Newer posts are loading.
You are at the newest post.
Click here to check if anything new just came in.

February 19 2012

Bundesdatenschutzbeauftragter kritisiert Bundestrojaner deutlich

Der Bundesdatenschutzbeauftragte Peter Schaar hat den Einsatz einer Überwachungssoftware der Fa. DigiTask (“Bundestrojaner“) durch Bundesbehörden in seinem “Bericht gemäß § 26 Abs. 2 Bundesdatenschutzgesetz über Maßnahmen der Quellen-Telekommunikationsüberwachung bei den Sicherheitsbehörden des Bundes“ erheblich beanstandet.

Für besonders interessant halte ich die Ausführungen Schaars im Hinblick auf die technischen Anforderungen an derartige Überwachungssysteme.

Bei der technischen Umsetzung sind laut Schaar aus rechtlichen Gründen eine Reihe technischer Maßnahmen durchzuführen, die weit über die Anforderungen an gängige Überwachungssoftware hinausgehen.

In dem Papier des Bundesbeauftragten heißt es u.a., dass Software für Maßnahmen der Quellen-TKÜ technisch nicht wie Schadsoftware, Viren, Spionageprogramme und Hackerprogramme funktionieren kann. Sie muss vielmehr die gesetzlichen Vorgaben und Standards des Datenschutzes und der IT-Sicherheit erfüllen. Hierzu gehören Maßnahmen zu Gewährleistung der Transparenz, Vertraulichkeit, Verfügbarkeit und Unversehrtheit, aber auch zu Revisionssicherheit und Löschbarkeit.

Schaar hält hierzu die Vorlage des Quellcodes und einer umfassenden Dokumentation für unerlässlich.

Außerdem müsse laut Schaar sichergestellt sein, dass die Daten auf dem Weg zur Sicherheitsbehörde nicht verändert oder verfälscht werden können, woraus sich strenge Anforderungen an die Daten- und Instanzauthentisierung ergeben. Da aufgrund verfassungsrechtlicher und gesetzlicher Vorgaben der Kernbereich privater Lebensgestaltung besonders geschützt ist, muss die für die Maßnahme eingesetzte Software außerdem in der Lage sein, nach der Speicherung der Informationen jederzeit eine gezielte Löschung kernbereichsrelevanter Inhalte durchzuführen.

Um eine Kontrolle durch den Betroffenen oder eine Datenschutzbehörde zu ermöglichen, ist eine Protokollierung der wichtigsten Rahmenbedingungen und zu den übermittelten Daten erforderlich. Schaar merkt außerdem an, dass in der Software keine Funktionen vorhanden sein dürfen, die über die gesetzlich vorgesehenen Überwachungsmaßnahmen hinaus gehen. Es müsse sichergestellt werden, dass keine über die Überwachung der laufenden Telekommunikation hinausgehende Überwachung stattfindet.

Schaar weist schließlich darauf hin, dass beim Bundestrojaner weder der Quellcode noch eine hinreichende Programmdokumentation vorliegt, weshalb die notwendige und vom BKA vorzunehmende Prüfung der Software, erst gar nicht möglich sei.

Der Bundesdatenschutzbeauftragte kommt insoweit zu dem Ergebnis,dass ein schwerwiegender Verstoß gegen die Regelungen des § 9 BDSG und § 20k BKAG vorliegt.

 

November 29 2011

Update zum Bayerntrojaner

Die Grünen im bayerischen Landtag berichten über weitere Details zum Einsatz des sog. Bayerntrojaners. Interessant ist u.a., dass der Einsatz des Trojaners, insbesondere auch mit der Screenshot-Funktion, in mindestens einem Fall auch noch nach dem Beschluss des Landgerichts Landshut fortgesetzt worden ist.

Diese Form der Onlinedurchsuchung ist offensichtlich rechtswidrig. Ob die sog. Quellen-TKÜ – also die Überwachung der IP-Telefonie – zulässig ist, ist juristisch umstritten, aber nach richtiger Ansicht ebenfalls derzeit nicht mit den Vorgaben des BVerfG vereinbar.

