Skip to main content

Staatstrojaner: Gesetzte Grenzen ignoriert

Nachricht von Jan Korte,

Der Chaos Computer Club (CCC) brachte es an den Tag: In Bund und Ländern wird mit Software am "lebenden Objekt", sprich Bürgerinnen und Bürgern. experimentiert, die alle technischen Möglichkeiten zum kontinuierlichen Verfassungsbruch anbietet. Im Laufe weniger Tage zeigte es sich, dass die politisch Verantwortlichen längst nicht mehr den Überblick über ihre eigenen Behörden haben. Sie haben nach und nach fast alle Rechtfertigungsversuche eingestellt, umfassende Prüfungen versprochen und machen sich jetzt an das Verwischen der Spuren. Was wir zur Zeit erleben dürfen, ist ein Blick in das Labor der Sicherheitsbehörden mit ihren neuen Überwachungsmöglichkeiten und ihren Schleichwegen aus grundrechtlichen Begrenzungen.

  Der Ausgangspunkt   Dem CCC wurde eine Software, ein Programm ("Trojaner") zugespielt, das mindestens in einem Ermittlungsverfahren zur sogenannten Quellen-Telekommunikationsüberwachung (TKÜ) in Bayern eingesetzt wurde. Alle untersuchten Varianten des Trojaners wurden zum Zeitpunkt der Berichterstellung von keinem Antivirus-Programm als Schadsoftware erkannt. Das Programm soll die E-Mail- und die über Skype via Internet geführte Telefonkommunikation überwachen und aufzeichnen, bevor sie routinemäßig verschlüsselt wird. Diese Software wird heimlich auf den Festplatten platziert.

Das analysierte Programm kann das auch ganz hervorragend; es kann aber noch viel mehr: Es kann Screenshots machen, es kann die am PC/Laptop installierte Kamera anschalten und den Raum überwachen, es kann die Tastatur überwachen und es kann weitere Programme nachladen, mit denen dann die Festplatte weiter durchforscht und Inhalte verändert werden kann. Die ausgespähten Daten werden darüber hinaus zur Verschleierung der Steuerzentrale für die Überwachung über einen "command-and-control"-Server (C+C) in die USA umgeleitet. So können sicherheitsrelevante Daten ohne großen Aufwand von amerikanischen Dienststellen mitgelesen werden, denn alle US-IT-Firmen sind zur Kooperation mit diesen und entsprechender Herausgabe der Daten gesetzlich verpflichtet.     Probleme bis hierhin:   

  1. Es ist vollkommen umstritten, ob die sogenannte Quellen-TKÜ überhaupt eine Rechtsgrundlage hat. Die Polizei sagt ja, es sei ja nur eine Form der "alten“ Telefonüberwachung. Kritische Juristinnen und Juristen und Bürgerrechtsorganisationen sagen nein, es müsste eine eigene Rechtsgrundlage dafür in den Polizeigesetzen der Länder geschaffen werden.
  2. Alle Möglichkeiten, die über die Überwachung der E-Mail- und Skype-Kommunikation hinausgehen, überschreiten den Rahmen des Urteils des Bundesverfassungsgerichts zur Online-Durchsuchung. Ein Programm, das diese Möglichkeiten bereithält, darf deshalb nicht eingesetzt werden.
  3. Der Trojaner enthält aufgrund seiner "schlampigen Programmierung" weitere massive Sicherheitslücken. Problematisch bei der Software sei nach Angaben des CCC der Umstand, dass sich seine Funktionen aufgrund unzureichender Absicherung auch von halbwegs gut informierten Außenstehenden kapern und benutzen lassen. Der Trojaner bricht gewissermaßen die Tür zum digitalen Heim des Überwachten auf - und lässt sie dann, als Einladung für Einbrecher, weit offenstehen.

