(B) Datenklau im Kriminalgericht Moabit?

atfe

Bei einer Prozessbeobachtung in Berlin anlässlich eines Prozesses gegen einen AfD-Kritiker kam es vermutlich zu einem versuchten Datenklau im Amtsgericht Moabit. Dabei musste eine den Gerichtsprozess besuchenden Personen an der Eingangskontrolle ihren Laptop abgeben. Bei der Wiederaushändigung nach dem Ende der Verhandlung wies der Rechner eindeutige Manipulationsspuren auf.


Gerichtsprozesse gegen AfD-KritikerInnen
Am Mittwoch dem 11.05.2016 fand der Auftakt einer Reihe von Prozessen wegen den No-AfD Protesten in Berlin am 07.11.2015 statt. Damals marschierten ca. 5000 (?) AfDler_innen vom Neptunbrunnen bis zum Hauptbahnhof quer durch Berlin-Mitte. Den weitgehend ungestörten Ablauf ermöglichte die Berliner Polizei, die die Gegenproteste in Hörweite und Blockadeversuche mit weiträumigen Abgitterungen, Faustschlägen, Pfefferspray und dutzende Festnahmen unterband. Gegen einige der Festgenommenen stehen nun Gerichtsprozesse an (hier ein halbwegs dhttps://linksunten.indymedia.org/en/node/158563 ">etaillierter Bericht zu den Ereignissen damals).

Rechner in Verwahrung
Das bereits am 11.05.2016 verhandelte Verfahren wegen angeblicher "Gefährlicher Körperverletzung" wurde in der Hauptverhandlung gegen Arbeitsstunden eingestellt (mehr Infos zum Prozess). Nach dem Prozess gingen der Angeklagte, andere Betroffene von Repression und Unterstützer_innen in einem Cafe an der Turmstraße noch einen Kaffee trinken. Dabei bemerkten Betroffene und deren Unterstützer_innen eine sie vermutlich belauschende Person. Wieder Zuhause, untersuchte eine beteiligte Person aufgrund eines mulmigen Gefühls ihren Laptop. Diesen hatte die Person vor der Verhandlung beim Betreten des Gerichtes beim Wachpersonal in Verwahrung geben müssen.

Oberflächliche Spuren
Bereits bei einer oberflächlichen Begutachtung viel auf, dass in fast allen Schraubenschächten der dort üblicherweise abgelagerte Staubflausch fehlte. Zudem zeigten die schwarz lackierten Schrauben frische blanke Werkspuren. In zwei Schraubenschächten war der Staub noch vorhanden. Die in diesen Schächten steckenden Schrauben sind unversehrt.

Spuren im Windoof-Ereignisprotokoll
Daraufhin schaute die betroffene Person in die Ereignisprotokolle des auf dem Rechner installierten Betriebssystems (Windows 8.1). Diese Ereignisprotokolle lassen sich in der Systemsteuerung einsehen und zeigen, was in der Vergangenheit mit dem Rechner so angestellt wurde. Aus den besagten Protokollen geht hervor, dass der Rechner in der Zeit, in welcher er in der Ablage der Eingangskontrolle seelenruhig hätte schlummern müssen, ein Hoch- und Runterfahrablauf protokolliert ist (genauere Analyse des Vorgangs siehe (-> hier <-). Zurzeit ist noch unsicher, was genau mit dem Laptop passiert ist, da dieser leider weder vollverschlüsselt noch ein Image der Festplatte von "davor" hatte. Daraufhin lud der Betrofffene die Detekt-Software herunter. Diese wird u.a. von Amnesty International empfohlen und durchsucht den Rechner nach Mustern, die von (Staats-)Trojanern hinterlassen werden (mehr Infos zu detect: https://resistsurveillance.org).