Dass Bayern allein für die Softwarebeschaffung fast 400.000 EUR aufgewendet hat, ist ebenfalls äußerst instruktiv. Hier stellt sich dann auch die Frage, ob dieses Geld nicht besser in eine vernünftige IT-Ausstattung der Polizeibehörden gesteckt worden wäre, denn da liegt einiges im Argen.

Gegen die Weigerung der Staatsanwaltschaft München I gegen die Verantwortlichen des Trojanereinsatzes zu ermitteln, habe ich für die Piratenpartei Bayern übrigens zwischenzeitlich Sachaufsichtsbeschwerde zur Generalstaatsanwaltschaft München eingelegt.

November 16 2011

Staatsanwaltschaft will wegen des Bayerntrojaners nicht ermitteln

Vor einigen Wochen habe ich für die Piratenpartei Bayern Strafanzeige gegen den bayerischen Innenminister, den LKA-Präsidenten sowie weitere Personen erstattet, die an der Anordnung und Durchführung des Einsatzes des sog. Bayerntrojaners beteiligt waren.

Die Staatsanwaltschaft beim Landgericht München I hat, im Ergebnis wenig überraschend, die Einleitung eines Ermittlungsverfahrens und damit auch einen Antrag auf Aufhebung der parlamentarischen Immunität des Ministers mit Verfügung vom 26.10.11 abgelehnt.

Zur Begründung führt die Staatsanwaltschaft im Wesentlichen aus, dass es mit Blick auf die Straftatbestände der §§ 202a und 202c StGB bereits an einer Tatbestandsmäßigkeit fehle, weil insbesondere auch unter Berücksichtigung einer Entscheidung des Landgerichts Landshut, ein gerichtlicher Beschluss nach § 100a StPO vorgelegen habe, der den Trojanereinsatz gerechtfertigt habe. Sowohl die Installation der Software, als auch die anschließende Ausleitung der Daten seien deshalb nicht tatbestandsmäßig.

Wörtlich heißt es in der Verfügung:

Denn die Installation der betreffenden Software erfolgte gerade nicht unter Überwindung einer besonderen Sicherung, sondern auf der Grundlage der vorgenannten Gerichtsbeschlüsse

Man sollte sich nochmals vor Augen führen, was u.a. in dem Landshuter Verfahren geschehen ist. Die Staatsanwaltschaft beantragt auf Betreiben des LKA eine richterliche Anordnung für eine sog. Quellen-TKÜ, also eine Überwachung der IP-Telefonie. Hierbei lässt man den Ermittlungsrichter bewusst im Unklaren darüber, dass die eingesetzte Software weit mehr kann und im konkreten Fall zusätzlich auch eine Onlinedurchsuchung durchführt, für die es evident keine Rechtsgrundlage gibt.

Anschließend beruft man sich zur Rechtfertigung der Onlinedurchsuchung auf den richterlichen Beschluss. Man belügt also zuerst den Ermittlungsrichter, um sich anschließend darauf berufen zu können, dass man ja nur auf Basis einer richterlichen Anordnung gehandelt habe.

Diese rabulistische Argumentation hat allerdings einen entscheidenden Schwachpunkt. Die richterliche Anordnung des Amtsgerichts Landshut hat sich zu keiner Zeit auf die Durchführung einer Onlinedurchsuchung (Browser-Screenshots) erstreckt, sondern war explizit auf eine Quellen-TKÜ beschränkt. In dem Beschluss des Amtsgerichts hieß es wörtlich:

Unzulässig sind die Durchsuchung eines Computers nach bestimmten auf diesem gespeicherten Daten sowie das Kopieren und Übertragen von Daten von einem Computer, die nicht die Telekommunikation des Beschuldigten über das Internet mittels Voice-over-IP betreffen

Der Ermittlungsrichter hatte also sogar ausdrücklich klargestellt, dass eine Übertragung von Daten vom Computer des Beschuldigten, die nicht die IP-Telefonie betreffen, unzulässig sind.

Hierüber haben sich die Behörden dann gezielt hinweggesetzt und eine Software installiert, die zehntausende von Browser-Screenshots an das LKA – und das noch dazu über den Umweg eines US-Servers – geschickt hat.

