Als Georges Orwell im Jahre 1948 gerade seinen Roman über einen fiktiven Staat fertiggestellt hatte, in dem der allgegenwärtige "Große Bruder" alles und jeden überwacht und selbst die intimsten Gedanken jedes einzelnen Bürgers kennt, da lag "1984" aus seiner Sicht wohl noch in einer fernen Zukunft. Für uns ist 1984 Vergangenheit - Schnee von gestern. Trotzdem könnte man manchmal meinen, "1984" stünde uns erst noch bevor.
Dieser Verdacht drängt sich jedenfalls angesichts der Meldungen vom Wochenende unwillkürlich auf, denen zufolge dem "Chaos Computer Club" (
CCC) eine Kopie einer staatlichen Software für das heimliche Ausspähen von Computern zugespielt worden ist. Wie der CCC auf der Titelseite eines Berichts über seiner Analyse des Trojaners schreibt, hätten diejenigen, die das Programm auf ihren Computern gefunden hätten, einen
begründeten Anlass zu der Vermutung, dass es sich möglicherweise um einen "
Bundestrojaner" handeln könnte.
Der CCC hat die Software analysiert und kommt dabei zu ungeheuerlichen Erkenntnissen. Die dem Club zugespielte Software gehört der Kategorie "Quellen-Telekommunikationsüberwachung" (Quellen-TKÜ) an, die ausschließlich für das Abhören von Internettelefonie verwendet werden darf. Das gilt allerdings nur solange, wie dabei die Auflagen des Bundesverfassungsgerichtes vom 27.02.2008 eingehalten werden. Den Angaben des CCC zufolge werden diese Auflagen im Falle der untersuchten Software jedoch in keiner Weise eingehalten.
Die untersuchten Trojaner seien nicht nur dazu in der Lage, höchst intime Daten auszuleiten, sondern sie böten auch eine Fernsteuerungsfunktion zum Nachladen und Ausführen beliebiger weiterer Schadsoftware. Aufgrund von groben Design- und Implementierungsfehlern entstünden außerdem eklatante Sicherheitslücken in den infiltrierten Rechnern, die auch von Dritten ausgenutzt werden könnten.
Vom großen Lauschangriff ...
Die Funktionen der vom CCC analysierten Software gehen demnach weit über das Abhören von Kommunikation hinaus und verletzen die expliziten Vorgaben des Bundesverfassungsgerichtes. Wie der CCC auf seiner Internetseite weiter berichtet, ist offensichtlich von Anfang an eine Erweiterbarkeit auf die volle Funktionalität des Bundestrojaners vorgesehen.
Über das Durchsuchen, Schreiben, Lesen sowie Manipulieren von Dateien hinaus sei damit sogar ein digitaler "Großer Lausch- und Spähangriff" möglich, indem ferngesteuert auf das Mikrophon, die Kamera und die Tastatur des Computers zugegriffen werde. Es sei nicht einmal versucht worden, softwaretechnisch sicherzustellen, daß die Erfassung von Daten strikt auf die Telekommunikation beschränkt bleibt. Das Gegenteil sei der Fall: Die heimliche Erweiterung der Funktionalitäten des Trojaners zur Computerwanze sei von vorneherein vorgesehen gewesen.
... über gefälschte Beweise ...
Ein solcher Vollzugriff auf einen Computer, auch durch unautorisierte Dritte, könne etwa zum Hinterlegen gefälschten, belastenden Materials oder zum Löschen von Dateien benutzt werden und stelle damit grundsätzlich den Sinn dieser Überwachungsmethode in Frage.
... bis hin zum Eigentor ...
Selbst ein Angriff auf die behördliche Infrastruktur sei mithilfe der untersuchten Trojanern denkbar. Schon mäßig begabte Angreifer seien damit in der Lage, sich den Behörden gegenüber als eine bestimmte Instanz des Trojaners ausgeben um damit gefälschte Daten abliefern. Von einem entsprechenden Penetrationstest habe der CCC bisher jedoch abgesehen.
... ist alles denkbar
Doch schon die Funktionen des "nackten" Trojaners - also ohne nachgeladene Programme - seien besorgniserregend. Im Rahmen des Tests habe der CCC eine Gegenstelle für den Trojaner geschrieben, mit deren Hilfe Inhalte des Webbrowsers per Bildschirmfoto ausspioniert werden konnten – inklusive privater Notizen, E-Mails oder Texten in webbasierten Cloud-Diensten.