Mal wieder legal illegal scheißegal beim deutschen Staat
Was das Ganze zu bedeuten hat, ist den Betroffenen unklar: "Das liegt zum einem daran, das wir nicht genug Know-How haben, um den Vorgang tiefgehender auszuwerten". Darüber hinaus seien staatliche Organe eine Art Blackbox, die sich von Außen ungern in die Karten schauen lassen würden. Allerdings seien laut der Betroffenen mehrere Szenarien wahrscheinlich.

Wachtmeister*innen auf Bildersuche?
Das vermutlich harmloseste Szenario könnte sein, dass der ein oder die andere Wachtmeisterin einfach mal ausprobiert, ob die in Verwahrung gegebenen Rechner angehen, und obs da nicht was spannendes anzugucken gäbe. Dazu würde auch das Muster in den Windoof-Ereignisberichten passen. Was diese Theorie nicht erklärt, sind die Werkspuren auf der Rückseite an den Schrauben des Rechners.  

Dunkle Mächte am Start?
Die Werkspuren an der Rückseite legen nahe, das von den unbekannten Angreifer*innen mindestens versucht wurde, physisch an die Festplatten des Rechners zu gelangen. Auf diese Weise liese sich mit einer Festplatte alles Mögliche anstellen. Dies verlangt allerdings ein Know-How, was sicher nicht im Ausbildungscurriculum des ganz normalen Justizvollzugsdiensts vorkommt. Allerdings müsste ein*e professionelle Angreifer*in ziemlich doof sein, bei einem Angriff, der für Laien schwer feststellbar ist, nach etwa einer Stunde in der Mitte des fragwürdigen Zeitraums von etwa 2,5h zu riskieren, dass das Windoof-Ereignisprotokoll Spuren des Angriffs sichert. Das könnte natürlich auch ein "dummer" Fehler von Profis sein, die beim ersten Bootvorgang (Hochfahren) nicht die Taste (z.B. F11) für's Bootmenü bzw. BIOS gefunden haben. Diese Taste muss man aber finden, wenn man nicht Windows, sondern beispielsweise ein Linux-Livesystem von einem USB-Stick starten möchte. Dann wären Dunkle Mächte trotz Anfänger_innenfehlers auf "softem" Weg und nur schwer nachweisbar an die Inhalte auf der Festplatte gekommen. Warum sie dann noch physisch an die Festplatte wollten, bleibt trotzdem ungeklärt.

Politisches Interesse?
Das "Dunkle Mächte"-Szenario setzt zudem den Personaleinsatz eben jener dunkler Mächte von LKA und/oder eines Geheimdienstes voraus. Auch wenn viele Linke sich das anders vorstellen, ist das Personal und die Resourcen dieser kriminellen staatlichen Vereinigungen nicht unbegrenzt. Das bedeutet, dass diese Leute nicht einfach so irgendwo auftauchen und einfach irgendwelchen Leuten irgendwelche Rechner klauen (auch wenn viele Leute sich das so vorstellen...). Dafür, dass die Dunklen Mächte auftauchen und bei irgenwelchen Menschen irgendwelche Rechner anschauen, muss es im Verwaltungs-Apparat der jeweiligen Dunklen Macht eine entsprechende Entscheidung gegeben haben.

Paranoia-Aluhut-Verschwörungstheorie-Gerätsel?
Eine Entscheidung in einem Verwaltungsapparat setzt ein gewisses politisches Interesse voraus. Die betroffene Person kann sich aber beim besten paranoiden Willen nicht vorstellen, warum sie derart spannend sein sollte, das Dunkle Mächte einen gezielten Angriff auf sie versuchen sollten (...und auch die entsprechenden Personalressourcen für eine entsprechende Vor-Recherche und die notwendige Vorbereitung für einen gezielten Überfall auf ihren Rechner bereitstellen). Falls nun wer geneigt sein mag, das "Dunkle-Mächte"-Szenario für realistisch zu halten, bleibt offen, wer oder was das eigentliche Ziel des Angriffes gewesen sein könnte und was das entsprechende politische Interesse ausgelöst haben könnte (und warum die so doof sind, den Rechner noch kurz hoch und runter fahren und in den Schraubenschächten rumpopeln, ohne das Ding aufzukriegen (Ende des Paranoia-Aluhut-Verschwörungstheorie-Gerätsels)).
 
