Stoppt den Überwachungsstaat! Jetzt klicken & handeln Willst du auch an der Aktion teilnehmen? Hier findest du alle relevanten Infos und Materialien:

10 Oktober 2011

HaHa!! BKA fahndet bei Landesbehörden nach Staatstrojaner


UNGLAUBLICH

BKA fahndet bei Landesbehörden nach Staatstrojaner

Montag, 10. Oktober 2011, 15:48 Uhr

Berlin (Reuters) - Bundeskanzlerin Angela Merkel hat sich in die Trojaner-Affäre eingeschaltet, bei der immer stärker die Landesbehörden ins Visier geraten.

"Die Bundeskanzlerin wird sich zum Ergebnis der Untersuchungen auf dem laufenden halten lassen", sagte Regierungssprecher Steffen Seibert am Montag in Berlin. Nachdem die Bundesregierung den Einsatz eines illegalen Spähprogramms dementiert hat, soll das Bundeskriminalamt nun prüfen, ob die Landesbehörden einen solchen Trojaner eingesetzt haben. Auch Justizministerin Sabine Leutheusser-Schnarrenberger forderte Aufklärung darüber, ob ein oder mehrere Länder mit dem Trojaner Computer ausspähten. Der Chaos Computerclub (CCC) geht davon aus, dass das Spähprogramm von verschiedenen Landeskriminalämtern eingesetzt wurde. Der Bundesdatenschutzbeauftragte Peter Schaar will die von den Sicherheitsbehörden eingesetzte Überwachungssoftware unverzüglich überprüfen.

Bundesinnenminister Hans-Peter Friedrich versicherte erneut, es gebe keine Hinweise, dass es sich bei dem Spähprogramm um einen Bundestrojaner handle. "Computer-Überwachungsmaßnahmen finden ausschließlich im Rahmen der gesetzlichen Vorgaben statt, in jedem der wenigen Ausnahmefälle nach Anordnungen von Gericht beziehungsweise Staatsanwaltschaften", erklärte der CSU-Politiker. Ein Sprecher seines Ministeriums sagte weiter, bei dem vom Computerclub entdeckten Trojaner handle es sich um eine etwa drei Jahre alte Version der Software, die im Geschäftsbereich des Bundesinnenministeriums nicht eingesetzt worden sei.

http://www.faz.net/polopoly_fs/1.1486520.1318104289!/image/3251345485.jpg_gen/derivatives/article_top_teaser/3251345485.jpg

Sollten sich die Vorwürfe des Computerclubs bestätigen, wäre dies höchst beunruhigend, sagte der Datenschützer Schaar der "Neuen Osnabrücker Zeitung". Es dürfe nicht sein, dass beim Abfangen verschlüsselter Internet-Kommunikation auf dem Computer durch die Hintertür auch eine Online-Durchsuchung des gesamten Rechners durchgeführt werden könne. Die Überwachung verschlüsselter Kommunikation müsse rechtlich wie technisch scharf von der Online-Durchsuchung getrennt werden. Die Sicherheitsbehörden arbeiteten jedoch teilweise in einer rechtlichen Grauzone, da der Einsatz von Überwachungssoftware nur lückenhaft geregelt sei. "Während für das Bundeskriminalamt zur Abwehr schwerster Verbrechen eindeutige gesetzliche Vorgaben bestehen, fehlen vergleichbar klare Auflagen für Polizei und Staatsanwaltschaft im Bereich der Strafverfolgung", bemängelte Schaar. Hier sei der Gesetzgeber gefordert.


CCC-Sprecher Frank Rieger erklärte, der Club habe sehr konkrete Hinweise, dass das Spähprogramm bei verschiedenen Landeskriminalämtern zum Einsatz gekommen sei. Das aktuellste Muster stamme vom Dezember 2010, sagte er der Internetausgabe der "Bild"-Zeitung. Das Blatt zitierte den Rechtsanwalt Patrick Schladt mit den Worten, einer der Trojaner stamme von der Festplatte eines seiner Mandanten. Es handle sich um einen "Screenshot"-Trojaner, der von den bayerischen Behörden kontrolliert worden sei.

Der CCC hatte am Wochenende erklärt, er habe die Software eines Staatstrojaners geknackt, die von Sicherheitsbehörden zur Überwachung der Kommunikation von Verdächtigen benutzt werde. Dieses Programm nehme wesentlich umfassendere Eingriffe vor als gesetzlich erlaubt und habe zahlreiche Sicherheitslücken, die Dritten Zugriff auf die Daten der Abgehörten gebe.

Leutheusser-Schnarrenberger forderte Aufklärung, ob ein derartiger Trojaner bei einer Behörde zum Einsatz komme. Das Bundesverfassungsgericht habe klar die Vorgabe gemacht, dass dies nur unter strengen Auflagen zulässig sei, sagte sie der ARD. "Wenn es das gäbe, was der Chaos Computer Club behauptet, dann wäre das ja nicht mit unserem Recht und der Rechtsprechung vereinbar", betonte die Ministerin. "Dann müssen geeignete Wege gefunden werden, das zu untersagen."

http://static.gulli.com/media/2011/01/thumbs/370/Sicher-surfen-by-lalajoe.jpg

Das Bundesverfassungsgericht hatte im Februar 2008 die Online-Durchsuchung zur Strafverfolgung und präventiven Zwecken unter strengen Auflagen für zulässig erklärt. Voraussetzung ist, dass eine konkrete Gefahr für Menschenleben oder den Bestand des Staates existiert. Außerdem muss ein Richter die Online-Durchsuchung anordnen; intime Daten müssen geschützt bleiben oder sofort gelöscht werden. Das BKA darf laut dem BKA-Gesetz von 2008 private Computer heimlich ausspähen. Das Verfahren sollte nach den Worten des damaligen Innenministers Wolfgang Schäuble aber nur in wenigen, sehr gewichtigen Fällen im Kampf gegen den Terrorismus angewandt werden.



netzpolitik.org: Was ist der Unterschied zwischen einer Onlinedurchsuchung und einer Quellen-TKÜ?

Ulf Buermeyer: Der technische Unterschied ist relativ gering – aus rechtlicher Sicht muss man aber beides auseinander halten:

In beiden Fällen wird ein Trojaner eingespielt, der im Prinzip die volle Kontrolle über den Rechner erlaubt. Digital hat der Staat dann also "den Fuß in der Tür" – er kann durch bloßes Nachladen von Modulen alles Mögliche mit dem Zielrechner anstellen. Daher sind beide Maßnahmen technisch auf das engste verwandt.

Der Unterschied liegt nur in der exakten Funktion: Bei der Quellen-TKÜ darf lediglich Kommunikation "abgeschnorchelt" werden, um den schönen Begriff von Constanze Kurz zu zitieren – also all das, was man auch bei einer "normalen" TKÜ über den Provider / Telefonanbieter mitlesen könnte. Screenshots oder der Zugriff auf die Festplatte sind nicht erlaubt.

Eine Online-Durchsuchung hingegen bedeutet grundsätzlich vollen Zugriff auf den Computer – also all das, was der CCC bei den nun analysierten Trojanern gefunden hat. Beide Funktionen – Online-Durchsuchung und Quellen-TKÜ – sind nach der Entscheidung des Bundesverfassungsgerichts nach dem Grundgesetz zwar möglich. Man braucht dann aber unbedingt eine spezielle rechtliche Grundlage. Die gibt es bislang z.B. im BKA-Gesetz. Für strafrechtliche Ermittlungen – um die es hier geht – gibt es aber bisher kein Gesetz; die Polizeigesetze erlauben die Eingriffe nur zur Abwehr von zukünftigen Gefahren, aber nicht zur Verfolgung vergangener Straftaten.

netzpolitik.org: Der Chaos Computer Club hat auf verschiedenen Festplatten einen Trojaner gefunden, der sehr wahrscheinlich von Sicherheitsbehörden eingesetzt wurde. Ist der Einsatz eines solchen Trojaners legal?

Ulf Buermeyer: Eindeutig Nein; solche Software darf es niemals geben, und zwar weil sie auch das Einspielen von Daten auf dem Zielsystem erlaubt. Das ist unter Geltung des Grundgesetzes stets unzulässig, wie das Bundesverfassungsgericht entschieden hat: Selbst eine Online-Durchsuchung darf eben nur durchsuchen und nicht manipulieren.

Aus informationstechnischer Sicht ist diese juristische Differenzierung aber wenig sinnvoll: Die Integrität eines Systems ist stets verletzt, sobald Software eingespielt wird – egal ob die dann nur lesen oder auch schreiben kann. Insofern kann man mit guten Gründen bezweifeln, ob es überhaupt einen rechtmäßigen Fernzugriff durch Einspielen von Software geben kann.

netzpolitik.org: Was sind die klaren Grenzen, die das BVerfg beim IT-Grundrecht zugelassen hat, um möglicherweise eine Onlinedurchsuchung durchzuführen?

Ulf Buermeyer: Das Bundesverfassungsgericht hat die großen Gefahren gesehen, die vom Einsatz einer staatlich gesteuerten Überwachungssoftware ausgehen. Es hat daher sehr hohe Hürden aufgestellt: Nur bei einer konkreten Gefahr für "ein überragend wichtiges Rechtsgut" sind solche Maßnahmen möglich, das bedeutet Leib, Leben, Freiheit der Person oder "solche Güter der Allgemeinheit, deren Bedrohung die Grundlagen oder den Bestand des Staates oder die Grundlagen der Existenz der Menschen berührt" – also zB wenn jemand einen Bombenanschlag auf ein AKW plant. Zur Strafverfolgung ist eine solche Maßnahme verfassungsrechtlich zwar auch zulässig, aber wohl nur bei Straftaten, die mindestens so schwer wiegen wie die genannten Gefahren.

netzpolitik.org: Ist Ihnen Trojaner-Software bekannt, womit man rechtlich einwandfrei eine Quellen-TKÜ durchführen könnte?