Wie auf der Internetseite des CCC zu lesen ist, werden die ausgeleiteten Daten und Kommandos zur Tarnung der Steuerzentrale über einen in den USA angemieteten Server umgelenkt. Die Steuerung der Computerwanze finde somit jenseits des Geltungsbereiches des deutschen Rechts statt. Durch die fehlende Kommando-Authentifizierung und die inkompetente Verschlüsselung stelle dies ein unkalkulierbares Sicherheitsrisiko dar. Außerdem sei fraglich, wie ein Bürger für den Fall, dass die Daten im Ausland verlorengehen sollten, sein Grundrecht auf wirksamen Rechtsbehelf ausüben könne.
Verfassungswidriger Trojanereinsatz
Damit aber würden sich die Behörden im rechtsfreien Raum bewegen und somit die Rechte betroffener Bürger umgehen. Wie die Frankfurter Rundschau in einem Kommentar vom 09.10.2011 richtig bemerkt, scheint damit wohl klar zu sein, dass die Überwachung mithilfe des
"Bundestrojaners" verfassungswidrig ist.
Die Bundesverfassungsrichter hätten in ihrem Urteil zur Online-Durchsuchung schon im Jahre 2008 eindringlich gewarnt: "
Wird ein komplexes informationstechnisches System zum Zweck der Telekommunikationsüberwachung technisch infiltriert (Quellen-Telekommunikationsüberwachung), so ist mit der Infiltration die entscheidende Hürde genommen, um das System insgesamt auszuspähen." Es bestünde damit die Gefahr, dass weit mehr als die laufende Telekommunikation überwacht werden könne. Wie recht die Richter damals hatten, zeigen die Arbeit und der Bericht des CCC sowie ein Urteil des Landsgerichts Landshut vom Januar 2011.
Ein Dementi und weitere belastende Dokumente
Die ARD-Tagesschau berichtete am 09.10.2011, das Innenministerium habe die vom CCC erhobenen Anschuldigungen zurückgewiesen. Das Bundeskriminalamt habe die Software nicht eingesetzt. Ob dieses Dementi der Wahrheit enspricht, sei einmal dahingestellt. Die Tagesschau zitiert aber auf ihrer Internetseite in einem Artikel vom 09.10.2011 einen Sprecher des Bundesinnenministeriums mit den Worten: "Im Übrigen sind die zuständigen Justiz- und Sicherheitsbehörden des Bundes und der Länder jeweils eigenständig für die Einhaltung technischer und rechtlicher Vorgaben verantwortlich." Das lässt - über den bisher nicht widerlegten Verdacht des CCC gegen die Bundesbehörden hinaus - reichlich Raum für Spekulationen, ob möglicherweise andere Ermittlungsbehörden die Überwachungssoftware eingesetzt haben könnten.
Wie am 10.09.2011 in einem Artikel auf der Internetseite der Frankfurter Rundschau zu lesen war, belegen Dokumente aus dem Bayerischen Justizministerium, in welchem Ausmaß schon vor Jahren mit der Überwachung begonnen worden ist und dass der Staat
privaten Firmen die Kontrolle über das Programm der Trojaner überließ. In einem Schriftwechsel zwischen Ministerium, Oberlandesgerichtspräsidenten und Generalstaatsanwälten, welcher der Frankfurter Rundschau ihren Angaben zufolge vorliegt, ginge es um eine Spionagesoftware, die von der Firma DigiTask entwickelt wurde.
Demnach sei schon vor vier Jahren mit der Entwicklung und dem Einsatz von rechtswidriger Überwachungssoftware begonnen worden. In der "Leistungsbeschreibung" von DigiTask fänden sich alle Spionage-Funktionen, die beim jetzt aufgetauchten Trojaner als rechtswidrig gebrandmarkt werden.