Paranoia-Scherzkekse?
Ein weiteres Szenario ist das "Scherzkeks-Szenario". Unter Scherzkeks-Akteuren könnte man sich z.B. die Schläger_innenbanden des Dezernats PMS (Politisch motivierte Straßenkriminalität) vorstellen. So ist es der PMS durchaus zuzutrauen, dass die einfach zu den Justizschläger_innen hingehen, die einzuschüchtern/ankumpeln und dann einfach mal den Anknopf drücken. Und wenn's kein Kennwort gibt, einfach mal gucken, wie weit sie so kommen, und was es da so zu finden gibt. Wenn's leider nur bis zum Windows-Sperrbildschirm geht, wieder den Ausknopf drücken und sich fett freuen, dass das Zeckenpack nen fetten Para-Anfall bekommt, sollten sie überhaupt darüber stolpern. In diesem Szenario wäre das mit den Schrauben dann als spontaner Geistesblitz zu interpretieren: "Du Heinz, gibt noch mal kurz den Schraubenzieher. Ich hab da noch ne Idee...(dumm übers ganze Gesicht grins)".

Vorläufiges Fazit
Welches der aufgezählten Szenarien auf die Realität zutrifft, oder ob es nicht alles es ganz anders war, lässt sich zumindest zum gegenwärtigen Zeitpunkt mangels Fachkenntnis von uns nicht abschließend beurteilen. Aber wie das hier dokumentierte Beispiel zeigt, greifen selbst staatliche Stellen, denen man das eigentlich nicht so richtig zutraut, anscheinend sogar bei relativ harmlosen Fällen (Einstellung im Gerichtsprozess) zu rabiaten Mitteln der Privatsphärenverletzung. Deshalb sei noch einmal deutlich gesagt, wie riskant es ist, sensible Datenträger (egal ob off- oder online) mit in staatliche Institutionen zu nehmen; insbsondere zu denen mit Eingangskontrollen. Das betrifft nicht nur Gerichte. Kontrollen, bei denen Computer zumindest temporär eingesackt werden, gibt es an Flughäfen, Landesparlamenten, dem Bundestag etc. (und für einige Fernverkehrszüge ist dies im Gespräch). Brisant wird dies u.a. dadurch, dass viele Menschen aus sozialen Bewegungen mit Abgeordneten kooperieren und z.B. vor dem Besuch von Abgeordnetenbüros oder Fraktionsräumen durch derartige Kontrollschranken müssen. 

Mehr Infos:

Screenshots der fraglichen Logs im Ereignisprotokoll:
http://atfe.blogsport.de/2016/06/05/die-sonderbaren-logs-in-den-ereignisprotokollen/

Wie checke ich an meinem PC die Ereignisprotokolle?
http://atfe.blogsport.de/2016/06/05/wie-schaue-ich-in-die-windoof-ereignisprotokolle/

Zeige Kommentare: ausgeklappt | moderiert

Rechner komplett verschlüsseln!!!DbD

da truecrypt nicht weiterentwickelt wird. TC ist immer noch besser als kein TC, alternative wäre https://veracrypt.codeplex.com/ oder das in ubuntu integrierte system.

und natürlich vernünftige paßwörter mit vielen sonderzeichen (aber kein leet-speak, das ist auch nicht mehr safe) etc.pp. und am besten weg von windoof- und apfel-betriebssystemen. und wenn ich meinen reiserechner schon irgendwo mit hin nehmen muß, wo neugieriges lumpenpack schnüffelgeil ist, dann hab ich das ding im abschließbaren aluköfferchen dabei. da können sie dann mal kurz reinschauen und dann schließ ich das ding ab und gebe es denen mit der anmerkung, daß ich das ensemble genauso wiederhaben will. und das vor zeugen. hat bis jetzt funktioniert. aber zuhause lassen ist schlauer. alt + f4 und der tag gehört dir.