Davon, dass das LKA auf Grundlage einer richterlichen Gestattung tätig geworden wäre, kann bei dieser Sachlage wahrlich nicht die Rede sein.

Die Verfügung der Staatsanwaltschaft enthält des weiteren die bemerkenswerte Aussage, dass dahingestellt bleiben kann, ob die Einzelfallentscheidung des Landgerichts Landshut zur zusätzlichen Anfertigung von Screenshots allgemein übertragbar sei und deshalb von eine grundsätzliche Rechtswidrigkeit auszugehen sei. Denn obergerichtliche Rechtsprechung existiert, so die Staatsanwaltschaft, zu dieser Frage bislang jedenfalls noch nicht.

Diese Aussage ist erstaunlich, wenngleich sachlich und juristisch falsch. Zwischen der Entscheidung des Ermittlungsrichters und der des Landgerichts besteht kein Widerspruch. Der Ermittlungsrichter hatte eine Onlinedurchsuchung ausdrücklich verboten, das LKA hat dennoch eine durchgeführt. Das Landgericht hat anschließend lediglich festgestellt, dass die durchgeführte Onlinedurchsuchung rechtswidrig war.

Dass man die Einleitung eines Ermittlungsverfahrens deshalb ablehnt, weil noch keine obergerichtliche Entscheidung vorliegt, ist ein interessantes Novum.

Zu dieser Frage mag in der Tat keine obergerichtliche Rechtsprechung existieren, aber es existiert eine des Bundesverfassungsgerichts, die sehr klar darstellt unter welchen Voraussetzungen eine Onlinedurchsuchung überhaupt in Betracht kommt. Nachdem es in der Strafprozessordnung aber noch nicht einmal eine formelle Rechtsgrundlage für eine Onlinedurchsuchung gibt, ist eine solche nach einhelliger juristischer Ansicht unzulässig.

Wenn es also noch eines Beweises bedurft hat, dass die bayerischen Staatsanwaltschaften in bestimmten Fällen nach politischen Kriterien ermitteln, dann ist er spätestens jetzt erbracht. Oder um es mit Benjamin Franklin zu sagen: “Nur die Lüge braucht die Stütze der Staatsgewalt, die Wahrheit steht für sich alleine”.

Das Internet ist in der Tat gelegentlich ein rechtsfreier Raum und zwar dann, wenn es um die Ahndung rechtswidriger und strafbarer Ermittlungsmethoden geht.

Update:
Wegen der vielen Nachfragen noch eine ergänzende Bemerkung. Die Piratenpartei Bayern wird in den nächsten Tagen den (formlosen) Rechtsbehelf der Sachaufsichtsbeschwerde zur Generalstaatsanwaltschaft erheben. Mehr ist derzeit nicht möglich, da förmliche Rechtsbehelfe, wie ein Klageerzwingungsverfahren, nur einem Betroffenen zur Verfügung stehen. Nur wenn sich also ein Betroffener findet, auf dessen Rechner heimlich der Bayerntrojaner installiert worden ist, wird es möglich sein, die Verweigerungshaltung der Staatsanwaltschaft gerichtlich überprüfen zu lassen.

October 22 2011

Innenminister Friedrich diskutiert auf Google+ über den Bundestrojaner

Bundesinnenminister Friedrich hat ein Profil auf Google Plus und diskutiert dort auch über den Trojaner. Der Account dürfte echt sein, nachdem er auch auf seiner Website verlinkt ist. Ob er selbst schreibt oder nur ein Mitarbeiter, ist eine andere Frage.

Aktuell wird dort über ein Interview Friedrichs mit der Mitteldeutschen Zeitung “Es geht nicht gegen den Bürger” diskutiert. Ich habe dort zusammen mit einigen anderen bereits kommentiert. Vielleicht wollt Ihr / wollen Sie ja auch noch einsteigen?

