2011-10-13

Tysk cyberspionageskandal?

Alla minns väl debatten kring FRA-lagen? I Tyskland seglar det nu upp en ny debatt om övervakning på Internet. Bakgrunden är den kända hackargruppen Chaos Computer Club som hävdar att de upptäckt statlig mjukvara för att kunna övervaka enskilda datorers trafik över Internet bland annat. Enligt CCC är det tyska utredare som använt sig av denna programvara. Om det stämmer är det min bedömning att CCC helt enkelt genom köp kommit över gamla datorer som använts av någon myndighet. Enligt ett uttalande från tyska inrikesministeriet så förnekas att den tyska rikskriminalpolisen (BKA) använt sig av denna mjukvara. Detta behöver inte betyda att någon annan myndighet inte gjort detsamma.

Förutom att övervaka trafik så kunde programmen också spela in audio-video via mikrofon och webkamera samt plantera annan programvara på den besökta datorn. Olyckligtvis, enligt Der Spiegels uppgifter från CCC, så ska programvaran dels kommunicera via en server i USA, dels vara så dåligt utformad att det inte är något problem för tredje part att ta sig in i trojanen och använda sig av denna.


För tyska myndigheter och regering är detta pinsamma och oroväckande uppgifter. Redan 2007 bekräftade tyska inrikesministeriet att det fanns en motsvarande programvara, men denna skulle bara användas sparsamt. Det talades om ett tiotal fall per år, och det handlade förstås om terrorism. Året efter fastlog den tyska konstitutionsdomstolen att sådana intrång bara fick göras om det fanns konkreta bevis om (förberedelser) terrorism. En amatörmässigt byggd programvara som ingen tar på sig ansvaret för, eftersom den kan ha använts utanför gängse lagar vill ingen ha på sitt bord. Förbundskansler Merkels talesman har uttalat att man tar anklagelserna allvarligt och att en grundlig utredning måste göras.


I bakgrunden finns en metodikkonflikt. Skall våra underrättelse- och säkerhetstjänster få tråla nätet efter information eller ska de bara få göra det när de vet vad de ska leta efter i form av specifika ord eller ett särskilt beteende? Här kan en jämförelse göras med flygplatssäkerheten. I stora delar av världen genomförs en slags trålande undersökning av alla som går ut på att upptäcka föremål. I Israel försöker myndigheterna istället leta beteenden som indikerar onda avsikter. Denna hållning medför ett annat spaningssystem som jag skrivit om tidigare. När man ställer dessa metodiker i relation till intrång i den personliga integriteten får man ett utfall som talar för den specifika metodiken. Den andra metodiken har sin största styrka i risken. Genom att tråla så mycket som möjligt, så minskar man förstås risken att något går obemärkt förbi. Den hållningen bygger i och för sig på en osäkerhet i att arbeta specifikt. Det finns också ett ganska osynligt byråkratiskt argument. Genom att samla in mycket data, så behövs mer lagringsförmåga, vilket innebär stora ekonomiska investeringar och fler anställda.

Jag har skrivit detta förut, men cyberdomänen är sällsynt illa lämpad för en Oxenstiernsk förvaltning med sina stuprör och sektorer. Det kommer att krävas ett omfattande arbete att få någon form av samordning som a) kan nyttja möjligheterna med cyber effektivt och produktivt och b) som kan skydda samhället mot kriminella och terrorister utan att ge avkall på våra grundläggande friheter.