 

kann nicht mal irgendeiner von unseren hackernerds sowas wie ne "backfirewall" basteln, die bei fremdeingriffen in festplatten mit fremdcomputern richtig fiese zerstörermalware jenseits von ddos-granaten erstmal unbemerkt mit etwas zeitverzögerung in die feindhardware einsickern läßt? wenns da mal n crowdfunding für gibt, dann schmeiß ich nen hunni mit rein...

Ich sehe in deinen Screenshots nur, dass auf die Sekunde genau 2 Stunden nach dem Versetzen in den Energiesparmodus, der Rechner diesen unterbricht, um in den Ruhezustand zu wechseln (aktuelle Sitzung wird auf die HDD geschrieben und der Rechner heruntergefahren), wirst halt 120min bei hybridem Standbymodus eingestellt haben. Und die Werkspuren ? Wenn ich deinen unverschlüsselten Rechner manipulieren wollte, wozu sollte ich ans Innenleben ? Total unnötig, das Buch ist doch bereits aufgeschlagen. Wirst ihn dir noch nie von unten angeschaut haben. Da du auch nichts über das Rechnermodell sagst: Bei älteren Rechnern die mit Windows 8.1 oder 10 laufen kommt es bei hybridem Standbymodus öfter mal zu Fehlern, das heißt, der Rechner schreibt zwar die Sitzung auf die Festplatte, schaltet sich aber nicht aus, sondern bootet neu und wechselt dann logischerweise irgendwann wieder in den Standbymodus.

 

Und Computerspezialisten bei den Bullen sind rar und teuer und werden nicht auf kleine Antifas angesetzt.

 

Lektion: Rechner verschlüsseln und gut, ob mit TC 7.1a oder was anderem ist wurscht. Truecrypt 7.1a aber nicht mit uefi.

Nicht ganz. Bitlocker eher nicht. TC 7.1a ist bis jetzt sicher. Selbst die Festplatte des "Maskenmanns" wurde bis heute nicht geknackt und da haben die Cops wohl alles aufgefahren, was sie so haben.

Um das zu testen, müsste man wohl den Rechner einfach nochmal irgendwo unter gleichen Bedingungen irgendwo in den StandbyModus versetzen und gucken ob er in deiner ausschließlichen Obhut (und nicht in den Fingern von Justiz oder Bullenarschlöchern) die gleichen oder ähnlichen Output ausgibt.

 

Ansonsten gilt: Bei Gericht nur Gegenstände zur Verwahrung lassen, die da unbedingt abgegeben werden müssen. Oder den Rechner vorm Abgeben so versiegeln oder absichern, dass eine Manipulation durch Staatsbla-Leute sicher erkannt werden kann.

Erst mit Smartphone auf die Demo, dann mit unverschlüsseltem(!!11!!1!) Rechner ins Gericht. Ist doch klar, dass man den abgeben muss. Und dann rumheulen, dass da jemand dran rumgespielt hätte. Mir fehlen die Worte.

Die Dreistigkeit über die Nummer auch noch n Artikel schreiben und Mitleid zu erwarten macht mich fassungslos. Hoffentlich geben dir die Gefährt_innen, die du (potentiell) dadurch gefährdet hast anständig Bescheid. Genauso gut kann ich voller Antifa-Logos allein nach Jameln fahren und hinterher rumheulen, dass ich verprügelt wurde.

Dieser Artikel hat Null Informationsgehelt. Allerhöchstens lernt man etwas über die Dummheit des Autors.

