Technik

Rechtlich sehr umstritten Was darf ein Staatstrojaner?

Der Chaos Computer Club (CCC) enttarnt möglicherweise "Staatstrojaner", die weit mehr tun als erlaubt. Aber was darf staatliche Überwachungs-Software eigentlich? Tatsächlich ist der rechtliche Rahmen für solche Programme stark eingeschränkt. Und wenn die entdeckten Trojaner wirklich von einer Behörde eingesetzt wurden, hat sie mehr als ein Gesetz gebrochen.

Die Enttarnung eines möglichen "Bundestrojaners" durch den Chaos Computer Club (CCC) hat die Diskussion über staatliche Online-Durchsuchungen neu entfacht. Ausgangspunkt ist das "Programm zur Stärkung der Inneren Sicherheit", das im November 2006 unter der Großen Koalition vom damaligen Innenminister Wolfgang Schäuble (CDU) eingebracht wurde. Es sollte "der fortbestehenden Bedrohungslage durch den Ausbau der operativen und der einsatz- und ermittlungsunterstützenden Instrumentarien beim Bundeskriminalamt, der Bundespolizei, beim Bundesamt für Verfassungsschutz und dem Bundesamt für Sicherheit in der Informationstechnik wirksam und entschlossen entgegentreten", erklärte Schäuble damals. Mit Bedrohungslage meinte er die Möglichkeit terroristischer Anschläge in Deutschland.

30oa5202.jpg3619646200038775604.jpg

Der Protest gegen Online-Durchsuchungen scheint mehr als berechtigt gewesen zu sein.

(Foto: dpa)

Im Februar 2008 stellte das Bundesverfassungsgericht (BVG) in einem Urteil fest, dass durch Online-Durchsuchungen in das "Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität Informationstechnischer Systeme" (Computer-Grundrecht) eingegriffen wird und konkretisierte erstmals, unter welchen rechtlichen Voraussetzungen Behörden Computersysteme überwachen dürfen.

Richterliche Anordnung notwendig

"Die heimliche Infiltration eines informationstechnischen Systems, mittels derer die Nutzung des Systems überwacht und seine Speichermedien ausgelesen werden können, ist verfassungsrechtlich nur zulässig, wenn tatsächliche Anhaltspunkte einer konkreten Gefahr für ein überragend wichtiges Rechtsgut bestehen", stellte das Gericht fest. Grundsätzlich ist dem Urteil nach für eine Online-Durchsuchung eine richterliche Anordnung notwendig. Außerdem bestimmte das Bundesverfassungsgericht, dass "das Gesetz, das zu einem solchen Eingriff ermächtigt, Vorkehrungen enthalten muss, um den Kernbereich privater Lebensgestaltung zu schützen."

Die Rechtsnorm, die die Überwachung der Telekommunikation von Personen regelt, ist Paragraf 20l des Bundeskriminalamtgesetzes (BKAG). Es schreibt zwingend vor, dass "ausschließlich laufende Telekommunikation überwacht und aufgezeichnet wird".

Spion sitzt an der Quelle

Der sogenannte Staatstrojaner, der heimlich Internet-Telefonate überwachen soll, fällt dabei unter den Sonderfall der sogenannten Quellen-Telekommunikationsüberwachung (Quellen-TKÜ). Weil eine herkömmliche Überwachung bei Internettelefonie nur verschlüsselte Daten aufzeichnen würde, installiert man auf Computern heimlich ein Programm, das "an der Quelle" Daten abgreift, bevor sie verschlüsselt oder nachdem sie entschlüsselt wurden.

Wie Sachsen-Anhalts Datenschutzbeauftragter Harald von Bose schreibt, geht aus Paragraf 20l BKAG hervor, dass durch technische Maßnahmen sichergestellt sein muss, dass ausschließlich laufende Telekommunikation überwacht und aufgezeichnet wird.

Bundestrojaner außer Kontrolle

Die vom CCC untersuchten Trojaner erfüllt diese Voraussetzungen in keiner Weise. Laut Analyse überwacht er nicht nur die Telekommunikation, sondern kann beispielsweise per Bildschirmfoto Inhalte des Webbrowsers inklusive E-Mails eines Web-Dienstes ausspionieren. Das Programm ist außerdem in der Lage, weiteren Schadcode nachzuladen, wodurch letztendlich der komplette Rechner ausgeschnüffelt werden kann. Und der CCC stellte fest, dass der Trojaner theoretisch auch dazu genutzt werden kann, belastendes Material auf die Festplatte zu schmuggeln.

Von Kontrolle durch den Ermittlungsrichter oder die ausführenden Fahnder kann ebenfalls keine Rede sein. Der CCC hat nachgewiesen, dass auch andere Personen, sogar "bereits nur mäßig begabte Angreifer", den Trojaner fernsteuern können. Außerdem lenkt der Trojaner zur Tarnung der Steuerzentrale Daten und Kommandos über einen Server in den USA um.

Bei so "blamablen Spähmaßnahmen" ist es letztendlich fraglich, ob der Staatstrojaner überhaupt auf einem infiltrierten System unbemerkt hätte spionieren können. Sicherheitsexperte Kaspersky stellt dazu allgemein fest: "Auch ein Bundestrojaner müsste letztlich mit den gleichen Methoden arbeiten wie die Spyware von Maleware-Schreibern - und würde damit mit sehr hoher Wahrscheinlichkeit von unseren proaktiven Schutzmaßnahmen als potenziell gefährlich gemeldet."

Quelle: n-tv.de

Mehr zum Thema