Trojanische Pferde aus Berlin

Als am 9. November 2006 im Bundestag das „Programm zur Stärkung der Inneren Sicherheit“ verabschiedet wurde, hielten viele die darin enthaltenen Maßnahmen zur Überwachung der Kommunikation auf Computern (sogenannte Quellen-Tele­kommunikations­über­wa­chung, kurz Quellen-TKÜ) noch für nicht realisier- oder anwendbar.

Mit der geplanten Spionagesoftware (auch oft als Bundes- oder Staatstrojaner bezeichnet) sollte es Ermittlungsbehörden ermöglicht werden, die Kommunikation (z.B. über Internettelefonie wie Skype oder via E-Mail) auf Computern noch vor dem Versenden bzw. Verschlüsseln abzugreifen. Begründet wurde die Notwendigkeit immer wieder mit der Verlagerung der Kommunikation krimineller und v.a. terroristischer Organisationen in das Internet und der Nutzung von bislang schwierig zu umgehenden Verschlüsselungsmethoden. Man wollte nicht schulterzuckend vor der Kryptographie kapitulieren und ließ sich so auf einen tiefgehenden Eingriff in die Privatsphäre der Bürger, nämlich deren Computer, ein.

Staatlicher Virus

Dabei sollte diese Software wie auch sonst bekannte Computertrojaner agieren, die ohne das Wissen der Computer­besit­zer_innen installiert werden und anschließend Informationen (z.B. Eingaben auf der Tastatur) an die Gegenstelle liefern. Anti-Viren-Software hätte also versucht, den Staatstrojaner ebenso zu bekämpfen wie jeden anderen Virus. Der Anfrage von Sicherheitsbehörden an verschiedene Hersteller solcher Anti-Viren-Software wie z.B. Kaspersky Labs, den Bundestrojaner doch „privilegiert“ zu behandeln, wurde jedoch eine Ablehnung erteilt. Somit ist nach aktuellem Stand meist ein physischer Zugriff auf den Zielrechner durch Er­mittlungsbehörden vorausgesetzt (z.B. bei Flugha­fen­kontrollen oder Hausdurchsuchungen) um den Trojaner installieren zu können.

Im Februar 2008 urteilte dann das Bundesverfassungsgericht anlässlich einer Klage nordrhein-westfälischer Abgeordnete gegen das nordrhein-westfälische Lan­des­verfassungsschutzgesetz und die dort verankerte Regelung zur Online-Durchsuchung, dass bei diesen Maß­nahmen die Kernbereiche privater Le­bensgestal­tung zu schüt­zen seien. So dürften bei der Anordnung einer Quellen-TKÜ nur die wirklichen Kom­muni­kations­vor­gänge (also etwa Skype, Chats oder E-Mail) überwacht wer­den. Alle anderen Bereiche müssten jedoch unangetastet und das „Grundrecht auf Ge­währ­­leistung der Vertraulichkeit und Integrität infor­ma­­tions­techni­scher Systeme“ gewahrt bleiben. Mit diesem Urteil war der formale rechtliche Rahmen für die Anwendung der Quellen-TKÜ ziemlich eng umrissen.

Multifunktionsüberwachung

Im Verlauf der Diskussion um den Staatstrojaner wurde den besorgten Bürgern auch immer wieder versichert, dass es nur eine handvoll solcher Maßnahmen bei Straftaten erheblichen Ausmaßes geben sollte. So blieb es dann in den kommenden drei Jahren bis zum Herbst 2011 relativ ruhig um das Thema „Staatstrojaner“. Erst als am 8. Oktober 2011 der Chaos Computer Club (CCC) die Analyse eines ihm zugespielten Staatstrojaners veröffentliche, flammte die öffentliche Diskussion wieder auf.