Kopf-->Tisch

Wer seinen Rechner freiwillig den Bullen in die Hand gibt, wird ihn, wie vorliegend, wohl eh nicht verschlüsseln, dennoch für alle anderen: VeraCrypt forkt TrueCrypt, ist kompatibel und in der Verschlüsselung verbessert.

es ist nicht auszuschließen das der Laptop physische untersucht geworden ist. es war im gerichtsgebau, also manche versuchen manchmal stahle argumente mitzunehmen.

Sach mal gehts? Rechner mit Windows ins Gericht nehmen, dann wundern und nun einen auf Datengruppe machen. Eure "Gruppenseite" macht einem richtig Angst. Ich hoffe die Genoss*innen die Ihr auf Eurer Seite erwähnt (und damit gefährdet) können sich an Euch erinnern und mit Euch ins Gespräch kommen und dringlichst warnen, dass Ihr mit dem Scheiss aufhört. Ihr scheint keine Ahnung zu haben was Ihr tut, also lasst es lieber erstmal.

 

1. Rechner problematik: Ja, das kann alles und nichts gewesen sein. Wenn Ihr manipulations Spuren vermutet, sucht Euch Spezialist*innen, die das untersuchen können. Forensisch habt Ihr alles falsch gemacht was geht. Einen unverschlüsselten Rechner benutzt Mensch weder für private, noch politische Arbeit. Schon gar nicht schleppe ich ein Telefon, ein Laptop, oder ein Notizbuch mit in eine Gerichtsverhandlung, wenn ich weiß das ich diese Gegenstände abgeben muss. Voll fail! Sorry, ist so. 

 

2. Eure "Gruppe": Ihr scheint irgendwas machen zu wollen. Entweder seit Ihr jetzt schon auf dem kieker (spätestens nach diesem Artikel), oder Ihr habt noch was vor. Im besten Fall wie ich das sehe Veranstaltungen. Gut, ladet Leute ein, macht Info Va's, kocht Vokü. Aber bitte nicht zu Technik-Themen referieren wenn Ihr keine Ahnung habt. Anscheint nicht, sonnst schleppt Ihr keine Windows uncryptet PC's in Justizgebäude.

 

3. Im besten Fall ist das ein sehr schlechter Fake und soll versuchen Menschen anzuziehen, die sich wie ihr ja auf eurem Blog schreibt, mit bestimmten Thematiken beschäftigen. Bogen drum machen Leute. Dort werden Kabel-brände auf eurer Gruppenseite als legetime Aktionsform erwähnt. Das klingt schon nach die zwei aus der Muppet-Show.

ist scheiße glaufen trozdem weitermachen und draus lernen!

 

Was sich immer lohnt ist sensible daten und infos über Tails einem livesystem https://de.wikipedia.org/wiki/Live-System welches sich von usb oder cd/dvd starten lässt und keine spuren auf eurem rechner hinterlässt. https://tails.boum.org/index.de.html

es enthält tor browser verschlüsselungsprogramme wie PGP programme zum reinigen von bildern oder gibt euch die möglichkeit ganz einfach ein verschlüsselten beständigen speicher https://tails.boum.org/doc/first_steps/persistence/index.de.html anzulegen  so dass es auch eine alternative zu anderen betriebssystemen darstellt. dabei ist es wirklich simpel sich in tails zu bewegen und über die dokumentation https://tails.boum.org/doc/index.de.html erklärt sich relativ verständlich der umgang mit ihm.

 

Taisl rules

festzustellen, ob es den ..... gelungen ist irgend etwas auf dem Rechner zu hinterlassen. Für einen neuen Versuch würde ich vor dem Versuch mit SysTracer einen vollständigen Shot machen und nach dem Zugriff noch einen. Mit dem Tool kann man dann auch die beiden Shots vergleichen.

wie kann man nur einen laptop ins gericht mitnehmen?!

 

und dann auch noch unverschlüsselt!

 

das ist so unvorsichtig dass mir die worte fehlen...