October 19 2011

“Das Land wird von Sicherheitsbeamten regiert”

Die heutige aktuelle Stunde im deutschen Bundestag zum Thema Behördentrojaner offenbarte phasenweise starke kaberettistische Züge und mutete stellenweise wie eine Episode von “Neues aus der Anstalt” an. In Abwesenheit von Innenminister Friedrich durfte Hans-Peter Uhl die Rolle des Anstaltsleiters übernehmen.

Den einsamen Höhepunkt der Rede Uhls bildete allerdings nicht das naheliegende CCC-Bashing, sondern folgende Aussage:

“Das Land wird von Sicherheitsbehörden geleitet (…) es wird regiert von Sicherheitsbeamten”

Das ist das Outing eines Zwangsdemokraten. Für ein Land, das von Sicherheitsbehörden geleitet und regiert wird, gibt es einen äußerst prägnanten Begriff: Polizeistaat. Dessen Apologet Hans-Peter Uhl hat heute für die Union im Bundestag gesprochen. Wirkliche Angst kann einer wie Uhl dennoch nicht mehr verbreiten. Dafür agiert sein Widersacher der CCC zu überzeugend und zu souverän. Und das haben mittlerweile auch die Kommentatoren der konservativen Presse erkannt.

 

 

October 18 2011

(Un)Zulässigkeit von Staatstrojanern

Die juristische Fachzeitschrift K&R hat einen ganz aktuellen Aufsatz (K&R 2011, 681) von Frank Braun online veröffentlicht, der sich mit der Frage beschäftigt, ob ein rechtmäßiger Einsatz von Trojanern zum Zwecke der Strafverfolgung überhaupt in Betracht kommt und ob die Vorschriften der §§ 100a, 100b StPO eine ausreichende Grundlage für eine sog. Quellen-TKÜ darstellen.

Das Fazit des Autors ist eindeutig:

Die Rechtslage war stets klar: Die Nutzung von Staatstrojanern und der damit verbundene Grundrechtseingriff sind unzulässig, solange nicht 1. eine rechtskonforme Software und 2. eine den Vorgaben des BVerfG entsprechende Ermächtigungsnorm existiert.

Braun betont, dass technisch gewährleistet werden müsse, dass die Funktionen des Trojaners auf eine Quellen-TKÜ beschränkt bleiben, dass aber ungeachtet dessen, die §§ 100a, 100b StPO in ihrer jetzigen Ausgestaltung keine ausreichende Rechtsgrundlage für eine solche Quellen-TKÜ darstellen.

Diese Ansicht deckt sich mit der herrschenden Meinung in der juristischen Literatur, auch wenn einige Gerichte das anders entschieden haben, viele Staatsanwaltschaften dies anders praktizieren und auch in der politischen Diskussion Gegenteiliges behauptet wird.

 

October 12 2011

Die Quellen-TKÜ

In der aktuellen Diskussion um den Einsatz eines “Staatstrojaners” durch Landeskriminalämter verschiedener Bundesländer wird seitens der Sicherheitsbehörden immer damit argumentiert, dass man lediglich eine sog. Quellen-TKÜ durchführe, die richterlich genehmigt worden sei.

Was hat es also mit dieser Quellen-TKÜ auf sich? Die Quellen-Telekommunikationsüberwachung zielt auf das Abhören von IP-Telefonaten (Skype) ab. Die simple juristische Grundüberlegung dahinter ist die, dass in den Fällen, in denen eine Überwachung der herkömmlichen Telefonie nach der Strafprozessordnung zulässig ist, auch das Abhören von Internet-Telefonaten zulässig sein muss, weil es sich in beiden Fällen um Sprachtelefonie handelt, auch wenn sie technisch grundlegend unterschiedlich sind.

Das leuchtet zwar auf den ersten Blick ein, aber bereits bei der Frage der technischen Umsetzung zeigt sich, dass die Überwachung der IP-Telefonie eine ganz andere Eingriffsintensität erfordert als die der herkömmlichen Sprachtelefonie.

