Sunday, April 12, 2015 - 22:49

IT-Spackeria: Wenn Unfähige TKÜ Maßnahmen definieren.

Das Gesetzt sieht - ab einer bestimmten Kundenzahl - z.B. bei Internet- und Mail-Providern Maßnahmen vor, die bereitgestellt werden müssen, um TKÜ Maßnahmen durchzusetzen. Dieses Prinzip soll demnächst auch unter ähnlichen Kriterien auf Hotspot Anbieter erweitert werden. Z.B. das Hotspot Netz der Telekom.

Vorweg erstmal eine Klarstellung. Bei diesen Maßnahmen handelt es sich nicht um Maßnahmen im Bereich einer Vorratsdatenspeicherung. Derartige Überwachungen im Bereich der Quellen-TKÜ erfordern eine richterliche Genehmigung und zielen auf einzelne Verdächtige. Im Kontext der Verordnung werden Anbieter dazu genötigt bestimmte Schnittstellen bereitzuhalten und/oder Maßnahmen zu ergreifen, die eine Überwachung ermöglichen.

Die Bundesnetzagentur hat in diesem Kontext kürzlich ein Rundschreiben verschickt und Anbieter daran erinnert. In dem Schreiben findet man einen ausgesprochen interessanten Aspekt dieser Überwachung.

In dem Schreiben im Auftrag der Bundesnetzagentur heißt es

Sollte keine Nutzeridentifizierung eingesetzt werden, gehe ich davon aus, dass für die technische Realisierung des Internetzugangs die MAC-Adresse des Endgerätes verwendet wird und die Überwachung auf dieser Grundlage umgesetzt werden kann.

Sollte also der Nutzer nicht identifizierbar sein - weil der Dienst Nutzer als solche z.B. nicht kennt - solle die MAC-Adresse als Kriterium herangezogen werden.

MAC-Adresse wird umgangssprachlich gerne als Hardware-Adresse übersetzt, was wahrscheinlich irgendwie den Eindruck erweckt, dass es sich dabei um irgendwas Unveränderbares handeln würde.

MAC-Adressen sind Geräten zugeordnet, die bestimmte Netzwerkschnittstellen haben. Sie ist sowas ähnliches wie eine fest zugeordnete IP Adresse für eine andere Ebene der Netzwerkkommunikation. Die Hersteller vergeben sie aus den ihnen zugeordneten Blöcken jedem ausgelieferten Gerät. Ähnlich wie eine IP Adresse vom Provider zugeordnet wird.  Nur sind diese Adressen eben immer fixiert und sie sind global eindeutig.

Aus Sicht eines Laien bieten sie also durchaus eine Möglichkeit zur Verfolgung. Die MAC ist global eindeutig, sie ändert sich nicht und sie ist einem WLAN Hotspot bekannt. Will ich also wissen ob sich ein Telefon, das einem Verdächtigen zugeordnet ist, bspw. in einem T-Kom Hotspot befindet, dann ist die MAC eine einfache Lösung ... oder so könnte man als Laie meinen.

Eine MAC Adresse ist nicht zur Authentifizierung gedacht sondern zur Adressierung. Sie ist beliebig änderbar und solange es nicht zu Kollisionen kommt ist eine so gut wie die andere. Selbst wenn man in einem unrealistisch großen Hotspot eine MAC generiert, die garantiert vergeben ist, ist die Wahrscheinlichkeit einer Kollision realistisch nicht wirklich vorhanden, da der Adressraum mit aktuell über 250 Milliarden vergebenen Adressen etwas größer ist. Nimmt man alle möglichen Adressen als Grundlage ist eine Kollision nochmal deutlich unwahrscheinlicher.

Apple nutzt fake MAC-Adressen für Netzwerk Scans. Ist ein iOS8 Gerät nicht eingebucht sondern sucht nur nach Netzwerken nutzt es dafür nicht die tatsächlich vergebene Adresse sondern eine zufällig generierte. Der Hintergrund hat hier durchaus was mit dieser Laienschau zu tun. Nutzt ein Gerät die tatsächliche MAC-Adresse ist eine Überwachung eben möglich. Der Hintergrund bei Apple ist angeblich der, dass einige Anbieter von Irgendwas wohl regional recht aggressive Mittel einsetzen, um Nutzer zu tracken. Derartig unerwünschte - und vermutlich auch fragwürdig legale - Überwachungsmaßnahmen kann man damit recht elegant aushebeln. Man zeichnet dann eben nur BS auf.

Das kann aber nicht nur Apple. Ich habe gelegentlich den Eindruck, dass die hiesigen Strafverfolgungsbehörden glauben Kriminelle - insb. im Bereich der organisierten Kriminalität - wären hochgradig dämlich und unfähig. Man sollte nicht von sich auf andere schließen. Eine MAC zu ändern ist ein Kinderspiel.  Die Geräte wo das nicht funktioniert sind nur in homöopathischen Dosen vorhanden. Beim Rest ist es lediglich eine Frage ob man dazu auf dem Gerät berechtigt ist.

