Als am 9. November 2006 im Bundestag das „Programm zur Stärkung der Inneren Sicherheit“ verabschiedet wurde, hielten viele die darin enthaltenen Maßnahmen zur Überwachung der Kommunikation auf Computern (sogenannte Quellen-Telekommunikationsüberwachung, kurz Quellen-TKÜ) noch für nicht realisier- oder anwendbar.
Mit der geplanten Spionagesoftware (auch oft als Bundes- oder Staatstrojaner bezeichnet) sollte es Ermittlungsbehörden ermöglicht werden, die Kommunikation (z.B. über Internettelefonie wie Skype oder via E-Mail) auf Computern noch vor dem Versenden bzw. Verschlüsseln abzugreifen. Begründet wurde die Notwendigkeit immer wieder mit der Verlagerung der Kommunikation krimineller und v.a. terroristischer Organisationen in das Internet und der Nutzung von bislang schwierig zu umgehenden Verschlüsselungsmethoden. Man wollte nicht schulterzuckend vor der Kryptographie kapitulieren und ließ sich so auf einen tiefgehenden Eingriff in die Privatsphäre der Bürger, nämlich deren Computer, ein.
Staatlicher Virus
Dabei sollte diese Software wie auch sonst bekannte Computertrojaner agieren, die ohne das Wissen der Computerbesitzer_innen installiert werden und anschließend Informationen (z.B. Eingaben auf der Tastatur) an die Gegenstelle liefern. Anti-Viren-Software hätte also versucht, den Staatstrojaner ebenso zu bekämpfen wie jeden anderen Virus. Der Anfrage von Sicherheitsbehörden an verschiedene Hersteller solcher Anti-Viren-Software wie z.B. Kaspersky Labs, den Bundestrojaner doch „privilegiert“ zu behandeln, wurde jedoch eine Ablehnung erteilt. Somit ist nach aktuellem Stand meist ein physischer Zugriff auf den Zielrechner durch Ermittlungsbehörden vorausgesetzt (z.B. bei Flughafenkontrollen oder Hausdurchsuchungen) um den Trojaner installieren zu können.
Im Februar 2008 urteilte dann das Bundesverfassungsgericht anlässlich einer Klage nordrhein-westfälischer Abgeordnete gegen das nordrhein-westfälische Landesverfassungsschutzgesetz und die dort verankerte Regelung zur Online-Durchsuchung, dass bei diesen Maßnahmen die Kernbereiche privater Lebensgestaltung zu schützen seien. So dürften bei der Anordnung einer Quellen-TKÜ nur die wirklichen Kommunikationsvorgänge (also etwa Skype, Chats oder E-Mail) überwacht werden. Alle anderen Bereiche müssten jedoch unangetastet und das „Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme“ gewahrt bleiben. Mit diesem Urteil war der formale rechtliche Rahmen für die Anwendung der Quellen-TKÜ ziemlich eng umrissen.
Multifunktionsüberwachung
Im Verlauf der Diskussion um den Staatstrojaner wurde den besorgten Bürgern auch immer wieder versichert, dass es nur eine handvoll solcher Maßnahmen bei Straftaten erheblichen Ausmaßes geben sollte. So blieb es dann in den kommenden drei Jahren bis zum Herbst 2011 relativ ruhig um das Thema „Staatstrojaner“. Erst als am 8. Oktober 2011 der Chaos Computer Club (CCC) die Analyse eines ihm zugespielten Staatstrojaners veröffentliche, flammte die öffentliche Diskussion wieder auf.
In der Analyse wurde v.a. deutlich, dass die vom Bundesverfassungsgericht verfügte Trennung von überwachbarer Telekommunikation und zu schützendem Kernbereich nicht angedacht war und die Überwachungssoftware „von Haus aus“ eine enorme Funktionsvielfalt mitbrachte. Die vorliegende Version konnte neben dem Abhören von Skype und vergleichbaren Programmen auch Dateien lesen und schreiben, sowie Bildschirmfotos (nicht nur z.B. des E-Mail-Programms sondern des gesamten Arbeitsumfelds, also womöglich auch Inhalte aus dem besonders schützenswerten Kernbereich des Lebens) anfertigen und an die Ermittlungsbehörden übertragen. Durch die Funktion des Dateizugriffs war außerdem auch die Möglichkeit zum Platzieren falscher Beweise gegeben. Weitergehend wurden eklatante Mängel bei der Sicherung der Software und in der Anwendung branchenüblicher Verschlüsselungsmethoden diagnostiziert. Diese führte so weit, dass der CCC mit einem eigenen kleinen Programm den Trojaner fernsteuern und Informationen vom infiltrierten Rechner abrufen konnte.
Nach ersten Dementi und ausweichenden Äußerungen von Bundes- und Landesbehörden zum Einsatz der Software, kamen nach einigen Tagen Details über die tatsächlichen Ausmaße der Nutzung der Spionagesoftware zu Tage. So soll diese in den Jahren 2008 bis 2011 bei knapp 100 Ermittlungsverfahren zum Einsatz gekommen sein. Das Verfahren, aus dem der dem CCC zugespielte Trojaner stammte, war im Bereich der Betäubungsmittel angesiedelt und in Bayern geführt worden – thematisch also weit von vermeintlich terroristischen Aktivitäten entfernt.
Regierende Sicherheitsbeamte?
Im Nachhinein wurde die Schuld für die schlechte Qualität und den ausufernden Funktionsumfang des Staatstrojaners zwischen Ermittlungsbehörden, den gesetzgebenden Stellen sowie dem technischen Dienstleister DigiTask hin- und hergeschoben. Auffallend oft ist dabei von staatlichen Stellen die Auffassung vertreten worden, das technisch Mögliche auch stets umsetzen zu wollen. Zweifel an der Konformität mit der Rechtsprechung wurden dabei recht forsch beiseite gewischt, so wie es Hans-Peter Uhl (Vorsitzender der Arbeitsgruppe Innenpolitik der CDU/CSU im Bundestag) anschaulich darlegte: „Es wäre schlimm, wenn zum Schluss unser Staat regiert werden würde von Piraten und Chaoten aus dem Computerclub, er wird regiert von Sicherheitsbeamten, die dem Recht und dem Gesetz verpflichtet sind.“ (Anlässlich der Debatte um die Trojaner-Analyse des CCC)
Die „regierenden Sicherheitsbeamten“ lassen das Bild eines Polizeistaats dann schon recht plastisch werden.
Aus dem bisherigen Kenntnisstand um das Thema „Staatstrojaner“ lassen sich somit vor allem oftmals bemühte Ermahnungen um vorsichtigen und kritischen Umgang mit der Kommunikation über Computer und Internet erneuern – Verschlüsselung von E-Mails und Daten sollten dabei zum Standard gehören.
Auch ein Bezug auf das Bundesverfassungsgericht als Schützerin grundlegender Bürgerrechte scheint im vorliegenden Fall nur für die nachträgliche juristische Auseinandersetzung von Bedeutung, wenn Ermittlungsbehörden ungeachtet vorliegender Urteile überbordend ausspionieren. Dass im Nachhinein die Maßnahme als unrechtmäßig verurteilt wird, macht die zuvor womöglich erfolgte Durchleuchtung von z.B. linken Strukturen, das Brechen von Vertrauen und die Bindung von Kräften für beispielsweise Antirepressionsmaßnahmen nicht ungeschehen. Also kann wieder mal nur geraten werden, sich nicht auf den „Rechtsstaat“ zu verlassen, sondern gerade in Bezug auf politische Arbeit selbst für die Sicherheit der eigenen Daten Sorge zu tragen.