Ulf Buermeyer: Nein; bisher nicht. Vor allem aber fehlt es an einer Rechtsgrundlage, um sie im Strafverfahren einsetzen zu können. Wenn der Bundestag der Meinung ist, die mit jedem Trojaner verbundenen Gefahren in Kauf nehmen zu wollen, ob nun für Online-Durchsuchung oder Quellen-TKÜ, dann muss er die Strafprozessordnung entsprechend ändern und dort Regelungen vorsehen, wie man so etwas durchführen kann. Das hat das Bundesverfassungsgericht ausdrücklich so verlangt.

Unverständlicherweise werden derzeit aber gelegentlich bereits Quellen-TKÜ-Maßnahmen mittels Trojaner angeordnet, und zwar nach denselben Regeln, die für "normales" Telefon-Abhören gelten – gerade so, als gäbe es die besonderen Gefahren von Trojanern nicht, vor denen sogar das Bundesverfassungsgericht warnt und die der CCC nun wieder aufgedeckt hat. Diese Rechtsansicht ist verfassungsrechtlich unhaltbar und wird auch nur von einigen wenigen Richtern geteilt, während die Rechtswissenschaft diese Anordnungen einhellig als Bruch der Entscheidung zur Online-Durchsuchung kritisiert. Es scheint, als hätten die Verantwortlichen die enormen Risiken von Trojanern völlig unterschätzt.

Die Konsequenz der Erkenntnisse des CCC kann jedenfalls aus meiner Sicht nur lauten: Quellen-TKÜ-Maßnahmen darf es zukünftig allenfalls dann geben, wenn der Gesetzgeber das ausdrücklich so vorsieht. Eine Quellen-TKÜ ist etwas völlig anderes als eine normale Telefonüberwachung. Die Justiz darf sich ihre Rechtsgrundlagen nicht selbst zurechtbasteln – und sie kann offensichtlich auch gar nicht effektiv kontrollieren, was die Polizei mit ihren Beschlüssen letztlich anstellt.

netzpolitik.org: Hans-Peter Uhl verkündete in einer Pressemitteilung, dass die Justizministerin Schuld sei, dass es keine Rechtsgrundlage geben würde. Kann es eine solche Rechtsgrundlage für den jetzt entdeckten Trojaner geben, wenn das BVerfg klare Vorgaben gibt?

Ulf Buermeyer: Es gibt klare Vorgaben des BVerfG, und z.B. im BKA-Gesetz sind sie auch schon umgesetzt – wenn auch eventuell nicht ganz zutreffend; die entsprechende Verfassungsbeschwerde liegt derzeit noch in Karlsruhe. Richtig ist jedenfalls, dass es keine Rechtsgrundlage für Quellen-TKÜ oder Online-Durchsuchung für die Strafverfolgung gibt. Richtig ist aber auch, dass sich Teile der Justiz die fehlende Rechtsgrundlage einfach selbst schaffen, indem sie die Regeln für "normale" Telefonüberwachungen für anwendbar erklären. Insofern hat Herr Uhl durchaus Recht, wenn er eine saubere Rechtsgrundlage fordert: Immerhin würde dann der Trojaner-Einsatz im verfassungsrechtlichen Abseits gestoppt. Ein entsprechendes Gesetz müsste aber sehr strenge technische Vorgaben machen, um Exzesse wie bei den nun aufgedeckten Trojanern wirksam auszuschließen.

netzpolitik.org: In dem jetzt aufgedeckten Fall in Bayern geht es nicht um Terrorismus, sondern um Betäubungsmittel. Zählt dies zur Definition "schwerster Kriminalität", wonach laut BMI der Einsatz einer Quellen-TKÜ gestattet sei? Oder gibt es andere Rechtsgrundlagen, um in einem solchen Fall eine Quellen-TKÜ durchzuführen?

Ulf Buermeyer: Wie gesagt, es gibt derzeit gar keine Rechtsgrundlage für strafrechtliche Quellen-TKÜ-Maßnahmen. Eine klassische Telefonüberwachung kann man wegen "Drogenhandels" durchaus anordnen. Im konkreten Fall kenne ich die Akten nicht, insofern ist das schwer einzuschätzen. Das LG Landshut jedenfalls hielt dies für zulässig.

netzpolitik.org: Wieso hat die Staatsanwaltschaft in diesem einen Fall in Bayern die Ermittlungen nicht gestoppt? Gibt es ausreichend Kontrollmöglichkeiten in solchen Fällen (Was müsste gemacht werden, wenn nicht?)

Ulf Buermeyer: Wir müssen abwarten, welche Details ans Licht kommen. Nach meinen Informationen hat die Staatsanwaltschaft in Landshut zwar – insoweit auch schon zu Unrecht – eine Quellen-TKÜ beantragt. Dass der konkret verwendete Trojaner noch viel mehr konnte, haben die Verantwortlichen bei der Staatsanwaltschaft aber vermutlich selbst nicht gewusst. Was das LKA genau wusste, wird allerdings noch zu klären sein, nicht zuletzt durch die Staatsanwaltschaft: Die LKA-Beamten könnten sich ja selbst strafbar gemacht haben – schließlich war das offenbar staatliches Hacking ohne rechtliche Grundlage.

netzpolitik.org: Vielen Dank für das Interview.