Schon an diesem Punkt stellt sich allerdings auch die Frage, warum man sich insbesondere im Fall von Skype nicht direkt an den Anbieter wenden kann, wie man das bei der herkömmlichen TKÜ auch macht. Hier wird seitens der deutschen Justiz immer behauptet, den Ermittlungsbehörden würde die Möglichkeit eines Zugriffs direkt über den Anbieter Skype nicht zur Verfügung stehen. Das wird beispielsweise vom Richter am Oberlandesgericht Wolfgang Bär in einer aktuellen Urteilsbesprechung ausdrücklich wieder betont (MMR 2011, 691 f.). Demgegenüber deutet die Formulierung in den Datenschutzbedingungen von Skype an, dass das Unternehmen Verkehrsdaten und Kommunikationsinhalte auf Aufforderung an die “zuständigen Behörden” übermittelt. Andere europäische Staaten nutzen diese Möglichkeit nach Medienberichten auch.

Sollte dies tatsächlich möglich sein, wäre eine Quellen-TKÜ in jedem Fall unzulässig, weil ein Abgreifen von Gesprächsinhalten direkt bei Skype das mildere Mittel darstellt und die Quellen-TKÜ damit unverhältnismäßig wäre. Ein Aspekt den Ulf Buermeyer im “Küchenradio” anspricht. Buermeyer, der Richter am Landgericht Berlin ist und früher wissenschaftlicher Mitarbeiter am BVerfG war, erläutert in diesem hörenswerten Format die juristischen Zusammenhänge in lockerem Plauderton.

Die Quellen-TKÜ setzt zwingend voraus, dass die Polizei auf dem Computer bzw. Endgerät des Betroffenen (heimlich) eine Software installiert, die dort vor der Verschlüsselung – also an der Quelle – die Gesprächsinhalte anzapft. Diese heimliche Infiltration eines Computers stellt einen deutlich schwerwiegenderen Eingriff dar, als die klassische Telefonüberwachung. Bereits deshalb ist die Gleichsetzung beider Arten der Telefonie problematisch. Denn man muss die verfassungsmäßige Rechtfertigung nach der Schwere des Eingriffs beurteilen und nicht danach, ob es sich in beiden Fällen um vergleichbare Formen von Telefonie handelt. Hierin liegt eines der Grundprobleme der Betrachtungsweise der Sicherheitspolitiker und Polizeibehörden.

Das Bundesverfassungsgericht hat klargestellt, dass eine Onlinedurchsuchung nur in extremen Ausnahmefällen zulässig sein soll. In der gleichen Entscheidung hat man aber die sog. Quellen-TKÜ zugelassen, wenn sichergestellt ist, dass keine weiterreichenden Überwachungsmaßnahmen durchgeführt werden.

Diese Differenzierung ist hochproblematisch, weil sich die Onlinedurchsuchung und die Quellen-TKÜ in technischer Hinsicht zunächst nicht unterscheiden, nachdem in beiden Fällen die Installation von Software auf einem Computer/Endgerät des Betroffenen erforderlich ist.

Außerdem verfügt das Strafprozessrecht bislang über keine eigenständige Rechtsgrundlage für die sog. Quellen-TKÜ, weshalb sich einige Gerichte (zuletzt beispielsweise das Landgericht Hamburg und das Landgericht Landshut) mit einer großzügigen Ausweitung des geltenden Rechts behelfen und die Maßnahme nach § 100a StPO zulassen. Hiergegen sind in der juristischen Literatur durchgreifende Bedenken vorgebracht worden, u.a. von Albrecht und Buermeyer/ Bäcker.

Es muss hier auch die Frage gestellt werden, ob die juristisch nachvollziehbare Differenzierung zwischen Onlineüberwachung und Quellen-TKÜ in technischer Hinsicht überhaupt trennscharf möglich ist. Wenn das nämlich nicht der Fall ist – und dafür sprechen die Analysen des CCC – dann ist das BVerfG in tatsächlicher Hinsicht von unzutreffenden Annahmen ausgegangen.

Update vom 13.10.11:
Ulf Buermeyer hat ein kleines Einmaleins der Quellen-TKÜ (nicht nur) für Ermittlungsrichter verfasst.

October 10 2011

“nur soweit es die gesetzlichen Vorgaben erlauben”

Immer mehr Bundesländer räumen ein, den Behördentrojaner einzusetzen. Der niedersächsische Innenminister Schünemann betont laut NDR, der Einsatz erfolge “nur, soweit es die gesetzlichen Vorgaben erlauben”. Sein bayerischer Amtskollege Herrmann behauptet, dass man den Trojaner lediglich für die Quellen-TKÜ und ausschließlich im Rahmen der Vorgaben des BVerfG einsetze.

Die Aussage Herrmanns ist allein deshalb falsch, weil ein rechtswidriger Einsatz des Bayerntrojaners bereits gerichtlich festgestellt worden ist.

Für den Einsatz eines Trojaners mit einer Funktionalität wie sie der CCC beschrieben hat, besteht zumindest im Bereich der Strafprozessordnung keinerlei Rechtsgrundlage. Eine Onlinedurchsuchung ist in der StPO nicht vorgesehen. Nach den Vorgaben des BVerfG wäre eine solche Maßnahme auch nur dann zulässig, wenn tatsächliche Anhaltspunkte einer konkreten Gefahr für ein überragend wichtiges Rechtsgut bestehen. Das sind Leib, Leben und Freiheit einer Person oder solche Güter der Allgemeinheit, deren Bedrohung die Grundlagen oder den Bestand des Staates oder die Grundlagen der Existenz der Menschen berührt.

Die bayerische Staatsregierung hatte aber bereits eingeräumt, dass mithilfe des Bayerntrojaners Straftaten wie banden- und gewerbsmäßiger Betrug oder Handel mit Betäubungs- und Arzneimitteln aufgeklärt werden sollen. Damit steht aber auch der Rechtsverstoß des LKA fest, denn in diesen Fällen sind die erheblichen Einschränkung des BVerfG missachtet worden.

Auch der Hinweis auf die ohnehin äußerst umstrittene Quellen-TKÜ verfängt übrigens nicht. Denn die heimliche Installation eine Software, die Browser-Screenshots machen und andere Daten des Nutzers erfassen und übermitteln kann, infiltriert ein informationstechnisches System.

Die Innenminister Herrmann und Schünemann, die diese Praxis sehenden Auges rechtfertigen, haben den Boden unseres Grundgesetzes verlassen.

Die Gerichte müssen sich gut überlegen, ob sie künftig Anträgen auf Anordnung einer sog. Quellen-TKÜ überhaupt noch stattgeben können, denn diese gehen augenscheinlich regelmäßig mit einer unzulässigen Onlinedurchsuchung Hand in Hand.

Eine Erläuterung der Rechtslage bietet der Richter am Landgericht Ulf Buermeyer  in einem Interview mit rechtspolitik.org. Lesen!

Die Diskussion nach der Trojaner-Enthüllung des CCC

Während sich eine ganze Reihe von Politikern angesichts der Enthüllungen des Chaos Computer Clubs (CCC) beunruhigt zeigen – natürlich hat wieder einmal niemand etwas gewusst – fordert der innenpolitische Hardliner der CDU Wolfgang Bosbach Beweise vom CCC. Warum er das tut, bleibt aber unklar, weil Bosbach sogleich ergänzt, dass er auf heimlich installierte Computerprogramme nicht generell verzichten will.

Das Bundesverfassungsgericht hat hierzu entschieden, dass die heimliche Infiltration eines informationstechnischen Systems, mittels derer die Nutzung des Systems überwacht und seine Speichermedien ausgelesen werden können, verfassungsrechtlich nur zulässig ist, wenn tatsächliche Anhaltspunkte einer konkreten Gefahr für ein überragend wichtiges Rechtsgut bestehen. Überragend wichtig sind Leib, Leben und Freiheit der Person oder solche Güter der Allgemeinheit, deren Bedrohung die Grundlagen oder den Bestand des Staates oder die Grundlagen der Existenz der Menschen berührt.

Vor diesem Hintergrund ist für heimlich installierte Software verfassungsmäßig wenig Raum, Trojaner wie sie der CCC vorgefunden hat, können verfassungskonform überhaupt nicht eingesetzt werden.

Dass die Rechtspraxis ganz anders aussieht, beweist der Einsatz des Bayerntrojaners durch das bayerische LKA. Man muss jetzt nur eins und eins zusammenzählen, um zu erkennen, dass dies einer der Fälle ist, die der CCC untersucht hat.

In solchen Fällen werden übrigens auch die Gerichte belogen, bei denen die zuständige Staatsanwaltschaft die notwendige richterliche Anordnung einholt. Weil es für eine Onlinedurchsuchung keine rechtliche Grundlage gibt, wird eine “Quellen-TKÜ” nach § 100a StPO beantragt, um die Telefonie mittels Skype zu überwachen. Dass anschließend allerdings ein Trojaner installiert wird, der noch weit mehr macht, muss den Gerichten natürlich verschwiegen werden. Damit wird allerdings der Richtervorbehalt, dessen Effizienz ohnehin stark überschätzt wird, vollkommen ad absurdum geführt.

Vielleicht findet ja jetzt eine parlamentarische Aufarbeitung in den Landtagen und im Bundestag statt. Das wäre in Bayern freilich nach dem Bekanntwerden des Einsatzes des Bayerntrojaners ohnehin nötig gewesen, zumal das bayerische Justizministerium längst eingeräumt hatte, dass der Trojaner mindestens in fünf Fällen zum Einsatz gekommen ist. Die bayerische Staatsregierung scheint mit diesem evident rechtswidrigen Vorgehen des LKA und der Staatsanwaltschaften offenbar aber keine Probleme zu haben.

Update:
Es ist jetzt auch bekannt, dass zumindest einer der Fälle des CCC in Bayern spielt und der Trojaner vom bayerischen LKA im Rahmen eines Ermittlungsverfahrens eingesetzt worden ist. (via vieuxrenard)

October 09 2011

O’zapft is: Überwachungsrepublik Deutschland

Dem Chaos Computer Club (CCC) wurde der Quellcode (Korrektur: es lagen wohl nur die Binärdateien vor) des sog. Behördentrojaners zugespielt, den man aus der öffentlichen Diskussion als Bundestrojaner und aus der Strafrechtspraxis auch als Bayern-Trojaner kennt.

Die Analyse des CCC ist ebenso erschreckend wie vorhersehbar. Das Tool ermöglicht eine umfassende Onlinedurchsuchung, die weit über das hinausgeht, was bislang offiziell bekannt war.

Man wusste bereits aus einer Entscheidung des Landgerichts Landshut, dass das bayerische LKA das Programm einem Verdächtigen während der Sicherheitsüberprüfung am Münchener Flughafen auf sein Notebook gespielt hatte und, dass das Tool immer dann, wenn der Verdächtige mit seinem Browser online war, alle 30 Sekunden einen Screenshot angefertigt hat, der dann an das LKA geschickt wurde. Im konkreten Fall waren es über 60.000 Screenshots, die das bayerische Landeskriminalamt auf diese Weise erlangt hat.

Die Analyse des CCC zeigt nun, dass die Software neben der Überwachung der Skype-Telefonie und der Aufzeichnung und Weiterleitung von Browser-Screenshots noch eine Reihe weiterer Überwachungsfeatures enthält. In der Pressemitteilung des CCC heißt es hierzu:

So kann der Trojaner über das Netz weitere Programme nachladen und ferngesteuert zur Ausführung bringen. Eine Erweiterbarkeit auf die volle Funktionalität des Bundestrojaners – also das Durchsuchen, Schreiben, Lesen sowie Manipulieren von Dateien – ist von Anfang an vorgesehen. Sogar ein digitaler großer Lausch- und Spähangriff ist möglich, indem ferngesteuert auf das Mikrophon, die Kamera und die Tastatur des Computers zugegriffen wird.

Zusätzlich bedenklich ist es, dass der Staatstrojaner die ausgespähten Daten zunächst an einen Server eines kommerziellen Providers in Ohio (USA) übermittelt. Offenbar ist den deutschen Behörden die Rechtswidrigkeit ihres Tuns bewusst, weshalb man es vermeidet, den Datenaustausch über einen deutschen, evtl. sogar behördlichen Server abzuwickeln.

Wenn man immer wieder hört – z.B. vom BKA – dass dieser Behördentrojaner nicht zum Einsatz kommt, sollte man dem keinen Glauben schenken. Die Strafverfolgung ist in Deutschland Ländersache, weshalb auf das BKA vermutlich tatsächlich die niedrigste Anzahl von Einsätzen entfallen dürfte. Demgegenüber scheinen die Landeskriminalämter und damit auch die Staatsanwaltschaften durchaus regelmäßigen Gebrauch von diesem Programm zu machen. In Bayern hat die Staatsregierung eingeräumt, dass der Trojaner in fünf Fällen zu Zwecken der Strafverfolgung eingesetzt worden ist. Man darf annehmen, dass die Situation in anderen Bundesländern ähnlich ist.

Die rechtliche Bewertung ist übrigens sehr eindeutig. Für eine (heimliche) Onlinedurchsuchung existiert in Deutschland derzeit überhaupt keine Rechtsgrundlage – und es wäre auch fraglich ob eine solche verfassungskonform ausgestaltet werden könnte – weshalb der Einsatz des Behördentrojaners evident rechtswidrig ist.

Lediglich im Bereich der Überwachung der IP-Telefonie sind einige Gerichte der Ansicht, dass sich eine sog. Quellen-TKÜ auf § 100a StPO stützen lässt. Aber auch insoweit ist in der juristischen Literatur überzeugend dargelegt worden – vgl. z.B. Albrecht und Buermeyer/ Bäcker – dass § 100a StPO keine tragfähige Grundlage für eine derartige Maßnahme bietet und auch die Quellen-TKÜ nach geltendem Recht rechtswidrig ist.

Aber selbst wenn man das anders sieht, ist der Einsatz des Tools, das der CCC analysiert hat, für Zwecke der Überwachung von Voice-Over-IP rechtswidrig, denn das Programm ist ja nicht auf derartige Maßnahmen beschränkt, sondern ermöglicht vielmehr eine umfassende und weitreichende Überwachung, für die unstreitig noch nicht einmal eine formelle Rechtsgrundlage besteht.

Die Analyse des CCC zeigt, dass sich die Polizeibehörden und Staatsanwaltschaften gerade im Bereich der Telekommunikationsüberwachung wenig darum schweren, ob ihre Maßnahmen rechtswidrig sind oder nicht und vielmehr die Neigung besteht, alles zu praktizieren, was technisch möglich ist.

Besonders bedenklich ist aber auch die Erkenntnis des CCC, dass das Programm keineswegs von fähigen Experten programmiert worden ist und deshalb Fehler und Sicherheitslücken enthält, die es ermöglichen, dass ein beliebiger Dritter die Kontrolle über einen von deutschen Behörden infiltrierten Computer übernehmen kann.

Die ausführliche Analyse des CCC war eines der meistdiskutierten Themen im Netz in den letzten 24 Stunden und zahlreiche Medien, u.a. die FAS in einem Leitartikel von Frank Schirrmacher, haben sich des Themas angenommen.

Und weil ich auf tagesschau.de folgendes lese,

Doch es ist unklar, ob tatsächlich deutsche Ermittlungsbehörden oder Nachrichtendienste – oder überhaupt staatliche Stellen – hinter dem Programm stecken.

noch eine ergänzende Anmerkung zur Seriosität der Enthüllung des CCC. Es sollte gerade Journalisten klar sein, dass der CCC schlecht mitteilen kann, aus welchem Verfahren die Software stammt, die dem CCC zugespielt worden ist, weil man sonst den Informanten ans Messer liefern würde. Man darf allerdings getrost annehmen, dass die Information nicht aus obskuren Quellen stammt, sondern aus einem polizeilichen Verfahren.

Older posts are this way If this message doesn't go away, click anywhere on the page to continue loading posts.
Could not load more posts
Maybe Soup is currently being updated? I'll try again automatically in a few seconds...
Just a second, loading more posts...
You've reached the end.

Don't be the product, buy the product!

Schweinderl