Das nenn‘ ich mal eine verdammt schnelle Reaktion:

Gestern erst hab ich über die Idee gelästert, PCs von Verdächtigen durch Einschleusen von Trojanischen Pferden oder sonstiger Spionagetools durchsuchen zu wollen und heute schon verbietet das BGH diese Praxis. Wow, das sollte ich mal mit anderen Themen ausprobieren 😉

Nein, ist alles nicht wahr. Das wurde bereits am 25.11. entschieden und offenbar erst heute wirklich veröffentlicht. Wär auch zu schön, wenn mein popeliges Blog hier derartige Macht hätte. Dann müsste ich nicht mehr über Britney Spears ohne Höschen, Paris Hilton, Jennifer Lopez, Sexfilmchen oder Youporn.com schreiben, um die Leser anzulocken. 😀

Vor ein paar Wochen hatte ich bereits irgendwo darüber gelesen: Googlemail gibt es als Java-Applet für alle Java-tauglichen Handys. Hatte es mir direkt installiert, aber die Verbindung klappte noch nicht, wahrscheinlich war die Verbindung zu diesem Zeitpunkt nur aus amerikanischen Mobilfunknetzen möglich, keine Ahnung…

Seit ein paar Tagen funktioniert es allerdings auch hier in Deutschland und ich muss sagen: Ziemlich praktisch, wenn man mal eben fix unterwegs die Mails checken will. Klar, es ist nicht wirklich notwendig, aber nett ist es trotzdem irgendwie. Natürlich gibt es keine Benachrichtigung über neue Mails, aber sowas brauche ich auch nicht. Ist für mich eben tatsächlich nur als Notlösung, wenn ich es tatsächlich mal benötige.

Wie kann man sich den Java-Client nun installieren? Ganz einfach: Mit dem Handy die URL gmail.com/app aufrufen und den Download bestätigen, gut 100kB später ist der Client installiert und es kann losgehen.

Vorab das: natürlich meine ich trojanische PFERDE und nicht Trojaner, der (historische) Unterschied ist mir durchaus bekannt und bewusst, aber die Headlines sollen ja kurz, prägnant und knackig sein, gell? 😉

Aber zur Sache: Irgendwie finde ich die Pläne unserer Sicherheitsorgane ja schon ein klein wenig süß und naiv. Da lese ich doch gerade unter tagesschau.de:

Das Bundeskriminalamt arbeitet bereits an einem Projekt, das verschleierte Online-Durchsuchungen ermöglichen könnte, wie neulich bekannt wurde. Wegen einer rechtlichen Bewertungsstreites innerhalb der Bundesregierung liegt das Projekt allerdings vorerst auf Eis. Mit Online-Durchsuchungen würden die staatlichen Fahnder im einfachsten Fall auf klassische Weise per E-Mail digitale trojanische Pferde und anderer Schadsoftware auf den Ziel-PC einschleusen. Möglich wäre aber auch, dass die Zielperson zum Ansurfen einer unverdächtigen Website gelockt wird, von wo sich unbemerkt im Hintergrund das Spionageprogramm installiert. In hartnäckigen Fällen könnten die BKA-Beamten den PC durch einen gezielten Internet-Angriff über undokumentierte Schwachstellen des Betriebssystems und der Browser-Software „aufhebeln“.

Mal ganz abgesehen von der Tatsache, dass nun mal nicht alle Welt Windows verwendet – wer öffnet heutzutage noch vollkommen unbedarft Anhänge einer Mail? Von einigen Immer-DAUs mal abgesehen. Natürlich, man könnte Schwachstellen in Mailprogrammen ausnutzen, aber da stünde man schon vor einer weitaus größeren Vielfalt. Von installierten Virenscanner mal abgesehen. Über kurz oder lang würde sicherlich jeder Scanner so etwas erkennen und sei es nur über die Heuristik. Ich musste auch grad schmunzeln bei dem Gedanken, es könnten dann Mails verschickt werden, in denen nette Links zu den Download-Versionen für die unterschiedlichen Betriebssysteme enthalten sind 😉 „Klicken Sie hier für Linux…“
Natürlich verbreiten sich heutzutage nach wie vor Viren und Trojanische Pferde, aber gezielt jemanden dazu zu bringen, sich so etwas einzufangen? Schwer vorstellbar.

Zudem, ihr tüchtigen Internet-Fahnder: Wer heutzutage etwas zu verbergen hat, hat auch genügend Möglichkeiten, es tatsächlich zu verbergen. Und ist auch geübt darin, ebenso im Umgang mit dem Internet. Zu glauben, auf diese Weise wirklichen Kriminellen (oder den Terroristen, für die das Internet ja laut Herrn Schäuble das Trainingscamp ist) das Handwerk legen zu können, ist in meinen Augen schon ein wenig mehr als nur naiv.

Die einzigen, die man mit dieser Methode fangen kann sind die armen Wichte, die sich keine Gedanken über die Sicherheit ihres PCs machen und auf deren Festplatten diverse MP3-Files und Videofilmchen kreiseln. Aber vielleicht ist das, wie auch für die Vorratsdatenspeicherung, ja der eigentliche, wahre Zweck dieser Ideen…

Durch die Integration eines neue Spamfilters durch den Hoster wurden bei Blogg.de sämtliche Kommentare aller Blogs gelöscht. Und um den GAU auch noch perfekt zu machen: die Backups für die Systeme erwiesen sich bei Wiederherstellunsversuchen als unbrauchbar. Das ist natürlich eine echte Katastrophe – in erster Linie für den Hoster.

Den Verlust von Kommentaren in einem Blog kann man sicherlich verschmerzen, auch wenn es durchaus weh tut und für den einzelnen bestimmt verdammt ärgerlich ist. Aber als Hoster eingestehen zu müssen, dass man offenbar kein vernünftiges Change Management hat und zudem die Backup-Strategien nicht funktionieren – das ist schon eine Katastrophe. So ein Vorfall beschädigt das Vertrauen in den Hoster, und gerade Vertrauen ist eine enorm wichtige Ressource für einen Dienstleister. Aber all zu leicht verlässt man sich eben einfach auf eine scheinbar funktionierende Maßnahme und vergisst, auch ein absolutes GAU-Szenario einmal zu testen und durchzuspielen.

Aber gut, es ist passiert und nicht mehr zu ändern. Es hätten wesentlich wichtigere Daten sein können und es hätte wesentlich schlimmer kommen können. Das ist die Chance, sämtliche Backup und Recovery Strategien noch einmal zu überdenken und zu testen.

Ich zieh dann mal eben wieder ein Backup meiner DB… 😉