  Die Welle   Alle Versuche, die Existenz eines solchen Staatstrojaners zu leugnen, wurden durch immer neue Fakten erledigt. Nach nur drei Tagen stand fest, dass in sieben Bundesländern – Bayern, Baden-Württemberg, Niedersachsen, Brandenburg, Schleswig-Holstein, Hamburg, Thüringen und Rheinland-Pfalz – die Software eingesetzt (5) bzw. beantragt (2) wurde. Bis heute verschleiert wird die Antwort auf die Frage, ob es sich um denselben Trojaner wie in Bayern handle, ob er von derselben Firma stamme oder welche ominöse "Bundesbehörde" den Ländern diese Software besorgt habe.   Es haben eben nicht nur Länderbehörden, sondern auch Bundesbehörden diese Technik im Angebot. Vom Bundeskriminalamt (BKA) über die Bundesnetzagentur und das Zollkriminalamt wurden ebenfalls Millionenaufträge an die entsprechende Firma – DigiTask aus Hessen – vergeben, um an die Programme heranzukommen. Das Zollkriminalamt (ZKA) mit der Zollfahndung, eine der meist unterschätzten Sicherheitsbehörde des Bundes mit weitergehenden Befugnissen als die Polizei, ist vermutlich einer der Lieferanten. Und aus dem bayerischen Ermittlungsverfahren ist bekannt, dass es der Zoll war, der die Festplatte des Beschuldigten präpariert hat. Auch das entsprechende Ermittlungsverfahren in Brandenburg, bei dem es um "grenzüberschreitende Organisierte Kriminalität" gehen soll und das auf Bitten des Zolls von der Staatsanwaltschaft Frankfurt/Oder geführt wird, lässt darauf schließen, dass der Zoll der Ausgangspunkt des Einsatzes ist.   Und auf einmal meldet sich auch das BKA, das zu Beginn zusammen mit dem Innenministerium verlauten ließ, der Bund habe damit nichts zu tun, dass für seine Online-Durchsuchungen eine andere Software verwendet werde. Eingeräumt wurde lediglich, dass sie das "Skandalprogramm“  getestet und sogar einem kleinen informellen Kreis von Abgeordneten vorgeführt hätten. Der Test habe ergeben, dass es nicht brauchbar sei und auch aus rechtlichen Gründen nicht eingesetzt werden dürfe. Die Länder hat das BKA über diese Sicht aber angeblich nicht informiert!    Daraus ergeben sich weitere Probleme:  

  1. Die Länderpolizeien werden von einer – oder mehreren - Bundesbehörde mit Überwachungs- und Kontrollsoftware versorgt, die eigentlich nicht eingesetzt werden dürfte.
  2. Das BKA kennt die rechtliche und technische Problematik und unternimmt – angeblich nichts!
  3. Verschiedene Bundesbehörden vergeben Aufträge in Millionenhöhe an die Firma DigiTask, die diese rechtswidrige Software entwickelt, diese wiederum an Bundes-(Zoll) und Landeskriminalämter verkauft bzw. für Tausende von Euro monatlich verleiht.
  4. Weder BMI noch eine der Sicherheits- und Bundesbehörden ist bislang bereit, eindeutig und offensiv Auskunft über Zuständigkeiten, Verantwortlichkeiten und Konsequenzen zu geben.

  Bewusstes Überschreiten der gesetzten Grenzen   Ohne ausreichende rechtliche Grundlage führen Bundes- und Landesbehörden Überwachungsmaßnahmen durch, die tief in Persönlichkeitsrechte eingreifen. Sie setzen dabei Programme ein oder lassen deren Einsatz in vollem Wissen zu, die eindeutig die vom Bundesverfassungsgericht gezogenen Grenzen überschreiten. Was theoretisch – aber nicht mit dieser Software – nur gegen Formen schwerster Kriminalität überhaupt bedacht werden dürfte, wird hier "ein grenzwertiger Einsatz gegen kleine Kriminelle“ gefahren (SZ 12.10.2011).

Der Versuch des Bundesverfassungsgerichts, mit seinem Urteil zur Online-Durchsuchung aus dem Jahr 2008, die Anwendung in engsten Grenzen verfassungsrechtlich sauber gestalten zu können, ist wie von vielen Kritikerinnen und Kritikern prognostiziert, gescheitert.
  Der "verdeckte staatliche Zugriff auf informationstechnische Systeme“, wie Online-Durchsuchung und Quellen TKÜ offiziell heißen, 
 

  • richtet sich nicht "gegen ganz große Verbrecher“ (SZ 12.10.2011) und wird daher absehbar zur Routine werden, das heißt als bequemes technisches Verfahren immer häufiger bei immer kleineren Delikten eingesetzt werden. Die zur Zeit genannte geringe Zahl von Anwendungen – ihre Glaubwürdigkeit einmal angenommen – von "unter 30 seit 2008“ wird kontinuierlich zunehmen.
  • ist aus technischen (Software-) Gründen nicht auf das vom BVerfG gedachte Maß zu beschränken.
  • bedürfen zwar der rechtstaatlichen Sicherung wie „richterliche Anordnungen“ und Protokollierungen, die jedoch in der Praxis als Erste durchbrennen.
  • entspringt dem Wille der Sicherheitspolitiker, das technisch Machbare mit abstrakten verfassungsrechtlichen Sicherungen praktisch durchsetzen zu wollen, hat damit aber zu undurchschaubaren Grauzonen staatlicher Förderung (IT-Sicherheitsforschungsprogramme in Millionenhöhe) von privaten Unternehmen und fast monopolartigen Beziehungen zwischen beiden geführt.

  Es gibt aus alldem nur eine Schlussfolgerung: Online-Durchsuchung und ihre Variante Quellen-TKÜ müssen aus dem Instrumentenkoffer der Sicherheitsbehörden sofort entfernt werden.