winnis weblog

“Skin or Die” (1998) sowie Skinhead Attitude (2003) sind vielen ja bereits ein Begriff, sie geben einen tiefen Einblick in die Rechte Szene, Skinhead Attitude gar in eine Szene die viel zu oft vollkommen falsch eingeschätzt wird. Ich kann mich noch gut daran erinnern, wie meine Mutter durch diesen Film erfahren hat, dass Skinheads nicht zwingend rechts sein müssen und sie es kaum glauben wollte.

Nun hat Daniel Schweizer einen weiteren Film gedreht. White Terror. Der kam wie ich erfahren habe vorgestern auf Arte. Wenn mir jemand einen Mitschnitt hat würde ich mich freuen, ansonsten muss ich mich eben vorerst mit dem Trailer begnügen:

Ich werde morgen meine Hausarbeit abschicken, also ists Zeit sie zu veröffentlichen. Für alle, die noch nicht wissen, worums geht hier ein kleiner Abriss, über die 13 Seiten mit dem Titel “Panoptikum und Disziplinargesellschaft, Videoüberwachung des öffentlichen Raums in England“:

Kontext
Videoüberwachung wird häufig mit dem Bild des Panoptikums verglichen, einem Gefängnis, das der Brite Jeremy Bentham vor über 200 Jahren entwarf. Dieses Gefängnis war so gebaut, dass die Wärter jeder Zeit die Gefangenen beobachten konnten, die Gefangenen jedoch nie wussten, wann sie beobachtet werden. Dies führt zu einem Überwachungdruck, der die Insassen dazu bringt, sich immer konform zu verhalten, auch wenn sie gerade nicht überwacht werden. In den 1970er Jahren Griff Michel Foucault dieses Modell wieder auf und übertrug es auf die Gesellschaft der Moderne. Diese Gesellschaft, so Foucault ist davon geprägt, sich ständig selbst zu disziplinieren, zum Zwecke des Produktivitätsgewinns. Inbegriff für diese Disziplinargesellschaft ist für Foucault das Gefängnis, das zu dieser Zeit die bestimmende Form der Bestrafung wurde, das Panoptikum ist für ihn die Utopie der perfekten Einsperrung. Es vereinigt Dressur-, Kontroll- und Überwachungsmechanismen in einem.

Worum es geht
In der Arbeit habe ich versucht darzustellen, dass CCTV eine Form der Disziplinierung und damit der Machtausübung ist. Die Überwachung von öffentlichen Räumen zielt darauf ab, eine bestimmte Vorstellung von Konformität durchzusetzen, eine Abweichung wird sanktioniert. Durch die permanente Überwachung mit Videokameras wirkt der Überwachungsdruck auf alle Menschen, die sich im öffentlichen Bereich aufhalten und verlangt von ihnen, sich dem Konformitätsmustern anzupassen. Letztlich stellt sich in meinen Augen die Frage, in was für einer Gesellschaft wir leben wollen, was für einen öffentlichen Raum wir haben wollen. Wollen wir einen Straßen, die vom bunten Treiben geprägt sind, oder wollen wir, dass nur noch unsere eigenen Vier Wände ein Ort sind, wo wirklich leben statt findet.

Das ist meine erste Hausarbeit an der Uni, seit also nicht zu kritisch. Wer sich schön länger mit Videoüberwachung beschäftigt hat, für den wird vermutlich nur im “Theorieteil” neues zu finden sein, wo ich auf Foucaults Thesen eingehe. Ich hoffe dennoch, dass die Arbeit gut ankommt. Ich freue mich auf Feedback, egal ob hier als Comment, per Mail oder für die, die mich persönlich kennen in einem netten Gespräch. Viel Spass beim lesen.

