Titelseite ak
Linksnet.de
ak und Fantômas sind Partner von Linksnet.de
ak bei facebook

ak logo ak - analyse & kritik - zeitung für linke Debatte und Praxis / Nr. 566 / 18.11.2011

Schatzi, du kannst immer mit mir skypen

Deutschland Beim Staatstrojaner steht der Staat vor einem nicht lösbaren Dilemma

Von Peter Sternberg

Seitdem der Chaos Computer Club (CCC) die technischen und rechtlichen Unzulänglichkeiten des deutschen Staatstrojaners bloßgestellt hat, wird hierzulande wieder einmal über die Befugnisse der Behörden diskutiert, auf unsere Rechner zugreifen zu können. Empörung verursacht vor allem, dass die vom CCC analysierte Software mit umfangreichen Möglichkeiten aufwartet, die weit über das rechtlich Zulässige hinausgehen: Damit kann nicht nur jede Art von verschlüsselter Kommunikation abgehört (»Quellen-TKÜ«), sondern auch Screenshots können angefertigt, Dateien ausgelesen und beliebige weitere (Überwachungs-)Funktionen ohne jegliche Kontrolle nachgerüstet werden.

Die Diskussion ist keineswegs neu. Bereits 2008 veröffentlichte Wikileaks einen Schriftwechsel des Bayerischen Innenministeriums, aus dem die Planung für die technischen Anforderungen eines staatlichen Trojaners detailliert hervorging. Schon damals wurde das Konzept grundsätzlich kritisiert. Nicht klar war, wie nach diesen Plänen eine Beschränkung auf das legale Abhören der Kommunikation sichergestellt werden kann.

Ein Grundsatzurteil des Bundesverfassungsgerichts aus dem gleichen Jahr schlug in dieselbe Kerbe. Keine der damals öffentlich und gerichtlich aufgestellten Forderungen wurden in der jetzt analysierten Schnüffelsoftware aus dem Jahr 2009 umgesetzt.

Alle 30 Sekunden ein Bildschirmfoto

Inzwischen wurden einige Details zu den (offiziellen) Einsätzen des Trojaners bekannt: So soll es in den letzten drei Jahren etwa 100 Fälle gegeben haben, in denen die Spionageanwendung von verschiedenen Sicherheitsbehörden eingesetzt wurde. Hauptsächlich wurde die Kommunikation über Skype abgehört, alle 30 Sekunden wurden Screenshots angefertigt und an die ErmittlerInnen verschickt. Dabei wurden die Bildschirminhalte nicht etwa nur von einzelnen Anwendungen wie Skype oder anderen Kommunikationsmitteln erfasst, sondern der komplette Bildschirm. Durch ein derart kurzes Intervall wird (fast) die gesamte Arbeit am betroffenen Rechner überwacht. Der Staat beschränkt sich also keineswegs, wie beteuert, auf die Überwachung der Kommunikation, sondern erhält einen Einblick in den Gesamtrechner.

Die größte Hürde beim Einsatz eines Trojaners ist die Installation auf dem Zielrechner. Eine E-Mail mit einem entsprechenden Anhang würde den meisten Verdächtigen wohl auffallen. Deshalb kommen andere Methoden zum Einsatz. In einem nun bekannt gewordenen Fall wurde die Spionagesoftware vom Zoll bei einer Kontrolle am Münchner Flughafen auf den Rechner eingespielt, in einem anderen Fall während einer richterlich angeordneten Hausdurchsuchung. Die Beispiele zeigen, dass sich die Polizei beim Aufspielen des Trojaners eher auf erprobte polizeiliche Mittel verlässt. Moderne Methoden wie z.B. die Kooperation mit Unternehmen wie Microsoft oder Facebook scheinen nicht zum Einsatz zu kommen.

Nach der Entscheidung des Bundesverfassungsgerichts zur Onlinedurchsuchung vor drei Jahren existierten hohe Erwartungen an die technische Umsetzung eines Trojaners, damit er den rechtlichen Vorgaben entspricht. Zu erwarten war also die Vergabe eines entsprechenden Auftrages an qualifizierte Firmen oder besser noch an staatliche Stellen.

Die Realität sah jedoch anders aus: Kurzerhand wurde der Auftrag zur staatlichen Trojanerentwicklung an ein kleines, aber für Skandale wohlbekanntes Privatunternehmen vergeben: Digitask. Deren Firmenchef wurde 2002 wegen Bestechung von BeamtInnen des Zollkriminalamts zu 1,5 Millionen Euro Geldbuße und 21 Monaten auf Bewährung rechtskräftig verurteilt. Das Unternehmen »gewann« außerdem 2009 den Big Brother Award, mit dem Personen, Behörden, Institutionen und Unternehmen bedacht werden, die sich in Big-Brother-Manier wenig rühmlich mit persönlichen Daten beschäftigen.

