Derzeit herrscht in den Medien und auch sonst so helle Aufregung darüber, dass die polizei plant, auf den Rechnern von verdächtigen personen einzubrechen und herumzuschnüffeln.

Wie weit es um die technische Machbarkeit eines derartigen Zugriffs bestellt ist, hat will Burkhard Schröder in seinem Artikel “Verdeckter Zugriff auf Festplatten” recherchiert haben:

Wenn man jemandem etwas “zuspielen” will, geht das nur per E-Mail. Der Verdächtige muss also das Betriebssystem Windows besitzen, sich um die Authentizität des Absenders nicht kümmern und sorglos Attachments öffnen. Er muss – schlicht formuliert – ein Dümmster Anzunehmender User sein. Wenn der Generalbundesanwalt so online Computer durchsuchen will, werden sich potentielle Straftäter vermutlich totlachen oder gleich auf Linux umsteigen, falls das noch nicht geschehen ist.

Aber: Auch wenn das erst einmal sehr beruhigend klingt, heisst das noch lange nicht, dass ihr nicht trotzdem eure E-Mails und Chats verschlüsseln solltet. Denn genau die kann man sehr gut mitlesen – und das ohne bei euch einzubrechen.

(via Weltenweiser)

[Nachtrag]: Heise schreibt in dem aktuellen Artikel “Schäuble: Trojaner sollen auch private Tagebücher durchsuchen“:

In einem Interview mit der taz hat Bundesinnenminister Wolfgang Schäuble (CDU) bekräftigt, dass es bei der geplanten verdeckten Online-Durchsuchung keine privaten Bereich auf der Computerfestplatte geben kann, der im Sinne des “Kernbereichs privater Lebensführung” geschützt ist.

Die Begründung: Da Terroristen clever genug sind, ihre gefährlichen Sachen in Liebesbriefen zu verstecken, darf es auch keinen Schutz der privatsphäre geben. Herr Schäuble glaubt außerdem ungefähr dasselbe, wie Herr Schröder in seinem Artikel schreibt:

Er selbst habe jedoch keine Angst vor Spionage-Software, so Schäuble im Interview: “Nein, ich öffne grundsätzlich keine Anhänge von E-Mails, die ich nicht genau einschätzen kann. Außerdem bin ich anständig, mir muss das BKA keine Trojaner schicken.”

Nach ein paar Denkanstößen, die ich gestern bekommen habe, ist es doch weit einfacher, jemandem einen Trojaner unterzujubeln, als ich am Anfang dieses Artikels noch geglaubt habe. Mit anderen Worten: Wenn euch jemand ans virtuelle Leder will, seid ihr dran. In Kürze wird es dazu hier noch ein paar Details geben.

[Nachtrag2]: rpk vervollständigt die Schreckensvision:

dies gilt aber nicht mehr, falls der angreifer einen teil der infrastuktur zwischen benutzer und server kontrollieren kann, vorzugsweise dicht am user. dann kann er den datenstrom on the fly austauschen. geschieht dies z.b. in der vermittlungsstelle, kann einfach das erste bild das geladen wird, egal von welchem server, entsprechend manipuliert werden. das bild wird dann zwar wahrscheinlich nicht mehr korrekt angezeigt, und vielleicht schmiert sogar der browser ab, aber wer nimmt ein brokenmedia-icon im browser schon zum anlaß sein os neu zu installieren…?

Das gesamte Szenario gibt es in den Kommentaren. Die spannende Frage ist ja nun: Wie können wir uns schützen? Oder: Lässt sich das noch verhindern? Es wurde ja schon angekündigt ein passendes Gesetz zu schaffen, falls das BVerfG den Einsatz solcher Sachen verbietet.

Einziger Schutz scheint hier eine verschlüsselte Kommunikation. Wobei sich dabei wieder die Frage stellt, wie sicher man ist, wenn der Lauscher Zugriff auf die Infrastruktur hat. Gefälschte Zertifikate sind doch wahrscheinlich machbar, oder? Also nicht im Sinne von “Ein echtes Zertifikat austauschen”, sondern eher im Sinne von “Du willst ein Zertifikat? Klar, hier ist eins, von den passenden Stellen unterschrieben.”