Gesetzliche Maßnahmen müssen bekannt gegeben werden und es dürfte mehr als naiv sein, wenn man annimmt, dass es flächendeckend unbekannt ist, das es sowas wie eine Quellen-TKÜ gibt. Dasselbe gilt auch mit Blick auf die VDS. Auch der kann man sich entziehen, wenn man sein Verhalten entsprechend anpasst. Beide Maßnahmen belästigen und gefährden primär alle außer Schwerstkriminellen, für die, diese Maßnahmen eigentlich gedacht sind.

Im Kontext der MAC haben wir aber noch ein besonderes Schmankerl. Wenn ich die MAC unqualifiziert zur Quellen-TKÜ nutze, dann besteht eine recht hohe Wahrscheinlichkeit, dass ich die auch in die andere Richtung nutze. Z.B. wenn ich eine MAC Adresse habe, die in einem Kontext von einem Verbrechen aufgezeichnet wurde und später dazu ein passendes Gerät finde.

Ich habe schon in mehreren Artikeln zur TKÜ und zur VDS geschrieben, dass sich die Ermittlungsbehörden mit durchaus einigen Maßnahmen auf sehr dünnem Eis bewegen. Mit dieser reiht sich eine weitere Maßnahme in diese Riege ein. Wenn ich die Technik nicht verstehe und darüber dann falsche Schlüsse ziehe werde ich eben nicht, wie man Neudeutsch so schön sagt ... enabled sondern behindert. Die Technik verschafft mir keine Einblicke sondern führt auf eine falsche Fährte auf der ich dann in einer Sackgasse lande. Das ist hier ganz besonders gefährlich, da die Beamten, die diese Maßnahmen später anwenden eben nur Anwender sind. Es ist schon reichlich unwahrscheinlich, dass sie über ungesundes Halbwissen verfügen.

Wen will man denn mit dieser Maßnahme verfolgen? Ladendiebe?

Pickelgesichtige Möchtegern-Hacker ändern ihre MAC und halten sich dann für James Bond.

Wer auf so eine Idee kommt hat von der Theorie nicht die Spur einer Ahnung und hat auch überhaupt kein Verständnis für die Umsetzung. Wenn ein 14 Jähriger, der sein Handy nach Anleitung rooten kann seine MAC ändern kann ist das für eine Quellen-TKÜ nicht mal erwähnenswert.

Was passiert denn bitte, wenn der Gutachter der Gegenseite mit der MAC des Richters im WLAN des Gerichts eingebucht ist, während der Staatsanwalt versucht zu erklären wie man das denn jetzt genau nachgewiesen hat? Das Wort vernichtend trifft es wohl recht passend.

Dass man bei der Bundesnetzagentur - oder wer auch immer diese grandiose Idee hatte - auf sowas kommt zeigt Abgründe, die gefährlich sind. Bei der VDS haben wir exakt dasselbe Problem.

Irgendwelche Vollidioten, die nicht mal zum Kaffee holen taugen, entwickeln technische Vorgaben, die dann wenig überraschend nicht funktionieren werden. Das ist peinlich aber wäre nicht wirklich ein Problem. Das Problem ist, dass sie mit ihrer Inkompetenz den Rest gefährden.

Ich hab dafür gestern einen wunderschönen Begriff gelesen. IT-Spackeria. Jeder weiß - oder sollte es zumindest wissen - , dass Unfähige in neuralgischen Positionen gefährlich sind. Wenn in einem AKW Alarm ausgelöst wird ist es ungünstig, wenn die Belegschaft glaubt es klingelt zur Mittagspause.

Wer glaubt bei IT wäre das nicht so dramatisch sollte sich mal die Frage stellen wer da evtl. für die Steuerung verantwortlich sein könnte.

Ich hab mal irgendwo geschrieben, dass nicht jeder Experte sein muss. Aber es muss eben einen geben, der die Verantwortung für sowas trägt und der muss das sein. Etwas, das in diesem Fall ganz offensichtlich nicht der Fall ist, denn sonst wäre diese Idee als Lachnummer abmoderiert worden. Woanders wird man für so eine Idee wegen selbsterklärter Unfähigkeit gefeuert.

Die Maßnahme ist lediglich eine Belästigung ohne Funktion. Es ist dasselbe als wenn Hotels ihre Kunden erfassen, dabei aber nichts kontrollieren müssten. Ich muss nur angeben wer ich bin. Meinen Ausweis oder irgendein anderes qualifiziertes Dokument muss ich nicht vorlegen. Unter welchem Namen steigt Al Capone dann wohl im Hotel ab?

Der Witz an dieser Lachnummer ist nicht nur, dass die Maßnahme für Kriminelle leicht zu umgehen ist. Seine MAC gelegentlich mal zu wechseln ist alles andere als eine sinnlose Maßnahme für alle, die meinen, dass sie darüber getrackt werden, oder in Regionen leben, wo das tatsächlich passiert. Apple macht das nicht zum Spaß.

Und wenn man über Scans hinaus denkt wäre es möglich - und wahrscheinlich mehr als das -  dass einige Unternehmen mit anonymer WLAN Hotspot Nutzung sowas auch tun. Möchte man denen in die Suppe spucken ändert man eben die MAC.

Entsprechend ist es nicht mal zwingend nötig sich explizit vor einer Quellen-TKÜ zu schützen. Man ist schon geschützt wenn man seine Privatsphäre schätzt und bspw. McDonalds nicht über den Weg traut. Das ist eine erstklassige Voraussetzung für eine qualifizierte Quellen-TKÜ.