Als der Chaos Computer Club (CCC) den Staatstrojaner enttarnte [1], wurde nach einigen Tagen der innenministeriellen Konfusion und des verwirrten Abstreitens Besserung, vor allem aber Aufklärung und Transparenz versprochen. Die Datenschutzbeauftragten in Bund und Ländern sollten sich des Falles annehmen und gründlich hinterfragen, was sich an verfassungsrechtlichen Problemen und technischen Unzulänglichkeiten angehäuft hatte.



Der Bericht des bayerischen Landesdatenschutzbeauftragten steht noch aus, doch der Bericht des Bundesdatenschutzbeauftragten Peter Schaar zu seinen Untersuchungen zum Thema Staatstrojaner liegt nun öffentlich vor. Nicht direkt freiwillig, eigentlich sollte dieser Text unter Verschluß bleiben. Nun ist der Datenschutz-Bericht trotzdem der Öffentlichkeit zugänglich geworden und bestätigt viele Befürchtungen. Das Bundeskriminalamt (BKA) und das Finanzminister Wolfgang Schäuble unterstellte Zollkriminalamt (ZKA) sind demnach ebenfalls DigiTask-Kunden, für das BKA existiert sogar ein Rahmenvertrag.



Eine tatsächliche tiefgehende inhaltliche Prüfung der Staatstrojanerversionen war auch Schaar nicht möglich – keine der Bundesbehörden hatte Zugang zum Source Code. Das BKA weigerte sich zudem, den Prüfern den Binärcode zur Einsicht zu überlassen.



Zollkriminalamt und Bundespolizei ließen noch weniger Kontrollmöglichkeiten als das quasi im Blindflug ohne Quellcode agierende BKA: Nicht einmal die Software selbst, keinerlei Versionskontroll-Möglichkeiten oder auch nur ordentliche Handbücher lagen vor. Teilweise wurde das Ausspionieren komplett an DigiTask ausgelagert. Damit wurde die Ermittlung vollständig als Auftrag an eine private Firma vergeben.



Drastisches Beispiel ist ein ganz klar zum geschützten Kernbereich gehörendes Telefonsex-Gespräch, das in Schaars Bericht dokumentiert wird: Die Ermittler vermerkten akkurat "Liebesbeteuerungen" und "Selbstbefriedigungshandlungen" zwischen "15.52 Uhr und 16.01 Uhr". Dieser klare Eingriff in den grundgesetzlich absolut geschützten Kernbereich der privaten Lebensgestaltung führte nach der Aufzeichnung nicht einmal zur Löschung, wie es geboten gewesen wäre.



Auch die Löschung des Staatstrojaners nach Ablauf der vom Richter genehmigten Frist bereitete den Behörden Schwierigkeiten, sie wurde aufgrund technischer Unzulänglichkeiten auch schon mal um mehr als einen Monat überzogen. Ohnehin war der Löschvorgang nur ein logisches Löschen, die Software ist also einfach wiederzufinden, da sie nicht überschrieben wurde. Dies ist bei dem amateurhaften DigiTask-Spionageprodukt auch gar nicht vorgesehen.



Offenbar planen die Behörden dennoch weiter mit dem Skandallieferanten DigiTask zusammenzuarbeiten. Er soll laut dem Bericht mit technischen Erweiterungen beauftragt worden sein, konnte bisher jedoch nicht liefern.



Ohne ausreichende rechtliche Grundlage wurde der Staatstrojaner in Bund und Ländern dutzendfach eingesetzt, um die Computer von Verdächtigen zu infiltrieren. Schaar kommt zu dem Ergebnis, daß der Gesetzgeber nachbessern muß. Sowohl § 100a StPO als auch § 23z Zollfahndungsdienstgesetz seien keine hinreichende Rechtsgrundlage, da sie dem Urteil aus Karlsruhe nicht genügten. Warum die Ermittler nicht direkt an Skype herantreten, ist Schaar ohnehin nicht ersichtlich.



Grundsätzlich stellt sich die Frage, inwieweit auch die richterlichen Beschlüsse hinterfragt werden müssen. Schaar gibt hier mangels Zuständigkeit keine Bewertung ab. Es bleibt zu fordern, daß in Zukunft der Richterbeschluß – besonders bei intensiven Grundrechtseingriffen – einer Prüfung auf Rechtmäßigkeit unterzogen werden kann.



Schaars Bericht belegt auch, daß die Staatstrojaner-Spezialexperten bei der Programmierung schlampten. Die Fernsteuerschnittstelle des behördlichen Infiltrationsprogrammes kann von praktisch jedem beliebigen Angreifer genutzt und gesteuert werden. Die Kommandos zum Trojaner waren darüberhinaus weder verschlüsselt noch authentifiziert, und die Daten, die die Computerwanze zurückschickte, waren mit dem immer gleichen AES-Schlüssel kodiert.



Schaars Bericht rügt auch, daß die in naher Zukunft geplante Einsichtnahme in den Quelltext bei DigiTask keine tatsächliche Prüfung ersetzen würde. Das BKA selbst sah sich nicht einmal in der Lage zu prüfen, ob der AES-Schlüssel, den der CCC im Rahmen der Staatstrojaner-Veröffentlichung publiziert hatte, auch in der vom BKA genutzten Software steckt.



Dafür gibt es nur zwei Erklärungen: Entweder hat das BKA klaffende Kompetenzlücken oder wollte absichtlich eine ordentliche Auskunft schuldig bleiben. Schaar sah sich durchaus in der Lage eine solche Prüfung selbst durchzuführen und bestätigte, daß der AES-Schlüssel auch beim BKA derselbe wie in den vom CCC veröffentlichten Staatstrojaner-Versionen ist.



Aus dem Bericht geht weiter hervor, daß auch beschlagnahmte Rechner heimlich infiltriert und an die Besitzer zurückgegeben wurden. Das ist ein weiterer klarer Rechtsbruch, da eine Beschlagnahme nur der Sicherung von Beweisen dienen darf.



Es wird leider niemanden überraschen: Nicht um Terrorismus oder Menschenhandel ging es in vielen geprüften Einsatzfällen, es waren in der Mehrzahl die üblichen Verstöße gegen das Betäubungsmittelgesetz.



Links:



[1] Chaos Computer Club analysiert Staatstrojaner



[2] geleakter Bericht bei Indymedia (pdf)



[3] geleakter Bericht in html



[4] Mirror des geleakten Berichts (pdf)