Für die Entwicklung des Trojaners erhielt die Firma fünf Millionen Euro. Dafür lieferte sie, wie zu erwarten war, ein Produkt zweifelhafter Qualität. Dem CCC gelang es ohne Probleme die Kontrolle über eine Testinstallation des Trojaners zu übernehmen und falsche Daten an Behördenserver zu übermitteln. Damit wurde offensichtlich, dass die Software ein eklatantes Sicherheitsrisiko für jeden betroffenen Rechner darstellt. Gleichzeitig dürfte dadurch eine Beweiskraft der ermittelten Daten nicht gegeben und der Einsatz der Software für juristische Verfahren wertlos sein. Insofern liegt der Verdacht nahe, dass der Staatstrojaner einzig der polizeilichen und nachrichtendienstlichen Ausforschung der Verdächtigen dienen soll.

Die gesetzlichen Vorgaben werden von der Software jedenfalls nicht eingehalten. Die verfügbaren Funktionen übersteigen die notwendigen Anforderungen für eine Quellen-TKÜ bei Weitem. Digitask versucht sich herauszureden, indem das Unternehmen behauptet, nur für die technische Entwicklung und nicht für die Einhaltung der Gesetze verantwortlich zu sein. Diese Aussage ist allerdings wenig glaubwürdig. In internen Präsentationen wirbt Digitask damit, dass ihre Technik zur Ausforschung des »Kernbereichs des Lebens« eingesetzt werden kann, was die Vorgaben des Bundesverfassungsgerichtes von 2008 auf den Kopf stellt.

Jeder Qualitätskontrolle hätten die eklatanten technischen Mängel auffallen müssen. Nun lässt sich spekulieren, ob im Bundeskriminalamt entsprechend kompetente MitarbeiterInnen einfach fehlen. Andere staatliche Institutionen mit entsprechenden Fähigkeiten existieren jedoch durchaus wie etwa das Bundesamt für Sicherheit in der Informationstechnik. Zudem wäre es natürlich auch möglich gewesen, statt staatliche Einrichtungen eine Spezialfirma mit der Analyse der Software zu beauftragen.

Der Schluss liegt nahe, dass eine ordentliche Überprüfung des Staatstrojaners politisch nicht gewünscht ist. Eine fachgerechte Kontrolle würde schließlich, wie jetzt geschehen, die juristischen Probleme aufdecken und damit die Ermittlungsmethoden der Behörden einschränken.

Ein Polizeistaat regiert von Sicherheitsbeamten?

Das zugrunde liegende Problem im Fall Onlinedurchsuchung ist nichtsdestotrotz weniger die Technik, sondern vielmehr das Rechtsverständnis der Verantwortlichen. Gemacht werden soll, was für Ermittlungen notwendig erscheint, ob es dabei zu Rechtsbrüchen kommt, ist irrelevant.

Das dahinter liegende autoritäre Staatsverständnis erklärte der Vorsitzende der Arbeitsgruppe Innenpolitik der Unionsfraktion, Hans-Peter Uhl (CDU), sehr bildhaft während der Debatte um den Staatstrojaner im Bundestag. Zur Analyse des CCC sagte er: »Es wäre schlimm, wenn zum Schluss unser Staat regiert werden würde von Piraten und Chaoten aus dem Computerclub, es wird regiert von Sicherheitsbeamten, die dem Recht und dem Gesetz verpflichtet sind.« Nachträglich versuchte Uhl das Zitat im Protokoll ändern zu lassen, da ihm vermutlich klar wurde, dass eine »Regierung von Sicherheitsbeamten« gemeinhin als Polizeistaat angesehen wird.

Die Behörden stehen vor einem nicht lösbaren Dilemma: Sie wollen wie in der Vergangenheit in der Lage sein, jede Art von Kommunikation abzuhören. Die gesetzlich erzwungene Kooperation der Telekommunikationsdienstleister, über offizielle Abhörschnittstellen entsprechende technische Möglichkeiten bereitzuhalten, reicht in Zeiten zunehmender und sicherer Verschlüsselung zwischen den Endgeräten dafür nicht mehr aus.

Der Angriff auf die Endgeräte der Verdächtigen mit einem Trojaner ist deshalb staatlicherseits der Versuch, auf dieses Problem eine Antwort zu finden. Weil sich das Endgerät stets in der Kontrolle der bzw. des Verdächtigen befindet, können konzeptionell bedingt mit einem Trojaner aber weder verlässliche Beweise gesammelt, noch eine klare Trennung zwischen legal überwachbaren strafbaren Handlungen und dem geschützten Kernbereich des Lebens gewährleistet werden. Es kann und wird deshalb in Zukunft keinen politisch und juristisch einwandfreien Einsatz von Staatstrojanern geben können.

Peter Sternberg ist Informatiker und gehört nicht der Piratenpartei an.