Einsatz von Spionagesoftware bei der Strafverfolgung
Von Manfred Kloiber · 15.10.2011
Seite für Seite ein herber Schlag für die Sicherheitspolitiker der Republik. Der Bericht des Chaos Computer Clubs über die Untersuchung eines Staatstrojaners wirft die vehementen Befürworter von Online-Durchsuchung und Vorratsdatenspeicherung um Jahre zurück.
Aus jeder Zeile schreit es förmlich heraus: Bei der Überwachung von Computern durch Schnüffelprogramme setzen die Behörden nicht nur auf schlampig programmierte, brandgefährliche Ramschsoftware. Sondern sie agieren auch in rechtlichen Grauzonen – zumindest auf Länderebene.
So listen die Hacker etliche Lücken auf, die halbwegs begabte Computerkriminelle geradezu einladen, diesen Billigtrojaner zu kapern und umzudrehen. Und dann noch der Befehl Nr. 14, mit dem der Trojaner zusätzliche Schnüffelsoftware nachladen kann – auch das brandgefährlich. Kriminelle könnten ihn nutzen, um der beobachteten Person gefälschtes Belastungsmaterial auf die Festplatte zu schieben. Der Trojaner kann also mehr, als er im Regelfall überhaupt können darf und sollte.
Nur in zwei Fällen nämlich ist der Einsatz mit gutem Grund erlaubt: Einmal zur sogenannten Quellen-Telekommunikationsüberwachung. Wenn sich Verbrecher statt per Handy oder altbackenem Fernsprecher lieber per Internettelefon zu schweren Straftaten verabreden, dann kann ein Richter den Abhör-Trojaner anordnen. Internettelefonate abhören – nur das darf der Trojaner dann können – mehr nicht.
Beim zweiten Einsatzfall, der Online-Durchsuchung, wird es komplizierter. Soll der ganze Computer ins Visier genommen, Dokumente überprüft, Emails gelesen, Bilder gesichtet werden, dann muss es – und das hat das Bundesverfassungsgericht so formuliert - im Einzelfall um eine drohende Gefahr für ein überragend wichtiges Rechtsgut gehen. Konkret muss also ein Anschlag drohen oder Menschenleben akut in Gefahr sein.
Der untersuchte Staatstrojaner hatte technisch das Zeug für die Rundumüberwachung eines Computers. Das allein schon ist grenzwertig. Und auch wenn es aus den betroffenen Landes-Innenministerien heißt, die Trojaner hätten nur das gemacht, was richterlich genehmigt wurde: Wer kann das kontrollieren? In den meisten Bundesländern fehlen klare Durchführungsbestimmungen, die die engen Grenzen des vom Verfassungsgericht neu definierten Grundrechtes auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme respektieren.
Das aber ist das eigentliche Problem: Mit stümperhafter Software und unklarer Rechtslage macht sich der Staat an den Rechnern seiner Bürger zu schaffen. Auch Verdächtige haben Anspruch auf rechtmäßiges und professionelles staatliches Handeln, das keine Sicherheitslücken hinterlässt. Darüber hinaus soll die Vorratsdatenspeicherung durchgedrückt werden. Alle Internet- und Telefonverbindungsdaten sollen für sechs Monate archiviert werden. Eine gigantische Datensammlung, die kaum zu schützen ist.
Auf der anderen Seite blüht die Internetkriminalität – Online-Betrug und Abzocke. Viele Bürger fühlen sich alleingelassen. Ihr Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität ihrer informationstechnischer Systeme ist massiv bedroht. Von aktiver staatlicher Unterstützung für mehr Sicherheit aber ist kaum etwas zu merken. Abgesehen von populistischen Appellen in Richtung Facebook! Selbst die letzte Chance, für wirklich mehr Sicherheit zu sorgen, hat die Bundesregierung verpatzt.