Gestern fand in Bundestag in Berlin ein Fachgespräch der Grünen mit dem Titel “Bürgerrechtsschutz im digitalen Zeitalter” statt. Dabei waren unter anderem unser BKA-Chef Ziercke, der seine Werbetour für den Bundestrojaner fortsetzte, aber auch starbug und Constanze Kurz vom CCC. Zusammenfassungen gibts bei netzpolitik und heise. Wieder mal ein paar Gedanken dazu von mir:

Ich teile die Einschätzungen von starbug, Constanze und Andreas Pfitzmann, Informatikprofessor an der TU Dresden, dass es sich bei dem Bundestrojaner oder wie auch immer man die eingesetzte Software nennen mag um eine nicht zu kontrollierende Software handelt. Pfitzmann ging so weit, dass er sich extremst verwundert darüber zeigen würde, wenn die Kenntnisse beim BKA die in der Forschung übersteigen würden. Das bezog er auf die Programmierung eines universellen Trojanischen Pferdes. Er meinte, so etwas könne nur jemand planen, der keinen blassen Schimmer von Informatik habe, Ziercke “konterte”, er sage nur, was sein Mitarbeiter aufschreibe. Klasse argument, das meinte Pfitzmann auch und forderte Ziercke auf den entsprechenden Mitarbeiter zu einer runder Informatiker zu schicken um sich den Spott abzuholen. Mal im Ernst, das ist vollkommener Blödsinn was Ziercke da von sich gibt und er hat offensichtlich keine Ahnung worüber er eigentlich Spricht. Im Raum stehen bleibt die in meinen Augen richtige Einschätzung, dass das Schreiben von “fehlerfreier Software extrem schwierig” ist und das schicken von “fehlerfreier Software in eine ungenaue [unbekannte] Umgebung fast unmöglich”.

Markus Mitschrift auf netzpolitik.org gibt zeigt aber noch einige weitere Interessante Punkte auf, wo sich Ziercke wohl total verrannt hat. Er begann seinen Vortrag wohl mit dem Gruselkabinett der Terrorgeschichte, also mit einer Aufzählung der Terroranschläge der vergangenen Jahre. Ziercke macht also wieder mal einen auf Terrorhysterie. Neben dem Terrorismus gibt es für ihn aber noch weitere große Bedrohungen: Phishing, Botnetze, Kinderpornographie, Rechtsextremismus. Für ihn ist die Gefährdung der Privatssphäre nicht so gravierend, man könne ja gezielt nach Schlüsselworten suchen und müsse nicht 300 GB ans BKA schicken. Das ist doch mal ein richtig zukunftsträchtiger Plan. Das passt total in die Realität. Die Rückfrage von Markus, Schlüsselworte könnten ja beliebig ausgetauscht werden, wurde nicht beantwortet. Also auch ein Schuss in den Ofen. Wenn “die Bombe” dann als Schlüsselwort zu “meinem Schatz” wird, dann wars das also mit Privatssphäre.

Dann kam aber der absolute Hit. Der Quellcode des Verfahrens könnte ja beim Richter hinterlegt werden und auch der CCC könne es ja hinterher überprüfen. Ich gehe mal davon aus, dass er das mit mit einem NDA-Knebelvertrag verbunden sieht. Also das schießt den Vogel jetzt wirklich ab. Wie stellt der Mann sich das vor? Soll jeder Jurist 6 Semester Informatik studieren um zu erfahren was da vor ihm liegt? Dann kann er vermutlich ansatzweise nachvollziehen, wo in dem Code vielleicht ein Fehler zu finden ist, wo die Privatsspähre aufs übelste mit den Füßen getreten wird etc. Das ist nun wirklich der Abschuss. Die Frage wie dem Richter das ganze vorgelegt werden soll tauchte natürlich auch auf. Auf CD? In Akten? Als Demotape?

Aber Ziercke gibt sich weiterhin Mühe uns alle zu beruhigen:

“Die Software, die wir nutzen wollen, ist keine Schadsoftware, kein Bundestrojaner, nein, die haben eine Steuerungskomponente, um sie auszuschalten”.