In der Analyse wurde v.a. deutlich, dass die vom Bundesverfassungsgericht verfügte Trennung von überwachbarer Telekommunikation und zu schützendem Kernbereich nicht angedacht war und die Über­wachungs­software „von Haus aus“ eine enorme Funktionsvielfalt mitbrachte. Die vorliegende Version konnte neben dem Abhören von Skype und vergleichbaren Programmen auch Dateien lesen und schreiben, sowie Bildschirmfotos (nicht nur z.B. des E-Mail-Programms sondern des gesamten Arbeitsumfelds, also womög­lich auch Inhalte aus dem besonders schützenswerten Kernbereich des Lebens) anfertigen und an die Ermittlungsbehörden übertragen. Durch die Funktion des Dateizugriffs war außerdem auch die Mög­lich­keit zum Platzieren falscher Beweise gegeben. Weitergehend wur­den eklatante Mängel bei der Sicherung der Soft­ware und in der An­wen­dung branchenüblicher Ver­schlüs­­selungs­methoden diagnostiziert. Diese führte so weit, dass der CCC mit einem eigenen kleinen Programm den Trojaner fernsteuern und Informationen vom infiltrierten Rechner abrufen konnte.

Nach ersten Dementi und ausweichenden Äußerungen von Bundes- und Landesbehörden zum Einsatz der Software, kamen nach einigen Tagen Details über die tatsächlichen Ausmaße der Nutzung der Spionagesoftware zu Tage. So soll diese in den Jahren 2008 bis 2011 bei knapp 100 Ermittlungsverfahren zum Einsatz gekommen sein. Das Verfahren, aus dem der dem CCC zugespielte Trojaner stammte, war im Bereich der Betäubungsmittel angesiedelt und in Bayern geführt worden – thematisch also weit von vermeintlich terroristischen Aktivitäten entfernt.

Regierende Sicherheitsbeamte?

Im Nachhinein wurde die Schuld für die schlechte Qualität und den ausufernden Funktionsumfang des Staatstrojaners zwischen Ermittlungsbehörden, den gesetzgebenden Stellen sowie dem technischen Dienstleister DigiTask hin- und hergeschoben. Auffallend oft ist dabei von staatlichen Stellen die Auffassung vertreten worden, das technisch Mögliche auch stets umsetzen zu wollen. Zweifel an der Kon­for­mität mit der Rechtsprechung wurden dabei recht forsch beiseite gewischt, so wie es Hans-Peter Uhl (Vorsitzender der Arbeitsgruppe Innenpolitik der CDU/CSU im Bundestag) anschaulich darlegte: „Es wäre schlimm, wenn zum Schluss unser Staat regiert werden würde von Piraten und Chaoten aus dem Computerclub, er wird regiert von Sicherheitsbeamten, die dem Recht und dem Gesetz verpflichtet sind.“ (Anlässlich der Debatte um die Trojaner-Analyse des CCC)

Die „regierenden Sicherheitsbeamten“ lassen das Bild eines Polizeistaats dann schon recht plastisch werden.

Aus dem bisherigen Kenntnisstand um das Thema „Staatstrojaner“ lassen sich somit vor allem oftmals bemühte Ermahnungen um vorsichtigen und kritischen Umgang mit der Kommunikation über Computer und Internet erneuern – Verschlüsselung von E-Mails und Daten sollten dabei zum Standard gehören.

Auch ein Bezug auf das Bundesverfassungsgericht als Schützerin grundlegender Bürgerrechte scheint im vorliegenden Fall nur für die nachträgliche juristische Auseinandersetzung von Bedeutung, wenn Ermittlungsbehörden ungeachtet vorliegender Urteile überbordend ausspionieren. Dass im Nachhinein die Maßnahme als unrechtmäßig verurteilt wird, macht die zuvor womöglich erfolgte Durchleuchtung von z.B. linken Strukturen, das Brechen von Vertrauen und die Bindung von Kräften für beispielsweise Antirepressionsmaßnahmen nicht ungeschehen. Also kann wieder mal nur geraten werden, sich nicht auf den „Rechtsstaat“ zu verlassen, sondern gerade in Bezug auf politische Arbeit selbst für die Sicherheit der eigenen Daten Sorge zu tragen.

Dieser Beitrag wurde unter Rote Hilfe veröffentlicht. Setze ein Lesezeichen auf den Permalink.