Der "Neue Personalausweis" hätte ein starker elektronischer Schutz für die Bürger werden können. Und auch da: Nur Pannen! Auch beim ePerso hat der Chaos Computer Club nachgewiesen, dass die elektronische Identität auf dem neuen Ausweis nicht sicher ist. Das, was wirklich sicher wäre, eine sogenannte qualifizierte elektronische Signatur auf dem Ausweis – das gibt’s nur gegen Aufpreis. Das ist der wirklich herbe Schlag für unsere IT-Sicherheit!
So listen die Hacker etliche Lücken auf, die halbwegs begabte Computerkriminelle geradezu einladen, diesen Billigtrojaner zu kapern und umzudrehen. Und dann noch der Befehl Nr. 14, mit dem der Trojaner zusätzliche Schnüffelsoftware nachladen kann – auch das brandgefährlich. Kriminelle könnten ihn nutzen, um der beobachteten Person gefälschtes Belastungsmaterial auf die Festplatte zu schieben. Der Trojaner kann also mehr, als er im Regelfall überhaupt können darf und sollte.
Nur in zwei Fällen nämlich ist der Einsatz mit gutem Grund erlaubt: Einmal zur sogenannten Quellen-Telekommunikationsüberwachung. Wenn sich Verbrecher statt per Handy oder altbackenem Fernsprecher lieber per Internettelefon zu schweren Straftaten verabreden, dann kann ein Richter den Abhör-Trojaner anordnen. Internettelefonate abhören – nur das darf der Trojaner dann können – mehr nicht.
Beim zweiten Einsatzfall, der Online-Durchsuchung, wird es komplizierter. Soll der ganze Computer ins Visier genommen, Dokumente überprüft, Emails gelesen, Bilder gesichtet werden, dann muss es – und das hat das Bundesverfassungsgericht so formuliert - im Einzelfall um eine drohende Gefahr für ein überragend wichtiges Rechtsgut gehen. Konkret muss also ein Anschlag drohen oder Menschenleben akut in Gefahr sein.
Der untersuchte Staatstrojaner hatte technisch das Zeug für die Rundumüberwachung eines Computers. Das allein schon ist grenzwertig. Und auch wenn es aus den betroffenen Landes-Innenministerien heißt, die Trojaner hätten nur das gemacht, was richterlich genehmigt wurde: Wer kann das kontrollieren? In den meisten Bundesländern fehlen klare Durchführungsbestimmungen, die die engen Grenzen des vom Verfassungsgericht neu definierten Grundrechtes auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme respektieren.
Das aber ist das eigentliche Problem: Mit stümperhafter Software und unklarer Rechtslage macht sich der Staat an den Rechnern seiner Bürger zu schaffen. Auch Verdächtige haben Anspruch auf rechtmäßiges und professionelles staatliches Handeln, das keine Sicherheitslücken hinterlässt. Darüber hinaus soll die Vorratsdatenspeicherung durchgedrückt werden. Alle Internet- und Telefonverbindungsdaten sollen für sechs Monate archiviert werden. Eine gigantische Datensammlung, die kaum zu schützen ist.
Auf der anderen Seite blüht die Internetkriminalität – Online-Betrug und Abzocke. Viele Bürger fühlen sich alleingelassen. Ihr Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität ihrer informationstechnischer Systeme ist massiv bedroht. Von aktiver staatlicher Unterstützung für mehr Sicherheit aber ist kaum etwas zu merken. Abgesehen von populistischen Appellen in Richtung Facebook! Selbst die letzte Chance, für wirklich mehr Sicherheit zu sorgen, hat die Bundesregierung verpatzt.
Der "Neue Personalausweis" hätte ein starker elektronischer Schutz für die Bürger werden können. Und auch da: Nur Pannen! Auch beim ePerso hat der Chaos Computer Club nachgewiesen, dass die elektronische Identität auf dem neuen Ausweis nicht sicher ist. Das, was wirklich sicher wäre, eine sogenannte qualifizierte elektronische Signatur auf dem Ausweis – das gibt’s nur gegen Aufpreis. Das ist der wirklich herbe Schlag für unsere IT-Sicherheit!