Oh, eine Steuerungskomponente. Schöne Idee, das verursacht zwar erstmal bissel mehr Code, aber immhin sind sie nicht auf die Idee gekommen einen vollautomatischen Trojaner zu schreiben, der alle Daten sammelt und abschickt. Nein, man kann ihn nach meiner Lesart wohl von außen deaktivieren und so wie es den weiteren Ausführungen zu entnehmen ist mit einem bestimmten Zeitfenster versehen, damit er dann wieder anfängt zu funken und auf Anfragen von außen zu reagieren. Nun. Ist das ein guter Plan? Klingt schön, klingt sicher, klingt überzeugend. Fast.

Wer kann das ding ausschalten? Wer stellt sicher, dass der Trojaner nur vom BKA gesteuert werden kann? Klar kann man da viel machen, aber man kann auch mit reverse-engineering viel machen. Das Teil wird imho verdammt aufwendig und verdammt groß, wenn man es mit Crypto, Fingerprints usw. versieht, damit es _nur_ vom BKA gesteuert werden kann. Das bedeutet aber auch wiederum, dass es noch schwieriger wird, den einen, den ultimativen Trojaner zu erschaffen. Nun gut. Aber es verspricht lustig zu werden, wenn das Ding eine API besitzt, um mit der Außenwelt zu kommunizieren und Befehle entgegen zu nehmen. Damit könnten wir noch richtig viel Freude haben, happy hacking!

Aber Ziercke wird nicht Müde, zu betonen, es handle sich nicht um einen Trojaner und meint “Das BKA wird keine Schadsoftware in Umlauf bringen”. WOW. Die machen also nichts kaputt außer meiner Privatssphäre? Toll. Nungut, die meisten Menschen da draußen glauben eben, Trojaner hätten als Ziel, den Computer lahm zu legen mit eben einer Schadensroutine. Das ist aber ein Nebenkriegsschauplatz. Das sind oftmals Viren und Würmer, Trojaner haben andere Ziele. Ein Trojaner hat ein Ziel, dass er erfüllen soll, sei es das ausspähen von Kontoinformationen, die Schaffung eines Botnetzes, [Industrie-]Spionage oder eben ganz normale Überwachung, wie vom BKA geplant. Wenn ein Trojaner also eine Schadensroutine hat, dann macht er sich sein gerade erobertes Terrain wieder zu nichte und er kann nichts erreichen. Trojaner haben keine Schadensroutine, zumindest keine, die den Betrieb des Rechners stören soll.

Unser BKA-Chef hat das auf jeden Fall noch nicht verstanden. Der gab heute der taz ein Interview, in welchem wieder einmal klar wurde, wie wenig Sachkenntnis er aufweist wenn es um den Bundestrojaner geht.

taz: Herr Ziercke, Sie diskutieren heute bei einem Gespräch der Grünen mit dem Chaos Computer Club über die heimliche Online-Durchsuchung von Computern. Ein Treffen der besten Hacker der Republik?

Jörg Ziercke: Eine polizeiliche Online-Durchsuchung ist kein Hacking. Hacker nutzen Sicherheitslücken aus, um Computersysteme anzugreifen. Hierbei gehen sie üblicherweise ziellos vor, das heißt tausende PC werden gleichzeitig attackiert in der Hoffnung, dass zumindest einige der Zielsysteme noch nicht über die neuesten Sicherheits-Updates verfügen. Die Online-Durchsuchung ist dagegen ein polizeiliches Werkzeug, das im Einzelfall gegen tatverdächtige
Schwerstkriminelle zum Einsatz kommen kann - kontrolliert und hochprofessionell.

