durch militärische Auftragsforschung finanziert und zum »effizienteren Töten beiträgt«.

Militärtechnik und »Technologie für die Verteidigung« ist das größte Geschäftsfeld des Fraunhofer-Instituts IOSB. Daß die wehrtechnische Forschung nun allerdings an feiernden Zivilisten getestet wird, scheint ein ganz neues Geschäftsfeld zu werden. Zukünftig sollen wohl deutschlandweit Festveranstaltungen überwacht werden.

Was die Militärtechnik auf einem zivilen Sommerfest der ARD zu suchen hat, bleibt das Geheimnis der Organisatoren, ebenso, warum ein solches Fest effizienter überwacht werden soll als die Camps Delta und Echo in Guantánamo. Viel Phantasie ist jedoch nicht vonnöten, um vorherzusehen, auf welchen anderen zivilen Schlachtfeldern das hier erprobte und angepriesene System demnächst zum Einsatz kommt.

Die Veranstalter der öffentlich-rechtlichen Fernsehanstalt stören sich offenbar auch nicht daran, daß die Überwachung der Sommerfestgäste offensichtlich rechtswidrig ist, [5] wie die Justiz und der Landesdatenschutzbeauftragte bereits in einem vergleichbaren Fall klar geäußert haben.

Wer da noch Spaß am Feiern haben sollte, der wird bei jedem Schritt und jedem getrunkenen Bier von vollautomatischen Überwachungsdrohnen auf Video festgehalten werden. Nicht einmal im Gebüsch wäre man ungestört, denn hierüber wacht natürlich ein Infrarot-System.

• [1] http://www.iosb.fraunhofer.de/
• [2] "Mehr Sicherheit auf Großveranstaltungen"
• [3] Werbefilm des IOSB
• [4] Wie eine renommierte Forschungsinstitution zum effizienteren Töten beiträgt
• [5] Videoüberwachung von Verwaltungsgericht untersagt, http://www.weberberg.de/videoueberwachungbiberach.pdf (pdf)

Update

Der SWR erklärt in einer E-Mail an den Chaos Computer Club den Einsatz des AMFIS-Systems. Hier Auszüge der E-Mail im Wortlaut:

Sehr geehrte Damen und Herren,
liebe Kolleginnen und Kollegen,

ich habe bereits am Freitag nachmittag an ccc.sofortstart.de [sic] folgenden Hinweis gemailt:

Die Aussagen auf Ihrer Online-Seite zum SWR4 Fest in Heidenheim beziehen sich auf eine äußerst missverständliche Pressemitteilung des Fraunhofer Instituts. Diese vermittelt den Eindruck, der SWR habe das Institut beauftragt, ein Sicherheitskonzept für das SWR4 Sommerfest zu entwickeln und umzusetzen. 
Das ist nicht der Fall. 
Das Sicherheitskonzept ist zwischen dem SWR und der Stadt Heidenheim abgestimmt und sieht an keiner Stelle den Einsatz von Überwachungsdrohnen oder ähnlichem vor. Das Frauenhofer Institut wurde als Repräsentant der Studioregion Karlsruhe eingeladen, um sich vor Ort als Teil des Markts der Regionen zu präsentieren. Dabei wurde zu keinem Zeitpunkt, weder von der 
Stadt Heidenheim als örtlichem Veranstalter noch vom Südwestrundfunk, ein Auftrag erteilt, die Überwachung der Gäste zu übernehmen. Lediglich vorbesprochen wurde der eventuelle Einsatz eines kleinen Fesselballons, der Luftbilder für die Fernsehberichterstattung im SWR Fernsehen liefern könnte. Eine Datenspeicherung findet nicht statt. 

Ich möchte Sie bitten, dies auf Ihrer Onlineseite richtigzustellen.

Beste Grüße

SÜDWESTRUNDFUNK
Wolfgang Utz
Leiter Pressestelle

Das Bundesverfassungsgericht hatte die Einführung der präventiven Speicherung aller Kommunikationsdaten verworfen und für verfassungswidrig erklärt, dabei die Schwere des Eingriffs in die Freiheitsrechte der Bürger betont. Seit dem Urteil nahm der politische Zank kein Ende, für die reaktionären Hardliner ist die lange Urteilsbegründung wohl doch zu schwer zu verstehen. Den offenkundigen Gefahren und Nebenwirkungen der Vorratsdatenspeicherung oder gar einer inhaltlichen Evaluierung des Vorhabens verschließen sie sich weiterhin. Der zwischenzeitlich veröffentlichte europäische Evaluierungsbericht zur VDS-Richtlinie konnte wie erwartet keine Beweise aufzeigen, daß die Vollüberwachung der Bürger einen adäquaten Mehrwert für Strafverfolger bedeuten würde.

