Dem Chaos Computer Club (CCC) wurde der Quellcode (Korrektur: es lagen wohl nur die Binärdateien vor) des sog. Behördentrojaners zugespielt, den man aus der öffentlichen Diskussion als Bundestrojaner und aus der Strafrechtspraxis auch als Bayern-Trojaner kennt.
Die Analyse des CCC ist ebenso erschreckend wie vorhersehbar. Das Tool ermöglicht eine umfassende Onlinedurchsuchung, die weit über das hinausgeht, was bislang offiziell bekannt war.
Man wusste bereits aus einer Entscheidung des Landgerichts Landshut, dass das bayerische LKA das Programm einem Verdächtigen während der Sicherheitsüberprüfung am Münchener Flughafen auf sein Notebook gespielt hatte und, dass das Tool immer dann, wenn der Verdächtige mit seinem Browser online war, alle 30 Sekunden einen Screenshot angefertigt hat, der dann an das LKA geschickt wurde. Im konkreten Fall waren es über 60.000 Screenshots, die das bayerische Landeskriminalamt auf diese Weise erlangt hat.
Die Analyse des CCC zeigt nun, dass die Software neben der Überwachung der Skype-Telefonie und der Aufzeichnung und Weiterleitung von Browser-Screenshots noch eine Reihe weiterer Überwachungsfeatures enthält. In der Pressemitteilung des CCC heißt es hierzu:
So kann der Trojaner über das Netz weitere Programme nachladen und ferngesteuert zur Ausführung bringen. Eine Erweiterbarkeit auf die volle Funktionalität des Bundestrojaners – also das Durchsuchen, Schreiben, Lesen sowie Manipulieren von Dateien – ist von Anfang an vorgesehen. Sogar ein digitaler großer Lausch- und Spähangriff ist möglich, indem ferngesteuert auf das Mikrophon, die Kamera und die Tastatur des Computers zugegriffen wird.
Zusätzlich bedenklich ist es, dass der Staatstrojaner die ausgespähten Daten zunächst an einen Server eines kommerziellen Providers in Ohio (USA) übermittelt. Offenbar ist den deutschen Behörden die Rechtswidrigkeit ihres Tuns bewusst, weshalb man es vermeidet, den Datenaustausch über einen deutschen, evtl. sogar behördlichen Server abzuwickeln.
Wenn man immer wieder hört – z.B. vom BKA – dass dieser Behördentrojaner nicht zum Einsatz kommt, sollte man dem keinen Glauben schenken. Die Strafverfolgung ist in Deutschland Ländersache, weshalb auf das BKA vermutlich tatsächlich die niedrigste Anzahl von Einsätzen entfallen dürfte. Demgegenüber scheinen die Landeskriminalämter und damit auch die Staatsanwaltschaften durchaus regelmäßigen Gebrauch von diesem Programm zu machen. In Bayern hat die Staatsregierung eingeräumt, dass der Trojaner in fünf Fällen zu Zwecken der Strafverfolgung eingesetzt worden ist. Man darf annehmen, dass die Situation in anderen Bundesländern ähnlich ist.
Die rechtliche Bewertung ist übrigens sehr eindeutig. Für eine (heimliche) Onlinedurchsuchung existiert in Deutschland derzeit überhaupt keine Rechtsgrundlage – und es wäre auch fraglich ob eine solche verfassungskonform ausgestaltet werden könnte – weshalb der Einsatz des Behördentrojaners evident rechtswidrig ist.
Lediglich im Bereich der Überwachung der IP-Telefonie sind einige Gerichte der Ansicht, dass sich eine sog. Quellen-TKÜ auf § 100a StPO stützen lässt. Aber auch insoweit ist in der juristischen Literatur überzeugend dargelegt worden – vgl. z.B. Albrecht und Buermeyer/ Bäcker – dass § 100a StPO keine tragfähige Grundlage für eine derartige Maßnahme bietet und auch die Quellen-TKÜ nach geltendem Recht rechtswidrig ist.
Aber selbst wenn man das anders sieht, ist der Einsatz des Tools, das der CCC analysiert hat, für Zwecke der Überwachung von Voice-Over-IP rechtswidrig, denn das Programm ist ja nicht auf derartige Maßnahmen beschränkt, sondern ermöglicht vielmehr eine umfassende und weitreichende Überwachung, für die unstreitig noch nicht einmal eine formelle Rechtsgrundlage besteht.
Die Analyse des CCC zeigt, dass sich die Polizeibehörden und Staatsanwaltschaften gerade im Bereich der Telekommunikationsüberwachung wenig darum schweren, ob ihre Maßnahmen rechtswidrig sind oder nicht und vielmehr die Neigung besteht, alles zu praktizieren, was technisch möglich ist.
Besonders bedenklich ist aber auch die Erkenntnis des CCC, dass das Programm keineswegs von fähigen Experten programmiert worden ist und deshalb Fehler und Sicherheitslücken enthält, die es ermöglichen, dass ein beliebiger Dritter die Kontrolle über einen von deutschen Behörden infiltrierten Computer übernehmen kann.
Die ausführliche Analyse des CCC war eines der meistdiskutierten Themen im Netz in den letzten 24 Stunden und zahlreiche Medien, u.a. die FAS in einem Leitartikel von Frank Schirrmacher, haben sich des Themas angenommen.
Und weil ich auf tagesschau.de folgendes lese,
Doch es ist unklar, ob tatsächlich deutsche Ermittlungsbehörden oder Nachrichtendienste – oder überhaupt staatliche Stellen – hinter dem Programm stecken.
noch eine ergänzende Anmerkung zur Seriosität der Enthüllung des CCC. Es sollte gerade Journalisten klar sein, dass der CCC schlecht mitteilen kann, aus welchem Verfahren die Software stammt, die dem CCC zugespielt worden ist, weil man sonst den Informanten ans Messer liefern würde. Man darf allerdings getrost annehmen, dass die Information nicht aus obskuren Quellen stammt, sondern aus einem polizeilichen Verfahren.