Kurz darauf gab es die Bestätigung, dass bayerische Behörden den Trojaner eingesetzt hatten. Es sei aber alles mir "rechten Dingen" zugegangen. In einem Artikel vom 11.09.2011 zitiert die Tagesschau Herrn Herrmann (CSU, Bayern, Innenminister) auf ihrer Internetseite mit den Worten: "
Die bayerische Polizei und die Justiz tun nur das, wozu sie durch entsprechende Gesetze ausdrücklich ermächtigt sind. Verstöße kann ich keine erkennen. Es geht um Maßnahmen, die in der Strafprozessordnung des Bundes klar geregelt sind und die das Bundesverfassungsgericht ausdrücklich für die Verfolgung schwerer Verbrechen für zulässig erklärt hat." Bei dem, was, der CCC herausgefunden hat geht es meines Erachtens jedoch nicht darum, dass diese
Maßnahmen, in der Strafprozessordnung des Bundes klar geregelt sind, sondern allein um die Tatsache, dass der dafür verwendete Trojaner weit mehr Möglichkeiten zur Verfügung stellt, als diejenigen, die
das Bundesverfassungsgericht ausdrücklich für die Verfolgung schwerer Verbrechen für zulässig erklärt hat.
Schon allein dadurch, dass die Software die oben genannten Möglichkeiten eröffnet, deren mögliche illegale Verwendung außerdem von niemendem kontrolliert werden könnte, ist der Einsatz des Trojaners nach meinem Verständnis verfassungswidrig. Das Bundesverfassungsgerichts hatte in seinem Urteil von 2008 Online-Untersuchungen nämlich nur für den Fall für zulässig erklärt, dass sich die Überwachung
ausschließlich auf Daten aus einem laufenden Telekommunikationsvorgang beschränkt und dies durch technische Vorkehrungen und rechtliche Vorgaben sichergestellt wird. Die
Sicherstellung der rechtlichen Vorgaben durch technische Vorkehrungen ist jedoch nach den Erkenntnissen des CCC in keiner Weise gewährleistet.
Landsgericht Landshut verbietet Screenshots
Von diesen theoretischen Betrachtungen einmal ganz abgesehen, hatten bayerische Behörden den Trojaner bereits in der Praxis für illegale Zwecke missbraucht. Wie der Bayerische Rundfunk am 10.01.2011 auf seiner Internetseite schreibt, habe Frau Tausendfreund (Grüne, Bayern, Innenpolitische Sprecherin) gesagt, bei der Verwendung des Trojaners hätten bayerische Ermittler mit Hilfe der Überwachungssoftware nicht nur Telefongespräche überwacht, sondern auch alle 30 Sekunden Screenshots vom Rechner eines Verdächtigen aufgenommen, sobald dieser seinen Internet-Browser oder Skype benutzte. Im Januar habe das Landsgericht Landshut die Aufnahme von Bildschirmfotos für rechtswidrig erklärt und dem LKA weitere Aufnahmen verboten.
Dieser Fall aus der Praxis bestätigt den Bericht des CCC bezüglich der Analyse des Trojaners. Der Vorwurf Herrn Herrmanns gegen den CCC, dieser habe falsche Behauptungen in die Welt gesetzt, wirkt dagegen eher wie eine hilflose Schutzbehauptung - zumal er, wie die Tagesschau in ihrem Artikel vom 11.10.2011 schreibt, nicht gesagt habe, was der Club konkret falsch gemacht hat.
Wiederholungstäter
Darüber hinaus müssen im Falle der dem CCC zugespielten Sofware - entgegen des Dementis aus dem Bundesinnenministerium - wohl auch Bundesbehörden involviert gewesen sein. Herr Schladt (Anwalt, Bayern, Landshut), der dem CCC den Trojaner von der Festplatte seines Mandanten zukommen ließ, schreibt dazu auf "
ijure.org", Zitat: "
Aufgespielt wurde der Trojaner bei Gelegenheit einer Kontrolle meines Mandanten durch den Zoll auf dem Münchener Flughafen. Auch wenn die Maßnahme selbst von bayerischen Behörden kontrolliert wurde, so steht für mich außer Frage, dass Stellen des Bundes - etwa der Zoll bzw. das Zollkriminalamt - im Wege der Amtshilfe beteiligt waren."
Die Ermittlungsbehörden hätten auch im Fall seines Mandanten wieder eindeutig von der verfassungswidrigen Screenshot-Funktion Gebrauch gemacht - und das obwohl das Landsgericht Landshut erst im Januar die Aufnahme von Screenschots für rechtswidrig erklärt und dem LKA weitere Aufnahmen verboten hatte! Die auf diese illegale Weise erlangten Beweismittel seien zum Gegenstand der Ermittlungsakte gemacht worden.