Dennoch sollen nun nach dem Willen der Koalition die Internet-Verbindungsdaten zwangsweise gespeichert werden. Der AK Vorratsdatenspeicherung verschickte daher gemeinsam mit vierzehn Personen aus Zivilgesellschaft, Netzgemeinde, Journalismus, Recht, Wissenschaft und CCC an die FDP-Bundestagsmitglieder einen offenen Brief [2] mit der Aufforderung, den neuen Vorschlägen zur Einführung einer verdachtslosen Speicherung aller IP-Adressen die Zustimmung zu verweigern.

Nachdem sich kein einziger FDP-Abgeordneter die Mühe machte, eine Antwort auf die elektronische Fassung des Briefes zu schicken, [0] wurden die Briefe in dieser Woche nun in papierner Form versendet. Gerade auf die zukünftigen Gefahren verweist der Brief:

"Der Vorschlag einer Vorratsspeicherung von IP-Adressen läßt vollkommen die technische Entwicklung außer Acht. Mit der ab Ende 2011 geplanten Umstellung des Internets auf das neue Adreß-System 'IPv6' droht die individuelle Verfolgbarkeit jedes unserer Online-Schritte über lange Zeiträume hinweg", heißt es in dem offenen Brief an die Abgeordneten.

Jede Form der anlaßlosen Anhäufung von Daten gehört beendet. Denn wie massenweise Telekommunikationsdaten aufgrund vager Verdachtsmomente mißbräuchlich gesammelt, verknüpft und ausgewertet werden, zeigt der sich seit Wochen hinziehende sog. "Handygate"-Skandal in Dresden. Jüngst wurde zugegeben, daß in 40.700 Fällen Demonstrationsteilnehmern und Anwohnern mißbräuchlich hinterhergeschnüffelt wurde. [3] Die offenbar schon routiniert durchgeführten Handyausspähungen drohen bei einer neuerlichen Einführung präventiver Datenspeicherungen uferlos zu werden.

"Auch im Kontext des nicht nur behördlich festgestellten niedrigen Sicherheitsniveaus der Polizei- und Ermittlungsbehörden und der britischen Datenskandale bei Telefon-Providern ist das Prinzip der Datenvermeidung konsequent anzuwenden. Es kann nicht sein, daß weitflächige Erfassungen von Mobilfunknutzung hierzulande mal kurz durch die Deutung einer Sachlage durch Polizeibeamte veranlaßt wird", sagte CCC-Sprecher Andy Müller-Maguhn und ergänzte: "Die Mißbrauchsgefahr der bei der Vorratsdatenspeicherung anfallenden Daten ist real." [4]

In Europa haben bereits mehrere höchste Gerichte die Vorratsdatenspeicherung verworfen, zuletzt im März in Tschechien, wo 51 Abgeordnete erfolgreich geklagt hatten. Selbst die Jusos und einige SPD-Mitglieder arbeiten an der Wiedererlangung der Glaubwürdigkeit ihrer Partei und verlangen nun das Ende der Vorratsdatenspeicherung, auch wenn ihr Parteivorsitzender sich dazu noch nicht durchringen mochte. [1]

Ungeheuerlich ist für den CCC nach wie vor, wie die Rechtsprechung des Bundesverfassungsgerichts de facto ignoriert wird und der Eindruck entsteht, man warte nur den nächsten Vorfall ab, der sich zu einer Begründung für die verdachtslose Vorratsdatenspeicherung hinbiegen läßt. Dem Vertrauen in die Rechtsordnung ist ein solches Vorgehen nicht zuträglich, deshalb: das Konzept der Vorratsdatenspeicherung jetzt endgültig begraben!

Links:

[0] Die FDP antwortet nicht

[1] Ismail Ertug, SPD-EU-Parlamentarier: Nein zur Vorratsdatenspeicherung

[2] Offener Brief (pdf) an die FDP-Abgeordneten: Intelligente Strategien für ein sicheres Netz – IP-Vorratsdatenspeicherung stoppen!

[3] Die Polizei wird persönlich

[4] No Name Crew hackt Bundespolizei

[5] Verräterisches Handy

Wir laden Hacker, Nerds, Geeks und Künstler ein, sich in einem der bisher mehr als siebzig Villages [1] zusammenzufinden. Junghacker sind besonders herzlich willkommen. [2]

Die Teilnehmer des Chaos Communication Camps erwarten fünf Tage Programm mit über einhundert Vorträgen und Workshops [3] zu Themen wie Science, Culture und Hacking. Spezielles Thema dieses Camps ist das Hacker Space Program [4], da die Lücke in der bemannten Raumfahrt geschlossen werden muß, die durch die NASA gerissen wurde.

Und das Beste: Es gibt bereits einen Fahrplan! [5]

Wer noch kein Ticket hat, kann das hier ändern. [6] Hilfe bei der Reiseplanung findet sich im Wiki. [7]

[1] http://events.ccc.de/camp/2011/wiki/Villages
[2] http://events.ccc.de/camp/2011/wiki/FamilyVillage
[3] http://events.ccc.de/camp/2011/wiki/Workshops
[4] http://events.ccc.de/camp/2011/wiki/Call_for_Space_Program
[5] http://events.ccc.de/camp/2011/Fahrplan/
[6] https://presale.events.ccc.de/
[7] http://events.ccc.de/camp/2011/wiki/Cheaptrain

Die Verbreitung anonymer und sicherer Kommunikation lag Len besonders am Herzen. Daher trieb er die Entwicklung der Remailer-Software Mixmaster maßgeblich voran. Diese Software wird heute von vielen Menschen zum anonymen Austausch von Nachrichten benutzt. Seine Ideen flossen später auch in die Entwicklung der neuen Remailer-Generation Mixminion ein.

Len Sassaman verband seine Passion mit dem Beruflichen und arbeitete für den Dienst Anonymizer.com, machte zahlreiche Vorschläge zur Verbesserung des OpenPGP-Standards und brachte seine Erfahrung bei der Entwicklung des GnuPG-Software-Projekts ein. Im deutschen Hackerumfeld machte er sich spätestens durch seinen engagierten Vortrag auf dem 24C3 einen Namen. [1]

Zusammen mit seiner Frau Meredith L. Patterson veröffentlichte Len Schwachstellen in der Bitfrost-Plattform des OLPC, Angriffsmethoden gegen eine CA-Infrastruktur (X.509) und vieles mehr. Len Sassaman stand kurz vor der Beendigung seiner Promotionsarbeit an der K. U. Leuven, Belgien.

Trotz seiner zahlreichen Aktivitäten und Forschungsgebiete stand Len seinen Freunden und Kollegen immer geduldig mit Rat und Tat zur Seite. Umso trauriger macht es uns, daß Len aufgrund von Depressionen seinem Leben selbst ein Ende setzte. Unser Mitgefühl gilt seiner Frau und seiner Familie.

Die Beisetzung wird am 9. Juli mittags auf dem De-Jacht-Friedhof in Leuven-Heverlee stattfinden.

Links:

[1] Len beim 24c3: Anonymity for 2015

Foto: Alexander Klink, Creative Commons Attribution 3.0 Unported

Die Erklärung der Zivilgesellschaft an e-G8 und G8 im Wortlaut:

Die Unterzeichner dieser Erklärung sind Vertreter der Zivilgesellschaft aus der ganzen Welt, die Freiheiten im Internet, digitale Bürgerrechte und freie Kommunikation fördern wollen.

Unmittelbar vor dem diesjährigen G8-Gipfel in Deauvilleein richtet die französische G8-Präsidentschaft das sogenannte "e-G8 Forum" aus, das G8-Internet-Treffen. Hier will Frankreich die Agenda des G8-Gipfels hinsichtlich zentraler Internet-Regulierungsfragen formen. Dieses Treffen ist deshalb so wichtig, weil die Rolle des Internets in Gesellschaft und Wirtschaft erstmalig ausdrücklich auf der G8-Agenda steht.

Aufgrund der Beteiligung wesentlicher Akteure der Weltpolitik haben Ihre Richtlinien als G8 einen großen Einfluß auf die globale Internet-Regulierung. Bedauerlicherweise unterwandern und bedrohen einige der derzeit in den Industriestaaten geschaffenen gesetzlichen Rahmenbedingungen das offene und neutrale Internet – und damit genau jene Eigenschaften, die den Wesenskern des demokratischen und wirtschaftlichen Potentials des Internets ausmachen.

Unserer Meinung nach sollten die G8-Mitglieder das "e-G8 Forum" als Gelegenheit nutzen, sich öffentlich zu den Zielen zu bekennen, allen Menschen Internetzugang zu ermöglichen, digitale Zensur und Überwachung zu bekämpfen, die Haftung von Vermittlungsinstanzen zu begrenzen und die Prinzipien der Netzneutralität zu wahren.

Freier Internetzugang für alle

Wir sind insbesondere besorgt über die zunehmende Anzahl an Ländern, die ihren Bürgern den Zugang zum Internet und mobilen Netzen in Krisenzeiten verwehren, wie es in Ägypten, Libyen, Iran, China, Nepal und Burma geschehen ist. In vielen, wenn nicht allen dieser Länder sehen wir, wie wichtig der Zugang zum Internet als Tor zur Fülle der Bürgerrechte, politischen Möglichkeiten und Menschenrechte anderer ist. Viele G8-Länder setzen derzeit aktiv Regulierungen um, die in ähnlicher Weise darauf abzielen, Netzzugang zu kontrollieren und einzuschränken. Diese Richtlinien legitimieren die Eingriffe repressiver Regime und bedrohen den wirtschaftlichen Kern des Internets. Da viele Länder nun beginnen, die Infrastruktur für den Zugang zum Netz zu verbessern, ist diese Zunahme an restriktiver Regulation, die wir sowohl in den entwickelten als auch den sich entwickelnden Ländern beobachten, eine rückwärtsgewandte und zutiefst beunruhigende Entwicklung.

Freiheit von Zensur und Überwachung

Gleichzeitig nutzen repressive Regime die Macht des Internets für ihre eigenen Interessen, häufig mit Hilfe weltweit agierender Konzerne, die in den G8-Ländern beheimatet sind. Wir möchten darauf drängen, den Verkauf derartiger Technologien sowohl im In- als auch im Ausland zu stoppen und diesen groben Eingriffen in Privatsphäre und Sicherheit ein Ende zu bereiten.

Providerhaftung und "Geistiges Eigentum"

Vornehmlich die Unterhaltungsindustrie, aber auch andere Sektoren arbeiten mit zunehmendem Druck daran, die Haftung von Online-Dienstleistern für die Handlungen ihrer Nutzer zu erhöhen (z. B. HADOPI und ACTA). Um die Meinungsfreiheit zu erhalten, muß diesem Druck Widerstand geleistet werden. Deshalb schlagen wir vor, dem Beispiel der brasilianischen Regierung und ihren Prinzipien für die Regulierung und Nutzung des Internets zu folgen, insbesondere Absatz 7, der festlegt:
"Jede Maßnahme gegen illegale Handlungen im Netz muß sich gegen jene richten, die unmittelbar dafür verantwortlich sind – und darf nicht die Infrastruktur/Kommunikationsmittel betreffen, so daß immer die grundlegenden Prinzipien von Freiheit, Privatsphäre und dem Respekt vor Menschenrechten gewahrt werden."

Netzneutralität

Wir rufen Sie außerdem auf, sich dem Schutz der Netzneutralität zu verpflichten – dem Prinzip, daß aller Datentransfer im Netz gleichberechtigt behandelt wird, unabhängig von seinem Ziel, Ursprung oder Inhalt.

Dies sind einige der zentralen Fragen der Internetregulierung, die wir der Aufmerksamkeit der G8 für würdig und bedürftig halten. Wir wollen Ihre Aufmerksamkeit weiterhin auf zwei umfassende Erklärungen lenken, die Nationalstaaten in Fragen der Netzregulation als Richtwert dienen sollten:

• Die zehn Rechte und Prinzipien des Internets, entwickelt von der Internet Rights and Principles Coalition
• Assembly Declaration of the right of Communication, verfaßt beim Weltsozialforum 2011

Weiterhin möchten wir unserer Besorgnis über die Organisation des "e-G8 Forums" Ausdruck verleihen. Wir stimmen mit dem Internet Governance Caucus darin überein und möchten gemeinsam unsere Sorge über die fehlende Beteiligung und Vertretung der Zivilgesellschaft sowohl beim diesjährigen "e-G8 Forum" als auch beim G8-Gipfel selbst äußern. Entgegen heutiger Gepflogenheiten in der Politikgestaltung standen hauptsächlich Regierungs- und Wirtschaftsvertreter auf den Einladungslisten, die ohnehin schon einen unverhältnismäßig großen Einfluß auf die Netzregulierung haben.

Insbesondere sind wir zutiefst darüber besorgt, daß wirtschaftliche Interessen die Diskussionen sowohl beim "e-G8 Forum" als auch beim G8-Gipfel bestimmen werden. Fragen wie die einer strengen Durchsetzung geistiger Eigentumsrechte und verschärfte Providerhaftung drohen so Vorrang vor bürgernahen Richtlinien wie Netzneutralität, freier Software und dem Kampf gegen Zensur zu erhalten.

Da Firmen 100.000 Dollar für einen Sitz am Tisch der e-G8 bezahlen, sind nur wenige Bürgerrechtsbewegungen vertreten, um für die Rechte der Nutzer aus aller Welt zu einzustehen. Wir befinden uns an einem kritischen Punkt in der Geschichte des Internets und dem Kampf für Menschenrechte. Wir rufen Sie – als gewählte Vertreter der mächtigsten Länder der Welt – auf, jetzt zu handeln, um die Prinzipien digitaler Bürgerrechte und eines freien Netzes aufrechtzuerhalten und zu verteidigen – nicht nur für Ihre Bürger, sondern für die gesamte Menschheit.

Englische Originalfassung: Civil Society Statement to the e-G8

Petition an die G8 unterzeichnen

G8 vs Internet – Call for creative action

Chaos Computer Club schlägt zeitgemäßes Vergütungsmodell für Kreative vor

Die aktuelle Debatte um die Finanzierung von Kunst und Kultur im digitalen Zeitalter ist festgefahren. Es fehlte bisher ein Konzept, das zwei Ziele verbindet: Zum einen soll in Zukunft schöpferische Tätigkeit materiell gerecht entlohnt werden. Zum anderen sollen Werke allgemein zugänglich und kreativ weiterverwendbar sein, ihre Verwendung und Archivierung nicht durch DRM (Digital Rights Management) behindert werden.

Zukünftig soll der Nutzer der Werke mit Hilfe des Kulturwertmark-Systems, einer Form des digitalen Micropayments, direkt bestimmen können, welche Kreativen wieviel Geld von ihm bekommen. Jeder Teilnehmer zahlt einen festen monatlichen Betrag ins System ein, den er dann in Form von Kulturwertmark an Künstler seiner Wahl vergeben kann. Als Ausgleich stehen die Werke nach einigen Jahren oder nach  Erreichen einer bestimmten Kulturwertmark-Auszahlsumme jedem zur nicht-kommerziellen Nutzung zur Verfügung.

Bisherhige Ideen wie die Kulturflatrate erschweren die Bildung einer Marktdynamik, die für eine breite Akzeptanz nötig ist. Da jeder Teilnehmer seine Kulturwertmark an die Künstler geben kann, die er toll findet, gibt es keine zentrale Vergabebehörde – wie sie bei einer Kulturflatrate notwendig wäre – und niemand muß sich Kriterien für den Wert eines Werkes ausdenken. Wer besonders gute, breit akzeptierte Werke schafft, wird auch entsprechend mehr belohnt.

Dadurch wird ein alternativer neuer Markt für digitale Werke entstehen, der eine direkte Bezahlung für Urheber vorsieht. Gleichzeitig wird eine wachsende digitale Allmende geschaffen. Damit das System die gewünschte Wirkung zeigt und ein hinreichend großes Volumen erreicht, könnte beispielsweise jeder Nutzer durch einen Zuschlag zum Internet-Breitbandanschluß beteiligt werden, den er dann in Form von anonymen Micropayment-Einheiten, den Kulturwertmark, zum Belohnen von Werken seiner Wahl zurückerhält.

"Das Konzept der Kulturwertmark nutzt auf intelligente Weise die aktuellen technologischen Möglichkeiten, um sinnvolle Lösungen für die direkte Bezahlung von schöpferisch Tätigen zu realisieren", erläuterte CCC-Sprecher Frank Rieger den Vorstoß. "Wir wollen raus aus den Grabenkriegen, in denen die Diskussionen bisher feststecken, hin zu einem zeitgemäßen, praktikablen Interessenausgleich."

Das Kulturwertmark-System ist in zweijähriger Diskussion mit Schriftstellern, Filmemachern, Malern, Podcastern, Galeristen und Journalisten entstanden und darauf ausgelegt, eine möglichst breite Vielfalt von schöpferischer Tätigkeit zu belohnen. Im Vordergrund stehen dabei die tatsächlichen Interessen der Kreativen. Die Basis für das Kulturwertmark-System soll von einer Stiftung als Open-Source-Software realisiert werden, so daß sie in Zukunft auch in anderen Ländern verwendet und weiterentwickelt werden kann.

Im Rahmen des fairen Ausgleichs zwischen allen Interessensgruppen sind eine Reihe von grundlegenden Änderungen an den bestehenden Urheberrechtsmodellen notwendig. Insbesondere müssen Schutzfristen deutlich verkürzt und die straf- und zivilrechtliche Verfolgung von Filesharing und privaten Kopien auf kommerzielle – also auf profitorientierte Gewinnerzielung zielende – Verstöße beschränkt werden. Ebenso sollen die verwerterorientierten Prämissen des derzeitigen Urheberrechts überwunden und ein angemessener Ausgleich zwischen Autoren- und Rezipientenrechten erzielt werden. Dafür erhalten die Kreativen in Deutschland die Möglichkeit, an einem riesigen neuen Markt mit garantiertem Mindestvolumen teilzunehmen und die Gewissheit, dass ihre Werke auch in Zukunft zugänglich und rezipierbar bleiben.

"Mit der Kulturwertmark wird gleichzeitig die gerechte Entlohnung von Kreativen gesichert, die sinnlose Verfolgung des privaten, nicht-kommerziellen Filesharing beendet und eine deutliche Vergrößerung der digitalen Allmende erreicht", fasste CCC-Sprecher Frank Rieger die Vorteile des Systems zusammen.

Ernstgemeinte Vorschläge für einen griffigeren Namen als "Kulturwertmark" nimmt der CCC selbstverständlich gern entgegen.

Links:

FAQ: Fragen und Antworten zur Kulturwertmark

iRights.info News: http://irights.info/?q=ccc-kulturwertmark

Konzeptpapier als PDF: http://irights.info/userfiles/CCC_Konzept_Kulturwertmark.pdf oder alternativ hier

Konzeptpapier: http://irights.info/?q=ccc-konzept-kulturwertmark

Das Konzept:

1. Jeder Teilnehmer am System zahlt monatlich einen allgemein festgelegten Betrag. (In der radikalsten Variante wird der Betrag von allen Steuerpflichtigen erhoben. Realistisch ist für den Anfang die Erhebung über den Internetzugang.)

2. In Höhe dieses Betrages erhält jeder Teilnehmer Einheiten einer kryptographisch gesicherten Micropayment-Währung, der Kulturwertmark.

3. Jeder Künstler, der am System teilzunehmen wünscht, registriert sein Werk für die Teilnahme.

4. Nutzer können nun auf einfache Weise einen Betrag in Kulturwertmark ihrer Wahl für das Werk an den Künstler transferieren. Sie erwerben damit keine persönlichen Rechte an dem Werk, sondern drücken ihre Wertschätzung aus. Es steht dem Künstler natürlich frei, beispielsweise für den Download eines Werkes von seiner Seite einen bestimmten Betrag der Kulturwertmark festzusetzen. Alternativ kann die Möglichkeit zum Ausgeben der Kulturwertmark in Werke integriert werden, die dann völlig außerhalb der Kontrolle des Künstlers getauscht oder per Filesharing weitergegeben werden können. Der Künstler erhält das Euro-Äquivalent der für ein Werk gezahlten Kulturwertmark in regelmäßigen Abständen ausgezahlt.

5. Wird ein zuvor festgelegter Schwellwert erreicht, fallen die Verwertungsrechte für das Werk automatisch in den Besitz der Öffentlichkeit und stehen fortan unter einer freien Lizenz, beispielsweise einer geeigneten Variante aus dem Creative-Commons-Fundus.

6. Beträge, die von den Teilnehmern innerhalb eines bestimmten Zeitraumes (etwa ein Jahr) nicht ausgegeben werden, werden automatisch entsprechend aller vergebenen Beträge verteilt. Es gibt also eine vorhersehbare Menge Geld, die pro Jahr tatsächlich verteilt wird.

7. Als Gegenleistung für diesen de facto garantierten Mindestumsatz wird das bisherige Urheberrecht deutlich zugunsten der Rezipienten geändert. Exzessiv lange Schutzfristen werden verkürzt, die zivil- und strafrechtliche Verfolgung nicht-kommerziellen Filesharings wird eingestellt.

Im Ergebnis entsteht ein zweiter Markt für Kunst- und Kulturwerke, der mit minimalem Bürokratie-Überhang zum einen ein sinnvolles Auskommen für Künstler ermöglicht, zum anderen dabei den Marktkräften noch vollen Raum zur Entfaltung lässt und schlussendlich eine fortlaufend wachsende digitale Allmende schafft, die allen zur Verfügung steht.

Der dem CCC zugespielte Entwurf des Staatsvertrages macht deutlich, daß die Ministerpräsidenten der Bundesländer erneut über die Einführung von Internetsperren nachdenken. Der Arbeitskreis fordert die Ministerpräsidenten der Länder auf, umgehend den Stand der Verhandlungen offenzulegen und die Zivilgesellschaft zu beteiligen.

„Wir erleben hier einen weiteren Versuch, eine Zensurinfrastruktur in Deutschland aufzubauen. Diesmal kommt er unter dem Deckmäntelchen der Prävention von Glücksspielsucht, wahrscheinlicher ist jedoch die Furcht vor Steuereinnahmeverlusten durch ausländische Glücksspielseiten“, erklärt Benjamin Stöcker, Mitglied im AK Zensur. „Damit wird dem freien Zugang zu Informationen im Netz der Kampf angesagt. Dabei dachten wir, die Politik hätte aus den Debakeln beim Jugendmedienschutzstaatsvertrag und dem Zugangserschwerungsgesetz gelernt.“

Welche Sperrtechnik zum Einsatz kommen soll, ist dem Entwurf nicht eindeutig zu entnehmen. Es besteht aber Grund zur Befürchtung, daß die Eingriffe diesmal noch über die geplanten Stopschilder des Zugangserschwerungsgesetzes hinausgehen sollen. Denkbar ist, daß die Zugangsprovider zu Sperren auf IP-Adress-Ebene oder gar einer sogenannten Deep Packet Inspection – und damit der Überwachung des gesamten Netzverkehrs – genötigt werden sollen. Dies wären Techniken, wie sie sonst nur in China und anderen totalitären Regimes zum Einsatz kommen.

„Auch nach den monatelangen Debatten über Netzsperren und dem politischen Scheitern dieser technisch kontraproduktiven und die Demokratie gefährdenden Maßnahmen hat offenbar noch immer kein Umdenken in den Staatskanzleien der Länder eingesetzt. Stattdessen wird eine erstaunliche Lernresistenz an den Tag gelegt und dem längst verwesenden Pferdekadaver namens 'Netzsperren' ein neues Sättelchen angelegt“, sagte CCC-Sprecher Dirk Engling.

Der AK Zensur fordert die Ministerpräsidenten der Länder auf, umgehend den aktuellen Verhandlungsstand des Staatsvertrages zu veröffentlichen und klarzustellen, mit welchen technischen Maßnahmen die Sperrforderung im aktuellen Entwurf des Glücksspielstaatsvertrages durchgesetzt werden soll. Außerdem soll eine angemessene gesellschaftliche Debatte über geplante DNS-Manipulationen und eine kritische Beteiligung der Zivilgesellschaft bei den Verhandlungsrunden statt der Kungelrunden hinter verschlossenen Türen ermöglicht werden.

Wörtlich steht im Entwurf vom 3. Dezember 2010 im § 9 Abs. 1 S. 3 Nr. 5, die Glücksspielaufsicht könne

Diensteanbieter im Sinne des Telemediengesetzes nach vorheriger Bekanntgabe unerlaubter Glücksspielangebote die verantwortliche Mitwirkung am Zugang zu den unerlaubten Glücksspielangeboten untersagen. Das Grundrecht des Fernmeldegeheimnisses (Artikel 10 des Grundgesetzes) wird durch Satz 1 eingeschränkt. Hierdurch sind Telekommunikationsvorgänge im Sinne des § 88 Abs. 3 Satz 3 des Telekommunikationsgesetzes betroffen.

Links:

Entwurf des Glücksspielstaatsvertrages

Arbeitskreis gegen Internetsperren und Zensur (AK Zensur)