Das muss kommentiert werden. Ich gehe dabei von folgender Definition aus (wobei diese Definition strittig ist, weiter infos vim CCC Koeln):

Ein Hacker ist eine Person, die sich daran erfreut, ein tiefgreifendes Verständnis der internen Arbeitsweise eines technischen Systems zu erlangen. Als Beispiel kann er ein Computerbenutzer sein, der sich mit dem Erstellen und Verändern von Computersoftware oder –hardware beschäftigt und dabei ein überdurchschnittliches Fachwissen
aufweist oder eine Person, die mit ihren Fachkenntnissen eine Technologie beliebiger Art außerhalb ihrer eigentlichen Zweckbestimmung benutzt. Ein Hacker identifiziert sich mit seiner Tätigkeit besonders und genießt die intellektuelle Herausforderung, auf kreative Weise Grenzen zu überwinden oder zu umgehen. (wikipedia)

1. Online-Durchsuchung ohne Hacking (ausgehend von der o.g. Definition) ist nicht möglich.
2. Ein Hacker nützt keine Sicherheitslücken aus, um Computersysteme anzugreifen, das würde der Hackerethik widersprechen.
3. Was Ziercke meint ist demnach ein Cracker.
4. Er scheint das, was er als Hacken bezeichnet als “ausnützen bereits gestopfter Löcher” bei inkompetenten Usern zu verstehen. Er scheint dabei noch nie etwas von einem 0-Day Exploit gehört zu haben oder jemandem zuzutrauen, selbst auf neue Ideen zu kommen. Vom BKA ist demnach vermutlich auch kein Bugreport zu erwarten wenn sie einen Exploit finden, ein Loch ists ja der Logik nach erst wenns gestopft ist.
5. Eine hochprofessionale Angelegenheit, die sich von dem o.g. abhebt also? Ziercke nutzt hier die negative Besetzung des Wortes Hacken in den Köpfen der Menschen um das Bild zu zeichnen, das BKA würde gutes tun. Meiner Meinung nach auf Kosten der Hacker.

Durch sein Unverständnis zeichnet er ein Bild, das wirklich grauenhaft ist. Er nutzt den Begriff Hacker falsch, besetzt ihn mit allem negativen und hebt sich dann davon ab. Grauenvoll sowas. Kann den Mann da heute mal jemand drauf hinweisen?

Dann kommt noch ein Schmuckstück in dem Interview, das darauf hinweisen könnte, dass unser BKA-Chef wohl auch nicht so ganz weiß, worums geht:

taz: Wie wird die Online-Durchsuchung eines Computers dann technisch ablaufen?

Jörg Ziercke: Das kann ich natürlich nicht öffentlich erläutern.

Ganz großes Kino würde ich sagen. Via netzpolitik.org

Mittlerweile macht sich sogar heise online über Ziercke den Großen lustig:

In dem Interview, das sich stellenweise wie eine Realsatire liest, behauptet der BKA-Chef, dass sich nur mit der Online-Durchsuchung die “Schlüssel” finden lassen, mit denen sich die Online-Verstecke im World Wide Web öffnen lassen…

Via surveillance-sudies: “Who is watching?”, ein Report zur Videoüberwachung in New York von der New York Civil Liberties Union mit dem weiteren Titel “Video Camera Surveillance in New York City and the Need of Public Oversight”.

In testimony before the New York City Council in 2006, the commanding officer of the police department’s Technical Assistance Response Unit claimed that the department’s Video Interactive Patrol Enhancement Response (VIPER) program offered proof that cameras deter crime. The numbers the officer cited look very convincing.

The VIPER program, a collaboration between the NYPD and the New York City Housing Authority, operates 3,100 monitored cameras in fifteen public housing buildings. The cameras were installed in 1997; during the following year, the officer asserted, the monitored buildings experienced 36 percent less crime on average than in the year before installation.

But close examination shows that these numbers do not prove what the NYPD would like them to prove. In fact, crime decreased steadily throughout the city during the decade of the ’90s, when these cameras were installed. The expansion of the police force and the NYPD’s introduction of Compstat, a computer system that facilitated more effective allocation of police resources, are widely credited with contributing to a decline in the city’s crime rate—from approximately 5,000 crimes per 100,000 residents in 1994 to approximately 3,000 per 100,000 residents in 2000.8 Thus the decrease in crime in the VIPER buildings, social scientists say, was to be expected—cameras or no cameras.