Der ARD-Tagesschau zufolge schrieb Herr Rieger (CCC) in der "Frankfurter Allgemeinen Sonntagszeitung", Trojaner würden immer wieder zur Kommunikationsüberwachung eingesetzt. Dazu gebe es "landauf, landab in den letzten Monaten Hinweise - etwa, wenn sich Informationen in den Akten fänden, die über das am Telefon besprochene weit hinausgehen, oder Bildschirmfotos vom Rechner des Beschuldigten auftauchen. Darauf, das dieses nicht aus der Luft gegriffen ist, weist unter anderem auch die Ankündigung Herrn Galls (SPD, Baden-Württemberg, Innenminister) hin, er werde den Einsatz der Software in Baden-Württemberg stoppen. Wie auf der Seite des Bayerischen Rundfunks zu lesen ist, habe auch Baden-Württemberg eingeräumt, den Trojaner genutzt zu haben.
Kein Vertrauen in Trojaner
Frau Leutheusser-Schnarrenberger (FDP, Bundesjustizministerin) soll sich wohl besorgt über den Einsatz von Trojanern geäußert haben. Wenn die Vorgaben des Bundesverfassungsgerichts in der Praxis durch die Technik nicht eingehalten würden, dann schwände das Vertrauen der Bürger.
Also: Was das Vertrauen in geheimdienstliche Tätigkeiten und sonstige der Geheimhaltung unterworfene Vorgänge angeht, da kann ich Frau Leutheusser-Schnarrenberger beruhigen ... - zumindest was mich betrifft. Vertrauen in die "ordnungsgemäße" Anwendung von Computerviren, Spyware, Trojanern etc. habe ich noch nie gehabt. Das gilt insbesondere dann, wenn Landes- oder Bundesbehörden genau die Methoden derjenigen anwenden, die sie ansonsten (zu Recht!) strafrechtlich verfolgen.
Was diejenigen unter uns angeht, die bisher der Meinung waren, sie hätten ja nichts zu verbergen (lass den Staat doch ruhig schnüffeln) könnten die schlimmsten Befürchtungen der Frau Leutheusser-Schnarrenberger allerdings schnell zur Gewissheit werden.
Herr Wiefelspütz (SPD-Bundestagsfraktion, innenpolitischer Sprecher) sagte der ARD-Tagesschau zufolge, Zitat: "
Wenn nur die Hälfte dessen stimmt, was berichtet wurde, dann wackelt die Wand." Falls mit dem Einsatz des Trojaners gegen geltendes Recht verstoßen worden sein sollte, dann habe Bayern
ein großes Problem an der Backe. Das werde dann massive Konsequenzen haben müssen.
Herr Krings (CDU, Bundestagsfraktionsvize) habe den CCC hingegen kritisiert. Seiner Ansicht nach habe der Club die Sicherheitsbehörden leichtfertig unter Generalverdacht gestellt. Bisher gebe es keinerlei Belege dafür, dass die analysierte Software tatsächlich illegal eingesetzt worden sei. Nun ja: Diese Belege sind ihm ja inzwischen wohl nachgeliefert worden ...
- Ein aktueller Vergleich mit den bedrückenden Zuständen in Georges Orwell's "1984" trifft bisher wohl eher auf Diktaturen à la China, Birma, Nordkorea oder andere totalitäre Systeme zu, als auf die Staaten der Europäischen Gemeinschaft. Seit dem Anschlag auf das World-Trade-Center in New York am 11. September 2001 sind aber auch in den "westlichen Demokratien" in besorgniserregendem Maße Bestrebungen einiger Regierungen zu beobachten, immer raffiniertere Überwachungsmethoden einzuführen und parallel dazu die freiheitlichen Rechte der Bürger immer weiter einzuschränken. Deshalb ist es wichtig, dass es Menschen - wie in diesem Falle die Mitglieder des CCC - gibt, die das Fachwissen haben, über geltendes Recht hinausgehende Bestrebungen zu erkennen und die solche Machenschaften öffentlich machen.
Zum Weiterlesen:
(Quellen: ARD Tagesschau vom 11.10.2011, FR vom 10.10.2011, FR vom 10.10.2011, ijure.org vom 10.10.2011, Bayerischer Rundfunk vom 10.09.2011, ARD Tagesschau vom 09.10.2011, ARD Tagesschau vom 09.10.2011, Spiegel vom 09.10.2011, FR vom 09.10.2011, FR vom 08.10.2011, CCC vom 08.10.2011, ijure.org vom 28.01.2011, Bundesverfassungsgericht vom 27.02.2008, Wikipedia - Chaos Computer Club - Online-Durchsuchung - Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme)